O365 / Hybrid Recipient Management

Von einem Hybrid-Szenario spricht man, wenn zwei Identitäts-Quellen miteinander verbunden werden. Das wohl bekannteste Szenario ist sicher, wenn sein On-Premise Active Directory mithilfe von Azure-AD-Connect mit Microsofts Azure und/oder Office 365 verbunden wird.
Hierbei gilt, dass es nur ein führendes Directory für Identitäten geben soll, also in unserem Beispiel Online oder On-Premise.

Die Gründe für ein Hybrid-Szenario sind weitläufig bekannt, ich möchte hier nur das aus meiner Sicht wichtigste nennen: Single-Sign-On. Wenn wir das Thema Exchange Online genauer betrachten, sehen wir dass sehr viele Kunden Azure-AD-Connect im Einsatz haben, aber es keinen anderen unterstützten Weg Exchange Attribute zu ändern gibt, als über die Exchange Management Konsole.

In letzter Zeit wurde ich immer wieder mit den Fragen konfrontiert:
Wo ändere ich das? Wo wird das angepasst? Welche PowerShell muss ich verwenden?

Deshalb habe ich im folgenden Befehle und gängige Workflows beschrieben – die die meisten Tasks abfangen sollten.

Useranlage

Folgende Befehle werden ausschließlich am Exchange On-Prem ausgeführt.

Existierender AD-User

Enable-RemoteMailbox remotemailbox@domain.at -RemoteRoutingAddress remotemailbox@<tenantname>.mail.onmicrosoft.com

Neuer AD-User

Userobjekt im AD anlegen, und nachfolgend die RemoteMailbox aktivieren.

Enable-RemoteMailbox remotemailbox@domain.at -RemoteRoutingAddress remotemailbox@<tenantname>.mail.onmicrosoft.com

Wichtig: Zuerst den User nach Office 365 synchronisieren lassen, und erst danach die Lizenz zuweisen. Ansonsten stehen die On-Prem Email-Attribute nicht im Office 365 Objekt.

Mailbox-Berechtigungen

Folgende Befehle werden ausschließlich dort gesetzt, wo sich die Mailbox gerade befindet.

via ECP:

via Powershell:

Add-MailboxPermission -Identity RemoteMailbox -User RemoteMailbox -AccessRights FullAccess -InheritanceType All -AutoMapping $true

https://docs.microsoft.com/en-us/exchange/recipients/mailbox-permissions?view=exchserver-2019

Shared-Mailbox

Folgende Befehle werden ausschließlich am Exchange On-Prem ausgeführt.

Konvertieren / AD-User existiert

Set-RemoteMailbox remotemailbox@domain.at -Type Shared

Neuer AD-User / Mailbox

Hier würde ich empfehlen das Userobjekt zuerst anzulegen, und dann die Remote-Mailbox zu aktivieren.

Enable-RemoteMailbox remotemailbox@domain.at -RemoteRoutingAddress remotemailbox@<tenantname>.mail.onmicrosoft.com -Type Shared

Alias-Anpassungen

Aliase beziehen sich auf AD-Attribute, deshalb alles am Exchange On-Prem ausführbar.

via ECP:

via Powershell:

Set-RemoteMailbox "RemoteMailbox" -EmailAddresses @{add="remotemailbox@domain.at"}
Set-RemoteMailbox "RemoteMailbox" -EmailAddresses @{remove="remotemailbox@domain.at"}

Weiterleitungen

Alle Änderungen die den Mailflow betreffen werden ausschließlich online gesetzt

via ECP:

via Powershell:

Set-Mailbox -Identity "RemoteMailbox" -DeliverToMailboxAndForward $true -ForwardingSMTPAddress "RemoteMailbox@domain.at"

Ressourcenpostfächer

Folgende Befehle werden sowohl am Exchange On-Prem, sowie im Office 365 ausgeführt.

Neues Ressourcenpostfach

Enable-RemoteMailbox remotemailbox@domain.at -RemoteRoutingAddress remotemailbox@<tenantname>.mail.onmicrosoft.com -Room
Enable-RemoteMailbox remotemailbox@domain.at -Equipment

Bestehende Mailbox

Set-RemoteMailbox remotemailbox@domain.at -Room
Set-RemoteMailbox remotemailbox@domain.at -Equipment

Wichtig – Standardmäßig wird in der O365 Ressource der Betreff des Termins durch den Organisator ersetzt – das kann durch folgenden Befehl bereinigt werden:

Get-Mailbox | Where-Object {$_.ResourceType -eq "Room" -or $_.ResourceType -eq "Equipment"} | Set-CalendarProcessing -DeleteSubject $False -AddOrganizerToSubject $True

Standardberechtigungen setzen

Set-MailboxFolderPermission -Identity ressource@domain.at:\Calendar -User Standard -AccessRights LimitedDetails
Set-MailboxFolderPermission -Identity ressource@domain.at:\Kalender -User Standard -AccessRights LimitedDetails

Information

Ressourcenpostfächer werden im lokalen ECP unter „Postfächer“ angezeigt und nicht unter Ressourcen. Das ist ein normales Verhalten, da diese Postfächer in der Beschreibung als „Remoteraumpostfach“ angezeigt werden.

Useraustritt

Der Useraustritt kann je nach Anforderungen unterschiedlich sein. Als grundlegende Schritte würde ich empfehlen:

  • User im AD zu deaktivieren
  • Usermailbox zu konvertieren –> Shared Mailbox
  • Entfernung der O365 Lizenzen

Out of Office Reply

Da es sich hier auch um Änderungen am Mailflow handelt, werden diese auch online gesetzt.

via ECP:

via Powershell:

Get-Mailbox -Identity mailbox@domain.at | Set-MailboxAutoReplyConfiguration -AutoReplyState Scheduled -StartTime "12/18/2019 08:00:00" -EndTime "01/06/2020 23:59:59" -InternalMessage "Ihre Nachricht" -ExternalMessage "Ihre Nachricht" -ExternalAudience All

Wichtig: Hier gilt ein Zeitversatz von einer Stunde. UTC-Zeitformat wird angenommen.

Schreibe einen Kommentar