Hintergrund: Das „Last Exchange Server“-Problem
Viele Unternehmen, die mittlerweile sämtliche Postfächer in Exchange Online betreiben, behalten dennoch einen lokalen Exchange-Server – allein zur Verwaltung von Empfängerattributen. In Hybrid-Szenarien ist das Bearbeiten von Remote-Mailbox-Eigenschaften in der Cloud standardmäßig blockiert, da die Quelle der Autorität (Source of Authority, SOA) in der On-Premises-Exchange-Umgebung liegt (techcommunity.microsoft.com).
Die neue Cloud-Management-Funktion
Microsoft hat ein neues Feature in Exchange Online (aktuell im Preview-Status) angekündigt, das es ermöglicht, die Exchange-Attribute synchronisierter Benutzerkonten mit Remote-Postfächern direkt aus der Cloud zu bearbeiten. Identitätsattribute wie Name oder Telefon bleiben dabei nach wie vor On-Premises-verwaltet (techcommunity.microsoft.com).
Zentrales Element ist der neue Parameter IsExchangeCloudManaged. Setzt man diesen auf True, übernimmt Exchange Online die Quelle der Autorität für die betreffenden Exchange-Attribute eines Benutzers (techcommunity.microsoft.com).
So funktioniert es im Detail
- Standardmäßig ist bei synchronisierten Benutzern
IsExchangeCloudManaged = False, d. h. Exchange-Attribute werden in der On-Premises-AD verwaltet und in die Cloud repliziert. - Wird
IsExchangeCloudManaged = True, kann man Exchange-Attribute wie E-Mail-Adressen, spezielle Attribute (z. B.CustomAttribute1–15,proxyAddresses) über Exchange Online PowerShell oder das Admin Center ändern. Diese Änderungen bleiben erhalten, da der On-Prem-Sync sie nicht mehr überschreibt (learn.microsoft.com). - Identitätsattribute – z. B. Name, Abteilung, Telefonnummer – verbleiben weiterhin unter der Kontrolle der lokalen Active Directory und sind von der Änderung nicht betroffen (techcommunity.microsoft.com).
- In Phase 1 (aktuell verfügbar) kann pro Postfach entschieden werden, welches Attributset cloud-gesteuert wird. Eine Rückumstellung (Rollback) ist möglich (learn.microsoft.com).
- In einer späteren Phase (Phase 2) ist geplant, dass Änderungen an Exchange-Attributen in der Cloud automatisch wieder zurück in das lokale AD geschrieben werden („Write-Back“), vorausgesetzt, Entra Cloud Sync wird genutzt (learn.microsoft.com).
- Bereits verfügbar ist eine object-level SOA-Übertragung für Gruppen (Group SOA); künftig sollen Attribute auch für Benutzer- und Kontaktobjekte cloud-gesteuert werden können (learn.microsoft.com).
Vorteile dieser Entwicklung
- Endlich Exchange-Server-frei – Der „Last Exchange Server“ wird überflüssig, selbst in Hybrid-Szenarien.
- Weniger administrative Komplexität – Verwaltung über Exchange Online PowerShell, Admin Center oder Microsoft 365 Admin Center.
- Sicherheitsgewinn – Reduzierter On-Prem-Fußabdruck bedeutet weniger Angriffsfläche und weniger Patchaufwand.
- Zukunftssicher – Mit geplantem Write-Back und Cloud-SOA für Gruppen und Kontakte entsteht eine echte Cloud-Zielarchitektur.
Umsetzung: So hebst du IsExchangeCloudManaged auf
- In Exchange Online PowerShell:
Set-Mailbox -Identity <User> -IsExchangeCloudManaged $true - Status prüfen:
Get-Mailbox -Identity <User> | Format-List Identity, IsExchangeCloudManaged
Meine Meinung als IT-Consultant
Für viele unserer Kunden ist dies ein Herzenswunsch, der nun endlich Realität wird: weg vom letzten lokalen Exchange-Server, hin zu einer komplett cloudbasierten Verwaltung. In zahlreichen Projekten haben wir immer wieder erlebt, dass die Pflicht, einen On-Premises-Server nur für die Exchange-Verwaltung stehen zu lassen, nicht nur technisch, sondern auch organisatorisch und sicherheitsrelevant ein großes Ärgernis war. Mit den Cloud-Managed Remote Mailboxes ist diese Hürde nun gefallen – und das macht den Weg zur echten „Cloud Only“-Strategie frei.
Fazit
Mit Cloud-Managed Remote Mailboxes macht Microsoft einen bedeutenden Schritt in Richtung endgültige Ablösung des lokalen Exchange Servers – auch für hybride Umgebungen. Diese neue Funktion bündelt Verwaltung, Sicherheit und Flexibilität in der Cloud und zeigt deutlich, wie die Zukunft der Exchange-Verwaltung aussieht.