FileShare Klassifizierung für O365 Migrationen

8. Türchen

Wir haben uns nun auf Office 365 vorbereitet und wissen, was es grundsätzlich kann – und auch nicht kann hinsichtlich der verfügbaren SharePoint Online PowerShell Befehle. Was fehlt uns nun noch? Die Daten!

Also wollen wir uns heute im ersten Teil den FileShare als Migrationsquelle nach Office 365 anschauen. Viele Firmen sagen mir immer wieder: „Wir können nicht migrieren, weil wir so viele Daten auf dem FileShare haben und wir wissen nicht, ob da sensible Daten dabei sind oder nicht.“ Also wird nicht migriert! Was viele aber gar nicht wissen, Microsoft liefert bereits seit Windows Server 2003 R2 den File Server Resource Manager (FSRM), der den Speicherplatz auf Laufwerken überwacht und auch verhindert, dass bestimmte Dateitypen auf dem Laufwerk abgelegt werden können.

Mit der Zeit wurden diesem Tool immer mehr Funktionen und Richtlinien spendiert, sodass es mittlerweile (seit 2008 R2) auch Daten in FileShares anhand ihres Inhalts klassifiziert kann. Sogar Verschiebe-Aktionen können anhand dieser Klassifizierungen automatisiert vorgenommen werden. Natürlich kann er noch mehr, aber für eine „Sortierung“, um a) sichere Daten zum Migrieren von b) Archivdaten oder sensiblen Daten zu trennen, reicht uns diese Klassifizierungs- und Verschiebe-Funktionalität völlig aus.

Wir schauen uns dies am neuen Windows Server 2016 an. Zunächst müssen wir den Resource Manager über die Management Konsole als Server Rolle aktivieren.

01-addrole

Unter dem Punkt „File and Storage Services“ > „File and iSCSI Services“ müssen wir die „File Server“ sowie „File Server Resource Manager“ Rolle aktivieren. Damit müssen automatisch ein paar zusätzliche Features aktiviert, wie im Screenshot zu sehen ist.

02-addrole

Wir klicken uns weiter durch den Dialog und lassen die Installation abschließen. Anschließend öffnen wir den Resource Manager über die Management Konsole und ich empfehle besonders für den produktiven Betrieb ein paar Grundsätzliche Einstellungen vorzunehmen.

04-fsrm

05-fsrmDies sind die Email-Einstellungen, Ablageorte für Reports und ein automatischer Klassifizierungs-Zeitplan.

06-fsrmWarum ist das wichtig? Ganz einfach! Auf aktiven FileShares sollte

  1. kontinuierlich eine Klassifizierung stattfinden, um Dateien mit Metadaten anzureichen und gegebenenfalls an den richtigen Ablageort automatisch zu verschieben
  2. über Email darüber informiert werden, falls eine automatische Verschiebung stattfand, damit man weiß, wo die Datei nun hin gelangt ist
  3. generell eine Protokollierungen stattfinden, damit man die Dateiverschiebung nachträglich nachvollziehen kann.

Für unser Demo Szenario ist auch eine einfache einmalige Aktion in Ordnung, um Dateien in die richtigen Migrationsordern zu verschieben.

Dieses Szenario der Datensortierung wollen wir nun in drei Schritten konfigurieren:

  1. Im Classification Manager müssen Eigenschaft definieren, die wir in Regeln einbauen wollen. Das heißt, diese Eigenschaftspaare aus Kategorie und Wert werden dann einer Datei oder Ordner hinzugefügt.
    07-fsrm
    08-fsrm
  2. Die oben definierten Eigenschaften binden wir nun in eine Regel ein. Wir vergeben einen entsprechenden Namen und wählen den Ort aus, wo die Regel angewendet werden soll.
    09-fsrm
    10-fsrm
    11-fsrm
    Als nächstes binden wir unsere Werte ein. Für dieses Szenario lasse ich nach den Strings „Oeffentlich“ und „NUR FUER DEN DIENSTGEBRAUCH“ suchen. Werden diese mindestens einmal im Dokument gefunden, dann soll unser Resource Manager die Eigenschaft „O365-Migration-Readiness“ mit dem Wert „O365-Migration-Ready“ hinzu. Zusätzlich suche ich exemplarisch noch nach dem Wert „Vertraulich“ und klassifiziere es entsprechend mit „Nicht O365 Ready“.
    12-fsrm
    Alternativ kann man noch definieren, ob unsere Metadaten existierende Informationen überschreiben oder zusätzlich aggregiert werden sollen (was neu in Windows Server 2016 ist).
    13-fsrm
  3. Im letzten Schritt wollen wir, dass die Daten nicht nur mit Metadaten angereichert werden, sondern zusätzlich sollen die Dateien basierend auf ihrer Klassifizierung in entsprechende Ordner verschoben werden. Dies macht eine anschließende Migration über die High Speed API extrem einfach. Also erstellen wir uns für unser Szenario zwei Aktionsaufgaben.
    14-fsrm
    Auch hier vergeben wir den Aktionen wieder aussagekräftige Namen und den Speicherort, auf den die Aktion angewendet werden soll. Interessant wird es nun auf dem Aktions-Tab. Dort könne wir die Dateien verschlüsseln lassen, „Custom Actions“ wie lokale Skripte ausführen oder die „File Expiration“ auswählen, was wir auch tun. Bitte nicht verwirren lassen. Wir können so natürlich veraltete Dateien ganz einfach auf ein Archiv verschieben. Aber für die Migration nutzen wir diesen kleinen Trick, um die zu migrierenden Dateien in die richtigen Ordner zu verschieben. Der muss also noch in diesem Tab als Zielordner angegeben werden.
    16-fsrm
    Wichtig ist nun noch die Konfiguration, wann die Aktion ausgeführt werden soll, also wann unsere vorher definierte Eigenschaft am Dokument gefunden werden. Dies ist ein Real-Time Scanning, wovon wir in SharePoint Online aktuell noch sehr weit entfernt sind.
    17-fsrm
    Der Tab mit den Notifications und dem Report-Ablageort spielt eine Rolle für die eingangs erwähnte Empfehlung bei produktiven Umgebungen. Beim Schedule-Tab ist noch interessant zu erwähnen, dass neben regelmäßigen Scans auch die Aktion sofort bei neu hinzugefügten Dateien durchgeführt werden kann.

Nun müssen wir die Aktionen nur noch direkt ausführen, damit wir gleich ein Ergebnis sehen. Dies ist bei kleinen FileShares in der Regel in wenigen Sekunden erledigt. Als Ergebnis erhalten wir folgende Ordnerstruktur:

21-fsrm

Wir sehen also, an die Datei wurde im Tab „Classification“ unsere definierte Eigenschaft „O365-Migration-Readiness“ mit dem Wert „O365-Migration-Ready“ angehängt, weil in der Datei der String „Oeffentlich“ gefunden wurde. Daraufhin hat der Resource Manager die Datei in den von mir definierten Zielordner „O365-Migration“ (siehe Hervorhebung in gelb) verschoben. In Orange hervorgehoben sehen wir, von welchem Server die Datei kommt und zu welchem Scan/Aktionszeitraum dies geschah. Danach wird dann (grün hervorgehoben) die originale Ordnerstruktur nachgebaut, wo die Datei ursprünglich lag. Die Metadaten, die ich mir oft in FileShares durch eine Ordnerstruktur aufgebaut habe, bleibt also erhalten. Dennoch habe ich die sensiblen von den sicheren Daten getrennt und kann nun im nächsten Schritt ein Migrationspaket bauen, um die sicheren Dateien nach O365 zu migrieren. Aber dazu später mehr…

Im obigen Teil haben wir lokale Eigenschaften definiert. Aber wer von euch hat mehr als nur einen FileShare? Richtig, für gewöhnlich habe wir mehrere FileShares und lokale Eigenschaften müssten so mehrfach definieren. Dafür haben wir die Dynamic Access Control, die wir über das Active Directory Administration Center erreichen. Damit können wir zentral von einem Domain Controller Eigenschaften veröffentlichen, um sie anschließend einfach auf jedem FileShare auswählen zu können. Die Dynamic Access Control im Administration Service sollte standardmäßig auf einem DC mit Active Directory Services installiert sein.

Von da aus wählen wir die Resource Properties und sehen, dass schon einige existieren, die wir nun aktivieren können. Wir können hier aber auch neue Eigenschaften definieren, wie schon oben als lokale Eigenschaft, die dann auf allen unseren FileShare Servern auftauchen.

24-fsrm

Mit dem einfach PowerShell Befehl

Update-FsrmClassificationPropertyDefinition

kann man die Synchronisation der neuen Eigenschaften forcieren oder man wartet bis zum nächsten AD Synchronisationsjob. Geht man dann wieder zum Resource Manager, so sehen wir, dass nun die beiden veröffentlichten Eigenschaften auftauchen mit dem Scope „Global“.

25-fsrm

Weiterhin haben wir die Möglichkeit, auf weitere vordefinierte (englische) Eigenschaften zurück zu greifen. Dafür gibt es von Microsoft das Data Classification Toolkit. https://www.microsoft.com/en-us/download/details.aspx?id=27123

Dieses Paket, welches aktuell noch nicht auf Windows Server 2016 Kompatibilität gebracht wurde, enthält noch weitere Eigenschaften für folgende fünf Bereiche

  • Information Privacy
  • Information Security
  • Legal
  • Records Management
  • Organizational

Weitere Details, wie ihr dieses Toolkit nutzen könnt, findet ihr auf diesem Blog von Russell Smith: http://www.biztechmagazine.com/article/2011/12/how-use-microsofts-data-classification-toolkit

Fassen wir also zusammen. Wir können den Windows Server File Resource Manager nutzen, um Ordnung in unsere FileShares zu bringen. Das heißt, sensible von sicheren Daten trennen, um so eine Office 365 Migration vorzubereiten.

Dazu definieren wir zunächst Eigenschaften und dazugehörige Werte, anhand dessen wir aufräumen wollen. Als zweites legen wir Scan-Regeln fest, die definieren, bei welchen gefundenen Informationen dieentsprechenden Dokumente mit welchen Metadaten klassifiziert werden sollen. Als drittes kommen die Aktionen ins Spiel, die auf diese Metadaten anspringen und dann bestimmte Aktionen durchführen können. Hinweis: Mit einer Custom Action über PowerShell könnte man direkt Migrationspakete erstellen lassen. Aber alles zu seiner Zeit.

„So viel Heimlichkeit, in der Weihnachtszeit…“ 😉

Happy „SharePointing“!

Zur O365Adventskalender Übersicht

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.