Exchange Hybrid: Shared Mailbox Permissions
Hat meine seine On-Premises Exchange Infrastruktur erst einmal zu Office365 ausgelagert, ist die Arbeit eines Administrators noch lange nicht getan. Zwar muss man sich nicht mehr um das Management der Exchange Server kümmern, allerdings verkompliziert sich die Verwaltung der Benutzer- und Postfachstruktur zwangsläufig. Warum man auf einen lokalen Exchange Management Server nicht verzichten kann, habe ich bereits im vorherigen Artikel näher erläutert. In diesem Beitrag möchte ich auf die Berechtigungen eingehen und euch ein Best-Practice Beispiel zeigen, wie man ein Shared Postfach verwaltet.
Vorwort
Bevor wir direkt in das Geschehen einsteigen, möchte ich noch ein paar Dinge klären. Natürlich kann man als Administrator nach erfolgter Migration die Postfachberechtigungen ausschließlich über das Exchange Online Portal verwalten. Hierbei wird man allerdings zwangsläufig auf das Problem stoßen, dass das Azure AD und das On-Premises AD immer weiter auseinander laufen werden. Warum das so ist, habe ich bereits hier erklärt. Wer also mit den Grundsätzen nicht vertraut ist, sollte sich vorab in dem markierten Post einlesen.
Ziel
Unser Ziel ist es, einige (freigegebene) Postfächer in Exchange Online mittels Berechtigungen für andere Benutzerpostfächer zugänglich zu machen. Dies passiert grundsätzlich über „Vollzugriff“, sowie „Send-As“ Berechtigungen. Da sich alle genannten Postfächer in der Microsoft Cloud befinden und wir ein lokales Active-Directory betreiben, sind einige Punkte zu beachten.
Theorie
Aufbau & Grundregeln
Der Aufbau sieht wie folgt aus:
- Exchange On-Premises Management Server – alle Postfächer wurden bereits zu O365 migriert
- Office365 Exchange Online Lizenzen
- Azure AD Connect
Wir haben nun geklärt, warum Exchange relevanten AD-Attribute nicht vom Azure AD in unser lokales AD übernommen werden. Da wir allerdings sicherstellen möchten, dass die beiden Verzeichnisdienste immer die gleichen Daten beinhalten, müssen wir einige Dinge beachten, darunter:
- Geänderte Exchange Attribute im Azure AD werden nicht zurück ins On-Premises AD synchronisiert.
- Änderungen dürfen in der Regel nicht im Exchange Online Portal vorgenommen werden sondern immer über den lokalen Management Server.
- Das lokale Active-Directory ist immer unser „Single-Point-of-Truth„.
Umsetzungsstrategie
Die einfachste Methode, um Berechtigungen auf einem Cloud-Postfach zu verwalten, sind AD-Gruppen. Gruppen haben den Vorteil, dass man die Konfiguration nur einmal für jedes (freigegebene) Postfach setzen muss. Braucht ein neuer Benutzer Zugriff auf das jeweilige Postfach, reicht es aus, den Nutzer als Mitglied der jeweiligen Gruppe hinzuzufügen. Somit bekommt der Nutzer automatisch die entsprechenden Berechtigungen zugeteilt. Umgekehrt: müssen die Berechtigungen entzogen werden, muss der Benutzer einfach aus der Gruppe entfernt werden.
Für uns als Administratoren bedeutet das: Erstellen wir ein neues freigebendes Postfach, legen wir auch gleich 3 zusätzliche AD-Gruppen an. Die Gruppen werden nach einem bestimmten Schema benannt, sodass sie immer gleich aussehen. Somit hat man nicht nur eine übersichtliche Struktur geschaffen, sondern man sieht auf den ersten Blick, welche Nutzer Berechtigungen auf einem bestimmten Postfach haben. Folgende 3 Gruppen werden benötigt.
Gruppen-Name | Funktion |
---|---|
EXO_SharedMailbox_FullAccess | Erteilt die Berechtigung „Vollzugriff“ auf das freigegebene Postfach mit dem Namen „SharedMailbox“ |
EXO_SharedMailbox_SendAs | Erteilt die Berechtigung „SendAs“ auf das freigegebene Postfach mit dem Namen „SharedMailbox“ |
EXO_SharedMailbox_SendOnBehalf | Erteilt die Berechtigung „SendOnBehalf“ auf das freigegebene Postfach mit dem Namen „SharedMailbox“ |
Der Gruppenname besteht dabei aus folgender Syntax:
- EXO – dient als Prefix und kennzeichnet eine Exchange Online Gruppe
- Postfachname – gibt an, für welches Postfach die Berechtigungen gesetzt werden
- FullAccess/SendAs/SendOnBehalf – gibt an, welche Berechtigungen Mitglieder dieser Gruppe erhalten
Natürlich könnt ihr das Schema frei wählen. Empfehlenswert ist jedoch eine einheitliche Struktur.
Super Erläuterung! Sowas hab ich schon lange gesucht.
Ich habe aber noch eine kleine Verständisfrage.
Ich habe eine FullAccess Gruppe in der lokalen AD angelegt. Diese wird via AD Connect synchronisiert. Muss ich die Nutzer für die Gruppe nun im EXO oder im OnPrem der Gruppe hinzufügen?
Freut mich zu hören, dass ich dir helfen konnte! 🙂 Also die Gruppe wurde lokal angelegt und die notwendigen Berechtigungen für Full-Access, SendAs und SendOnBehalf wurden gesetzt? Dann musst du die Gruppenmitgliedschaft immer in deinem lokalen AD pflegen und in die Cloud synchronisieren lassen. Es wird zwar zukünftig die Möglichkeit mittels GroupWriteback geben, auch Security Gruppen vom Azure AD zurück ins On-Premise AD zu synchronisieren, aktuell ist es aber noch nicht soweit. Außerdem ist es meiner Meinung nach einfacher, soweit als möglich immer alles lokal zu erledigen. So läuft man dann auch gar nicht in die Gefahr irgendwelche Änderungen nur… Weiterlesen »
Irgendwie klappt das bei mir nicht mehr. Nochmal zur Verständnis zur FullAccess vergabe. ohne Gruppe: Shared Mailbox lokal anlegen und via ADConnect syncen im EXO dem User FullAccess für die gesyncte Shared Mailbox geben mit Gruppe Shared Mailbox lokal anlegen Gruppe lokal anlegen User der Gruppe lokal hinzufügen Sync mit AD Connect Ich bin den zweiten weg gegangen (so wie bei dir beschrieben). Am Anfang war die Shared Mailbox auch bei mir im Outlook zu sehen und mit einmal ist diese wieder verschwunden. Ich stehe aber in der Gruppe als Mitglied drinnen (im ExOn und im OnPrem). Also vom Sync… Weiterlesen »
Hab jetzt mal bei einem 2ten Shared Mailbox, bei dem ich noch keine Security Group eingerichtet hatte, mich direkt als User via ExOn unter FullAccess eingetragen.
Die Shared Mailbox wird dann im Outlook angezeigt.
Deine angelegten Security Groups (bspw. jene für Full-Access) sind aber auch mail-enabled – sprich, sie besitzen eine SMTP Adresse oder?
Kannst du, wenn du die Permissions mittels Gruppen vergeben hast, das Shared Postfach manuell zu deinem User Postfach dazu hängen (also ohne AutoMapping)?