מבט כולל על הקצאה בסביבה היברידית של Microsoft 365

• חל על:

  Exchange Online

מאפייני הבעיה

Microsoft Exchange Online נתקלים בבעיות בפונקציונליות של הרשאות 'גישה מלאה', 'שלח בתור', 'שלח בשם' ו'תיקיה'.

סיבה

כדי שהקצאה היברידית של Microsoft 365 ת לפעול כצפוי, יש להשלים דרישות מרובות.

פתרון

הקצאה היברידית של Microsoft 365 דורשת תצורה ספציפית בענן ובסביבת Active Directory מקומי Domain Services (AD DS). הרשימה הבאה מתארת את ההרשאות השונות ואת האופן שבו הן פועלות בפריסה משולבת.

מאמר זה מתאר את התצורה הדרושה, פרטי הניהול ובעיות מוכרות המשויכות להרשאות מסוגים שונים. אם אתה זקוק לעזרה מ- Microsoft כדי לחקור בעיה ספציפית, אסוף את נתוני האבחון הבאים ממשתמש שיכול לשחזר את אופן הפעולה:

• תיאור מפורט של הבעיה, כולל המשתמשים המושפעים וההודעות השגיאה שהם מקבלים
• צילומי מסך רלוונטיים או פלט מקליט של שלבי בעיה
• דוח תצורה מכלי התמיכה והשחזור של Microsoft SaRa
• יומני רישום לפתרון בעיות ב- Outlook

גישה מלאה

• הרשאות גישה מלאה מספקות גישה לכל תוכן תיבת הדואר.

• הרשאות גישה מלאה מוענקות על-ידי מנהלי מערכת רק באמצעות Exchange מרכז הניהול Center או PowerShell מרוחק (Add-MailboxPermission).

• הרשאות גישה מלאה יפעלו יחד עם לקוח Outlook עבור Windows בין יערות.

• גילוי אוטומטי משמש לאיתור תיבת הדואר גם כאשר היא ביער אחר (באמצעות הניתוב מחדש של כתובת היעד).

• ההבדלים הבאים חלים, בהתאם לאופן שבו משתמש מנסה לגשת לתיבת דואר אחרת:

  • הוספה כתיבת דואר נוספת דורשת שתיבת דואר ביער אחר תהיה ניתנת ל-ACLable ביער של המשתמש. לקבלת מידע נוסף, ראה קביעת התצורה של Exchange לתמיכה בהרשאות תיבת דואר מוקצות בפריסה היברידית.
  • המיפוי האוטומטי לא יפעל עד שכל תיבות הדואר הקשורות יועברו Exchange Online. יש להעביר את כל תיבות הדואר המקבלות הרשאות מתיבת דואר אחרת בו-זמנית עם הענקת תיבת הדואר. אם תיבת דואר מקבלת הרשאות מתיבות דואר מרובות, יש להעביר את תיבת הדואר ואת כל תיבות הדואר המעניקות לה הרשאות בו-זמנית. לקבלת מידע נוסף, ראה מיפוי אוטומטי אינו פועל כצפוי בסביבה היברידית של Microsoft 365 והרשאות בפריסות היברידיות של Exchange.
  • בתרחישים מסוימים, משתמש רואה רק מידע לגבי מועדים פנויים/לא פנויים עבור לוח שנה שעבורו יש לו הרשאות נוספות. לקבלת מידע נוסף, ראה לא ניתן להציג נתוני לוח שנה בין יערות בסביבה היברידית של Microsoft 365.
  • למשתמש אין אפשרות לשלוח בשם משתמש אחר לאחר הוספת תיבת דואר כחשבון נוסף. לקבלת מידע נוסף, ראה אין אפשרות לשלוח הודעת דואר אלקטרוני כאשר ההרשאה 'גישה מלאה' הוענקה לתיבת דואר משותפת ב- Exchange Server.

• לתיבות דואר של משאבים יש יכולות מיוחדות ולעבוד באופן שונה בתרחישים מסוימים אם הן נמצאות ביער אחר, באופן הבא:

  • לא ניתן להוסיף תיבות דואר של משאבים כתיבות דואר נוספות. לקבלת מידע נוסף, ראה לא ניתן להוסיף תיבת דואר של חדר או משאב בסביבה היברידית של Microsoft 365.
  • לקוחות אינם יכולים להעניק הרשאות לתיבת דואר של משאב. לקבלת מידע נוסף, ראה לא ניתן להוסיף הרשאות לתיבת דואר של חדר ביער אחר בסביבה היברידית של Microsoft 365.

• לתיבות דואר חדשות בענן שהוקצו אין אפשרות לגשת לתיבות דואר מקומיות. לקבלת מידע נוסף, ראה אין אפשרות להוסיף תיבת דואר מקומית כתיבת דואר נוספת ב- Exchange Online.

• תיבת דואר מרוחקת חדשה שנוצרת ישירות ב- Exchange Online אינה ניתנת ל- ACL ב- Active Directory מקומי. לקבלת מידע נוסף, ראה תיבת דואר מרוחקת שנוצרה ב- AD DS מקומי אינה ניתנת ל- ACL ב- Exchange Online.

• לקוחות אינם יכולים לגשת לתיבת דואר מוסתרת Exchange Online. לקבלת מידע נוסף, ראה אין אפשרות לגשת לתיבת דואר מוסתרת ב- Outlook לאחר העברה לסביבה היברידית של Microsoft 365.

שלח כ

• האפשרות שלח בתור פועלת בתרחישים רבים, אך היא אינה נתמכת באופן מלא על-ידי Microsoft כמתואר בהרשאות בפריסות משולבות של Exchange.
• הרשאות 'שלח כ' מאפשרות שליחת דואר מתיבת דואר אחרת שהזמינה את כתובת הדואר האלקטרוני הראשית של אובייקט משתמש הדואר.
• הרשאות מוענקות על-ידי מנהלי מערכת באמצעות Exchange מרכז הניהול Center או PowerShell מרוחק (Add-ADPermission ב- Active Directory מקומי ו- Add-RecipientPermission ב- Exchange Online).
• ההרשאות חייבות להתקיים ביער של המשתמש השולח. לדוגמה, אם תיבת דואר של משתמש מועברת אל Exchange Online, ההרשאות 'שלח כ' חייבות להופיע באובייקט משתמש הדואר המייצג את תיבת הדואר המקומית.
• ההרשאות אינן מסונכרנות על-ידי Microsoft Entra התחבר.
• יש להוסיף הרשאות מוגדרות ב- AD DS מקומי באופן ידני לפונקציונליות Exchange Online פונקציונליות מלאה. לקבלת מידע נוסף, ראה שיקולי פריסה משולבת של Exchange.

גישה לתיקיה

• ניתן לגשת לתיקיות ביער חוצה יערות בתרחישים רבים, אך Microsoft אינה תומכת בהם באופן מלא, כמתואר בהרשאות בפריסות היברידיות של Exchange.

• גילוי אוטומטי משמש לאיתור תיבת הדואר גם אם היא ביער אחר (באמצעות הניתוב מחדש של כתובת היעד).

• משתמשים יכולים להעניק גישה לתיקיות באמצעות Outlook או על-ידי מנהלי מערכת באמצעות ה- cmdlet Remote PowerShell Add-MailboxFolderPermission. התנאים הבאים חלים:

  • התיקיה לוח שנה פועלת באופן שונה ב- Outlook מאשר בתיקיות אחרות. לקבלת מידע נוסף, ראה לא ניתן להציג נתוני לוח שנה בין יערות בסביבה היברידית של Microsoft 365.
  • פריטים פרטיים ניתנים להצגה רק אם תצורת המשתמש נקבעה כראוי כנציג. לקבלת מידע נוסף, ראה נציגים אינם מפורטים כראוי ב- Outlook לאחר העברה לסביבה היברידית של Microsoft 365.
  • למשתמש אין אפשרות להציג את לוח השנה של תיבת דואר מוסתרת Exchange Online. לקבלת מידע נוסף, ראה אין אפשרות לגשת לתיבת דואר מוסתרת ב- Outlook לאחר העברה לסביבה היברידית של Microsoft 365.

שלח בשם

• שליחה בשם הרשאות מאפשרות שליחת דואר בשם כתובת דואר אלקטרוני אחרת

• משתמשים יכולים להעניק הרשאות באמצעות Outlook או על-ידי מנהלי מערכת באמצעות Exchange מרכז הניהול Center או PowerShell מרוחק (Set-Mailbox cmdlet).

• ההרשאות חייבות להתקיים ביער של המשתמש השולח.

• כברירת מחדל, PublicDelegates התכונה (GrantSendOnBehalfToהמכונה גם התכונה ב- Exchange מקומי) מסונכרנת עם Exchange Online-ידי Microsoft Entra Connect.

• נדרשת תצורה נוספת כדי לסנכרן את PublicDelegates התכונה עם AD DS מקומי. תצורה זו מחייבת הפעלה של הגדרות פריסה היברידית של Exchange ב- Microsoft Entra Connect. לקבלת מידע נוסף, ראה כתיבה חוזרת היברידית של Exchange.

• אם הגדרת הפריסה ההיברידית של Exchange אינה זמינה, מנהל המערכת צריך להוסיף את ההרשאה 'שליחה בשם' באופן ידני באמצעות Remote PowerShell. לשם כך, ראה לנציגאין אפשרות לשלוח בשם לאחר ההעברה לסביבה היברידית של Microsoft 365.

נציגים

• נציגים יכולים לקבל שילוב של זכויות שונות ב- Outlook:

  • זכויות תיקיה
  • שליחה בשם
  • כללי העברה של בקשה לפגישה (כללים מוסתרים)
  • היכולת לראות פריטים פרטיים (לוח שנה)

  

• חלק מזכויות אלה ניתן לראות ולנהל על-ידי מנהל מערכת (כגון תיקיה ושליחה בשם זכויות). עם זאת, חלקן מאוחסנות רק בתיבת הדואר של Exchange (כגון הודעות הקשורות לפגישות, כללי העברה וניראות של פריט פרטי).

• פונקציונליות בסיסית פועלת בין יערות באמצעות Outlook עבור Windows. התנאים הבאים חלים:

  • משתמשים יכולים לגשת לתיקיות משתמש אחרות (זכויות תיקיה וגישה מלאה).
  • המשתמשים יכולים לשלוח בשם משתמש מיער אחר.
  • כללים להעברת הזמנות לפגישות יועברו בהצלחה.
  • ניתן להוסיף נציגים חדשים אם משתמשים קיימים ביערות שונים.

• במסייע התזמון, לא מפורטים פרטים או מידע מוגבל לגבי מועדים פנויים/לא פנויים עבור תיבות דואר ביער אחר. התנאים הבאים חלים:

  • משתמשים לא יכולים לראות מידע פנוי/עסוק לאחר העברת תיבת דואר ל-Microsoft 365
  • המשתמשים יכולים לראות רק מידע בסיסי אודות תיבת דואר של מועדים פנויים/לא פנויים ביער מרוחק ב- Microsoft 365

• פונקציונליות מסוימת אינה פועלת ב- Outlook Web App (OWA). לקבלת מידע נוסף, עיין במאמרים הבאים:

  • נציגים אינם יכולים לקבל הזמנות לפגישות ב- OWA אם המנהל נמצא ביער אחר במהלך דו-קיום. לקבלת מידע נוסף, ראה לנציג אין אפשרות לקבל בקשה לפגישה ב- OWA כאשר המנהל נמצא ביער אחר במהלך דו-קיום.
  • נציגים יכולים לראות מידע לגבי מועדים פנויים/לא פנויים ב- OWA רק אם המנהל נמצא ביער אחר במהלך דו-קיום. לקבלת מידע נוסף, ראה הנציג יכול לראות רק מידע לגבי מועדים פנויים/לא פנויים ב- OWA כאשר המנהל נמצא ביער אחר במהלך דו-קיום.

• זרימות עבודה בין המנהל ומשתמשי הנציג שונות, וייתכן שתיתקל בבעיות.

• מומלץ להעביר את המנהל שלך ולהעביר את המשתמשים לנציגים יחד ככל האפשר. התנאים הבאים חלים:

  • כאשר הם מועברים בנפרד, ייתכן שהנציגים לא יוכלו לראות פריטי לוח שנה פרטיים. לקבלת מידע נוסף, ראה נציגים אינם מפורטים כראוי ב- Outlook לאחר העברה לסביבה היברידית של Microsoft 365.

  • נציגים שתצורתם שגויה עלולה לגרום לדוח אי-מסירה. לקבלת מידע נוסף, ראה משתמשים מקבלים NDR 5.2.0 כאשר הם שולחים הזמנות לפגישות בסביבה היברידית של Microsoft 365.

  • התכונה LegacyExchangeDN של אובייקטים מ- Exchange Online בסביבה המקומית צריכה להיות מסונכרנת ככתובות x500 בין יערות כדי להימנע מבעיות פתרון הדורשות הפעלה של הגדרות פריסה היברידית של Exchange ב- AD Connect. לקבלת מידע נוסף, ראה כתיבה חוזרת היברידית של Exchange.

  • אם הגדרת הפריסה ההיברידית של Exchange אינה זמינה, נציגים עשויים לראות דוח אי-מסירה בעת עדכון פגישות. לקבלת מידע נוסף, ראה "550 5.1.11 RESOLVER. זה לא היה כל-כך פשוט. ExRecipNotFound" כאשר הנציג שולח עדכון לפגישה לאחר שהמנהל עבר לסביבה ההיברידית של Microsoft 365.

הערה

שים לב כי הקצאה משפיעה גם על שיתוף לוח שנה חיצוני. לקבלת מידע נוסף, ראה לא ניתן לקבל הזמנה לשיתוף חיצוני באמצעות Outlook בסביבה היברידית.