EXO Shared Mailbox

Diese Seite beschreibt die Aspekte von gemeinsam genutzten Postfächern in der Exchange Online und insbesondere die Verwaltung der Berechtigungen

OnPremises-Welt

Gemeinsame Postfächer gibt es schon mit Exchange OnPremises seit vielen Jahren und eignen sich wunderbar für generische Postfächer wie "Info", "Vertrieb", "Support", so dass mehrere Mitarbeiter gemeinsam das Postfach mitlesen und auf eingehende Nachrichten reagieren können. Im Gegensatz zu öffentlichen Ordnern gibt es hier auch Regeln, einen Postausgang, gesendete Objekte und Mitarbeiter können recht schnell auch mit der Adresse der SharedMailbox senden. Sie können die anderen Benutzer einfach als Besitzer berechtigen und über ein Backlink-Attribute (Automapping) können Sie sogar steuern, ob diese Postfächer bei den Benutzern automatisch mit eingebunden werden.

Add-MailboxPermission `
   -Identity shared1@msxfaq.de `
   -User User1@msxfaq.de `
   -AccessRights FullAccess `
   -AutoMapping:$false

Die Rechte werden dann nicht nur im Postfach hinterlegt, sondern auch im lokalen AD hinterlegt. Sie können dort die Felder

# Anzeige der User, die Stellvertreter sine
Import-Module ActiveDirectory
Get-ADUser <User> -Properties msExchDelegateListBL

# Liste leeren
Set-ADUser <User> -Clear msExchDelegateListLink

Knifflig ist die Funktion der Offline-Verfügbarkeit mittels OST-Datei. Die Replikation von Shared Mailboxen ist möglich, damit Outlook nicht auf die Antwort des Servers warten muss aber kostet lokal Platz, erhöht das Transfervolumen und die Aktualisierung kann etwas dauert, so dass mehrere Benutzer sich in die Quere kommen.

SharedMB in Exchange Online

Natürlich können Sie eine Shared Mailbox auch in die Cloud migrieren und die Benutzer, die darauf zugreifen auch. Es ist sogar ein "Kreuzbetrieb" möglich, d.h. Benutzer und Shared Mailbox müssen nicht auf der gleichen Umgebung sei. Allerdings muss dann Outlook, Autodiscover und alles stimmen, da der Client sich mit beiden Welten verbinden muss. Ein Zugriff per OWA ist aber meines Wissens nicht mehr möglich, da das Exchange Online OWA sich nicht die Daten einer lokalen SharedMailbox holen kann und umgekehrt.

Daher ist es immer ratsam, die SharedMailbox und die darauf zugreifenden Benutzer in einer Gruppe zu migrieren und auf der gleichen Plattform zu betreiben.

Beachten Sie beim Betrieb von SharedMailboxen in der Cloud die Dienstbeschreibungen zu Exchange Online. Hier möchte ich zwei Grenzen hervorheben:

  • 50 GB Limit
    Eine Shared Mailbox kostet keine Lizenz, wenn Sie weniger als 50 GB Postfachspeicher hat. Wird Sie größer, dann müssen Sie eine Exchange Lizenz zuweisen.
  • Send/Empfangslimit
    Für alle Postfächer gelten ein paar feste Grenzen (Siehe Exchange Online Message Rate Grenzen), die nicht verschoben werden können. Allzu viele Mails pro Zeiteinheit sollten diese Postfächer nicht von extern erreichen

OnPremises gibt es diese Grenzen so nicht aber in beiden Welten sollten Sie den Absprung nicht verpassen, um solche speziellen Adressen vielleicht zu einem CRM-System oder Ticketsystem zu leiten.

Auch bei den Berechtigungen können Sie nur andere Postfächer oder Mailenabled-SecurityGroups zuweisen. Sie können insbesondere keine Microsoft 365 Groups oder dynamische Gruppen oder reine Verteilergruppen zuweisen. In der Exchange Admin Center sehen Sie diese Gruppen auch nicht in der Auswahl.

Gruppen und Rechte

Der Befehl "Add-MailboxPermission" kennt den Parameter "-user", um die Identität des Benutzers anzugeben. Es gibt zwar keinen Parameter "-group" aber sie können auch bei "-user" problemlos eine Gruppe mit angeben. Dies ist auch erforderlich, wenn Sie wirklich sehr viele berechtigte Benutzer haben.

Laut Microsoft können aber maximal 500 Einträge in der ACL einer SharedMailbox angelegt werden. Wer mehr Berechtigungen verwalten will, kann dies über Security Groups machen, wie Microsoft selbst beschreibt:

You can use this cmdlet to add a maximum of 500 permission entries (ACEs) to a mailbox. To grant permissions to more than 500 users, use security groups instead of individual users for the User parameter. Security groups contain many members, but only count as one entry.
Add-MailboxPermission https://learn.microsoft.com/en-us/powershell/module/exchange/add-mailboxpermission?view=exchange-ps#description

Allerdings gebe ich zu bedenken, dass 500 berechtigte Personen schon sehr viel sind. Ich sehe daher einen anderen Grund, warum Sie eine Gruppe anstatt einzelner Benutzer berechtigen wollen: Die Pflege der Berechtigungen über eine Gruppe können Sie delegieren. Mit dem richtigen Setup können "Besitzer" einer Gruppe auch die Mitgliedschaften ändern und als Administrator können Sie damit die Verwaltung der Gruppe delegieren. Ganz problemlos ist dies aber auch nicht. Zuerst können Sie nur "Mailenabled Security Groups" für die Berechtigung verwenden. In ExchangeOnline fallen Microsoft 365/Office Groups ebenso raus wie Dynamische Gruppen. Dies gilt auch für OnPremises.

Viel störender ist aber die Einschränkung von Gruppen, die über ADSync in der Cloud verwaltet werden. Sobald Sie das Postfach des Besitzers einer Gruppe in die Cloud verschoben haben, kann dieser Anwender die Mitgliedschaften seiner Gruppen nicht mehr Outlook, OWA oder dem Microsoft Portal verwalten, den die Gruppe ist in der Cloud "ReadOnly". Hier müssen Sie sich dann andere Ansätze zur Verwaltung der Mitglieder überlegen.

Gruppen und Automapping

Es gibt noch eine zweite Einschränkung, wenn Sie die Berechtigungen über eine Gruppe vergeben:

However, Autodiscover won't enumerate security groups that are given Full Access permission to the mailbox.
Add-MailboxPermission https://learn.microsoft.com/en-us/powershell/module/exchange/add-mailboxpermission?view=exchange-ps#-automapping

Die Anwender, die über eine Gruppe die Berechtigungen auf eine Shared Mailbox bekommen, müssen dieses zusätzliche Postfach manuell in Outlook oder OWA hinzufügen. Das kann dann doch wieder ein ein Grund sein, die bis zu 500 Personen individuell zu berechtigen und Automapping zu steuern.

Durch den Verzicht von Gruppen und damit der Mitgliedschaft von Anmeldekonten reduziert sich übrigens auch die Ticketsize des Anmeldetokens, welches ebenfalls zu Problemen führen kann. Siehe dazu auch Kerberos Ticketsize und Gruppen

Shared Mailbox und Clients

Solange Sie Berechtigungen auf eine SharedMailbox direkt an die Personen geben und mittels Automapping zuweisen, erscheinen die Postfächer einfach in Outlook. In OWA können sie aber eine SharedMailbox auch einfach über das Kontextmenü addieren.

Die Outlook-Nutzer müssen ohne Automapping die Postfächer über das Profil zusätzlich einbinden.

Weitere Links