Comment et quand désaffecter vos serveurs Exchange locaux dans un déploiement hybride

  • Article

Remarque

Actuellement, si vous conservez un serveur Exchange en cours d’exécution uniquement pour la gestion des destinataires, vous pouvez peut-être arrêter votre dernier serveur Exchange et gérer les destinataires à l’aide de Windows PowerShell. Pour plus d’informations, consultez Gérer les destinataires dans les environnements Exchange hybrides à l’aide des outils de gestion.

Lisez cet article si vous êtes prêt à passer d’un déploiement hybride Exchange à une implémentation cloud complète.

Exchange Server déploiements hybrides décrit l’une des options les plus intéressantes pour amener une entreprise à Exchange Online. Cette méthode est la seule option qui vous permet d’intégrer et de désactiver facilement les boîtes aux lettres (toutes les autres options natives sont à bord uniquement). En plus d'annuler l'intégration, une configuration hybride propose les options clés suivantes.

Cet article vous aide à comprendre les options de désaffectation d’Exchange hybride et à quel moment chacune de ces options doit être implémentée. La désaffectation des serveurs Exchange hybrides peut être effectuée à différents moments et de différentes façons. Il est important de prendre le temps d’en comprendre les tenants et les aboutissants et de planifier correctement la désaffectation complète ou partielle des serveurs locaux.

  • Disponibilité intersite : vous permet de voir les informations de disponibilité d’un utilisateur lors de la planification d’une réunion, quel que soit l’emplacement de sa boîte aux lettres.

  • Archive intersite : permet à un client de déplacer uniquement la boîte aux lettres d’archivage d’un utilisateur vers le cloud. Ce déplacement est souvent la première étape pour les clients d’essayer Microsoft 365 et Office 365, et plus spécifiquement, Exchange Online.

  • Recherches de découverte intersite : permet à un client d’effectuer une recherche de découverte électronique qui analyse les boîtes aux lettres et les archives dans les deux locaux (cette fonctionnalité vous oblige à configurer l’authentification OAuth).

  • Redirection d’URL Outlook Web App : permet aux utilisateurs d’être redirigés vers les locaux appropriés pour l’accès à Outlook Web App.

  • Aucune recréation de profil après le déplacement : contrairement aux autres options de migration, le GUID de boîte aux lettres ne change pas. En d’autres termes, vous n’avez pas besoin de recréer votre profil ou de télécharger à nouveau l’ost après un déplacement de boîte aux lettres.

En fonction des besoins de votre organisation, un déploiement hybride est la meilleure solution pour fournir l’expérience utilisateur et de coexistence la plus transparente possible.

Autres méthodes de migration vers Exchange Online

Un déploiement hybride n’est pas pour tout le monde ; en fait, il existe de meilleures options. La plupart des locataires qui ont choisi de déployer une configuration hybride ont moins de 50 sièges. Bien que la liste des avantages d’un déploiement hybride puisse sembler attrayante, elle s’accompagne d’un prix élevé, en ce qui concerne la complexité. Certains locataires plus petits nécessitent les fonctionnalités d’un déploiement hybride. Toutefois, la plupart des locataires utilisent une option de migration à basculement, intermédiaire ou IMAP. Il existe un programme appelé FastTrack que vous pouvez utiliser pour choisir l’approche de migration à adopter. Les informations sur FastTrack sont décrites dans la page Microsoft 365 FastTrack.

Le tableau suivant vous aide à choisir le type de migration le mieux adapté à votre organisation. (Pour plus d’informations, consultez Méthodes de migration de plusieurs comptes de messagerie vers Microsoft 365 ou Office 365.)

Organisation existante Nombre de boîtes aux lettres à migrer Souhaitez-vous gérer des comptes d'utilisateur dans votre organisation locale ? Type de migration
Exchange 2003 ou version ultérieure Moins de 2 000 boîtes aux lettres Non Migration Exchange à basculement
Exchange 2007 ou Exchange 2003 Moins de 2 000 boîtes aux lettres Non Migration Exchange intermédiaire
Exchange 2007 ou Exchange 2003 Plus de 2 000 boîtes aux lettres* Oui Migration Exchange intermédiaire ou migration à distance dans un déploiement hybride Exchange
Exchange 2010 ou version ultérieure Plus de 2 000 boîtes aux lettres* Oui Migration à distance dans un déploiement hybride Exchange
Exchange 2000 Server ou versions antérieures Pas de maximum Oui Migration IMAP
Système de messagerie local non-Exchange Pas de maximum Oui Migration de IMAP

*Certaines organisations avec moins de 2 000 boîtes aux lettres peuvent tirer parti des fonctions et des fonctionnalités qui ne sont disponibles qu'avec un déploiement hybride. Il est important d’examiner attentivement les avantages d’un déploiement hybride en tenant compte de la complexité qu’il induit. Nous recommandons vivement aux clients avec moins de 2 000 boîtes aux lettres d’envisager une migration intermédiaire ou à basculement avant de procéder à un déploiement hybride.

Raison pour laquelle vous pouvez ne pas souhaiter désaffecter les serveurs Exchange en local

Au bout d'un certain temps, les clients avec une configuration hybride se rendent souvent compte que toutes leurs boîtes aux lettres ont été déplacées vers Exchange Online. À ce stade, ils peuvent décider de supprimer les serveurs Exchange en local. Cependant, ils découvrent qu'ils ne peuvent plus gérer leurs boîtes aux lettres cloud.

Lorsque la synchronisation d’annuaires est activée pour un locataire et qu’un utilisateur est synchronisé à partir d’un emplacement local, vous ne pouvez pas gérer la plupart des attributs à partir de Exchange Online. Au lieu de cela, vous devez gérer ces attributs à partir d’un emplacement local. Cette exigence n’est pas due à la configuration hybride, mais elle se produit en raison de la synchronisation d’annuaires. En outre, même si vous avez une synchronisation d’annuaires en place sans exécuter l’Assistant Configuration hybride, vous ne pouvez toujours pas gérer la plupart des tâches des destinataires à partir du cloud. Pour plus d’informations, consultez cet article de blog.

Des outils de gestion tiers peuvent-ils être utilisés ?

La possibilité d’utiliser un outil de gestion tiers ou ADSIEDIT est une question fréquemment posée. La réponse est que vous pouvez les utiliser, mais elles ne sont pas prises en charge. Le console de gestion Exchange, le Centre d’administration Exchange (EAC) et l’environnement de ligne de commande Exchange Management Shell sont les seuls outils pris en charge qui sont disponibles pour gérer les destinataires et les objets Exchange. Si vous décidez d’utiliser les outils de gestion tiers, cela sera à vos propres risques. Les outils de gestion tiers fonctionnent souvent correctement, mais Microsoft ne les valide pas.

Scénarios courants

Il n’est pas simple de passer d’une configuration hybride au cloud. Le processus d’accès à une configuration hybride est celui que nous avons pris le temps d’obtenir correctement. Bien qu’il y ait des problèmes, nous pensons que nous avons fait un très bon travail pour rendre la tâche presque impossible d’utiliser hybride un processus assez facile basé sur un Assistant.

Toutefois, selon vos objectifs immédiats, passer d’une configuration hybride au cloud uniquement peut être un processus assez simple, avec quelques conseils. Ci-dessous figurent trois scénarios hybrides courants ainsi que nos recommandations pour atteindre correctement l’objectif final du client.

Étant donné que la clientèle hybride est diversifiée, il est difficile d’essayer de les intégrer dans des scénarios « courants ». Nous avons essayé de fournir des scénarios généraux pour la désaffectation Exchange Server locale ci-dessous. Par conséquent, lorsque vous lisez ces scénarios et formulez un plan de désactivation, vous devez déterminer le scénario qui répond le mieux à vos besoins.

Scénario 1

Problème: mon organisation utilise une configuration hybride et toutes mes boîtes aux lettres sont dans Exchange Online. Je n’ai pas besoin de gérer mes utilisateurs localement et n’ai plus besoin de la synchronisation d’annuaires ou de la synchronisation de mot de passe.

Solution : Étant donné que tous les utilisateurs seront gérés dans Microsoft 365 ou Office 365, et qu’il n’existe aucune autre exigence de synchronisation d’annuaires, vous pouvez désactiver la synchronisation d’annuaires en toute sécurité et supprimer Exchange de l’environnement local.

Supprimez Exchange de l’environnement local.

Pour désactiver la synchronisation d’annuaires et désinstaller l’instance d’Exchange hybride

  1. Exécutez et vérifiez Get-OrganizationConfig | Format-List PublicFoldersEnabled qu’il n’est pas défini sur Distant. S’il est défini sur Distant et que vous souhaitez continuer à accéder aux dossiers publics, vous devez les migrer vers Exchange Online. Pour plus d’informations, consultez Utiliser la migration par lots pour migrer des dossiers publics hérités vers Microsoft 365, Office 365 et Exchange Online.

  2. En supposant que vous avez déjà déplacé toutes les boîtes aux lettres vers Exchange Online, vous pouvez pointer les enregistrements DNS de découverte automatique et MX vers Exchange Online, plutôt que vers l'environnement local. Pour plus d’informations, consultez Enregistrements système de noms de domaine externes pour Office 365.

    Importante

    Veillez à mettre à jour les DNS interne et externe, ou vous rencontrerez peut-être un comportement de connectivité client incohérent.

  3. Ensuite, vous devez supprimer les valeurs de point de connexion de service sur vos serveurs Exchange. Cette étape garantit qu’aucun SSP n’est retourné et que le client utilise à la place la méthode DNS pour la découverte automatique. Voici quelques exemples :

    Exchange Server 2010 ou 2013 :

    Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri $Null

    Exchange Server 2016 ou version ultérieure :

    Get-ClientAccessService | Set-ClientAccessService -AutoDiscoverServiceInternalUri $Null

    Remarque

    Si vous avez des serveurs Exchange 2007 dans l’environnement, vous devez exécuter une commande similaire sur vos serveurs Exchange 2007 pour modifier ces paramètres.

  4. Il existe des connecteurs entrants et sortants créés par l’Assistant Configuration hybride que vous souhaitez supprimer. Pour ce faire, procédez comme suit :

    1. Connectez-vous au Centre d'administration Microsoft 365 et connectez-vous en tant qu’administrateur client.

    2. Sélectionnez l’option de gestion d’Exchange.

    3. Accédez à Flux de courrier ->Connecteurs.

    4. Vous pouvez désormais désactiver ou supprimer les connecteurs entrants et sortants. L'Assistant Configuration hybride crée des connecteurs avec l'espace de noms unique Réception depuis <identificateur unique> et Émission vers <identificateur unique> comme indiqué dans l'illustration ci-dessous.

      L’Assistant Configuration hybride crée des connecteurs avec un espace de noms unique.

  5. Supprimez la relation d’organisation créée par l’Assistant Configuration hybride. Pour ce faire, procédez comme suit :

    1. Connectez-vous au Centre d'administration Microsoft 365 et connectez-vous en tant qu’administrateur client.

    2. Sélectionnez l'option de gestion d'Exchange.

    3. Accédez à Organisation.

    4. Sous Partage de l'organisation, supprimez l'organisation nommée O365 vers local - <identificateur unique>, comme indiqué dans l'illustration ci-dessous.

      Supprimez la relation d’organisation créée par l’Assistant Configuration hybride.

  6. Si OAuth est configuré pour un déploiement exchange hybride, désactivez la configuration localement et Microsoft 365 ou Office 365. Dans la plupart des environnements, vous pouvez ignorer ces étapes, car seul un petit nombre de clients ont configuré OAuth.

    Pour désactiver la configuration en local, procédez comme suit :

    1. À partir d’un serveur Exchange, ouvrez l’environnement de ligne de commande Exchange Management Shell.

    2. Exécutez la commande suivante :

      Get-IntraorganizationConnector -Identity ExchangeHybridOnPremisesToOnline | Set-IntraOrganizationConnector -Enabled $False

    Pour désactiver la configuration Exchange Online, procédez comme suit :

    1. Connectez Windows PowerShell à Exchange Online.

    2. Exécutez la commande suivante :

      Get-IntraorganizationConnector -Identity ExchangeHybridOnlineToOnPremises | Set-IntraOrganizationConnector -Enabled $False

    Remarque : le paramètre Identity suppose que vous avez utilisé l’Assistant Configuration hybride pour configurer OAuth. Si ce n’est pas le cas, vous devrez peut-être ajuster la valeur que vous avez spécifiée pour l’identité des connecteurs.

  7. Désactivez la synchronisation d’annuaires pour vos clients. Une fois cette étape terminée, toutes les tâches de gestion des utilisateurs sont effectuées à partir des outils de gestion Microsoft 365 ou Office 365. En d’autres termes, vous n’utiliserez plus le console de gestion Exchange ou le Centre d’administration Exchange (EAC). Pour plus d’informations sur la désactivation de la synchronisation d’annuaires, consultez Désactiver la synchronisation d’annuaires pour Microsoft 365 ou Office 365.

  8. Vous pouvez désormais désinstaller Exchange des serveurs locaux en toute sécurité.

Scénario 2

Problème : Mon organization s’exécute dans une configuration hybride depuis environ un an et a finalement déplacé ma dernière boîte aux lettres vers le cloud. J’envisage de conserver Services ADFS (ADFS) pour l’authentification utilisateur de mes boîtes aux lettres Exchange Online.

Importante

Ce scénario s’applique à tout client qui envisage de conserver la synchronisation d’annuaires et de conserver Exchange Server localement pour gérer ses destinataires à l’aide du Centre Administration Exchange (EAC). Si vous n’avez pas besoin de l’utilisation du Centre d’administration Exchange pour la gestion des destinataires dans votre organization hybride, vous pouvez supprimer la dernière Exchange Server localement, tout en conservant la synchronisation d’annuaires.

Pour plus d’informations, consultez Gérer les destinataires exchange hybrides avec des outils de gestion.

Solution : Étant donné que le client prévoit de conserver AD FS, il doit également conserver la synchronisation d’annuaires, car il s’agit d’un prérequis. Pour cette raison, ils ne peuvent pas supprimer complètement les serveurs Exchange de l’environnement local. Cependant, il peut désaffecter la plupart des serveurs Exchange, mais il en laisse quelques-uns pour la gestion des utilisateurs. Gardez à l’esprit que les serveurs qui restent en cours d’exécution peuvent être exécutés sur des machines virtuelles, car la charge de travail est déplacée vers Exchange Online.

L’illustration ci-dessous décrit l’état final souhaité :

Désactivez les serveurs Exchange avec certains serveurs restants.

L’illustration ci-dessous décrit l’état final réel :

État avant la désaffectation des serveurs Exchange.

Conseil

Si vous choisissez de supprimer ADFS de votre infrastructure, la synchronisation cloud ou Microsoft Entra Connect synchronise vos informations d’identification locales avec le cloud. Chaque service authentifie les utilisateurs indépendamment :

  • Les services d’identité Microsoft 365 gèrent les demandes en ligne.
  • Active Directory gère l’authentification interne.

Si vous n’avez aucune boîte aux lettres locale, vous pouvez désactiver en toute sécurité la plupart de vos serveurs Exchange, en laissant un ou plusieurs serveurs à des fins de gestion des utilisateurs, car la source d’autorité est toujours définie comme locale.

Pour conserver ADFS et la synchronisation d’annuaires et désaffecter la plupart des serveurs Exchange

  1. Exécutez et vérifiez Get-OrganizationConfig |fl PublicFoldersEnabled qu’il n’est pas défini sur distant. S'il est défini sur À distance et que vous souhaitez continuer à accéder aux dossiers publics, vous devez les migrer vers Exchange Online. Pour plus d’informations sur la procédure à suivre, consultez Utiliser la migration par lots pour migrer des dossiers publics hérités vers Microsoft 365, Office 365 et Exchange Online.

    Importante

    Si la migration de dossiers publics vers Exchange Online n’est pas une option et que vous en avez toujours besoin pour vos utilisateurs, vous ne devez pas aller de l’avant.

  2. Une fois que vous avez déplacé toutes les boîtes aux lettres vers Exchange Online, la première étape de la désaffectation de la plupart de vos serveurs Exchange consiste à pointer les enregistrements DNS MX et de découverte automatique vers Exchange Online plutôt que vers votre organization de messagerie locale. Pour plus d’informations, consultez Enregistrements système de noms de domaine externes pour Office 365.

    Importante

    Veillez à mettre à jour les DNS interne et externe, ou vous rencontrerez peut-être des comportements de connectivité client et de flux de messagerie incohérents.

  3. Ensuite, vous devez supprimer les valeurs de point de connexion de service sur vos serveurs Exchange. Cette étape garantit qu’aucun SSP n’est retourné et que le client utilise à la place la méthode DNS pour la découverte automatique. Voici un exemple :

    Exchange Server 2010 ou 2013 :

    Get-ClientAccessServer | Set-ClientAccessServer -AutoDiscoverServiceInternalUri $Null

    Exchange Server 2016 ou version ultérieure :

    Get-ClientAccessService | Set-ClientAccessService -AutoDiscoverServiceInternalUri $Null

    Remarque

    Si vous avez des serveurs Exchange 2007 dans l’environnement, vous devez exécuter une commande similaire sur vos serveurs Exchange 2007 pour annuler les paramètres

  4. Pour éviter que les objets de configuration hybride soient recréés à l’avenir, vous devez supprimer l’objet de configuration hybride d’Active Directory. Pour ce faire, ouvrez l’environnement Exchange Management Shell et exécutez la commande suivante :

    Remove-HybridConfiguration

  5. Supprimez tous les serveurs Exchange, à l’exception des serveurs que vous conservez pour la gestion et la création des utilisateurs. Deux serveurs devraient suffire pour la gestion des utilisateurs, même si vous devriez pouvoir vous en sortir avec un seul. En outre, il n’est pas nécessaire d’avoir un groupe de disponibilité de base de données ou d’autres options de haute disponibilité.

  6. Si OAuth est configuré pour un déploiement exchange hybride, désactivez la configuration localement et Microsoft 365 ou Office 365. Dans la plupart des environnements, vous pouvez ignorer ces étapes, car seuls quelques clients ont configuré OAuth.

    Pour désactiver la configuration en local, procédez comme suit :

    1. Ouvrez Exchange Management Shell à partir d’un serveur Exchange.

    2. Exécutez la commande suivante :

      Get-IntraorganizationConnector -Identity ExchangeHybridOnPremisesToOnline | Set-IntraOrganizationConnector -Enabled $False

    Pour désactiver la configuration Exchange Online, procédez comme suit :

    1. Connectez Windows PowerShell à Exchange Online.

    2. Exécutez la commande suivante :

      Get-IntraorganizationConnector -Identity ExchangeHybridOnlineToOnPremises | Set-IntraOrganizationConnector -Enabled $False

    Remarque : le paramètre Identity suppose que vous avez utilisé l’Assistant Configuration hybride pour configurer OAuth. Si ce n’est pas le cas, vous devrez peut-être ajuster la valeur que vous avez spécifiée pour l’identité des connecteurs.

  7. Il existe des connecteurs entrants et sortants créés par l’Assistant Configuration hybride que vous devez supprimer. Pour ce faire, procédez comme suit :

    1. Connectez-vous au Centre d'administration Microsoft 365 et connectez-vous en tant qu’administrateur client.

    2. Sélectionnez l’option de gestion d’Exchange.

    3. Accédez à Flux de courrier ->Connecteurs.

    4. Vous pouvez désormais désactiver ou supprimer les connecteurs entrants et sortants. L'Assistant Configuration hybride crée des connecteurs avec l'espace de noms unique Réception depuis <identificateur unique> et Émission vers <identificateur unique> comme indiqué dans l'illustration ci-dessous.

      L’Assistant Configuration hybride crée des connecteurs avec un espace de noms unique.

  8. Supprimez la relation d’organisation créée par l’Assistant Configuration hybride. Pour ce faire, procédez comme suit :

    1. Connectez-vous au Centre d'administration Microsoft 365 et connectez-vous en tant qu’administrateur client.

    2. Sélectionnez l’option de gestion d’Exchange.

    3. Accédez à Organisation.

    4. Sous Partage de l'organisation, supprimez l'organisation nommée O365 vers local - <identificateur unique>, comme indiqué dans l'illustration ci-dessous.

      Supprimez la relation d’organisation créée par l’Assistant Configuration hybride.

Remarque

Il est recommandé de laisser la fonctionnalité de déploiement hybride Exchange activée dans la synchronisation cloud ou Microsoft Entra Connect.

Scénario 3

Problème : je souhaite supprimer mes serveurs Exchange locaux après avoir déplacé toutes mes boîtes aux lettres vers Exchange Online. Toutefois, nous avons découvert qu’ils utilisent Exchange à d’autres fins, par exemple pour un relais SMTP (Simple Mail Transfer Protocol) pour une application ou pour l’accès à des dossiers publics. Si vous avez besoin de serveurs Exchange locaux afin de répondre aux besoins actuels de votre organisation, il n'est peut-être pas dans votre intérêt de supprimer les serveurs locaux.

Solution: Nous vous déconseillons de supprimer Exchange et la configuration hybride à ce stade. Si vous deviez démarrer le processus en pointant les enregistrements de découverte automatique vers Exchange Online, vous interrompriez immédiatement certaines fonctionnalités comme l'accès aux dossiers publics hybrides. Vous pouvez modifier l’enregistrement MX pour qu’il pointe vers Exchange Online Protection s’il ne l’est pas déjà, vous pouvez même supprimer certains des serveurs Exchange locaux. Toutefois, vous devriez en conserver suffisamment en place pour gérer les fonctions hybride restantes. En règle générale, cette action entraîne une petite empreinte locale. Les services et fonctionnalités Exchange uniquement, tels que les dossiers publics, vous obligent à gérer vos serveurs Exchange locaux ou à migrer ces services vers Exchange Online. Pour les scénarios un et deux, si vous conservez la synchronisation des identités à partir d’Active Directory, vous devez continuer à gérer au moins un serveur Exchange local.