Group Writeback V2
Wenn die Office 365 Groups und Teams in der Cloud anlegen, dann werden diese Objekte ein Exchange Empfänger in der Cloud mit einer Mailadresse aus Office 365. Sie erscheinen aber nicht im lokalen Exchange aber können per Mail natürlich blind adressiert werden. Die Funktion "Groups Writeback V2" von ADSync sorgt dafür, das auch On-Premises diese Information über die Empfänger vorhanden sind. Das ist insbesondere dann wichtig, wenn Sie für diese Gruppen auch die Mailadresse aus ihrer primären Domäne verwendet und sie so sicherstellen müssen, dass die Adresse nicht doppelt vergeben wird.
Beachten Sie dazu aber auch die Seite Group Writeback CloudConnect
Abgekündigt
Achtung
Diese Funktion wurde von Microsoft nie released sondern in
den Jahren 2022-2023 als "Preview" bereitgestellt und im Jan
2024 abgekündigt
Quelle: Group writeback with Microsoft Entra Cloud Sync (Mai
2024)
https://learn.microsoft.com/en-us/entra/identity/hybrid/group-writeback-cloud-sync
ADSync Release History 2.32
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/reference-connect-version-history#2320
Ein Wechsel zu AzureAD Cloud Sync ist der von Microsoft vorgeschlagene Weg. Sie können AzureAD Cloud Sync auch parallel zu AzureAD Connect betreiben. EntraID Cloud Connect Sync ist die Variante von ADSync, die komplett in der Cloud administriert wird und mit einem lokalen Provisioning Agent arbeitet.
Kurzfassung
ADSync Groups Writeback liest aus dem AzureAD/Exchange Online die Office 365 Groups/Microsoft Teams aus und erstellt dazu passende "Universal Distribution Groups" im lokalen Active Directory samt Mailadressen (Exchange GAL) und pflegt sogar die Mitgliedschaften. Allerdings werden "Gäste" in der Cloud im lokalen Active Directory nicht abgebildet und auch die Exchange On-Premises PowerShell sieht diese Objekte nicht. Die Exchange Server hingegen kennen die Empfänger schon und verhindern so doppelte Mail-Adressen.
Objekte in der Cloud
Zuerst schauen wir mit der Exchange Online PowerShell die Einstellung in Exchange Online an. Sie sehen einige Gruppen und zuerst fällt auf, dass der Name sehr lang und kryptisch ist. Ich nehme an, dass dies von Microsoft beabsichtigt ist, damit das Objekt einen weltweit eindeutigen Namen hat, auch wenn es aktuell wohl noch nicht erforderlich wäre.
PS C:\> Get-UnifiedGroup Name DisplayName GroupType PrimarySmtpAddress ---- ----------- --------- ------------------ gruppe1_70b3c790-3d97-4e03-8d68-1234567890ab Gruppe1 Universal gruppe1@msxfaq2.onmicrosoft.com Vertrieb_a3801983-cd25-48dc-9099-1234567890ab Vertrieb Universal Vertrieb@msxfaq2.onmicrosoft.com Marketing_2b3c3554-d687-4444-b0ca-1234567890ab Marketing Universal Marketing@msxfaq2.onmicrosoft.com Marketing1_006f7c2e-6aa5-44bc-8ced-1234567890ab Marketing Universal Marketing1@msxfaq2.onmicrosoft.com TeamFCtest2020_b09b261c-d6fa-4621-9d83-1234567890ab Team FCtest2020 Universal TeamFCtest2020@msxfaq2.onmicrosoft.com
Exemplarisch habe ich die Team "FCtest2020" in der Exchange Online PowerShell ausgegeben.
PS C:\> Get-UnifiedGroup "uclabor.de" | fl * PSComputerName : outlook.office365.com RunspaceId : 8080ff17-d2f6-4e64-8043-1234567890ab PSShowComputerName : False AccessType : Public AuditLogAgeLimit : 90.00:00:00 AutoSubscribeNewMembers : False AlwaysSubscribeMembersToCalendarEvents : False CalendarMemberReadOnly : CalendarUrl : https://outlook.office365.com/owa/?path=/group/TeamFCtest2020@FCtest2020/calendar Database : NAMPR20DG216-db110 ExchangeGuid : 468c20f3-1cfc-4fa8-b931-1234567890ab FileNotificationsSettings : GroupSKU : Default InboxUrl : https://outlook.office365.com/owa/?path=/group/TeamFCtest2020@FCtest2020/mail IsExternalResourcesPublished : True IsMailboxConfigured : True Language : en-US MailboxProvisioningConstraint : ManagedByDetails : {FCtest2020} Notes : Team FCtest2020 PeopleUrl : https://outlook.office365.com/owa/?path=/group/TeamFCtest2020@FCtest2020/people PhotoUrl : https://outlook.office365.com/EWS/Exchange.asmx/s/GetUserPhoto?email=TeamFCtes t4@FCtest2020 ServerName : mwhpr2001mb1150 SharePointSiteUrl : https://msxfaq.sharepoint.com/sites/TeamFCtest2020 SharePointDocumentsUrl : https://msxfaq.sharepoint.com/sites/TeamFCtest2020/Shared Documents SharePointNotebookUrl : https://msxfaq.sharepoint.com/sites/TeamFCtest2020/SiteAssets/Team FCtest2020 Notebook SubscriptionEnabled : True WelcomeMessageEnabled : False ConnectorsEnabled : True IsMembershipDynamic : False Classification : GroupPersonification : YammerEmailAddress : GroupMemberCount : 6 MailboxRegion : GroupExternalMemberCount : 0 AllowAddGuests : True WhenSoftDeleted : HiddenFromExchangeClientsEnabled : True ExpirationTime : DataEncryptionPolicy : ResourceProvisioningOptions : {Team} ResourceBehaviorOptions : {WelcomeEmailDisabled, SubscribeMembersToCalendarEventsDisabled, HideGroupInOutlook} ServiceEndpointUris : {MicrosoftTeams.TeamHomeURL:https://teams.microsoft.com/l/team/19:0b167ecd657a 43e898a03e60179b40c0%40thread.skype/conversations?tenantId=3c6855ff-e39f-4d09- a473-33807598ce4b} SensitivityLabel : EmailAddresses : {SPO:SPO_46523052-2eb8-4b15-b034-5561615cb3de@SPO_<guid>, smtp:TeamFCtest2020@msxfaq2.onmicrosoft.com, SMTP:TeamFCtest2020@FCtest2020} PrimarySmtpAddress : TeamFCtest2020@msxfaq2.onmicrosoft.com Name : TeamFCtest2020_b09b261c-d6fa-4621-9d83-1234567890ab DisplayName : Team FCtest2020 RequireSenderAuthenticationEnabled : True ModerationEnabled : False SendModerationNotifications : Always SendOofMessageToOriginatorEnabled : False BypassModerationFromSendersOrMembers : {} ModeratedBy : {} GroupType : Universal IsDirSynced : False ManagedBy : {FCtest2020} MigrationToUnifiedGroupInProgress : False HiddenGroupMembershipEnabled : False ExpansionServer : ReportToManagerEnabled : False ReportToOriginatorEnabled : True Description : {} BccBlocked : False AcceptMessagesOnlyFrom : {} AcceptMessagesOnlyFromDLMembers : {} AcceptMessagesOnlyFromSendersOrMembers : {} AddressListMembership : {\All Recipients(VLV), \GroupMailboxes(VLV), \All Groups(VLV)} AdministrativeUnits : {} Alias : TeamFCtest2020 OrganizationalUnit : nampr20a001.prod.outlook.com/Microsoft Exchange Hosted Organizations/msxfaq2.onmicrosoft.com CustomAttribute1 : CustomAttribute10 : CustomAttribute11 : CustomAttribute12 : CustomAttribute13 : CustomAttribute14 : CustomAttribute15 : CustomAttribute2 : CustomAttribute3 : CustomAttribute4 : CustomAttribute5 : CustomAttribute6 : CustomAttribute7 : CustomAttribute8 : CustomAttribute9 : ExtensionCustomAttribute1 : {} ExtensionCustomAttribute2 : {} ExtensionCustomAttribute3 : {} ExtensionCustomAttribute4 : {} ExtensionCustomAttribute5 : {} GrantSendOnBehalfTo : {} ExternalDirectoryObjectId : b09b261c-d6fa-4621-9d83-1234567890ab HiddenFromAddressListsEnabled : True LastExchangeChangedTime : LegacyExchangeDN : /o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipien ts/cn=edbae44317854279a15a1867bfc35be8-TeamFCtest2020 MaxSendSize : 35 MB (36,700,160 bytes) MaxReceiveSize : 36 MB (37,748,736 bytes) PoliciesIncluded : {} PoliciesExcluded : {{26491cfc-9e50-4857-861b-0cb8df22b5d7}} EmailAddressPolicyEnabled : False RecipientType : MailUniversalDistributionGroup RecipientTypeDetails : GroupMailbox RejectMessagesFrom : {} RejectMessagesFromDLMembers : {} RejectMessagesFromSendersOrMembers : {} MailTip : MailTipTranslations : {} Identity : TeamFCtest2020_b09b261c-d6fa-4621-9d83-1234567890ab Id : TeamFCtest2020_b09b261c-d6fa-4621-9d83-1234567890ab IsValid : True ExchangeVersion : 0.10 (14.0.100.0) DistinguishedName : CN=TeamFCtest2020_b09b261c-d6fa-4621-9d83-1234567890ab,OU=msxfaq2.onmicrosoft.com ,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR20A001,DC=PROD,DC=OUTLOOK,DC=COM ObjectCategory : NAMPR20A001.PROD.OUTLOOK.COM/Configuration/Schema/Group ObjectClass : {top, group} WhenChanged : 11.06.2020 11:21:59 WhenCreated : 26.09.2018 15:46:00 WhenChangedUTC : 11.06.2020 09:21:59 WhenCreatedUTC : 26.09.2018 13:46:00 ExchangeObjectId : 6af396ce-bb46-42d3-80d9-371b85e2a2fa OrganizationId : NAMPR20A001.PROD.OUTLOOK.COM/Microsoft Exchange Hosted Organizations/msxfaq2.onmicrosoft.com - NAMPR20A001.PROD.OUTLOOK.COM/Configura tionUnits/msxfaq2.onmicrosoft.com/Configuration Guid : 6af396ce-bb46-42d3-80d9-371b85e2a2fa OriginatingServer : BN7PR20A01DC003.NAMPR20A001.PROD.OUTLOOK.COM ObjectState : Changed
Soweit sind das ganz normale Exchange Empfänger und die Teams-Mitglieder sind in der Gruppe als Mitglieder zu sehen. Interessant finde ich hier die folgenden Felder:
Feld | Inhalt | Beschreibung |
---|---|---|
PrimarySmtpAddress |
TeamFCtest2020@msxfaq2.onmicrosoft.com |
Das ist die normale "primäre" Adresse. Sie können Sie manuell oder per Empfängerrichtlinien ändern aber dazu später mehr |
EmailAddresses |
SMTP:TeamFCtest2020@msxfaq2.onmicrosoft.com, SPO:SPO_<guis>@SPO_<guid> |
Auch die bekannten "ProxyAddresses" sind mit der primären Adresse und einer SharePoint adresse gefüllt. |
RequireSenderAuthenticationEnabled |
True |
Es können per Default also nur Absender an diesen Empfänger senden, die authentifiziert sind. Ein Versand aus dem Internet an diese Adresse ist nicht möglich |
RecipientTypeDetails |
GroupMailbox |
Sieht nach einer Mailbox aus, aber ist keine richtige Mailbox |
RecipientType |
MailUniversalDistributionGroup |
Aus Sicht von Exchange ist es nämlich erst mal ein Mailverteiler und E-Mails an diesen Empfänger werden an alle Mitglieder versendet. |
HiddenFromAddressListsEnabled HiddenFromExchangeClientsEnabled |
False True |
Die Gruppe ist per Default in der Adressliste sichtbar aber nicht für Exchange Clients |
Sichtbarkeit mit Exchange PowerShell |
Nein |
Ja |
ADSync Einstellung
Nun habe ich natürlich in ADSync den "Groups Writeback" aktiviert.
Bei der Konfiguration muss ich natürlich eine Ziel-OU angeben, in der diese Gruppenobjekte angelegt werden.
Der neuere ADSync-Assistent kann für sie gleich die Berechtigungen anpassen.
Das geht natürlich auch weiterhin manuell per PowerShell.
- Microsoft Entra Connect: Configure AD DS
Connector Account Permissions
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-configure-ad-ds-connector-account - Enable Microsoft Entra Connect group
writeback
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-group-writeback-enable
Berechtigungen
Damit ADSync im lokalen AD auch neue Gruppen anlegen kann, sind natürlich Berechtigungen erforderlich. Diese könnten Sie per PowerShell manuell zuweisen oder das ADSync Setup macht dies für Sie. Auf der Ziel-OU addiert das ADSync-Setup die Berechtigungen für das MSOL-Dienstkonto:
Das Konto kann zum einen Gruppen anlegen und löschen und unter "Speziell" verbergen sich die Schreibwechte auf die Eigenschaften der angelegten Gruppen und insbesondere der "msExch*"-Attribute, die bei der Schema-Erweiterung durch das Exchange Setup angelegt und über Exchange Gruppen für Exchange Administratoren berechtigt wurden.
Synchronisierungsregeln
Wenn Sie die Checkbox in ADSync aktiviert haben, dann werden folgende Synchronisationsregeln zusätzlich addiert bzw. auch bestehende Regeln für Gruppen sind natürlich mit involviert. Auf der Seite der "Inbound"-Konfiguration liest ADSync nun auch die Gruppen aus Entra ID aus:
Insbesondere die "In from AAD -Group SOAinAAD" hat hier die Funktion die Gruppen, welche in der Cloud verwaltet werden zu erfassen.
DNS-Administratoren kennen vermutlich den Betriff "SOA" als "State of Authority" in DNS-Zonen. Diese Regeln behandeln also Gruppen, deren autoritative Quelle im AzureAD ist.
Von diesen Gruppen werden umfangreiche Eigenschaften ins Metaverse eingelesen:
So landen die Gruppen dann zuerst einmal mit Metaverse. Hier das Beispiel eines Microsoft 365 Teams, was im Hintergrund eine Office 365 Group ist.
Aus dem Metaverse werden die Objekte dann über folgende Regeln in das lokale AD übersetzt. Auch hier sind die beiden Regeln "Out to AD - Group SOAinAAD" und "Out to AD - Group SOAinAAD - Exchange" dazugekommen.
Die Summe der Properties beider Regeln können Sie gerne einmal selbst im "Rule Editor" anzeigen lassen.
Sonderfall msExchRequireAuthtoSendTo
Aber ich möchte ihre Aufmerksamkeit auf eine Besonderheit lenken, die immer wieder auffällt. In Exchange können Sie pro Empfänger einstellen, ob dieser für anonyme oder nur authentifizierte Absender erreichbar ist. Für Spammer sind hier insbesondere Gruppen interessant, die eine Mail an viele Personen verteilen. Das Feld können Sie auch in Exchange Online setzen. Angeblich kann aber ADSync die Einstellung in der Cloud nicht auslesen und behilft sich damit, das Feld beim Schreiben auf das lokale AD manuell immer auf "TRUE" zu setzen.
Die Office 365 Groups sind damit nur von authentifizierten Absendern erreichbar. Sie können den Wert im lokalen AD sogar ändern aber beim nächsten ADSync-Lauf wird es natürlich wieder "korrigiert". Wenn Sie dies lockern wollen, dann können Sie gemäß dem üblichen Vorgehen die entsprechende Regel editieren. Dazu wird die vorhandene Regel erst kopiert und dann deaktiviert. Bei der Kopie ändern Sie dann das Feld entweder auf "FALSE" oder sie entfernen es damit es nicht mehr überschrieben wird.
- ADSync und RequireSenderAuthenticationEnabled
- Microsoft Entra Connect Sync: Make a change to the default configuration
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-sync-change-the-configuration - How to customize a synchronization rule
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-create-custom-sync-rule - 550 5.7.133
RESOLVER.RST.SenderNotAuthenticatedForGroup for O365 groups that are synced with
AD Connect Group Writeback
https://answers.microsoft.com/en-us/msoffice/forum/all/550-57133/be2b2e38-c528-4752-bd0b-cfaca424090e - Office 365 Groups and Anonymous External Senders
https://www.undocumented-features.com/2017/11/28/office-365-groups-and-anonymous-external-senders/
https://bhr.62e.myftpupload.com/2017/11/28/office-365-groups-and-anonymous-external-senders/ - Fixing Office 365 Anonymous Group Write-back and
External Delivery
https://bhr.62e.myftpupload.com/2018/09/14/fixing-office-365-anonymous-group-write-back-and-external-delivery/
Lokales AD-Objekt
ADSync legte bei mir dann Objekte in der angegebenen Ziel-OU an.
Aus Sicht des Active Directory sind dies "Universal Distribution Groups", in denen auch die "Mitglieder" gepflegt sind. Allerdings fehlen "Gäste", da es für diese Objekte im lokalen AD keine Entsprechung gibt.
dn: CN=FCtest2022_<groupguid>,OU=O365Groups,DC=msxfaq,DC=de changetype: add objectClass: top objectClass: group cn: Group_<groupguid> description: Beschreibung des Team oder der Gruppe member:xxx3b3JrLERDPWRl member:xxxdvcmssREM9ZGU= member:F0d29yayxEQz1kZQ== distinguishedName: CN=FCtest2020_<groupguid>,OU=O365Groups,DC=msxfaq,DC=de instanceType: 4 displayName: Teams FCtest2020 proxyAddresses: SPO:SPO_<groupguid>@SPO_<tenantguid> proxyAddresses: SMTP:FCtest2020@msxfaq2.onmicrosoft.com adminDescription: Group_<groupguid> targetAddress: SMTP:FCtest2020@msxfaq2.onmicrosoft.com mailNickname: FCtest2020 name: Group_<groupguid> sAMAccountName: $TCD000-UQ8VTFK3NSG1 sAMAccountType: 268435457 legacyExchangeDN: /o=MSXFAQ/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=<guid>-TeamFCtest2020 groupType: 8 objectCategory: CN=Group,CN=Schema,CN=Configuration,DC=msxfaq,DC=de msExchRequireAuthToSendTo: TRUE mail: TeamFCtest2020@msxfaq2.onmicrosoft.com msExchPoliciesExcluded: {26491CFC-9E50-4857-861B-123456789ab} msExchMailboxAuditLogAgeLimit: 7776000 msExchVersion: 44220983382016 msExchLocalizationFlags: 0 msExchCoManagedByLink: CN=Teambesitzer,CN=Users,DC=msxfaq,DC=de msExchBypassAudit: FALSE msExchRecipientDisplayType: 17 msExchGroupExternalMemberCount: 0 msExchGroupMemberCount: 9 msExchGroupDepartRestriction: 0 msExchTransportRecipientSettingsFlags: 0 msExchRoleGroupType: 0 msExchRecipientSoftDeletedStatus: 0 msExchProvisioningFlags: 0 msExchMailboxAuditEnable: FALSE msExchGroupJoinRestriction: 0 msExchRecipientTypeDetails: 8796093022208 msExchUMDtmfMap: emailAddress:825226733 msExchUMDtmfMap: lastNameFirstName:825226733 msExchUMDtmfMap: firstNameLastName:825226733 msExchModerationFlags: 6 msExchAddressBookFlags: 1
Die Beschreibung, Mailadresse und ProxyAddresses wurde entsprechend angelegt und es ist eine "Gruppe".
Get-Recipient "CN=Group_<groupguid>,OU=O365Groups,DC=msxfaq,DC=de,OU=O365Groups,DC=msxfaq,DC=de" The operation couldn't be performed because object msxfaq.de/O365Groups/Group_<groupguid>,OU=O365Groups,DC=msxfaq,DC=de' couldn't be found on 'DC1.msxfaq.de'. + CategoryInfo : NotSpecified: (:) [Get-Recipient], ManagementObjectNotFoundException + FullyQualifiedErrorId : [Server=EX16,RequestId=3d1acfe2-60c6-40f9-ba8f-ed71431d5491,TimeStamp=11.11.2020 16:3 6:53] [FailureCategory=Cmdlet-ManagementObjectNotFoundException] 87B805F3,Microsoft.Exchange.Management.RecipientT asks.GetRecipient + PSComputerName : ex16.msxfaq.de
Lokale User als Member
Groups Writeback schreibt aber nicht nur die Gruppen mit der Mailadresse ins lokale Active Directory sondern auch die Mitgliedschaften. Wenn ich dann mein Konto anschaue, dann sehe ich auch alle Office Groups der Cloud, in denen ich Mitglied bin.
Nun möchte ich ja "verstehen", was passiert und welche Fehler das System selbst heilt. Ich habe mich daher als lokaler Administrator aus einer Gruppe entfernt. Würde ADSync diese Änderung dann in die Cloud übertragen oder die Änderung anhand der Daten aus der Cloud rückgängig machen oder es einfach übersehen?
ADSync hat meine Löschung rückgängig gemacht.
Exchange On-Premises
Allerdings gibt es einige Einschränkungen, von denen ich einige hier dokumentiere:
- Unsichtbar in der Exchange PowerShell
Die durch ADSync und Groups Writeback angelegten Objekte konnte ich mit keiner Exchange 2016 PowerShell sichtbar machen. Weder Get-Distributiongroup noch Get-Recipient hat diese besonderen "Gruppen" angezeigt. Ds macht die Verwaltung natürlich nicht gerade einfacher.
Zumindest wir aber verhindert, dass ich ein weiteres Objekt mit der gleichen Mailadresse anlege. - 5000 Mitglieder
Wenn eine Office 365 Group mehr als 5000 Mitglieder hat, dann bricht die Synchronisation mit einem Fehler ab. Dazu hat Microsoft extra eine Sync Rule angelegt. - RequireSenderAuthenticationEnabled wird
nicht abgeglichen
Wenn Sie eine Office 365 Gruppe in der Cloud für anonymen Empfang freischalten, dann wird das Feld "NICHT" zum lokalen Active Directory repliziert.
Und dann gibt es noch weitere Dinge, die Microsoft selbst schon beschreibt.
Mail sent to a group's secondary SMTP
address fails to be delivered: When multiple email addresses
are added to a group, only the primary SMTP address is
written back to your On-Premises Active Directory. If an On-Premises
user tries to send a message to the secondary SMTP address
of a group, the message will fail to be delivered. To
prevent this issue, configure only one SMTP address on each
group.
Quelle: Configure Microsoft 365 Groups with On-Premises
Exchange hybrid
https://docs.microsoft.com/en-us/exchange/hybrid-deployment/set-up-microsoft-365-groups
Delivery of external mail to a group fails if you've enabled
centralized mail flow: If centralized mail flow is enabled, mail sent by an
external user to a group fails to be delivered, even though the group allows
email from external senders.
Quelle: Configure Microsoft 365 Groups with On-Premises Exchange hybrid
https://docs.microsoft.com/en-us/exchange/hybrid-deployment/set-up-microsoft-365-groups
Mailrouting an die Gruppe
Wenn Sie das "Standard-Setup" anschauen, dann ist die Gruppe über ihre erste und primäre Mailadresse erreichbar. Allerdings fällt dem erfahrenen Administrator auf, dass der "Send-Connector" von Exchange On-Premises zu Exchange Online einer Hybrid-Bereitstellung nicht die Domains "*@<tenantname>.onmicrosoft.com" im Adressraum enthält sondern nur "*@<tenantname>.onmicrosoft.com". Mail von der lokalen Umgebung werden als "außen herum" über den MX-Record für die Domäne "<tenantname>.onmicrosoft.com" geleitet. Sie müssen daher den Adressraum "<tenantname>.onmicrosoft.com" beim Connector addieren. Die Zustellung per MX-Record passt dann weiterhin.
Der Hybrid Connector muss zudem korrekt konfiguriert sein, da ansonsten die On-Premises-Absender von Exchange Online nicht als "authentifiziert" angesehen werden. Siehe dazu auch Hybrid Mail Routing.
Weitere Details und insbesondere das Mailrouting mit Office 365 Groups/Teams habe ich auf Groups Mailrouting beschrieben.
Einschätzung
Irgendwie werde ich den Verdacht nicht los, dass bei der Funktion "Groups Writeback" viele Möglichkeiten vergeben wurden und ich frage mich wirklich, warum jemand diese Funktion über AzureP1 lizenzieren sollte. Würde diese Funktion vielleicht auch die Mitglieder und Einstellungen von Sicherheitsgruppen abgleichen und so ein Management aus der Cloud erlauben, könnte ich mir das noch vorstellen. Den einzigen Sinn der Anlage von Groups/Teams als Mailempfänger im lokalen AD sehe ich darin, dass die Mailadressen damit blockiert werden. Wenn Sie für ihre Teams nicht die Default Domains "<tenantname>.onmicrosoft.com" oder eine eigene Subdomains nutze, sondern ihre reguläre Domain verwenden, dann ist diese Funktion wichtig.
Allerdings können Sie auch sehr einfach selbst die Liste der Office 365 Gruppen regelmäßig per Get-UnifiedGroup oder Graph exportieren und die Objekte anlegen. Wer die Gruppen und Teams sowieso per Prozess anlegt, kann auch hier die Verwaltung mit integrieren.
Weitere Links
- Groups Mailrouting
- Group Writeback
- ADSync - Gruppen matchen
- ADSync und Gruppen
- Hybrid Mail Routing
-
How to connect group writeback
https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-group-writeback - Configure Microsoft 365 Groups with On-Premises Exchange
hybrid
https://docs.microsoft.com/en-us/exchange/hybrid-deployment/set-up-microsoft-365-groups - Choose the domain to use when creating Microsoft 365 groups
https://docs.microsoft.com/en-us/microsoft-365/solutions/choose-domain-to-create-groups?view=o365-worldwide