MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

CEO mit zwei Postfächern

Kennen Sie das auch? Es gibt immer Personen, die die Grundregel "Ein Mensch ein Postfach" nicht einhalten. Dabei meine ich nun nicht den CEO, der ein "öffentliches" Postfach hat, welches seine Assistenz verwaltet und ein privates für die wichtigen Mails, sondern die CEOs, die gleich in mehreren Firmen eine Funktion haben und daher nicht nur unter mehreren Mailadressen erreichbar sein und senden müssen, sondern einen abgestimmten Terminplan benötigen.

Überlegungen

Ich kann verstehen, dass der CEO nicht mit zwei IPhones, zwei Laptops etc. Also ich gehe mal davon aus, dass das Gerät „verwaltet“ wird. (Intune o.ä.) Und kooperative Verwaltung geht nicht, d.h. entweder ist er zu 50,1% bei Tenant1 und dort verwaltet oder bei Tenant2 Damit kann er in dem Tenant schon mal „arbeiten“. Die Frage ist nun, wie er auch im anderen Tenant arbeiten kann. Dazu muss der andere Admin das „zulassen“ aber dann kann ich z.B. in Outlook, in Teams, in OneDrive problemlos zwei Konten einbinden. Das macht ich bei mir auch. (ein Konto im „Net at Work Tenant“ und eines in meinem „Carius.de“-Tenant für Tests etc.

Die Herausforderung ist aber nun der DelegateAccess mit den Sekretariaten. Ein Zugriff von einer Seite auf die andere geht nicht. Punkt. Kein Stellvertreter über Kreuz und da hilft auch kein Crosstenant Sync. Gäste wirken nur in Teams. Aber nicht in Exchange Man könnte nun natürlich auch noch das Vorzimmer mit Doppelkonten versehen aber auch das ist eigentlich keine Lösung.

Ein oder zwei Kalender

Die Schlüsselfrage ist, ob der CEO sich auf ein primäres Postfach mit Kalender festlegen kann. Das macht vieles einfacher, weil er z.B. nur eine Lizenz benötigt, nur ein Konto aktiv ist, das Endgerät in genau einem Tenant registriert wird und das Management klar definiert ist. Die Mitarbeiter der anderen Firma können über einen Kontakt den CEO in der ersten Firma im Adressbuch sehen, erreichen und Termine über die Frei/Belegt-Zeiten über eine Org-Relationship buchen.

Allerdings dürfen wir einige Einschränkungen nicht verschweigen:

  • Nur Free/Busy, kein Delegate
    Der CEO hat kein Postfach in Firma2 und es gibt keinen Stellvertreter über Tenant-Grenzen hinaus. Eine Assistenz in Firma2 kann daher nicht den Kalender in Firma1 direkt pflegen. Dazu müssten dann zumindest die Assistenzkräfte auch noch ein Anmeldekonto samt Exchange in Firma1 haben und in Outlook das zweite Konto einbinden, was bei Conditional Access wieder Konflikte verursachen kann.
  • SendAs
    Der CEO kann nur als Postfach der Firma1 senden. Er kann erst einmal nicht einer Mailadresse aus Firma2 senden. Dem Tenant "Firma1" gehört ja nicht die SMTP-Domain von Firma2 und Exchange Online SMTP Sharing ist zwar möglich aber der Aufwand lohnt sie für einen Benutzer vermutlich nicht. Wenn der CEO oder seine Assistenz auch als Firma2 senden müssen, dann braucht es ein Rewriting oder ein Postfach in Firma2 mit Anmeldedaten und zweiten Eintrag im Outlook-Profil.
  • Teams u.a.
    Solange der CEO nur ein Anmeldekonto in Firma1 hat, kann er in Firma2 nur als "Extern" mitarbeiten. Sicher kann er ein Gast-Konto bekommen, um auch in Microsoft Teams von Firma2 mit zu arbeiten und Zugriff auf SharePoint-Bibliotheken in Firma2 zu zu erhalten. Er wird aber nie den gleichen Status wie ein interner Mitarbeiter in Firma2 erreichen.

Ehe Sie gleich über zwei Konten nachdenken, kommen wir noch einmal auf den Kalender zurück.

KalenderSync

Der große Vorteil und aus meiner Sicht das wichtigste Argument für eine "1 Mensch = 1 Postfach"-Regel ist der Kalender. E-Mails können sie recht einfach von einem Postfach in einer zweites Postfach weiterleiten/umleiten aber das funktioniert fast nie mit Terminen im Kalender. Elemente im Kalender werden nicht "zugestellt" und gesendet", sondern "angelegt".  Der primäre Anwender legt für sich eigene Termine an oder verwaltet vorhandene Termine aber auch Assistenzen verwalten Termine im Auftrag des Inhabers. Zudem passieren in Kalendern gerade bei Führungskräften mit straff durchgeplanten Terminplan viel mehr Änderungen als in einem Posteingang. Neue Mails werden gelesen, verarbeitet und dann gelöscht oder abgelegt und maximal später einmal durchsucht. Der Kalender mit all seinen Termine ist hingegen ein sehr agiles Umfeld und wird auch intensiv auf dem Smartphone genutzt.

Wenn Sie einem CEO daher in zwei Umgebungen jeweils ein Postfach geben, dann sind Konflikte vorprogrammiert. Es wird immer passieren, dass ein Termin nur in einem Kalender landet und daher für die anderen Firma als "Frei" angezeigt wird. Sie könnten dieses Problem etwas reduzieren, wenn Sie einen Synchronisierung-Prozess aufsetzen, der die Termine eines Kalenders automatisch zum zweiten Kalender überträgt.

Dazu brauchen Sie natürlich in der entfernten Firma ein reguläres Postfach mit einer Umleitung an die Quelle, damit irrtümlich an diese Mailbox gesendete Mails im primären Postfach landen. So können aber Personen in "Firma2" den Kalender samt Inhalten sehen. Sie sollten aber nicht dort ändern oder sogar neu anlegen, denn solche Änderungen würden entweder aus der Quelle überschrieben oder gelöscht. Sie würden aber bei diesem Setup nicht in der Quelle ankommen und würden vom CEO nicht gesehen.

So ein Abgleich ist mit Microsoft Graph in der Cloud aber auch EWS OnPremises im Prinzip möglich. Allerdings sollten Sie nicht jede Sekunde nach Änderungen suchen, da ihr Prozess sonst gedrosselt wird. Besser ist die Nutzung der Benachrichtigungsfunktionen, die aber nicht "Realtime" sind. Mit Microsoft Graph kann es schon einige Minuten dauern.

Bitte versuchen Sie nicht die auf dem Bild dargestellte bidirektionale Synchronisation zu versprechen. Theoretisch soll es solche Lösungen geben aber meine Erfahrungen sind damit nur negativ.

Zeitverzögerungen aber insbesondere Replikationskonflikte durch Änderungen auf beiden Seiten und eine automatische Auflösung nach "Last Write Wins" o.ä. sind ebenso kritisch wie Einladungen, Absagen und Löschungen. Oft kommt dann noch die Anforderung dazu, dass bitte auch alle Mails entsprechend synchronisiert werden sollen.

Der CEO will natürlich immer nur genau ein Postfach nutzen aber unter beiden Postfächern erreichbar sein. Solche Konstruktionen werden immer dann diskutiert, wenn auf beiden Seiten entsprechende Assistenzen das Postfach mit bearbeiten sollen.

Denken Sie einfach an die Probleme beim Zugriff mehrerer Personen auf eine Shared Mailbox mit aktiviertem Cached-Mode. Auch das ist eine bidirektionale Replikation mit den verbundenen Problemen.

Eine Empfehlung für ein entsprechendes Tool habe ich nicht. Für Cloud-Dienste gibt es einige Anbieter, die sich per Graph die Rechte einräumen lassen, um dann auf die Daten der Person zuzugreifen. Hoffentlich ist der Consent dann speziell genug, dass die Rechte nur die einzelnen Postfächer und nur Kalender erlauben. (Siehe auch Risiko orgweiter Consent und EWS und OAUTH2)

Es gibt sicher noch weitere. In der Cloud ist das mit der GprahAPI eigentlich auch nicht schwer.

Mailversand

Eingehende Mails können recht einfach auf ein zentrales primäres Postfach zugestellt und umgeleitet werden. Beim Versand sieht es speziell mit Exchange Online wieder anders aus. ein Exchange Online kann nur mit einer Mailadresse senden, die dem Postfach zugewiesen ist. Nur mit einer gesonderten Konfiguration können Sie den Versand mit einer alternativen sekundären Adresse erlauben. Aber auch hier muss die SMTP-Domain eine "Accepted-Domain" in diesem Tenant sein.

Ein Exchange Online SMTP Sharing ist bei einem Betrieb mit zwei Tenants aktuell nicht möglich. Wenn der CEO daher nur mit seinem primären Postfach verbunden ist, dann kann er ohne weitere Hilfe nicht mal eben eine Mail als CEO der Firma2 versenden. Sicher sind hier "Tricks" denkbar, dass der CEO einen Code im Betreff hinterlegt und ausgehend wird die Absenderadresse umgeschrieben. Aber dann gibt es immer noch SPF, DKIM und DMARC zu beachten.

Wenn der CEO wirklich mit beiden Adressen auch Mails senden will, dann sollte er zwei Postfächer haben und auch beide Postfächer lesen und schreiben. Nebenbei landen dann auch die "Gesendeten Mails" im richtigen Postfach. Denken Sie hier bitte auch an Compliance, Rights Management, Information Protection etc. Allerdings haben wir dann wieder das Problem, dass es auch zwei Kalender gibt und der CEO sogar zwei Kalender auf seinem Client sieht. Womit wir wieder beim "Kalender Sync-Problem" wären. 

Zwischenstand

Es gibt keine perfekte Lösung und ich habe auf dieser Seite einige Optionen und ihre Vor-/Nachteile vorgestellt. Ich bin immer noch davon überzeugt, dass ein CEO entweder genau ein aktives Postfach hat und auch die Assistenz dieses Postfach in der gleichen Firma ist. Eine zweite Firma bekommt einen MailContact und die Frei/Belegt-Zeiten aber kein zweites Postfach.

Wenn er aber ein zweites Postfach benötigt, weil auch in der anderen Firma seine aktive Teilnahme erforderlich ist und ein Gast-Konto nicht reicht, dann sollte er auf seinen Endgeräten beide Postfächer und beide Kalender einbinden. Es obliegt dann aber der Assistenz, die entsprechende Sorgfalt und Abstimmung bei der Pflege der jeweiligen lokalen Kalender an den Tag zu legen.

Ein KalenderSync kann helfen aber ich rate davon ab. Vielleicht ist es dann besser die Firmen in einen gemeinsamen "Holding-Tenant" zu konsolidieren.

Weitere Links