E-Mail-Archivierung von Microsoft 365 Hybrid

Version vom 21. Oktober 2022, 08:19 Uhr von Rrommelrath (Diskussion | Beiträge) (Rrommelrath verschob die Seite E-Mail-Archivierung von Microsoft 365 (Hybrid) nach E-Mail-Archivierung von Microsoft 365 Hybrid: Klammern sind ein Problem mit neuem Windows Defender )
Wichtige Hinweise:
  • MailStore Server unterstützt die E-Mail-Archivierung von einer hybriden Umgebung mit Microsoft 365 (Modern Authentication) und eigenem on-premise Exchange Server nur nach den Best Practice Guides von Microsoft [Hybrid Deployments (Microsoft)] und nur mit der globalen Microsoft Cloud. Nationale Microsoft Cloud-Umgebungen wie Microsoft Cloud for US Government, Microsoft Cloud Deutschland (betrieben von T-Systems), sowie Azure und Microsoft 365 betrieben von 21Vianet in China werden nicht unterstützt.
  • Zur besseren Lesbarkeit werden im Folgenden wechselseitig die Begriffe Microsoft 365 und Exchange Online anstatt Exchange Online / Microsoft 365 verwendet.
  • Testen Sie die beschriebene Konfiguration am besten schon in der Trial-Phase. Sollte Ihr Szenario von den von Microsoft beschriebenen Best Practices abweichen oder anderweitig individueller sein, können somit Fragen zur Umsetzbarkeit früh erkannt und mit unserem technischen Support besprochen werden.


App Registrierung & Synchronisieren von Benutzern

Sie haben hier zwei unterschiedliche Möglichkeiten, Benutzer und deren Informationen zu synchronisieren, damit deren Postfächer bekannt sind und sich diese mit den gewohnten Active Directory - Anmeldedaten anmelden können.

  • Reines Synchronisieren mit Microsoft 365 (für die meisten Szenarien empfohlen):

Hier wird MailStore Server nur mit dem Azure Active Directory des Microsoft 365 Mandanten synchronisiert. Da Ihre lokale Active Directory mit einem SyncTool mit Microsoft snchronisiert wird, sind alle relevanten lokalen Benutzer auch in Microsoft 365 vorhanden. Der Vorteil liegt darin, dass Sie alle modernen Anmeldemethoden wie vor allem MFA auch im MailStore Server dann nutzen können. Verfahren Sie in solch einem Fall, als würden Sie eine reine Microsoft 365 Benutzersynchronisation durchführen: Synchronisieren von Benutzerkonten mit Microsoft 365 (Modern Authentication)

  • Synchronisieren mit dem lokalen Active Directory Ihres Unternehmens:

Dies wird nur empfohlen, wenn es dafür einen ausschlaggebenden Grund gibt. Solch ein Grund könnte sein, dass Sie lokal ein ADFS verwenden, also einen eigenen Anmeldeserver, oder dass Sie die lokalen Anmeldedaten mit integrierter Windows-Authentifizierung bevorzugen (reduzierte Sicherheit, nicht empfohlen). Um passende Zugriffsberechtigungen in Ihrem Microsoft 365 Mandanten zu erhalten, müssen Sie dennoch teilweise mit dem Artikel beginnen, der die Einrichtung der Synchronisation mit Microsoft 365 beschreibt: Synchronisieren von Benutzerkonten mit Microsoft 365 (Modern Authentication). Konfigurieren Sie jedoch nur die App-Registrierung und die Berechtigungen (lassen Sie die Schritte 2.4, 2.7 fortfolgend, und 4 aus). Um anschließend lokal Benutzer zu synchronisieren, fahren Sie fort wie in folgendem Artikel beschrieben: Active Directory-Integration

Archivierung von Postfächern bzw. öffentlichen Ordnern

Orientieren Sie sich hier direkt an der Anleitung zum Archivieren von Postfächern in Microsoft 365 (auch für eigentlich lokale Exchange-Postfächer):

E-Mails direkt bei Ein- und Ausgang archivieren

Als Besonderheit sollten Sie hier beachten, dass sowohl Ihr Microsoft 365 Mandant, als auch der oder die lokale(n) Exchange Server eingerichtet werden müssen, Journalberichte für Ein-/Ausgänge zu versenden.

  • Wir empfehlen hier, zunächst das Journaling in Microsoft 365 mit dem MailStore Gateway einzurichten: E-Mails direkt bei Ein- und Ausgang archivieren (Microsoft 365)
  • Richten Sie dann auch Ihre(n) lokale(n) Exchange Server ein, Journalberichte an dasselbe Gateway zu senden. Orientieren Sie sich daher am passenden Artikel zu Ihrer Exchange Server - Version, wir empfehlen dann jedoch, kein Journalpostfach anzulegen (lassen Sie also den Arbeitsschritt 1 aus), sondern die externe E-Mail-Adresse Ihres Gateways als Empfänger der Berichte zu benennen, um alle Berichte am selben Ort zu empfangen: