Gerenciar destinatários em ambientes do Exchange Hybrid usando ferramentas de gerenciamento

Se você mantiver um servidor do Exchange local apenas para gerenciamento de destinatários em ambientes do Exchange Hybrid, mesmo depois de mover todos os destinatários para Exchange Online, talvez você possa desligar seu último servidor exchange e gerenciar destinatários usando Windows PowerShell.

Anteriormente, mesmo depois de mover todas as caixas de correio para Exchange Online, você ainda precisava de um servidor do Exchange local para gerenciar esses atributos de destinatários de nuvem. Você editou os destinatários em um servidor exchange em seu Active Directory local e seus atributos foram copiados para Microsoft Entra ID usando a sincronização de diretório. Você ainda pode usar esse método para gerenciar seus destinatários, mesmo que todos eles estejam na nuvem. Desligar o servidor exchange é completamente opcional.

Observação

Você não pode modificar destinatários locais diretamente no Microsoft Entra ID ou Exchange Online, portanto, você ainda precisa de um servidor do Exchange local e sincronização de diretório por meio da ferramenta de sincronização de nuvem ou Microsoft Entra Connect. Para obter mais informações, consulte Por que talvez você não queira desativar servidores do Exchange do local.

Esse novo método funcionará para mim?

Uma versão atualizada das Ferramentas de Gerenciamento do Exchange pode eliminar a necessidade de executar um servidor do Exchange local se todas as seguintes instruções forem verdadeiras:

• Você migrou todas as caixas de correio e pastas públicas para Exchange Online (sem destinatários locais do Exchange).
• Você usa o AD para gerenciamento de destinatários e sincronização de nuvem ou Microsoft Entra Conectar para sincronização.
• Você não usa nem exige o RBAC (centro de administração local do Exchange) ou o RBAC (controle de acesso baseado em função do Exchange).
• Você está confortável usando Windows PowerShell somente para gerenciamento de destinatários.
• Você não precisa de auditoria ou registro em log de atividades de gerenciamento de destinatários.
• Você está executando apenas um servidor do Exchange local e somente para gerenciamento de destinatários.
• Você deseja gerenciar destinatários sem executar nenhum servidor do Exchange.

Use a Instalação do Exchange no Exchange 2019 Cumulativo Atualização 12 ou posterior para instalar as ferramentas de gerenciamento mais recentes em qualquer computador ingressado no domínio (cliente ou servidor). Para obter instruções, consulte Instalar as ferramentas de Gerenciamento do Exchange.

Aviso

NÃO desinstale o último servidor. Você pode optar por desligar o servidor e usar o script para limpo para cima, mas NÃO desinstalar. A desinstalação do servidor remove informações críticas do Active Directory que quebram a capacidade do pacote de ferramentas de gerenciamento para gerenciar atributos do Exchange. Saiba mais aqui: Importante: Estar ciente

Com as Ferramentas de Gerenciamento do Exchange atualizadas, os administradores de domínio e membros do grupo EMT de Gerenciamento de Destinatários (criados por meio da etapa 6 abaixo) podem usar Windows PowerShell para executar os seguintes cmdlets sem um servidor exchange em execução:

• Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser e Enable-MailUser.
• Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact e Enable-MailContact.
• Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox e Enable-RemoteMailbox.
• Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup e Enable-DistributionGroup (excluindo Upgrade-DistributionGroup).
• Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember e Update-DistributionGroupMember.
• Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy e Update-EmailAddressPolicy.
• Set-User e Get-User.

Observação

Você não pode modificar destinatários locais diretamente em Microsoft Entra ID ou Exchange Online.

Verifique se as Ferramentas de Gerenciamento podem ser executadas sem Exchange Server

Se o ambiente incluir um único servidor exchange em execução exclusivamente para gerenciamento de destinatários de nuvem, use as etapas nesta seção para testar a atualização das Ferramentas de Gerenciamento.

Preparar o Ambiente do Exchange

1. Verifique se todas as caixas de correio estão na nuvem executando os seguintes comandos no Shell de Gerenciamento do Exchange:

   Set-AdServerSettings -ViewEntireForest $true
   Get-Mailbox
   

   Observação

   Por padrão, as caixas de correio internas de administrador não são sincronizadas com a nuvem por sincronização de nuvem ou Microsoft Entra Connect. Antes de continuar, você deve desabilitar essas caixas de correio usando a caixa de correio Desabilitar.

2. Verifique se o domínio de coexistência do locatário Exchange Online (geralmente algo como "contoso.mail.onmicrosoft.com") está configurado como domínio de entrega de destino executando o seguinte comando:

   Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain
   

   Se o domínio de coexistência não for adicionado como um domínio remoto, você poderá adicioná-lo usando New-RemoteDomain. Por exemplo:

   New-RemoteDomain -Name 'Hybrid Domain - M365B434489.mail.onmicrosoft.com' -DomainName 'M365B434489.mail.onmicrosoft.com'
   

   Se ele não for definido como Domínio de Entrega de Destino, você poderá defini-lo usando Set-RemoteDomain. Por exemplo:

   Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - M365B434489.mail.onmicrosoft.com'
   

   Observação

   Se você já tiver removido o último servidor do Exchange ou nunca tiver um, poderá acessar os cmdlets Set-RemoteDomain e New-RemoteDomain por meio do snapin do Exchange. Instale as Ferramentas de Gerenciamento do Exchange na última Atualização Cumulativa para Exchange Server 2019 em qualquer computador ingressado no domínio e execute o seguinte comando em Windows PowerShell:

   Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
   

   Esse método de habilitar manualmente o snapin do Exchange só tem suporte para este caso específico.

   Instalar as Ferramentas de Gerenciamento do Exchange em um ambiente que nunca teve um Exchange Server criará uma nova organização do Exchange e preparará o Active Directory para o Exchange. Se você tiver uma implantação grande do AD ou se uma equipe separada gerenciar o AD, use as etapas aqui: Preparar o Active Directory e os domínios para Exchange Server preparar o AD.

3. Instale a função Ferramentas de Gerenciamento do Exchange usando o Exchange Server configuração de atualização cumulativa de abril de 2022 de abril de 2022. As ferramentas atualizadas podem ser instaladas em qualquer computador ingressado no domínio em uma organização do Exchange 2013 ou posterior.

   Observação

   A instalação das Ferramentas de Gerenciamento do Exchange atualizadas em um ambiente com apenas o Exchange 2013 e/ou o Exchange 2016 atualizará a organização do Exchange para Exchange Server 2019 e executará uma atualização do esquema do AD. Se você tiver uma implantação grande do AD ou se uma equipe separada gerenciar o AD, use as etapas aqui: Preparar o Active Directory e os domínios para Exchange Server para executar a atualização do esquema.

4. Instale as Ferramentas de Administração do Servidor Remoto do Windows usando as etapas deste artigo: Instalar, desinstalar e desativar/ativar ferramentas RSAT.

5. Se você tiver o Agente de Script habilitado, copie ScriptingAgentConfig.xml da pasta $env:ExchangeInstallPath\Bin\CmdletExtensionAgents no Exchange Server para a pasta $env:ExchangeInstallPath\Bin\CmdletExtensionAgents no computador com a atualização ferramentas de gerenciamento instalada.

6. Execute o script fornecido para criar o grupo de segurança EMT de Gerenciamento de Destinatários que concede aos usuários sem direitos de administrador de domínio para gerenciar destinatários.

   1. Entre no computador com a atualização ferramentas de gerenciamento como um Administração de domínio e abra Windows PowerShell.

   2. Carregue o snap-in gerenciamento de destinatário executando o seguinte comando:

      Add-PSSnapin *RecipientManagement
      

   3. Execute Add-PermissionForEMT.ps1 na pasta $env:ExchangeInstallPath\Scripts. O script cria um grupo de segurança chamado EMT de Gerenciamento de Destinatários. Os membros desse grupo têm permissões de gerenciamento de destinatários. Todos os administradores sem direitos de administrador de domínio precisam executar o gerenciamento de destinatários devem ser adicionados a esse grupo de segurança.

7. Entre no computador com a atualização ferramentas de gerenciamento com as permissões apropriadas (administrador de domínio ou membro do EMT de Gerenciamento de Destinatários) e carregue o snap-in gerenciamento de destinatários executando:

   Add-PSSnapin *RecipientManagement
   

   Você precisa fazer essa etapa sempre que gerenciar destinatários.

8. Teste todos os cmdlets de gerenciamento de destinatários e verifique se você vê os resultados esperados.

Observação

Cmdlets quando acessados por meio do Powershell Snapin como RecipientManagement terão uma diferença nos tipos de dados de saída em comparação com quando executados usando New-PSSession. Isso é esperado e todos os scripts que dependem dos tipos de dados dos cmdlets devem ser modificados de acordo.

Por exemplo, (Get-Mailbox User).EmailAddresses.GetType() quando usado por meio RecipientManagement SnapIn produzirá o tipo de dados como ProxyAddressCollection, em que o mesmo cmdlet quando executado em uma PSSession produzirá o tipo de dados como ArrayList.

9. Desligue o último servidor do Exchange e verifique se todos os cmdlets de gerenciamento de destinatários ainda funcionam conforme o esperado.

Desligar permanentemente seu último Exchange Server

Se você pretende desligar permanentemente seu último Exchange Server, recomendamos que você use as etapas a seguir para limpo e melhorar a postura de segurança do seu ambiente.

Importante

Se você usar seu último servidor exchange para qualquer finalidade diferente do gerenciamento de destinatário (para exmaple, retransmissão SMTP), não o desligue.

1. Ative o último servidor do Exchange.

2. Limpe sua configuração híbrida executando as Etapas 1 a 8 para o Cenário 2 em Como e quando desativar seus servidores locais do Exchange em uma implantação híbrida.

3. Remova a Confiança da Federação executando o seguinte comando no Shell de Gerenciamento do Exchange:

   Remove-FederationTrust "Microsoft Federation Gateway"
   

4. Remova o Certificado de Federação: para localizar a impressão digital do certificado, execute:

   $fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint
   

   Para remover a impressão digital do certificado, execute:

   Remove-ExchangeCertificate -Thumbprint $fedThumbprint
   

5. Remova as credenciais da entidade de serviço criadas para OAuth. Para fazer isso, você precisa determinar qual KeyId corresponde ao valor chave do certificado OAuth. Para localizar o KeyId que corresponde, siga estas etapas:

   1. Execute esses comandos no Shell de Gerenciamento do Exchange para obter o credValue OAuth:

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
      $oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
      $certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
      $certBytes = $oAuthCert.Export($certType)
      $credValue = [System.Convert]::ToBase64String($certBytes)
      
      

   2. Localize o KeyId que é igual ao $credValue encontrado acima, execute os comandos a seguir como um administrador de locatário usando o Microsoft Graph PowerShell.

      Import-Module Microsoft.Graph.Applications
      Connect-MgGraph -Scopes "Application.Read.All"
      $ServiceName = "00000002-0000-0ff1-ce00-000000000000"
      $p = Get-MgServicePrincipalByAppId -AppId $ServiceName
      $keyId = (Get-MgServicePrincipal -ServicePrincipalId $p.Id).KeyCredentials $true | ?{$_.Value -eq $credValue}).KeyId
      

      Isso fornece o KeyId da chave cujo valor corresponde à $credValue encontrada acima.

   3. Para remover a credencial da entidade de serviço, execute o seguinte comando:

      Import-Module Microsoft.Graph.Applications
      $params = @{
      KeyId = $keyId
      }
      Remove-MgServicePrincipalKey -ServicePrincipalId $p.Id -BodyParameter $params
      

6. Desinstale o agente híbrido. Se o ambiente tiver uma configuração híbrida moderna, siga as etapas abaixo para removê-lo.

   1. No computador em que o Agente Híbrido está instalado, abra o Shell de Gerenciamento do Exchange e altere o diretório para o local do script C:\Program Files\Microsoft Hybrid Service\HybridManagement.psm1 e importe o Módulo do PowerShell do Agente Híbrido.

      Import-Module .\HybridManagement.psm1
      

   2. Para remover o Aplicativo, um AppId é necessário. Use qualquer um dos seguintes cmdlets no Exchange Online PowerShell para localizar o AppId.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr
      

      A saída terá a seguinte aparência:

      TargetSharingEpr
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      ----------------
      https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      

      Ou execute:

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer
      

      A saída terá a seguinte aparência:

      RemoteServer
      ------------
      6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net
      

      Neste exemplo, 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 é o AppId a ser usado na próxima etapa.

   3. Remova o Aplicativo executando:

      Remove-HybridApplication -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)
      

      Observação

      O AppId é 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 somente para este exemplo; seu valor será diferente.

   4. Desinstale o agente híbrido usando as etapas aqui: Desinstale o agente híbrido.

7. Se você ainda não tiver, aponte seus registros DNS MX e Autodiscover para Exchange Online. Essa etapa é importante para garantir que o fluxo de email não seja afetado. Para obter mais informações, consulte Registros externos do Sistema de Nomes de Domínio para Office 365.

8. Desligue o último servidor do Exchange.

Active Directory limpo para cima

Se você planeja nunca mais executar um servidor do Exchange local, recomendamos que você limpo seu Active Directory removendo objetos desnecessários do Exchange.

Aviso

Esta etapa não pode ser desfeita. Prossiga somente se você nunca quiser executar Exchange Server novamente.

A limpeza do AD pode ser feita executando o script CleanupActiveDirectoryEMT enviado com ferramentas de gerenciamento. O script remove caixas de correio do sistema, contêineres desnecessários do Exchange, permissões para Grupos de Segurança do Exchange nas partições de domínio e configuração e grupos de segurança do Exchange. Você precisa executar esse script com credenciais de administrador de domínio.

Este script está disponível em: $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

Importante: esteja ciente

Aviso

Depois de desligar o último servidor do Exchange, o RBAC do Exchange não funcionará mais. Os usuários que faziam parte de grupos de destinatários do Exchange ou tinham funções personalizadas do Exchange que permitiam o gerenciamento de destinatários não terão mais permissão. Somente administradores de domínio e usuários que receberem permissão usando Add-PermissionForEMT.ps1 script poderão executar o gerenciamento do destinatário.

Depois de desligar o último servidor do Exchange e executar as etapas de limpeza híbrida do Exchange e do Active Directory, conforme descrito anteriormente, você deverá apagar e reformat seu último servidor exchange. Não desinstale o Exchange Server.

Atualize a função somente ferramentas de gerenciamento Exchange Server (sem Exchange Server em execução) para uma atualização cumulativa ou de segurança mais recente

Você seguiu as etapas deste artigo para remover o último Exchange Server e está usando apenas a função de ferramentas de gerenciamento para o gerenciamento de objetos híbridos.

Atualizar ferramentas de gerenciamento para uma CU (Atualização Cumulativa) mais recente

Nesses ambientes, se você atualizar o servidor de função ferramentas de gerenciamento apenas para a CU mais recente, ele poderá falhar com o seguinte erro:

O Active Directory deve estar preparado com 'Setup /PrepareAD' antes que Exchange Server ferramentas de gerenciamento possam ser atualizadas para uma CU mais recente.

Para atualizar as ferramentas de gerenciamento para uma CU mais recente, execute as seguintes etapas:

1. Use o seguinte comando para executar o PrepareAD:

   .\Setup.EXE /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

2. Use o seguinte comando para atualizar apenas a função Ferramentas de Gerenciamento:

   .\Setup.EXE /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

3. Se você tiver executado .\CleanupActiveDirectoryEMT.ps1 anteriormente no ambiente de acordo com Gerenciar destinatários em ambientes do Exchange Hybrid usando ferramentas de gerenciamento, execute o .\CleanupActiveDirectoryEMT.ps1 script novamente (porque /PrepareAD recriou alguns objetos que o CleanupActiveDirectoryEMT.ps1 remove).

Aviso

Verifique se você está executando CleanupActiveDirectoryEMT.ps1 script SOMENTE no ambiente em que já seguiu Gerenciar destinatários em ambientes do Exchange Hybrid usando ferramentas de gerenciamento e o script já foi executado antes (e não há nenhum exchange servers em execução). Não é possível desfazer a ação.

Atualizar ferramentas de gerenciamento para um SU (Atualização de Segurança) mais recente

Baixe o pacote de atualização de segurança e execute-o para atualizar a função de ferramentas de gerenciamento para um SU mais recente.