Hybrid Delegate
Wenn Exchange Postfächer On-Premises und andere in Exchange Online liegen, dann sind für Stellvertreter noch einige Dinge einzustellen. Lange Zeit mussten Stellvertreter beide auf der gleichen Plattform aktiv sein. Stellvertretungen von On-Premises auf Cloud-Postfächer oder umgekehrt waren lange nicht möglich. Dies ist nun möglich aber erfordert Anpassungen durch den Exchange Administrator.
Stellvertreter On-Premises und Cloud
Ehe ich auf die Stellvertreter-Funktion in einem Hybrid-Umgebung eingehen, d.h. bei der die beiden Postfächer nicht in der gleichen Umgebung liegen, möchte ich noch einmal die Stellvertretungen ohne Hybrid und insbesondere die Der Cloud vorstellen:
Wichtig
Informationen aus den AD-Objekt-Berechtigungen oder den
Exchange Postfachberechtigungen (msexchMailboxSecurityDescriptor)
werden niiht durch ADSync in die Cloud repliziert. In diesen Feldern stehen SIDs, die es so in Exchange Online nicht gibt und von ADSync auch nicht umgeschrieben werden. Das bedeutet für ihr Provisioning aber auch,
dass die Vergabe von Berechtigungen auf Postfächer in Exchange Online nicht mehr auf dem lokalen Exchange Server erfolgen können.
Umgebung | Exchange On-Premises | Exchange Online |
---|---|---|
Senden Als |
Das Rechte wird auf dem lokalen AD-Konto zum Postfach in den ACLs gegeben. Es wird nicht durch ADSync mit der Cloud abgeglichen. |
Die Berechtigungen sind in der Cloud unabhängig zu vergeben |
Senden im Auftrag von |
Diese Recht steht im Feld msexchMailboxSecurityDescriptor. Der Inhalt des Felds wird nicht durch ADSync in die Cloud repliziert. Bei der Migration eines Postfachs in die Cloud versucht aber der MRS die berechtigten Objekte auf Cloud-Objekte umzusetzen und das Postfach in der Cloud entsprechend zu berechtigen. |
Die Berechtigungen sind in der Cloud unabhängig zu vergeben |
Voller Mailboxzugriff |
Diese Recht steht im Feld msexchMailboxSecurityDescriptor. Der Inhalt des Felds wird nicht durch ADSync in die Cloud repliziert. Bei der Migration eines Postfachs in die Cloud versucht aber der MRS die berechtigten Objekte auf Cloud-Objekte umzusetzen und das Postfach in der Cloud entsprechend zu berechtigen. |
Die Berechtigungen sind in der Cloud unabhängig zu vergeben |
Bei der Migration von Postfächern in die Cloud versucht übrigens der MRS (Mailbox Replication Service)
- Senden als ...
- Rechte auf Postfächer
- FolderPermission
- MailboxACL
- Migrate Mailbox Permissions to Office
365
https://blogs.technet.microsoft.com/zarkatech/2015/06/11/migrate-mailbox-permissions-to-office-365/ - Migrate Mailbox Permissions to Office
365
https://gallery.technet.microsoft.com/scriptcenter/Migrate-Mailbox-Permissions-2f262f8b/view/Discussions - Sticky Bit 3: Migrating Mailbox
Permissions when moving to Office 365
https://www.essential.co.uk/blog/articles/migrating-permissions-when-moving-to-office-365/
Voraussetzungen
Damit die Exchange Server mit den neuen Funktionen umgehen können, ist ein Update erforderlich. Die Mindestversionen auf allen Exchange Servern sind:
Exchange | Einstellung |
---|---|
2010 SP3 |
Die globale Konfiguration ist nicht verfügbar aber sie können die Einstellung pro Benutzer machen |
2013 CU9 (Jun 2015) |
Die globale Konfiguration ist nicht verfügbar aber sie können die Einstellung pro Benutzer machen |
2013 CU10+ (Sep 2015) |
Aktivieren Sie die globale Einstellung und passen Sie bestehende Benutzer an |
2016 |
Aktivieren Sie die globale Einstellung und passen Sie bestehende Benutzer an |
2019 |
RTM |
Die Updates müssen auf allen Servern installiert sein. Neuere Versionen sind natürlich auch möglich. Zudem müssen Sie eine aktuelle Version des ADSync-Moduls haben, welche die Berechtigungen entsprechend in die Cloud überträgt.
Beachten Sie, dass Office 365 F1 Benutzer keine Stellvertreter auf das eigene Postfach einrichten können. Sie können aber auf andere Postfächer zugreifen, bei denen Sie als Stellvertreter eingetragen sind. Wobei das mit OWA nicht ganz so elegant geht wie mit Outlook. ein F1-Benutzer hat aber keine Outlook Lizenz im Rahmen von Office 365.
Organisationsweite On-Premises Einstellung
Damit Benutzer auf dem lokalen Exchange Server überhaupt Zugriff auf Postfächer in der Cloud durchführen können, müssen Sie auf der Ebene der Exchange Organisation folgenden Schalter umlegen.
# Anzeigen der aktuellen Einstellung (get-OrganizationConfig).ACLableSyncedObjectEnabled #Aktivieren Set-OrganizationConfig ` -ACLableSyncedObjectEnabled $true
Diese Einstellung sorgt auch dafür dass alle Benutzer, die ab jetzt von On-Premises in die Cloud migriert werden, auch für die den Zugriff für Stellvertreter freigeschaltet sind. Alle vorher verschobenen Benutzer sind es aber noch nicht.
Diese Einstellung wirkt sich nur auf Postfächer aus, die danach in die Cloud verschoben werden.
Bei allen Objekte, die vorher verschoben wurden, müssen Sie einmal im lokalen Active Directory noch einen Wert anpassen. Eine PowerShell macht das recht einfach:
Get-RemoteMailbox ` | ForEach { ` Get-AdUser ` -Identity $_.Guid ` | Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}` }
- Hybrid SendAs
- Configure Exchange to support delegated mailbox permissions
in a hybrid deployment
https://docs.microsoft.com/de-de/exchange/hybrid-deployment/set-up-delegated-mailbox-permissions - Configure Exchange to support delegated mailbox permissions
in a hybrid deployment
https://docs.microsoft.com/de-de/exchange/hybrid-deployment/set-up-delegated-mailbox-permissions
Anpassung der "Remote Mailbox"
Alle Benutzer, die vor der globalen Anpassung schon in die Cloud verschoben wurden, haben aber einen falschen Wert im Feld "msExchRecipientDisplayType". Hier steht noch der Wert "-2147483642" drin. Generieren Sie einfach mal einen Bericht über alle Postfächer, die noch diesen Wert haben.
Get-ADUser ` -Filter * ` -Properties msExchRecipientDisplayType ` | where {$_.msExchRecipientDisplayType -eq -2147483642}
Sie sollten hier alle Postfächer erhalten, die vor der globalen Einstellung in die Cloud migriert wurden. Dieser Wert ist anzupassen. Dazu hängen wir einfach ein "Set-ADUser" dran.
Get-ADUser ` -Filter * ` -Properties msExchRecipientDisplayType ` | where {$_.msExchRecipientDisplayType -eq -2147483642} ` | Set-ADUser -Replace @{msExchRecipientDisplayType = -1073741818}
Wer die Änderungen lieber per Exchange PowerShell durchführt, kann dies auch mit Get-Remote-Mailbox machen.
Get-RemoteMailbox ` -ResultSize unlimited ` | ForEach { ` Get-AdUser ` -Identity $_.Guid ` | Set-ADObject ` -Replace @{msExchRecipientDisplayType=-1073741818} ` }
Die Änderungen werden sehr schnell aktiv, da ihr lokales Outlook ja immer den lokalen Exchange Server fragt und dieser abhängig von den globalen Einstellungen und diesem Feld die entsprechenden Postfächer bei einer Autodiscover-Abfrage mit ausliefert oder eben nicht.
Sonderfall "New-RemoteMailbox
Die neue Funktion scheint durch den MRS umgesetzt zu werden, der bei der Umstellung einer Mailbox in die Cloud auch aus der lokalen "Mailbox" eine "Remote-Mailbox" macht. Allerdings berücksichtigt dieser Prozess natürlich nicht die Postfächer, welche Sie direkt in der Cloud anlegen. Folgender Befehl erzeugt (Stand April 2019) ein nicht komplett konfiguriertes Postfach in der Cloud.
New-RemoteMailbox ` -UserPrincipalname remoteuser@msxfaq.net ` -Name "RemoteMailbox
Das Objekt hat dann wieder den Wert "-2147483642" im Feld "msExchRecipientDisplayType". Sie müssen dann den Wert wieder anpassen.
Ich hoffe, dass Microsoft in einem weiteren Exchange Update auch das "New-RemoteMailbox"-Commandlet aktualisiert und abhängig von der Organisationseinstellung
- A remote mailbox created in On-Premises
AD DS is not ACLable in Exchange Online
https://support.microsoft.com/en-us/help/4051497/a-remote-mailbox-created-in-On-Premises-active-directory-is-not
ADSync
Alle bislang gemachten Änderungen finden "On-Premises" lokal statt. Für das Update der Objekte in Exchange Online ist ADSync zuständig, Daher lohnt sich ein Blick auf die Konfiguration in ADSync.
In dem Rule-Editor lässt sich recht einfach auf das Feld "msExchRecipientDisplayType" filtern.
Beim nächsten "Delta-Abgleich" ist dann direkt die Änderung zu sehen.
Diese Änderung wird zwar in die Cloud übertragen, aber hat für den Zugriff als Stellvertreter anscheinend keine Funktion. Da ist der Wert i lokalen Active Directory maßgeblich.
Weitere Links
- msExchRecipientTypeDetails
- Configure Exchange to support delegated
mailbox permissions in a hybrid deployment
https://docs.microsoft.com/de-de/exchange/hybrid-deployment/set-up-delegated-mailbox-permissions - Configuring Exchange Hybrid Cross-Forest
Permissions
https://practical365.com/exchange-online/configuring-exchange-hybrid-cross-forest-permissions/ - Overview of delegation in an Office 365
hybrid environment
https://support.microsoft.com/en-us/help/3064053/overview-of-delegation-in-an-office-365-hybrid-environment - Standortübergreifende
Postfachdelegierung in Hybrid Office 365
https://www.myucblog.de/2018/05/15/standort%C3%BCbergreifende-postfachdelegierung-in-hybrid-office-365/ - DELEGATED MAILBOX PERMISSIONS
CROSS-PREMISES
https://jaapwesselius.com/2016/02/24/delegated-mailbox-permissions-cross-premises/ - Delegate permissions in Exchange Hybrid
– Part Two – Full Mailbox Access
https://mikeparker365.co.uk/2016/12/16/delegate-permissions-in-exchange-hybrid-part-two-full-mailbox-access/ - Cross-premises support for Send on
behalf of and Folder level permissions
https://www.michev.info/Blog/Post/1987/cross-premises-support-for-send-on-behalf-of-and-folder-level-permissions - A remote mailbox created in On-Premises AD DS is not ACLable in Exchange
Online
https://support.microsoft.com/en-us/help/4051497/a-remote-mailbox-created-in-On-Premises-active-directory-is-not - Configure Exchange Hybrid mailbox permissions during migration to Exchange
Online
https://cloudrun.co.uk/exchange-online/configure-exchange-hybrid-mailbox-permissions-during-migration-to-exchange-online/