O365 mit bestehender AD verbinden

[Harris 2]

Guten Morgen Zusammen,

 

ich habe ein kleines Verständnisproblem mit Office 365.

Aktueller Stand haben wir ca. 20 O365 E3 Lizenzen und es gibt aktuell keinen Connect zu unserer AD. Wir möchten aber bald diverse Abteilungen zusätzlich noch mit O365 ausstatten. Wir pflegen die O365 Accounts manuell ein und benutzen jeweils die E-Mail Adresse der jeweiligen Mitarbeiter. Ziel für mich ist es eine Connection mit O365 und unserer AD herzustellen. Wenn ich das richtig verstehe machen das über die Azure AD, dort kann ich kann jeweils unsere AD User auswählen, und denen die Berechtigungen für die O365 Lizenzen  geben?

 

Zusätzlich haben wir ja bereits schon 20 User mit O365 E3 bei denen der ein oder andere schon Daten in seinem One Note, One Drive etc. abgelegt hat. Kann man die bestehenden Accounts  migrieren oder müssten wir die Accounts löschen und neu über den AD Account die Lizenzen zuweisen?

 

Ich hoffe ich habe mich so einigermaßen verständlich ausgedrückt.

[NorbertFe 1.799]

Die kann man Matchen. Aber interessanter dürfte die Info sein, dass du dann per supportstatement von ms einen exchange on prem benötigst, der die Exchange Attribute/Schnittstelle  bereitstellt, damit die dann zu o365 gesynct werden. ;)

[Gu4rdi4n 53]

vor 4 Minuten schrieb NorbertFe:

Die kann man Matchen. Aber interessanter dürfte die Info sein, dass du dann per supportstatement von ms einen exchange on prem benötigst, der die Exchange Attribute/Schnittstelle  bereitstellt, damit die dann zu o365 gesynct werden. ;)

Echt?

Das wurde mir anders gesagt.

 

Ich nutze bei mir nur Azure AD Connect (AADC) 

Das richtet man ein, dann synct er die lokalen User ins Azure AD mit den Usern im O365

 

Mir hat der MS support gesagt, ich brauche keinen On Premise Exchange dafür

[NorbertFe 1.799]

Kann ja niemand was dafür, wenn dir jemand was falsches erzählt. Es sei denn, es wurde inzwischen geändert.

https://docs.microsoft.com/de-de/exchange/decommission-on-premises-exchange

https://docs.microsoft.com/de-de/exchange/decommission-on-premises-exchange#why-you-may-not-want-to-decommission-exchange-servers-from-on-premises

Customers with a hybrid configuration often find after a period of time that all of their mailboxes have been moved to Exchange Online. At this point, they may decide to remove the Exchange servers from on-premises. However, they discover that they can no longer manage their cloud mailboxes.

When directory synchronization is enabled for a tenant and a user is synchronized from on-premises, most of the attributes cannot be managed from Exchange Online and must be managed from on-premises. 

 

https://www.msxfaq.de/cloud/identity/adsync_exchange.htm

https://practical365.com/exchange-server/how-to-remove-the-last-exchange-server-dilemma/

 

Dass es auch anders _geht_, sagt nichts über MS Supportstatement. ;)

 

Bye

Norbert

[Gu4rdi4n 53]

vor 31 Minuten schrieb NorbertFe:

Kann ja niemand was dafür, wenn dir jemand was falsches erzählt

Naja, doch. Der der es mir falsch erzählt hat

 

Ah ok. Ich benutze halt den Attribut Editor in den AD Eigenschaften der User

Bisher wusste ich nicht, dass das nicht Supportet ist.

 

Bei Fehlern habe ich trotzdem Support bekommen

bearbeitet 26. Februar 2020 von Gu4rdi4n

[NorbertFe 1.799]

Dann sei froh. ;) Zur Dokumentation:

 

https://docs.microsoft.com/de-de/exchange/decommission-on-premises-exchange#can-third-party-management-tools-be-used

Can third-party management tools be used?

The question of whether a third-party management tool or ADSIEDIT can be used is often asked. The answer is you can use them, but they are not supported.

[testperson 1.527]

vor 5 Minuten schrieb Gu4rdi4n:

Bei Fehlern habe ich trotzdem Support bekommen

Sollte es mal "gröbere" Probleme geben, wo man dann tatsächlich auf Support angewiesen ist, steht man unter Umständen halt ohne da. ;)

 

P.S.: Die Hoffnung stirbt ja bekanntlich zuletzt: https://techcommunity.microsoft.com/t5/exchange-team-blog/faqs-from-exchange-and-outlook-booths-at-2019-microsoft-ignite/ba-p/1053448

Zitat

When can I uninstall that last Exchange Server on-premises (I currently need it to manage my users)?

This was easily the #1 question we got this year. We should have printed t-shirts with the answer to this on it! It was obvious that many of our customers have moved to the cloud and do not really feel the need to have an Exchange Server on-premises anymore, but must keep one around to have a supported way to manage Exchange objects (using EAC or PowerShell).

The fundamental problem here is that there is currently no way to change attributes that are seen as authoritative on-premises on cloud objects, so with the AAD team, we’re investigating how we can switch the source of authority for these attributes. While we do not have any dates to announce today, we are hoping that within a year we will have something to announce on the subject! We know we’ve said something similar before. It’s a hard problem to solve but trust us; we are working on it!

Note that there might be other reasons why you might want to have an on-premises Exchange server, like an email relay to O365 from local devices (for example) and you should evaluate those separately.

 

[NorbertFe 1.799]

vor 3 Minuten schrieb testperson:

like an email relay to O365 from local devices

Laut diverser Cloudüberzeugter (ich nenns mal Marketinggeblendeter Manager) gibt es ja keine local devices mehr. ;) Alles nur noch in der cloud.

[Gu4rdi4n 53]

vor 5 Minuten schrieb testperson:

Sollte es mal "gröbere" Probleme geben, wo man dann tatsächlich auf Support angewiesen ist, steht man unter Umständen halt ohne da. ;)

 

P.S.: Die Hoffnung stirbt ja bekanntlich zuletzt: https://techcommunity.microsoft.com/t5/exchange-team-blog/faqs-from-exchange-and-outlook-booths-at-2019-microsoft-ignite/ba-p/1053448

 

 

Oh, die gröberen Probleme hatten wir bereits.

Das "heftigste" Ticket ging über 4 Monate wegen heftigen Performance Problemen 

Gleichzeitig hatten wir das Problem, dass wir User im O365 hatten, die als Synchronisiert drin standen, im AD on premise aber gar nicht mehr vorhanden waren.

Wurde alles erledigt. Die haben sich das AADC sogar angesehen und nichts gesagt.

 

Ist in meinen Augen aber auch extrem Sinnbefreit auf einem on premise exchange zu bestehen, wenn man Cloud anbietet.

Ich meine, ich geh ja in die Cloud um den Administrativen Aufwand eines Exchange loszuwerden

 

vor 1 Minute schrieb NorbertFe:

Laut diverser Cloudüberzeugter (ich nenns mal Marketinggeblendeter Manager) gibt es ja keine local devices mehr. ;) Alles nur noch in der cloud.

Dafür nutze ich Direct Send. Da brauch ich keinen on premise exchange für

bearbeitet 26. Februar 2020 von Gu4rdi4n

[NorbertFe 1.799]

vor 7 Minuten schrieb Gu4rdi4n:

Ist in meinen Augen aber auch extrem Sinnbefreit auf einem on premise exchange zu bestehen, wenn man Cloud anbietet.

 

Manchmal gibts eben TECHNISCHE Notwendigkeiten. Ob den Entscheidern das nun gefällt oder nicht. Und MS stellt sich halt hin und sagt, sinnvoll und _supported_ ist es, einen on prem Exchange zu betreiben, bis sie eine TECHNISCHE Lösung für ihr Problem gefunden und umgesetzt haben.

 

vor 7 Minuten schrieb Gu4rdi4n:

Dafür nutze ich Direct Send. Da brauch ich keinen on premise exchange für

Mir mußt du sowas nicht erzählen. Es gibt für alles auch Lösungen. Man stolpert halt oft genug über Probleme, für die es erst später Lösungen gibt oder eben nicht.

 

Edit: Bei Direct Send und SPF achtet man dann hoffentlich auch drauf, dass nur der Drucker per SMTP raus darf. ;)

bearbeitet 26. Februar 2020 von NorbertFe

[Harris 2]

vor 23 Stunden schrieb NorbertFe:

Die kann man Matchen. Aber interessanter dürfte die Info sein, dass du dann per supportstatement von ms einen exchange on prem benötigst, der die Exchange Attribute/Schnittstelle  bereitstellt, damit die dann zu o365 gesynct werden. ;)

Wir haben einen Exchange 2016, damit sollte wir in dem Fall kein Problem haben.  Wird dann unsere komplette AD mit der AAD gesynct, inkl. allen Gruppen, User, OUs oder kann man nur eine bestimmte OU auswählen welche gesynct werden darf ?

 

 

[Gu4rdi4n 53]

vor 22 Stunden schrieb NorbertFe:

Edit: Bei Direct Send und SPF achtet man dann hoffentlich auch drauf, dass nur der Drucker per SMTP raus darf. ;)

Aber natürlich *hust* *räusper*

Ich kann dir gerne einen Screenshot schicken - in 5 Minuten 

 

Ne mal im ernst, klar. Alles andere wäre dumm!

 

@Harris

 

es wird alles gesynct

Im Azure AD hast du dann aber keine OUs

[NorbertFe 1.799]

vor 2 Minuten schrieb Gu4rdi4n:

es wird alles gesynct

Nein es wird gesynct, was man konfiguriert. Man kann bspw. Auf ou Filtern oder diverse sonstige filterkriterien definieren. Das kann man einfach oder beliebig komplex machen. Für die Politikerin bietet der connector afair die Option auf groupmembership zu filtern. Das ist aber nicht für Dauer gedacht sondern für die Pilotierung.

bearbeitet 27. Februar 2020 von NorbertFe

[Gu4rdi4n 53]

vor 17 Minuten schrieb NorbertFe:

Nein es wird gesynct, was man konfiguriert. Man kann bspw. Auf ou Filtern oder diverse sonstige filterkriterien definieren. Das kann man einfach oder beliebig komplex machen. Für die Politikerin bietet der connector afair die Option auf groupmembership zu filtern. Das ist aber nicht für Dauer gedacht sondern für die Pilotierung.

Das meinte ich doch. Nur falsch ausgedrückt.

 

es wird alles gesynct sollte "Man kann alles Syncen" heißen

[Harris 2]

Hat das denn Nachteile wenn ich  z.B. nur die OU "Mitarbeiterkonten" synce, die OU "Usergruppen" aber außer vor lasse bzw. ist die Best Practise einfach "sync einfach das gesamte AD mit AAD"?