Compartilhar via


Gerir destinatários em ambientes Híbridos do Exchange com ferramentas de Gestão

Se mantiver um servidor Exchange no local apenas para gestão de destinatários em ambientes Híbridos do Exchange, mesmo depois de ter movido todos os destinatários para Exchange Online, poderá conseguir encerrar o seu último servidor Exchange e gerir destinatários com Windows PowerShell.

Anteriormente, mesmo depois de ter movido todas as suas caixas de correio para Exchange Online, ainda precisava de um servidor Exchange no local para gerir esses atributos de destinatários na nuvem. Editou os destinatários num servidor Exchange no seu Active Directory local e os respetivos atributos foram copiados para Microsoft Entra ID através da sincronização de diretórios. Pode continuar a utilizar este método para gerir os destinatários, mesmo que estejam todos na cloud. Encerrar o servidor Exchange é completamente opcional.

Observação

Não pode modificar os destinatários no local diretamente no Microsoft Entra ID ou Exchange Online, pelo que ainda precisa de uma sincronização de servidores e diretórios do Exchange no local através da sincronização da cloud ou da ferramenta Microsoft Entra Connect. Para obter mais informações, veja Por que motivo poderá não querer desativar os servidores Exchange a partir do local.

Este novo método funcionará para mim?

Uma versão atualizada das Ferramentas de Gestão do Exchange pode eliminar a necessidade de executar um servidor Exchange no local se todas as seguintes instruções forem verdadeiras:

  • Migrou todas as caixas de correio e pastas públicas para Exchange Online (sem destinatários do Exchange no local).
  • Utilize o AD para gestão de destinatários e sincronização de cloud ou Microsoft Entra Ligar para sincronização.
  • Não utiliza nem requer o centro de administração do Exchange no local ou o controlo de acesso baseado em funções (RBAC) do Exchange.
  • Sente-se confortável ao utilizar Windows PowerShell apenas para a gestão de destinatários.
  • Não precisa de auditoria ou registo da atividade de gestão de destinatários.
  • Está a executar apenas um servidor Exchange no local e apenas para a gestão de destinatários.
  • Quer gerir destinatários sem executar servidores Exchange.

Utilize a Configuração do Exchange no Exchange 2019 Atualização Cumulativa 12 ou posterior para instalar as ferramentas de Gestão mais recentes em qualquer computador associado a um domínio (cliente ou servidor). Para obter instruções, consulte Instalar as ferramentas de Gestão do Exchange.

Aviso

NÃO desinstale o último servidor. Pode optar por encerrar o servidor e utilizar o script para limpo, mas NÃO desinstalar. A desinstalação do servidor remove informações críticas do Active Directory que interrompem a capacidade do pacote de ferramentas de gestão para gerir atributos do Exchange. Saiba mais aqui: Importante: Estar Atento

Com as Ferramentas de Gestão do Exchange atualizadas, os administradores de domínio e os membros do grupo emT gestão de destinatários (criado através do passo 6 abaixo) podem utilizar Windows PowerShell para executar os seguintes cmdlets sem um servidor Exchange em execução:

  • Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser e Enable-MailUser.
  • Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact e Enable-MailContact.
  • Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox e Enable-RemoteMailbox.
  • Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup e Enable-DistributionGroup (excluindo Upgrade-DistributionGroup).
  • Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember e Update-DistributionGroupMember.
  • Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy e Update-EmailAddressPolicy.
  • Set-User e Get-User.

Observação

Não pode modificar destinatários no local diretamente no Microsoft Entra ID ou Exchange Online.

Verifique se as Ferramentas de Gestão podem ser executadas sem Exchange Server

Se o seu ambiente incluir um único servidor Exchange em execução exclusivamente para gestão de destinatários na cloud, utilize os passos nesta secção para testar a atualização das Ferramentas de Gestão.

Preparar o Ambiente do Exchange

  1. Verifique se todas as caixas de correio estão na nuvem ao executar os seguintes comandos na Shell de Gestão do Exchange:

    Set-AdServerSettings -ViewEntireForest $true
    Get-Mailbox
    

    Observação

    Por predefinição, as caixas de correio de administrador incorporadas não são sincronizadas com a nuvem por sincronização de nuvem ou Microsoft Entra Ligar. Antes de continuar, deve desativar estas caixas de correio com Disable-Mailbox.

  2. Verifique se o domínio de coexistência do inquilino Exchange Online (normalmente algo como <domain>.mail.onmicrosoft.com) está configurado como domínio de entrega de destino ao executar o seguinte comando:

    Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain
    

    Se o domínio de coexistência não for adicionado como um domínio remoto, pode adicioná-lo com New-RemoteDomain. Por exemplo:

    New-RemoteDomain -Name 'Hybrid Domain - <domain>.mail.onmicrosoft.com' -DomainName '<domain>.mail.onmicrosoft.com'
    

    Se não estiver definido como o Domínio de Entrega de Destino, pode defini-lo com Set-RemoteDomain. Por exemplo:

    Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - <domain>.mail.onmicrosoft.com'
    

    Observação

    Se já tiver removido o último servidor Exchange ou nunca tiver tido um, pode aceder aos cmdlets Set-RemoteDomain e New-RemoteDomain através do snap-in do Exchange. Instale as Ferramentas de Gestão do Exchange a partir da última Atualização Cumulativa para Exchange Server 2019 em qualquer computador associado a um domínio e execute o seguinte comando no Windows PowerShell:

    Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn
    

    Este método de ativação manual do snap-in do Exchange só é suportado para este caso específico.

    Instalar as Ferramentas de Gestão do Exchange num ambiente que nunca teve um Exchange Server cria uma nova organização do Exchange e prepara o Active Directory para o Exchange. Se tiver uma implementação do AD grande ou se uma equipa separada gerir o AD, utilize os passos aqui: Preparar o Active Directory e os domínios para Exchange Server preparar o AD.

  3. Instale a função Ferramentas de Gestão do Exchange com a Configuração da Atualização Cumulativa de abril de 2022 do Exchange Server 2019. As ferramentas atualizadas podem ser instaladas em qualquer computador associado a um domínio numa organização do Exchange 2013 ou posterior.

    Observação

    Instalar as Ferramentas de Gestão do Exchange atualizadas num ambiente apenas com o Exchange 2013 e/ou o Exchange 2016 irá atualizar a organização do Exchange para Exchange Server 2019 e efetuar uma atualização de esquema do AD. Se tiver uma implementação do AD grande ou se uma equipa separada gerir o AD, utilize os passos aqui: Preparar o Active Directory e os domínios para Exchange Server efetuar a atualização de esquema.

  4. Instale as Ferramentas de Administração Remota do Windows Server com os passos neste artigo: Instalar, desinstalar e desativar/ativar ferramentas RSAT.

  5. Se tiver o Agente de Scripting ativado, copie ScriptingAgentConfig.xml da pasta $env:ExchangeInstallPath\Bin\CmdletExtensionAgents no Exchange Server para a pasta $env:ExchangeInstallPath\Bin\CmdletExtensionAgents no computador com a atualização ferramentas de gestão instalada.

  6. Execute o script fornecido para criar o grupo de segurança emT gestão de destinatários que concede aos utilizadores sem direitos de administrador de domínio para gerir destinatários.

    1. Inicie sessão no computador com a atualização das Ferramentas de Gestão como uma Administração de Domínio e abra Windows PowerShell.

    2. Carregue o snap-in Gestão de Destinatários ao executar o seguinte comando:

      Add-PSSnapin *RecipientManagement
      
    3. Execute Add-PermissionForEMT.ps1 a partir da pasta $env:ExchangeInstallPath\Scripts. O script cria um grupo de segurança denominado EMT de Gestão de Destinatários. Os membros deste grupo têm permissões de gestão de destinatários. Todos os administradores sem direitos de administrador de domínio têm de efetuar a gestão de destinatários devem ser adicionados a este grupo de segurança.

  7. Inicie sessão no computador com a atualização das Ferramentas de Gestão com as permissões adequadas (administrador de domínio ou membro do EMT de Gestão de Destinatários) e carregue o snap-in Gestão de Destinatários ao executar:

    Add-PSSnapin *RecipientManagement
    

    Tem de efetuar este passo sempre que gerir os destinatários.

  8. Teste todos os cmdlets de gestão de destinatários e verifique se vê os resultados esperados.

    Observação

    Os cmdlets quando acedidos através do Snap-in do PowerShell, como RecipientManagement , por exemplo, têm uma diferença nos tipos de dados de saída em comparação com quando são executados com New-PSSession. Isto é esperado e todos os scripts que dependem dos tipos de dados dos cmdlets devem ser modificados em conformidade.

    Por exemplo, (Get-Mailbox User).EmailAddresses.GetType() quando utilizado através RecipientManagement SnapIn de produz o tipo de dados como ProxyAddressCollection, enquanto o mesmo cmdlet quando executado numa PSSession produz o tipo de dados como ArrayList.

  9. Encerre o último servidor Exchange e verifique se todos os cmdlets de gestão de destinatários continuam a funcionar conforme esperado.

    Observação

    Quando encerrar o servidor Exchange final e testar os comandos de criação e atualização, como New- ou Set-RemoteMailbox, observará um aumento significativo na latência. Isto deve-se ao facto de o inicializador do Registo de Auditoria Administração tentar ligar ao servidor Exchange com energia ativada, causando um atraso de tempo limite de aproximadamente 40 segundos. Depois de limpar o servidor no Active Directory com o CleanupActiveDirectoryEMT.ps1 script mencionado na secção limpo do Active Directory, este atraso já não está presente.

Encerrar permanentemente a sua última Exchange Server

Se pretender encerrar permanentemente o último Exchange Server, recomendamos que utilize os seguintes passos para limpo e melhorar a postura de segurança do seu ambiente.

Importante

Se utilizar o último servidor Exchange para qualquer finalidade que não seja a gestão de destinatários (por exemplo, reencaminhamento SMTP), não o encerre.

  1. Ative o seu último servidor Exchange.

  2. Limpe a configuração híbrida ao executar os Passos 1 a 8 para o Cenário 2 em Como e quando desativar os servidores exchange no local numa implementação híbrida.

  3. Remova a Confiança de Federação ao executar o seguinte comando na Shell de Gestão do Exchange:

    Remove-FederationTrust "Microsoft Federation Gateway"
    
  4. Remover o Certificado de Federação: para localizar o thumbprint do certificado, execute:

    $fedThumbprint = (Get-ExchangeCertificate | Where-Object {$_.Subject -eq "CN=Federation"}).Thumbprint
    

    Para remover o thumbprint do certificado, execute:

    Remove-ExchangeCertificate -Thumbprint $fedThumbprint
    
  5. Remova as credenciais do principal de serviço criadas para o OAuth. Para tal, tem de determinar que KeyId corresponde ao valor da chave do certificado OAuth. Para localizar o KeyId correspondente, siga estes passos:

    1. Execute estes comandos na Shell de Gestão do Exchange para obter o OAuth credValue:

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
      $oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
      $certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
      $certBytes = $oAuthCert.Export($certType)
      $credValue = [System.Convert]::ToBase64String($certBytes)
      
      
    2. Localize o KeyId que é igual ao $credValue encontrado acima, execute os seguintes comandos como administrador de inquilinos com o Microsoft Graph PowerShell.

      Import-Module Microsoft.Graph.Applications
      Connect-MgGraph -Scopes "Application.Read.All"
      $ServiceName = "00000002-0000-0ff1-ce00-000000000000"
      $p = Get-MgServicePrincipalByAppId -AppId $ServiceName
      $keyId = (Get-MgServicePrincipal -ServicePrincipalId $p.Id).KeyCredentials $true | Where-Object {$_.Value -eq $credValue}).KeyId
      

      Isto dá ao KeyId da chave cujo valor corresponde ao $credValue encontrado acima.

    3. Para remover a credencial do principal de serviço, execute o seguinte comando:

      Import-Module Microsoft.Graph.Applications
      $params = @{
         KeyId = $keyId
      }
      Remove-MgServicePrincipalKey -ServicePrincipalId $p.Id -BodyParameter $params
      
  6. Desinstale o Agente híbrido. Se o seu ambiente tiver uma configuração Híbrida Moderna, siga os passos abaixo para removê-la.

    1. No computador onde o Agente Híbrido está instalado, abra a Shell de Gestão do Exchange e altere o diretório para a localização do script C:\Program Files\Microsoft Hybrid Service\HybridManagement.psm1 e, em seguida, importe o Módulo do PowerShell do Agente Híbrido.

      Import-Module .\HybridManagement.psm1
      
    2. Para remover a Aplicação, é necessário um AppId. Utilize qualquer um dos seguintes cmdlets no Exchange Online PowerShell para localizar o AppId.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr
      

      A saída terá a seguinte aparência:

      TargetSharingEpr
      ----------------
      https://123e4567-e89b-12d3-a456-426614174000.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      ----------------
      https://123e4567-e89b-12d3-a456-426614174000.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
      

      Em alternativa, execute:

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer
      

      A saída terá a seguinte aparência:

      RemoteServer
      ------------
      123e4567-e89b-12d3-a456-426614174000.resource.mailboxmigration.his.msappproxy.net
      

      Neste exemplo, 123e4567-e89b-12d3-a456-426614174000 é o AppId a ser utilizado no passo seguinte.

    3. Remova a Aplicação ao executar:

      Remove-HybridApplication -appId 123e4567-e89b-12d3-a456-426614174000 -Credential (Get-Credential)
      

      Observação

      O AppId é 123e4567-e89b-12d3-a456-426614174000 apenas para este exemplo; o seu valor é diferente.

    4. Desinstale o Agente híbrido com os passos aqui: Desinstalar o agente híbrido.

  7. Se ainda não o fez, aponte os registos DNS MX e Autodiscover para Exchange Online. Este passo é importante para garantir que o fluxo de correio não é afetado. Para obter mais informações, veja External Domain Name System records for Office 365 (Registos do Sistema de Nomes de Domínio Externos para Office 365).

  8. Encerre o seu último servidor Exchange.

Active Directory limpo para cima

Se pretender nunca mais executar um servidor Exchange no local, recomendamos que limpo o Seu Active Directory ao remover objetos desnecessários do Exchange.

Aviso

Este passo não pode ser anulado. Continue apenas se nunca mais quiser executar Exchange Server novamente.

A limpeza do AD pode ser feita ao executar o script CleanupActiveDirectoryEMT enviado com ferramentas de Gestão. O script remove caixas de correio do sistema, contentores do Exchange desnecessários, permissões para Grupos de Segurança do Exchange no domínio e partições de configuração e os Grupos de Segurança do Exchange. Tem de executar este script com credenciais de administrador de domínio.

Este script está disponível em: $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

Importante: Tenha em atenção

Aviso

Depois de encerrar o último servidor Exchange, o RBAC do Exchange deixará de funcionar. Os utilizadores que faziam parte de grupos de Destinatários do Exchange ou que tinham funções personalizadas do Exchange que permitiam a gestão de destinatários deixarão de ter permissão. Apenas os administradores de domínio e os utilizadores a quem seja atribuída permissão através Add-PermissionForEMT.ps1 do script poderão efetuar a gestão de destinatários.

Depois de encerrar o último servidor Exchange e executar os passos de limpeza do Exchange híbrido e do Active Directory, conforme descrito anteriormente, deve apagar e reformatar o último servidor Exchange. Não Desinstale o Exchange Server.

Atualizar a função apenas das ferramentas de gestão Exchange Server (sem Exchange Server em execução) para uma atualização Cumulativa ou de Segurança mais recente

Seguiu os passos deste artigo para remover os últimos Exchange Server e está a utilizar apenas a função das ferramentas de gestão para a gestão de objetos híbridos.

Atualizar as ferramentas de gestão para uma Atualização Cumulativa () mais recente

Nesses ambientes, se atualizar o servidor de função apenas das Ferramentas de gestão para uma mais recente, este poderá falhar com o seguinte erro:

Captura de ecrã das ferramentas de gestão de atualização para a Atualização Cumulativa mais recente.

O Active Directory tem de estar preparado com "Setup /PrepareAD" para que Exchange Server ferramentas de gestão possam ser atualizadas para uma mais recente.

Para atualizar as ferramentas de gestão para uma mais recente, execute os seguintes passos:

  1. Utilize o seguinte comando para executar o PrepareAD:

    .\Setup.EXE /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

  2. Utilize o seguinte comando para atualizar a função Apenas ferramentas de gestão:

    .\Setup.EXE /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

  3. Se já tinha executado .\CleanupActiveDirectoryEMT.ps1 anteriormente no ambiente de acordo com Gerir destinatários em ambientes Híbridos do Exchange com ferramentas de Gestão, execute novamente o .\CleanupActiveDirectoryEMT.ps1 script (porque /PrepareAD recriou alguns objetos que o CleanupActiveDirectoryEMT.ps1 remove).

    Aviso

    Certifique-se de que está a executar CleanupActiveDirectoryEMT.ps1 o script APENAS no ambiente onde já seguiu Gerir destinatários em ambientes Híbridos do Exchange com ferramentas de Gestão e que o script já foi executado anteriormente (e não existem Servidores Exchange em execução). Esta ação não pode ser anulada.

Atualizar as ferramentas de gestão para uma Atualização de Segurança (SU) mais recente

Transfira o pacote de atualização de segurança e execute-o para atualizar a função das ferramentas de gestão para uma SU mais recente.