Exchange Online ADSync Provisioning
So werden Exchange Online Postfächer mit AADConnect korrekt provisioniert. Wer Exchange Online in Verbindung mit AADConnect nutzt, muss sich auf ein paar Besonderheiten im Provisioning einstellen. Auf dieser Seite beschreibe ich den richtigen Weg ein Postfach direkt in Exchange Online korrekt anzulegen:
Beachten Sie dazu auch die Seiten ADSync mit Ex Online Only, ADSync mit Exchange, Doppelpostfach mit Exchange Online und LES - Last Exchange Server und Cloudsync und Exchange
Was ist besonders?
Wer schon mal einen Office 365 Tenant mit aktiviertem AADConnect bedient hat, wird um die Veränderungen wissen. Im Exchange Online Admin Panel gibt es keine "New" Mailbox"-Funktion
Nur bei dem Bereich "Shared" können Sie direkt im ECP ein Objekt neu anlegen. Dabei handelt es sich dann natürlich nicht um einen Anmeldebenutzer
Allerdings sollten Sie dies im Hybrid-Mode mit einer Exchange On-Premises Installation natürlich unterlassen, da AADConnect keine Rückreplikation vornimmt. Ihre Anwender in der Cloud sehen dann z.B. den Raum oder die Shared Mailbox während das On-Premises System nichts davon weiß. Wenn dann eingehende Mails noch über On-Premises laufen oder ein Client per Autodiscover den Raum von der On-Premises Installation ermitteln will, dann funktioniert dies nicht.
Das dritte Problem fällt auf, wenn Sie einen Benutzer im lokalen Active Directory anlegen und mit AADConnect in die Cloud synchronisieren. Solange der Benutzer im lokalen Active Directory hinsichtlich Exchange quasi unbekannt ist, hat er auch in Exchange Online keine Properties. Wenn Sie dem Benutzer aber in der Cloud dann eine Lizenz für Exchange zuweisen, bekommt er ein Postfach in der Cloud ohne dass davon On-Premises etwas sichtbar wird. Auch hier haben wir dann wieder das Problem, dass es in der Cloud einen gültigen Mailempfänger gibt, der On-Premises nicht zu sehen ist und die gleichen Problem hat, wie die eben schon erwähnte Shared Mailbox.
- My user has a mailbox both On-Premises
and in Exchange Online. Help!
https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/My-user-has-a-mailbox-both-On-Premises-and-in-Exchange-Online/ba-p/846809 - How to recover when a mailbox exists in
both Exchange Online and On-Premises
https://docs.microsoft.com/en-us/exchange/troubleshoot/move-mailboxes/mailbox-exists-exo-On-Premises
So geht es richtig!
Für das Provisioning von Benutzer im Exchange Online in Verbindung mit AADConnect gibt es nur einen richtigen Weg.
Die Schritte im Einzelnen:
- Das Benutzerobjekte wird im lokalen AD
angelegt
Womit sie das machen, bleibt eigentlich ihnen überlassen. Sie können auch direkt mit "New-RemoteMailbox" das AD-Konto anlegen und für Exchange konfigurieren. Es ist auch egal, ob daraus später eine UserMailbox in der Cloud oder ein Raum oder Ressource in der Cloud wird. Solange Sie aber Exchange Hybrid fahren und der On-Premises Exchange Server z.B. Mailrouting durchführt muss er die Objekte kennen. Ein Anlegen von Benutzern direkt in der Cloud scheidet also aus - AADConnect legen Benutzer in der Cloud
an.
Nun ist es an AADConnect, das Benutzerobjekt auch im AzureAD und damit in Office 365 anzulegen. Das AD-Objekt bekommt in der Cloud eine eindeutige ID. Bis jetzt hat das Benutzerobjekt noch gar keine Exchange Eigenschaften. Wenn Sie dem Benutzer jetzt schon eine Lizenz zuweisen, dann bekommt er ein Postfach - Abgleich ms-ds-ConsistencyGUID
Beim zweiten Synchronisationslauf wird AADConnect diese Information auch wieder in das lokale On Premise Active Directory zurück schreiben. - Exchange Objekte anlegen
Wenn Sie es nicht schon bei Schritt 1 direkt mit gemacht haben, dann ist es nun an der Zeit dieses Benutzerobjekt On-Premises mit dem lokalen Exchange Server über ECP oder die PowerShell als Remote-Mailbox zu konfigurieren. - AADConnect repliziert die Daten
Die durch die lokalen Exchange Commandlets geänderten Felder werden in die Cloud repliziert. Nun weiß auch Exchange Online, dass es hier eine neue Mailbox in Exchange Online gibt. Exchange Online legt die Mailbox auch an, selbst wenn keine Lizenz vorhanden ist und passt auch die ProxyAddresses an. - AADConnect Rückreplikation
Die Änderungen in den ProxyAddresses durch Exchange Online sind eine der wenigen Felder, die AADConnect auch wieder nach On-Premises zurück repliziert. Siehe auch ADSync Bidirektional - Lizenz in der Cloud zuweisen
Die ersten 30 Tage erlaubt Microsoft dem Benutzer sogar den Zugriff auf die Mailbox als "Trial". Sie sollten dennoch nicht zu lange warten und eine passende Lizenz dem Benutzer zuweisen. Das gilt natürlich nur für "Usermailboxen". Wenn Sie eine Room/Ressource/Shared-Mailbox angelegt haben, brauchen Sie keine Lizenz - Exchange Konfiguration
Nicht alle Einstellungen einer Exchange Mailbox werden durch das lokale Exchange System verwaltet. Einstellungen wie POP3/IMAP4, die Exchange Quarantäne und andere Parameter müssen mit der Exchange Online PowerShell gegen die Cloud direkt konfiguriert werden. Im wesentlichen sind das die Einstellungen von "Set-CASMailbox". Diese Funktion kann der lokale Exchange Server nicht über die lokale PowerShell abbilden und durch AADConnect in die Cloud replizieren lassen.
Es kann natürlich noch einige Zeit dauern, bis die Information über die neuen Postfächer auf allen Exchange Servern gelandet ist. Zum einen ist die Replikationsverzögerung im AzureAD und AADConnect eine Bremse und auch die Generierung und der Download des Offline-Adressbuchs auf die Clients kann durchaus einige Stunden brauchen.
Wenn ihnen das alles zu komplex ist, dann sprechen Sie uns doch mal zu entsprechenden Provisioning-Lösungen an.
Was ist mit Verteilern?
Neben "Postfächern" gibt es ja auch noch Gruppen. Hier ist das Provisioning deutlich einfacher, da Verteiler ja keinen Datenspeicher haben und auch keine Lizenz brauchen. Insofern muss man die Gruppen auch einfach anlegen und für Exchange aktivieren. Aber auch hier bleibt es wie bei Postfächern bei der Reihenfolge:
- Gruppen im lokalen AD anlegen
Sie können hier auch gleich die Mitglieder pflegen, damit AADConnect die vielleicht auch gleich mit zu Office 365 repliziert. - Gruppe zu Mail-Verteiler machen
Dieses Upgrade der Gruppe erfolgt auch wieder mit der Exchange PowerShell oder ECP auf dem lokalen Exchange Provisioning Server. Die Exchange PowerShell schreibt dadurch z.B. die Fehler "mail", "ProxyAddesses" und andere. - AADConnect
Diese Änderungen werden durch AADConnect auch wieder zu Office 365 repliziert. Nun weiß auch Exchange Online, dass es diese Verteiler gibt und mit dem nächsten Adressbuch-Update und OAB-Download haben auch die Clients diese Informationen präsent
Manager eine Gruppe können in Exchange Online aber die Mitglieder nicht pflegen, da AADConnect das Feld "member" nicht bidirektional synchronisiert. Eine Änderung in der Cloud kommt nicht On-Premises an und damit wären die Mitglieder der Gruppen unterschiedlich. Mitglieder werden also nur On-Premises gepflegt.
Weitere Links
- ADSync mit Exchange
- Cloudsync und Exchange
- Doppelpostfach mit Exchange Online
- AzureADConnect
- ADSync Bidirektional
- ADSync mit Exchange Online only
-
SyncM365 Filterung
Sinnvolle Checks wenn Sie die Identitäten für Exchange Hybrid und ADSync mit einem AD-Feld filtern -
LES - Last Exchange Server
Ein letzter Exchang Server zum Management? -
A New Tool to Manage Exchange-related
Attributes Without Exchange
Server
https://practical365.com/a-new-tool-to-manage-exchange-related-attributes-without-exchange-server/ - AADConnect und Exchange Health Mailbox
- Exchange Hybrid Shared Mailbox und AADConnect
- Hybrid Connector Server
- Provisioning
- msExchRemoteRecipientType
- Essentials Provisioning
- Exchange Provisioning LDAP-Felder
- Room Provisioning
-
Demystifying Exchange Online Provisioning:
Architecture, Exchange Object Types, and
Attributes
https://techcommunity.microsoft.com/t5/exchange-team-blog/demystifying-exchange-online-provisioning-architecture-exchange/ba-p/4204206 -
Manage recipients in Exchange Hybrid
environments using Management tools
https://learn.microsoft.com/en-us/Exchange/manage-hybrid-exchange-recipients-with-management-tools -
Upcoming changes to license re-assignment in
Exchange Online
https://techcommunity.microsoft.com/t5/exchange-team-blog/upcoming-changes-to-license-re-assignment-in-exchange-online/ba-p/3262592 -
Exchange Server 2016 and the End of
Mainstream Support
https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-2016-and-the-end-of-mainstream-support/ba-p/1574110 - My user has a mailbox both On-Premises
and in Exchange Online. Help!
https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/My-user-has-a-mailbox-both-On-Premises-and-in-Exchange-Online/ba-p/846809 - Permanently Clear Previous Mailbox Info
https://techcommunity.microsoft.com/t5/exchange-team-blog/permanently-clear-previous-mailbox-info/ba-p/607619 - How to recover when a mailbox
exists in both Exchange Online and
On-Premises
https://docs.microsoft.com/en-us/exchange/troubleshoot/move-mailboxes/mailbox-exists-exo-On-Premises - Enable-RemoteMailbox
https://docs.microsoft.com/en-us/powershell/module/exchange/federation-and-hybrid/enable-remotemailbox?view=exchange-ps - Zuweisen von Lizenzen zu Benutzerkonten
mit Office 365 PowerShell
https://docs.microsoft.com/de-de/office365/enterprise/powershell/assign-licenses-to-user-accounts-with-office-365-powershell - Hacking your way around Modern
authentication and the PowerShell modules
for Office 365
https://www.michev.info/Blog/Post/1771/hacking-your-way-around-modern-authentication-and-the-powershell-modules-for-office-365 - De-Provision O365 Users with Cloudbridge
https://www.youtube.com/watch?v=XAEiwgiYPKg - Tenfold - Provisioning
https://www.tenfold-security.com/en/exchange-mailbox-lifecycle/
https://www.tenfold-security.com/en/tenfold-pricing/