Avec Microsoft Exchange Server 2010 SP1, il était possible de mettre en place ce qu’on appelait encore il y a quelques années « une coexistence riche » entre le service de messagerie d’Office 365, Exchange Online.
Exchange 2013 et Office 365 et le mode hybride
Le mode hybride
Cette coexistence dite riche, couramment nommée « le mode hybride », permet ainsi de mettre en place une relation d’organisation entre les deux environnements de messagerie.
Cette relation d’organisation donne la possibilité aux utilisateurs migrés et non migrés de partager des contacts, des calendriers, d’avoir la visibilité des plages de disponibilités (free/busy…) et aux administrateurs le déplacement des boîtes aux lettres vers Exchange Online et inversement de manière quasi-transparente.
Avec le déploiement hybride, sont donc disponibles :
• La coexistence riche des environnements On-Premises et Online.
• Le déplacement des boîtes aux lettres vers et depuis Exchange Online.
• La disponibilité des archives Exchange Online pour des boîtes aux lettres hébergées localement.
• Le routage de mails sécurisés et chiffrés entre les deux environnements.
• L’administration simplifiée des environnements (EAC, Exchange Powershell…).
Prérequis au déploiement hybride avec Exchange Server 2013
Avant de commencer la mise en œuvre et pour réussir son déploiement hybride avec Exchange Server 2013, des prérequis sont à respecter.
(((IMG8016)))
La découverte automatique (Autodiscover)
Le mécanisme de découverte automatique est utilisé par Exchange Online et Microsoft Federation Gateway (MFG) pour interroger le ou les serveurs Microsoft Exchange Server locaux.
Note : Il arrive de voir que des sociétés ne mettent pas en place la découverte automatique, pour des raisons de contrainte réseau, de sécurité…
Pour que la mise en œuvre se passe correctement, il est alors possible de filtrer « la capacité à faire » de l’Autodiscover à des adresses ou plages d’adresses IP des datacenter de Microsoft.
Dans ce cas précis, seuls les « serveurs » de Microsoft Online auront la capacité d’interroger et de se connecter sur l’environnement Exchange On-Premises (local).
Synchronisation
La synchronisation des objets à extension de messagerie (mail-enabled) doit être en place et activée avant de commencer à déployer le mode hybride. L’installation des outils Dirsync, AADConnect et Azure Active Directory Synchronization Services dans l’environnement source est nécessaire.
Authentification
L’authentification est un sujet qui porte à discussion et bien qu’il soit noté sur Internet que la mise en place de l’authentification fédérée, avec ADFS, est un prérequis, un déploiement hybride peut parfaitement fonctionner sans ADFS et une société peut parfaitement opter pour de la synchronisation de mots de passe à l’aide des outils de synchronisation (Dirsync, AADSync…).
Certificats
Afin de sécuriser et de chiffrer les flux entre l’organisation Exchange Server locale et l’organisation Exchange Online, un certificat doit être présent sur les serveurs Exchange Server.
Le certificat doit :
• Etre valide (non expiré).
• Provenir d’une autorité de confiance (reconnue par Microsoft).
• Réseau.
Enfin, pour répondre aux différents flux de connexions et de transport, des ouvertures de ports réseaux sont nécessaires.
La matrice de flux complète et l’essentiel des prérequis peuvent être trouvés à cette adresse.
Nouveautés avec Exchange Server 2013 Depuis Exchange Server 2013, l’assistant de configuration du mode hybride a évolué en même temps que le mode de connexion à la console d’administration (EAC).
Celui-ci est un full web, incluant toutes les étapes de configuration et apporte par exemple une amélioration dans la configuration du transport entre les deux environnements.
Avec l’arrivée du SP1, l’assistant, connu sous le trigramme HCW, s’est une nouvelle fois amélioré apportant :
• L’activation du MRSProxy (nécessaire au déplacement des boîtes aux lettres).
• L’intégration du support du rôle Edge Transport Server 2013.
• La configuration de l’authentification OAuth *.
• Des fichiers de logs beaucoup plus détaillés et explicites aidant grandement aux dépannages.
• La prise en charge du Multi-Foret.
* Présent avec le CU5, il sera le nouveau standard d’authentification pour la fédération entre Office 365 et Exchange On-Premises. En environnement exclusivement Exchange Server 2013, OAuth est utilisé et devient un prérequis aux fonctionnalités suivantes :
− Gestion des enregistrements de messagerie (MRM).
− Découverte électronique locale Exchange.
− Archive local Exchange.
Pour plus d’information sur l’OAuth : cliquez ici.
Rôle du (ou des) serveur(s) hybride(s)
Un serveur « hybride » peut aussi bien être un serveur Exchange Server 2013 SP1 de votre organisation, utilisé pour le transport, la connexion et l’hébergement des boîtes aux lettres utilisateurs, ou un serveur (ou plusieurs) Exchange Server 2013 SP1 dédié(s) à la fonction « hybride ».
Il n’existe pas de rôle hybride dans Exchange Server mais ce serveur bénéficie d’une licence gratuite dite « free hybrid ». Il ne doit servir que de « passerelle » entre l’organisation Exchange Server et Office 365.
Pour bénéficier d’une clé de licence, une procédure est disponible à cette adresse. Pour que cette licence soit valide, ce serveur ne doit pas héberger de boîte aux lettres.
Pourquoi ce serveur et son placement dans l’organisation Exchange Server? Ce serveur permet de déployer le mode hybride pour des organisations Microsoft Exchange Server 2007 ou supérieur.
Son placement est important dans une organisation Exchange Server car il peut aussi servir comme point de terminaison pour la migration de boîtes aux lettres.
(((IMG8015)))
Prenons l’exemple en figure 1, d’une organisation avec 2 centres de données, tous deux Internet-facing, répartis comme suit :
• Paris : Exchange Server 2013 SP1.
• Londres : Exchange Server 2010 SP3.
Le mode hybride est déployé dans l’environnement Exchange Server 2013 SP1 du site de Paris.
Le déplacement d’une boîte aux lettres située à Londres depuis le site de Paris, n’est pas optimal.
Ainsi pour des questions liées à la bande passante, par exemple, l’installation d’un serveur Exchange Server 2013 free hybrid et sa configuration comme point de terminaison (ici migration.monlab.info), permet alors de déplacer la boite aux lettres directement depuis le site de Paris.
Architecture Exchange 2013 SP1 hybride/Office 365
((IMG8017)))
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Les atouts cachés du Bring Your Own Model pour les entreprises
- NIS2 : les entreprises ne peuvent pas respecter la date limite de mise en conformité
- Le Low Code comme solution clé pour la gestion des systèmes Legacy
- Les cybercriminels veulent transformer les blockchains en hébergeurs de contenus malveillants
- À l’ère du numérique, la sécurité est la clé d’un avenir financier innovant