DL Management mit EXO

Wussten Sie, dass Benutzer ihre Verteiler auch in Exchange Online selbst verwalten können oder "dank" ADSync auch wieder nicht? Diese Seite beschreibt die Zusammenhänge.

Diese Seite hatte ich in einer ersten Version 2020 schon veröffentlicht aber im Juli 2023 komplett neu geschrieben.

Gruppen?

Zuerst muss ich erst einmal wieder das Puzzle der Begriffe sortieren, damit Sie wissen, worum es hier eigentlich geht.

  • Verteiler in Exchange
    Seit dem es E-Mail gibt, gibt es natürlich auch Verteiler, in denen mehrere Empfänger Mitglied sein können. So kann ein Anwender direkt mehrere Empfänger erreichen. Ich bin persönlich mittlerweile kein Freund mehr von Mails an Verteilern, was de fakto Informationen multipliziert. Besser sind Chats oder gemeinsam bearbeitete Dokumente mit Kommentaren. Aber um Informationen garantiert jedem Empfänger zugänglich zu machen, ist Verteiler von Vorteil, speziell wenn diese zentral z.B. anhand von Teammitgliedschaften oder organisatorischen Strukturen verwaltet werden. Ein solcher Verteiler hat selbst keinen Datenspeicher, d.h. eine Mail an den Verteiler wird sofort an die Mitglieder kopiert und weitergereicht und mal abgesehen von einer kurzen Zeit in einer Warteschlange selbst nicht gespeichert.

Hinweis: Hinter jedem Exchange Mailverteiler steht eine Active Directory/AzureAD-Gruppe. Die Pflege dieser Verteiler bedeutet also immer auch eine Pflege des Verzeichnisobjekts. Wir gehen gleich auf die erforderlichen Rechte und ADSync-Aspekte ein.

  • Kontakt-Verteiler
    Jeder Mitarbeiter kann in seinem Outlook Kontakten, d.h. im Ordner Kontakte im eigenen Postfach, eigene private Verteiler anlegen. Die kann dann aber auch nur der Anwender in kompatiblen Programmen wie Outlook sehen und nutzen. Dies kann ich als Administrator auch nicht unterbinden oder steuern, was der Anwender in seinem Postfach macht.
  • Microsoft 365 Groups und Microsoft 365 Teams
    Wenn Verteiler und "Gruppen" im gleichen Satz verwendet werden, dann sind die "Groups" nicht weit weg, obwohl dies etwas anderes ist. In Exchange Online, aber nicht On-Premises, gibt es noch die Office 365 Groups, was eigentlich eher "gemeinsam genutzte Mailboxen" zur Ablage von Informationen sind. Mit Microsoft Teams werden diese Gruppen ebenfalls genutzt, um z.B. die Chatnachrichten der Kanäle eines Teams abzulegen. Es ist aber eher ein "Postfach" in Exchange Online während ein klassischer Verteiler keinen Datenspeicher hat.

On-Premises Verteiler

Da sie nun wissen, dass Exchange Mailverteiler im Grunde doch nur "Gruppen" im darunterliegenden Verzeichnisdienst sind, müssen wir uns hier genauer anschauen, welche Gruppen für Exchange relevant sind. Denn allein in einem lokalen Active Directory mit Exchange On-Premises gibt es viele Ausprägungen von Gruppen, von denen nur ein Teil für Exchange genutzt werden kann und wieder nur ein Teil genutzt werden sollte

Scope Local DomainLocal Global Universal
Verteiler

Nicht nutzbar

Eingeschränkt

Eingeschränkt

Eingeschränkt
Sicherheitsgruppe

Nicht nutzbar

Eingeschränkt

Eingeschränkt

Optimal

Genaugenommen sind nur "Universal Security Groups" als Exchange On-Premises Verteiler sinnvoll aktivierbar, denn Exchange konvertiert die eingeschränkt nutzbaren Gruppen entweder in diese Variante oder die Zustellung ist zumindest in "Multi Domain Umgebungen" nicht gesichert, da nicht alle Gruppen auch um globalen Katalog sind.

Online Verteiler

Da es bei dieser Seite aber primär um Exchange Online geht, müssen wir uns die Verteiler in der Cloud anschauen. Der Verzeichnisdienst in der Cloud heisst mittlerweile "EntraID", vormals AzureAD und kann natürlich auch Verteiler bereitstellen. Hier gibt es dann zwei Ausprägungen:

  • Cloud Only
    Der Verteiler samt seinen Eigenschaften wie Mitglieder und Mailadresse wird komplett in der Cloud verwaltet.
  • DirSync
    Der Verteiler wird durch ADSync aus einem lokalen Active Directory befüllt. Maßgeblich sind hier dann die Inhalte des lokalen AD. Auch mit entsprechenden Berechtigungen können Sie in der Cloud diese Objekte nicht verwalten. Der Einsatz von ADSync blockiert insbesondere die Exchange-Einstellungen.

Diese Aussage ist etwas vereinfacht, denn genaugenommen gibt es neben dem Verzeichnisdienst, welches ein Administrator unter "https://portal.azure.com" sieht und den Verteilen in Exchange Online noch einen weiteren Verzeichnisdienst. Exchange Online nutzt nämlich ein eigenes Verzeichnis zur Speicherung seiner Einstellungen. So kann z.B. das Exchange-Teams "sein" Schema problemlos erweitern und anpassen ohne das EntraID-Verzeichnis anpassen zu müssen. Natürlich vertrauen die Exchange Dienste von von EntraID ausgestellten Zugriffstokens und ein Verzeichnisabgleich/Provisioning-Service sorgt natürlich dafür, dass die Einstellungen zwischen den Verzeichnisdiensten synchronisiert werden.

Admin Management

Als Administrator können Sie im Exchange Online Portal als auch im AzureAD-Portal die "CloudOnly"-Gruppen natürlich in jeder Hinsicht direkt in der Cloud verwalten. Die mittels ADSync verwalteten Gruppen entziehen sich natürlich diesem Cloud-Management:

Auch im Azure Portal ist eine Verwaltung dieser "DirSync"-Gruppen in der Cloud nicht möglich.

Wenn Sie die vergleichbaren administrativen Berechtigungen im lokalen Active Directory haben dann sollten Sie dort per LDAP, DSA.MSC, Exchange Admin PowerShell oder Exchange Management Portal die gewünschten Änderungen vornehmen.

DL Management durch Anwender

Mit der Bereitstellung von Exchange Online mit ADSync stellt sich nun aber für Benutzer das Problem, dass Sie ihre Verteiler nach der Umzug in die Cloud nicht mehr verwalten können. Exchange On-Premises kennt eine Funktion und Rolle, mit der Anwender "ihre" Verteiler über Exchange ohne sonstige administrative Berechtigungen verwalten können. In einen normalen Active Directory dürfen Anwender normalerweise gerade einmal ihr eigenes Kennwort ändern. Sie können im lokalen AD aber auch schon lange einrichten, dass ein Benutzer z.B. "Besitzer" oder "Manager" eines Objekts ist und dann quasi im "Self Service" dieses verwalten kann

Natürlich werden die meisten Administratoren dies den Benutzer weder zeigen noch erklären, wie Sie mit der "MMC für Benutzer und Computer" solche Änderungen an Gruppen vornehmen. Zumal das AD-Konto des Anwenders damit auch in der ACL des Verteilers eingetragen wird und damit über beliebige Tools diese Rechte ausüben kann. Sogar eine Malware per LDAP im Benutzerkontext könnte dies ausnutzen.

Aber mit der Installation von Exchange ist die Checkbox gar nicht mehr relevant, denn über OWA oder Outlook kann der "Manager" einer Gruppe auch die Gruppe verwalten. Es geht sogar noch weiter, dass jemand mit der Funktion "MyDistributionGroup" sogar neue Verteiler anlegen darf:

The MyDistributionGroups management role enables individual users to create, modify, and view distribution groups, and to modify, view, remove, and add members to distribution groups they own.
Quelle: MyDistributionGroups role https://learn.microsoft.com/en-us/exchange/mydistributiongroups-role-exchange-2013-help

Es gibt sicher jede Menge Firmen und Umgeungen, welche diese "Lücke" auch heute noch nicht geschlossen haben.

EXO DL Management

Die gleichen "User Roles" gibt es aber auch in Exchange Online und auch dort können Anwender nicht nur bestehende Verteiler über OWA oder Outlook verwalten sondern sogar neue  Verteiler anlegen, wenn Sie dies als Administrator nicht unterbunden haben. Allerdings werden in einer Umgebung mit ADSync die Anwender auf die gleichen Probleme stoßen, wie auch Administratoren.

Synchronisierte Verteiler können in Exchange Online nicht verwaltet werden.

Sobald Sie daher das Postfach des Benutzer nach Exchange Online verlagern, wird sich Outlook mit der Cloud verbinden und auch ein Zugriff per OWA wird zu Exchange Online bedient. Die Menüs zur Verwaltung von Verteilern gibt es dort ebenso und die Fehlermeldung gefällt nicht jedem Anwender:


Auszug aus https://outlook.office.com/mail/options/general/distributionGroups

Aktuell ist die Verteilerverwaltung aber noch nicht in OWA angekommen, sondern verweist auf einen Link in das "alte ECP". DAs dürfte sich aber noch ändern.


https://outlook.office.com/ecp/MyGroups/PersonalGroups.aspx

Auch wenn diese Oberfläche etwas anders aussieht, kann der Anwender hier die Verteiler verwalten wollen oder sogar dürfen. Das funktioniert in Exchange Online für "CloudOnly"-Verteiler sogar problemlos aber nicht für aus dem lokalen AD synchronisierte Verteiler. Die Fehlermeldung verweist dabei auf ein "Dual-Write"-Problem

Die Fehlermeldung ist hier auf englisch, obwohl OWA auf Deutsch ist und sie verrät so auch, dass im Hintergrund auf die Microsoft Graph API zurückgegriffen wird und hier finden wir auch einen weiteren Hinweis dass das Azure Active Directory und Exchange Online zwei unterschiedliche Verzeichnisdienste nutzen.

Eine "Lösung" für dieses Problem gibt es nicht von Microsoft in der Cloud. Sie müssen sich überlegen, wie die entsprechenden Personen die Verteiler im lokalen AD z.B. über eine 3rd Party-Software weiter verwalten, wenn Sie die Postfächer nicht wieder zurückmigrieren wollen. Oder Sie legen neue "Cloud-Only"-Verteiler an, wenn Sie lokal kein Exchange mehr nutzen

User Management steuern

Damit die Anwender erst gar nicht die Fehlermeldung zu sehen bekommen, können Sie den Anwendern auch einfach die Berechtigungen wegnehmen. In einfachen Umgebungen reicht es dazu einfach die "MyDistributionGroups" und "MyDistributiongroupMembership" -Rollen in der Einstellung zu den "Default Role Assignment Policy" zu deaktivieren.

Natürlich können Sie dies immer wieder rückgängig machen oder eine eigene Rolegroup mit den Berechtigungen anlegen und den ausgewählten Benutzern zuzuweisen.

Sie sehen Hier auch noch weitere "User Roles" wie "MyProfileInformation", die sie in dem Zuge auch anpassen können.

Disconnected DL

Ich höre schon die Rufe einiger Leser, die nicht verstehen können oder wollen, dass Microsoft hier keine Lösung schaffen kann, z.B. indem Exchange Online einfach diese Änderungen durchführt und ADSync doch bitte diese Änderungen dann auch in das lokale AD übertragen sollte. Dabei wird gerne vergessen, dass ADSync nur wenige Berechtigungen im lokalen AD hat. SO kann ADSync zwar viel lesen aber nur ganz ausgewählte Attribute schreiben, siehe ADSync Bidirektional mit z.B. dem SourceAnchor und eventuell Password WriteBack / SSPR. ADSync und Microsoft tun sich ja schon mit Groups Writeback ziemlich schwer, neue Objekte im lokalen AD anzulegen und würden Sie als Domain Admin wollen, dass ein unpassend konfiguriertes Exchange Online zuerst in der Cloud neue Verteiler anlegt, die dann durch ADSync den Weg in ihr lokales AD finden? Ich möchte hier lieber selbst die Kontrolle behalten.

Das bedeutet nun aber auch, dass Sie die Herausforderung über verschiedene Wege lösen könnten, wobei es ein Unterschied ist, ob es im lokalen Active Directory noch Exchange Server mit Empfängern und Mailrouting gibt. Wenn Exchange On-Premises und Exchange Online in der Mailübertragung involviert sind, müssen Sie gesteigerten Weg darauf legen, dass die Empfänger auf beiden Seiten identisch sind. Ansonsten kommt es zu Mailschleifen, Unzustellbarkeiten, Teilzustellungen und Falschzustellungen.

  • Lokales Provision
    Der saubere Weg einer Hybrid-Umgebung mit ADSync ist die Verwaltung der Empfänger im lokalen Active Directory mit ADSync zum Abgleich. Die überwiegende Anzahl an Tenants würde diesen Weg nutzen und mittlerweile funktioniert dies sogar ohne lokalen Exchange Server nur mit den Exchange Verwaltungstools. Siehe auch Exchange Online Provisioning
  • CloudOnly DLs
    Wenn Sie alle "relevanten" Empfänger schon in Exchange Online betreiben und idealerweise auch das Mailrouting nicht mehr über lokale Server läuft und sie die Gruppen im lokalen AD nicht mehr für Berechtigungen benötigen, dann könnten Sie die Gruppen im lokalen AD löschen oder zumindest in ADSync ausschließen und dann in der Cloud als "CloudOnly"-Verteiler neu anlegen. Dann können die berechtigten Anwender/Manager auch wieder "ihre Gruppen" selbst verwalten.
    Theoretisch könnten Sie sogar per PowerShell oder Skript die CloudOnly-Gruppen als "autoritative Quelle" nutzen und z.B. per PowerShell und Graph diese Informationen zur Verwaltung von lokalen AD-Gruppen verwenden. Die Ziel-OU dieser Gruppen sollte dann natürlich in ADSync ausgeschlossen sein
  • Eigener Verzeichnisabgleich statt ADSync
    Ursächlich für die beschriebenen Herausforderungen ist natürlich der Verzeichnisabgleich durch ADSync, über den die Cloud-Objekte dann den Status "DirSync" bekommen. Niemand schreibt ihnen vor, dass Sie ihre Identitäten in der Cloud mit ADSync verwalten müssen. Ich würde ADSync nicht ganz abschalten, denn z.B.: für Devices (AzureAD Join/Device Registration) gibt es keinen einfacheren Weg. Wenn Sie auch Benutzerkonten mit Kennwort synchronisieren wollen (siehe Password Hash Sync (PHS)), sollte ADSync erste Wahl sein. Sie könnten aber z.B. Verteiler mit Exchange Funktionen ausschließen und durch einen eigenen Prozess in der Cloud verwalten.

Der Betrieb einer lokalen Plattform mit Identitäten und Gruppen parallel zu Microsoft 365 sollte aber immer mit einem Verzeichnisabgleich in der ein oder anderen Form konfiguriert werden, um Doppelverwaltung und vor allem Inkonsistenzen zu vermeiden. Für Schulen gibt es z.B. mit School Data Sync (SDS) ein Beispiel zur Verwaltung und während der Covid19-Anfangszeit habe ich einige Schulen unterstützt, die zuerst mit ADSync aus einem Samba-Server (siehe ADSync mit Samba) die Informationen holen wollten und am Ende ihren eigenes Provisioning mit Perl und Microsoft Graph auf Basis ihrer schon vorhandenen Stammdaten entwickelt haben.

Eine pauschale Antwort gibt es nicht, außer dass durch ADSync in der Cloud verwaltete Objekte nur sehr eingeschränkt in der Cloud anderweitig verwaltet werden können. Es gibt aber Lösungen, die Sie mit meinen Kollegen von Net at Work oder mir am besten einmal diskutieren. https://www.netatwork.de/

Weitere Links