DL Management mit EXO
SeiteninhaltSeit vielen Jahren können Anwender mit Outlook auch Verteilergruppen verwalten. Über den Exchange Server werden durch Exchange die Active Directory Gruppen verwaltet. Da ist die Überraschung groß, dass dies mit Exchange Online nicht mehr geht. Hier beschreibe ich die Zusammenhänge.
Mailverteiler und ADSync
Exchange Server nutzen als Verzeichnisdienst seit der Version 2000 das Active Directory. Jede "Mail-Distributiongroup" ist auch immer eine Active Directory Verteilergruppe oder Sicherheitsgruppe. Sobald nun Exchange Online ins Spiel kommt, ist auch ADSync ein mächtiger Mitspieler, der gleich mehrere Auswirkungen hat.
- Lokale Verteiler landen in Exchange
Online
ADSync sorgt dafür, dass die Objekte in der Cloud automatisch anhand lokaler Objekte im Active Directory verwaltet werden. Damit wird sichergestellt, dass z.B. die globale Adressliste in der Cloud auch alle Empfänger enthält, die es in der lokalen Exchange Organisation gibt. Meist klappt das. - Exchange Online-Verteiler sind "Read-Only"
Sobald aber Exchange Online erkennt, dass es eine Verzeichnissynchronisation gibt, werden viele Objekte in der Cloud plötzlich "Read-Only", d.h. können nicht mehr direkt in der Cloud administriert werden. Darunter fallen erst auch die Verteiler und die Liste der Mitglieder in den jeweiligen Verteilern
Diese beiden Dinge führen aber dazu, dass Anwender mit einem Postfach in Exchange Online die Möglichkeit verlieren, Verteilergruppen als Manager zu verwalten. Solange das Postfach "OnPremises" ist, war das noch möglich. In Exchange Online sind die Objekte "Read-Only".
Auf der Suche nach Lösungen habe ich vier Umgebungen beschrieben. Sie sollten ihre Installation eigentlich zur einer Topologie zuordnen können
Exchange Online ohne ADSync
Dieser Fall ist sicher nur für ganz kleine Firmen interessant aber es gibt ihn natürlich. Firmen, die Office 365 und Exchange Online mit "Cloud Only"-Konten nutzen und keinen ADSync eingesetzt haben. Sie haben entweder kein lokales Active Directory oder haben sich bewusst dafür entschieden, die Identitäten und Kennworte in der Cloud unabhängig von eventuell lokal vorhandenen Active Directory Konten zu halten.
Hier können die Anwender natürlich auch in Outlook mit Exchange Online ihre Verteilergruppen pflegen. Allerdings dürfte das auch nicht allzu oft vorkommen.
Exchange Online und ADSync
Interessanter wird es für die Firmen, die schon komplett alle Postfächer in Exchange Online betreiben aber die Verwaltung der Anmeldekonten und Gruppen über ADSync erfolgt. Das vereinfacht die Administration und auch Funktionen wie Password Hash Sync (PHS) oder Pass-Through Authentifizierung (PTA) sind ja durchaus ein Vorteil und je größer die Firma ist, desto wichtiger wird eine sauber konfigurierte Identitätenverwaltung.
Zur Verwaltung der Empfänger benötigen Sie natürlich OnPremises einen Exchange Server, denn offiziell unterstützt Microsoft nur die Verwaltung mittels Exchange PowerShell oder ECP. Direkte Änderungen per ADSIEDIT oder 3rd Party-Tools funktionieren aber sie bewegen sich damit in einem Graubereich.
Diese Firmen haben aber genau das Problem, dass die Verteiler durch Anwender nicht mehr selbst verwaltet werden können. Eine Empfehlung von Microsoft gibt es nicht.
Eine Lösung könnten hier "Cloud Only"-Verteiler sein, die nicht im lokalen Active Directory angelegt werden und daher auch nicht mit ADSync in die Cloud übertragen werden. Solche "Cloud Only"-Verteiler können dann in Exchange Online und mit Outlook verwaltet werden. Wenn Sie eine Erreichbarkeit der Verteiler auch für die OnPremises-Exchange Server und Dienste sicherstellen wollen, dann können Sie zu jedem Verteiler in der Cloud auch einen Mailkontakt mit Zieladresse auf den Cloud-Verteiler im lokalen AD anlegen. Allerdings sollten Sie die Kontakte z.B. in eine eigene OU ablegen und in ADSync ausschließen. Aufwändig ist bei dieser Lösung natürlich die getrennte Verwaltung in der Cloud, das Fehlen der Gruppe im lokalen AD z.B. für Berechtigungen und natürlich die Umstellung bestehender durch ADSync bereitgestellter Gruppen in "Cloud Only"-Gruppen.
Natürlich können Sie die Berechtigungen der Benutzer auch im lokalen AD erweitern und den Anwender eine eingeschränkte Version der LDAP-Verwaltungstools geben.
- ADSync mit Exchange Online
- https://GitHub.com/kesicins/-Distribution-Group-Migration-Kit
- How to Manage Distribution Groups from
Office 365 in a Hybrid Environment
http://www.expta.com/2016/11/how-to-manage-distribution-groups-from.html -
https://GitHub.com/timmcmic/DLConversion
https://GitHub.com/timmcmic/DLConversion/blob/master/src/DLConversion.ps1
Exchange Hybrid und ADSync
Die Mehrzahl meiner Installationen nutzen aber Exchange Hybrid und Postfächer gibt es sowohl in Exchange Online als auch Exchange OnPremises. Die Gründe sind vielfältig. Teilweise gibt es Standorte mit schlechter Anbindung an die Cloud, manchmal sind Compliance-Vorgaben nicht anders zu erfüllen und in einen Fällen verhindern die "Exchange Online Limits" von z.B. maximal 3600 eingehenden Mails/Tag/Postfach oder 30 ausgehende Mails/Minute den Betrieb von speziellen Funktionspostfächern.
Mit dem Wechsel auf Modern Auth für POP/IMAP im Oktober 2020 kann es wieder erforderlich sein, bestimmte Postfach OnPremises zu betreiben, damit interne Skripte weiter per POP/IMAP solche Inhalte erreichen können.
Die Benutzer mit einem Postfach auf dem eigenen OnPremises Exchange Server können weiterhin die Verteiler verwalten während Benutzer in Exchange Online diese Funktion nicht nutzen können. Dabei wären mehrere Lösungen denkbar, die aber alle nicht vorhanden sind.
- Exchange Online Verteiler "Read-Write"
machen und ADSync mit WriteBack ausstatten
Aktuell ist es ja einfach nur eine Einstellung, dass ADSync in den meisten Fällen unidirektional repliziert und Exchange Online die Veränderungen an den Verteilern unterbindet. Microsoft könnte sicher auch die Verteiler in der Cloud "beschreibbar" machen. Allerdings müsste dann ADSync auch die Mitglieder von Verteilern wieder nach OnPremises zurückschreiben, damit auch das lokale Exchange die gleichen Daten nutzt. ADSync schreibt ja heute schon einige Werte zurück, wie ich auf ADSync Bidirektional beschrieben habe. - Proxy für Gruppen editieren
Microsoft könnte natürlich auch Exchange Online derart erweitern, dass Anwender weiterhin mit Outlook oder OWA in Exchange Online die Mitglieder ihrer Gruppen ändern. Wenn Exchange Online dann aber nicht in das AzureAD schreiben kann und ADSync auch nichts zurückschreibt, dann könnte Exchange Online ja z.B. per EWS die Einträge im Auftrag des Benutzers im lokalen Active Directory vornehmen. Exchange Online kann im Hybrid Mode ja heute schon per MRSProxy Informationen im lokalen Active Directory ändern.
Allerdings würde dann eine Änderung im lokalen AD erscheinen und erst nach dem nächsten ADSync-Lauf in Exchange Online sichtbar werden. Das ist schon einen merkliche Verzögerung. - Lokale Verwaltung
Nur weil ein Benutzer ein Postfach in der Cloud hat, bedeutet es ja nicht, dass er sich nicht dennoch auf dem lokalen Exchange Server anmelden könnte. Microsoft könnte Exchange OnPremises so anpassen, dass auch ein Benutzer mit Postfach in der Cloud eine eingeschränkte ECP-Oberfläche hat und von der Cloud z.B. per Redirect umgeleitet wird.
Aber auch hier wäre die Änderung erst lokal und nach dem nächsten ADSync-Lauf in der Cloud sichtbar - Eigene Lösung
Natürlich können Sie das "Problem" auf derart umgehen, dass Sie ihren Anwendern eine eigene Webseite, App o.ä. bereitstellen, die die Funktion z.B. als SharePoint App im Intranet nachbaut. Damit bekommen Sie zwar die Fehlermeldung in Outlook nicht weg aber die betroffenen Anwender hätten dann zumindest eine Option.
Mein Favorit wäre natürlich die erste Variante. Leider gibt es aktuell keine der drei Optionen und die letzte Option bedeutet entweder "Selbst entwickeln" oder "Produkt zukaufen"
Sobald ich etwas in Erfahrung bringe, ob Microsoft hier eine Änderung durchführt, werde ich die Seite aktualisieren.
Exchange Hybrid and ADSync and Provisioning
Die letzte Topologie entspricht fast der vorherigen Umgebung. Sie unterscheidet sich aber darin, dass Benutzer die Verteiler nicht über Outlook oder OWA verändern können oder dürfen, sondern eine andere Technik zum Einsatz kommt.
Je größer eine Firma ist, desto wahrscheinlicher ist der Einsatz eines Identity Management Systems, z.B. FIM/MIM, welche die Verwaltung der Identitäten übernimmt. Es kann z.B. elegant die Liste der Mitarbeiter aus HR extrahieren und die dazu passenden Active Directory Konten, Gruppen und Stammdaten pflegen. Dies entlastet den Administrator vor Routineaufgaben und verbessert merklich die Qualität der Stammdaten.
Über solche Prozesse lassen sich dann natürlich nicht nur Benutzer sondern auch die Mitglieder von Gruppen automatisch pflegen, z.B. anhand von Abteilungszugehörigkeiten oder anderen Stammdaten. Und wenn die Plattform es hergibt, können die Anwender z.B. über eine Webseite natürlich auch selbst die Änderungen anstoßen.
In dem Fall ist eine Lösung ebenfalls vorhanden und keine Anpassung erforderlich.
Zusammenfassung
von den vier Szenarien gibt es eigentlich nur das dritte Szenario, welches ein echtes Problem hat und zu dem es von Microsoft keine Empfehlung oder Anleitung gibt. Die Exchange Online Benutzer können ihre Verteiler nach dem Umzug in die Cloud nicht mehr verwalten und die Firma ist zu groß, dass Sie diese Funktion über "Cloud Only Verteiler" ersatzweise bereitstellen. Für die anderen Fälle gibt es zumindest Möglichkeiten, dass Anwender auch mit Exchange Online und Outlook ihre Verteiler verwalten.
Leider gibt es aber keine von Microsoft empfohlene Lösung für all die Tenants, die Exchange Hybrid nutzen und Postfächer sowohl in Exchange Online als auch OnPremises sind.
