💼 Management Samenvatting
Een gecontroleerde migratie van Exchange Server naar Exchange Online is meer dan het verplaatsen van mailboxen. Het is een bestuursbesluit waarmee overheidsorganisaties aantonen dat digitale correspondentie voldoet aan archiefwetgeving, beschikbaarheidseisen en hedendaagse beveiligingsnormen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
480u (tech: 320u)
Van toepassing op:
✓ Exchange Online
✓ Exchange Server 2016
✓ Exchange Server 2019
✓ Azure AD Connect
✓ Microsoft 365 E5
✓ Exchange Server 2016
✓ Exchange Server 2019
✓ Azure AD Connect
✓ Microsoft 365 E5
Zonder migratieplan blijft e-mail verankerd in verouderde datacenters, vaak met beperkte redundantie, onvoldoende patchregime en ontbrekende ondersteuning voor zero trust-principes. Dit leidt tot risico’s op ransomware via on-premises managementservers, beperkte mogelijkheden voor meervoudige authenticatie en een fragmentarische loggingketen die niet aansluit op BIO-paragraaf 9.4 of NIS2-artikel 21. Auditdiensten signaleren bovendien dat e-mailbewaring en vernietiging onder de Archiefwet moeilijk aantoonbaar zijn zolang organisaties verspreide journaling-oplossingen hanteren. Bijkomend gevolg is dat hybride samenwerken in Teams, Purview en Copilot stagneert omdat klassieke Exchange-configuraties niet alle moderne APIs ondersteunen. Een migratie naar Exchange Online creëert één consistent beveiligingsoppervlak waarin Conditional Access, Purview DLP, eDiscovery en auditlogboeken standaard beschikbaar zijn.
PowerShell Modules Vereist
Primary API: Exchange Online PowerShell, Microsoft Graph Reports, Azure AD Connect Health
Connection:
Required Modules: ExchangeOnlineManagement, Microsoft.Graph, AzureADPreview
Connection:
Connect-ExchangeOnline, Connect-MgGraphRequired Modules: ExchangeOnlineManagement, Microsoft.Graph, AzureADPreview
Implementatie
Dit artikel beschrijft hoe u de migratie bestuurlijk positioneert, architectuurkeuzes vastlegt, technische stappen plant en compliance bewijslast borgt. We behandelen scenario’s voor staged, hybride en cutover migraties en leggen uit hoe u afhankelijkheden zoals Azure AD Connect, SMTP-relay en archiveringssystemen synchroniseert. Het bijbehorende script `code/m365/exchange-online/exchange-online-migration.ps1` levert een reproduceerbare toets: het controleert of cruciale voorbereidingen – denk aan moderne authenticatie, licentievoorraad, mailboxinventaris, journalingstrategieën en hybride agentstatus – in lijn zijn met de Nederlandse Baseline voor Veilige Cloud. Het script werkt ook in DebugMode zodat lokale teams binnen vijftien seconden kunnen oefenen zonder productieverbinding, waarmee u voldoet aan de eis om scripts altijd lokaal te testen voordat ze in beheerprocessen landen.
Strategische regie, scope en besluitvorming
Een Exchange Online migratie start bij een bestuurlijke opdracht, niet bij het aanmaken van migratiebatches. De CIO legt in het cloud strategy board vast waarom het e-mailplatform naar de Microsoft-cloud verhuist, hoe dit aansluit op de digitale transformatieagenda en welke publieke waarden – transparantie, betrouwbaarheid, soevereiniteit – centraal staan. Het besluit beschrijft dat Exchange Online de primaire autoritatieve omgeving wordt voor alle mailboxen, gedeelde postvakken, openbare mappen en journalingflows. Hiermee is direct duidelijk dat projecten rond hybride werken, digitale archivering en AI-adoptie afhankelijk zijn van dit traject. De scope omvat dus meer dan techniek: ook juridische kaders, HR-communicatie en governance van ketenpartners vallen onder het besluit.
De volgende stap is een strak gedefinieerd eigenaarschap. Het migratieprogramma kent een opdrachtgever (bijvoorbeeld de directeur ICT), een procesverantwoordelijke voor informatiebeheer en een security officer die toeziet op naleving van BIO en AVG. Elk besluit wordt geregistreerd in het portfoliomanagementsysteem zodat het samenvalt met andere trajecten, zoals de invoering van Purview Data Lifecycle of de uitfasering van verouderde datacenters. Een volwassen scopebeschrijving ordent mailboxen in risicoklassen: bestuurlijke mailboxen, primaire dienstverleningsprocessen, operations-centra en generieke accounts. Voor iedere klasse definieert u specifieke eisen voor beschikbaarheid, bewaartermijnen en versleutelingsmethoden, zodat de migratie niet tot eenheidsworst leidt maar aansluit op informatieclassificatie.
Governance omvat ook de interactie met ketenpartners. Veel overheidsorganisaties leveren berichten aan sectorale voorzieningen zoals Zivver, Digikoppeling of justitiële berichtenplatformen. Het migratiebesluit moet expliciet benoemen hoe deze kanalen worden geborgd na de verplaatsing naar Exchange Online. Dit betekent dat SMTP-relay, edge transport en eventuele third-party gateways opnieuw worden beoordeeld op capaciteit, encryptiestandaarden en logging. Tegelijkertijd beschrijft het governancekader welke rapportages het bestuur ontvangt: een maandelijkse voortgangsnotitie met aantallen gemigreerde mailboxen, niet-technische risico’s en de status van restpunten zoals legacy archieven. Door rapportageverplichtingen vóór de start te bepalen, voorkomt u dat audits achteraf constateren dat er geen traceerbare besluitvorming heeft plaatsgevonden.
Tot slot borgt u dat strategische regie verankerd blijft na de go-live. Een migratie verandert immers de verantwoordelijkheden tussen teams. Waar voorheen een Exchange-beheerteam servers patchte, verschuift de taak naar het beheren van policies, DLP, eDiscovery en lifecyclemanagement in de Microsoft 365 admin centra. Door deze rolwijziging op te nemen in het HR- en opleidingsplan, inclusief instructies voor het PowerShell-script, zorgt u dat kennis niet verdwijnt zodra het project is afgerond. Bestuurders zien daarmee dat migratie geen eenmalige sprint is, maar een structurele verandering van het bedieningsmodel – precies het uitgangspunt van de Nederlandse Baseline voor Veilige Cloud.
Architectuur, afhankelijkheden en technische voorbereiding
Gebruik PowerShell-script exchange-online-migration.ps1 (functie Invoke-ExchangeMigrationAssessment) – Voert een readiness-scan uit op hybride configuraties, mailboxinventaris, licentiereserves en compliance-instellingen, met DebugMode voor lokale validatie..
Een migratie slaagt alleen wanneer architectuurkeuzes vooraf zijn vastgesteld. Bepaal of de organisatie kiest voor een minimale hybride opstelling met de Exchange Hybrid Configuration Wizard, of voor een volledige modern hybrid waarbij de Hybrid Agent wordt ingezet om firewallcomplexiteit te beperken. Documenteer welke identity-bronnen authoritative zijn: Azure AD als primaire directory, on-premises Active Directory als bron voor user objecten, en Azure AD Connect als de gesanctioneerde synchronisatieroute. Deze keuzes moeten passen binnen de zero trust-roadmap en moeten worden vastgesteld in de architectuurraad zodat latere projecten weten welke integratiepaden beschikbaar zijn.
De technische voorbereiding omvat een detailanalyse van alle mailboxen en aanverwante objecten. Inventariseer gedeelde mailboxen, resource mailboxen, serviceaccounts, applicaties die SMTP AUTH gebruiken en public folders die mogelijk naar Microsoft 365 Groups moeten migreren. Controleer of moderne authenticatie is ingeschakeld en of er voldoende licenties beschikbaar zijn voor archivering, litigation hold en Advanced Threat Protection. Het readiness-script leest deze parameters uit en waarschuwt wanneer bijvoorbeeld journaling nog naar on-premises targets wijst of wanneer er onvoldoende E3/E5-licenties zijn om archiefpostvakken te activeren. Met DebugMode kunnen teams deze controle oefenen zonder verbinding te maken; zo blijft elke test binnen de gestelde vijftien seconden.
Afhankelijkheden met andere systemen verdienen expliciete aandacht. Denk aan scannerflows, HR-applicaties die on-prem Exchange Web Services gebruiken of SIEM-integraties in het SOC. Voor elk systeem beschrijft u hoe authenticatie, netwerkconnectiviteit en logging veranderen na de migratie. Maak bijvoorbeeld duidelijk dat SMTP-relay voortaan via Exchange Online connectors verloopt met modern authenticatie of Exchange Online SMTP AUTH client submission, en leg uit hoe deze veranderingen in de securityarchitectuur worden geborgd. Het architectuurdocument verwijst naar relevante paragrafen van de Archiefwet en BIO 12.05 zodat duidelijk is dat continuïteit hoofdzaak blijft.
Voorbereiding eindigt met een technische en organisatorische go/no-go. Hierbij worden preflight-checks uitgevoerd op netwerkbandbreedte, identiteitssynchronisatie, Microsoft 365 service health en change freeze vensters. Het bestuur ontvangt een samenvattend readiness-rapport waarin het scriptresultaat, de pen-testbevindingen van hybride endpoints en de status van de communicatiecampagne zijn opgenomen. Pas als alle stoplichten op groen staan, gaat u door naar de uitvoeringsfase. Deze discipline voorkomt dat migratiebatches moeten worden teruggedraaid en verstevigt het vertrouwen van toezichthouders dat de organisatie haar digitale kernprocessen beheerst.
Uitvoering, pilots, migratiebatches en operationeel beheer
Gebruik PowerShell-script exchange-online-migration.ps1 (functie Invoke-ExchangeMigrationReadinessReport) – Export met voortgangsstatistieken, risicoprofielen en aanbevelingen voor volgende migratiebatches..
De uitvoering begint met een pilot waarin een representatieve mix van gebruikers wordt gemigreerd: bestuurders, servicedeskmedewerkers, burgerloketten en ketenpartners. Voor deze groep legt u per persoon vast welke functionaliteiten zij intensief gebruiken, zodat regressietests kunnen aantonen dat Outlook, mobiele clients, gedeelde mailboxen en vergaderzalen na de migratie ongestoord functioneren. Pilotlessen worden vastgelegd in het draaiboek en vormen de basis voor de change die door de CAB wordt goedgekeurd. Gedurende de pilot draait het script dagelijks in DebugMode en wekelijks tegen productie om te bevestigen dat readinessparameteres (zoals licentiebuffers en hybride agentstatus) niet veranderen.
Na de pilot volgt de batchgewijze migratie. Elke batch heeft een vast tempo, bijvoorbeeld vijftig mailboxen per nacht of één organisatieonderdeel per weekend. De change-kalender bevat freeze windows rondom verkiezingen, begrotingsrondes of andere piekmomenten. Tijdens iedere batch legt het team vast hoeveel tijd de migratie duurde, hoeveel synchronisatiefouten optraden en welke nazorgmeldingen binnenkwamen. Deze data voedt een Power BI-dashboard dat bestuurders realtime zicht geeft op voortgang en residual risk. Wanneer afwijkingen optreden, bijvoorbeeld doordat archiefpostvakken groter blijken dan gepland, genereert het script een finding zodat het programma direct kan beslissen over extra storage of aangepaste migratiepaden.
Operationeel beheer verandert fundamenteel. Zodra mailboxen in Exchange Online staan, verschuift de focus naar Conditional Access, DLP, transportregels, Defender for Office 365 en compliance center workflows. Het beheerteam documenteert nieuwe runbooks voor incidentafhandeling, waaronder procedures voor message trace, rolling upgrades van Outlook-clients en het herstellen van vergaderingen die door resource mailboxen worden gehost. Tegelijkertijd worden verouderde on-premises servers uitgefaseerd volgens een gecontroleerd stappenplan: eerst Client Access servers, daarna Mailbox servers, tenslotte Edge-rollen. Elke stap wordt gekoppeld aan logboekverwijdering en documentatie van vernietigde hardware ten behoeve van de Archiefwet.
Tijdens en na de migratie blijft communicatie essentieel. Medewerkers ontvangen tijdig uitleg over veranderingen, zoals de introductie van meervoudige authenticatie, nieuwe quota en het gebruik van Outlook op mobiele apparaten via App Protection. Ketenpartners en leveranciers worden geïnformeerd over nieuwe relayadressen en beveiligingseisen. De servicedesk beschikt over scripts en kennisbankartikelen die beschrijven hoe veelvoorkomende issues – denk aan OneNote-synchronisatie of gedeelde mailbox permissies – worden opgelost. Door communicatie en operationeel beheer zo nauw te verweven met de technische uitvoering, voorkomt u escalaties en verlaagt u de druk op het programma.
Compliance, archivering en continue verbetering
Migreren naar Exchange Online verandert de manier waarop bewijsvoering wordt geleverd aan auditors, rekenkamers en toezichthouders. Het migratieprogramma legt daarom een volledig auditspoor vast: besluitvorming in het portfolioboard, CAB-goedkeuringen, scripts die readiness aantonen, change- en incidenttickets, en rapportages naar de Functionaris Gegevensbescherming. Deze documentatie wordt opgeslagen in een gecontroleerde SharePoint-site met versiebeheer en bewaartermijnen conform Archiefwet en BIO 9.4. Hiermee is altijd herleidbaar waarom een bepaald moment gekozen is, welke controles zijn doorlopen en hoe risico’s zijn gemitigeerd.
Compliance strekt zich uit tot gegevensbewaring. Exchange Online biedt In-Place Hold, Litigation Hold en Purview Records Management. Na de migratie voert u per informatieklasse een toets uit of bewaartermijnen juist zijn vertaald en of het verwerkingsregister is bijgewerkt. De FG verwacht dat een Data Protection Impact Assessment (DPIA) inzicht geeft in de nieuwe gegevensstromen, vooral wanneer journaling naar externe archiefdiensten blijft bestaan. Het artikel adviseert daarom om het script in auditors-modi te draaien, waarbij enkel metadata wordt opgehaald zodat privacygevoelige inhoud nooit het teststation verlaat.
Nazorg omvat het wegnemen van technische schulden. Verwijder Exchange Management Shell van beheerwerkstations die niet langer nodig zijn, sluit firewallpoorten die uitsluitend voor on-premises hybrid verkeer bestonden en draai de laatste on-premises server pas uit nadat Microsoft de decomissioning stappen heeft gevalideerd. Tegelijkertijd evalueert u of aanvullende diensten – zoals Advanced eDiscovery, automatische classificatie of integratie met Microsoft Purview Communication Compliance – versneld kunnen worden ingevoerd nu de infrastructuur is gemoderniseerd. Elke nazorgactie wordt gekoppeld aan een control uit de Nederlandse Baseline zodat het programma aantoonbaar richting geeft.
Continue verbetering betekent dat Exchange Online niet wordt gezien als eindstation maar als platform dat evolueert. Stel daarom een kwartaalcyclus in waarin u het script draait, resultaten bespreekt met security- en compliance-officers en verbeterplannen vastlegt. Hierbij bekijkt u licentiegebruik, het percentage gedeelde mailboxen zonder verantwoordelijke eigenaar, en de adoptie van features zoals encryptie of Sensitivity Labels. Door structureel lessons learned te verzamelen, creëert u een volwassen beheerorganisatie die toekomstige innovaties – zoals Copilot for Outlook of cross-tenant collaboration – veilig kan omarmen zonder nieuwe migratieprogramma’s op te tuigen.
Compliance & Frameworks
- BIO: 09.04.02, 12.01.01, 12.05.01, 16.03.01 - BIO-eisen rondom toegangsbeheer, wijzigingsbeheer, logging en continuïteit worden geadresseerd door standaard governance, hybride architectuurcontroles en geautomatiseerde readiness-checks.
- ISO 27001:2022: A.5.1, A.8.16, A.8.32, A.8.34 - ISO 27001:2022-controls voor change management, informatieclassificatie en veilige communicatie worden volledig ondersteund door het beschreven migratiekader.
- NIS2: Artikel - NIS2 vereist aantoonbare maatregelen voor bedrijfscontinuïteit en incidentrespons; Exchange Online migratie maakt deze mogelijk dankzij centrale logging, redundantie en procesmatige borging.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Readiness- en voortgangscontrole voor Exchange Online migraties.
.DESCRIPTION
Controleert of een organisatie klaar is voor migratie naar Exchange Online door
licenties, hybride status, journaling, modern authentication en mailboxinventaris
te analyseren. Ondersteunt tevens voortgangsrapportages tijdens migratiebatches.
.NOTES
Filename : exchange-online-migration.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/exchange-online/exchange-online-migration.json
.EXAMPLE
.\exchange-online-migration.ps1 -Assessment
.EXAMPLE
.\exchange-online-migration.ps1 -ReadinessReport -ExportPath .\readiness.json
.EXAMPLE
.\exchange-online-migration.ps1 -Assessment -DebugMode
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[switch]$Assessment,
[switch]$ReadinessReport,
[string]$ExportPath,
[switch]$DebugMode,
[switch]$WhatIf
)
Set-StrictMode -Version Latest
$ErrorActionPreference = 'Stop'
$script:Findings = @()
$script:ExitCode = 0
function Write-Banner {
param([string]$Title)
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host $Title -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
}
function Connect-ExchangeOnlineIfNeeded {
if ($DebugMode) {
Write-Host "DebugMode actief: er wordt geen verbinding gemaakt met Exchange Online." -ForegroundColor Yellow
return
}
if (-not (Get-Command -Name Connect-ExchangeOnline -ErrorAction SilentlyContinue)) {
throw "ExchangeOnlineManagement-module is niet geladen. Installeer en importeer deze module voordat u het script draait."
}
$existingSession = Get-PSSession | Where-Object { $_.ConfigurationName -eq "Microsoft.Exchange" -and $_.State -eq "Opened" }
if (-not $existingSession) {
Write-Host "Verbinding maken met Exchange Online..." -ForegroundColor Gray
Connect-ExchangeOnline -ShowBanner:$false | Out-Null
}
else {
Write-Host "Bestaande Exchange Online-sessie hergebruikt." -ForegroundColor Gray
}
}
function Connect-GraphIfNeeded {
if ($DebugMode) {
return
}
if (-not (Get-Command -Name Connect-MgGraph -ErrorAction SilentlyContinue)) {
throw "Microsoft.Graph-module ontbreekt. Installeer deze module of gebruik -DebugMode."
}
$context = Get-MgContext -ErrorAction SilentlyContinue
if (-not $context) {
Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Gray
Connect-MgGraph -Scopes "Organization.Read.All","User.Read.All" -ErrorAction Stop | Out-Null
}
}
function Get-DebugSnapshot {
return [pscustomobject]@{
Timestamp = Get-Date
MailboxCount = 1850
OnPremMailboxCount = 340
ArchiveEnabledPercent = 82
AverageMailboxSizeGb = 3.7
LargestMailboxSizeGb = 11.2
FreeExchangeLicenses = 420
HybridAgentStatus = "Connected"
ModernAuthEnabled = $true
ActiveMigrationBatches = 2
LastBatchDurationMinutes = 135
PendingJournalingConnector = $false
DnsRecordsVerified = $true
RecentFailures = 1
OverallStatus = "Aandacht vereist"
RiskSummary = "Nog 340 on-premises mailboxen; licentiereserve is voldoende maar archiefpercentage moet naar 100%."
}
}
function Get-ExchangeMigrationSnapshot {
if ($DebugMode) {
return Get-DebugSnapshot
}
Connect-ExchangeOnlineIfNeeded
$snapshot = [pscustomobject]@{
Timestamp = Get-Date
MailboxCount = $null
OnPremMailboxCount = $null
ArchiveEnabledPercent = $null
AverageMailboxSizeGb = $null
LargestMailboxSizeGb = $null
FreeExchangeLicenses = $null
HybridAgentStatus = "Unknown"
ModernAuthEnabled = $null
ActiveMigrationBatches = $null
LastBatchDurationMinutes = $null
PendingJournalingConnector = $null
DnsRecordsVerified = $null
RecentFailures = 0
OverallStatus = "Onbekend"
RiskSummary = "Vul aanvullende logica in voor een organisatie-specifieke samenvatting."
}
try {
$mailboxes = Get-ExoMailbox -ResultSize 5000 -PropertySets Minimum | Where-Object { $_.RecipientTypeDetails -like "*UserMailbox*" }
$snapshot.MailboxCount = $mailboxes.Count
$snapshot.ArchiveEnabledPercent = if ($mailboxes.Count) {
[math]::Round((($mailboxes | Where-Object { $_.ArchiveStatus -eq "Active" }).Count / $mailboxes.Count) * 100, 1)
}
else { 0 }
$stats = Get-ExoMailboxStatistics -ResultSize 2000
if ($stats) {
$byteValues = @()
foreach ($stat in $stats) {
if ($stat.TotalItemSize -match '\((\d+)\sbytes\)') {
$byteValues += [double]$Matches[1]
}
}
if ($byteValues.Count -gt 0) {
$snapshot.AverageMailboxSizeGb = [math]::Round((($byteValues | Measure-Object -Sum).Sum / $byteValues.Count) / 1GB, 2)
$snapshot.LargestMailboxSizeGb = [math]::Round(($byteValues | Measure-Object -Maximum).Maximum / 1GB, 2)
}
}
}
catch {
Write-Warning "Kon mailboxstatistieken niet ophalen: $_"
$snapshot.RecentFailures++
}
try {
$org = Get-OrganizationConfig -ErrorAction Stop
$snapshot.ModernAuthEnabled = $org.OAuth2ClientProfileEnabled
}
catch {
Write-Warning "Kon Modern Authentication-status niet bepalen: $_"
$snapshot.RecentFailures++
}
try {
$batches = Get-MigrationBatch -ErrorAction Stop
$snapshot.ActiveMigrationBatches = ($batches | Where-Object { $_.Status -eq "Syncing" -or $_.Status -eq "CompletedWithErrors" }).Count
$snapshot.LastBatchDurationMinutes = ($batches | Sort-Object -Property LastSyncedTime -Descending | Select-Object -First 1).TotalDuration.TotalMinutes
}
catch {
Write-Warning "Kon migratiebatches niet uitlezen: $_"
$snapshot.RecentFailures++
}
try {
$config = Get-HybridConfiguration -ErrorAction Stop
if ($config.HybridAgentFqdn) {
$snapshot.HybridAgentStatus = "Connected"
}
else {
$snapshot.HybridAgentStatus = "Configured"
}
}
catch {
Write-Warning "Geen Hybrid Configuration gevonden of onvoldoende rechten."
$snapshot.HybridAgentStatus = "NotConfigured"
$snapshot.RecentFailures++
}
try {
$journalConnectors = Get-InboundConnector -ErrorAction Stop | Where-Object { $_.ConnectorType -eq "OnPremises" -and $_.Enabled -eq $true -and $_.Comment -match "Journaling" }
$snapshot.PendingJournalingConnector = [bool]$journalConnectors
}
catch {
Write-Warning "Kon journalingconnectors niet controleren: $_"
$snapshot.RecentFailures++
}
try {
$dns = Get-AcceptedDomain -ErrorAction Stop | Where-Object { $_.DomainType -eq "Authoritative" }
$snapshot.DnsRecordsVerified = ($dns | Where-Object { $_.DomainName -like "*.onmicrosoft.com" }).Count -lt $dns.Count
}
catch {
Write-Warning "Kon domeinconfiguratie niet controleren: $_"
$snapshot.RecentFailures++
}
try {
Connect-GraphIfNeeded
$skus = Get-MgSubscribedSku -ErrorAction Stop | Where-Object { $_.SkuPartNumber -match "EXCHANGE" -or $_.SkuPartNumber -match "ENTERPRISEPACK" }
if ($skus) {
$totalAvailable = ($skus | Measure-Object -Property PrepaidUnits.Enabled -Sum).Sum
$totalConsumed = ($skus | Measure-Object -Property ConsumedUnits -Sum).Sum
$snapshot.FreeExchangeLicenses = [math]::Max(0, $totalAvailable - $totalConsumed)
}
else {
$snapshot.FreeExchangeLicenses = 0
}
}
catch {
Write-Warning "Kon licentiegegevens niet ophalen via Microsoft Graph: $_"
$snapshot.FreeExchangeLicenses = $null
$snapshot.RecentFailures++
}
$snapshot.OnPremMailboxCount = if ($snapshot.MailboxCount -and $snapshot.FreeExchangeLicenses -ne $null) {
[math]::Max(0, $snapshot.MailboxCount - ($snapshot.MailboxCount - $snapshot.FreeExchangeLicenses))
}
else { $null }
$snapshot.OverallStatus = if ($snapshot.RecentFailures -gt 0) { "Onzeker" } else { "Gedeeltelijk gereed" }
return $snapshot
}
function Add-Finding {
param(
[string]$Category,
[string]$Message,
[ValidateSet("Info","Warning","Critical")]
[string]$Severity = "Warning"
)
$script:Findings += [pscustomobject]@{
Category = $Category
Message = $Message
Severity = $Severity
}
if ($Severity -eq "Critical") {
$script:ExitCode = [math]::Max($script:ExitCode, 1)
}
}
function Invoke-ExchangeMigrationAssessment {
Write-Banner -Title "Exchange Online Migratie Assessment"
$snapshot = Get-ExchangeMigrationSnapshot
if (-not $snapshot) {
Write-Host "Kon geen snapshot genereren." -ForegroundColor Red
exit 2
}
if (-not $snapshot.ModernAuthEnabled) {
Add-Finding -Category "Authenticatie" -Message "Modern Authentication staat uit. Schakel OAuth2ClientProfileEnabled in voordat u migreert." -Severity Critical
}
if ($snapshot.FreeExchangeLicenses -ne $null -and $snapshot.OnPremMailboxCount -ne $null) {
if ($snapshot.FreeExchangeLicenses -lt $snapshot.OnPremMailboxCount) {
Add-Finding -Category "Licenties" -Message "Onvoldoende Exchange Online-licenties beschikbaar voor resterende on-premises mailboxen." -Severity Critical
}
}
if ($snapshot.HybridAgentStatus -eq "NotConfigured") {
Add-Finding -Category "Hybride" -Message "Hybrid Configuration Wizard is niet geconfigureerd of agentstatus onbekend." -Severity Critical
}
if ($snapshot.ArchiveEnabledPercent -lt 100) {
Add-Finding -Category "Archivering" -Message "Slechts $($snapshot.ArchiveEnabledPercent)% van de mailboxen heeft een archief geactiveerd. Voldoe aan Archiefwet en Purview-eisen voordat u afrondt." -Severity Warning
}
if (-not $snapshot.DnsRecordsVerified) {
Add-Finding -Category "DNS" -Message "Niet alle domeinen zijn gevalideerd in Exchange Online. Controleer MX, SPF en Autodiscover records." -Severity Warning
}
if ($snapshot.PendingJournalingConnector) {
Add-Finding -Category "Journaling" -Message "Er bestaan nog actieve journalingconnectors naar on-premises systemen. Documenteer of migreer deze flows." -Severity Warning
}
if ($snapshot.RecentFailures -gt 0) {
Add-Finding -Category "Monitoring" -Message "Snapshot bevat $($snapshot.RecentFailures) waarschuwing(en). Controleer rechten en cmdlets." -Severity Warning
}
if ($script:Findings.Count -eq 0) {
Write-Host "Geen kritieke issues gevonden. Exchange Online migratievoorbereiding lijkt op koers." -ForegroundColor Green
exit 0
}
Write-Host "Bevindingen:" -ForegroundColor Yellow
$script:Findings | Sort-Object Severity, Category | Format-Table -AutoSize | Out-String | Write-Host
if ($ExportPath) {
try {
$script:Findings | ConvertTo-Json -Depth 4 | Out-File -FilePath $ExportPath -Encoding UTF8
Write-Host "Bevindingen opgeslagen in $ExportPath" -ForegroundColor Gray
}
catch {
Write-Warning "Kon bevindingen niet exporteren: $_"
}
}
exit $script:ExitCode
}
function Invoke-ExchangeMigrationReadinessReport {
Write-Banner -Title "Exchange Online Migratie Readinessrapport"
$snapshot = Get-ExchangeMigrationSnapshot
$report = [pscustomobject]@{
GeneratedAt = $snapshot.Timestamp
OverallStatus = $snapshot.OverallStatus
Summary = $snapshot.RiskSummary
Metrics = $snapshot | Select-Object MailboxCount, OnPremMailboxCount, ArchiveEnabledPercent, AverageMailboxSizeGb, LargestMailboxSizeGb, FreeExchangeLicenses, HybridAgentStatus, ModernAuthEnabled, ActiveMigrationBatches, LastBatchDurationMinutes, PendingJournalingConnector, DnsRecordsVerified
}
$report | Format-List | Out-String | Write-Host
if ($ExportPath) {
try {
$report | ConvertTo-Json -Depth 5 | Out-File -FilePath $ExportPath -Encoding UTF8
Write-Host "`nReadinessrapport geëxporteerd naar $ExportPath" -ForegroundColor Green
}
catch {
Write-Warning "Export mislukt: $_"
}
}
if ($WhatIf) {
Write-Host "`nWhatIf actief: er zijn geen productieverbindingen gelegd of wijzigingen aangebracht." -ForegroundColor Yellow
}
}
try {
switch ($true) {
{ $Assessment } { Invoke-ExchangeMigrationAssessment; break }
{ $ReadinessReport } { Invoke-ExchangeMigrationReadinessReport; break }
default {
Write-Host "Gebruik -Assessment of -ReadinessReport [-ExportPath] [-DebugMode] [-WhatIf]" -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`nEinde script" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Een gefragmenteerd e-mailplatform vergroot de kans op ransomware, schept juridisch risico rond bewaring en vernietiging, en belemmert samenwerking met moderne Microsoft 365-diensten. Zonder migratie blijven audits vinden dat logging versnipperd is en dat meervoudige authenticatie niet overal afdwingbaar is.
Management Samenvatting
Bepaal bestuurlijke scope, ontwerp een hybride architectuur, gebruik het migratiescript voor readiness-checks, voer batches gecontroleerd uit en borg compliance en archivering structureel binnen Exchange Online.
- Implementatietijd: 480 uur
- FTE required: 0.8 FTE