MSG205 – Coexistence et Migration vers Exchange Online 2
Office 365: Coexistence et migration depuis Exchange 200x vers Exchange Online
Mercredi 9 Février 2011Guillaume Bordier, [email protected] Microsoft Services France / Consultinghttp://blogs.technet.com/frmcsuc
MSG205
MSG205 – Coexistence et Migration vers Exchange Online 333
Microsoft Services:Un accompagnement global de nos clients
Architecture & PlanningPlanification
Conseil et ProjetsDéploiement et adoption
SupportOptimisation et Opération
Evaluation
Planification
Développement
Déploiement
Stabilisation
Opérations
Support
Support Premier
Enterprise StrategyConsulting Services
Division Services France 2010
• 180 Consultants• 125 Technical Account Managers • 190 Ingénieurs Support• 17 Responsables de Mission• 41 Partenaires référencés
www.microsoft.fr/services
Division Services Monde 2010
• 82 pays couverts• 18 000 employés• 35 000 partenaires• 44 langues parlées par nos ingénieurs
MSG205 – Coexistence et Migration vers Exchange Online 444
Criticité du projet
Maturité de la technologie
Partenaires
Notre engagement auprès de nos partenaires est : • De leur assurer un transfert d’expertise,• De leur apporter notre support sur les
dernières technologies, • De leur donner accès aux meilleures
pratiques de mise en œuvre et de support.
Nos clients et partenaires sont particulièrement satisfaits par…
• Le niveau d’engagement des consultants : 94%• La gestion de l’équipe de projet : 92%• Les compétences techniques des consultants : 91%• La relation avec les équipes du client : 90%
Notre positionnement est d’intervenir sur les projets critiques et les technologies récentes
MSG205 – Coexistence et Migration vers Exchange Online 5
Agenda
• Fonctions de coexistence• La base : la fédération Exchange• Planning et déploiement de la coexistence• Migration vers Office 365
5
MSG205 – Coexistence et Migration vers Exchange Online 6
"Big Bang" ou Progressive?
• Migration de week-end : bascule d'enregistrement MX
• Migration de tout le monde d'un coup
• Aussi longtemps que l'on veut et même éternellement parfois
• Nécessité de déployer du matériel supplémentaire pour la coexistence
• Big Bang • Coexistence
Sujet du jour
6
MSG205 – Coexistence et Migration vers Exchange Online 7
Coexistenceriche ou simple?
Feature Simple Rich*
Mail routing between on-premises and cloud (recipients on either side)
Mail routing with shared namespace (if desired) - @company.com on both sides
Unified GAL
Free/Busy and calendar sharing cross-premises
Out of Office understands that cross-premises is “Internal” to the organization
Mailtips, messaging tracking, and mailbox search work cross-premises
OWA Redirection cross-premise (single OWA URL for both on-premises and cloud)
Preserve Auth header (ensure internal email is not marked as spam, resolve against GAL, etc.)
EMC GUI tool (on-premises ) used to manage cross-prem mailbox migrations
Mailbox moves support both onboarding and offboarding
No outlook reconfiguration or OST resync required after mailbox migration
Centralized mailflow control, ensures that all email routes inbound/outbound via On Premises
* Rich Coexistence feature-set requires Exchange 2010 SP1 Hub, CAS & Mbx on-prem and requires supplemental configuration steps (both on-premises and in the cloud)
Sujet du jour
MSG205 – Coexistence et Migration vers Exchange Online 8
Fonctions de coexistence richePlages libres/occupées et partage de calendrier
– Donne impression d'une seule organisation dans l'organisation des réunions et la getsion du calendrirer
– Fonctionne avec Outlook 2007+ le CAS 2010 et la MFG sont au coeur du dispositif
MSG205 – Coexistence et Migration vers Exchange Online 9
• MailTips inter-org– Donne l'impression d'une
seule org : les "externes" sont bien reconnus.
– Fonctionne avec Outlook 2010 et OWA et les listes de distribution….
Fonctions de coexistence richeMailtips
MSG205 – Coexistence et Migration vers Exchange Online 10
Fonctions de coexistence richeSuivi de message inter-org
• Le suivi de message entre l'entreprise et le Cloud fonctionne correctement dans les deux sens jusqu'à la sortie vers Internet
– Fidélité identique à l'interne suivant les versions d'Exchange
MSG205 – Coexistence et Migration vers Exchange Online 11
Fonctions de coexistence richeRecherche inter-org ('cross premises')
– Permet aux administrateurs ou délégués d'effectuer des recherches dans de multiples boites aux lettres y en interne et sur Office365
– On peut distinguer ou se trouve le message depuis l'interface graphique (ECP)
MSG205 – Coexistence et Migration vers Exchange Online 12
Fonctions de coexistence richeRedirection OWA
• Une seule URL pour toutes les connexions OWA– Le CAS détecte si la boite est
locale ou dans le Cloud
– Si la boite est online, le client clique sur l'URL et est redirigé
• Better Cloud log in experience– Si la fédération d'identité est
effective, l'authentification se fera vis à vis du serveur ADFS local
MSG205 – Coexistence et Migration vers Exchange Online 13
• La coexistence riche permet de conservers les headers entre les deux organisations, en particulier ceux concernant le SPAM et l'authentification
• De même les restrictions d'envoi positionnées continuent à être honorées
Fonctions de coexistence richeRoutage de messages
MSG205 – Coexistence et Migration vers Exchange Online 14
• Fonctions similaires entre avec online ou en local
• Fonctions non supportées :– Coexistence de délégation: les délégations sont
migrées mais utilisables qu'entre deux personnes de la même infrastructure
– Les permissions Full Mailbox et Send As ne sont pas migrées
– Multiforêt : uniquement une forêt source pour l'instant
14
Fonctions de coexistence richeRésumé
MSG205 – Coexistence et Migration vers Exchange Online 16
Retour sur les noms à connaître• ADFS Federation• Exchange Federation• Org relationship• Sharing policies• Federated Sharing
MSG205 – Coexistence et Migration vers Exchange Online 17
Planning
MSG205 – Coexistence et Migration vers Exchange Online 18
Fédération ?
D'identité : Sign-On Scenarios ADFSv2 -
Free/Busy, Calendriers partagésMailtipsSuivi de messagesRecherche multi-balDéplacement de boitesUne URL OWABal d'archive online
Connexion à la bal online avec les login/mot de passe locauxDisponible pour
tous les produits Office 365
“Federated Sharing”Permet aux utilisateurs de collaborer entre organisations via la MFGSpécifique aux
fonction de coexistence riche
d'Exchange Online
MSG205 – Coexistence et Migration vers Exchange Online 19
Coexistence Riche : l'architecture2 Roles obligatoire (pour la coex riche):• BPOS Directory Sync• Exchange 2010 SP1 CAS/Hub*
Exchange 2010 SP1 CAS/Hub
Unified Global Address ListBPOS Directory Sync
Exchange SharingAD FS
Single Sign On
1 Role optionnel• Active Directory Federation Services v2
Mailbox Move
Secure Transport
19
* Un rôle Mbx est nécessaire quand les plages libres/occupées sont stockées dans les dossiers publics
MSG205 – Coexistence et Migration vers Exchange Online 20
Shared Namespace – Core Concepts
DC
On Premises AD Forest
Exchange 2003 FE/BE Server
MX for contoso.com = On Premises
External Recipient([email protected])
Internet
Email from [email protected] to [email protected]
MSG205 – Coexistence et Migration vers Exchange Online 21
Shared Namespace – Core Concepts
MX for service.contoso.com = Exchange Online
DC
On Premises AD Forest
Exchange 2003 FE/BE Server
MX for contoso.com = On Premises
External Recipient([email protected])
Internet
Exchange OnlineEmail from [email protected] to [email protected] Email is forwarded to [email protected]
MSG205 – Coexistence et Migration vers Exchange Online 22
Planifier correctement ses "namespaces"• Federation d'identité
– Les suffixes d'upn need doivent être enregistrés (faire partie d'un domaine fédérés) et donc correspondre à un domaine DNS public
• Routage de messages et redirection Autodiscover– 1 domaine technique public nécessaire pour router les messages – peut être un sous domaine du domaine primaire– Le nom de domaine du locataire ne peut pas être utilisé (*.onmicrosoft.com)
• Partage Exchange Federé– Un domaine supplémentaire est recommandé pour établir la fédération Exchange entre l'org
local et la Microsoft Federation Gateway– Par exemple exchangesharing.contoso.com– Ce domaine est appelé dans les outils : “Account Namespace” – Pas besoin d'être dans aucune policy – Les autres domaines (online, onprem) sont ajoutés à la fédération ensuite
• Autodiscover : pour tous les domaines SMTP
22
MSG205 – Coexistence et Migration vers Exchange Online 23
Certificats
• Certificat de fédération exchange (Exchange Federated Trust)– N'importe quel certificat y compris auto-signé– Le wizard de création de la fédération gère la propagation vers tous
les CAS• Certificat Autodiscover
– Le certificat doit porter le nom autodiscover du domain SMTP primaire (en plus du point d'accès OWA, EWS, RPC/HTTP …)
– L'autodiscover DOIT pointer sur un CAS 2010SP1
23
MSG205 – Coexistence et Migration vers Exchange Online 24
Exemple
Nom Certif ? Usage
moi.com Non Nom SMTP primaire de mon organisation, et suffixe UPN de mes comptes fédérés
autodiscover.moi.com Oui (SAN), Public
Permet la localisation de mon organisation par Online
mail.moi.com Oui (SAN), Public
Point de connexion OWA, EWS …
exchangesharing.moi.com Non Nom de création de la délégation exchange
adfs.moi.com Oui (SAN), Public
Point de connexion à ADFS
moi.onmicrosoft.com Non Nom de mon "tenant" Online
autodiscover.office365.moi.com Non Pointe sur autodiscover.outlook.com, utilisé par les clients Outlook en itinérance et par le CAS local
office365.moi.com Non Nom SMTP de mon organisation
24
MSG205 – Coexistence et Migration vers Exchange Online 26
Migration & Management
26
MSG205 – Coexistence et Migration vers Exchange Online 27
Migration haute fidélitédéplacer effectivement les boites aux lettres• L'administrateur peut utiliser l'interface graphique
locale pour déplacer les boites• Dirsync s'occupe de conserver la cohérence des listes
d'adresses
Exchange 2007
Exchange
2010
Exchange 2010 CAS
Exchange 2003
Mailbox migration
27
MSG205 – Coexistence et Migration vers Exchange Online 28
Migration haute fidélitéDéplacement de boites
• Comme en local– Utiliser l'option "remote
move" de l'EMC (locale)– Une fois la fédération
Exchange en place, aucune information d'identité n'est nécessaire.
28
MSG205 – Coexistence et Migration vers Exchange Online 29
• Un vrai déplacement "online" … avec une boite 2010– l'utilisateur reste connecté jusqu'à la fin du déplacement– Basculement vers la nouvelle boite en fin de migration
• Outlook utilise Autodiscover pour détecter le changement et reconfigurer le profil
• Pas de resynchronization d'OST• Les déplacements sont mis en queue et effectués en temps
utile• La conversion des objets locaux et online (MailUser et
Mailbox) est faite automatiquement en fin de déplacement (mais l'administrateur peut effectuer l'opération en deux temps) 29
Migration haute fidélitéDéplacement de boites
MSG205 – Coexistence et Migration vers Exchange Online 30
• Pourquoi?– Lors de scénario hybrides à long terme– Pour conserver les données de l'utilisateur après son départ
sans payer sa boite
• Comment?– Depuis l'EMC – Déplacement comme un autre (dans l'autre sens)– Si la coexistence riche n'est pas en place => PST via Outlook
ou outil tier.
30
Migration haute fidélitéRetour arrière
MSG205 – Coexistence et Migration vers Exchange Online 31
Administration durant la coexistenceExchange Management Console• Toute l'administration est faite via l'EMC 2010 SP1• Tous les object sont créés dans la partie "locale" de
l'EMC• Les policies doivent être appliquées via la partie
"online" de l'EMC
31
MSG205 – Coexistence et Migration vers Exchange Online 32
Administration durant la coexistenceQu'est ce qui change dans la gestion des objets durant la coexistence• Un nouveau type d'objet : “Remote Mailbox”
– Represente une bal Exchange Online– N'existe qu'en phase de coexistence– Dans une console d'une version précédente, se présente comme un "Mail User"– C'est l'objet qui sera restera après par le déplacement de boite via le MRS
• La target address de cet objet est positionné par rapport au paramètre "online" du remote domain
32
MSG205 – Coexistence et Migration vers Exchange Online 33
Administration durant la coexistencetable de correspondance entre les objets
On Premises Object Exchange Online Recipient
Details
Mail enabled contact ou AD contact (non mail enabled)
Mail enabled contact Les contacts simple ou activés sont synchronisé à l'identique vers online
Mail enabled group (distribution ou security group)
Mail enabled group Les groupes sont synchronisé vers Exchange Online à l'identique
Non mail enabled security group
Pas synchronisés Les groupes non-activés pour la messagerie, ne sont pas synchronisés
33
MSG205 – Coexistence et Migration vers Exchange Online 34
Rich Coexistence Recipient ManagementCross-premises object mapping – Users On Premises Object Exchange Online
RecipientDetails
Mailbox Mailuser If Exchange Online detects the presence of a mailbox then it creates a Mailuser in the cloud
Mailuser Mailuser Synchronized as is
Remote Mailbox Mailbox A mailbox is automatically provisioned with a 30 day license grace period
AD User (non mail enabled)
Not synchronized Non mail enabled users are not synchronized. A “placeholder” object may be visible via PowerShell
Note: Licensing a user that does not have a Mailbox will trigger Exchange Online to provision one. This is to support Simple Coexistence and not required for Rich Coexistence
34
MSG205 – Coexistence et Migration vers Exchange Online 35
Déploiement
Microsoft Confidential 35
MSG205 – Coexistence et Migration vers Exchange Online 36
Mise en place de la Coex richeEtape 1 : Infra
Etape Détails Recommandé ou Obligatoire
Configurer la fédération d'identité
Le serveur ADFS local va permettre l'authentification sur les boites aux lettres online
Recommandé
Synchro d'annuaire (DirSync)
Mini-ILM embarqué qui synchronise les objets de messagerie locaux vers online
Obligatoire pour les move-mailbox
Dirsync Writeback Permet l'écriture des legDN du cloud en X500 on locale pour les scénario de déplacement Cloud->Local
Recommandé
36
MSG205 – Coexistence et Migration vers Exchange Online 37
Etape Détails Recommandé ou Obligatoire
Instaler un serveur E2k10 SP1 server
Fournit les fonctions de coexistence riche Obligatoire
Configurer l'enregistrement DNS Autodiscover pour le Cloud
Permet la redirection des requêtes AutoD émise par un client Outlook local vers le cloud Obligatoire
Publier et activer le MRSProxy
Permet à Exchange Online de se connecter au CAS 2010 pour effectuer les déplacement de boite aux lettres.
Obligatoire
Policies online Créer les policies Online correspondantes aux policy localle (OWA, ActiveSync…) Recommandé
Configurer RBAC Configurer les stratégies RBAC sur le Cloud correspondantes aux stratégies locale. Recommandé
Configurer la fédération Exchange et les relations d'organisations
Permet les fonctions de partage de la coexistence Recommandé
Configurer le routage Permet la préservation des headers de sécurité entre les deux organisations Recommandé
37
Mise en place de la Coex richeEtape 2 : Exchange
MSG205 – Coexistence et Migration vers Exchange Online 38
Configuration AD FS v2
Exchange Online
Microsoft Online Directory Service
MSO ID
AD FSDC https://adfs.contoso.com/adfs/ls/
End User
On Premises AD Forest
MSG205 – Coexistence et Migration vers Exchange Online 39
Exchange Online
Microsoft Online Directory Service
MSO ID
AD FSDC
On Premises AD Forest Company: contoso.onmicrosoft.com
Domains Statuscontoso.com activeservice.contoso.com active
Enregistre les namespace MSO
(1) Lancer les cmd-let PSH de config de Online:• “Add-MsolFederatedDomain –DomainName
“contoso.com”• “Add-MsolFederatedDomain –DomainName
“service.contoso.com”
Company: contoso.onmicrosoft.com
Domains Statuscontoso.com pendingservice.contoso.com pending
(2) Créer les enregistrements qui prouvent la propriété du domaine DNS
ms1234567.contoso.com > ps.microsoftonline.comms8901234.service.contoso.com > ps.microsoftonline.com
(3) Relancer les cmdlets pour ajouter les autres domaines
• “Add-MsolFederatedDomain –DomainName “contoso.com”
• “Add-MsolFederatedDomain –DomainName “service.contoso.com”
*Cela effectue aussi la vérification des domaines
(4) Les domaines se propagent vers MSO ID and Exchange Online
• MSO ID reserve le domaine comme “Féderat锕 MSO ID enregistre le point d'accès ADFS
“https://adfs.contoso.com/adfs/ls/”• Exchange Online crée les domaines en tant
qu'accepted domains Namespace Type Endpoint
contoso.com Federated https://adfs.contoso.com
service.contoso.com Federated https://adfs.contoso.com
Accepted Domain Type
contoso.com Authoritative
service.contoso.com Authoritative
MSG205 – Coexistence et Migration vers Exchange Online 40
Deploy BPOS Directory Sync
Exchange Online
Microsoft Online Directory Service
MSO ID
AD FSDC Dirsync
On Premises AD Forest
(1) Installer Dirsync(2) Lancer l'assistant(3) Déclencher la première synchro
DirSync synchronise les objets suivants:
1. Users2. Contacts3. Groups
Seuls les utilisateurs ont un MSO ID
Si l'UPN a le même suffixe qu'un domaine fédéré alors ces utilisateurs se voient attribués un ID fédéré au nom de l'UPN.
Tous les logons avec ces utilisateurs se font en mode fédération
Users Only
All mail-enabled
objects
Tous les objets de messagerie sont synchronisés vers Exchange Online:
1. Mailuser2. Mailbox3. Mailcontact4. MaildistributionGroup (Inc. security)
MSG205 – Coexistence et Migration vers Exchange Online 41
Pour l'instant le routage…
Exchange Online
MX & AutoD for contoso.com =On PremisesMX & AutoD for service. contoso.com = Exchange Online
MailuserPrimary Smtp Address = [email protected] = [email protected]
MailboxPrimary Smtp Address = [email protected] Smtp Address = [email protected]
On Premises AD Forest
Quand une bal local est synchronisées vers online, sa target address dans Exchange Online est positionnée vers le domaine SMTP primaire (ici contoso.com).
Tous les messages reçus par Online pour ce destinataire sont routés vers l'infra locale
MSG205 – Coexistence et Migration vers Exchange Online 42
Infra avant la coexistence
AD FSDC Dirsync
On Premises AD Forest
Exchange 2003 FE/BE Server
https://mail.contoso.com/exchange
https://mail.contoso.com/rpc
https://mail.contoso.com/Microsoft-Server-ActiveSync
External SMTP Recipient(mailto:[email protected])
Certains services peuvent déjà être exposés sur Internet:
1. SMTP2. Outlook Web Access3. Outlook Anywhere4. Exchange ActiveSync
MSG205 – Coexistence et Migration vers Exchange Online 43
Infra pendant la coexistence
AD FSDC Dirsync
On Premises AD Forest
Exchange 2003 FE/BE
Server
Exchange 2010 CAS/HUB Server
https://mail.contoso.com/rpc
https://mail.outlook.com/ews/
https://autodiscover.contoso.com/autodiscover/autodiscover.xml
https://mail.contoso.com/exchangehttps://mail.contoso.com/owa
https://legacymail.contoso.com/exchange
https://mail.contoso.com/Microsoft-Server-ActiveSync
Une fois 2010 déployé les services suivants doivent être publiés:
1. Autodiscover2. Availability Web
Service3. Exchange Web
Services
Point de publication:1. mail.contoso.com2. autodiscover.contoso.com3. legacymail.contoso.com
Pour accéder à la redirection OWA vers Online la page de logon OWA doit être sur un CAS2010, cela peut réquérir un nouveau point de publication pour les versions précédente
Nouveau certif requis
MSG205 – Coexistence et Migration vers Exchange Online 44
Création de la fédération Exchange
Exchange Online
AD FSDC Dirsync
On Premises AD Forest
Exchange 2003 FE/BE
Server
Exchange 2010 CAS/HUB Server
MSO ID
Microsoft Federation Gateway (MFG)
(2) Créer la relation de confiance en local avec le domaine online: “service.contoso.com”
(3) Créer la relation de confiance avec le domaine local "contoso.com"
(1) Create la fédaration Exchange avec la “MFG” avec un nom unique par exemple exchangesharing.contoso.com La fédération de
Exchange Online avec la MFG est implicite
MSG205 – Coexistence et Migration vers Exchange Online 45
Remote MailboxPrimary Smtp Address = [email protected] Routing Address = [email protected]
MailboxPrimary Smtp Address = [email protected] Smtp Address = [email protected]
MX & AutoD for contoso.com =On PremisesMX & AutoD for service. contoso.com = Exchange Online
External Recipient([email protected])
Internet
Exchange Online
On Premises AD Forest
RoutageD'un domaine externe vers une bal online
MSG205 – Coexistence et Migration vers Exchange Online 46
(1) Where is my mailbox?
(2) Local Exchange passes a redirect to “service.contoso.com”
(3) Outlook attempts to discover endpoint through DNS record “autodiscover.service.contoso.com”
(4) Request Authentication
(6) Profile Builds(5) Authentication Success
AUTODISCOVERGénération du profil Outlook
MSG205 – Coexistence et Migration vers Exchange Online 47
Ajouter Online dans l'EMC
• Une fois que Exchange 2010 SP1 est installé et fédéré, on peut connecter l'organisation Online directement dans l'EMC
47
MSG205 – Coexistence et Migration vers Exchange Online 48
Rich Coexistence SetupFederated Sharing• Most of the cool Rich Coexistence features require federated
sharing be configured between on-premises and the cloud• EMC in Exchange 2010 SP1 has GUI for this.
48
MSG205 – Coexistence et Migration vers Exchange Online 49
Conclusion
• Une migration, même partielle vers Exchange 2010 en local permet une bien meilleure expérience de migration vers le Cloud
• Fédération : plusieurs signification
• La mise en place de la coexistence riche comprends un certain nombre d'étapes, mais tout est une histoire de planning et d'Url.
MSG205 – Coexistence et Migration vers Exchange Online 50
Quizzzzzzzzzz
MSG205 – Coexistence et Migration vers Exchange Online 51
Règles du jeu• Tout le monde debout• Chaque question a deux réponses:
– Mains en l'air– Bras croisés
• Ceux qui se sont trompés s'assoient• Le dernier debout gagne
ChoixA
ChoixB
MSG205 – Coexistence et Migration vers Exchange Online 52
Question 1
Office 365 contient 3 produits
Oui Non
MSG205 – Coexistence et Migration vers Exchange Online 53
Question 2
La fédération Exchange repose sur ADFS v2
Oui Non
MSG205 – Coexistence et Migration vers Exchange Online 54
Question 3
Le fichier OST ne sera pas re-synchronisé après une migration vers Exchange Online
Oui Non
MSG205 – Coexistence et Migration vers Exchange Online 55
Question 4
Le partage de Free/Busy entre Exchange 2003 et Exchange Online utilise:
EWS DAV
MSG205 – Coexistence et Migration vers Exchange Online 56
Question 5
Qu'est ce qui permet de voir le calendrier de l'autre org?
Org Relationship
Sharing policy
MSG205 – Coexistence et Migration vers Exchange Online 57
MSDN et TechNet : l’essentiel des ressources techniques à portée de clic
http://technet.com http://msdn.com
Portail administration et infrastructure pour informaticiens
Portail de ressources technique pour développeurs