Exchange Online Provisioning
Diese Seite stellt ihnen die verschiedenen Varianten zur Verwaltung von Empfängern in der Cloud vor. Damit meine ich nur nicht die verschiedenen APIs wie PowerShell, Browser oder Graph sondern die konzeptionell unterschiedlichen Konstellationen in Verbindung mit ADSync / AADConnect.
Geschichte
Die Zusammenhänge werden einfacher verständlich, wenn wir die Entwicklung betrachten. Gegen 2008 hat Microsoft nach ersten privaten Angeboten die erste mandantenfähige öffentliche Version von Exchange Online im Rahmen von "BPOS - Business Productivity Online Suite" bereitgestellt und sobald Sie die Benutzer aus ihrem lokalen ActiveDirectory mit ADSync / AADConnect in ihren Tenant repliziert haben, konnten Sie in Exchange Online viele Eigenschaften der Benutzer nicht mehr verwalten. Die Felder waren gesperrt, da das lokale Active Directory führend ist.
Nur wenn Sie auf den Verzeichnisabgleich durch ADSync verzichtet hätten, war eine native Verwaltung in der Cloud möglich. Das war aber nur eine Option für ganz kleine Firmen oder sehr große Firmen, die einen eigenen Verzeichnisabgleich umgesetzt haben.
Wir haben so z.B. einige Schulen konfiguriert. Wir haben auf ADSync verzichtet, da jede Schule eines Bezirks einen eigenen Tenant aus Gründen der Segmentierung bekommen hat und die Schüler und Lehrer durch einen eigenen Sync-Prozess verwaltet werden.
ADSync macht aber noch mehr, z.B. den Abgleich der Kennworte mittels Password Hash Sync (PHS), Die Verwaltung von ADSync mit Devices, Exchange Hybrid Sonderfälle behandeln etc. Überlegen Sie also genau, ob sie auf ADSync verzichten wollen. Ein Wechsel zwischen mit/ohne ADSync ist jederzeit möglich, wenn Sie die Voraussetzungen beachten und erfüllen.
Für alle anderen Firmen bedeutete dies, dass Sie zwingend einen lokalen Exchange Server zu Verwaltung betreiben mussten, selbst wenn alle Postfächer in der Cloud gelegen hätten.
Die erste offizielle Änderung gab es im April 2022, als Microsoft eine losgelöste Exchange Management Rolle bereitgestellt hat. Sie konnten damit per lokaler PowerShell ohne lokalen Exchange Server die Empfänger verwalten. Das war der erste Schritt auf lokale Exchange Server zu verzichten. Einige Firmen haben dies auch getan, die schon 100% Exchange Online waren und nun nur noch ihr Provisioning Minimal umstellen mussten. Die Felder in Exchange Online waren aber immer noch "ReadOnly" und gesperrt.
Im August 2025 kam dann die nächste Veränderung. Als Administrator können Sie mit IsExchangeCloudManaged pro Postfach in Exchange Online ein Bit setzen, damit ein Management direkt in der Cloud über das Exchange Admin Center (https://admin.exchange.microsoft.com) oder Exchange Online PowerShell möglich wird. Einträge aus dem lokalen AD werden nicht mehr berücksichtigt. In Phase 2 wird auch das Writeback ins lokale AD möglich sein, so dass lokale Dienste per LDAP auch wieder die aktuellen Exchange Informationen haben.
Varianten
Schauen wir uns die Varianten an.
| Szenario | ADSync | Support | Beschreibung |
|---|---|---|---|
ManuellKein ADSync |
Nicht Installiert |
Ja |
Der Vorteil eines Betriebs ohne ADSync ist, dass die Exchange Properties nicht gesperrt sind. Damit stehen ihnen alle Wege zur direkten Verwaltung in der Cloud ohne Rücksicht auf das lokale AD offen. Es gibt allerdinge jede Menge:
|
Hybrid
|
Installiert |
Ja |
Dies ist die klassische Bereitstellung von Exchange Online und Exchange On-Premises. Sie verwalten die Cloud Benutzer einfach über die lokale Exchange Verwaltung und lassen ADSync die Daten in die Cloud zu übertragen. Dies ist komplett "supported" und ist nur eingeschränkt von der Einrichtung des Exchange Hybrid Mode erforderlich. Sie brauchen nur lokal einen Exchange Server und das Wissen um Befehle wie New-/Enable-/Set-/Disable-RemoteMailbox etc. |
"Connector Server"
|
Installiert |
Ja |
Sie finden im Internet immer wieder Hinweise auf einen "Hybrid-Server" oder "Connector-Server". Damit ist gemeint, dass viele Firmen zwar keine lokalen Postfächer mehr haben aber dennoch lokale Exchange Server aktiv weiter betrieben werden. Das kann durchaus sinnvoll sein wenn z.B. lokale SMTP-Dienste mit dem Exchange Online Tenant sicher verbunden werden sollen aber selbst z.B.: kein SMTP/MTLS verstehen. Dieses Modell ist quasi identisch mit "Hybrid" nur dass der Server keine Postfächer mehr hat und entsprechend auch nicht mehr per Autodiscover, EWS, MAPI, RPC, IMAP4, POP3 erreichbar sein muss. Die Angriffsflächen sind quasi auf SMTP beschränkt und sie können den Server gut absichern. So ein Server ohne Postfächer wird vom HCW - Hybrid Configuration Wizard sogar mit einer Lizenz versorgt und kostet quasi keine Exchange Server Lizenz. Die Kosten für das Betriebssystem und die Hardware/VM fallen aber an. |
Exchange Management Rolle
|
Installiert |
Ja |
Wenn Sie auch kein SMTP-Routing mehr benötigen und RBAC-Rollen für delegierte Administration entfallen kann, dann können Sie sich auch den Betrieb eines "Connector Servers" sparen und damit CPU/RAM/Storage freigeben. Ex2019CU12 (April 2022) erlaubt die Installation einer "Management Rolle" ohne Exchange Server. Im Grund ist es doch die Installation des Exchange Code ohne dass die Serverdienste installiert werden. Sie benötigen dennoch die Schema-Erweiterung und auch diese Software muss immer mal wieder aktualisiert werden. Allerdings ist der Betriebsaufwand deutlich geringer, da keine Ports erreichbar sind. Das bedeutet aber auch, dass Sie keine Weboberfläche zur Verwaltung mehr haben und auch keine RBAC-Rollen genutzt werden. Es gibt kein Backend sondern die lokale PowerShell modifiziert direkt die AD-Felder der Empfänger. Die PowerShell enthält aber auch nur Commandlets zur Verwaltung von Empfängern.
|
IsCloudManaged |
Installiert |
Ja |
Seit August 2025 läuft die "Phase 1" von IsExchangeCloudManaged, bei der ein Administrator in Exchange Online pro Postfach die Verbindung zum ADSync unterbrechen kann und ein natives Management mit der Exchange Online PowerShell aber auch mit dem Exchange Online Admin Center erlaubt. Phase 2 ist für 2026 geplant, so dass die Änderungen sogar ins lokale AD zurückgeschrieben werden können. |
Kein Exchange Management
|
Installiert |
eingeschränkt |
Was machen aber Firmen, die noch nie Exchange On-Premises genutzt haben und nun von einem anderen System direkt zu Exchange Online springen und dennoch ADSync einsetzen wollen. Offiziell müssen Sie eine der drei "grünen" Optionen wählen. Wenn Sie aber um die Einschränkungen kennen, dann können Sie durchaus ohne eine lokale Exchange Verwaltung arbeiten. Sie können ohne Exchange Schema Erweiterung dennoch AD-Benutzer anlegen und durch ADSync zu Microsoft 365 replizieren lassen. Wenn Sie dann solch einem Benutzer einen Exchange Plan 1/2 zuweisen, dann erkennt Exchange Online, dass der Benutzer gar keine Exchange Eigenschaften hat und legt ein Postfach an. Der UPN wird zugleich zur primären Mailadresse. Allerdings sind auch hier alle Einstellmöglichkeiten bezüglich weiterer Mailadresse etc. blockiert. Offiziell können Sie nur die Exchange Online Eigenschaften verwalten, die nicht durch ADSync kontrolliert werden, z.B. Stellvertreterrechte, OWA-Richtlinien etc. Wenn Sie diese Felder über einen supporteten Weg verwalten wollen, dann müssen Sie das Exchange Schema und zumindest die Exchange Management Rolle installieren und die Empfänger in der Cloud lokal entsprechend konfigurieren. |
ADSI Management
|
Installiert |
Nein |
Allerdings sind z.B. Felder wie "ProxyAddresses" und "mail" auch in einem Active Directory ohne Exchange Schema-Erweiterung vorhanden und können lokal verwaltet werden. Tatsächlich funktioniert dies, denn ADSync kann nicht erkennen, ob sie die Felder im lokalen AD über eine Exchange Management Shell oder direkt per LDAP oder ADSI gepflegt worden sind. Eine direkte Änderung der für
Exchange relevanten Felder an der Exchange
PowerShell vorbei ist nicht unterstützt. Can third-party management
tools be used? Ein Grund ist sicher, dass Sie viele Überprüfungen dann selbst umsetzen müssen, die in der Exchange PowerShell enthalten sind, z.B. korrekte Mailadresse, keine doppelten Adressen, Pflege weiterer "msexch-*"-Felder etc. |
Zusammenfassung
Etwas 15 Jahre galt eine Regel: Wenn Sie ADSync nutzen, müssen Sie lokal einen Exchange für das Management vorhalten. Seit 2022 reicht eine Management Shell und seit 2025 können Sie anfangen und alles in der Cloud verwalten. Damit sollte sich für jede Firma eine passende Konfiguration finden lassen, so dass sie keine direkten Änderungen an ProxyAddresses und anderen lokalen Feldern am Microsoft Support Statement vorbei gehen müssen.
Weitere Links
- IsExchangeCloudManaged
- Microsoft 365 Verwaltung
- ADSync / AADConnect
- Microsoft 365 Identity Management
- ADSync mit Ex Online Only
- Exchange PowerShell V3
- Exchange Online PowerShell V2
- Exchange Management Rolle - Seit Ex2019CU12 sogar zum Management ohne Exchange Server
- Recipient Management PowerShell
- LES - Last Exchange Server
- HCW Features&Topologien
- Hybrid Connector Server
- Exchange Nachprovisioning
- School Data Sync (SDS)
- School Data Sync im Detail
- Exchange Nachprovisioning
-
Manage recipients in Exchange Hybrid environments using
Management tools
https://learn.microsoft.com/en-us/exchange/manage-hybrid-exchange-recipients-with-management-tools -
Demystifying Exchange Online Provisioning: Architecture,
Exchange Object Types, and Attributes
https://techcommunity.microsoft.com/t5/exchange-team-blog/demystifying-exchange-online-provisioning-architecture-exchange/ba-p/4204206 -
Plan an automatic user provisioning deployment in Microsoft
Entra ID
https://learn.microsoft.com/en-us/entra/identity/app-provisioning/plan-auto-user-provisioning - De-Provision O365 Users with Cloudbridge
https://www.youtube.com/watch?v=XAEiwgiYPKg - Tenfold - Provisioning
https://www.tenfold-security.com/en/exchange-mailbox-lifecycle/
https://www.tenfold-security.com/en/tenfold-pricing/
