AADConnect und Exchange Health Mailbox

Wenn man einmal AADConnect als Synchronisation zwischen einem lokalen AD und der Cloud eingerichtet haben, dann schaut man kaum noch die Benutzerliste in der Cloud an. Allerdings kann es stören, wenn Sie Exchange 2013/2016 installieren. Dann können neue Postfächer und sogar Skype User auftauchen, die sie so nicht auf dem Radar haben. Ursache ist die Funktion Exchange 2013 Managed Availability

Exchange Health Mailbox in Office 365

Welchen Sinn sollte es haben, dass AADConnect die Exchange Health Mailboxen in die Cloud synchronisiert? Die von diesen Objekten genutzten Mailadressen sind so zufällige, dass dies kein Grund sein sollte.

Ehe sie solche Änderungen vornehmen und Objekte ausschließen, die per Default repliziert werden, sollten Sie die Auswirkungen abschätzen und sich die Änderung merken. Vielleicht muss es später doch mal wieder aktiviert werden. Ein Vergleich der Anzahl der Empfänger auf beiden Seiten wird dann eine Differenz anzeigen. Vielleicht ändert aber Microsoft auch irgendwann mal die Defaults, denn Konten mit "Admin_" als Prefix werden z.B. auch ausgeschlossen.

Aber bei mir waren sie irgendwann da und sie haben mich gestört:

Da sie natürlich "unlizenziert" sind, kosten sie nicht, aber Sie mischen sich natürlich immer mitten in die Liste der Benutzer beim Buchstaben "H" mit rein. Ich habe noch keine Einstellung gefunden, um diese Benutzer zu verbergen.

Exchange Health Mailbox in Skype/Teams

Auch wenn Sie nicht lizenziert sind, so habe ich Sie auch in meiner Skype for Business/Teams-PowerShell gesehen.

Da hat mich das schon genervt, wenn ich die Ausgabe von "Get-CSOnlineUser" per Pipeline an andere Befehle weiter geben wollte. Warum um Himmels willen haben die auch eine SIP-Adresse. Sie erscheinen sogar im Teams Admin Center.

Da war dann meine Geduld etwas am Ende und ich habe mir überlegt, wie ich die einfach rauswerfen kann. Löschen ist ja nicht, denn AADConnect verwaltet die Benutzer.

AADConnect Einstellungen

Also muss ich mit einen Weg suchen, wie ich diese Objekte nun in AADConnect gefiltert bekommt. Wie sie von der Seite ADSync Filterung wissen, kann ich per OU, per Gruppenmitgliedschaft oder per LDAP-Feld filtern. Ich habe mich diesmal für die OUs entschieden, da die Health-Postfächer freundlicherweise bei Exchange 2016 in einer eigenen OU liegen.

Mit einem Mausklick ist die OU ausgeschlossen. Das AADConnect-Setup erkennt die Bedeutung der Änderung und startet danach einen "Full Sync" aus dem lokalen AD Richtung Office 365. Sie sollten dies bei der zeitlichen Planung berücksichtigen. Manchmal kann das etwas dauern und bis zum Ende könnten Updates, insbesondere z.B. Password Hash Sync (PHS)-Updates verzögert werden.

Bei der Filterung von OUs wird nur hinterlegt, welche OU-Pfade nicht repliziert werden. Neue OUs unter bereits replizierten OUs werden automatisch neu aufgenommen aber OUs unter nicht replizierten OUs werden auch nicht aufgenommen.

Wer natürlich heute schon über ein "CustomLDAP-Feld filtert und dieses als Positiv-Filter nutzt, d.h. Objekt wird von AADConnect nur dann repliziert, wenn das Feld gesetzt ist, wird die Objekte nie in der Cloud finden.

Weitere Links