Veilig Mailen voor Outlook installeren (Office 365 deployment)

Met SecuDoc Veilig Mailen voor Outlook implementeert u een oplossing waarmee u uw organisatie en haar gebruikers kunt beschermen tegen de risico's die komen kijken bij het gebruik van e-mail en kunnen resulteren in een datalek. Onderstaande handleiding beschrijft de installatiestappen die nodig zijn om Veilig Mailen voor uw organisatie te installeren en onder de gebruikers uit te rollen.

De volledige installatie duurt 60-90 minuten. Houdt rekening met wachttijd benodigd voor de uitrol van zaken in Office 365, bijvoorbeeld de Outlook Add-in (tot max. 48u).

Deze handleiding is bedoeld voor technische beheerders van de Office 365 omgeving. Er is tijdens de installatie ook beheertoegang tot SecuDoc benodigd (een inlogaccount met beheerrechten).

Installatie van Veilig Mailen voor Outlook bestaat uit de volgende stappen:

1. Voorbereiding
2. Aanmaken van een Entra ID-groep
3. Deployment van unified Office Add-in
4. Koppelen van uw domeinnamen
   
5. Koppelen van uw mailserver
6. Instellen van Mail flow rule (discarding)
7. Koppelen van Entra ID (optioneel)
8. Configureren van Veilig Mailen
9. Uitvoeren van een validatietest

1. Voorbereiding

Door de volgende voorbereidingen te treffen, kunt u straks snel en probleemloos Veilig Mailen voor Outlook in gebruik nemen.

1. Voer de benodigde DNS-records door
   Laat uw domeinbeheerder de volgende DNS-instellingen doorvoeren op uw domeinnaam:
   

   secudoc.uwdomeinnaam.nl	CNAME	default.secudoc.app.
   * (SPF-record)	TXT	include:_spf.secudoc.app (toevoegen aan bestaande record)

2. Zorg ervoor dat Veilig Mailen is geactiveerd in uw SecuDoc-omgeving

   Uw toegang tot Veilig Mailen dient te worden geactiveerd door het juiste abonnement aan te schaffen. U kunt controleren of Veilig Mailen is geactiveerd op uw account door als beheerder in SecuDoc in te loggen en te controleren of onder Instellingen het tabblad Veilig Mailen wordt weergegeven.

3. Inventariseer welke gebruikers moeten worden aangesloten

   U kunt met Veilig Mailen kiezen om de hele organisatie aan te sluiten of juist alleen bepaalde gebruikers(groepen).

4. Maak een facilitair mailadres aan in Office 365
   Zorg ervoor dat er een facilitair mailadres beschikbaar is die gebruikt kan worden om mails te verzonden die niet specifiek vanuit een gebruiker komen, zoals een verificatiecode of een bevestiging. Advies: transfer@uwdomeinnaam.nl

2. Aanmaken van een Mail Enabled Security Group

Door een Mail Enabled Security Group kunt u gebruikers straks ineens toevoegen aan de volgende diensten door ze simpelweg aan de groep toe te voegen:

• Automatische uitrol van Veilig Mailen Add-in naar Outlook
• Toegang tot de webapp via EntraID (optioneel)

Maak eerst een "SecuDoc Users"-groep aan (optioneel):
Volg dit onderdeel alleen als u alleen een beperkte groep binnen uw organisatie wilt aansluiten op SecuDoc en Veilig Mailen. Wilt u iedereen aansluiten? Dan kunt u deze stap overslaan en scrollen naar "Maak een "SecuDoc Admins"-groep aan".

1. Log met beheertoegang in op de Exchange admin center (https://admin.exchange.microsoft.com/).
2. Ga in de linkerbalk naar Recipients > Groups en klik op Add a group.
3. Kies voor het type Mail-enabled security group en druk op Next.
4. Geef de groep de naam SecuDoc Users en druk op Next.
5. Koppel één of meerdere eigenaars (owners) en druk op Next.
6. Koppel één of meerdere leden (members) en druk op Next.
7. Geef een e-mailadres mee, bijv. secudoc_users@organisatienaam.nl en zet een vinkje bij Approval:
   ✅ Require owner approval to join the group, druk vervolgens op Next.
8. Druk op Create group om de groep aan te maken.
9. Klik op de groep en zet bij Settings de functie aan en druk op Save:
   ✅ Hide this group from the golbal address list.

Maak een "SecuDoc Admins"-groep aan:

1. Indien nog niet ingelogd, log met beheertoegang in op de Exchange admin center (https://admin.exchange.microsoft.com/).
2. Voeg (nog) een groep van het type Mail-enabled security group toe en druk op Next.
3. Geef de groep de naam SecuDoc Admins en druk op Next.
4. Koppel één of meerdere eigenaars (owners) en druk op Next.
5. Koppel één of meerdere leden (members) en druk op Next.
6. Geef een e-mailadres mee, bijv. secudoc_users@organisatienaam.nl en zet een vinkje bij Approval:
   ✅ Require owner approval to join the group, druk vervolgens op Next.
7. Druk op Create group om de groep aan te maken.
8. Klik op de groep en zet bij Settings de functie aan en druk op Save :
   ✅ Hide this group from the golbal address list.

Indien u gebruikers van Veilig Mailen nog wil scheiden van de normale SecuDoc-gebruikers (bijv. om beperkter/in pilot aan te bieden), maak dan een extra groep aan genaamd SecuDoc SMUsers.

3. Deployment van unified Office Add-in

De unified Office Add-in kan via Office 365 worden uitgerold naar alle gebruikers in de gebruikers Mail Enabled Security Group/Entra ID-groep, zodat nieuwe gebruikers binnen 24u na aanmaken van account automatisch de Veilig Mailen Add-in in hun Outlook krijgen. Om de Office Add-in uit te rollen naar uw gebruikers volgt u de volgende stappen:

1. Navigeer naar uw Office 365 beheeromgeving (https://admin.microsoft.com/).
2. Kies in het linker zijmenu voor "Instellingen" > "Geïntegreerde apps".
3. Druk op de knop "Aangepaste apps uploaden".
4. Kies bij App-type voor "Office invoegtoepassing".
5. Kies de optie Koppeling naar manifestbestand opgeven en voer de URL https://outlook.sm.secudoc.app/manifest.xml in.
6. Druk op Valideren en druk na succesvolle validatie op Volgende.
7. Kies de aangemaakte groep en druk op Volgende.
8. Bekijk de samenvatting en druk op Volgende en daarna op Voltooien.
9. De SecuDoc Add-in wordt na enige tijd automatisch beschikbaar voor gebruikers.

Het kan tot 24u duren voordat de Add-in zichtbaar is voor gebruikers in Outlook Web en tot 48u voordat deze zichtbaar wordt in Outlook Desktop App voor Windows en Mac.

4. Koppelen van uw domeinnaam

Klik op de link voor de handleiding om uw domeinnaam te koppelen: Koppelen van uw domeinnaam

Het koppelen van uw domeinnaam is essentieel om door te gaan met de installatie.

5. Instellen van Inbound connector

Door een Inbound Connector te configureren, geeft u SecuDoc toegang om e-mails te verzenden via

uw Office 365 omgeving. Log hiervoor in op https://admin.exchange.microsoft.com/ met beheerrechten.

1. Klik op Mail flow > Connectors > Add a connector
   
2. Kies in het volgende scherm voor "Your organization's email server" en druk op Next.
   
3. Geef de connector een naam. We adviseren "SecuDoc In" maar als u een andere naam wilt die duidelijker is dan kunt u deze hier instellen.
   
4. Authenticeer de sent mail configuratie door te kiezen voor de eerste optie ("By verifying that subject name on the certificate...") en voer het domein in dat u heeft geconfigureerd in stap 2 (bijv. secudoc.uworganisatie.nl).    
5. Bevestig de configuratie. U heeft de SecuDoc Inbound connector succesvol toegevoegd.
   Let op; het kan tot 10 minuten duren voordat de inbound connector operationeel is. Faalt de validatietest? Ga dan door naar stap 4 en keer hier later terug om de validatietest af te maken.
6. Ga als Beheerder in SecuDoc naar Instellingen > E-mailinstellingen.
   
7. Schakel "Gebruik eigen mailserver" in.
8. Open "Geavanceerde instellingen" en kies hier desgewenst het te gebruiken facilitaire e-mailadres (het afzendadres dat gebruikt wordt voor o.a. verificatiecodes).
9. Nadat u op “Opslaan” heeft gedrukt, worden uw instellingen gecontroleerd. Wanneer uw Inbound

   Connector en SecuDoc instellingen goed zijn geconfigureerd, krijgt u de melding “Uw mailserver is

   ingesteld”. Controleer of u een testbericht van SecuDoc heeft ontvangen in uw Outlook mailbox.

   Slagen niet alle tests? Controleer dan in Exchange of uw Inbound Connector goed is ingesteld of

   probeer het later opnieuw.

6. Instellen van Mail flow rule (discarding)

Om ervoor te zorgen dat Veilige Mails alleen via de SecuDoc API worden verzonden, dient bij een veilige mail een regel te worden ingesteld die het daarnaast 'normaal' uitsturen van de mail blokkeert/verwerpt.

1. Klik op Mail flow > Rules > Add a rule > Create a new rule.
   
2. Voeg de volgende eigenschappen toe aan de nieuwe regel.
   • Name: "SecuDoc Discard (Veilig Mailen)"
   • Apply this rule if: "The message headers..." "include any of these words"
     • 'X-SecuDoc-Discard' message header includes '1'
   • Do the following: "Block the message" "delete the message without notifying"
      
3. Druk op "Next", "Enforce" en "Next", en vervolgens Finish om de op te slaan.
4. Klik vervolgens in het overzicht op de regel zelf en klik op Enable om de regel in te schakelen.

Gebruikt uw organisatie een mail flow rule voor handtekeningsoftware zoals Exclaimer? Dan adviseren wij om de mail flow rule van SecuDoc bovenaan te zetten (om ervoor te zorgen dat gevoelige informatie niet langs Exclaimer komt) én om bij de mail flow rule in tab Settings de ✅ "Stop processing more rules" in te schakelen.

7. Koppelen van Entra ID (optioneel)

Door Entra ID te koppelen kunt u uw gebruikers eenvoudig toegang geven tot SecuDoc via hun Microsoft werk-account (Active Directory, hierna: AD) zonder dat ze hoeven in te loggen met een aparte SecuDoc-login.

U kunt onze Entra ID koppeling alleen gebruiken wanneer al uw SecuDoc beschikken over een Office 365 E3/E5-licenties/Office 365 Business Premium of hoger.

1 Het Metadata-bestand ophalen

1. Log in op SecuDoc met een beheerdersaccount.
2. Ga naar Instellingen > Active Directory.
3. Klik op Download bij SecuDoc metagegevens en sla het metadata.xml-bestand in uw Downloads-map op zodat u het eenvoudig terug kunt vinden.

2 Een Bedrijfstoepassing / Enterprise App maken

1. Laat het SecuDoc-venster open (u heeft deze later weer nodig) en open in een ander venster Entra (https://entra.microsoft.com/) met een beheeraccount.
2. Ga in het linker menu naar Toepassingen > Bedrijfstoepassingen en kies in het venster voor Nieuwe Toepassing.
3. Klik op Uw eigen toepassing maken, voer een naam van de app in (bijv. SecuDoc) en kies voor "Een willekeurige andere toepassing integreren die niet aanwezig is in de galerie (niet-galerie)" en bevestig met Maken.

3 Gebruikers aan de Bedrijfstoepassing toewijzen

1. Kies in het Overzicht voor 1. Gebruikers en groepen toewijzen.
2. Klik op + Gebruiker/groep toevoegen, klik op Niets geselecteerd en selecteer hier de gemaakte groepen (SecuDoc Users, SecuDoc Admins) en bevestig met Selecteren en Toewijzen.

4 Metadata-bestand uploaden en SAML instellen

1. Ga terug naar het Overzicht en kies voor 2. Eenmalige aanmelding en kies hier voor SAML.
2. Klik op Metagegevensbestand uploaden en selecteer het eerder opgeslagen metadata.xml bestand in uw Downloads-map en klik op Toevoegen en vervolgens op Opslaan. U kunt dit zijnpaneel nu sluiten.
3. Klik bij 2. Gebruikerskenmerken en claims op Bewerken.

5 Claims toevoegen

1. Klik op Een groepsclaim toevoegen.
2. Selecteer hier "Groepen die zijn toegewezen aan de toepassing", en laat Bronkenmerk staan op "Groeps-id". Klik op Opslaan.
3. Klik op Een nieuwe claim toevoegen.
4. Geef de claim de naam "Phone", naamruimte mag leeg blijven, Bron is "Kenmerk" en bij Bronkenmerk selecteert u het telefoonveld van de gebruiker (user.mobilephone), en vervolgens drukt u op Opslaan.

6 Federatieve link in SecuDoc toevoegen

1. Ga terug naar de bedrijfstoepassing SecuDoc en klik op Eenmalige aanmelding.
2. Kopieer 3. SAML-certificaten de link "App-URL voor federatieve metagegevens".
3. Plak in SecuDoc de link voor federatieve metagegevens.

7 De Object ID's van gebruikers- en beheergroepen in SecuDoc toevoegen

1. Ga in Entra naar Groepen > Alle groepen en kopiëer de Object ID's van de hiervoor genoemde gebruikersgroep en beheerdersgroep naar respectievelijk de Gebruikers en Beheerders velden in SecuDoc (bij 3. Configureer uw rechtengroepen). Het is evt. mogelijk om komma-gescheiden meerdere Object ID's per veld in te voeren.

8 AD activeren en validatietest

1. Klik in SecuDoc op Opslaan om AD te activeren voor uw domeinnaam.
2. U krijgt nog de vraag om te authentiseren, klik op de knop Authentiseren met Active Directory.
3. Er verschijnt een successcherm. Vanaf nu is het mogelijk om met Active Directory in te loggen via de URL van je SecuDoc-omgeving.

8. Configureren van Veilig Mailen

In tabblad Instellingen > Veilig Mailen kunt u als beheerder van SecuDoc uw Veilig Mailen afstellen. Hier kiest u onder andere:

• Of bij detectie van risico's alleen gewaarschuwd moet worden of Veilig Mailen automatisch ingeschakeld moet worden.
• Op welke gevoelige informatie-categorieën en risico's gescand moet worden.
• Welke potentieel gevaarlijke bestanden uitgefilterd moeten worden.

9. Uitvoeren van een validatietest

Om te controleren dat de installatie juist is uitgevoerd en normale e-mails nog via de normale route blijven lopen, test u de volgende zaken (advies om op één account de Add-in te sideloaden om direct te kunnen testen):

1. Versturen van een Veilige Mail naar een extern mailadres.
2. Versturen van een normale mail naar een extern mailadres.

Als bovenstaande tests geslaagd zijn, is Veilig Mailen klaar voor gebruik.