Was ist “IsCloudmanaged”?
Wie wir schon berichtet hatten, unterstützt Exchange Online seit kurzem das Management von Mail Attributen in der Cloud. Damit können Administratoren auch für Benutzerobjekte, welche aus dem lokalen Active Directory synchronisiert werden, Mail-spezifische Attribute, wie z.B. die Mail-Adressen, anpassen. Damit entfallen Konstrukte mit Exchange Management Tools oder der Betrieb eines Exchange Management Servers.
Wie funktioniert es?
Ist das Attribut aktiv, werden die Mail-spezifischen Attribute nicht mehr aus dem ActiveDirectory synchronisiert sondern der aktuelle Zustand übernommen und nur noch in der Cloud verwaltet. Werden dann Änderungen im ActiveDirectory vorgenommen werden diese nicht zu Entra synchronisieren.
Welche Auswirkung hat das?
Bevor wir zu den Auswirkungen kommen, schauen wir uns einmal an, welche Mechanismen heute typischerweise in Unternehmen im Kontext Exchange Onpremise - Exchange Online aber auch Active Directory und Entra zum Einsatz kommen:
Email Adress-Richtlinien: Ein gern genutztes Tool in größeren Organisationen für die Zuweisungen von Mail-Adressen - sowohl den Benutzername betreffend als auch die Domain. Gerne werden hier unterschiedliche Domains z.B. auf Basis der OU zugewiesen.
Eine vergleichbare Lösung existiert heute nicht in Exchange Online. Hier sind Lösungen via Azure Automation möglich.
Extension Attributes: Diese Attribute werden gerne für zusätzliche Informationen, Indikatoren für Dritt-Tools, dynamische Gruppen u.v.m. genutzt. Mit der Nutzung von IsCloudmanaged entfällt auch die Synchronisation dieser Attribute zu Entra.
Allerdings sind nicht nur die Extension Attribute sondern noch eine weitere Attribute betroffen:
Attribut | Kann in EXO bearbeitet werden | Rückschreiben in lokales Netzwerk |
altRecipient | Ja | Nein |
Authoring | Ja | Nein |
dLMemRejectPerms | Ja | Nein |
dLMemSubmitPerms | Ja | Nein |
extensionAttribute1 | Ja | Ja |
extensionAttribute10 | Ja | Ja |
extensionAttribute11 | Ja | Ja |
extensionAttribute12 | Ja | Ja |
extensionAttribute13 | Ja | Ja |
extensionAttribute14 | Ja | Ja |
extensionAttribute15 | Ja | Ja |
extensionAttribute2 | Ja | Ja |
extensionAttribute3 | Ja | Ja |
extensionAttribute4 | Ja | Ja |
extensionAttribute5 | Ja | Ja |
extensionAttribute6 | Ja | Ja |
extensionAttribute7 | Ja | Ja |
extensionAttribute8 | Ja | Ja |
extensionAttribute9 | Ja | Ja |
legacyExchangeDN | Ja | Nein |
Ja | Nein | |
msExchArchiveGUID | Ja | Nein |
msExchArchiveName | Ja | Nein |
msExchAssistantName | Ja | Nein |
msExchAuditAdmin | Ja | Nein |
msExchAuditDelegate | Ja | Nein |
msExchAuditDelegateAdmin | Ja | Nein |
msExchAuditOwner | Ja | Nein |
msExchBlockedSendersHash | Ja | Nein |
msExchBypassAudit | Ja | Nein |
msExchDelegateListLink | Ja | Nein |
msExchELCExpirySuspensionEnd | Ja | Nein |
msExchELCExpirySuspensionStart | Ja | Nein |
msExchELCMailboxFlags | Ja | Nein |
msExchEnableModeration | Ja | Nein |
msExchExtensionCustomAttribute1 | Ja | Ja |
msExchExtensionCustomAttribute2 | Ja | Ja |
msExchExtensionCustomAttribute3 | Ja | Ja |
msExchExtensionCustomAttribute4 | Ja | Ja |
msExchExtensionCustomAttribute5 | Ja | Ja |
msExchHideFromAddressLists | Ja | Nein |
msExchImmutableID | Ja | Nein |
msExchLitigationHoldDate | Ja | Nein |
msExchLitigationHoldOwner | Ja | Nein |
msExchMailboxAuditEnable | Ja | Nein |
msExchMailboxAuditLogAgeLimit | Ja | Nein |
msExchMailboxGuid | Ja | Nein |
msExchModeratedByLink | Ja | Nein |
msExchModerationFlags | Ja | Nein |
msExchRecipientDisplayType | Ja | Ja |
msExchRecipientTypeDetails | Ja | Ja |
msExchRemoteRecipientType | Ja | Nein |
msExchRequireAuthToSendTo | Ja | Nein |
msExchResourceCapacity | Ja | Nein |
msExchResourceDisplay | Ja | Nein |
msExchResourceMetaData | Ja | Nein |
msExchResourceSearchProperties | Ja | Nein |
msExchRetentionComment | Ja | Nein |
msExchRetentionURL | Ja | Nein |
msExchSafeRecipientsHash | Ja | Nein |
msExchSafeSendersHash | Ja | Nein |
msExchSenderHintTranslations | Ja | Nein |
msExchUserHoldPolicies | Ja | Nein |
proxyAddresses | Ja | Ja |
publicDelegates | Ja | Nein |
unauthOrig | Ja | Nein |
userCertificate | Ja | Nein |
userSMIMECertificates | Ja | Nein |
Wie geht es Weiter?
Der aktuelle Zustand entspricht der sog. Phase 1 von Microsoft. In einer späteren „Phase 2“ ist vorgesehen, dass diese Attribute von Entra zurück in das lokale Active Directory synchronisiert werden können (Writeback). Damit würde Entra die führende Quelle werden und das lokale Active Directory die Werte nur noch konsumieren.
Wie vorgehen?
Wenn der Ansatz, den Microsoft verfolgt, den Anforderungen entspricht, die Sie an Ihre Umgebung stellen und
- Keine Einschränkungen entstehen
- Sie Ihre Umgebung so anpassen können, dass die Einschränkungen nicht existent sind
dann steht dem Wechsel zu IsCloudManaged nichts im Weg.