Adressbuchsegmentierung in Exchange Server/Online
Krähe mit Hut
Nach wie vor haben viele Unternehmen Exchange Server als ihre E-Mail-Kommunikationslösung im Einsatz. Typischerweise wird Exchange Server für den Eigenbedarf genutzt, also für ein einzelnes Unternehmen.
Es gibt jedoch auch sogenannte Hosting-Anbieter, die Exchange Server zentral für mehrere Unternehmen parallel bereitstellen. Das kann für Unternehmen interessant sein, die nicht zu Exchange Online wechseln möchten oder beispielsweise einen regionalen Anbieter zwecks besserer Erreichbarkeit nutzen wollen.
Exchange Server als Multi-Mandanten-System?
Nun wäre es natürlich möglich, für jedes dieser Unternehmen eine eigene Exchange-Infrastruktur zu betreiben. Allerdings wird dieser Ansatz sehr schnell teuer und ineffizient. Stattdessen macht es Sinn, eine zentrale Organisation aufzubauen und diese mit ausreichend Leistung und Verfügbarkeit auszustatten. Allerdings muss dann sichergestellt sein, dass keine Datenschutzverletzungen auftreten können - beispielsweise weil sich die Mitarbeitenden der Organisationen gegenseitig "sehen" können.
Wer Exchange Server kennt, fragt sich jetzt vielleicht: wie geht das? Zumindest in der grafischen Oberfläche gibt es keine Funktionen, um Benutzer so voneinander zu trennen. Die Antwort lautet (wie so oft): PowerShell!
Mit ein paar Eingriffen im Active Directory sowie ein paar PowerShell-Befehlen lässt sich das einrichten. Werfen wir einen Blick hinter die Kulissen und schauen einmal, wie man verhindert, dass sich die Mitarbeitenden in der globalen Adressliste sehen können - mit einer Adressbuchsegmentierung.
Die Adressbuchsegmentierung
Standardmäßig stellt Exchange Server eine sogenannte Globale Adressliste (GAL) bereit. Diese Liste wird automatisch mit allen Postfächern befüllt, die in der Exchange-Organisation existieren. Dies ist jedoch in einer Multi-Mandanten-Organisation nicht erwünscht. Daher müssen pro Kunde eigene Listen angelegt werden, die ausschließlich Mitglieder des eigenen Unternehmens beinhalten.
Anpassung der Standardberechtigungen für Adresslisten
Zunächst muss jedoch der Zugriff auf die standardmäßig angelegten Adresslisten unterbunden werden. Die dafür erforderlichen Schritte müssen in der Active Directory Services Interfaces (ADSI)-Konsole durchgeführt werden:
- ADSI-Editor aus der Liste der Verwaltungs-Tools starten (z.B. "ADSI" im Startmenü als Suchbegriff eingeben)
- Innerhalb der Konsole einen Rechtsklick auf "ADSI-Editor" durchführen und "Verbindung herstellen" auswählen
- Aus der Liste "Bekannten Namenskontext auswählen:" die Option "Konfiguration" auswählen und mit "OK" bestätigen
- Zu "CN=Services,CN=Microsoft Exchange,CN=<Name der Organisation>,CN=Address Lists Container" navigieren
- Rechtsklick auf "CN=All Address Lists" ausführen und "Eigenschaften" auswählen
- Zum Tab "Sicherheit" wechseln und "Erweitert" anklicken
- Unten die Option "Vererbung deaktivieren" anklicken und die Option "Vererbte Berechtigungen in explizite Berechtigungen..." auswählen
- Die Berechtigung für den Prinzipal "Authentifizierte Benutzer" entfernen.
- Schritte für weitere Adresslisten wiederholen
Damit ist sichergestellt, dass Benutzer nicht versehentlich Adresslisten öffnen können, die alle Postfächer beinhalten. Das Fenster kann offen gehalten werden, da später Berechtigungen auf die individuellen Adresslisten konfiguriert werden müssen.
Erstellung von Active Directory-Gruppen pro Mandant
Bevor die individuellen Adresslisten pro Mandant erstellt werden, müssen zunächst Gruppen angelegt werden. Diese Gruppen werden verwendet, um die Benutzerkonten jedes Mandanten auf die jeweiligen individuellen Adresslisten zu berechtigen. Hierfür sind reine Active Directory-Sicherheitsgruppen prinzipiell ausreichend. Im Sinne einer besseren Zuordnung der Funktion kann es jedoch sinnvoll sein, diese Gruppen in Exchange Server für E-Mail zu aktivieren. In dem Fall müssen die Gruppen jedoch aus allen Adresslisten ausgeblendet werden.
In einer Umgebung mit geteiltem Sicherheitsmodell ist hierzu ein zweistufiges Vorgehen erforderlich - ansonsten kann die Gruppe auch direkt im Exchange Admin Center oder mittels Exchange Management Shell angelegt werden:
- Erstellung der Active Directory-Sicherheitsgruppe
- E-Mail-Aktivierung über Exchange Management Shell
# Neue Active Directory-Sicherheitsgruppe erstellen - benötigt das PowerShell-Modul ActiveDirectory
New-ADGroup -Name <Name der Gruppe> -GroupScope Universal -GroupCategory Security
# E-Mail-Aktivierung für Gruppe in Exchange Server durchführen - benötigt die Exchange Management Shell
Enable-DistributionGroup -Identity <Name der Gruppe>Erstellung von Adresslisten pro Mandant
Als nächstes müssen pro Mandant die Standard-Adresslisten individuell nachgebaut werden. Hierzu wird die Exchange Management Shell benötigt, in der die folgenden Befehle auszuführen sind. Hierbei ist noch folgendes zu beachten:
- Es wird eine gewisse Benennungssyntax in diesem Beispiel verwendet (z.B. GAL-, ADR-, usw.), die an die eigenen Anforderungen angepasst werden kann
- Als Kriterium für die Befüllung der Adresslisten werden in diesem Beispiel Organisationseinheiten sowie Gruppen verwendet. Diese müssen im DistinguishedName-Format angegeben werden, z.B. "CN=Alle Mitarbeiter CONTOSO,OU=Gruppen,DC=CONTOSO,DC=COM".
Exchange Server bietet darüber hinaus eine Vielzahl weiterer Möglichkeiten zur automatischen Zuordnung, bspw. Attribute, siehe Filterbare Eigenschaften für den Parameter „RecipientFilter“ | Microsoft Learn
# Neue Globale Adressliste erstellen
New-GlobalAddressList -Name 'GAL-<Mandant>' -RecipientFilter 'MemberOfGroup -eq <DistinguishedName der Active Directory-Gruppe>' -RecipientContainer '<DistinguishedName der Active Directory-Organisationseinheit>'
# Erstellung einer Adressliste für alle Benutzerpostfächer
New-Addresslist -Name 'ADR-<Mandant>-Benutzer' -IncludedRecipients UserMailboxes -RecipientContainer '<DistinguishedName der Active Directory-Organisationseinheit>'
# Erstellung einer Adressliste für alle Raumpostfächer
New-Addresslist -Name 'ADR-<Mandant>-Räume' -IncludedRecipients Resources -RecipientContainer '<DistinguishedName der Active Directory-Organisationseinheit>'
# Erstellung eines Offlineadressbuchs für E-Mail-Clients
New-OfflineAddressBook -Name 'OAB-<Mandant>' -AddressLists 'ADR-<Mandant>-Benutzer'
# Erstellung einer Adressbuchrichtlinie unter Verwendung aller zuvor angelegten Ressourcen
New-AddressBookPolicy -Name 'ABP-<Mandant>' -AddressLists 'ADR-<Mandant>-Benutzer' -RoomList 'ADR-<Mandant>-Räume' -GlobalAddressList 'GAL-<Mandant>' -OfflineAddressBook 'OAB-<Mandant>'Einrichtung von Berechtigungen auf Adresslisten
Nach Erstellung der Listen ist die zuvor angelegte Sicherheitsgruppe auf die neuen Adresslisten zu berechtigen. Dadurch erhalten die jeweiligen Benutzer Zugriff auf Adresslisten sowie das Offlineadressbuch für ihr eigenes Unternehmen.
Sofern die ADSI-Konsole noch geöffnet ist, muss in den Eigenschaften der Adressliste das Register "Sicherheit" aufgerufen werden. Hier ist die neue Gruppe hinzuzufügen. Dieser sind die Berechtigungen "Lesen" und "Adressliste öffnen" zuzuweisen.
Zuweisung der Adressbuchrichtlinie zu Postfächern
Als letzter Schritt muss die neue Adressbuchrichtlinie den Postfächern zugewiesen werden. Dies sorgt dafür, dass die Benutzer lediglich Zugriff auf die Adresslisten und das Offlineadressbuch ihres eigenen Unternehmens erhalten. Dieser Schritt kann über das Exchange Admin Center ausgeführt werden, bei größeren Benutzermengen ist es jedoch besser, dies über PowerShell zu erledigen:
# Alle Postfächer des jeweiligen Unternehmens anhand der primären E-Mail-Adresse ermitteln
$Mailboxes = Get-Mailbox -Filter 'PrimarySmtpAddress -like "<Teil der primären E-Mail-Adresse, z.B. *@microwsoft.de"'
# Allen Postfächern die neue Adressbuchrichtlinie zuweisen
ForEach ($Mailbox in $Mailbox){Set-Mailbox $Mailbox.Name -AddressBookPolicy 'ABP-<Mandant>'Anschließend sollten die Benutzer innerhalb ihrer E-Mail-App ausschließlich Postfächer ihres eigenen Unternehmens sehen können.
Wichtig: dieses Vorgehen hat lediglich Auswirkungen auf die Ansicht. Die Benutzer können sich jedoch weiterhin ohne Probleme gegenseitig E-Mails senden, wenn sie die jeweilige E-Mail-Adresse vollständig eingeben. Falls auch das verhindert werden muss, ist dafür eine entsprechende Transportregel zu erstellen.
Adressbuchsegmentierung in Exchange Online
In Exchange Online kann ebenfalls eine Adressbuchsegmentierung aufgebaut werden. Allerdings dient sie hier nicht der Abtrennung ganzer Unternehmen, sondern einzelner Bereiche innerhalb eines Unternehmens. Dies hat auch damit zu tun, dass Exchange Online per se schon ein Multi-Mandanten-System ist und die Aufnahme mehrerer Unternehmen in einem gemeinsamen Mandanten daher nur unter ganz bestimmten Bedingungen erlaubt ist.
Die Adressbuchsegmentierung wird daher hier als Teil der Informationsbarrieren eingesetzt, die eine Separierung auch für Teams, SharePoint Online und OneDrive for Business erlauben. Hierzu gibt es einen separaten Blog-Beitrag, den Du hier findest: Trennung von Unternehmensbereichen in Microsoft 365 - mit Informationsbarrieren!
Gefällt Dir der Beitrag? Lass es andere wissen!
