Exchange Online: Come nascondere gli utenti dalla GAL quando si usa la sincronizzazione di Active Directory (AAD Connect)

 

Exchange Online: Come nascondere gli utenti dalla GAL quando si usa la sincronizzazione di Active Directory (AAD Connect)

 

Nascondere gli utenti dall'elenco indirizzi globale in Exchange Online non è così intuitivo quando l'utente viene sincronizzato dall’ambiente Active Directory locale. Si dovrà modificare un attributo dell'oggetto utente, nonché impostare msExchHideFromAddressLists su True ed eseguire una sincronizzazione.

Il problema però è cosa succede se non si dispone dell'attributo msExchHideFromAddressLists in Active Directory?

 

È possibile estendere lo schema di Active Directory per Exchange, ma non è qualcosa che si può facilmente ripristinare se qualcosa va storto, senza contare che si aggiungeranno un sacco di attributi che probabilmente non verranno mai utilizzati.

Una soluzione più pulita ed elegante potrebbe essere creare semplicemente una regola di sincronizzazione personalizzata all'interno di Azure AD Connect che “converte” il valore da un attributo differente.

 

Questo articolo illustra come sincronizzare un attributo personalizzato dall'Active Directory locale ad Azure AD per nascondere un utente dall'elenco indirizzi globale (GAL), senza la necessità di estendere lo schema di Active Directory. In questo caso, useremo un attributo chiamato msDS-cloudExtensionAttribute1. L'attributo msDS-cloudExtensionAttribute è stato introdotto in Windows Server 2012 e dispone di 20 numeri diversi per consentire flessibilità per questi tipi di scenari.

1. msDS-cloudExtensionAttribute per Azure AD Connect

Aprire Azure AD Connect Synchronization Service, passare alla scheda Connectors, poi selezionare ActiveDirectory (la vostra AD locale) e selezionare Properties. In alto a destra spuntare Show All, scorrere giù fino a msDS-CloudExtensionAttribute1 e poi selezionare OK

Figura 1 – Proprietà AD Locale

2. Creare una regola di sincronizzazione personalizzata

Aprire Azure AD Connect Synchronization Rules Editor, cliccare su Add new rule (assicurarsi che in alto sinistra venga indicato Inbound)

Inserire le informazioni seguenti:

Name: Nascondere un utente dalla GAL

Description: Se msDS-CloudExtensionAttribute1 è uguale a NascondiDaGAL, nascondi dalla GAL di Exchange Online

Connected System: la vostra AD locale

Connected System Object Type: user

Metaverse Object Type: person

Link Type: Join

Precedence: 50 (Può essere un qualsiasi numero inferiore a 100. Assicurarsi solo di non duplicare i numeri se esistono altre regole personalizzate o si riceverà un errore di dead-lock da SQL Server)

Figura 2 – Regola personalizzata

Fare clic su Next, Scoping filter e Join rules possono rimanere vuote

Immettere la trasformazione seguente, fare clic sul pulsante Add transformation, compilare il modulo con i valori seguenti e quindi fare clic su Add

FlowType: Expression

Target Attribute: msExchHideFromAddressLists

Source: IIF(IsPresent([msDS-cloudExtensionAttribute1]),IIF([msDS-cloudExtensionAttribute1]="NascondiDaGAL",True,False),NULL)

Figura 3 – regola inbound 

3. Effettuare una sync totale

Da PowerShell eseguire il seguente comando:
Start-ADSyncSyncCycle -PolicyType Initial

4. Modificare l’attributo in AD per l’utente che si vuole nascondere dalla GAL

Aprire Active Directory Users and Computers (ADUC), selezionare l’utente desiderato e con il tasto destro selezionare Properties. Selezionare il tab Attribute Editor, cercare l’attributo msDS-cloudExtensionAttribute1 ed inserire il valore NascondiDaGAL

Figura 4 – Proprietà utente AD

Effettuare un’altra Sync full (initial), appena terminata la nuova sincronizzazione nelle proprietà dell’export verso il service domain di Office 365 vedremo l’attributo settato su true

Figura 5 – Attributo su true

 

Ora possiamo verificare che l’attributo sia stato davvero settato sulla mailbox dell’utente in Exchange Online

Figura 6 – Attributo assegnato all’utente in cloud

Abbiamo visto che sfruttando le regole di sincronizzazione custom di AAD Connect, con pochi passaggi è possibile settare un attributo “di servizio” e convertirlo ad un valore accettabile da Azure AD. 

Exchange 2019 Recipient Management PowerShell

Microsoft ha rilasciato l'aggiornamento Exchange Server 12 CU12, che consente finalmente di rimuovere l'ultimo Exchange Server in modo da poter eseguire Active Directory con Azure AD Connect e gestire gli attributi correlati a Exchange in modo supportato.

Microsoft richiede che gli attributi relativi a Exchange siano impostati e gestiti correttamente in modo che possa supportare l'utente in caso di eventuali problemi. Fino a poco tempo fa, ciò significava che era necessario eseguire un server Exchange on-premise per gestire le mailbox di Exchange Online, i gruppi di distribuzione, i contatti e altri elementi associati (come i criteri degli indirizzi di posta elettronica). Le modifiche apportate tramite Exchange Server on-premise vengono archiviate nell'AD locale, quindi Azure AD Connect le sincronizzerà nel cloud. La gestione diretta degli attributi tramite strumenti AD come ADSIEDIT rischia di introdurre potenziali problemi, in quanto tale, rimane non supportata.

Da Exchange Server 2019 CU12 viene consentita l'installazione dei soli strumenti di gestione e consentono inoltre di rimuovere definitivamente (non disinstallare) l'ultimo Exchange Server 2019. 

NB: Non è possibile installare gli strumenti di gestione su un server in cui è già installata un'altra versione di Exchange

Rif: Manage recipients in Exchange Server 2019 Hybrid environments | Microsoft Learn

Configurare Microsoft Defender for Office 365 & Best Practice

Durante la scorsa #APERITEAMS CONFERENCE #ACDSD21 purtroppo non sono riuscito a concludere la sessione "Configurare Microsoft Defender for Office 365 & Best Practice" a causa mia :-) ma per la complessità dell'argomento. Come al solito sono piuttosto allergico alle sessioni livello 100/200, mi piace dettagliare, per questo non sono riuscito a concludere per tempo.

In pratica son dovuto scappare dal palco per evitare che sciagure e tragedie si abbattessero su di me :-)
Dunque ecco pubblicate le slide per i presenti che sono rimasti a bocca asciutta e per tutti coloro fossero interessati

D4_DFO_Configurare Microsoft Defender for Office 365 & Best Practice_… (slideshare.net)

The Last Exchange: Rimozione dell'ultimo Exchange Server in configurazione ibrida

 

The Last Exchange ci ricorda i mitici The Eagles con la loro The Last Resort.

La rimozione dell’ultimo server Exchange in una configurazione ibrida è sempre stato un problema spinoso che si annida tra necessità, funzionante e supportato. Quasi un sogno per molti IT-Pro.

Con gli ultimi cumulative update "H1" di Exchange Server 2019, sono stati introdotti alcuni miglioramenti da parte di Microsoft tra cui, finalmente la possibilità di rimuovere l'ultimo Exchange Server da un ambiente ibrido.

È importante notare però che NON è necessario disinstallarlo, sebbene lo si rimuova in modo permanente utilizzando le istruzioni di Microsoft.

In questo articolo Microsoft dettaglia come effettuare la gestione tramite PowerShell, una volta rimosso l’ultimo Exchange Server

Cosa aspettarsi dalla rimozione dell'ultimo Exchange Hybrid 2019

I clienti che hanno migrato tutte le proprie caselle di posta sul cloud hanno da sempre espresso il desiderio (giustamente) di poter rimuovere quell'ultimo Server Exchange, per giunta svuotato di tutto. Anche se la procedura in effetti può nascondere una piccola delusione è sicuramente un passo in avanti.

Come funziona?

Si avrà a disposizione un sottoinsieme di cmdlet di gestione per i recipient di Exchange, destinati agli oggetti AD che rappresentano i destinatari cloud e la loro configurazione ed inoltre il supporto a domini e criteri degli indirizzi di posta elettronica. Sono stati resi disponibili anche istruzioni e script per consentire di rimuovere delicatamente la configurazione per il server e relativi componenti ibridi, dopo aver spento l'ultimo Exchange Server.

Sarà comunque necessario gestire la configurazione dei destinatari “in locale” per gli oggetti gestiti da AD con gli stessi limiti a cui siamo abituati. Ad esempio, aggiornare gli indirizzi di posta elettronica per un utente locale o aggiornare le impostazioni della mailbox, come ad esempio le autorizzazioni del destinatario in Exchange Online.

Figura 1: Nuovi cmdlet per la gestione dei destinatari

 

Non è tutto oro quello che luccica. Non si avrà la possibilità di cambiare la fonte dell'autorità per quegli oggetti, cosa a cui Microsoft alludeva in passato. 

Il Mail Relay rimane ciò di cui tutti sanno ma di cui nessuno parla e mentre Microsoft ha annunciato che per Exchange Server 2019 si possono ancora ottenere licenze ibride gratuite e che è possibile distribuire Exchange su Windows Server 2022, ciò si applica solo ed esclusivamente al ruolo Mailbox su un server aggiunto a un dominio ma non alla distribuzione del server Edge Transport.

Edge Trasport come inoltro SMTP autonomo ha il potenziale per essere un papabile sostituto drop-in inserito in una DMZ, che consente l'inoltro della posta da server per le applicazioni legacy utilizzando le regole del connettore di ricezione precedentemente configurate. Per ora, almeno, si dovrà mantenere aggiornato l'ultimo Exchange Server, utilizzare un MTA diverso o lavorare sulla configurazione delle applicazioni per l’adattamento all’inoltro ad Exchange Online.

La rapida evoluzione di Microsoft 365

Data la dinamicità di M365 certo non ci potevamo aspettare una soluzione perfetta, soprattutto dopo tutto questo tempo e tra le false promesse di Microsoft. 
Negli ultimi anni, la realtà è che un numero crescente di organizzazioni sta effettivamente rimuovendo la propria dipendenza da Active Directory (On Premises) e sempre più organizzazioni hanno oramai abbracciato la filosofia Cloud First rendendo superfluo un eventuale sistema di writeback degli oggetti AD relativi ad Exchange Server.

Se davvero non si vuole che gli attributi di Exchange siano gestiti in un AD locale nemmeno da un subset di strumenti di gestione dei destinatari di Exchange, allora sarà davvero necessario iniziare a pensare a come rimuovere AD. Naturalmente in via ufficiosa è sempre possibile gestire i destinatari direttamente dagli strumenti avanzati in ADUC.

E Quindi?

La soluzione per rimuovere l'ultimo Exchange Server è senza dubbio una soluzione che si adatta a coloro che:

·       Non necessitano dell'inoltro della posta tramite Exchange o le LOB supportano già EOL

·       Era rimasto un solo server

·       Sono consapevoli di dover usare PowerShell per la gestione

·       Non hanno in programma di sbarazzarsi di AD in tempi brevi.

 

Teams Meeting Room: Un malinteso comune

 

Un malinteso comune è che dovrebbe essere possibile inoltrare riunioni di Teams esterne all'account della meeting room (Teams Room). Questo non funziona “out of the box” ed il motivo è che ProcessExternalMeetingMessages è impostato su $false per impostazione predefinita.

 

Quando si inoltra una riunione di Teams esterna alla Meeting Room per prenotarla, ciò che accade è che la persona esterna la invita direttamente

Per risolvere questo problema, ProcessExternalMeetingMessages deve essere impostato su $true. Ciò consentirà a chiunque di inviare inviti alla Meeting Room.

Per abilitare la funzionalità, eseguire il seguente cmdlet:

Set-CalendarProcessing -Identity mr-01@mytenant.onmicrosoft.com -ProcessExternalMeetingMessages $true

 

Potrebbe verificarsi che l'invito alla riunione inoltrato arrivi all'MTR, ma non sia presente il pulsante di partecipazione (Join). Ciò potrebbe essere dovuto al modo in cui funziona l'elaborazione dei collegamenti sicuri (Safe Links) di Microsoft Defender for Office 365. 

Sarà necessario creare un'eccezione per i dispositivi MTR che non riscriva i link https://teams.microsoft.com/*. 

DANE e DNSSEC arrivano su Exchange Online

Exchange Online aggiungerà il supporto per due nuovi standard Internet specifici per il traffico SMTP il cui deploy avverrà in due fasi, la prima (outbound) tra febbraio e marzo 2022 e la seconda (inbound) inizierà entro la fine del 2022.  

Si tratta di DNSSEC (Domain Name System Security Extensions) e DANE for SMTP (DNS-based Authentication of Named Entities), due standard nati rispettivamente del 2005 e 2015.

Un po’ di storia

Prima di entrare in dettaglio sulle caratteristiche di questi nuovi standard non possiamo non possiamo non ricordare qualche cenno storico sul protocollo SMTP. È stato progettato molto tempo fa (40 anni) conservando ancora oggi il primato per il protocollo/standard informatico più longevo della storia, quando la consegna dei messaggi era considerata più importante della sicurezza. Con il passare del tempo, quando la sicurezza e la privacy sono diventate sempre più importanti, sono emersi diversi nuovi standard e uno di questi è RFC 3207: “SMTP Service Extension for Secure SMTP over Transport Layer Security (TLS)”. Questo è spesso indicato come TLS opportunistico o STARTTLS. Il TLS opportunistico fornisce la crittografia per le connessioni SMTP e, anche se rappresenta un grande miglioramento rispetto al semplice SMTP, presenta ancora un numero significativo di vulnerabilità.

continua su Windowserver.it