Exchange Hybrid
Entra ID – OAuth2 – Mail Flow – Free/Busy – Public Folder – Password-Hash Synchronization – Microsoft 365 Groups für TEAMS
Zielgruppe:
Das Seminar richtet sich an Enterprise und Domain Administratoren, Exchange Administratoren, IT-Infrastruktur Manager.
Voraussetzungen:
Erfahrung mit Exchange und Active Directory wird vorausgesetzt.
Zertifikat:
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.
Kursdokumentation:
Die digitale Kursdokumentation erhalten die Teilnehmer einen Werktag vor Kursbeginn. Diese ist im Kurspreis inbegriffen. Auf Wunsch kann gegen einen Aufpreis von 300,– € zzgl. MwSt. zusätzlich eine Printversion dazugebucht werden.
Schulungszeiten:
Tag 1: 09:00–17:00 Uhr / Tag 2–3: 08:30–17:00 Uhr / Tag 4: 08:30–13:00 Uhr
Exchange Hybrid Intensivkurs im Detail
In diesem 4-Tage Intensivkurs wollen wir Unternehmen ermöglichen, ihre bestehende Exchange Server 2019 / SE On-Premises Umgebung selbst in eine Exchange Hybrid Umgebung mit Exchange Online (Office 365) systematisch zu integrieren. Im Gegensatz zu einer 100% Office 365 Lösung hat man die Zentralverwaltung selbst in der Hand. Somit ist die Abhängigkeit von Microsoft definierbar, denn jederzeit können die durch OnBoarding in Exchange Online verschobenen Postfächer wieder durch OffBoarding zurück in die On-Premises Exchange Umgebung verschoben werden.
Die Zusammenarbeit zwischen Exchange 2019 On-Premises (lokal) und Exchange Online (Office 365) ist oft notwendig für international tätige Firmen mit Mitarbeitern, die auf der ganzen Welt unterwegs sind. Single Sign-On (SSO) und Zugriff auf „shared“ Exchange Ressourcen (Free/Busy, OAB, Public Folder) ist jeder Zeit für alle möglich. Exchange Hybrid mit Entra Connect Sync ist auch der erste Baustein, wenn Microsoft TEAMS realisiert werden soll. Im Kurs werden die Microsoft 365 Group detailliert behandelt, die die Voraussetzung für TEAMS bilden.
Als Alternative zu den Active Directory Federation Services (AD FS) bietet sich die Password-Hash Synchronization (PHS) an.
Der Zugriff auf Ressourcen kann durch Entra Conditional Access kontrolliert und eingeschränkt werden. Dazu wird der Azure Application Proxy (Cloud) zusammen mit dem Application Proxy Connector (On-Premise) kombiniert, um den Conditional Access auch auf On-Premise Zugriffe auszuweiten. Zusätzlich kann durch Microsoft Intune die Compliance der Geräte für den Conditional Access genutzt werden.
Die Besonderheit einer Exchange Hybrid-Konfiguration ist, so zu konfigurieren, dass ein SSO (Single Sign-On) für jeden Benutzer möglich ist, egal wo sein Postfach liegt. Auch wenn manche Postfächer in der Cloud liegen (Exchange Online) wird die Authentifizierung und Autorisierung durch das On-Premises (lokale) Active Directory mit Unterstützung von Password-Hash Synchronization ermöglicht.
Der Kurs wird mit einer echten Microsoft Abonnement On-Premise Domäne (<Tenant Verzeichnis>.onMicrosoft.com) und Office 365 E3 praktiziert, sodass On-Premises Postfächer in Exchange Online hin und zurück verschoben werden können:
- On-Boarding Mailbox Move » Verschieben On-Premises Mailbox auf Exchange Online
- Off-Boarding Mailbox Move » Verschieben Exchange Online Mailbox zurück zu On-Premises
Für den Kurs wird ein Public SSL Zertifikat für die Sicherung des HTTP-Transports zwischen On-Premises und Office 365 Komponenten eingesetzt.
Exchange Hybrid erlaubt die Nutzung von Global Address Lists (GAL) und Free/Busy für alle Postfach-Benutzer (On-Premises und Exchange Online). Auch auf die bestehenden On-Premises Public Folder kann von allen Benutzern zugegriffen werden. Durch die Verzeichnissynchronisation durch Entra Connect Sync werden ausgewählte AD Benutzerobjekte des lokalen AD Forests/On-Premises Domäne in die angelegte Domäne <Tenant Verzeichnis>.onMicrosoft.com repliziert. Wie wir im Kurs noch sehen werden, steckt hinter dieser Domäne eine OU in einer Microsoft Domäne (z.B. EURPR01A005.Prod.Outlook.com). Die Domäne wird auch als Entra Verzeichnis oder Tenant bezeichnet.
Damit SSO möglich ist, wird in dieser Enterprise Umgebung neben Entra Connect Sync mit Password-Hash Synchronization und Seamless Single Sign-On verwendet, die zusammen mit Active Directory und Entra ID für die SSO Authentifizierung der Benutzer zuständig ist. Der ACS Authorization Server wird nach und nach durch den neuen EvoSts Auth Server ersetzt.
Für die Autorisierung wird das Protokoll OAuth2 eingesetzt. Dieses neue Autorisierungsprotokoll kann mit allen webbasierten Clients und Access Token Formaten arbeiten, wobei das neue sehr kompakte JSON Web Token (JWT) eingesetzt wird. Das OAuth 2.0 Authorization Framework (RFC6749) ist äußerst flexibel, wenn es darum geht, Zugriff auf fremde Ressourcen durch Delegation zu ermöglichen. Man könnte dies mit der Kerberos Delegation in einem Double-Hop Szenario vergleichen, wo die geschätzte Ressource nicht lokal, sondern irgendwo remote liegt. Während Kerberos innerhalb eines AD Forests und Trusted Forests beschränkt ist, kann OAuth 2.0 zusammen mit AD FS für alle Webbasierten Anwendungen wie EWS eingesetzt werden. Der Zugriff kann von überall erfolgen, egal ob der Benutzer On-Premises in einer Trusted AD Umgebung ist oder von der Cloud wie Facebook, Google Open ID, Windows Live ID kommt. Die notwenigen Trusts der „fremden“ Parteien werden über X.509 Zertifikat geregelt.
Durch die Zusammenarbeit mit Exchange Online kann der bisherige eingehende Mail Flow via MX-Records auch anders gestaltet werden. Wenn die mächtigen Schutzmechanismen von EOP (Exchange Online Protection) gegen Viren, Spams, etc. genutzt werden sollen, kann der eingehende Mail Flow zu EOP umgeleitet werden. In der Regel besitzen Enterprise Unternehmen diverse Mechanismen, um E-Mails zu schützen. Für kleinere Unternehmen kann der EOP Einsatz sehr sinnvoll sein. Alle eingehende E-Mails werden zuerst durch EOP geschleust, bevor diese an die On-Premises und Online Postfächer geleitet werden.
Das SSO (Single-Sign On) Problem beim Zugriff auf ein Office 365 Postfach wurde erst mit der Verfügbarkeit der „Modern Authentication“ (Mitte Mai 2016) durch die Neuimplementierung der Office 365 Authentication an Entra ID auf MSAL (Microsoft Authentication Library) beseitigt. Wenn man sich On-Premises mit einem Office 365 Postfach anmelden möchte, kommt immer ein Anmelde-Fenster (ohne Modern Authentication). Das geschieht sowohl bei einem Domain Member mit Postfach in Azure als auch bei einem Benutzer, der an einem via Workplace Join eingeklinkten Gerät arbeitet. Ab Outlook 2016 ist die Modern Authentication standardmäßig aktiviert, lediglich ist nur noch eine Aktivierung in Exchange Online notwendig. Für Outlook 2013 wird ein Registry-Key benötigt.
Microsoft 365 Groups sind eine neue Art von Gruppe (Unified Group). Sie vereinen (unify) sämtliche Office 365 Dienste (Exchange Shared Mailbox, OneDrive, Microsoft Teams, etc.) und stellen diese Dienste ihren Mitgliedern zur Verfügung. Standardmäßig können Microsoft 365 Gruppen von jedem Benutzer, dessen in Exchange Online liegt, erstellt werden. Daher ist es ratsam, von Anfang an eine passende Email Address Policy „groups.<domain>.de“ zu definieren. Möchte man die Verwaltung von Microsoft 365 Gruppen auf Administratoren beschränken, so können Entra ID Settings das Erstellen von Microsoft 365 Gruppen für Benutzer tenant-weit verbieten. Außerdem ist es per Azure AD Policy möglich, Gastkonten aus fremden Email Umgebungen (web.de, gmail etc.) den Zutritt zu Microsoft 365 Gruppen zu ermöglichen. Gastkonten haben nur eingeschränkten Zugriff auf Microsoft 365 Gruppen, können per Entra Setting jedoch auch komplett verboten werden.
Aufbau der Exchange Hybrid Infrastruktur:
- SSL Public Zertifikat » bereits vorhanden, anzeigen der Subject Alternate Name (SAN)
- Microsof Abonnement » wird demonstriert, wie es gemacht wird.
- Aufbau und Konfiguration Entra Connect Sync mit Staging Server
- Office 365 Hybrid Configuration Wizard (OHCW)
- Überprüfen und untersuchen der angelegten Objekte (Connectors, Accepted Domains, E-Mail Policy etc.)
- Analyse der OAuth2 Konfiguration: Authorization Server ACS & EvoSts
Praktische Übungen:
- Mailbox Flow (Centralize On-Premises) und via EOP (Exchange Online Protection)
- Onboarding Mailbox Move – Postfach (On-Premises) in Exchange Online verschieben
- Offboarding Mailbox Move – Postfach (Exchange Online) – zurück zu On-Premises
- Anlegen eines neuen Postfachs in Exchange Online und danach verschieben in On-Premises
- Anlegen von Ressource Postfächern,Share Mailbox, Address Lists, Distribution Groups (Distribution Lists)
- Microsoft 365 Group Administration und Gastzugriff
- Terminkalender Free/Busy
- Zugriff auf Public Folder
- Umleitung On-Premises (Centralized) Mail Flow auf EOP
- Hybrid Modern Authentitcation
- Entra Conditional Access
- Monitoring & Troubleshooting – Reports
