Exchange Hybrid: Shared Mailbox Permissions

Hat meine seine On-Premise Exchange Infrastruktur erst einmal zu Office365 ausgelagert, ist die Arbeit eines Administrators noch lange nicht getan. Zwar muss man sich nicht mehr um das Management der Exchange Server kümmern, allerdings verkompliziert sich die Verwaltung der Benutzer- und Postfachstruktur zwangsläufig. Warum man auf einen lokalen Exchange Management Server nicht verzichten kann, habe ich bereits im vorherigen Artikel näher erläutert. In diesem Beitrag möchte ich auf die Berechtigungen eingehen und euch ein Best-Practice Beispiel zeigen, wie man ein Shared Postfach verwaltet.

 

Vorwort

Bevor wir direkt in das Geschehen einsteigen, möchte ich noch ein paar Dinge klären. Natürlich kann man als Administrator nach erfolgter Migration die Postfachberechtigungen ausschließlich über das Exchange Online Portal verwalten. Hierbei wird man allerdings zwangsläufig auf das Problem stoßen, dass das Azure AD und das On-Premise AD immer weiter auseinander laufen werden. Warum das so ist, habe ich bereits hier erklärt. Wer also mit den Grundsätzen nicht vertraut ist, sollte sich vorab in dem markierten Post einlesen.

 

Ziel

Unser Ziel ist es, einige (freigegebene) Postfächer in Exchange Online mittels Berechtigungen für andere Benutzerpostfächer zugänglich zu machen. Dies passiert grundsätzlich über „Vollzugriff“, sowie „Send-As“ Berechtigungen. Da sich alle genannten Postfächer in der Microsoft Cloud befinden und wir ein lokales Active-Directory betreiben, sind einige Punkte zu beachten.

 

Theorie

Aufbau & Grundregeln

Der Aufbau sieht wie folgt aus:

  • Exchange On-Premise Management Server – alle Postfächer wurden bereits zu O365 migriert
  • Office365 Exchange Online Lizenzen
  • Azure AD Connect

Wir haben nun geklärt, warum Exchange relevanten AD-Attribute nicht vom Azure AD in unser lokales AD übernommen werden. Da wir allerdings sicherstellen möchten, dass die beiden Verzeichnisdienste immer die gleichen Daten beinhalten, müssen wir einige Dinge beachten, darunter:

  • Geänderte Exchange Attribute im Azure AD werden nicht zurück ins On-Premise AD synchronisiert.
  • Änderungen dürfen in der Regel nicht im Exchange Online Portal vorgenommen werden sondern immer über den lokalen Management Server.
  • Das lokale Active-Directory ist immer unser „Single-Point-of-Truth„.

 

Umsetzungsstrategie

Die einfachste Methode, um Berechtigungen auf einem Cloud-Postfach zu verwalten, sind AD-Gruppen. Gruppen haben den Vorteil, dass man die Konfiguration nur einmal für jedes (freigegebene) Postfach setzen muss. Braucht ein neuer Benutzer Zugriff auf das jeweilige Postfach, reicht es aus, den Nutzer als Mitglied der jeweiligen Gruppe hinzuzufügen. Somit bekommt der Nutzer automatisch die entsprechenden Berechtigungen zugeteilt. Umgekehrt: müssen die Berechtigungen entzogen werden, muss der Benutzer einfach aus der Gruppe entfernt werden.

Für uns als Administratoren bedeutet das: Erstellen wir ein neues freigebendes Postfach, legen wir auch gleich 3 zusätzliche AD-Gruppen an. Die Gruppen werden nach einem bestimmten Schema benannt, sodass sie immer gleich aussehen. Somit hat man nicht nur eine übersichtliche Struktur geschaffen, sondern man sieht auf den ersten Blick, welche Nutzer Berechtigungen auf einem bestimmten Postfach haben. Folgende 3 Gruppen werden benötigt.

Gruppen-Name Funktion
EXO_SharedMailbox_FullAccess Erteilt die Berechtigung „Vollzugriff“ auf das freigegebene Postfach mit dem Namen „SharedMailbox“
EXO_SharedMailbox_SendAs Erteilt die Berechtigung „SendAs“ auf das freigegebene Postfach mit dem Namen „SharedMailbox“
EXO_SharedMailbox_SendOnBehalf Erteilt die Berechtigung „SendOnBehalf“ auf das freigegebene Postfach mit dem Namen „SharedMailbox“

Der Gruppenname besteht dabei aus folgender Syntax:

  • EXO – dient als Prefix und kennzeichnet eine Exchange Online Gruppe
  • Postfachname – gibt an, für welches Postfach die Berechtigungen gesetzt werden
  • FullAccess/SendAs/SendOnBehalf – gibt an, welche Berechtigungen Mitglieder dieser Gruppe erhalten

Natürlich könnt ihr das Schema frei wählen. Empfehlenswert ist jedoch eine einheitliche Struktur.

Das könnte Dich auch interessieren …

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
0
Hinterlass' doch deine Meinung zu diesem Artikelx
()
x