Azure AD Cloud Sync und Exchange

Diese Seite beschreibt die Besonderheiten von AzureAD Cloud Sync in Verbindung mit Exchange Online.

Exchange und DirSync

Seit den ersten Tagen von Exchange Online und ADSync wissen die Administratoren, dass Sie viele Exchange-Einstellungen der synchronisierten Objekte nicht in der Cloud verwalten können, das ADSync die Attribute blockt. Das betrifft alle Eigenschaften, die auch im lokalen AD verwaltet werden, z.B. Mailnickname/Alias, Mailadresse, ProxyAddresses etc. Andere Einstellungen wie z.B. Postfachrechte, ClientAccess-Einstellungen können hingegen in der Cloud direkt verwaltet werden.

Sie erkennen solche gesperrten Felder direkt, wenn Sie eine Änderung abspeichern wollen.

Mit ADSync ist es also nicht möglich, Exchange Objekte in der Cloud direkt zu verwalten. Sie müssen immer noch einen Weg finden, diese Einstellungen im lokalen AD zu hinterlegen, damit ein Verzeichnisabgleich diese zu Exchange Online übertragen kann. Eine direkte Modifikation der LDAP-Felder an der Exchange PowerShell vorbei wird von Microsoft nicht unterstützt, auch wenn es technisch natürlich möglich wäre. Aber warum sollten Sie all die Validierungen selbst schreiben, wenn die Exchange PowerShell schon alles enthält?  Es gibt zwei Optionen, lokal die Exchange Online Empfänger zu verwalten:

  • LES - Last Exchange Server
    Sie betreiben weiter einen oder mehrere Exchange Server lokal, um auch für die Empfänger in der Cloud eine Verwaltungsmöglichkeit zu haben. Das ist auch der Weg, wenn Sie noch lokale Postfach betreiben wollen.
  • Exchange Management Rolle
    Seit Exchange 2019 CU12 (April 2022) können Sie nun allein das Schema erweitern und eine lokalen PowerShell zur Verwaltung installieren. Sie müssen dafür keinen Exchange Server betreiben. Dieser Weg ist optimal, wenn Sie keine lokalen Postfächer mehr betreiben und den letzten Exchange Server eigentlich deinstallieren wollen.

Dazu habe ich auch einige Seiten schon geschrieben:

Hybrid Not Supported

Wenn Sie dann die Dokumentation zu AzureAD Cloud Sync durchlesen, dann finden Sie einen Absatz, der Sie vielleicht verwirrt:

The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both On-Premises and in Microsoft 365. Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your On-Premises directory. The cloud provisioning agent currently does not synchronize these attributes back into your On-Premises directory and thus it is not supported as a replacement for Azure AD Connect.
https://learn.microsoft.com/en-us/azure/active-directory/cloud-sync/reference-cloud-sync-faq#what-does-it-mean-that-exchange-hybrid-is-not-supported-

Ehe Sie nun aber abwinken und wieder den bisher genutzten ADSync installieren, sollten Sie sich die Funktion "Exchange Hybrid" in Erinnerung rufen und prüfen, welche "Write back"-Attribute das betrifft. Diese sind dokumentiert:

Die Attribute gliedern sich in verschiedene Themen und wenn diese erforderlich sind, dann ist AzureAd Connect Cloud Sync wirklich noch nicht die richte Lösung. Bleiben Sie dann beim klassischen ADSync

  • msDS-ExternalDirectoryObjectID
    Ist nur wichtig, wenn Sie das AD-Konto in einen anderen Forest verschieben, d.h. Merger&Aquisitions. Siehe auch SourceAnchor
  • msExchArchiveStatus
    Relevant, wenn Sie On-Premises Postfächer mit einem Exchange Online Archiv haben
  • msExchBlockedSendersHash, msExchSafeRecipientsHash, msExchSafeSendersHash
    Relevant, wenn sie einen Exchange On-Premises Edge Server als eingehenden Spamfilter betreiben. Ich denke da gibt es kaum noch Firmen
  • msExchUCVoiceMailSettings
    Wichtig, wenn Sie Lync/Skype for Business On-Premises in Verbindung mit Exchange Online Voicemail nutzen. Wer Teams nutzt, braucht dieses Feld nicht. Das Feld könnte man aber auch manuell lokal setzen.
  • msExchUserHoldPolicies
    Compliance ist immer ein kniffliges Thema. Das Feld könnte aber auch manuell gesetzt werden, wenn es benötigt wird.
  • proxyAddresses
    Hier wird nur die X.500-Adresse von Exchange Online auch On-Premises eingetragen. Das ist bei Migrationen wichtig, z.B. wenn eine Mailbox wieder nach On-Premises verschoben wird und jemand dann auf eine alte Mail aus der Exchange Online-Zeit antwortet. Das Feld kann natürlich auch manuell gepflegt werden.
  • publicDelegates
    Wer noch lokale Postfächer hat, auf die Exchange Online Benutzer das "SendOnBehalf"-Recht bekommen sollen, dann muss das Feld gepflegt werden

Sie haben schon gesehen, dass einige Felder unkritisch oder in vielen Umgebungen nicht relevant sind aber die ein oder andere Einschränkung kann es schon geben, wenn Sie die fehlenden Einträge nicht irgendwie manuell oder per Provisioning nachziehen. Eine weitere Komponente könnte GroupsWriteback sein, was mit Azure AD Connect Cloud Sync noch nicht geht.

Denken Sie aber daran, dass diese Funktionen auch nur aktiv sind, wenn sie im ADSync die richtige Checkbox gesetzt haben:

Auch hinsichtlich der Exchange Hybrid Funktionen sollten wir uns noch einmal erinnern, was Hybrid überhaupt bedeutet. Hier noch mal in Kürze die Stichpunkte für Exchange Hybrid:

  • Verzeichnisabgleich
    Nach dem Satz "Meine Postfächer sind deine Kontakte" werden durch eine Verzeichnissynchronisation die Empfänger abgeglichen. Diese Funktion ist für das Mailrouting im Hybrid-Betrieb essentiell aber auch für das Management der Empfänger in der Cloud.
  • Mailrouting
    Die Konfiguration entsprechender Connectoren stellt ein zuverlässiges Mailrouting zwischen Exchange On-Premises und Exchange Online des eigenen Tenants sicher
  • Free/Busy, Mailtips etc
    Über die EWS-Erreichbarkeit der Server untereinander können die Anwender jeweils Informationen der Postfächer in der anderen Umgebung erhalten
  • Postfach Koexistenz
    Auch Stellvertreter-Rechte und die Erreichbarkeit per Autodiscover sorgen für eine enge Zusammenarbeit über die Grenzen hinweg
  • Migrationsbereitschaft
    Zuletzt ist die Erreichbarkeit des MRSProxy-Endpunkts für Migrationen eine wichtige Komponente.

Die Hybrid-Bereitstellung zielt darauf ab, dass sowohl in Exchange On-Premises als auch in Exchange Online möglichst reibungslos miteinander arbeiten. Dazu ist es aber auch erforderlich, dass gewisse Informationen aus Exchange Online auch in das lokale Active Directory geschrieben werden, damit der lokale Exchange Server die Empfänger und Einstellungen kennt.

Solange sie also einen lokalen Exchange Server betreiben und dieser Server z.B. lokale Postfächer bedient oder noch Mailrouting und Transportrollen betreibt, dann ist Hybrid erforderlich und AzureAD Cloud Sync noch nicht möglich.. Wenn Sie aber nun nur den Verzeichnisabgleich in eine Richtung benötigen, dann ist das streng genommen keine "Hybrid Bereitstellung", denn die Punkt "Mailrouting", "Free/Busy, Mailtipps", "Koexistenz" und "Migration" finden nicht mehr statt. Dann ist AzureAD Cloud Sync auch heute schon nutzbar.

Wenn Sie mit der Exchange Management Rolle auskommen und ohne den HCW - Hybrid Configuration Wizard arbeiten können, dann ist AzureAD Cloud Sync eine Option

Sie können natürlich auch weiter den klassischen AzureAD Sync betreiben.

3rd Party Migration/Neustart

Interessant ist AzureAD Cloud Sync auf jeden Fall für Neueinsteiger, die zwar ein lokales Active Directory für die Benutzerverwaltung betreiben aber keinen lokalen Exchange Server installiert haben. Es gibt durchaus solche Firmen, die z.B. Notes oder andere Groupware-Systeme einsetzen aber nun in Verbindung mit Teams auch Exchange Online nutzen werden.

In dem Fall würde ich einfach nur die Exchange Management Rolle auf einem PC installieren, um dann per PowerShell die Konfiguration vorzunehmen. Mittlerweile gibt es sogar eine GUI (ExchangeRecipientAdmin) für die PowerShell. Sie können damit für jeden Benutzer eine neue "RemoteMailbox" anlegen und verwalten, in die dann ihre Migrationslösung die Mails vom alten System importieren kann.

Sie können natürlich auch mit ADSync aber ohne die lokale Exchange Tools arbeiten und eine Exchange Lizenz zuweisen. Die Benutzer bekommen dann ihren UPN auch als primäre und einzige Mailadresse. Eine manuelle Anpassung ist so aber nicht möglich.

Umstellung

Die meisten Firmen starten aber nicht direkt mit Exchange Online sondern kommen von einer lokalen Exchange On-Premises Installation, die über den Hybrid-Mode in die Cloud migriert wurde. Irgendwann ist dann aber auch der Tag gekommen, dass der lokale Exchange Server kein Postfach oder öffentliche Ordner mehr betreibt und entfernt werden soll. Der Betrieb eines Exchange Server benötigt nicht nur einen Server mit ausreichend CPU, RAM, DISK und Lizenz, sondern kostet vor allem durch den Betrieb für Updates, Konfigurationen etc. Mit der Bereitstellung der Exchange Management Rolle ab Exchange 2019CU12 im April 2022 gibt es nun einen Weg, den Exchange Server zu entfernen und die Empfänger in der Cloud über die lokale PowerShell zu verwalten.

Natürlich muss in dem Zuge der Deinstallation des letzten lokalen Exchange Servers auch die Hybrid-Konfiguration zurückgebaut werden. Jegliches Mailrouting muss zu Exchange Online umgestellt werden und wenn es lokal keine Exchange Server mehr gibt, dann braucht die Cloud auch keine OrganizationRelationship, keinen SendConnector, keinen MigrationEndpoint etc. Am Ende gibt es auch hier keine Hybrid-Konfiguration mehr und damit ist auch das Ausschlusskriterium für AzureAD Cloud Sync weggefallen.

Wenn sie vorher noch ADSync hatten, dann können Sie einfach AzureAD Cloud Sync parallel einrichten und wenn damit die Replikation funktioniert, können Sie ADSync deinstallieren.

Einschätzung

AzureAD CloudSync ist die Zukunft und lassen Sie sich erst einmal nicht vom dem "Hybrid ist nicht supported" abschrecken. Es gibt verschiedene Ausprägungen von Hybrid und Anforderungen an den Verzeichnisabgleich. Sie können vermutlich sehr viel früher auf ADSync zugunsten von AzureAD Cloud Sync verzichten und damit die lokale Konfiguration vereinfachen. Kein lokale SQL-Server, kein ADSync System mit lokal verwalteten Regeln, welches immer mal wieder aktualisiert werden muss. Größere Umgebungen installieren vielleicht zwei ADSync Server (Aktiv/Standby), was bei AzureAD Cloud Sync dann einfach zwei leichtgewichtige Agenten sind. Die Vorgabe und Empfehlung von Microsoft ist der Einsatz von AzureAD Cloud Sync und wenn Sie den "Exchange Writeback" von Informationen nicht benötigen, dann können Sie einfach damit starten.

Weitere Links