Migracion de permisos sobre grupos durante el movimiento de buzones a Office 365
Hola a tod@s!
Durante la migración a Office 365 nos hemos encontrado con distintas situaciones sobre la migración de los permisos sobre los buzones. Un caso muy común son los permisos asginados a grupos. Respecto a los grupos, comentar que los Grupos de Seguridad no se sincronizan de forma automática. Estos grupos qeudarán excluidos en los siguientes casos:
SecurityEnabledGroup objects are filtered if:
•isCriticalSystemObject = TRUE
•mail is present AND DisplayName isn't present
•Group has more than 15,000 immediate members
En el siguiente enlace tenéis más información sobre qué atributos se sincronizan a través de DirSync a Office 365:
Lista de Atributos sincronizados por la herramienta Windows Azure Active Directory Sync
https://blogs.technet.com/b/esexblog/archive/2014/02/08/lista-de-atributos-que-son-sincronizados-por-la-herramienta-windows-azure-active-directory-sync.aspx
Como alternativa podemos aplicar una de las siguientes opciones:
- Asignar una dirección de correo y un displayname
- Habilitar correo para el grupo (mail-enable)
En el primer caso, podemos especificar el campo mail a través de la consola de Usuarios y Equipos de Directorio Activo:
Para fijar el DisplayName necesitaremos utilizar un editor de Directorio Activo como AdsiEdit:
Una vez fijados dichos atributos podemos forzar DirSync o esperar la siguiente sincronización tras la cual el grupo aparece en Office 365:
El problema que nos encontramos con este método es que una vez migremos un buzón sobre el cuál un grupo de seguridad tiene permisos dicho permiso no es migrado pero al tener el grupo ya replicado podremos asignar el permiso nuevamente al grupo, sin necesidad de agregar uno a uno todos los usuarios.
Para la segunda opción, podemos habilitar el correo para el grupo:
How to Mail-Enable a Security Group
https://technet.microsoft.com/en-us/library/bb123805(v=exchg.80).aspx
https://technet.microsoft.com/en-us/library/bb123805(v=exchg.141).aspx
https://technet.microsoft.com/en-us/library/bb123521(v=exchg.150).aspx
Una vez tenemos un mail-enabled Security Group, en la siguiente replicación de DirSync el grupo se replicará a Office 365 y en este caso, cuando movamos buzones sobre los que el grupo tenga permisos el permiso sí se migrará.
También recordar que para que los permisos funcionen correctamente necesitaremos tener todos los buzones, principal y delegados, en la misma plataforma, Exchange Onpremise o Exchange Online:
Cross-premises Calendar editing is unavailable in a hybrid deployment of Exchange Online in Office 365 and on-premises Exchange Server
https://support.microsoft.com/kb/2807149
Esperamos que os sea de utilidad.
Saludos,
Pablo
Comments
- Anonymous
February 02, 2014
Estupendo post, muchos no saben Las condiciones aplicadas sobre objetos a la hora de sincronizar con DirSync :)