Exchange Online Provisioning

Inhaltsverzeichnis
  1. Varianten
  2. Zukunft
  3. Weitere Links

Diese Seite stellt ihnen die fünf verschiedenen Varianten zur Verwaltung von Empfängern in der Cloud vor. Damit meine ich nur nicht die verschiedenen APIs wie PowerShell, Browser oder Graph sondern die konzeptionell unterschiedlichen Konstellationen. Die erste Frage ist nämlich, ob sie die Benutzer in ihrem Tenant mit ADSync / AADConnect synchronisieren oder nicht.

Wenn Sie ADSync einsetzen, dann sind einige Felder im AzureAD und Exchange Online als "ReadOnly" gekennzeichnet und können nicht mehr direkt in der Cloud verwaltet werden. Sie müssen dann zwingend im lokalen AD verwaltet werden. Wenn Sie einen ADSync installiert haben, dann können Sie alle Eigenschaften der Objekte in der Cloud über die verschiedenen APIs direkt selbst verwalten. Sie könnten sogar die Funktion von ADSync nachbauen und einige Identity Systeme machen dies sogar.

Wir haben so z.B. einige Schulen konfiguriert. Wir haben auf ADSync verzichtet, da jede Schule eines Bezirks einen eigenen Tenant aus Gründen der Segmentierung bekommen hat und die Schüler und Lehrer durch einen eigenen Sync-Prozess verwaltet werden.

ADSync macht aber noch mehr, z.B. den Abgleich der Kennworte mittels Password Hash Sync (PHS), Die Verwaltung von ADSync mit Devices, Exchange Hybrid Sonderfälle behandeln etc. Überlegen Sie also genau, ob sie auf ADSync verzichten wollen. Ein Wechsel zwischen mit/ohne ADSync ist jederzeit möglich, wenn Sie die Voraussetzungen beachten und erfüllen.

Sobald Sie aber einen Verzeichnisabgleich mit einem lokalen aktive Directory auch nur eingerichtet haben, blockieren die Exchange Online Verwaltungstools zwar nicht alle aber doch die wesentlichen Änderungen. Mit einem Verzeichnisabgleich geht Exchange Online davon aus, dass Sie auch lokal eine Exchange Umgebung haben und dort die Empfänger verwalten. Damit müssen Sie auch die Exchange Online Empfänger immer über das lokale Active Directory verwalten.

Varianten

Schauen wir uns die fünf Varianten an.

Szenario ADSync Support Beschreibung

Manuell

Kein ADSync

Nicht Installiert

Ja

Der Vorteil eines Betriebs ohne ADSync ist, dass die Exchange Properties nicht gesperrt sind. Damit stehen ihnen alle Wege zur direkten Verwaltung in der Cloud ohne Rücksicht auf das lokale AD offen. Es gibt allerdinge jede Menge:

Hybrid

Installiert

Ja

Dies ist die klassische Bereitstellung von Exchange Online und Exchange On-Premises. Sie verwalten die Cloud Benutzer einfach über die lokale Exchange Verwaltung und lassen ADSync die Daten in die Cloud zu übertragen. Dies ist komplett "supported" und ist nur eingeschränkt von der Einrichtung des Exchange Hybrid Mode erforderlich. Sie brauchen nur lokal einen Exchange Server und das Wissen um Befehle wie New-/Enable-/Set-/Disable-RemoteMailbox etc.

"Connector Server"

Installiert

Ja

Sie finden im Internet immer wieder Hinweise auf einen "Hybrid-Server" oder "Connector-Server". Damit ist gemeint, dass viele Firmen zwar keine lokalen Postfächer mehr haben aber dennoch lokale Exchange Server aktiv weiter betrieben werden. Das kann durchaus sinnvoll sein wenn z.B. lokale SMTP-Dienste mit dem Exchange Online Tenant sicher verbunden werden sollen aber selbst z.B.: kein SMTP/MTLS verstehen.

Dieses Modell ist quasi identisch mit "Hybrid" nur dass der Server keine Postfächer mehr hat und entsprechend auch nicht mehr per Autodiscover, EWS, MAPI, RPC, IMAP4, POP3 erreichbar sein muss. Die Angriffsflächen sind quasi auf SMTP beschränkt und sie können den Server gut absichern.

So ein Server ohne Postfächer wird vom HCW - Hybrid Configuration Wizard sogar mit einer Lizenz versorgt und kostet quasi keine Exchange Server Lizenz. Die Kosten für das Betriebssystem und die Hardware/VM fallen aber an.

Exchange Management Rolle

Installiert

Ja

Wenn Sie auch kein SMTP-Routing mehr benötigen und RBAC-Rollen für delegierte Administration entfallen kann, dann können Sie sich auch den Betrieb eines "Connector Servers" sparen und damit CPU/RAM/Storage freigeben. Ex2019CU12 (April 2022) erlaubt die Installation einer "Management Rolle" ohne Exchange Server. Im Grund ist es doch die Installation des Exchange Code ohne dass die Serverdienste installiert werden. Sie benötigen dennoch die Schema-Erweiterung und auch diese Software muss immer mal wieder aktualisiert werden.

Allerdings ist der Betriebsaufwand deutlich geringer, da keine Ports erreichbar sind. Das bedeutet aber auch, dass Sie keine Weboberfläche zur Verwaltung mehr haben und auch keine RBAC-Rollen genutzt werden. Es gibt kein Backend sondern die lokale PowerShell modifiziert direkt die AD-Felder der Empfänger. Die PowerShell enthält aber auch nur Commandlets zur Verwaltung von Empfängern.

Kein Exchange Management

Installiert

eingeschränkt

Was machen aber Firmen, die noch nie Exchange On-Premises genutzt haben und nun von einem anderen System direkt zu Exchange Online springen und dennoch ADSync einsetzen wollen. Offiziell müssen Sie eine der drei "grünen" Optionen wählen. Wenn Sie aber um die Einschränkungen kennen, dann können Sie durchaus ohne eine lokale Exchange Verwaltung arbeiten. Sie können ohne Exchange Schema Erweiterung dennoch AD-Benutzer anlegen und durch ADSync zu Microsoft 365 replizieren lassen. Wenn Sie dann solch einem Benutzer einen Exchange Plan 1/2 zuweisen, dann erkennt Exchange Online, dass der Benutzer gar keine Exchange Eigenschaften hat und legt ein Postfach an. Der UPN wird zugleich zur primären Mailadresse.

Allerdings sind auch hier alle Einstellmöglichkeiten bezüglich weiterer Mailadresse etc. blockiert. Offiziell können Sie nur die Exchange Online Eigenschaften verwalten, die nicht durch ADSync kontrolliert werden, z.B. Stellvertreterrechte, OWA-Richtlinien etc.

Wenn Sie diese Felder über einen supporteten Weg verwalten wollen, dann müssen Sie das Exchange Schema und zumindest die Exchange Management Rolle installieren und die Empfänger in der Cloud lokal entsprechend konfigurieren.

ADSI Management

Installiert

Nein

Allerdings sind z.B. Felder wie "ProxyAddresses" und "mail" auch in einem Active Directory ohne Exchange Schema-Erweiterung vorhanden und können lokal verwaltet werden. Tatsächlich funktioniert dies, denn ADSync kann nicht erkennen, ob sie die Felder im lokalen AD über eine Exchange Management Shell oder direkt per LDAP oder ADSI gepflegt worden sind.

Eine direkte Änderung der für Exchange relevanten Felder an der Exchange PowerShell vorbei ist nicht unterstützt.
Siehe Links auf ADSync mit Ex Online Only

Ein Grund ist sicher, dass Sie viele Überprüfungen dann selbst umsetzen müssen, die in der Exchange PowerShell enthalten sind, z.B. korrekte Mailadresse, keine doppelten Adressen, Pflege weiterer "msexch-*"-Felder etc.

Zukunft

Aus meiner Sicht gibt es nun drei offiziell gültige und unterstützte Konfigurationen, die aber alle eine Schema-Erweiterung im lokalen AD und lokale Installation von Exchange Rollen erfordern. Der Sonderweg auf die Verwaltung komplett zu verzichten und Exchange Online einfach den UPN nutzen zu lassen ist für einfache Umgebungen möglich aber sehr schnell wird die erste Abweichung die Planung zunichte machen. Eine direkte Verwaltung der ProxyAddresses und Mail kann ich mir durchaus noch vorstellen, aber sie bewegen sich dann natürlich komplett außerhalb der Supportzusagen von Microsoft.

Dabei könnte es so einfach sein. Der ganze Aufwand zur Verwaltung von Exchange Online ohne lokale Postfächer ist nur der Tatsache geschuldet, dass Exchange Online in Verbindung mit ADSync die Cloud-Verwaltung blockiert. Ich wünsche mir weiterhin, dass ich in ADSync oder Exchange Online einfach die Synchronisierung der Exchange Felder deaktivieren kann und Exchange Online mit dann die Verwaltung in der Cloud zulässt. So könnten mittlere und kleine Firmen ohne lokale Exchange Installation dennoch ihr Active Directory zur Verwaltung der Benutzer und Gruppen verwenden und müssten die Exchange Eigenschaften dann per PowerShell oder über das Exchange Admin Portal auf https://admin.exchange.microsoft.com konfigurieren.

Ich hoffe mal, dass dies irgendwann noch ermöglich wird. Optional sogar mit einem Zurückschreiben in das lokale AD, wenn jemand dort per LDAP eine Mailadresse suchen sollte.

Weitere Links