Exchange Hybrid: Shared Mailbox Permissions
Lokale Berechtigungen vergeben
Vollzugriff & SendAs
Nachdem die 3 Gruppen erfolgreich angelegt wurden, könnt ihr den Azure AD Connect manuell triggern oder ihr wartet den nächsten Syncinterval ab. Nach erfolgreicher Synchronisation sollten die Gruppen im Exchange Online Portal unter „Groups“ aufscheinen. Falls dem nicht so ist, liegen die Gruppen höchstwahrscheinlich im On-Premises AD in einer Organisationseinheit, welche nicht vom Azure AD Connect synchronisiert wird.
Fangen wir mit den „Vollzugriff“ Permissions an. Diese müssen, wie vorhin erläutert, nur in der Microsoft Cloud gesetzt werden. Im gleichem Atemzug können wir hier auch die „SendAs“ Berechtigung vergeben.
Die „SendAs“ Berechtigung müssen wir aber zusätzlich auch im lokalen AD setzen. Dazu können wir die lokale Exchange Management Shell verwenden und folgenden Befehl ausführen.
Add-ADPermission -Identity Verrechnung -User EXO_Verrechnung_SendAs -AccessRights ExtendedRight -ExtendedRights "Send As"
Somit hätten wir das bereits erledigt.
SendOnBehalf
Für „SendOnBehalf“ hat Microsoft leider noch keine Integration im Exchange Online Portal geschaffen (siehe Can’t manage Send on Behalf permissions for shared mailboxes in the EAC – Exchange | Microsoft Docs). Die einzige Möglichkeit diese Berechtigung auf einem freigegeben Postfach zu setzen, ist die Exchange Online Powershell. Dazu öffnet man eine Powershell (nicht die Management Shell am lokalen Exchange) und verbindet sich mit der Exchange Online Umgebung (siehe Connect to Exchange Online PowerShell | Microsoft Docs). Anschließend kann folgender Befehl ausgeführt werden:
Set-Mailbox Verrechnung -GrantSendOnBehalfTo EXO_Verrechnung_SendOnBehalf
Glücklicherweise wird diese Berechtigung beim nächsten Azure AD Sync auch ins lokale AD übernommen.
Fazit & abschließende Worte
Ihr seht allein an der Länge dieses Artikels, wie komplex diese eigentlich rudimentäre Anforderung in einer hybriden Umgebung umgesetzt werden muss. Für unerfahrene Administratoren ist das leider eine absolute Black-Box und ich bin mir sicher, dass die wenigsten Exchange Umgebung mit einem derartigen Aufwand synchron gehalten werden – leider. Hier hat Microsoft ganz klar Handlungsbedarf.
Super Erläuterung! Sowas hab ich schon lange gesucht.
Ich habe aber noch eine kleine Verständisfrage.
Ich habe eine FullAccess Gruppe in der lokalen AD angelegt. Diese wird via AD Connect synchronisiert. Muss ich die Nutzer für die Gruppe nun im EXO oder im OnPrem der Gruppe hinzufügen?
Freut mich zu hören, dass ich dir helfen konnte! 🙂 Also die Gruppe wurde lokal angelegt und die notwendigen Berechtigungen für Full-Access, SendAs und SendOnBehalf wurden gesetzt? Dann musst du die Gruppenmitgliedschaft immer in deinem lokalen AD pflegen und in die Cloud synchronisieren lassen. Es wird zwar zukünftig die Möglichkeit mittels GroupWriteback geben, auch Security Gruppen vom Azure AD zurück ins On-Premise AD zu synchronisieren, aktuell ist es aber noch nicht soweit. Außerdem ist es meiner Meinung nach einfacher, soweit als möglich immer alles lokal zu erledigen. So läuft man dann auch gar nicht in die Gefahr irgendwelche Änderungen nur… Weiterlesen »
Irgendwie klappt das bei mir nicht mehr. Nochmal zur Verständnis zur FullAccess vergabe. ohne Gruppe: Shared Mailbox lokal anlegen und via ADConnect syncen im EXO dem User FullAccess für die gesyncte Shared Mailbox geben mit Gruppe Shared Mailbox lokal anlegen Gruppe lokal anlegen User der Gruppe lokal hinzufügen Sync mit AD Connect Ich bin den zweiten weg gegangen (so wie bei dir beschrieben). Am Anfang war die Shared Mailbox auch bei mir im Outlook zu sehen und mit einmal ist diese wieder verschwunden. Ich stehe aber in der Gruppe als Mitglied drinnen (im ExOn und im OnPrem). Also vom Sync… Weiterlesen »
Hab jetzt mal bei einem 2ten Shared Mailbox, bei dem ich noch keine Security Group eingerichtet hatte, mich direkt als User via ExOn unter FullAccess eingetragen.
Die Shared Mailbox wird dann im Outlook angezeigt.
Deine angelegten Security Groups (bspw. jene für Full-Access) sind aber auch mail-enabled – sprich, sie besitzen eine SMTP Adresse oder?
Kannst du, wenn du die Permissions mittels Gruppen vergeben hast, das Shared Postfach manuell zu deinem User Postfach dazu hängen (also ohne AutoMapping)?