Introducción a la delegación en un entorno híbrido de Microsoft 365

• Se aplica a:

  Exchange Online

Síntomas

Microsoft Exchange Online los clientes tienen problemas en la funcionalidad de sus permisos Acceso completo, Enviar como, Enviar en nombre de y Carpeta.

Causa

Para que la delegación híbrida de Microsoft 365 funcione según lo previsto, se deben cumplir varios requisitos.

Solución

La delegación híbrida de Microsoft 365 requiere una configuración específica en la nube y en el entorno de Active Directory local Servicios de dominio (AD DS). En la lista siguiente se describen los distintos permisos y cómo funcionan en una implementación híbrida.

En este artículo se describen la configuración necesaria, los detalles de administración y los problemas conocidos asociados a diferentes tipos de permisos. Si necesita ayuda de Microsoft para investigar un problema específico, recopile los siguientes datos de diagnóstico de un usuario que pueda reproducir el comportamiento:

• Descripción detallada del problema, incluidos los usuarios afectados y el mensaje de error que reciben
• Capturas de pantalla pertinentes o salida de la grabadora de pasos del problema
• Un informe de configuración de microsoft SaRa Support and Recovery Tool
• Registros de solución de problemas de Outlook

Acceso completo

• Los permisos de acceso completo proporcionan acceso a todo el contenido del buzón.

• Los permisos de acceso completo los conceden los administradores solo mediante Exchange Administración Center o PowerShell remoto (Add-MailboxPermission).

• Los permisos de acceso completo funcionarán entre bosques junto con el cliente de Outlook para Windows.

• La detección automática se usa para buscar el buzón incluso cuando está en otro bosque (mediante el redireccionamiento de dirección de destino).

• Se aplican las siguientes diferencias, en función de cómo un usuario intente acceder a otro buzón:

  • Agregar como buzón adicional requiere que un buzón de otro bosque sea ACLable en el bosque del usuario. Para obtener más información, consulte Configuración de Exchange para admitir permisos de buzón delegados en una implementación híbrida.
  • La asignación automática no funcionará hasta que todos los buzones relacionados se muevan a Exchange Online. Los buzones que reciben permisos de otro buzón deben moverse al mismo tiempo que el buzón de concesión. Si un buzón recibe permisos de varios buzones, ese buzón y todos los buzones que le otorgan permisos deben moverse al mismo tiempo. Para obtener más información, consulte Asignación automática no funciona según lo esperado en un entorno híbrido de Microsoft 365 y Permisos en implementaciones híbridas de Exchange.
  • En algunos escenarios, un usuario solo verá información de disponibilidad para un calendario al que tiene permisos adicionales. Para obtener más información, consulte No se pueden ver datos de calendario entre bosques en el entorno híbrido de Microsoft 365.
  • El usuario no puede enviar en nombre de otro usuario después de agregar un buzón como una cuenta adicional. Para obtener más información, vea No se puede enviar un mensaje de correo electrónico cuando se concede el permiso de acceso completo a un buzón compartido en Exchange Server.

• Los buzones de recursos tienen funcionalidades especiales y funcionan de forma diferente en algunos escenarios si están en otro bosque, como se indica a continuación:

  • Los buzones de recursos no se pueden agregar como buzones adicionales. Para obtener más información, consulte No se puede agregar un buzón de sala o recurso en un entorno híbrido de Microsoft 365.
  • Los clientes no pueden conceder permisos a un buzón de recursos. Para obtener más información, consulte No se pueden agregar permisos a un buzón de sala en otro bosque en un entorno híbrido de Microsoft 365.

• Los buzones en la nube recién aprovisionados no pueden acceder a los buzones locales. Para obtener más información, vea No se puede agregar un buzón local como un buzón de correo adicional en Exchange Online.

• Un nuevo buzón remoto que se crea directamente en Exchange Online no se puede usar en Active Directory local. Para obtener más información, vea Un buzón remoto creado en AD DS local no es aclable en Exchange Online.

• Los clientes no pueden acceder a un buzón oculto en Exchange Online. Para obtener más información, consulte No se puede acceder a un buzón oculto en Outlook después de una migración a un entorno híbrido de Microsoft 365.

Enviar como

• Enviar como funciona en muchos escenarios, pero Microsoft no es totalmente compatible, como se describe en Permisos en implementaciones híbridas de Exchange.
• Los permisos Enviar como permiten enviar correo desde otro buzón de correo que habilitó la dirección de correo electrónico principal del objeto de usuario de correo.
• Los administradores conceden permisos mediante exchange Administración Center o PowerShell remoto (Add-ADPermission en Active Directory local y Add-RecipientPermission en Exchange Online).
• Los permisos deben existir en el bosque del usuario remitente. Por ejemplo, si el buzón de un usuario se mueve a Exchange Online, los permisos Enviar como deben aparecer en el objeto de usuario de correo que representa el buzón local.
• Microsoft Entra Connect no sincroniza los permisos.
• Los permisos establecidos en AD DS local deben agregarse manualmente en el Exchange Online para obtener una funcionalidad completa. Para obtener más información, consulte Consideraciones sobre la implementación híbrida de Exchange.

Acceso a carpetas

• Se puede acceder a las carpetas entre bosques en muchos escenarios, pero Microsoft no las admite completamente, como se describe en Permisos en implementaciones híbridas de Exchange.

• La detección automática se usa para buscar el buzón incluso si está en otro bosque (mediante el redireccionamiento de dirección de destino).

• Los usuarios pueden conceder acceso a carpetas mediante Outlook o los administradores mediante el cmdlet de PowerShell remoto Add-MailboxFolderPermission. Se aplican las condiciones siguientes:

  • La carpeta Calendario funciona de forma diferente en Outlook que en otras carpetas. Para obtener más información, consulte No se pueden ver datos de calendario entre bosques en el entorno híbrido de Microsoft 365.
  • Los elementos privados solo se pueden ver si el usuario está configurado correctamente como delegado. Para obtener más información, vea Delegados no aparecen correctamente en Outlook después de una migración a un entorno híbrido de Microsoft 365.
  • El usuario no puede ver el calendario de un buzón oculto en Exchange Online. Para obtener más información, consulte No se puede acceder a un buzón oculto en Outlook después de una migración a un entorno híbrido de Microsoft 365.

Enviar en nombre de

• Enviar en nombre de permisos permite enviar correo en nombre de otra dirección de correo electrónico

• Los usuarios pueden conceder permisos mediante Outlook o los administradores mediante Exchange Administración Center o PowerShell remoto (cmdlet Set-Mailbox).

• Los permisos deben existir en el bosque del usuario remitente.

• De forma predeterminada, el PublicDelegates atributo (también conocido como GrantSendOnBehalfTo atributo en Exchange local) se sincroniza con Exchange Online mediante Microsoft Entra Connect.

• Se requiere una configuración adicional para sincronizar el PublicDelegates atributo con AD DS local. Esta configuración requiere habilitar la configuración de implementación híbrida de Exchange en Microsoft Entra Connect. Para obtener más información, vea Escritura diferida híbrida de Exchange.

• Si la configuración de implementación híbrida de Exchange no está habilitada, un administrador debe agregar manualmente el permiso Enviar en nombre de mediante PowerShell remoto. Para ello, consulteDelegado no puede enviar en nombre de después de la migración al entorno híbrido de Microsoft 365.

Delegados

• A los delegados se les puede conceder una combinación de derechos diferentes en Outlook:

  • Derechos de carpeta
  • Envío en nombre de
  • Reglas de reenvío de solicitudes de reunión (reglas ocultas)
  • La capacidad de ver elementos privados (calendario)

  

• Algunos de estos derechos pueden ser vistos y administrados por un administrador (como Carpeta y Enviar en nombre de los derechos). Sin embargo, algunas solo se almacenan en el buzón de Exchange (como mensajes relacionados con reuniones, reglas de reenvío y visibilidad de elementos privados).

• La funcionalidad básica funciona entre bosques mediante Outlook para Windows. Se aplican las condiciones siguientes:

  • Los usuarios pueden acceder a otras carpetas de usuario (derechos de carpeta y acceso completo).
  • Los usuarios pueden enviar en nombre de un usuario desde otro bosque.
  • Las reglas para reenviar invitaciones a reuniones se entregarán correctamente.
  • Se pueden agregar nuevos delegados si los usuarios existen en bosques diferentes.

• En el Asistente para programación, no se muestran detalles ni información de disponibilidad limitada para los buzones de correo de otro bosque. Se aplican las condiciones siguientes:

  • Los usuarios no pueden ver información de disponibilidad después de mover un buzón a Microsoft 365
  • Los usuarios solo pueden ver información básica de buzón de disponibilidad en un bosque remoto en Microsoft 365

• Algunas funciones no funcionan en Outlook Web App (OWA). Para más información, consulte los siguientes artículos:

  • Los delegados no pueden aceptar invitaciones a reuniones en OWA si el administrador está en otro bosque durante la coexistencia. Para obtener más información, vea Delegado no puede aceptar la solicitud de reunión en OWA cuando el administrador está en otro bosque durante la coexistencia.
  • Los delegados pueden ver información de disponibilidad en OWA solo si el administrador está en otro bosque durante la coexistencia. Para obtener más información, vea Delegado solo puede ver información de disponibilidad en OWA cuando el administrador está en otro bosque durante la coexistencia.

• Los flujos de trabajo entre el administrador y los usuarios delegados difieren y se pueden experimentar problemas.

• Se recomienda mover el administrador y delegar usuarios tanto como sea posible. Se aplican las condiciones siguientes:

  • Cuando se mueven por separado, es posible que los delegados no puedan ver elementos de calendario privados. Para obtener más información, vea Delegados no aparecen correctamente en Outlook después de una migración a un entorno híbrido de Microsoft 365.

  • Los delegados mal configurados pueden dar lugar a un informe de no entrega. Para obtener más información, consulte Los usuarios reciben NDR 5.2.0 cuando envían invitaciones a reuniones en el entorno híbrido de Microsoft 365.

  • El LegacyExchangeDN atributo de los objetos de Exchange Online y local debe sincronizarse como direcciones x500 entre bosques para evitar problemas de resolución que requieren habilitar la configuración de implementación híbrida de Exchange en AD Connect. Para obtener más información, vea Escritura diferida híbrida de Exchange.

  • Si la configuración de implementación híbrida de Exchange no está habilitada, es posible que los delegados vean un informe de no entrega cuando actualicen las reuniones. Para obtener más información, vea "550 5.1.11 RESOLVER. ADR. ExRecipNotFound" cuando el delegado envía la actualización a la reunión después de que el administrador se haya movido al entorno híbrido de Microsoft 365.

Nota:

Tenga en cuenta que la delegación también afecta al uso compartido de calendario externo. Para obtener más información, vea No se puede aceptar una invitación de uso compartido externo mediante Outlook en un entorno híbrido.