Konfigurieren von Exchange für delegierte Postfachberechtigungen in einer Hybridbereitstellung

Delegierte Postfachberechtigungen ermöglichen es jemandem, einen Teil des Postfachs eines anderen Benutzers zu verwalten. Ein allgemeines Beispiel hierfür stellen Verwaltungsassistenten dar, die das Postfach und den Kalender einer Führungskraft verwalten müssen. Hybridbereitstellungen zwischen einer lokalen Exchange-Organisation und Microsoft 365 oder Office 365 unterstützen die Delegierten Postfachberechtigungen Vollzugriff und Senden im Auftrag. Je nach der installierten Exchange-Version in der lokalen Organisation müssen Sie möglicherweise zusätzliche Konfigurationsschritte ausführen, um delegierte Berechtigungen in einer Hybridbereitstellung zu verwenden. Im Folgenden werden die Versionen von Exchange aufgeführt, die delegierte Postfachberechtigungen in einer Hybridbereitstellung unterstützen, sowie die erforderlichen zusätzlichen Konfigurationsschritte für die jeweilige Version.

  • Exchange 2016: Zusätzliche Konfiguration ist erforderlich.

  • Exchange 2013: Ein unterstütztes kumulatives Exchange 2013-Update (CU) und eine zusätzliche Konfiguration sind erforderlich.

  • Exchange 2010: Wird nicht mehr unterstützt.

Weitere Informationen zu den Voraussetzungen für die Unterstützung von delegierten Berechtigungen in einer Hybridbereitstellung finden Sie unter Permissions in Exchange hybrid deployments.

In den folgenden Abschnitten wird die Konfiguration der lokalen Exchange 2013- und Exchange 2016-Bereitstellungen erläutert, um die Unterstützung für delegierte Postfachberechtigungen zu aktivieren. Bevor Sie diese Schritte ausführen, müssen Sie sicherstellen, dass Sie die neueste Exchange 2013/2016 CU-Version verwenden. Weitere Informationen finden Sie unter Voraussetzungen für die Hybridbereitstellung.

Exchange 2013 und Exchange 2016

Die für die Unterstützung von delegierten Postfachberechtigungen erforderlichen Schritte sind von einigen Faktoren abhängig. Wenn Sie Postfächer nach Microsoft 365 oder Office 365 verschoben haben und zu diesem Zeitpunkt:

Folgende Komponenten waren installiert... Und die ACL-Objektsynchronisierung war in der Organisation... Müssen folgende Voraussetzungen erfüllt sein...
Exchange 2013 mit kumulativem Update 9 oder älter Dieses Feature ist in Exchange 2013 mit kumulativem Update 9 und älter nicht verfügbar. Konfigurieren Sie jedes Postfach manuell für die Unterstützung von Zugriffssteuerungslisten.
Exchange 2013 mit kumulativem Update 10 oder höher Deaktiviert Aktivieren Sie die ACL-Objektsynchronisierung auf Organisationsebene.
Manuelles Aktivieren von ACLs für jedes Postfach, das auf Microsoft 365 oder Office 365 verschoben wurde, bevor die ACLable-Objektsynchronisierung auf Organisationsebene aktiviert wurde.
Für Postfächer, die nach Microsoft 365 oder Office 365 verschoben werden, ist keine zusätzliche Konfiguration erforderlich, nachdem die ACLable-Objektsynchronisierung auf Organisationsebene aktiviert wurde.
Exchange 2013 mit kumulativem Update 10 oder höher Aktiviert Keine zusätzliche Konfiguration erforderlich.
Exchange 2016 Deaktiviert Aktivieren Sie die ACL-Objektsynchronisierung auf Organisationsebene.
Manuelles Aktivieren von ACLs für jedes Postfach, das auf Microsoft 365 oder Office 365 verschoben wurde, bevor die ACLable-Objektsynchronisierung auf Organisationsebene aktiviert wurde.
Für Postfächer, die nach Microsoft 365 oder Office 365 verschoben werden, ist keine zusätzliche Konfiguration erforderlich, nachdem die ACLable-Objektsynchronisierung auf Organisationsebene aktiviert wurde.
Exchange 2016 Aktiviert Keine zusätzliche Konfiguration erforderlich.

Aktivieren der ACL-Objektsynchronisierung

So aktivieren Sie die ACL-Objektsynchronisierung auf Organisationsebene

  1. Installieren Sie die neueste Version von Azure Active Directory Connect (AAD Connect) auf allen AAD Connect-Servern. Dies ist erforderlich, damit AAD Connect die Attribute synchronisieren kann, die zur Unterstützung von Hybridberechtigungen erforderlich sind. Sie können AAD Connect von Microsoft Azure Active Directory Connect herunterladen.

  2. Öffnen Sie die Exchange-Verwaltungsshell auf einem Exchange 2013- oder Exchange 2016-Server, auf dem das neueste verfügbare CU oder das unmittelbar vorherige CU ausgeführt wird.

  3. Führen Sie den folgenden Befehl aus.

    Set-OrganizationConfig -ACLableSyncedObjectEnabled $True
    

Danach werden alle Postfächer, die Sie zu Microsoft 365 oder Office 365 verschieben, ordnungsgemäß so konfiguriert, dass delegierte Postfachberechtigungen unterstützt werden. Wenn Postfächer nach Microsoft 365 oder Office 365 verschoben wurden, bevor Sie diese Schritte ausgeführt haben, müssen Sie ACLs für diese Postfächer mithilfe der Schritte unter Aktivieren von ACLs für Remotepostfächer manuell aktivieren.

Wichtig

ACLs sind für Remotepostfächer, die in Microsoft 365 oder Office 365 erstellt wurden, nicht aktiviert. Wenn Sie ein Remotepostfach in Microsoft 365 oder Office 365 über Exchange lokal erstellen, müssen Sie beim Ausführen von New-RemoteMailbox oder Enable-RemoteMailbox den Parameter ACLableSyncedObjectEnabled verwenden.

Aktivieren von Zugriffssteuerungslisten für Remotepostfächer

Gehen Sie wie folgt vor, um ACLs für Postfächer zu aktivieren, die nach Microsoft 365 oder Office 365 verschoben wurden, bevor die ACLable-Objektsynchronisierung auf Organisationsebene aktiviert wurde.

  1. Öffnen Sie die Exchange-Verwaltungsshell auf einem Exchange 2013- oder Exchange 2016-Server, auf dem das neueste verfügbare CU oder das unmittelbar vorherige CU ausgeführt wird.

  2. Führen Sie den folgenden Befehl aus, um ACLs für ein einzelnes Postfach zu aktivieren:

    Get-AdUser <UserMailbox's Identity> | Set-AdObject -Replace @{msExchRecipientDisplayType=-1073741818}
    
  3. Führen Sie den folgenden Befehl aus, um ACLs für alle Postfächer zu aktivieren, die nach Microsoft 365 oder Office 365 verschoben wurden:

    Get-RemoteMailbox -ResultSize unlimited | where {$_.RecipientTypeDetails -eq "RemoteUserMailbox"} | foreach {Get-AdUser -Identity $_.Guid | Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}}
    
  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Postfächer erfolgreich aktualisiert wurden:

    Get-RemoteMailbox -ResultSize unlimited | ForEach {Get-AdUser -Identity $_.Guid -Properties msExchRecipientDisplayType | Format-Table DistinguishedName,msExchRecipientDisplayType -Auto}
    

Wichtig

Der msExchRecipientDisplayType-Wert -1073741818 sollte nur für Benutzerpostfächer und nicht für Ressourcenpostfächer festgelegt werden.