Tags: Exchange, Microsoft 365, Collaboration
Freigegebene Postfächer in Exchange und Office 365 müssen nicht lizenziert werden. Das macht sie attraktiv für Anwender, aber es kommt immer wieder zu falschen Annahmen, was ihre Verwendung und Einschränkungen angeht. Dieser Beitrag bespricht die wichtigsten Eigenschaften von Shared Mailboxes.
Der klassische Anwendungsfall für ein freigegebenes Postfachs ist, wenn mehrere Personen an einem Projekt arbeiten und dafür Mails, Kalender und Kontakte gemeinsam verwalten. Dazu erhalten die Mitglieder eines Teams Berechtigungen auf das Postfach.
Wird eine Nachricht versandt, dann kann dies als das Postfach erfolgen. Somit wird auch die Antwort wiederum in dem Postfach landen. Werden die gesendeten und gelöschten Nachrichten durch entsprechende Einstellungen ebenfalls im Postfach gepflegt, dann erhöht dies die Nachvollziehbarkeit von Vorgängen.
Freigegebene Postfächer verfügen über eine oder mehrere eigenständige Mail-Adressen, die auch von extern erreichbar sein können. Typische Beispiele sind info, marketing, sales, service, itsupport etc.
Einschränkungen
- Eine Shared Mailbox besitzt beim regulären Anlegen kein Passwort, somit kann man sich damit weder bei Outlook App oder Outlook Web noch auf Mobilgeräten oder sonstigen Diensten anmelden. Sollte die Mailbox aktiviert und ein Passwort vergeben worden sein, beschreibt Microsoft wie dies wieder rückgängig gemacht werden kann.
- Nur lizenzierte Benutzer haben Zugriff auf freigegebene Postfächer. In der Dokumentation von Microsoft heißt es hierzu:
"Jeder Benutzer, der auf den Exchange Online-Dienst zugreift, muss einem Abonnementplan zugewiesen sein [...] Benutzerabonnements sind für Konferenzräume und freigegebene Postfächer nicht erforderlich. Diese speziellen Postfachtypen verfügen nicht über Anmeldeinformationen. Stattdessen erfolgt die Verwaltung und der Zugriff von lizenzierten Benutzern mit den entsprechenden Berechtigungen über Delegation."
- Eine Shared Mailbox ist nicht für direktes Anmelden vorgesehen. Die Dokumentation von Microsoft sagt dazu das Folgende:
"Ein freigegebenes Postfach ist nicht für direktes Anmelden ausgelegt. Das Benutzerkonto für das freigegebene Postfach selbst sollte im Status Deaktiviert (oder "getrennt") verbleiben."
- 50 GB als maximale Postfachgröße
Erstellen einer Shared Mailbox
Das Erstellen eines freigegebenen Postfachs ist recht einfach und kann über das Administrator-Portal, die ECP oder per PowerShell erfolgen (siehe dazu: Freigegebene Postfächer in Office 365 einrichten). In diesem Artikel konzentriere ich mich auf die weitere Verwendung und Einstellungsmöglichkeiten.
Berechtigungen über das Admin Center vergeben
Da man sich als freigegebene Mailbox nicht anmelden kann, muss Benutzern Zugriff gewährt werden. Dies lässt sich ebenfalls über das Admin Center, das Exchange Control Panel (ECP) oder per PowerShell erledigen.
Zu beachten ist, dass es mehrere Minuten dauert, bis vorgenommene Änderungen effektiv wirken. Bei Exchange Online bittet Microsoft um bis zu 60 Minuten Geduld, bis die neuen Berechtigungen greifen.
Erfolgt die Berechtigungsvergabe via Mitgliederverwaltung im Admin Center, so erhält der Benutzer direkt Vollzugriff auf das Postfach sowie die Erlaubnis, als das dieses senden zu dürfen.
Dazu wählt man unter Gruppen => Freigegebene Postfächer die Mailbox aus und dann Bearbeiten.
Über das Hinzufügen als Mitglieder können Benutzer berechtigt werden. Im folgenden Dialog wählt man die entsprechenden Benutzer aus, fügt sie hinzu und speichert.
Berechtigungen einschränken über das Admin Center
Soll Benutzern der Vollzugriff auf die Mailbox oder das Recht, als diese zu senden, entzogen werden, dann kann dies wieder über die Mitgliederverwaltung erfolgen. Ohne das Recht, als Postfach zu senden, würden Mails im Namen des Benutzers verschickt.
Dazu wechselt man zur gleichen Seite wie oben zum Bearbeiten des Postfachs, folgt hier aber dem Link Berechtigungen anpassen.
Dort kann man nun jede Berechtigung einzeln bearbeiten.
Automatische Einrichtung in Outlook (Automapping)
Bei der Outlook Desktop-App greift nun die Automapping-Funktion. Per Autodiscovery bekommt der berechtigte Benutzer das freigegebene Postfach direkt in Outlook eingetragen. Dies dauert in der Regel einige Minuten. Weder Administrator noch Benutzer müssen also tätig werden, um die Shared Mailbox einzubinden.
Einrichtung in Outlook Webapp
In der Outlook Webapp ist das automatische Einbinden nicht vorgesehen. Das freigegebene Postfach kann man nach dem Öffnen von Ordner über den Befehl Freigegebenen Ordner hinzufügen integrieren.
Aus der nachfolgenden Liste wählt man das gewünschte Postfach aus.
Die Einrichtung schließt man durch Hinzufügen ab.
Einrichtung in iOS Outlook App
Auch in der App für mobile Geräte funktioniert das automatische Zuordnen nicht. Für eine manuelle Einrichtung geht man folgendermaßen vor:
Über das Home Icon führt der Weg zum Einstellungs-Icon links unten und von dort zum Link E-Mail-Konto hinzufügen.
Im nachfolgend angezeigten Dialog führt man den Befehl Freigegebenes Postfach hinzufügen aus.
Funktionsvergleich
In der Outlook Desktop-App stehen bei automatisch zugeordneten Postfächern nicht alle Funktionen zur Verfügung. Getestet habe ich unter Windows 10 Enterprise (1809) mit Outlook 1908 aus Office 365 ProPlus und eingeschalteten Cache-Modus.
Je nach Office-Version und Edition können die Möglichkeiten sich unterscheiden. Ich habe keine Anpassungen der Mailbox per PowerShell oder Outlook Web-App in Betracht gezogen. Folgende Tabelle zeigt, welche Funktionen es abhängig von der Art der Zuordnung gibt.
| Funktion | Zuordnung automatisch | Zuordnung als Konto |
|---|---|---|
| Senden Als | möglich | möglich |
| Antworten | möglich | möglich |
| Gesendete Mail | Nur beim Benutzer | Nur im freigegebenen Postfach |
| Gelöschte Mail | Nur beim Benutzer | Nur im freigegebenen Postfach |
| Signaturzuordnung | nicht möglich | möglich |
| Indizierte Suchfunktion | nicht vorhanden | vorhanden |
| Cache-Mode (OST Datei) | nein | ja |
| Posteingangsregeln | nicht möglich | möglich |
| Automatisches Antworten | nicht möglich | möglich |
Das Verhalten der gesendeten und gelöschten Mails kann man durch Gruppenrichtlinien beeinflussen. Persönlich favorisiere ich es, das Verhalten in der Mailbox selbst zu ändern, entweder im Office 365 Admin Portal oder per PowerShell.
Somit kann man es je nach Anwendungsfall und -dauer bevorzugen, die Postfächer manuell als separates Konto einzubinden. Um Störungen vorzubeugen empfiehlt es sich, erst das automatische Zuordnen (Automapping) auszuschalten. Dies passiert auf Ebene der Benutzerberechtigung, somit kann man je Benutzer unterschiedliche Einstellungen verwenden.
Automatisches Einbinden (Automapping) deaktivieren
Dies kann per PowerShell erfolgen, aber leider nicht über das grafische Web-Interface. Hat der Benutzer bereits eine Berechtigung auf das freigegebene Postfach, so wird diese zuerst entfernt und danach wieder hinzugefügt. Hat er noch keine, so kann man diese per PowerShell direkt vergeben, ohne das automatische Einbinden zu aktivieren.
Remove-MailboxPermission -Identity SharedMailbox-Automap `
-User Benjamin -AccessRights FullAccess
Add-MailboxPermission -Identity SharedMailbox-Automap `
-User Benjamin -AccessRights FullAccess -AutoMapping $false
Add-RecipientPermission -Identity SharedMailbox-Automap `
-Trustee Benjamin -AccessRights SendAs
Eine Möglichkeit, die erst seit kurzem in Exchange Online zur Verfügung steht, ist der Parameter ClearAutomapping im Cmdlet Remove-Mailboxpermission. Der Befehl verkürzt die Prozedur und entfernt die automatische Zuordnung bei allen Usern, die Vollzugriff auf das freigegebene Postfach haben.
Remove-MailboxPermission -Identity SharedMailbox-Automap -ClearAutoMapping
Einrichtung als Konto in Outlook
Das freigegebene Postfach kann nun als separates Konto eingebunden werden. Dazu wählt man im Backstage-Bereich von Outlook "+ Konto hinzufügen".
Anschließend gibt man die Mail-Adresse des freigegebenen Postfachs ein und meldet sich danach mit den Zugangsdaten des berechtigten Benutzers an.
Die Frage, ob man dem Unternehmen erlaubt, das Gerät zu verwalten, beantwortet man mit Ja.
Den Vorgang schließt man mit Klick auf Fertigstellen ab. Nach dem Neustart von Outlook steht das freigegebene Postfach dann voll umfänglich als separates Konto zur Verfügung.
Antworten als
Dem vorherigen Vergleich ist zu entnehmen, dass die Funktion Antworten als zur Verfügung steht, auch wenn das Postfach automatisch zugeordnet wurde. Dies kann über das Von-Feld erfolgen.
Die Mail-Adresse, welche als Konto hinzugefügt wurde, erscheint in der Auswahlliste. Über den Eintrag Weitere E-Mail-Adresse können Postfächer ohne automatische Zuordnung manuell hinzugefügt werden. Dies muss man nur einmal machen.
Fazit
Freigegebene Postfächer sind ein wichtiger Bestandteil von Exchange. Dass sie kostenlos sind, macht sie für viele Unternehmen interessant. Man muss sich aber der generellen Einschränkungen bewusst sein, und auch der Tatsache, dass diese von der Art und Weise der Einbindung abhängen.
Bestehende Benutzerpostfächer lassen sich auch im Nachhinein zu freigegebenen Postfächern umwandeln. Die eigesparten Kosten können in mehr Sicherheit durch eine Threat Protection investiert werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Benjamin Bürk ist Senior Systems Engineer und betreut seit 2002 IT-Infrastrukturen von Unternehmen. Sein Schwerpunkt liegt im Aufbau und Betrieb von Server-Systemen und Microsoft 365-Umgebungen. Er ist ITIL4 Foundation, dreifach als MCSA sowie als MCSE Productivity zertifiziert..
// E-Mail, LinkedIn, Podcast //
Verwandte Beiträge
- Office 2019 und Microsoft 365 (Office 365) im Vergleich: Produkte, Editionen, Lizenzierung, Support
- Freigegebene Postfächer in Office 365 einrichten
- Outlook: Ordner-Reihenfolge in einer Shared Mailbox ändert sich willkürlich
- Was ist Microsoft Loop und welche Funktionen bietet es?
- Plus-Adressen in Exchange Online nutzen
Weitere Links
21 Kommentare
Schöne Zusammenfassung!
Noch ein paar Anmerkungen:
Anmeldung in OWA nicht möglich
Man kann auch per OWA mit einem SharedMailbox arbeiten und sich auch anmelden.
Eine Möglichkeit ist z.B. die Anpassung des Aufrufs über den Browser: z.B. https://owa.domain.com/owa/shared-mailbox@domain.com
Man autentisiert sich dann mit seiner eigenen Kennung (welche ja FullAccess hat) -> Somit ist auch ein exklusives Arbeiten mit Shared Mailboxes per OWA möglich, ohne das eigene Postfach öffnen zu müssen.
Vergleichstabelle
Hier gibt es noch eine Vielzahl weiterer Fallstricke in die man reinlaufen kann.
Ganz plump ausgedrückt:
Standard-User der wirklich keine hohen Ansprüche an Outlook hat = Automapping.
Power-User welcher viele Funktionen innerhalb von Outlook nutzt = KEIN Automapping.
z.B. Die Ansicht der To-Do´s (Aufgabenliste) Es gibt zwar nicht viele in unserer Organisation die das so exzessiv für sich UND mit einem SharedMailbox nutzen, aber wenn diese es benötigen, ists ziemlich blöd, wenn z.B. diese To-Do´s nur für das Persönliche Postfach funktionieren.
Somit erhalten die Anwender keine Erinnerungen im Outlook welche aufpoppen und haben so auch nicht die Möglichkeit über eine zentrale Oberfläche die eigenen Flags als auch die innerhalb des SharedMailbox zu sehen.
Support seitens Microsoft bzgl. mehrfacher Kontobindung Outlook
ggf. hat sich hier etwas geändert. Möglich ist ja vieles. Soweit ich mich richtig erinnere, ist es von Microsoft nach wie vor nicht supported, wenn mehrere Exchange Konten in einem Outlook Profil gepflegt werden!
Ich habe hier selbst schon viel Zeit in die Thematik Outlook/SharedMailbox etc. investiert - das ist nicht ganz so trivial wie es von außen manchmal ausschaut!
Auch der wechsel von Exchange-Online in Exchange-Cached Mode bewirkt so einiges. Durch die vorgeschaltete "E-Mail Spooling" Funktion im CacheMode funktionieren z.B. MassenMails besser als wenn man dies im "Online-Mode" macht.
Nach sehr vielem Kopfzerbrechen und vielem Artikel lesen, bin ich zu dem Entschluss gekommen, dass die "paar wenigen" Poweruser meistens den gedachten Einsatzzweck von Outlook bei weitem sprengen! Ich kann nur jedem raten -> hinterfragt das was Eure Anwender tun genau. Oft ist eine Drittanbieter Lösung einfach die bessere Wahl. Vor allem kann man so "einen" Standard etablieren. Anderenfalls gebe ich Euch den Tipp, von vorneweg gleich eine "Alternativ-Lösung" mit einzuplanen.
Das hat u.a. auch Auswirkungen auf Eure Policies. Sei es technischer als auch organisatorischer Art.
LG und *happy mailing* :-)
Marc
Danke, toller Kommentar!
Hallo Marc,
sehr guter Beitrag - Vielen Dank.
Das deckt sich auch mit meinen Erfahrungen, dass man hier viel Zeit investieren kann. Gerade im Cloudbetrieb muss das festgelegte Konzept ständig nachgezogen werden. Im Handling der Aufgaben und Kalender ändert sich doch öfters etwas.
Die Cache-Funktion nimmt zusätzlich Einfluss auf einige Funktionen. Dies allein würde für einen eigenen Artikel mit Vergleichstabelle reichen.
Viele Grüsse
Benjamin
Dieser Beitrag sollte dringend generalüberholt werden.
Viele der Angaben sind schlichtweg falsch.
Z.B kann sehr wohl ein Freigegebenes Postfach ein Passwort haben (Admin center -> Aktive User -> dem useraccount des freigegebenen Postfachs ein Passwort setzen - dann klappts auch mit der Einbindung in Outlook, auf Macs Thunderbird etc. - selbst ohne Primärkonto. Und dies ist bereits seit mindestens 2019 bereits so. Ich schätze den Einsatz des Beitrags, aber grob die hälfte davon ist entweder falsch, oder massiv veraltet.
Es ist korrekt, dass eine shared Mailbox aktiviert und auch ein Passwort vergeben werden kann. Das ging und geht auch bei lokal betriebenen Exchange Umgebungen.
Ob das jedoch nicht gegen Microsoft Bestimmungen verstösst, wurde hier bereits öfters diskutiert. Bei Microsoft heisst es:
"Jeder Benutzer, der auf den Exchange Online-Dienst zugreift, muss einem Abonnementplan zugewiesen sein..."
"Benutzerabonnements sind für Konferenzräume und freigegebene Postfächer nicht erforderlich. Diese speziellen Postfachtypen verfügen nicht über Anmeldeinformationen. Stattdessen erfolgt die Verwaltung und der Zugriff von lizenzierten Benutzern mit den entsprechenden Berechtigungen über Delegation."
Microsoft beschreibt sogar
das Deaktivieren der Anmeldung für freigegeben Postfächer
In anderen Kommentaren wurde auch auf einen anderen Microsoft Artikel verlinkt, indem es ebenfalls heisst:
"Ein freigegebenes Postfach ist nicht für direktes Anmelden ausgelegt. Das Benutzerkonto für das freigegebene Postfach selbst sollte im Status Deaktiviert (oder "getrennt") verbleiben."
Ein netter HP Techniker sagte mal zu uns
„Leute, nur weil etwas funktioniert, heißt das noch lange nicht dass das supported ist“
:-)
Sehr hilfreich dieser Artikel, vielen Dank.
Nur die Aussage "Eine Shared Mailbox besitzen kein Passwort" ist nicht bzw. muss nicht ganz richtig sein. Wenn man ein neues freigegenenes Postfach anlegt und danach in die Benutzerverwaltung geht, sieht man, dass für dieses Postfach ein entsprechender Benutzer angelegt wurde. Diesen kann man wie jeden anderen Benutzer bearbeiten und hat auch den Punkt "Kennwort zurücksetzen" zur Verfügung. Macht man dieses, dann hat man auch ein Kennwort, das man für das Anmelden nutzen kann. Die Einschränkungen des Postfachs bleiben natürlich weiter bestehen, und es ist auch richtig, dass man unter diesem Zugang die Mailbox nicht einsehen kann. Allerdings kann man dann über diese Mailbox per SMTP durchaus mit Drittprogrammen Emails versenden, was man z.B. nutzen kann, um über solche kostenfreien Postfächer Statusmails von Systemen oder Programmen zu versenden. Ebenso lässt sich der Posteingang mit POP oder IMAP abrufen.
Vielen Dank für den Hinweis!
Der Exchange speichert seine Objekte im AD, daher ist es technisch möglich den User zu aktivieren und auch das Kennwort zu ändern.
Wenn jedoch User mit der Mailbox arbeiten, die selbst keine eigene Lizenz haben, dürfte es bei einer Lizenzprüfung Erklärungsbedarf geben.
Programme und Scanner könnte man z.B. über einen Konnektor (Relay) lösen oder eine günstige Lizenz für einen Adminaccount erwerben.
Bei einer Migration zu Exchange Online können SharedMailboxen mit manuellen Kennwörter zu einem Stolperstein werden.
Siehe die Hinweisbox für On-Prem:
https://docs.microsoft.com/de-de/Exchange/collaboration/shared-mailboxes...
Viele Grüsse
Und genau zu dieser Thematik habe ich gerade eine Support-Anfrage bei Microsoft gestellt. Im Forum von Microsoft wurde nämlich diskutiert, ob dies lizenzrechtlich problematisch ist... Sollte ich eine Antwort erhalten, lasse ich es euch wissen!
Super Übersicht, super Seite. Vielen Dank dafür!
Kleine Anmerkung:
Gesendete und Gelöschte E-Mails können via Registry-Key im gewünschten Postfach landen. Dazu muss der delegatewastebasketstyle / delegatesentitemsstyle angepasst werden.
https://support.microsoft.com/de-de/help/202517/items-that-are-deleted-f...
https://support.microsoft.com/de-de/help/2703723/email-remains-in-the-ou...
Dabei ist nur zu beachten, dass der User auf Rechte auf den geteilten Ordner benötigt (problematisch bei freigegebenen Kalendern!).
Liebe Grüße
"Eine Shared Mailbox besitzen kein Passwort, somit kann man sich damit weder bei Outlook App oder Outlook Web, noch auf Mobilgeräten oder sonstigen Diensten anmelden"
Das stimmt so nicht. Ich kann eine Shared Mailbox, welche auf Exchange Online liegt, in der Mobile App (Android) hinzufügen. In Outlook Web funktioniert sogar Automapping.
Dies ist vermutlich etwas missverständlich ausgedrückt. Es bedeutet dass der User wo auf eine Shared Mailbox zugreift eine eigene Lizenz und Konto benötgt. Es ist nicht gedacht die shared Mailbox z.B. einem Praktikant, Student oder temp. Arbeitskraft zu geben um Lizenzen zu sparen.
Note 2: "To access a shared mailbox, a user must have an Exchange Online license, but the shared mailbox doesn't require a separate license."
https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-...
Eine Shared Mailbox ist zunächst einmal ein Benutzer, i.d.R. ein AD-User, dem im Exchange eine Mailbox zugewiesen wird. Und natürlich hat ein Benutzer auch ein Kennwort. Aber: Mit dem PS-Befehl Set-Mailbox -Identity xxxx -Type Shared mache ich daraus eine Shared Mailbox und deaktiviere diesen Benutzer. Er kann (und darf) sich also nicht mehr anmelden, denn aus einem Subjekt (Benutzer) wird mit diesem Befehl ein Objekt (Shared Mailbox). Subjekte erfordern eine Lizenz, Objekte nicht. Aktiviere ich also wieder das Benutzerkonto, verstosse ich gegen die MS Lizenzbestimmungen.
Vielen Dank für den Kommentar, die Zusammenfassung und gute Darstellung.
Dazu habe ich eine andere Aussage vom MS Support erhalten.
Im fraglichen Fall wurde ein Serviceuser für eine Shared Mailbox genutzt, das Programm erfordert aber, dass das AD-Objekt aktiv bleibt.
Auf Nachfrage beim Support wurde ins versichert, dass das AD Objekt über den genannten PS Befehl deaktiviert wurde, aber wieder aktiviert werden darf, wenn kein "echter" Anwender dahinter steht / alle Anwender (MA) lizenziert sind.
Dies ist nur meine Erfahrung und ich rate dazu im Zweifel den MS Support hinzuzuziehen.
Ist es möglich, dass ausgehende Mails immer als "im Auftrag von" versendet werden? Wir wollen nach außen eine Nachvollziehbarkeit wer aus deinem Gruppenpostfach gesendet hat.
Vielen Dank vorab! :)
Immer „im Auftrag von senden“
Ggf. den Footer der Emails mit einer Signatur der Anwender versehen?
oder
Gesendete Email kategorisieren? Gerade mit Shared Mailboxen sehr schön.
Hilfreicher Artikel. Wie schaffe ich es unter Outlook, wenn ich auf das freigegebene Konto klicke und eine neue Mail erstelle das der Absendername automatisch von diesem Konto übernommen wird. In den Optionen/E-Mail/Nachrichten senden/ ist das Häckchen "verfassen neuer Nachrichten immer das Standardkonto verwenden" schon abgwählt. Momentan wird als Absender immer mein Haupkonto Name genommen das ist bei 4 freigegeben Postfächern lästig immer drauf zu achten das der richtige Absendername genommen wird.
Grüße aus Köln
Hallo Thomas,
freut mich wenn der Artikel helfen konnte. Wenn ich den Posteingang von dem freigegebenen Konto auswähle und dann eine neue Mail erstelle, nimmt er das ausgewählte Postfach. Auch beim Antworten nimmt er automatisch das richtige Postfach. Wie wurden die Postfächer eingebunden? Mit Automapping? Welche Outlook Version kommt zum Einsatz?
Grüsse nach Köln
Hallo Benjamin
Im Einsatz ist ein Exchange Server 2016 CU19 Apr21SU und Office/Outlook 2019 Professional. Die Email Konten werden über den Exchange Server den einzelnen Outlook Clients mittels Postfachstellvertretung zugewiesen (Vollzugrif; Senden Als). Wenn ich das zugewiesene Konto auswähle soll automatisch beim Senden dieses Konto als Absender genommen werden. Das passiert momentan nicht und es wird immer das Hauptkonto genommen.
Gruss aus Kölle
Thomas
In unserer Organisation haben wir auch einige Verteilerlisten (pardon -gruppen). Nun möchte ich eine Shared Mailbox einer Verteilergruppe hinzufügen. Ist das möglich?