Exchange Online er den skybaserte utgaven av Exchange Server, med alle egenskaper som har gjort den til markedsledende e-postsystem for bedrifter. Opprinnelig delte de kodebase, men nå utvikles de videre hver for seg. Hovedfokus er skyen. Det som gjør Office 365 spesielt, er sammenkoblingen av tjenestene og deres evne til å samarbeide. I dette økosystemet danner Exchange og SharePoint fundamentet ved å levere meldingstjenester, dokumenthåndtering og lagring. Oppå dem bygger Microsoft nye applikasjoner som Planner og Teams.
Exchange Online gir en forbedret brukeropplevelse, sikrere tilgang og lavere driftsomkostninger. Miljøet beskyttes av Exchange Online Protection, som filtrerer alle innkommende meldinger for skadelig programvare, søppelpost og phishing. Disse faktorene – og det faktum at det er forholdsvis enkelt å overføre e-post til skyen – må være årsaken til at rundt 70 prosent av alle Exchange-organisasjoner benytter Exchange Online. Fremtiden for Exchange er i skyen!
En sikker meldingsinfrastruktur
De vanligste kravene til et e-postsystem er høy oppetid, helst 24/7. Brukerne bør beskyttes mot skadevare og uønskede meldinger. Det skal være bred plattformstøtte for sikker klienttilgang til postbokser og andre samarbeidsverktøy. Mekanismer for å hindre datalekkasje må være på plass, så ansatte ikke ved et mistak lar følsom informasjon sive ut av bedriften. Det bør være flere muligheter for kryptert meldingsoverføring.
Meldingssystemet må styre datatilgangen og rettigheter til å utføre bestemte oppgaver. Her er rollebasert tilgangskontroll med definerte sikkerhetstillatelser en velprøvd og effektiv metode. Du må kunne sette opp policyer for å beskytte meldinger. Det må være anledning til å oppbevare all viktig informasjon i lengre perioder i samsvar med bedriftens retningslinjer. Du må ha muligheten til å synliggjøre data for analyse og oppdagelse (eDiscovery).
Exchange lokalt og i skyen
Exchange Online håndterer disse kravene rett ut av boksen. For lokale Exchange-servere krever det en god del mer arbeid og ekspertise, foruten utgifter til maskinvare, lagring og nettverksutstyr. Med Exchange har du tre muligheter: lokal installasjon, skybasert og hybrid konfigurasjon. Valg av løsning og design bestemmes av forhold som størrelsen på virksomheten, integrasjon med andre tjenester, krav til sikkerhet og samsvar, ønske om høy tilgjengelighet og den aktuelle infrastruktur.
Exchange Server
Den største utfordringen for en lokal Exchange-infrastruktur er høy tilgjengelighet og feiltoleranse. Som et minimum trenger du to servere med en tilgjengelighetsgruppe for databaser som kontinuerlig replikerer med hverandre. Klienttilgangen styres gjennom to lastfordelere i en HA-konfigurasjon. Da er postbokser, meldingstransport og tilgang sikret. Men du har ikke gardert deg mot at datasentret går ned, noe du kan løse ved å plusse på med ett til. Samtidig stiger omkostningene, og du må ha gode kunnskaper for å administrere og vedlikeholde dette miljøet.
For beskyttelse mot søppelpost kan du installere Edge Transport-servere i perimeternettverket (DMZen). Et bedre alternativ er en skytjeneste som Exchange Online Protection. Typiske grunner til å velge en lokal løsning er: Virksomheten er svær og kan ikke migrere til Exchange Online på kort sikt. Eldre applikasjoner krever en lokal arkitektur. Forskrifter forbyr at data lagres i skyen. Bedriften ønsker å administrere alle aspekter ved meldingsmiljøet selv – inkludert maskinvare og nettverk.
Exchange Online
Exchange Online er designet for organisasjoner som foretrekker å ha e-postsystemet levert som tjeneste. Dermed slipper du å sette opp, administrere og vedlikeholde en lokal meldingsinfrastruktur. Det er plug-and-play som inkluderer høy tilgjengelighet, feiltoleranse for datasentre, sikkerhet og informasjonsbeskyttelse – med en avtale om tjenestekvalitet (SLA) på 99,9 % per år. Du får full integrasjon med andre Office 365-tjenester som SharePoint, Microsoft Teams og OneDrive.
Dette er et naturlig valg for små bedrifter uten dedikert IT-personale. E-posttjenesten henvender seg til virksomheter som administrerer identiteter lokalt eller i et rent sky-miljø. Det er kort og godt det beste alternativet for de aller fleste Exchange-organisasjoner, om du ikke velger hybrid.
Hybrid Exchange-konfigurasjon
Et hybrid Exchange-miljø slår sammen dine lokale Exchange-servere med Exchange Online, så de i alt vesentlig fungerer som én organisasjon. Det settes opp sikre kommunikasjonskanaler med gjensidig sertifikat-basert autentisering. Det er felles e-postdomener og global adresseliste. Meldinger mellom lokal og skybasert Exchange figurerer som interne. Brukere kan se hverandres kalendere med opptatt-ledig tid. De har tilgang til delte ressurser og kan tildeles rettigheter på tvers av miljøene. Postbokser kan flyttes frem og tilbake. Brukere har samme opplevelse, uansett hvor e-posten lagres.
Hybrid Exchange kan benyttes som migreringsstrategi eller som varig konfigurasjon. Dermed kan du bruke lang tid på å flytte postbokser til skyen. Løsningen er ideell for virksomheter som må ha enkelte av postboksene lokalt av hensyn til lovverk eller andre forordninger. På den måten får du også støttet gamle applikasjoner som kommuniserer med Exchange.
Office 365 før og nå
Exchange Online inngår i Microsoft Office 365, et sett med skytjenester som offisielt ble lansert i juni 2011 for 40 land. I dag betjener plattformen 249 markeder og er tilgjengelig på 44 språk, blant dem også norsk (januar 2019). Den tidlige veksten kom fra små og mellomstore bedrifter som flyttet fra en utrangert infrastruktur. Etter hvert begynte de store foretakene å gjøre seg gjeldende, tydeligvis komfortable med de driftsmessige sidene og dét Office 365 kan tilby av sikkerhet og personvern. I dag er det anslagsvis 180 millioner aktive brukere (april 2019). Forventet ved årets utgang er 210 millioner.
Opprinnelig var «tjenesten» – som Microsoft internt kaller Office 365 – ikke stort mer enn en løst sammenrasket samling applikasjoner ment til lokal bruk. Så skiftet Microsoft fokus og utviklet tjeneste-applikasjonene for skyen med tanke på massiv skalering, selv-overvåking og evnen til å reparere tjenestefeil. Parallelt gikk de i gang med å integrere tjenestene og administrasjonen tettere. Konsekvensen for Exchange er at nye funksjoner først og fremst kommer i skyen.
Administrasjonsportaler i Office 365
Administrasjonsportalene blir stadig mindre applikasjonssentrert og fokuserer på å samle funksjoner som gjelder for hele miljøet. Du oppretter brukere i Microsoft 365 administrasjonssenter. Når du tildeler en lisens, får brukeren automatisk en postboks. Da er det naturlig at du også kan oppdatere innstillingene for postboksen der og eventuelt sette en rettslig sperre. Sikkerhetsfunksjonene i Exchange er flyttet til Sikkerhets- og samsvarsenteret, så som regler for oppbevaring, hindring av datatap, overvåking og eDiscovery.
Kjapp rundtur i Exchange Online
Med forbeholdene ovenfor er det likevel på sin plass å ta en rundtur i Exchange Online med utgangspunkt i administrasjonssenteret for Exchange. I likhet med Exchange Server eksponeres ikke alle funksjoner i det grafiske grensesnittet; her som der må du inn i PowerShell. Som Exchange-administrator vil du umiddelbart kjenne deg igjen. Legg merke til funksjonene i navigasjonspanelet til venstre. Under punktet beskyttelse er det avanserte trusler, som skjermer deg mot farlige vedlegg og koblinger – en typisk integrert tjeneste du ikke har lokalt.
Mellom unified messaging og hybrid har du funksjonen servere i Exchange Server. Den mangler her av god grunn. Dette er plattform som tjeneste. Du har ingenting å gjøre med serverspesifikke innstillinger, databaser, tilgjengelighetsgrupper, virtuelle kataloger og sertifikater. Alt dette tar Microsoft seg av. Dermed behøver du heller ikke bry deg om å fikse logiske feil i postbokser eller fysisk korrupsjon i databaser. Du trenger ikke ta backup av dem, enn si ha en veldokumentert plan for gjenoppretting etter katastrofe. Livet for en Exchange-administrator er blitt enklere.
Unified Messaging er for øvrig fjernet fra Exchange Server 2019 og vil bli trukket tilbake fra Exchange Online i februar 2020. Fra det nederste menypunktet, hybrid, kan du starte veiviseren Hybrid Configuration Manager, som lar deg sette opp et hybrid Exchange-miljø. Her kan du også laste ned PowerShell-modulen som støtter godkjenning med flere faktorer, for å administrere Exchange Online på en sikrere måte.
Enkelte forskjeller i Exchange Online
Du kan bare redigere, ikke opprette brukerpostbokser under postbokser. Du får rikelig med plass for lagring. En E1-lisens gir deg en brukerpostboks på 50 GB og det samme for en arkivpostboks. For E5 økes kvoten til 100 GB, med muligheten til å utvide arkivet til ubegrenset.
Under grupper kan du velge Office 365-grupper – en samling personer du ønsker å samarbeide med, og enkelt konfigurere et sett med ressurser som disse personene kan dele. Ressurser kan omfatte en delt postboks med kalender og et dokumentbibliotek i SharePoint. Office 365-grupper er en tjeneste som benyttes blant annet av Teams og Planner. Naturligvis er det møterom og utstyr, delte postbokser (som ikke krever lisens). Overføring benyttes ikke til å flytte postbokser til en annen database, men til å migrere mellom lokal Exchange og Exchange Online i et hybrid miljø.
Her har vi et typisk eksempel på funksjoner som er flyttet til Sikkerhets- og samsvarssenteret for Office 365. Det er naturlig å inkludere innhold i SharePoint, OneDrive, Exchange, Office 365-grupper, fellesmapper og Skype for Business. Dataene i hele miljøet må beskyttes, ikke bare elementer i Exchange.
For beskyttelse mot alle typer angrep fra Internett er det også stadig henvisninger til at du skal gå over til å bruke portalen for sikkerhet og samsvar. De innbygde beskyttelsesmekanismene er langt mer omfattende enn på lokal Exchange Server, også med Edge Transport-servere. Exchange Online Protection reagerer på at meldingene som ligger i karantene her, feiler på SPF- og DKIM-kontrollen.
Brukeropplevelse og sikkerhet
Microsoft ruller ut nye funksjoner i et rivende tempo, også for Exchange og Outlook-klientene. Utviklingsavdelingene er involvert i å sette puslebitene sammen. Enkelte ganger tar det pusten fra brukerne, men faller som regel i god jord. Et genialt meldingssystem er blitt enda bedre. Svære postbokser slår godt an. Men det er også et sikkerhetsaspekt her. Dine ansatte trenger ikke lenger å rydde opp på samme måte og overføre meldinger til .PST-filer, som ligger strødd på lokale disker og filområder. Det kan være følsomme bedriftsdata det dreier seg om.
Exchange har unektelig mekanismer for å styre tilgangen for mobile enheter og opprette policyer for postboksene på dem. Du kan fjernslette hele postbokser om mobilenhetene blir borte, også selektivt tømme dem for e-post relatert til virksomheten. Men et mye bedre valg er Enhetsbehandling. I de fleste profesjonelle abonnementene følger det med MDM for Office 365 for mobil enhetsbehandling. Et enda bedre alternativ er Microsoft Intune, som inngår i Microsoft 365 Enterprise.
Med Intune kan du på den mest fingranulære måten bestemme hvilke enheter og apper som skal ha tilgang, og under hvilke betingelser. For Outlook på nettet – den webbaserte klienten – kan du begrense hva en bruker kan foreta seg fra usikkert nettverk. Alle disse funksjonene er naturligvis umiddelbart tilgjengelig straks lisensene er tildelt.
Datasentre og regioner
For å forstå høy tilgjengelighet og feiltoleranse for Exchange Online kan det være et poeng å se noe nærmere på Microsoft-skyen. Per i dag omfatter den – for Office 365 og Azure – over 100 datasentre plassert på 54 steder, forbundet med over 1000 mil med mørk fiber. Sentrene er organisert i 15 regioner.
Vi tilhører for tiden EMEA – Europa, Midtøsten og Afrika, med unntak av Storbritannia, Frankrike og Tyskland. Sentrene for denne regionen er plassert i Dublin, Amsterdam, Wien og Helsingfors. Ut på høsten åpnes det to nye regioner i Norge utenfor Stavanger og Oslo. Microsoft legger vekt på å plassere datasentralene så nær brukerne som mulig for å tilfredsstille lokale lover og forskrifter.
Fysisk sikkerhet og cyber-sikkerhet er godt ivaretatt. Microsoft har egne spesialister og råd til å skaffe seg de beste. Med jevne mellomrom henter de inn eksterne team som gransker hele miljøet nøye. En Lockbox-prosess sikrer at administratorer i datasentrene får eleverte privilegier til brukerdata bare for spesifikke oppgaver og for en begrenset periode. Alle aktiviteter loggføres.
Her kan du se hvor Microsoft lagrer kundeinnhold for min norske leietaker (tenant). Gå til Microsoft 365 administrasjonssenter. Velg Innstillinger, Organisasjonsprofil, Dataplassering. Mens PowerShell viser at tjenester som Azure AD Premium og multifaktor-autentisering kjører i Nord-Amerika.
Basert på de siste offentlige tall er det 175 000 postboks-servere for Exchange Online (september 2018) og 180 000 SharePoint-servere (mai 2019). Det lagres rundt 700 000 postbokser, hvorav 400 000 er for Outlook.com. Exchange-serverne er ikke virtualisert. Diskene er standard SATA, hovedgrunnen til rause lagringskvoter. Microsoft er i ferd med å rulle ut SSD, som ti prosent av hver enkelt database kan nyttiggjøre seg for raskere respons.
Høy tilgjengelighet og feiltoleranse
Exchange Online-postbokser replikeres kontinuerlig til flere databasekopier som er fordelt på geografisk spredte Microsoft-datasentre. Nærmere bestemt ligger hver postboks på en aktiv database som kopieres over til tre passive i samme tilgjengelighetsgruppe. Dette foregår ved at transaksjonslogger sendes over og leses inn i de passive. En av de passive databasene opererer med en tidsforsinkelse på én uke. Dermed kan man gå tilbake i tid og i verste fall spille inn alle logger til like før katastrofen inntrådte. Microsoft kaller denne metoden Native Data Protection.
Utover det tas det ingen sikkerhetskopier, noe som også hadde vært umulig med de gigantiske datamengdene. Nye tilgjengelighetsgrupper som opprettes for Exchange Online i regionen Vest-Europa, kan omfatte databaser som er fordelt over Amsterdam, Dublin, Helsinki og Wien. Sånn er sjansen for at du rammes av en driftsstans minimal. Og du har et miljø for høy tilgjengelighet og feiltoleranse du umulig kunne ha satt opp lokalt.
Databasene er aldri helt identiske ved en feilover. Andre tjenester sikrer at meldinger ikke går tapt. De to mekanismene i Exchange er sikkerhetsnett og skygge-redundans. De hyppigste feilene i Microsofts datasentre er diskkrasj, naturlig nok når det for lagring benyttes «bare en bunke med disker» (just a bunch of disks el. JBOD). Nå diskene er erstattet, oppretter Exchange automatisk databasen som lå på dem ved å kopiere over fra en annen i tilgjengelighetsgruppen – dette er et godt eksempel på hvordan programvare er tilpasset hyperskalert skydrift.
Gjenoppretting av brukerdata
Men midt opp i all denne høytilgjengelighet, hva med brukerdata som må gjenopprettes? Om de ikke ligger i mappen Slettede elementer, kan du se om du får hentet dem tilbake fra den skjulte mappen Gjenopprettbare elementer. Standard er at de oppbevares i 14 dager, som kan utvides til 30. Utover det er dataene borte. Du kan sette postboksen under rettslig sperre for å hindre at slette-operasjoner får en effekt. Du kan bruke oppbevaringsmerker med policyer for å oppbevare data lenger. Men ikke noe av dette er anbefalt som stratgegi for sikkerhetskopiering og gjenoppretting. Vårt råd i Lillevik IT er: Invester i et dedikert backup-program som Cloud Backup.
Konklusjon
Microsoft-sjef Satya Nadella refererte i sin tid til Exchange som «the gateway drug to the cloud» – inngangsporten til å bli hektet på skyen. Sånn var det for mange av oss, meg som gammel Exchange-administrator innbefattet. Du slipper å ha noe som helst å gjøre med maskinvare, lagring og nettverk. Du trenger ikke bry deg om databaser, sikkerhetskopiering og gjenoppretting. Alt dette kan du overlate til automatiserte rutiner i skyen og strikte prosedyrer for menneskelige inngrep. I stedet kan du konsentrere deg om å arbeide på applikasjonslaget og hjelpe frem bedriften til å oppnå mer.
Moderne stordrift bidrar til å senke omkostninger. Mine BI-venner kunne opplyse meg om en ytterligere fordel ved skytjenester. Det innebærer få investeringer og forutsigbare driftsutgiver, eller som de uttrykker seg: «CapEx blir konvertert til OpEx.» Det er den økonomiske siden. Men det som for alvor fikk meg besatt, var de teknologiske mulighetene til å løse opplagte problemer, kvaliteten på tjenestene og integrasjonen av dem, den rivende utviklingen og hvor enkelt det er å ta dem i bruk.
Exchange Online kan ikke vurderes for seg. Den er del av en større helhet. Til sammenlikning føles Exchange Server 2019 som gammeldags, selv om det er det beste e-postsystem som kan installeres lokalt. Men de virkelige nyvinningene vil komme i skyen. Det ser man allerede på Teams, som er den raskest voksende forretningsapplikasjon i Microsofts historie, samtidig fullstendig avhengig av Exchange Online og andre deler av miljøet i Office 365.
