EXO Verteiler Migration
Wer Exchange Online mit ADSync verwendet, kennt die Probleme von Verteilern, die auch durch ADSync verwaltet werden. Sie können nicht in der Cloud verwaltet verwaltet werden. Sie können also auch keine CloudOnly-Benutzer oder Gäste addieren, da ADSync die Finger drauf hält. Diese beschreibt, wie sie daraus CloudOnly-Verteiler machen können.
Problemstellung
Dass ADSync die Gruppen, deren Mitgliedschaften und Mailadressen zwischen einem lokalen Exchange und Exchange Online synchron hält, ist für die Funktion einer Exchange Hybrid-Bereitstellung mit gemeinsam genutzter SMTP-Domain nicht nur "nett" sondern eine für die reibungslose Funktion zwingend erforderlich. Aber wenn Sie keine lokalen Exchange Server mehr betreiben und nur noch ADSync mit der Exchange Management Rolle betreiben, dann stört der "Schreibschutz" in der Cloud.
Die Probleme gehen noch weiter, denn solange z.B. Exchange Postfächer alle OnPremises waren, konnten Sie als Administrator auch reguläre Benutzer zum "Besitzer" einer Gruppe machen. Das sollten sie natürlich nie mit kritischen Berechtigungsgruppen machen aber für Exchange Verteiler oder Berechtigungsgruppen auf SharedMailboxen ist diese Option durchaus interessant. Die normalen Anwender konnten nämlich dann über Outlook oder OWA direkt die Mitgliedschaften der Gruppen selbst verwalten.
Sobald Sie aber das Postfach des Mitarbeiters zu Exchange Online verschoben haben, ist dieser Weg verbaut. Outlook und OWA verbinden sich mit ExchangeOnline und Exchange Online kommuniziert nur mit seinem eigenen Verzeichnisdienst in der Cloud. Ein Durchgriff auf das lokale AD ist damit nicht möglich und die Gruppen in der Cloud sind dank ADSync leider "ReadOnly".
Sie müssen Sich in dem Fall eine eigene Lösung bauen oder zukaufen, mit der die Anwender z.B. per Browser auf einem Portal die lokalen Mitgliedschaften verwalten können.
Da stellt sich dann schon die Frage, ob wir die Verknüpfung zwischen der lokalen Gruppe und der AzureAD/ExchangeOnline Gruppe nicht irgendwie auflösen können.
Achtung: Solange es lokale Exchange Server gibt, müssen Sie immer darauf achten, dass beide Welten alle Empfänger kennen.
Ausgangssituation
Die nächsten beiden Abschnitte gehen davon aus, das wir AzureAD-Gruppen über den Papierkorb wiederherstellen können. Dies ist (Stand Okt 2023) nur für Microsoft Groups möglich.
Ich habe zuerst einen Verteiler im lokalen Exchange Server mit vier Mitgliedern angelegt und msExchExtensionCustomAttribute1 und msExchExtensionAttribute1 gefüllt. Ich hätte noch mehr Properties füllen können aber für meinen Test sollte die reichen.
Einige Minuten später war ADSync fertig und die Informationen im Azure AD sind überschaubar.
PS C:\> Get-AzureADGroup -ObjectId 70a8bf9b-ed4c-44d8-895e-9b5862986536| fl * DeletionTimestamp : ObjectId : 70a8bf9b-ed4c-44d8-895e-9b5862986536 ObjectType : Group Description : DirSyncEnabled : True DisplayName : FCDLTest LastDirSyncTime : 19.10.2023 14:36:51 Mail : FCDLTest@msxfaqdev.de MailEnabled : True MailNickName : FCDLTest OnPremisesSecurityIdentifier : S-1-5-21-11949449-30417519-71842111-15974 ProvisioningErrors : {} ProxyAddresses : {x500:/o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=dd48d38006c74bbb891f1e268dd187e2-70a8bf9b-ed, X500:/o=Net at Work GmbH/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1296180ee7994b85904ccb060829044d-FCDLTes, smtp:FCDLTest@msxfaqdev.onmicrosoft.com, smtp:FCDLTest@nospamproxy.org...} SecurityEnabled : True
Etwas mehr Informationen zeigt hier schon die Exchange Online Powershell. Hier sehen Sie in der Zeile 4 auch das Flag "IsDirSynced"
PS C:\> Get-DistributionGroup fcdl* | fl GroupType : Universal, SecurityEnabled SamAccountName : $S9GPJ0-RQNCERJI816P BypassNestedModerationEnabled : False IsDirSynced : True ManagedBy : {Organization Management} MemberJoinRestriction : Closed MemberDepartRestriction : Closed MigrationToUnifiedGroupInProgress : False HiddenGroupMembershipEnabled : False ReportToManagerEnabled : False ReportToOriginatorEnabled : True SendOofMessageToOriginatorEnabled : False Description : {} BccBlocked : False AcceptMessagesOnlyFrom : {} AcceptMessagesOnlyFromDLMembers : {} AcceptMessagesOnlyFromSendersOrMembers : {} AddressListMembership : {\All Distribution Lists, \Offline Global Address List, \Default Global Address List, \Groups(VLV)…} AdministrativeUnits : {} Alias : FCDLTest ArbitrationMailbox : SystemMailbox{15e25b94-0120-42b3-ae34-7aae37db8ded} BypassModerationFromSendersOrMembers : {} OrganizationalUnit : deup281a007.prod.outlook.com/Microsoft Exchange Hosted Organizations/msxfaqdev.onmicrosoft.com CustomAttribute1 : extensionAttribute1 ExtensionCustomAttribute1 : {} DisplayName : FCDLTest EmailAddresses : {SMTP:FCDLTest@msxfaq.net…} ExternalDirectoryObjectId : 70a8bf9b-ed4c-44d8-895e-9b5862986536 HiddenFromAddressListsEnabled : False LegacyExchangeDN : /o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipien ts/cn=dd48d38006c74bbb891f1e268dd187e2-70a8bf9b-ed MaxSendSize : Unlimited MaxReceiveSize : Unlimited ModeratedBy : {} ModerationEnabled : False PoliciesIncluded : {} PoliciesExcluded : {{26491cfc-9e50-4857-861b-0cb8df22b5d7}} EmailAddressPolicyEnabled : False PrimarySmtpAddress : FCDLTest@msxfaqdev.de RecipientType : MailUniversalSecurityGroup RecipientTypeDetails : MailUniversalSecurityGroup RejectMessagesFrom : {} RejectMessagesFromDLMembers : {} RejectMessagesFromSendersOrMembers : {} RequireSenderAuthenticationEnabled : True SimpleDisplayName : SendModerationNotifications : Always UMDtmfMap : {} WindowsEmailAddress : FCDLTest@msxfaq.net MailTip : MailTipTranslations : {} Identity : 70a8bf9b-ed4c-44d8-895e-9b5862986536 Id : 70a8bf9b-ed4c-44d8-895e-9b5862986536 IsValid : True ExchangeVersion : 0.10 (14.0.100.0) Name : 70a8bf9b-ed4c-44d8-895e-9b5862986536
Damit war die Ausgangsituation geschaffen.
Eine Gruppe als Mailverteiler im AzureAD und Exchange Online, die ich nicht in der Cloud verwalten kann, weil ADSync die Hand drauf hält.
Verteiler löschen und Undelete?
Eine lange Lebensdauer war meiner Testgruppe nicht beschieden, den ich habe sie im lokalen AD direkt wieder gelöscht. Da ich lokal noch einen LES - Last Exchange Server bzw. Hybrid Connector Server habe, habe ich das ECP genutzt. Es macht technisch aber keinen Unterschied, wie ich die Gruppe aus dem lokalen AD letztlich lösche.
Achtung:
Mit der Löschung verschwinden
auch die Mailadressen der Gruppe. Es sollte also keinen
lokalen Exchange Server mehr geben der andere Dienste, die
z.B. per LDAP diese Mailadresse suchen. Das können auch
lokale Spamfilter, Scan2Mail oder Skripte sei, die das
Active Directory zugleich als Adressbuch nutzen.
Aber es gibt immer mehr Firmen, die den lokalen Exchange Server komplett loswerden wollen aber dennoch ihre Benutzer mit ADSync verwalten. Sie können natürlich auch allein mit einer Exchange Management Rolle und ADSync verwalten aber die Beschränkung bleibt, dass der Verteiler in der Cloud "ReadOnly" ist und alle Mitglieder zwingend auch lokale AD-Objekte sein müssen. Also keine Gäste, keine Microsoft Teams, keine Office Groups etc. Das geht alles mit "Cloud Only"-Verteilern. Also lösche ich den Verteiler im lokalen AD
Nun muss ich wieder einen ADSync abwarten oder anstoßen, damit die Gruppe auch im AzureAD gelöscht wird. Der Verteiler verschwindet damit komplett aus Exchange Online und auch im AzureAD-Portal. Wenn Sie nun aber auf "gelöschte Gruppen" gehen, dann finden Sie die soeben gelöschte Gruppe nicht (Stand Okt 2023).
https://portal.azure.com/#view/Microsoft_AAD_IAM/GroupsManagementMenuBlade/~/DeletedGroups
Auf der Suche, ob dies vielleicht per PowerShell möglich ist, habe ich folgende Aussage gefunden:
When a group is deleted it is initially
soft deleted and can be recovered during the first 30 days
after deletion. After 30 days the group is permanently
deleted and can no longer be recovered. Note that soft
delete is currently only implemented for Unified Groups (a.k.a.
Office 365 Groups)
Quelle: Get-AzureADMSDeletedGroup
https://learn.microsoft.com/en-us/powershell/module/azuread/get-azureadmsdeletedgroup
Die Funktion ist für reguläre Gruppen einfach nicht vorhanden. Sie können aktuell Gruppe nicht wiederherstellen, die nicht zugleich "Microsoft Groups" sind. Einen Grund dafür kann ich leider nicht geben.
Dies ist daher kein Weg, um eine bisher per ADSync in Exchange Online verwaltete Gruppe zur CloudOnly-Gruppe zu machen.
- Get-MgDirectoryDeletedItem
https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.identity.directorymanagement/get-mgdirectorydeleteditem - Get-AzureADMSDeletedGroup
https://learn.microsoft.com/en-us/powershell/module/azuread/get-azureadmsdeletedgroup - Recovering Deleted Groups with the Graph
PowerShell SDK
https://office365itpros.com/2023/01/06/restore-deleted-azure-ad-group/
DirSync Aus/An-Schalten
Dann habe ich mir überlegt, ob ich nicht einfach ADSync komplett entferne und damit die Objekte in der Cloud zu "CloudOnly"-Objekten werden. Das ist sogar möglich.
- Im Tenant die Funktion "DirSync"
abschalten
Das kann durchaus einige Stunden dauern aber dann sollten ALLE Objekte den Status von "DirSync" auf "CloudOnly" erhalten haben. - ImmutableID gibt es nicht
Wenn Sie Benutzer über den Weg von DirSync auf CloudOnly setzen wollen, dann müssen Sie danach die ImmutableID in der Cloud löschen. Ansonsten würde eine neue ADSync-Installation das Objekt direkt wieder "finden und eindeutig zuordnen. Bei Verteilern gibt es aber keine ImmutableID - ADSync wieder einrichten und Gruppen
ausschließen.
Natürlich will ich ja ADSync für Benutzer und viele andere Gruppen und Devices behalten. Also richte ich ADSync wieder ein aber schließe in der Quelle nun die Exchange Verteiler aus. ADSync matched alle Benutzer wieder anhand der ImmutableID und auch die im ADSync eingeschlossenen Gruppen. Die nun aber ausgeschlossenen Gruppen "bleiben" CloudOnly-Gruppen und sind damit in Exchange Online verwaltbar.
Leider ist das Verfahren alles andere als mal eben gemacht, denn wenn Sie nur die Gruppen aus dem lokalen AD ausschließen oder entfernen würden, dann würde ADSync diese auch in der Cloud löschen. Sie müssen schon den DirSync des kompletten Tenants deaktivieren und neu einrichten. Das kann Stunden dauern, bis alle Objekte in der Cloud "umgestellt" sind, in der es dann auch keine Updates aus dem lokalen AD gibt und es ist schon ein Spiel am offenen Herzen, denn bei der Neueinrichtung des ADSync müssen sie schon sauber arbeiten. So bleibt dann die Gruppe mit dem letzten Stand aus dem lokalen AD im AzureAD erhalten.
Ich habe noch keine Versuche angestellt, die Gruppe im lokalen AD zu löschen oder auszuschließen und vor im Metaverse und Connectorspace das Objekt so zu löschen, das es keinen Export der Löschung ins AzureAD gibt. Das wäre auch nicht hilfreich, wenn die Gruppe im AzureAD dann weiter als "DirSynced" gegen Veränderungen geschützt wäre
Groupmember Management
Nehmen wir an, dass Sie weiterhin die Mitgliedschaften von Gruppen direkt in Exchange Online verwalten wollen. Dazu gibt es im Dezember 2023 neben dem Weg über Outlook sogar zwei URLs:
- MyAccount:My Groups
Hier kann der Anwender sehen, in welchen Gruppen er Mitglied ist und welcher als Besitzer verwalten darf.
https://myaccount.microsoft.com/groups/groups-i-own
- Exchange Online Admin Center für Anwender
https://outlook.office365.com/ecp/MyGroups/PersonalGroups.aspx
ich weiß aber nicht, wie lange es dieses alte Portal noch gibt.
Das Problem der per ADSync verwalteten Gruppen ist, dass Sie diese selbst als Besitzer nicht verwalten können. Das geht nur mit Cloud-Only-Gruppen.
Gruppenkaskade
Nun könnten sie ja auf folgende Konstruktion kommen:
AD (hidden) Gruppe -> ADSync -> EXOGruppe (Hidden) -> Mitglied in EXOOnly-Gruppe
- Lokale AD-Gruppe (ohne Exchange
Funktion)
Sie legen eine Gruppe im lokalen AD an, in welche Sie Mitglieder addieren. Allerdings wird diese Gruppe nicht für Exchange aktiviert, denn Sie kann ja nicht durch einen Cloud-Anwender verwaltet werden - ADSync verwaltet den Zwilling
ADSync repliziert diese Gruppe mit ihren Mitgliedern ins AzureAD. - Cloud-Only Mailenabled Security Group
Der Administrator legt in Exchange Online/AzureAD nun eine ganz normale mailaktiviert Sicherheitsgruppe an. Diese Gruppe kann von dem Besitzer der Gruppe wie erwartet verwaltet werden. Als Vorarbeit addieren wird aber die per ADSync replizierte Gruppe in diese CloudOnly-Gruppe
Nu haben Sie eigentliche beide Funktionen erreicht: Sie können die Mitgliedschaft der Gruppe im lokalen AD verwalten und mit der CloudOnly-Gruppe können Sie zusätzlich auch Gäste und anderen CloudOnly-Konten mit addieren. Eine Mail an die Cloud-Only-Gruppe wird an alle Personen zugestellt.
Was auf den ersten Blick wie eine pfiffige Lösung aussieht, ist letztlich eine schwer zu verwaltende Verkettung von Gruppen, von der ich ganz deutlich abrate
CloudOnly-Gruppen
Wenn Sie wirklich Verteiler in der Cloud native verwalten wollen, dann sollten sie allein zur Vereinfachung diese auch wirklich nur dort verwalten. Wer bisher Exchange OnPremises genutzt hat und seine Migration nach Exchange Online quasi abgeschlossen hat und den LES - Last Exchange Server sogar schon durch die nur noch die Exchange Management Rolle abgelöst hat, wird sich kaum noch mit M365Groups Writeback oder ADSync für Verteiler herumschlagen wollen. Ihre Lösung könnte wie folgt aussehen, wenn Sie die lokalen AD-Gruppen für keine anderen Einsatzzweck mehr benötigen
- Export der lokalen Verteilergruppen
Zuerst können Sie von den lokalen Verteilergruppen die relevanten Felder exportieren. Dazu zählt neben dem Gruppennamen und ihrer Mailadressen (ProxyAddresses) auch die Liste der Mitglieder und der LegacyExchangeDN. Wenn Sie noch etwas weiter gehen wollen, dann könnten Sie versuchen die ACLs nach diesen Gruppen zu durchforsten - ADSync Ausschluss
Wenn Sie die lokalen Gruppen nicht sofort löschen wollen, dann können Sie diese aber zumindest schon bei ADSync ausschließen, z.B. indem Sie diese in eine nicht replizierte OU verschieben. Beim nächsten ADSync-Lauf werden diese Gruppen natürlich in Exchange Online gelöscht Sie sind einige Minuten nun nicht mehr erreichbar oder sichtbar - Exchange Online Gruppen Anlegen
Da nun auch die Mailadressen frei geworden sind, können Sie die Gruppen in Exchange Online als "CloudOnly Mailenabled Securitygroup" über die Exchange Online PowerShell anlegen und mit allen Eigenschaften versehen. Denken Sie z.B. auch an den alten LegacyExchangeDN und X.500. Sollten die bisherigen Gruppen für Berechtigungen auf SharedMailbox o.ä. genutzt worden sie, müssen Sie diese nun natürlich weiterführen.
Am Ende sieht das Bild dann wie folgt aus:
Ehe Sie nun eigene Skripte starten, möchte ich Sie auf ein Projekt von Timothy McMichael hinweisen, welches mittlerweile als Version 2.0 vorliegt.
- Office 365 – Distribution List Migration – Version 2.0 – Table of Contents
https://timmcmic.wordpress.com/2023/01/08/office-365-distribution-list-migration-version-2-0/ - Office 365: Challenges with Distribution Groups for Migrated Mailboxes and a
Script Based Solution ( Script Version 1.0 )
https://timmcmic.wordpress.com/2019/10/22/office-365-challenges-with-distribution-groups-for-migrated-mailboxes-and-a-script-based-solution-2/
Die Funktion des Skripte hat der Autor in 39! Episoden aufgeteilt. Ich würde aber zuerst mit dem Video der Folge 36 anfangen
Planning Distribution List Migrations
to Office 365
https://www.youtube.com/watch?v=nfeStYRUg1U
- Part 1: Introduction to the Distribution List Migration Module version 2.0
- Part 2: Preparing to use the distribution list migration v2 module.
- Part 3: Using the distribution list migration module v2 for simple migrations.
- Part 4: Retaining the original distribution group post migration…
- Part 5: Gathering advanced dependencies for a group to be migrated.
- Part 6: How does the module track distribution lists that have been migrated?
- Part 7: Enabling hybrid mail for for migrated distribution lists.
- Part 8: Performance updates and enhancements.
- Part 9: Introducing multiple distribution list migrations / batch migrations.
- Part 10: Additional code improvements…
- Part 11: Improvements in error handling in version 2.4.8.x
- Part 12: Announcing multiple migration machine support.
- Part 13: Enabling support for partially mail enable distribution groups.
- Part 14: Enabling hybrid mail flow post migration.
- Part 15: Enabling migration support for non-synchronized groups.
- Part 16: Mail flow issues with centralized mail transport enabled and migrated distribution groups.
- Part 17: I need assistance with the migration module, have a suggestion, or want to request a feature.
- Part 18: New handling of recipient restrictions assigned to the migrated distribution groups.
- Part 19: New handling of distribution group creation during migration to eliminate ambiguous references.
- Part 20: Adding a new method to verify the distribution list is directory synchronized.
- Part 21: Preparing for the deprecation and disablement of basic authentication.
- Part 22: The end of basic authentication in Exchange Online…
- Part 23: Collecting telemetry for performance improvements and usage statistics.
- Part 24: Issues encountered with large distribution list migrations.
- Part 25: Large distribution list migrations and code enhancements to increase performance and reliability.
- Part 26: New handling of nested distribution groups in multiple distribution group migrations.
- Part 27: Increasing the performance of multiple distribution list migrations.
- Part 28: Implementing exception codes.
- Part 29: Implementing the ability to migrated directly from on-premises distribution lists to Office 365 Unified Groups
- Part 30: Converting a cloud only distribution list to an Office 365 Unified Group
- Part 31: Enabling support for interactive authentication and single list migrations
- Part 32: Enabling support for a custom routing domain
- Part 33: Testing a distribution list pre-migration
- Part 34: *IMPORTANT* Preparing for MS Graph Implementations
- Part 35: Improved handling for mailbox folder permissions, full mailbox access permissions, and send as permissions.
- Part 36: YouTube Tutorial – Introduction to Distribution List Migration 2.0 Module
- Part 37: YouTube Tutorial – Planning distribution list migrations with the Distribution List Migration 2.0 Module
- Part 38:Enabling support for migrations with a pre-defined name prefix or suffix.
- Part 39 Implementing improved error handling and error cleanup.
Letztlich ist es ein sehr umfangreiches PowerShell-Script, welches
PowerShell Gallery – DLConversionV2
https://www.powershellgallery.com/packages/DLConversionV2/
https://github.com/timmcmic/DLConversionV2
Beachten Sie, dass dieser Wechsel erst sinnvoll funktioniert, wenn es keine lokalen Exchange Server mehr gibt, die Mailrouting machen und dazu das Wissen um die Verteiler und deren Mitglieder benötigen. Mit der Umstellung sind die lokalen Gruppen nicht mehr MailEnabled.
M365Groups Writeback
Nachdem wir die Verwaltung aller Exchange-Verteiler in die Cloud verschoben haben und die früheren lokalen Verteiler keine Exchange-Funktion mehr haben, können Sie die lokalen Gruppen natürlich weiter nutzen. Sie sollten allerdings NIE von ADSync gesehen und repliziert werden oder zumindest muss das Feld "mail" leer sein, damit kein Matching erfolgt.
Nun kann es aber natürlich doch noch System geben, die Informationen über die Exchange Empfänger und Verteiler benötigen. Die Benutzer sind im lokalen AD ja weiterhin als "RemoteMailbox" verwaltet und durch ADSync in die Cloud repliziert. Das können Sie auch nicht ablösen, wenn Sie z.B. mit Pass Through Authentifizierung (PTA) oder Password Hash Sync (PHS) arbeiten.
Aber ADSync kann Gruppen in der Cloud über die Funktion M365Groups Writeback als eine Art "Kontakt" im lokalen AD anlegen.
Damit können auch andere Prozesse z.B. per LDAP-Abfragen diese Adressen auflösen. Sie müssen dann die Mails nur weiter an einen lokalen Server oder direkt zu Exchange Online senden. Die Verwaltung der Gruppe und die Mitglieder erfolgt natürlich weiter komplett in Exchange Online und da es keine verbundene lokale AD-Gruppe gibt, können Sie die in der Cloud verwalteten Gruppen auch nicht im lokalen AD zur Vergabe von Berechtigungen nutzen.
Gruppensync zurück
Einen anderen Weg möchte ich ihnen aber auch vorstellen, auch wenn es dazu keine Lösungen von Microsoft gibt. Es hindert sie ja niemand daran, an ADSync vorbei mit einem eigenen Skripte z.B. die Gruppen der Cloud samt ihren Mitgliedern über MSGraph oder die AzureAD PowerShell auszulesen und entweder eine ganz neue Gruppe oder sogar die von früher noch bestehende Sicherheitsgruppe anhand der Cloud-Daten zu aktualisieren.
Wobei hier dann natürlich zu definieren wäre, welche Properties tatsächlich aus der Cloud in das lokale Active Directory übertragen werden müssen und wie mit Konflikten umgegangen wird. Das lokale Objekt kann ja durchaus von einem Administrator verwaltet werden.
Diese so lokal anhand der Cloud verwalteten Gruppen dürfen natürlich nie nie nie durch ADSync wieder in die Cloud zurückrepliziert werden. Wenn die lokalen Gruppen nämlich in dem Zuge auch das Feld "Mail" bekommen, würde dann sofort ein ADSync - Gruppen match erfolgen und ihre CloudOnly-Gruppen stehen wieder am Anfang.
Technisch sollte das mit folgenden Commandlets und einer App Registration sehr schnell umsetzbar sein.
- Get-MgGroup
https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.groups/get-mggroup?view=graph-powershell-1.0 - Get-MgGroupMember
https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.groups/get-mggroupmember?view=graph-powershell-1.0
Für den Abgleich von Gruppen zwischen verschiedenen Verzeichnissen habe ich schon früher entsprechende Skripte bereitgestellt:
-
GroupSync
Zwischen zwei AD-Forests per LDAP
Allerdings habe ich noch kein Skript, welches dazu z.B.: die Exchange PowerShell oder Microsoft Graph nutzt. Da die Import-Routine aber eh pro Gruppe nur eine Textdatei mit den Mitgliedern liest, ist es kein großer Aufwand auch noch eine Liste der Gruppen mit den gewünschten Properties per Graph oder Exchange Online PowerShell aus dem Tenant auszulesen und entsprechend lokale Gruppen zu verwalten.
Sie kommen damit immer weiter in das Gebiet eines
Verzeichnisabgleichs, Provisioning und Identity Management
mit vielen Fallstricken
Wenn Sie nur wenig Erfahrung mit solchen
Aufgabenstellungen haben, dann sollten Sie fachkundige Hilfe
suchen.
- Create manage distribution list
groups in Exchange Online
https://learn.microsoft.com/en-us/exchange/recipients-in-exchange-online/manage-distribution-groups/manage-distribution-groups - Duplicating an on-prem mail-enabled
security group as a cloud DL
https://identitydude.com/2013/01/07/duplicating-an-on-prem-mail-enabled-security-group-as-a-cloud-dl/
Zwischenstand
Solange ADSync die Verteiler in Exchange Online blockiert, können Sie die Verteiler nur über das lokale AD mit Mitgliedern aus dem lokalen AD verwalten. Wenn Sie Verteiler in der Cloud verwalten wollen, dann müssen es "CloudOnly"-Verteiler sein. Mit den Werkzeugen von Tim McMichael gibt ein Werkzeug, um diese Umstellung mit etwas Planung ganz gut durchzuführen. Sie sollten damit aber nicht am Anfang ihrer Exchange Migration anfangen, wenn noch Postfächer oder Mailrouting auf Exchange OnPremises genutzt werden, sondern erst wenn alle Empfänger und idealerweise auch das Mailrouting direkt in Exchange Online erfolgt.
Weitere Links
- LES - Last Exchange Server
- Hybrid Connector Server
- ADSync mit Exchange Online Only
- DirSync mit Exchange
- Exchange Online Provisioning
- EXO ADSync Provisioning
- Exchange Management Rolle
- LegacyExchangeDN und X.500
-
Office 365 – Distribution List Migration –
Version 2.0 – Table of Contents
https://timmcmic.wordpress.com/2023/01/08/office-365-distribution-list-migration-version-2-0/