Migración de correo de Exchange Online a Yandex 360 para empresas / Sudo Null IT News

¡Hola Habr! En el siguiente artículo de la serie sobre cómo administrar Yandex 360 para empresas, le diré cómo transferir correo desde el servicio Exchange Online de Microsoft 365 al producto ruso Yandex Mail desde Yandex 360 para empresas.

Proporcionaré pasos paso a paso que un administrador debe realizar para centralizar la migración de correo sin recopilar contraseñas de usuario. Luego responderé las preguntas más frecuentes sobre el servicio de migración que tienen nuestros clientes. Indicaré por separado qué hacer si el propietario del inquilino no quiere o no puede proporcionar derechos para el servicio de migración a Yandex 360 para todos los buzones del inquilino, solo para los seleccionados.

Este artículo será útil para los administradores de infraestructuras de correo que tienen que migrar cartas a Yandex Mail, para aquellos que recién están planificando un proceso tan importante y para todos los interesados ​​en los servicios en la nube.

Plan:

  1. Insumo necesario antes de la migración.

  2. Etapas de la migración.

  3. Lo que debería estar listo en Yandex 360 para una organización empresarial.

  4. Pasos preparatorios en el lado de Microsoft 365.

  5. Preparando el archivo CSV.

  6. Realizando la migración.

  7. PREGUNTAS MÁS FRECUENTES.

  8. Cómo configurar permisos solo para ciertos buzones.

Insumos necesarios antes de la migración

  • Hay un inquilino de Microsoft 365 llamado {{tenant_name}}.onmicrosoft.com.

  • Se ha agregado un dominio de correo del formulario al inquilino. ejemplo.com. Es posible que se hayan agregado más dominios.

  • Hay usuarios en el inquilino. Han creado buzones con una dirección como nombre de usuario@ejemplo.com.

  • Tiene derechos de administrador global sobre el inquilino o conoce a alguien que tiene derechos de administrador global y puede realizar todos los pasos necesarios.

Etapas de migración

Yandex 360 tiene un servicio de migración, llamémoslo “migrador”. Se conecta a Exchange Online mediante la API REST, recibe información sobre los buzones de correo de los usuarios y recopila su contenido, es decir, cartas.

En Exchange Online, el servicio de migración aparece en forma de aplicación (registro de la aplicación), conociendo su ID y su secreto (es algo así como una contraseña). A continuación, pasa la lista de direcciones al migrador y él comienza a trabajar con ella.

Comprobando errores

Luego de iniciar la migración y descargar la lista de usuarios, se realiza una verificación para garantizar que los datos descargados sean correctos. Esta es una verificación de sintaxis del archivo CSV: es importante que todas las direcciones de correo electrónico que contiene sean correctas y que los usuarios especificados en el archivo existan en Yandex 360 y no estén duplicados.

Si algo anda mal, los detalles indican el error y el motivo del error. Si todo tiene éxito, pasas a la siguiente etapa.

Preparándose para la migración

Se realiza una conexión paso a paso en modo por lotes a todos los buzones de correo de la lista CSV. La conexión se realiza en nombre del registro de la aplicación, se cargan la estructura de carpetas y la lista de elementos en los cuadros.

Esta etapa puede durar desde unos minutos hasta varias horas, dependiendo de la complejidad de la estructura y la cantidad de elementos en el buzón. De hecho, se está preparando una lista de elementos para copiar.

Sincronización inicial

Comienza tan pronto como una de las cajas completa la etapa preparatoria. Esta es la más larga de todas las etapas de migración. En detalle, este estado se llama sincronización_inicial.

La estructura de carpetas de los buzones de origen se copia en los buzones de destino. Se copian todos los elementos del buzón sobre los cuales se recibió información durante la etapa de preparación.

Sincronizar mensajes nuevos

Una vez completada la sincronización inicial del contenido del buzón, nada se detiene. Con cierta frecuencia, individualmente para cada buzón, se inicia la migración de nuevas cartas que llegan a los buzones del lado de Exchange Online. Esto sucede en segundo plano. En detalles, este estado se mostrará como Sync_newest.

Detener la migración

Cuando el administrador hace clic en el botón Detener, la migración se detiene por completo. El proceso de migración sólo se puede reiniciar desde el principio. El estado será detenido o detenido.

Durante la migración, al lado de cada etapa, se mostrará la cantidad de casillas que se encuentran actualmente en la etapa de migración correspondiente en un momento determinado.

Gradualmente, los números “fluirán” de una etapa a otra hasta que la sección “recopilación de cartas nuevas” muestre el número total de todos los buzones para la migración.

Si desea detener la migración, por ejemplo, cuando cambió el registro MX a Yandex 360, en la etapa “recopilación de nuevos correos electrónicos”, debe completar la migración manualmente con el botón “Detener”.

¿Qué debería estar listo en Yandex 360 para una organización empresarial?

Para iniciar la migración a Yandex 360 para empresas, debe seguir los siguientes pasos:

  1. Cree un Yandex 360 para la organización empresarial.

  2. Agregue al menos un dominio principal a esta organización; en nuestro caso sería ejemplo.com. Cómo hacer esto, leer en el primer artículo de la serie.

  3. Cree cuentas para usuarios en la organización Yandex 360. Debe hacerlo usted mismo, ya que la herramienta de migración no crea usuarios automáticamente. Si está migrando desde Microsoft 365, probablemente sincronizará usuarios con su Active Directory local. Lee como hacerlo en el segundo artículo de la serie.

Después de los pasos anteriores, la organización Yandex 360 está lista para recibir correos electrónicos utilizando la herramienta de migración.

Pasos preparatorios en el lado de Microsoft 365

Comencemos con el hecho de que tiene un inquilino de Microsoft 365 en el que los usuarios tienen buzones de correo y usted es un administrador global.

Para iniciar la migración, debe crear un registro de aplicación en el portal de Microsoft Entra. Este proceso se describe en detalle en la ayuda de Yandex 360 for Business:

Básicamente, necesitas:

  1. Cree un registro de aplicación con el que la herramienta de migración de Yandex Mail se conectará a Exchange Online a través de Rest API y recopilará datos. El propósito de la etapa es obtener el ID de la Aplicación (cliente) del formulario:

abcd1234-a1b2-1111-123a-absdfe

  1. Obtén el secreto. Es necesario que el migrante demuestre que es él mismo y no una “criatura temblorosa”, y tiene derecho, ya que conoce la identificación del cliente y el secreto. Vista secreta del cliente:

ABCD2XYZ032-xyzXYZ032

  1. Conceder permiso a la solicitud. Es necesario utilizar la Aplicación y no el Permiso Delegado. El migrador está diseñado sobre la base de que se le otorga acceso al nivel de servicio de Exchange Online y no se le delega acceso.

Derechos necesarios para una migración de correo electrónico exitosa:

  • Usuario.Leer.Todopara identificar por dirección de correo electrónico a qué buzón de usuario necesita conectarse.

  • Mail.readbasic.Todopara acceder a la estructura de todos los buzones, una lista de todos los mensajes y todas las propiedades excepto el cuerpo del mensaje.

  • Correo.leer, para obtener el contenido de todas las cartas en todos los buzones. Te diré por separado cómo limitar este derecho.

  1. Cargue el ID del cliente y el secreto del cliente para generar un archivo en formato JSON. Lo necesitará para el Asistente de migración.

{
  "client_id": "abcd1234-a1b2-1111-123a-absdfe",
  "secret": "ABCD2~XYZ032-xyzXYZ032"
}

Preparando el archivo CSV

En el Asistente de migración, debe pasar una lista de usuarios. La lista en sí es tan simple como un mirlo:

  • En la primera columna debe especificar Yandex_login. Esto es lo que se llama nombre de usuario o apodo: el nombre de usuario principal en Yandex 360 sin especificar un dominio, por ejemplo nombre de usuario sin @ejemplo.com

    La segunda columna requiere la dirección de correo electrónico de Exchange Online del usuario. En este caso, es importante que la dirección utilice un dominio de correo electrónico agregado a Yandex 360.

Plantilla de ejemplo:

"yandex_login";"external_email"
"ivan.ivanov";"i.ivanov@example.com"
"marina.makarova";"m.makarova@example.com"

Para más detalles, consulte el artículo: https://yandex.ru/support/business/migration/mail/microsoft.html.

Puede agregar hasta 20.000 inicios de sesión de empleados en un archivo. Si la organización tiene más empleados, puede crear varios archivos más, usar el botón “+ Nueva migración” y agregar más usuarios al “horno” de migración. Todas las migraciones se realizarán en paralelo.

Guarde el archivo CSV en codificación UTF-8: para ello, en Microsoft Excel, haga clic en “Guardar como” → CSV-UTF8. Importante: si guarda un archivo con una codificación diferente, no se reconocerá correctamente.

Realizar una migración

Después de una larga etapa preparatoria, solo queda lanzar el asistente de migración. Y si recuerdas los tiempos en los albores de la juventud brumosa, cuando la nieve ardía y se apagaba con paja, entonces este no sería un maestro, sino un mago, un mago de la migración. Entonces digamos: “Abracadabra” 🙂

  1. Vaya al panel de control de Yandex 360 para empresas: https://admin.yandex.ru.

  2. Busque la sección “Migración” en la configuración general.

  3. Seleccione el elemento “Letras”.

  4. Haga clic en “Nueva migración”.

  5. En la etapa “Preparar cuentas”, confirmamos que las cuentas ya han sido creadas y hacemos clic en “Finalizar” → “Siguiente”.

  6. En el paso “Seleccione desde dónde desea migrar los correos electrónicos”, seleccione Microsoft 365.

  7. Descargamos el secreto en formato JSON, que realizamos según las instrucciones de la sección “Pasos preparatorios en el lado de Microsoft 365”. Haga clic en Siguiente”.

    Tenga en cuenta que el secreto se aplica a todas las migraciones en ejecución. Si ya ejecutó una migración antes y luego cargó un nuevo secreto, se aplicará a la migración actual y a la nueva. Esto tiene en cuenta los permisos del secreto: si el nuevo secreto solo tiene acceso a las letras (Mail.Read y Mail.ReadBasic.All se han agregado a los permisos de la API) y tiene la migración de archivos en ejecución, se detendrá.

  8. Cargue un archivo CSV con una lista de direcciones de correo electrónico de los usuarios. Haga clic en Siguiente”. Por primera vez, recomiendo especificar un pequeño número de usuarios para comprobar si todo está bien con la sintaxis y el secreto.

  9. Finalmente solo queda hacer clic en “Iniciar migración”. Al igual que “Enciende la corriente” 🙂 ¿Quién puede adivinar de qué serie de televisión tan antigua proviene esta cita?

  10. Monitoreamos los números y descargamos periódicamente los detalles. Si algo anda mal, descubrimos la causa del error y lo solucionamos. Si no funciona, abrimos una solicitud al soporte técnico.

  11. Cuando todo se haya iniciado correctamente con un pequeño conjunto de pruebas, es hora de hacer clic en “+ Nueva migración” e introducir un archivo CSV grande y “gordo” para ejecutar todos a la vez.

    Pero recuerde que un archivo no puede contener más de 20.000 líneas (también conocidos como usuarios). Si tu empresa tiene más de 20.000 empleados, tendrás que preparar varios expedientes.

  12. Cuando se transfieran todas las letras y llegue la hora X, todo lo que queda es cambiar el registro MX de Exchange Online Protection a Yandex 360. Y si hace clic en el botón “Detener migración”, el migrador se apagará y dejará de sincronizar nada.

Preguntas más frecuentes

Durante la migración, el problema está, por supuesto, en los detalles: hay cosas que se mueven y permanecen, y hay cosas que cambian un poco o que en realidad no se mueven. Hablaré de estos matices a continuación.

  • Al migrar desde Exchange Online, el migrador recibe una lista de todas las carpetas. Transferirá todos los elementos, pero sólo las letras podrán “digerirse” y mostrarse correctamente. Pero, por ejemplo, con los eventos del calendario tendrás que buscar otros métodos: podría ser la migración manual a través de la interfaz web, Yandex Connector o escribir scripts a través de la API CalDAV.

  • Es importante decir que el migrador transfiere las carpetas “Tareas”, “Contactos” y “Calendario”, pero en el interior todos los objetos se muestran “torcidos”. De hecho, en Exchange Online y Exchange Server, todas las entidades se almacenan directamente en el buzón, no sólo las cartas. En Exchange, estas entidades (correos, eventos de calendario, contactos y tareas) se dividen en objetos de diferentes clases y subclases. Y el migrador Yandex 360 puede analizar letras y coloca el resto de los objetos lo mejor que puede analizar.

La imagen parece

La imagen parece “eventos del calendario”.

  • Si hay cartas de invitación con un evento del calendario en formato ICS en la Bandeja de entrada, se realizará el procesamiento estándar al importar dicha carta. Esto creará un evento de calendario a partir de dicho correo electrónico. Permítanme enfatizar que los eventos del calendario no se mueven, pero cuando las cartas de invitación se mueven, se crean reuniones en base a ellas. Este mecanismo funcionará para reuniones planificadas para el futuro. Estamos hablando de objetos de la clase IPM.Schedule.Meeting.Request

  • Los mensajes de más de 35 MB no se transfieren.

  • Los mensajes del buzón de Exchange Online Archiving adicional no se transfieren. Si necesita transferir dichas cartas, primero recomiendo moverlas del buzón de archivo al buzón principal.

  • Las cartas tienen dos fechas importantes: cuando se reciben (recibido) y cuando se envían (enviado). Después de la migración, las cartas se almacenan en un buzón mediante un servicio de transporte interno. Como resultado, la fecha de salida sigue siendo la misma que en el momento de enviar la carta, pero la fecha de recepción cambia a la fecha en que el migrante (o, más precisamente, el servicio de transporte) puso la carta en el buzón.

    Creo que esto muestra claramente por qué actualmente se pierde la fecha de entrega de una carta, que el usuario ve en la interfaz web de Yandex Mail o en un cliente de correo electrónico que utiliza el protocolo IMAP.

    Recibido de 5rvcduy467kgh5zd.vla.yp-c.yandex.net (5rvcduy467kgh5zd.vla.yp-c.yandex.net (2a02:6b8:c0d:2b05:0:5e2b:9cba:0))
    por correo-nwsmtp-mxback-producción-main-14.vla.yp-c.yandex.net (mxback/Yandex) con ID HTTP enPBZW07k8c0-oJ7cQhdY
    para nombre de usuario@ejemplo.com; Sábado, 23 de marzo de 2024 00:55:36 +0300
    X-Yandex-Fwd: 1
    X-Yandex-Spam: 1
    Recibido de nombre de usuario@outlook.office365.com (())
    por correo.yandex.ru con identificación POP3 trPsEMFMu0U0
    para 1130000080508462@8000722836; Sábado, 23 de marzo de 2024 00:55:36 +0300
    Servidor X-yandex-pop: outlook.office365.com
    X-yandex-rpop-id: 8000722836
    X-yandex-rpop-info: nombre de usuario@outlook.office365.com
    Nombre de carpeta X-yandex-rpop: SW5ib3g=
    X-Yandex-Skip-Calendar-Event: verdadero
    Recibido de BN6PR11MB1971.namprd11.prod.outlook.com (2603:10b6:404:ff::10)
    por BL0PR11MB3155.namprd11.prod.outlook.com con HTTPS; Mar, 23 de febrero de 2021 20:08:36 +0000

  • Un momento para Outlook y otros usuarios de clientes de correo electrónico. Si selecciona la fecha de creación (creado), entonces será la fecha de sincronización en el cliente. No olvide que en la “dulce pareja” Exchange + Outlook, la fecha de creación de un objeto de la clase “letra”, IPM.Note, se sincroniza mediante el protocolo MAPI. Esta es la fecha en que apareció la carta en la base de datos de Exchange y en el cliente Outlook. Pero cuando se utiliza el protocolo IMAP, esto ya es la fecha guardada del imap, es decir, la fecha en la que el cliente Outlook creó una copia local del objeto de clase “letra” IPM.Note.

    Arriba está el encabezado de una carta que se entregó al buzón de correo de un usuario de Exchange Online en el año 2021, olvidado hace mucho tiempo. Luego, al transferir la carta, también se anotó Yandex Mail. Preste atención a los “artefactos” que sugieren que recibimos la carta a través de la API REST, supuestamente de la dirección nombre de usuario@outlook.office365.com. La migración en sí se llevó a cabo en marzo de 2024.

  • Durante la migración, los contactos personales comienzan a completarse en función del análisis de las direcciones de los destinatarios en las cartas de la carpeta “Enviados”. Luego se utilizarán como contactos sugeridos. El usuario puede desactivar este comportamiento en la configuración de contactos; esto requiere que el usuario desmarque “Recopilar automáticamente” en sus contactos.

  • ¿Cómo agregar cajas al horno de migración? Debe preparar un nuevo archivo CSV con otro grupo de usuarios, hacer clic en “+Nueva migración” y especificar el nuevo archivo. En este caso, no es necesario detener toda la migración; simplemente agregue archivos CSV con usuarios nuevos que no repitan.

  • ¿Es posible reiniciar toda la migración? Si, esto se puede hacer. Si decide hacer clic en “Detener” durante el proceso de migración, la migración se detendrá para todos los usuarios. Luego puede hacer clic en “+Nueva migración”. No es necesario subir un nuevo secreto.

    Puede especificar usuarios nuevos y actuales. Con los actuales el proceso inicial de análisis de cartas tardará un poco más, ya que tendremos que comparar el contenido del buzón con lo que vamos a descargar de Exchange Online para evitar duplicados. Todo esto sucede automáticamente. Pero la etapa inicial_sync más larga pasará mucho más rápido porque las cartas antiguas ya están en el buzón.

  • El proceso de migración se realiza en paralelo en varias docenas de cajas. El número total depende del tamaño de las cajas, la cantidad de elementos que contienen y la velocidad de carga desde Exchange Online. Este proceso está completamente automatizado.

Emisión de derechos granulares para un migrante en el servicio Exchange Online

En esta sección, discutiremos la situación en la que es necesario otorgar a los migratorios derechos menos que plenos sobre el contenido de todos los buzones de correo que se indican en la ayuda principal.

¿Qué situaciones podrían ser estas?

  • Usted es la oficina de representación rusa de una organización extranjera. Una organización extranjera tiene inquilinos tanto para los empleados de la Federación de Rusia como para todos los demás, incluidos los empleados de la unidad principal. Al mismo tiempo, planea migrar solo los datos de los empleados rusos; en consecuencia, los derechos sobre el contenido de los buzones de correo de todos los empleados son redundantes. Sólo el departamento de TI de la empresa matriz tiene derechos de administrador global y no quieren concedértelos.

  • Tienes un grupo de empresas que tiene un único inquilino bajo la dirección de la empresa matriz. Como resultado de escenarios de fusiones y adquisiciones, su organización (una de muchas) se divide y planea migrar solo el contenido de los empleados de su organización. Una vez más, la empresa matriz tiene derechos de administrador global y no está dispuesta a otorgar derechos a todos los buzones de correo.

Desde el punto de vista de la seguridad de la información, tienen toda la razón, ya que mediante el registro de la App con los derechos especificados anteriormente se puede descargar el contenido de todos los buzones.

¿Qué hacer en tal situación? Sugiera que el administrador global reduzca los derechos de registro de la aplicación en el nivel del propio servicio Exchange Online. Hay un artículo detallado sobre esto: https://learn.microsoft.com/en-us/graph/auth-limit-mailbox-access. Aquí proporcionaré los pasos clave y las explicaciones.

Entonces, la aplicación bajo la cual se conecta el migrador se conecta desde sí misma y no desde cuentas de usuario. Utiliza Oauth 2.0 para autenticación y credenciales, que cargamos mediante un archivo JSON.

La aplicación obtiene acceso de todo el servicio a todos los buzones. Estos son los derechos que aparecen cuando emitimos mail.read y mail.readbasic.all.

Limitemos los derechos por parte de Exchange Online. Procedimiento:

  1. Creamos un grupo en la seguridad habilitada para correo de Microsoft 365 y lo llenamos con usuarios cuyos buzones de correo deben migrarse o grupos que ya incluyen a dichos usuarios.

  2. Conéctese a Exchange Online PowerShell.

  3. Limitamos los derechos para el ID de la aplicación solo a este grupo ejecutando el cmdlet:

New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId migrationusers@example.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers."

En él:

  • AppID es el mismo AppID que recibimos cuando configuramos el registro de la aplicación.

  • PolicyScopeGroupId: dirección de correo electrónico del grupo recién creado

  • -accessRight: debe especificar RestrictAccess solo a los buzones de correo del grupo especificado en el parámetro PolicyScopeGroupId

  1. Comprobamos la presencia o ausencia de acceso a los buzones. Para hacer esto, ejecute el cmdlet:

Test-ApplicationAccessPolicy -Identity user1@example.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b

El resultado indicará elocuentemente si la aplicación especificada tiene algún derecho sobre el buzón deseado.

Con este sencillo procedimiento, varias antiguas oficinas de representación de organizaciones extranjeras pudieron migrar de forma centralizada el correo de Exchange Online a Yandex 360 para empresas. Aunque inicialmente la empresa matriz no tenía muchas ganas de emitir todos los derechos.

Conclusión

En este artículo, describí detalladamente los pasos importantes necesarios para migrar el correo de Exchange Online a Yandex 360 for Business. Aprendiste cómo funciona la migración, cómo ejecutarla de forma centralizada y cómo limitar los derechos del inmigrante.

Si aún tiene preguntas, asegúrese de hacerlas en los comentarios, estaré encantado de responderlas. Y en el próximo artículo te diré cómo migrar archivos de OneDrive for Business y SharePoint Online a Yandex Disk.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *