Verwaltung von Hybrid Exchange Umgebungen – Pfuschzettel

Dieser Pfuschzettel ist eine Ergänzung zum Buch Microsoft 365 Business Migration und Konfiguration – Leitfaden zur Bereitstellung, Absicherung und Verwaltung von Microsoft 365 Business Premium.

Die Verwaltung von Exchange Online ist recht einfach. Insbesondere dann, wenn Sie eine reine Cloud-Only-Organisation verwalten. Die Verwaltung täglichen Aufgaben lässt sich inzwischen bequem im Microsoft 365 Admin Center durchführen.

Screenshot - Verwaltung der Mail-Attribute im Microsoft 365 Admin Center

Wenn Sie jedoch eine Legacy Active Directory Umgebung betreiben und Benutzerkonten mit Azure AD Connect synchronisieren, gibt es einige Herausforderungen. Nach dem Umzug der Exchange Postfächer zu Exchange Online werden viele Postfach-relevante Einstellungen weiterhin aus der alten Active Directory Umgebung geführt und eine eine Änderung in der Microsoft 365 ist nicht möglich. 

Wenn Sie zum Beispiel eine zusätzlichen E-Mail-Alias hinzufügen möchten, kommt es zu einem Fehler:

Screenshot - Fehlermeldung im Exchange Online Admin Center beim Ausblenden aus Adresslisten

Warum ist dies der Fall? 

Der Grund ist, dass nach der Migration der Postfächer das lokale Active Directory weiterhin die sog. Source of Authority ist. Genau aus diesem Grund haben Sie ja Azure AD Connect im Einsatz. Wenn Sie Änderungen an solchen Attributen durchführen möchten, müssen Sie die Änderungen in der lokalen Active Directory Gesamtstruktur durchführen.

Gilt dies für alle Postfacheinstellungen?

Nein. Eine Anpassung der Postfachberechtigungen, z.B. im Falle einer Urlaubsvertretung, ist ohne Probleme möglich. Der Grund dafür ist, dass Stellvertretungen und Berechtigungen im Postfach gespeichert sind und nicht direkt am Benutzerobjekt, wie es bei E-Mail-Aliasen der Fall ist.

Dies ist am Anfang ein wenig verwirrend. Damit Ihnen der Wechsel in die hybride Exchange Welt einfacher fällt, hat Alex Fields ein Cheat Sheet erstellt, dass ich Ihnen in der übersetzten Form zur Verfügung stelle. Wir nutzen beide immer wieder unsere Pfuschzettel, da man sich einfach nicht immer alles merken kann.

Die folgende Tabelle bietet eine Übersicht über die wichtigsten Aufgaben als Administrator.

Aufgabe
Lokales Active Directory
Lokaler Exchange Server
Exchange Online
Neuen Benutzer erstellen
Benutzerkonto in Active Directory erstellen
UND
Exchange Management Shell:

 

Enable-RemoteMailbox [USERNAME] `
-RemoteRoutingAddress user@tentant.mail.onmicrosoft.com

keine Aktion erforderlich
Azure AD Connect Sync ausführen

 

Start-ADSyncSyncCycle -PolicyType Delta

Vor- oder Nachnamen eines Anwenders ändern
Änderung am Active Directory Objekt
Exchange Admin Center

 

Neue E-Mail-Adresse mit neuem Namen hinzufügen und als primäre E-Mail-Adresse markieren UND die vorherige primäre E-Mail-Adresse als zusätzliche Alias-Adresse behalten

keine Aktion erforderlich
Azure AD Connect überträgt die Änderung
E-Mail-Alias hinzufügen
Active Directory Users & Computers MMC

 

AD-Attribut proxyAddresses am Benutzerobjekt

Exchange Admin Center

 

Empfänger-Postfach bearbeiten und neuen Alias hinzufügen

keine Aktion erforderlich
Azure AD Connect überträgt die Änderung
Archivpostfach aktivieren
Active Directory Users & Computers MMC

 

AD-Attribute setzen / ändern
msExchArchiveName = “Joe’s IN-Place Archiv” (Beispiel)
msExchRemoteRecipientType = 3

Exchange Admin Center

 

Empfänger-Postfach in der Postfachübersicht auswählen und rechts im Detailbereich bei In-Situ-Archiv auf aktivieren klicken

keine Aktion erforderlich
Azure AD Connect überträgt die Änderung
Aus Adressbuch ausblenden
Active Directory Users & Computers MMC

 

AD-Attribute setzen
msExchHideFromAddressLists = true

Exchange Admin Center

 

Empfänger-Postfach bearbeiten und die Auswahloption Aus Adresslisten ausblenden aktivieren

keine Aktion erforderlich
Azure AD Connect überträgt die Änderung
Vertretung konfigurieren
(Senden-Als, Senden im Auftrag von, Vollzugriff)
Microsoft 365 Admin Center

 

Auswahl eines Benutzerkontos unter den Menüpunkt Benutzer > Aktive Benutzer; Anpassung der Berechtigungen über den Reiter Mail

Änderung der Mitgliedschaft in Verteilerlisten
Active Directory Users & Computers MMC

 

Direkte Bearbeitung des Gruppen-Objektes und Änderung der Mitglieder

Exchange Admin Center

 

Bearbeitung der Gruppe und Mitglieder unter dem Menüpunkt Empfänger > Gruppen

Gruppen aus dem lokalen AD werden von Azure AD Connect synchronisisert

 

Änderungen für Microsoft 365 Gruppen oder Cloud-only Verteilerlisten erfolgt im u.a. Exchange Online Admin Center unter dem Menüpunkt Empfänger > Gruppen oder durch Anwender direkt in Outlook Client / Outlook on the Web

Neuen Kontakt hinzufügen
Active Directory Users & Computers MMC

 

Erstellung eines neuen Kontakt-Objektes
(Best Practice)

Exchange Admin Center

 

Erstellung unter dem Menüpunkt Empfänger > Kontakte

Im lokalen AD oder Exchange erstellte Kontakt werden von Azure AD Connect synchronisiert

 

Alternativ kann die Erstellung von Kontakten über das Microsoft 365 Admin Center oder Exchange Online Admin Center erfolgen; diese Kontakte sind für die lokale Exchange Organisation nicht auflösbar

Compliance einrichten
(Aufbewahrung und Archivierung)
Office 365 Security & Compliance Center

 

Verwaltung über den Menüpunt Informationsgovernance
> Archiv
oder
> Aufbewahrung

Journaling einrichten
 
Exchange Online Admin Center

 

Die Einrichtung erfolgt unter dem Menüpunkt Complianceverwaltung > Journalregeln

Benutzerpostfach in geteiltes Postfach ändern
Exchange Online Admin Center

 

Empfänger-Postfach in der Postfachübersicht auswählen und rechts im Detailbereich unter In freigegebenes Postfach umwandeln auf Umwandeln klicken

Externes Teilen und Federation
Exchange Online Admin Center

 

Verwaltung über den Menüpunkt Organisation > Freigabe

AntiSpam und Anti-Malware
Nicht notwendig, wenn kein Nachrichtfluss über die lokale Exchange Organisation erfolgt.
Nutzen Sie bevorzugt eine Gateway-Lösung eines Drittanbieters, wenn Sie zentralisierten Nachrichtenfluss verwenden.
Ofice 365 Security & Compliance Center

 

Verwaltung über den Menüpunkt Bedrohungsmanagement > Richtlinie

Die Auswahl der Funktionen ist vom Microsoft 365-Abonnement abhängig 

Transportregeln und Konnektoren
Exchange Online Admin Center

 

Verwaltung über den Menüpunkt Nachrichtenfluss > Regeln

Neue Domäne hinzufügen
Microsoft 365 Admin Center

 

Fügen Sie eine neue Domäne über den Menüpunkt Einstellungen > Domänen hinzu

Richtlinien für mobile Endgeräte
Exchange Online Admin Center

 

Verwaltung über den Menüpunkt Mobil > Postfachrichtlinien für mobile Geräte

HINWEIS: Eine vollwertige Verwaltung für mobile Endgeräte ist hier nicht möglich. Nutzen Sie dazu den Microsoft Endpunkt Manager.

Öffentliche Ordner
Exchange Online Admin Center

 

Verwaltung über den Menüpunkt Öffentliche Ordner

Die Verwaltung von Zugriffsrechten erfolgt am besten über

  • Outlook
  • PowerShell
  • Drittanbieter-Tool

Achten Sie vor der Bearbeitung der Active Directory Attribute darauf, dass Sie die erweiterte Ansicht in der Active Directory Users & Computers MMC aktiviert haben. Onhe diese Ansicht ist der Reiter Attributeditor nicht vorhanden.

Die Best Practice für einen hybriden Active Directory Betrieb mit Azure AD Connect sieht vor, dass Sie einen (den) letzten Exchange Server in der lokalen Exchange Organsation weiter betreiben. Dieser Server dient als Verwaltungsserver für alle Exchange-relevanten Objekte in der lokalen Active Directory Gesamtstruktur. 

Die Exchange-relevanten Attribute für Benutzerkonten werden durch Exchange Server Schemaerweiterungen für Active Directory mitgebracht. Wenn Sie die og.g. Exchange-Attribute (msExch*) in Ihrem Active Directory nicht vorhanden sind, müssen Sie die Schemaerweiterungen von Exchange Server 2019 einspielen.

 

Links

Viel Spaß mit Exchange Server und Exchange Online!

%d Bloggern gefällt das: