💼 Management Samenvatting
Exchange Online is het hart van communicatie binnen Nederlandse overheidsorganisaties. Een migratie vanaf on-premises Exchange of legacy-cloudomgevingen raakt bestuurlijke besluitvorming, juridische bewaarplichten en continuïteit van burgergerichte dienstverlening. Dit artikel zet uiteen hoe de Nederlandse Baseline voor Veilige Cloud een end-to-end migratieaanpak definieert die governance, techniek en adoptie verbindt.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
680u (tech: 420u)
Van toepassing op:
✓ Microsoft 365
✓ Exchange Online
✓ Exchange Server 2016/2019
✓ SharePoint Online
✓ Azure Active Directory
✓ Publieke Sector
✓ Exchange Online
✓ Exchange Server 2016/2019
✓ SharePoint Online
✓ Azure Active Directory
✓ Publieke Sector
Veel organisaties hanteren nog hybride mailplatforms die afhankelijk zijn van verouderde TLS-standaarden, maatwerkjournaling of ongedocumenteerde transportregels. Hierdoor ontstaan risico’s voor de BIO-controles rond logging en continuïteit, terwijl de AVG bewaartermijnen en archivering eist die in praktijk niet eenduidig kunnen worden aangetoond. Tegelijkertijd dwingt NIS2 tot volwassen risicobeheer over kritieke communicatiekanalen. Een migratie naar Exchange Online is dus niet alleen een technisch project maar een compliancegedreven transformatie die zonder duidelijke regie kan uitlopen op verstoringen, dataverlies of governance-conflicten.
PowerShell Modules Vereist
Primary API: Exchange Online PowerShell, Microsoft Graph, SharePoint Online Management Shell
Connection:
Required Modules: ExchangeOnlineManagement, Microsoft.Graph.Identity.DirectoryManagement, PnP.PowerShell
Connection:
Connect-ExchangeOnline, Connect-IPPSSession, Connect-MgGraphRequired Modules: ExchangeOnlineManagement, Microsoft.Graph.Identity.DirectoryManagement, PnP.PowerShell
Implementatie
De Nederlandse Baseline voor Veilige Cloud beschrijft een migratiebenadering die start bij bestuurlijke verankering, vervolgt met architectuur- en data-assessments, en eindigt met operationele borging en auditklare rapportages. Dit artikel biedt een narratief van ruimtelijke planning tot nazorg. Per fase wordt uitgelegd welke beslissingen in welk overleg vallen, hoe technische configuraties aansluiten op juridische vereisten, en waar automatisering met PowerShell-scripts zoals `exchange-online-migration.ps1` verplicht is om kwaliteit meetbaar te houden. Het doel is dat CIO’s, CISO’s en uitvoerende teams hetzelfde referentiekader gebruiken, zodat migratievolwassenheid aantoonbaar wordt richting toezichthouders en opdrachtgevers.
Strategische verankering en governance
Een Exchange Online migratie binnen de Nederlandse publieke sector begint bij bestuurlijke besluitvorming, niet bij technische scripts. College van B&W, gedeputeerde staten of directies van rijksdiensten moeten formeel vastleggen dat e-mail en agenda’s als vitale processen worden beschouwd, waardoor migratiedoelen rechtstreeks gekoppeld worden aan risicobereidheid, privacy-afspraken en politiek-bestuurlijke verantwoording. Deze stap klinkt ceremonieel, maar vormt de basis voor het toekennen van budgetten, capaciteit en escalatieroutes. In governanceplannen wordt beschreven hoe compliance-eisen uit BIO, AVG, Archiefwet en NIS2 elkaar beïnvloeden. Bijvoorbeeld: de keuze om legacy-publicfolders pas in fase twee te migreren is alleen verdedigbaar wanneer expliciet is vastgelegd hoe archiefwaardige informatie intussen wordt veiliggesteld, welke compenserende maatregelen gelden en welke rapportages het bestuur ontvangt. Elke bestuurlijke beslissing krijgt een unieke referentie die terugkomt in change requests, zodat auditors de volledige herkomst van keuzes kunnen volgen. Daarnaast wordt vastgelegd dat de migratie onderdeel is van de bredere "Nederlandse Baseline voor Veilige Cloud", waarmee bestuurders laten zien dat dit project aansluit op reeds goedgekeurde cloudprincipes.
Governance krijgt verder vorm in een multidisciplinair migratieboard waarin CISO, CIO, FG, Chief Data Officer, service owner messaging en vertegenwoordigers van uitvoeringsorganisaties zitting hebben. Dit board bewaakt dat beslissingen over tenantconfiguratie, retentielabels, journaling, hybride connectors en identity-synchronisatie coherent zijn met andere cloudprogramma’s zoals Teams, SharePoint en Purview. Het board definieert de acceptatiecriteria per migratiefase: geen enkele productielijn mag live totdat de betrokken proceseigenaar de risicoanalyse, DPIA en archiveringsimpact heeft ondertekend. Het board documenteert ook politieke kaders, bijvoorbeeld de eis dat e-mailverkeer tussen bepaalde ministeries binnen de EU data boundary blijft of dat communicatie met ketenpartners contractuele encryptieafspraken volgt. Door deze eisen in dezelfde besluitvormingscyclus te behandelen als technische items, verdwijnt de klassieke kloof tussen beleid en uitvoering en ontstaat een auditbare lijn van strategie naar technische workload.
Naast bestuurlijke borging vereist strategische verankering een expliciet verhaal richting medewerkers en externe stakeholders. Communicatieplannen beschrijven waarom de migratie noodzakelijk is, welke verbeteringen gebruikers ervaren en hoe tijdelijke hinder wordt opgevangen. Daarbij wordt de koppeling met nationale cybersecurity-agenda’s benadrukt: de migratie is niet louter een efficiencymaatregel maar een voorwaarde om de Nederlandse publieke dienstverlening weerbaar te houden tegen ransomware en spionage. Het plan benoemt bovendien hoe lessons learned uit eerdere programma’s (bijvoorbeeld Teams adoption of defensiebrede e-mailconsolidaties) worden hergebruikt. Dit narrative wordt ondersteund door KPI’s zoals "percentage kritieke processen dat al gebruikmaakt van Exchange Online" of "aantal vervangen on-premises servers". Door deze KPI’s te presenteren in bestuursrapportages ontstaat een continu gesprek over voortgang, slagkracht en resterende risico’s.
Architectuur, data-assessments en technische voorbereiding
Na bestuurlijke goedkeuring volgt een grondige architectuur- en data-analyse. Nederlandse overheden beheren vaak meerdere Exchange-organisaties, elke met eigen namespace, journalingconstructies en public folder-architectuur. In de voorbereidingsfase inventariseert het architectenteam alle afhankelijkheden: SMTP-relays, applicatiemailboxen, scanningdevices, e-mailarchieven, eDiscovery-workflows en koppelingen met zaaksystemen. Iedere afhankelijkheid wordt geclassificeerd op kritikaliteit, data-classificatie en technisch gedrag. Dit resulteert in een migratiecatalogus die exact aangeeft welke mailboxen, gedeelde resources, DL’s en integraties in welke volgorde migreren en welke voorwaarden vooraf gelden. Voor diensten met wettelijke bewaarplichten, zoals bestuursrechtelijke dossiers, wordt bepaald of historische data naar Exchange Online archieven, Microsoft 365 Backup of een extern e-depot gaan. Door data-assessments te koppelen aan juridische impact ontstaat een plan dat zowel technici als juristen begrijpen.
Technische voorbereiding omvat tevens een kritische blik op identity en security. Hybride configuraties worden herzien zodat Azure AD Connect, Pass-through Authentication en Seamless SSO hetzelfde beschikbaarheidsniveau bieden als de messaging infrastructuur. TLS 1.2 wordt verplicht voor alle connectors, DKIM en DMARC worden geactiveerd vóórdat de eerste productie-mailbox verhuist, en het netwerkteam bevestigt dat outbound e-mailstromen door gecertificeerde inspectiepunten lopen. Tegelijkertijd worden Purview-retentielabels en sensitivity labels ontworpen zodat migratie niet leidt tot verlies van classificatie. Voor elke workload is beschreven hoe labels automatisch worden toegepast, hoe journaling zich verhoudt tot retentie en welke monitoringfuncties nodig zijn in Defender for Office 365. Architectuurdocumentatie legt alle beslissingen vast in diagrams en scenario’s, waardoor toekomstige beheerders exact zien hoe verkeer, authenticatie en compliance samenkomen. Dit materiaal wordt onderdeel van het ISMS en is toegankelijk voor auditors.
De voorbereidingsfase sluit af met realistische pilots. Testomgevingen bevatten representatieve mailboxsets, ingestelde litigation holds, complexe transportregels en koppelingen met ketenpartners. Elke pilot run levert meetgegevens over migratiesnelheid, throttling, impact op MRS-queue en gedrag van clients op managed en unmanaged devices. Deze data wordt vergeleken met service level afspraken en het risicodossier. Afwijkingen leiden tot aanvullende mitigaties zoals het verhogen van throughput via Microsoft FastTrack, het herontwerpen van transportregels of het implementeren van tijdelijke journaling naar Azure Storage. Pas wanneer pilots aantonen dat zowel technische prestaties als compliance-eisen haalbaar zijn, wordt de productieplanning vrijgegeven. Hierdoor staat architectuur niet los van executie, maar vormt het een empirisch onderbouwd fundament onder elke volgende stap.
Migratie-uitvoering, monitoring en scriptgestuurde waarborgen
Gebruik PowerShell-script exchange-online-migration.ps1 (functie Invoke-MigrationOrchestration) – Beheert assessments, cutover-rapportages en nazorgacties voor Exchange Online migraties. Ondersteunt lokale debugmodus en bewaakt KPI’s zoals batchstatus, throttling en compliance-ready instellingen..
De daadwerkelijke migratie wordt uitgevoerd in iteratieve batches waarbij governance-afspraken constant worden getoetst. Elke batch krijgt een change-ID, een vooraf goedgekeurd tijdslot, duidelijke terugvalcriteria en benoemde proceseigenaren. Tijdens de uitvoering monitoren teams de Microsoft Service Health, Message Queues en MRS-statistieken, terwijl SOC’s controleren of afwijkende authenticatiepatronen binnen Conditional Access verschijnen. Het script `exchange-online-migration.ps1` speelt hierbij een centrale rol: het controleert voor elke batch of alle randvoorwaarden zijn ingevuld, waaronder licentietoewijzing, retentielabels, automatische replies, archiveringsstatus en integriteit van journalingconnectors. Het script kan in LocalDebug-modus draaien voor dry runs, maar schakelt in productie over op live-telemetrie via Exchange Online Management en Graph, waardoor dashboards steeds actuele cijfers tonen.
Operations-teams richten een command room in waarin representanten van messaging, identity, netwerk, SOC, servicedesk en communicatie samenwerken. Zij gebruiken dezelfde KPI’s: duur van batchmigraties, percentage gefaalde moves, hoeveelheid throttling-waarschuwingen, aantal gebruikers dat binnen twee uur na migratie aanmeldproblemen ervaart, en de tijd die nodig is om journaling opnieuw te synchroniseren. Het script voedt deze command room met automatisch gegenereerde CSV-rapportages en JSON-uitvoer die rechtstreeks in Power BI of Fabric dashboards terechtkomt. Hierdoor kan het bestuur realtime volgen hoe de migratie verloopt en kan het communicatie-team tijdig berichten versturen naar gebruikersgroepen. Het script signaleert tevens afwijkingen zoals gedegradeerde Search service, ontbrekende archive-mailboxen of devices die door Modern Auth blokkades ervaren, waardoor beheerders gericht kunnen ingrijpen voordat klachten oplopen.
Naast monitoring automatiseert het script nazorgacties. Zodra een batch is afgerond, valideert het of legacy mailboxen in on-premises databases in read-only status staan, of journalingregels zijn uitgeschakeld, of SMTP relays zijn herpunt naar Exchange Online en of identity-runs geen orphaned accounts melden. Het script maakt facultatief ITSM-tickets aan voor elke user-story die nog openstaat, zoals ontbrekende gedeelde mailboxpermissies of onafgemaakte litigation holds. Ook genereert het script documentatie die direct voldoet aan auditvereisten: een hash van de migratielog, timestamp van de Graph-exports, en een lijst van toegepaste labels. Hiermee wordt de lijn van uitvoering naar compliance gesloten en kunnen auditors maanden later exact reconstrueren wat wanneer is gebeurd.
Nazorg, auditbaarheid en continue verbetering
Wanneer de laatste mailbox is gemigreerd, begint de fase waarin de organisatie bewijst dat Exchange Online beheer volwassen is. Nazorg omvat het afbouwen van on-premises servers, het formaliseren van nieuwe beheerprocessen en het bijwerken van continuïteitsplannen. Change-managers sluiten CAB-items pas wanneer monitoring aantoont dat nieuwe operationele procedures (incidentresponse, patching, lifecyclemanagement) minimaal twee cycli stabiel draaien. Tevens wordt gecontroleerd of documentatie in het ISMS, het servicehandboek en de architectuurrepository is bijgewerkt. Dit voorkomt dat beheerders terugvallen op verouderde runbooks. Daarnaast worden contracten met leveranciers geactualiseerd zodat ondersteuning past bij de cloudrealiteit, inclusief afspraken over supportrespons, data residency en compliance checks.
Auditbaarheid staat centraal in de nazorg. De organisatie verzamelt evidencepakketten die elke control uit de BIO, AVG en NIS2 aantoonbaar ondersteunen. Denk aan exports van transportregels, bewijzen van succesvolle journaling-tests, rapportages van litigation hold-configuraties en dashboards over mailflow door EU-geo. Deze pakketten worden opgeslagen in een gecontroleerde SharePoint-bibliotheek met append-only beleid en retentie van zeven jaar. Het script levert hier automatisch bijdragen aan door de belangrijkste logboeken te hashen en metadata toe te voegen (batchnummer, verantwoordelijke, status). Auditors krijgen daardoor niet alleen output maar ook de volledige context, inclusief besluitvormingsreferenties en compenserende maatregelen. Hierdoor kan de organisatie bij incidenten of toezichtsbezoeken overtuigend aantonen dat alles onder controle is.
Continue verbetering sluit de cyclus. Lessons learned uit migratie en nazorg worden vertaald naar structurele verbeteringen in provisioning, beveiliging en adoptie. Bijvoorbeeld: inzichten over throttling leiden tot een update van technische richtlijnen voor toekomstige data-migraties; bevindingen over gebruikerscommunicatie resulteren in nieuwe sjablonen voor grootschalige cloudveranderingen; signalen over compliance-gap vullen de roadmap van Purview-projecten. Elke verbetering krijgt een eigenaar, tijdlijn en succesindicator en wordt gevolgd in het ISMS. Bovendien worden resultaten gedeeld met andere organisaties binnen het netwerk van de Nederlandse Baseline voor Veilige Cloud, zodat sectorbrede volwassenheid groeit. Op die manier verandert de migratie van een eenmalig project in een blijvende capability om cloudtransities gecontroleerd, transparant en aantoonbaar veilig uit te voeren.
Compliance & Frameworks
- BIO: 09.01, 12.01, 12.03, 12.05, 17.01 - Borgt dat messaging-diensten aantoonbaar beschikbaar, veilig en controleerbaar worden gemigreerd en beheerd.
- ISO 27001:2022: A.5.20, A.5.23, A.8.12, A.8.16, A.8.34 - Verbindt cloudtransities met change-management, logging, bewaring en continuïteit volgens ISO 27001.
- NIS2: Artikel - Verplicht risicogestuurd beheer van vitale communicatieplatformen en rapportage over incidenten, monitoring en remediatie.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Orkestratie, monitoring en remediatie voor Exchange Online migraties.
.DESCRIPTION
Voert assessments uit op pre-migratievoorwaarden, genereert monitoringrapportages
voor batches en cutovers, en documenteert nazorgacties volgens de Nederlandse
Baseline voor Veilige Cloud.
.NOTES
Filename : exchange-online-migration.ps1
Author : Nederlandse Baseline voor Veilige Cloud
Version : 1.0
Related : content/m365/exchange/exchange-online-migration.json
.EXAMPLE
.\exchange-online-migration.ps1 -Assessment -LocalDebug
.EXAMPLE
.\exchange-online-migration.ps1 -Monitoring -ExportPath .\migration-status.csv
.EXAMPLE
.\exchange-online-migration.ps1 -Cutover -BatchName "Pilot-01" -WhatIf
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding(DefaultParameterSetName = 'Assessment')]
param(
[Parameter(ParameterSetName = 'Assessment')]
[switch]$Assessment,
[Parameter(ParameterSetName = 'Monitoring')]
[switch]$Monitoring,
[Parameter(ParameterSetName = 'Cutover')]
[switch]$Cutover,
[Parameter(ParameterSetName = 'Remediation')]
[switch]$Remediation,
[Parameter(ParameterSetName = 'Monitoring')]
[Parameter(ParameterSetName = 'Cutover')]
[string]$BatchName,
[switch]$LocalDebug,
[string]$ExportPath,
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Exchange Online Migratie Orkestratie" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Initialize-MigrationContext {
if ($LocalDebug) {
Write-Verbose "LocalDebug actief: er wordt geen verbinding met Exchange Online opgezet."
return
}
$session = $null
try {
$session = Get-ConnectionInformation | Where-Object {
$_.Name -match 'ExchangeOnline' -and $_.State -eq 'Open'
}
}
catch {
Write-Verbose "Get-ConnectionInformation niet beschikbaar of geen open sessie gevonden."
}
if (-not $session) {
Write-Host "Verbinden met Exchange Online..." -ForegroundColor Yellow
Connect-ExchangeOnline -ShowBanner:$false -ShowProgress:$false | Out-Null
}
}
function Get-MigrationSampleData {
$now = Get-Date
return [pscustomobject]@{
Batches = @(
[pscustomobject]@{
Name = 'Pilot-01'
Status = 'Synced'
SyncedCount = 125
FailedCount = 2
StartTime = $now.AddHours(-12)
CutoverWindow = "$((Get-Date).AddHours(3).ToString('yyyy-MM-dd HH:mm')) - $((Get-Date).AddHours(5).ToString('HH:mm')) CET"
Owner = 'CIO-office'
ComplianceSign = $true
},
[pscustomobject]@{
Name = 'Prod-Region-West'
Status = 'Syncing'
SyncedCount = 880
FailedCount = 12
StartTime = $now.AddHours(-4)
CutoverWindow = "$((Get-Date).AddHours(20).ToString('yyyy-MM-dd HH:mm')) - $((Get-Date).AddHours(22).ToString('HH:mm')) CET"
Owner = 'Dienst Publiekszaken'
ComplianceSign = $false
}
)
Connectors = @(
[pscustomobject]@{
Name = 'OnPrem-SMTP-Primary'
TlsVersion = 'TLS1.2'
JournalingActive = $true
LastValidated = $now.AddDays(-2)
PendingRetirement = $false
},
[pscustomobject]@{
Name = 'Legacy-Scanner-Relay'
TlsVersion = 'TLS1.0'
JournalingActive = $false
LastValidated = $now.AddDays(-30)
PendingRetirement = $true
}
)
Compliance = [pscustomobject]@{
DkimEnabled = $true
DmarcPolicy = 'quarantine'
LitigationHoldSets = 48
RetentionLabels = 12
EvidenceLocation = '\\fileserver01\\audit\\exchange-online'
}
}
}
function Get-MigrationInventory {
Initialize-MigrationContext
if ($LocalDebug) {
return Get-MigrationSampleData
}
$batches = @()
try {
$batches = Get-MigrationBatch -DiagnosticInfo 'showtimeslots' -ErrorAction Stop
}
catch {
Write-Warning "Kon migratiebatches niet ophalen: $_"
}
$connectors = @()
try {
$connectors = Get-InboundConnector -ErrorAction Stop
}
catch {
Write-Warning "Kon connectors niet ophalen: $_"
}
$compliance = [pscustomobject]@{
DkimEnabled = $false
DmarcPolicy = 'none'
LitigationHoldSets = (Get-Mailbox -ResultSize 1 -ErrorAction SilentlyContinue | ForEach-Object { $_.LitigationHoldEnabled }) -ne $null
RetentionLabels = 0
EvidenceLocation = "$env:TEMP"
}
return [pscustomobject]@{
Batches = $batches
Connectors = $connectors
Compliance = $compliance
}
}
function Invoke-MigrationAssessment {
try {
$inventory = Get-MigrationInventory
$issues = @()
if ($inventory.Connectors.Count -eq 0) {
$issues += "Geen connectors gevonden. Verifieer hybride verbinding en SMTP-relays."
}
else {
foreach ($connector in @($inventory.Connectors)) {
if ($connector.TlsSettings -and $connector.TlsSettings -notmatch 'Tls1_2') {
$issues += "Connector '$($connector.Name)' gebruikt geen TLS 1.2."
}
if ($connector.Comment -match 'legacy' -and -not $connector.Enabled) {
$issues += "Legacy connector '$($connector.Name)' staat nog uitgeschakeld maar heeft wel routingimpact."
}
}
}
foreach ($batch in @($inventory.Batches)) {
if ($batch.Status -eq 'Syncing' -and ((Get-Date) - $batch.StartTime).TotalHours -gt 24) {
$issues += "Batch '$($batch.Name)' synchroniseert langer dan 24 uur."
}
if ($batch.FailedCount -gt 0 -and ($batch.FailedCount / [math]::Max(1, $batch.SyncedCount + $batch.FailedCount)) -gt 0.05) {
$issues += "Batch '$($batch.Name)' heeft meer dan 5% fouten."
}
}
if (-not $inventory.Compliance.DkimEnabled) {
$issues += "DKIM is niet ingeschakeld op de tenant."
}
if ($issues.Count -eq 0) {
Write-Host "COMPLIANT: alle gecontroleerde voorwaarden zijn aanwezig." -ForegroundColor Green
return 0
}
Write-Host "NON-COMPLIANT: $($issues.Count) bevinding(en) gevonden." -ForegroundColor Red
$issues | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
return 1
}
catch {
Write-Host "ERROR tijdens assessment: $_" -ForegroundColor Red
return 2
}
}
function Invoke-MigrationMonitoring {
param(
[string]$ExportPath
)
try {
$inventory = Get-MigrationInventory
$rows = foreach ($batch in @($inventory.Batches)) {
[pscustomobject]@{
BatchName = $batch.Name
Status = $batch.Status
Synced = $batch.SyncedCount
Failed = $batch.FailedCount
StartTime = $batch.StartTime
CutoverWindow= $batch.CutoverWindow
}
}
if ($rows.Count -gt 0) {
$rows | Format-Table -AutoSize | Out-String | Write-Host
}
else {
Write-Host "Geen actieve batches gevonden." -ForegroundColor Yellow
}
if ($ExportPath) {
$dir = Split-Path -Parent $ExportPath
if ($dir -and -not (Test-Path $dir)) {
New-Item -ItemType Directory -Path $dir -Force | Out-Null
}
$rows | Export-Csv -Path $ExportPath -NoTypeInformation -Encoding UTF8
Write-Host "Rapport geëxporteerd naar $ExportPath" -ForegroundColor Green
}
$connectorIssues = @($inventory.Connectors | Where-Object {
$_.TlsVersion -and $_.TlsVersion -notmatch 'TLS1.2'
})
if ($connectorIssues.Count -gt 0) {
Write-Host "`nLET OP: Connectors zonder TLS 1.2:" -ForegroundColor Yellow
$connectorIssues | ForEach-Object { Write-Host " - $($_.Name)" -ForegroundColor Yellow }
}
return 0
}
catch {
Write-Host "ERROR tijdens monitoring: $_" -ForegroundColor Red
return 2
}
}
function Invoke-MigrationCutover {
param(
[string]$BatchName
)
if (-not $BatchName) {
throw "Gebruik -BatchName om een specifieke cutover te valideren."
}
try {
$inventory = Get-MigrationInventory
$batch = $inventory.Batches | Where-Object { $_.Name -eq $BatchName }
if (-not $batch) {
throw "Batch '$BatchName' niet gevonden."
}
Write-Host "Controle cutover-criteria voor batch '$BatchName'..." -ForegroundColor Cyan
$checks = @()
if ($batch.Status -ne 'Synced') {
$checks += "Batchstatus is '$($batch.Status)' in plaats van 'Synced'."
}
if ($batch.FailedCount -gt 0) {
$checks += "Er zijn $($batch.FailedCount) mislukte mailboxmoves."
}
if (-not $batch.ComplianceSign) {
$checks += "Compliance sign-off ontbreekt."
}
if ($checks.Count -eq 0) {
if ($WhatIf) {
Write-Host "WhatIf: Cutover zou worden gestart zodra change approval is bevestigd." -ForegroundColor Yellow
}
else {
Write-Host "Alle criteria voldaan. Start cutover volgens draaiboek." -ForegroundColor Green
}
return 0
}
Write-Host "Cutover geblokkeerd wegens:" -ForegroundColor Red
$checks | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
return 1
}
catch {
Write-Host "ERROR tijdens cutovercontrole: $_" -ForegroundColor Red
return 2
}
}
function Invoke-MigrationRemediation {
try {
Write-Host "Remediatieadvies voor Exchange Online migraties:" -ForegroundColor Cyan
Write-Host " 1. Herzie alle inbound/outbound connectors en dwing TLS 1.2 af." -ForegroundColor Gray
Write-Host " 2. Synchroniseer migratiebatches met CAB-registraties inclusief dataclassificaties." -ForegroundColor Gray
Write-Host " 3. Automatiseer evidence-exports (Get-MigrationBatch, Get-JournalRule, Get-TransportRule) en sla deze gehasht op." -ForegroundColor Gray
Write-Host " 4. Borg nazorg via ITSM-tickets voor het uitfaseren van on-premises rollen, inclusief change-ID en verantwoordelijke." -ForegroundColor Gray
Write-Host " 5. Koppel scriptuitvoer aan dashboards in Power BI zodat bestuurders realtime voortgang zien." -ForegroundColor Gray
if ($WhatIf) {
Write-Host "WhatIf actief: er zijn geen wijzigingen aangebracht." -ForegroundColor Yellow
}
return 0
}
catch {
Write-Host "ERROR tijdens remediatie: $_" -ForegroundColor Red
return 2
}
}
try {
switch ($PSCmdlet.ParameterSetName) {
'Assessment' {
$code = Invoke-MigrationAssessment
exit $code
}
'Monitoring' {
$code = Invoke-MigrationMonitoring -ExportPath $ExportPath
exit $code
}
'Cutover' {
$code = Invoke-MigrationCutover -BatchName $BatchName
exit $code
}
'Remediation' {
$code = Invoke-MigrationRemediation
exit $code
}
default {
Write-Host "Gebruik -Assessment, -Monitoring, -Cutover of -Remediation (optioneel -LocalDebug, -BatchName, -ExportPath, -WhatIf)." -ForegroundColor Yellow
}
}
}
catch {
Write-Host "Onverwachte fout: $_" -ForegroundColor Red
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder geregisseerde migratie en aantoonbare nazorg blijven legacy-mailplatformen operationeel, waardoor kwetsbaarheden, compliancegaten en exploitatiekosten blijven groeien. Incidenten leiden sneller tot bestuurlijke escalaties en ingestelde verbetermaatregelen missen meetbare bewijslast.
Management Samenvatting
Maak Exchange Online migratie onderdeel van de Nederlandse Baseline voor Veilige Cloud. Leg bestuurlijke afspraken vast, voer grondige architectuur- en data-assessments uit, monitor elke batch met scriptgestuurde telemetrie en borg nazorg via auditdossiers. Zo wordt communicatie toekomstvast, compliant en beheersbaar.
- Implementatietijd: 680 uur
- FTE required: 1.2 FTE