Gérer les destinataires dans les environnements Exchange hybrides à l’aide des outils de gestion

Si vous conservez un serveur Exchange local uniquement pour la gestion des destinataires dans les environnements Exchange hybrides, même après avoir déplacé tous vos destinataires vers Exchange Online, vous pourrez peut-être arrêter votre dernier serveur Exchange et gérer les destinataires à l’aide de Windows PowerShell.

Auparavant, même après avoir déplacé toutes vos boîtes aux lettres vers Exchange Online, vous aviez toujours besoin d’un serveur Exchange local pour gérer ces attributs de destinataires cloud. Vous avez modifié les destinataires sur un serveur Exchange dans votre Active Directory local, et leurs attributs ont été copiés dans Microsoft Entra ID à l’aide de la synchronisation d’annuaires. Vous pouvez toujours utiliser cette méthode pour gérer vos destinataires, même s’ils se trouvent tous dans le cloud. L’arrêt du serveur Exchange est entièrement facultatif.

Remarque

Vous ne pouvez pas modifier les destinataires locaux directement dans Microsoft Entra ID ou Exchange Online. Par conséquent, vous avez toujours besoin d’un serveur Exchange local et d’une synchronisation d’annuaires via la synchronisation cloud ou l’outil Microsoft Entra Connect. Pour plus d’informations, consultez Pourquoi vous ne souhaitez peut-être pas désactiver les serveurs Exchange à partir d’un emplacement local.

Cette nouvelle méthode fonctionnera-t-elle pour moi ?

Une version mise à jour des outils de gestion Exchange peut éliminer la nécessité d’exécuter un serveur Exchange local si toutes les instructions suivantes sont vraies :

• Vous avez migré toutes les boîtes aux lettres et dossiers publics vers Exchange Online (aucun destinataire Exchange local).
• Vous utilisez AD pour la gestion des destinataires et la synchronisation cloud ou Microsoft Entra Connect pour la synchronisation.
• Vous n’utilisez pas ou n’avez pas besoin du centre d’administration Exchange local ou du contrôle d’accès en fonction du rôle (RBAC) Exchange.
• Vous êtes à l’aise avec Windows PowerShell uniquement pour la gestion des destinataires.
• Vous n’avez pas besoin d’audit ou de journalisation de l’activité de gestion des destinataires.
• Vous n’exécutez qu’un seul serveur Exchange local et uniquement pour la gestion des destinataires.
• Vous souhaitez gérer les destinataires sans exécuter de serveurs Exchange.

Utilisez le programme d’installation d’Exchange dans la mise à jour cumulative 12 d’Exchange 2019 ou ultérieure pour installer les outils de gestion les plus récents sur n’importe quel ordinateur joint à un domaine (client ou serveur). Pour obtenir des instructions, consultez Installer les outils de gestion Exchange.

Avertissement

NE DÉSINSTALLEZ PAS le dernier serveur. Vous pouvez choisir d’arrêter le serveur et d’utiliser le script pour propre, mais NE PAS désinstaller. La désinstallation du serveur supprime des informations critiques d’Active Directory, ce qui empêche le package d’outils de gestion de gérer les attributs Exchange. En savoir plus ici : Important : Soyez conscient

Avec les outils de gestion Exchange mis à jour, les administrateurs de domaine et les membres du groupe EMT Gestion des destinataires (créé à l’étape 6 ci-dessous) peuvent utiliser Windows PowerShell pour exécuter les applets de commande suivantes sans serveur Exchange en cours d’exécution :

• Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser et Enable-MailUser.
• Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact et Enable-MailContact.
• Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox et Enable-RemoteMailbox.
• Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup et Enable-DistributionGroup (à l’exception de Upgrade-DistributionGroup).
• Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember et Update-DistributionGroupMember.
• Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy et Update-EmailAddressPolicy.
• Set-User et Get-User.

Remarque

Vous ne pouvez pas modifier les destinataires locaux directement dans Microsoft Entra ID ou Exchange Online.

Vérifiez que les outils de gestion peuvent s’exécuter sans Exchange Server

Si votre environnement comprend un seul serveur Exchange s’exécutant uniquement pour la gestion des destinataires cloud, suivez les étapes décrites dans cette section pour tester la mise à jour des outils de gestion.

Préparer l’environnement Exchange

1. Vérifiez que toutes les boîtes aux lettres se trouvent dans le cloud en exécutant les commandes suivantes dans Exchange Management Shell :

   Set-AdServerSettings -ViewEntireForest $true
   Get-Mailbox
   

   Remarque

   Par défaut, les boîtes aux lettres d’administration intégrées ne sont pas synchronisées avec le cloud par synchronisation cloud ou Microsoft Entra Connect. Avant de continuer, vous devez désactiver ces boîtes aux lettres à l’aide de Disable-Mailbox.

2. Vérifiez que le domaine de coexistence de locataire Exchange Online (généralement quelque chose comme « contoso.mail.onmicrosoft.com ») est configuré en tant que domaine de remise cible en exécutant la commande suivante :

   Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain
   

   Si le domaine de coexistence n’est pas ajouté en tant que domaine distant, vous pouvez l’ajouter à l’aide de New-RemoteDomain. Par exemple :

   New-RemoteDomain -Name 'Hybrid Domain - M365B434489.mail.onmicrosoft.com' -DomainName 'M365B434489.mail.onmicrosoft.com'
   

   S’il n’est pas défini comme domaine de remise cible, vous pouvez le définir à l’aide de Set-RemoteDomain. Par exemple :

   Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - M365B434489.mail.onmicrosoft.com'
   

   Remarque

   Si vous avez déjà supprimé le dernier serveur Exchange ou si vous n’en avez jamais eu, vous pouvez accéder aux applets de commande Set-RemoteDomain et New-RemoteDomain via le composant logiciel enfichable Exchange. Installez les outils de gestion Exchange à partir de la dernière mise à jour cumulative pour Exchange Server 2019 sur n’importe quel ordinateur joint à un domaine et exécutez la commande suivante dans Windows PowerShell :

   Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
   

   Cette méthode d’activation manuelle du composant logiciel enfichable Exchange n’est prise en charge que pour ce cas spécifique.

   L’installation des outils de gestion Exchange dans un environnement qui n’a jamais eu de Exchange Server crée un organization Exchange et prépare Active Directory pour Exchange. Si vous avez un déploiement AD volumineux, ou si une équipe distincte gère AD, suivez les étapes ci-dessous : Préparer Active Directory et les domaines pour Exchange Server pour préparer AD.

3. Installez le rôle Outils de gestion Exchange à l’aide du programme d’installation de la mise à jour cumulative Exchange Server 2019 avril 2022. Les outils mis à jour peuvent être installés sur n’importe quel ordinateur joint à un domaine dans une organization Exchange 2013 ou ultérieure.

   Remarque

   L’installation des outils de gestion Exchange mis à jour dans un environnement avec uniquement Exchange 2013 et/ou Exchange 2016 met à niveau le organization Exchange vers Exchange Server 2019 et effectue une mise à jour du schéma AD. Si vous avez un déploiement AD volumineux, ou si une équipe distincte gère AD, suivez les étapes ci-dessous : Préparer Active Directory et les domaines pour Exchange Server à effectuer la mise à jour du schéma.

4. Installez les outils d’administration de serveur distant Windows en suivant les étapes décrites dans cet article : Installer, désinstaller et désactiver/activer les outils RSAT.

5. Si l’Agent de script est activé, copiez ScriptingAgentConfig.xml à partir de $env :ExchangeInstallPath\Bin\CmdletExtensionAgents sur le Exchange Server, dans le dossier $env :ExchangeInstallPath\Bin\CmdletExtensionAgents sur l’ordinateur sur lequel la mise à jour des outils de gestion est installée.

6. Exécutez le script fourni pour créer le groupe de sécurité Gestion des destinataires EMT qui accorde aux utilisateurs sans domaine des droits d’administrateur pour gérer les destinataires.

   1. Connectez-vous à l’ordinateur avec la mise à jour des outils de gestion en tant que domaine Administration et ouvrez Windows PowerShell.

   2. Chargez le composant logiciel enfichable Gestion des destinataires en exécutant la commande suivante :

      Add-PSSnapin *RecipientManagement
      

   3. Exécutez Add-PermissionForEMT.ps1 à partir du dossier $env :ExchangeInstallPath\Scripts. Le script crée un groupe de sécurité appelé Gestion des destinataires EMT. Les membres de ce groupe disposent d’autorisations de gestion des destinataires. Tous les administrateurs sans droits d’administrateur de domaine doivent effectuer la gestion des destinataires doivent être ajoutés à ce groupe de sécurité.

7. Connectez-vous à l’ordinateur avec la mise à jour des outils de gestion avec les autorisations appropriées (administrateur de domaine ou membre de Gestion des destinataires EMT) et chargez le composant logiciel enfichable Gestion des destinataires en exécutant :

   Add-PSSnapin *RecipientManagement
   

   Vous devez effectuer cette étape chaque fois que vous gérez les destinataires.

8. Testez toutes les applets de commande de gestion des destinataires et vérifiez que vous voyez les résultats attendus.

Remarque

Les applets de commande lorsqu’elles sont accessibles via PowerShell Snapin comme RecipientManagement présentent une différence dans les types de données de sortie par rapport à l’exécution à l’aide New-PSSessionde . Cela est attendu et tous les scripts qui s’appuient sur les types de données des applets de commande doivent être modifiés en conséquence.

Par instance, (Get-Mailbox User).EmailAddresses.GetType() lorsqu’il est utilisé via RecipientManagement SnapIn génère le type de données en tant que ProxyAddressCollection, où comme la même applet de commande lors de l’exécution dans une session PSSession génère le type de données comme ArrayList.

9. Arrêtez votre dernier serveur Exchange et vérifiez que toutes les applets de commande de gestion des destinataires fonctionnent toujours comme prévu.

Arrêt permanent de votre dernière Exchange Server

Si vous envisagez d’arrêter définitivement votre dernière Exchange Server, nous vous recommandons d’utiliser les étapes suivantes pour propre et améliorer la posture de sécurité de votre environnement.

Importante

Si vous utilisez votre dernier serveur Exchange à d’autres fins que la gestion des destinataires (pour exmaple, relais SMTP), ne l’arrêtez pas.

1. Activez votre dernier serveur Exchange.

2. Nettoyez votre configuration hybride en effectuant les étapes 1 à 8 pour le scénario 2 dans Comment et quand désactiver vos serveurs Exchange locaux dans un déploiement hybride.

3. Supprimez l’approbation de fédération en exécutant la commande suivante dans l’environnement de ligne de commande Exchange Management Shell :

   Remove-FederationTrust "Microsoft Federation Gateway"
   

4. Supprimer le certificat de fédération : pour rechercher l’empreinte numérique du certificat, exécutez :

   $fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint
   

   Pour supprimer l’empreinte numérique du certificat, exécutez :

   Remove-ExchangeCertificate -Thumbprint $fedThumbprint
   

5. Supprimez les informations d’identification du principal de service créées pour OAuth. Pour ce faire, vous devez déterminer quel KeyId correspond à la valeur de clé du certificat OAuth. Pour trouver le KeyId qui correspond, procédez comme suit :

   1. Exécutez ces commandes dans Exchange Management Shell pour obtenir la valeur credValue OAuth :

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
      $oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
      $certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
      $certBytes = $oAuthCert.Export($certType)
      $credValue = [System.Convert]::ToBase64String($certBytes)
      
      

   2. Recherchez le KeyId identique au $credValue trouvé ci-dessus, exécutez les commandes suivantes en tant qu’administrateur de locataire à l’aide de Microsoft Graph PowerShell.

      Import-Module Microsoft.Graph.Applications
      Connect-MgGraph -Scopes "Application.Read.All"
      $ServiceName = "00000002-0000-0ff1-ce00-000000000000"
      $p = Get-MgServicePrincipalByAppId -AppId $ServiceName
      $keyId = (Get-MgServicePrincipal -ServicePrincipalId $p.Id).KeyCredentials $true | ?{$_.Value -eq $credValue}).KeyId
      

      Cela donne le KeyId de la clé dont la valeur correspond à la $credValue trouvée ci-dessus.

   3. Pour supprimer les informations d’identification du principal de service, exécutez la commande suivante :

      Import-Module Microsoft.Graph.Applications
      $params = @{
      KeyId = $keyId
      }
      Remove-MgServicePrincipalKey -ServicePrincipalId $p.Id -BodyParameter $params
      

6. Désinstallez l’agent hybride. Si votre environnement a une configuration hybride moderne, suivez les étapes ci-dessous pour la supprimer.

   1. Sur l’ordinateur sur lequel l’agent hybride est installé, ouvrez l’environnement de ligne de commande Exchange Management Shell et remplacez le répertoire par l’emplacement du script C :\Program Files\Microsoft Hybrid Service\HybridManagement.psm1 , puis importez le module PowerShell de l’agent hybride.

      Import-Module .\HybridManagement.psm1
      

   2. Pour supprimer l’application, un AppId est requis. Utilisez l’une des applets de commande suivantes dans Exchange Online PowerShell pour rechercher l’AppId.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr
      

      Le résultat doit ressembler à ceci :

      TargetSharingEpr
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      

      Ou exécutez :

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer
      

      Le résultat doit ressembler à ceci :

      RemoteServer
      ------------
      6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net
      

      Dans cet exemple, 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 est l’AppId à utiliser à l’étape suivante.

   3. Supprimez l’application en exécutant :

      Remove-HybridApplication -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)
      

      Remarque

      L’AppId est 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 uniquement pour cet exemple ; votre valeur sera différente.

   4. Désinstallez l’agent hybride en suivant les étapes décrites ici : Désinstaller l’agent hybride.

7. Si vous ne l’avez pas déjà fait, pointez vos enregistrements DNS MX et de découverte automatique vers Exchange Online. Cette étape est importante pour vous assurer que le flux de messagerie n’est pas affecté. Pour plus d’informations, consultez Enregistrements système de noms de domaine externes pour Office 365.

8. Arrêtez votre dernier serveur Exchange.

Active Directory propre

Si vous envisagez de ne plus jamais exécuter un serveur Exchange local, nous vous recommandons de propre votre annuaire Active Directory en supprimant les objets Exchange inutiles.

Avertissement

Cette étape ne peut pas être annulée. Continuez uniquement si vous ne souhaitez plus jamais exécuter Exchange Server.

Le nettoyage AD peut être effectué en exécutant le script CleanupActiveDirectoryEMT fourni avec les outils de gestion. Le script supprime les boîtes aux lettres système, les conteneurs Exchange inutiles, les autorisations pour les groupes de sécurité Exchange sur les partitions de domaine et de configuration, ainsi que les groupes de sécurité Exchange. Vous devez exécuter ce script avec des informations d’identification d’administrateur de domaine.

Ce script est disponible à l’adresse suivante : $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

Important : Soyez conscient

Avertissement

Une fois que vous avez arrêté le dernier serveur Exchange, le RBAC Exchange ne fonctionne plus. Les utilisateurs qui faisaient partie de groupes de destinataires Exchange ou qui disposaient de rôles Exchange personnalisés autorisant la gestion des destinataires n’auront plus d’autorisation. Seuls les administrateurs de domaine et les utilisateurs auxquels l’autorisation est attribuée à l’aide Add-PermissionForEMT.ps1 d’un script peuvent effectuer la gestion des destinataires.

Une fois que vous avez arrêté votre dernier serveur Exchange et effectué les étapes de nettoyage Exchange hybride et Active Directory comme décrit précédemment, vous devez effacer et reformater votre dernier serveur Exchange. Ne pas désinstaller le Exchange Server.

Mettre à jour le rôle outils de gestion Exchange Server uniquement (sans Exchange Server en cours d’exécution) vers une mise à jour cumulative ou de sécurité plus récente

Vous avez suivi les étapes de cet article pour supprimer la dernière Exchange Server et utilisez uniquement le rôle des outils de gestion pour la gestion des objets hybrides.

Mettre à niveau les outils de gestion vers une mise à jour cumulative (CU) plus récente

Dans ces environnements, si vous mettez à niveau le serveur de rôle outils de gestion uniquement vers une mise à jour de mise à jour cumulative, l’erreur suivante peut échouer :

Active Directory doit être préparé avec « Setup /PrepareAD » pour que Exchange Server outils de gestion puissent être mis à jour vers une mise à jour plus récente.

Pour mettre à jour les outils de gestion vers une cu plus récente, procédez comme suit :

1. Utilisez la commande suivante pour effectuer PrepareAD :

   .\Setup.EXE /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

2. Utilisez la commande suivante pour mettre à niveau le rôle Outils de gestion uniquement :

   .\Setup.EXE /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

3. Si vous avez déjà exécuté .\CleanupActiveDirectoryEMT.ps1 dans l’environnement conformément à La gestion des destinataires dans les environnements Exchange hybrides à l’aide des outils de gestion, réexécutez le .\CleanupActiveDirectoryEMT.ps1 script (car /PrepareAD a recréé certains objets que le CleanupActiveDirectoryEMT.ps1 supprime).

Avertissement

Vérifiez que vous exécutez CleanupActiveDirectoryEMT.ps1 le script UNIQUEMENT dans l’environnement dans lequel vous avez déjà suivi Gérer les destinataires dans les environnements Exchange hybrides à l’aide des outils de gestion et où le script a déjà été exécuté auparavant (et aucun serveur Exchange n’est en cours d’exécution). Vous ne pouvez pas annuler cette action.

Mettre à niveau les outils de gestion vers une mise à jour de sécurité (SU) plus récente

Téléchargez le package de mise à jour de sécurité et exécutez-le pour mettre à jour le rôle Outils de gestion sur une unité de service plus récente.