Omówienie delegowania w środowisku hybrydowym platformy Microsoft 365

• Dotyczy:

  Exchange Online

Symptomy

Microsoft Exchange Online klienci mają problemy z funkcjonalnością uprawnień Pełny dostęp, Wyślij jako, Wyślij w imieniu i Folder.

Przyczyna

Aby delegowanie hybrydowe platformy Microsoft 365 działało zgodnie z oczekiwaniami, należy spełnić wiele wymagań.

Rozwiązanie

Delegowanie hybrydowe platformy Microsoft 365 wymaga określonej konfiguracji w chmurze i w środowisku lokalna usługa Active Directory Domain Services (AD DS). Na poniższej liście omówiono różne uprawnienia i sposób ich działania we wdrożeniu hybrydowym.

W tym artykule opisano niezbędną konfigurację, szczegóły administracji i znane problemy, które są skojarzone z różnymi rodzajami uprawnień. Jeśli potrzebujesz pomocy od firmy Microsoft w celu zbadania konkretnego problemu, zbierz następujące dane diagnostyczne od użytkownika, który może odtworzyć zachowanie:

• Szczegółowy opis problemu, w tym użytkownicy, których dotyczy problem, oraz komunikat o błędzie, który otrzymują
• Odpowiednie zrzuty ekranu lub dane wyjściowe rejestratora kroków problemu
• Raport konfiguracji z narzędzia Microsoft SaRa Support and Recovery Tool
• Dzienniki rozwiązywania problemów z programem Outlook

Pełny dostęp

• Uprawnienia pełnego dostępu zapewniają dostęp do całej zawartości skrzynki pocztowej.

• Uprawnienia pełnego dostępu są przyznawane przez administratorów tylko przy użyciu programu Exchange Administracja Center lub zdalnego programu PowerShell (Add-MailboxPermission).

• Uprawnienia pełnego dostępu będą współdziałać między lasami razem z klientem programu Outlook dla systemu Windows.

• Wykrywanie automatyczne służy do znajdowania skrzynki pocztowej nawet wtedy, gdy znajduje się w innym lesie (przy użyciu przekierowania adresu docelowego).

• W zależności od sposobu, w jaki użytkownik próbuje uzyskać dostęp do innej skrzynki pocztowej, obowiązują następujące różnice:

  • Dodanie jako dodatkowej skrzynki pocztowej wymaga, aby skrzynka pocztowa w innym lesie była aclable w lesie użytkownika. Aby uzyskać więcej informacji, zobacz Konfigurowanie programu Exchange w celu obsługi delegowanych uprawnień skrzynki pocztowej we wdrożeniu hybrydowym.
  • Automatyczne mapowanie nie będzie działać, dopóki wszystkie powiązane skrzynki pocztowe nie zostaną przeniesione do Exchange Online. Wszystkie skrzynki pocztowe, które odbierają uprawnienia z innej skrzynki pocztowej, muszą zostać przeniesione w tym samym czasie co skrzynka pocztowa udzielana. Jeśli skrzynka pocztowa otrzymuje uprawnienia z wielu skrzynek pocztowych, ta skrzynka pocztowa i wszystkie skrzynki pocztowe udzielające uprawnień do niej muszą zostać przeniesione w tym samym czasie. Aby uzyskać więcej informacji, zobacz Automatyczne mapowanie nie działa zgodnie z oczekiwaniami w środowisku hybrydowym platformy Microsoft 365 i uprawnieniach we wdrożeniach hybrydowych programu Exchange.
  • W niektórych scenariuszach użytkownik będzie widzieć tylko informacje o wolnym/zajętym kalendarzu, do którego ma dodatkowe uprawnienia. Aby uzyskać więcej informacji, zobacz Nie można wyświetlić danych kalendarza między lasami w środowisku hybrydowym platformy Microsoft 365.
  • Użytkownik nie może wysłać w imieniu innego użytkownika po dodaniu skrzynki pocztowej jako konta dodatkowego. Aby uzyskać więcej informacji, zobacz Can't send an email message when Full Access permission is granted to a shared mailbox in Exchange Server (Nie można wysłać wiadomości e-mail po udzieleniu pełnego dostępu do udostępnionej skrzynki pocztowej w Exchange Server).

• Skrzynki pocztowe zasobów mają specjalne możliwości i działają inaczej w niektórych scenariuszach, jeśli znajdują się w innym lesie, w następujący sposób:

  • Nie można dodać skrzynek pocztowych zasobów jako dodatkowych skrzynek pocztowych. Aby uzyskać więcej informacji, zobacz Nie można dodać skrzynki pocztowej pokoju lub zasobu w środowisku hybrydowym platformy Microsoft 365.
  • Klienci nie mogą udzielić uprawnień do skrzynki pocztowej zasobu. Aby uzyskać więcej informacji, zobacz Nie można dodać uprawnień do skrzynki pocztowej pokoju w innym lesie w środowisku hybrydowym platformy Microsoft 365.

• Nowo aprowizowane skrzynki pocztowe w chmurze nie mogą uzyskiwać dostępu do lokalnych skrzynek pocztowych. Aby uzyskać więcej informacji, zobacz Nie można dodać lokalnej skrzynki pocztowej jako dodatkowej skrzynki pocztowej w Exchange Online.

• Nowa zdalna skrzynka pocztowa utworzona bezpośrednio w Exchange Online nie jest dostępna w lokalna usługa Active Directory. Aby uzyskać więcej informacji, zobacz Zdalna skrzynka pocztowa utworzona w lokalnych usługach AD DS nie może być aclable w Exchange Online.

• Klienci nie mogą uzyskać dostępu do ukrytej skrzynki pocztowej w Exchange Online. Aby uzyskać więcej informacji, zobacz Nie można uzyskać dostępu do ukrytej skrzynki pocztowej w programie Outlook po migracji do środowiska hybrydowego platformy Microsoft 365.

Wyślij jako

• Funkcja Wyślij jako działa w wielu scenariuszach, ale nie jest w pełni obsługiwana przez firmę Microsoft zgodnie z opisem w temacie Uprawnienia we wdrożeniach hybrydowych programu Exchange.
• Uprawnienia Wyślij jako umożliwiają wysyłanie poczty z innej skrzynki pocztowej, która włączyła podstawowy adres e-mail obiektu użytkownika poczty.
• Uprawnienia są przyznawane przez administratorów przy użyciu programu Exchange Administracja Center lub zdalnego programu PowerShell (Add-ADPermission w lokalna usługa Active Directory i Add-RecipientPermission w Exchange Online).
• Uprawnienia muszą istnieć w lesie wysyłającego użytkownika. Jeśli na przykład skrzynka pocztowa użytkownika zostanie przeniesiona do Exchange Online, uprawnienia Wyślij jako muszą być wymienione w obiekcie użytkownika poczty, który reprezentuje lokalną skrzynkę pocztową.
• Uprawnienia nie są synchronizowane przez program Microsoft Entra Connect.
• Uprawnienia ustawione w lokalnych usługach AD DS należy dodać ręcznie w Exchange Online, aby uzyskać pełną funkcjonalność. Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące wdrażania hybrydowego programu Exchange.

Dostęp do folderu

• Dostęp do folderów między lasami można uzyskać w wielu scenariuszach, ale nie są one w pełni obsługiwane przez firmę Microsoft zgodnie z opisem w temacie Uprawnienia we wdrożeniach hybrydowych programu Exchange.

• Wykrywanie automatyczne służy do znajdowania skrzynki pocztowej, nawet jeśli znajduje się w innym lesie (przy użyciu przekierowania adresu docelowego).

• Dostęp do folderu może być udzielany przez użytkowników przy użyciu programu Outlook lub przez administratorów przy użyciu polecenia cmdlet remote PowerShell Add-MailboxFolderPermission. Obowiązują następujące warunki:

  • Folder Kalendarz działa inaczej w programie Outlook niż inne foldery. Aby uzyskać więcej informacji, zobacz Nie można wyświetlić danych kalendarza między lasami w środowisku hybrydowym platformy Microsoft 365.
  • Elementy prywatne można wyświetlać tylko wtedy, gdy użytkownik jest poprawnie skonfigurowany jako pełnomocnik. Aby uzyskać więcej informacji, zobacz Delegaty nie są poprawnie wyświetlane w programie Outlook po migracji do środowiska hybrydowego platformy Microsoft 365.
  • Użytkownik nie może wyświetlić kalendarza ukrytej skrzynki pocztowej w Exchange Online. Aby uzyskać więcej informacji, zobacz Nie można uzyskać dostępu do ukrytej skrzynki pocztowej w programie Outlook po migracji do środowiska hybrydowego platformy Microsoft 365.

Wyślij w imieniu

• Wysyłanie w imieniu uprawnień umożliwia wysyłanie poczty w imieniu innego adresu e-mail

• Uprawnienia mogą być udzielane przez użytkowników przy użyciu programu Outlook lub przez administratorów przy użyciu programu Exchange Administracja Center lub zdalnego programu PowerShell (polecenie cmdlet Set-Mailbox).

• Uprawnienia muszą istnieć w lesie wysyłającego użytkownika.

• Domyślnie PublicDelegates atrybut (znany również jako atrybut lokalnego GrantSendOnBehalfTo programu Exchange) jest synchronizowany z Exchange Online przez program Microsoft Entra Connect.

• Aby zsynchronizować PublicDelegates atrybut z lokalnymi usługami AD DS, wymagana jest dodatkowa konfiguracja. Ta konfiguracja wymaga włączenia ustawień wdrożenia hybrydowego programu Exchange w programie Microsoft Entra Connect. Aby uzyskać więcej informacji, zobacz Zapisywanie zwrotne hybrydowe programu Exchange.

• Jeśli ustawienie wdrożenia hybrydowego programu Exchange nie jest włączone, administrator musi ręcznie dodać uprawnienie Wyślij w imieniu za pomocą zdalnego programu PowerShell. W tym celu zapoznaj się z tematemDelegate can't send on behalf of after migration to Microsoft 365 hybrid environment (Delegat nie może wysłać w imieniu użytkownika po migracji do środowiska hybrydowego platformy Microsoft 365).

Delegatów

• Delegatom można przyznać kombinację różnych praw w programie Outlook:

  • Prawa folderu
  • Wysyłanie w imieniu
  • Reguły przekazywania żądań na spotkanie (ukryte reguły)
  • Możliwość wyświetlania elementów prywatnych (kalendarz)

  

• Niektóre z tych praw mogą być widoczne i zarządzane przez administratora (na przykład Folder i Wyślij w imieniu praw). Jednak niektóre z nich są przechowywane tylko w skrzynce pocztowej programu Exchange (na przykład komunikaty związane ze spotkaniami, reguły przekazywania i widoczność elementów prywatnych).

• Podstawowa funkcjonalność działa między lasami przy użyciu programu Outlook dla systemu Windows. Obowiązują następujące warunki:

  • Użytkownicy mogą uzyskiwać dostęp do innych folderów użytkowników (prawa do folderów i pełny dostęp).
  • Użytkownicy mogą wysyłać w imieniu użytkownika z innego lasu.
  • Reguły przekazywania zaproszeń na spotkania zostaną pomyślnie dostarczone.
  • Nowe delegaty można dodać, jeśli użytkownicy istnieją w różnych lasach.

• W Asystencie planowania nie ma żadnych szczegółów ani ograniczonych informacji wolnych/zajętych dla skrzynek pocztowych w innym lesie. Obowiązują następujące warunki:

  • Użytkownicy nie widzą informacji o statusie wolny/zajęty po przeniesieniu skrzynki pocztowej do usługi Microsoft 365
  • Użytkownicy mogą wyświetlać tylko podstawowe informacje o bezpłatnej/zajętej skrzynce pocztowej w lesie zdalnym na platformie Microsoft 365

• Niektóre funkcje nie działają w Outlook Web App (OWA). Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

  • Delegaci nie mogą akceptować zaproszeń na spotkania w usłudze OWA, jeśli menedżer znajduje się w innym lesie podczas współistnienia. Aby uzyskać więcej informacji, zobacz Delegate can't accept meeting request in OWA when manager is in another forest during coexistence (Delegat nie może zaakceptować żądania spotkania w usłudze OWA, gdy menedżer znajduje się w innym lesie podczas współistnienia).
  • Delegaci mogą wyświetlać informacje o wolnym/zajętym miejscu w usłudze OWA tylko wtedy, gdy menedżer znajduje się w innym lesie podczas współistnienia. Aby uzyskać więcej informacji, zobacz Delegate can see only free/busy information in OWA when manager is in another forest during coexistence (Delegat może wyświetlać tylko informacje o wolnych/zajętych danych w usłudze OWA, gdy menedżer znajduje się w innym lesie podczas współistnienia).

• Przepływy pracy między menedżerem a użytkownikami delegowanymi różnią się i mogą wystąpić problemy.

• Zalecamy jak najwięcej przenoszenia menedżera i delegowania użytkowników. Obowiązują następujące warunki:

  • Po przeniesieniu osobno delegaci mogą nie być w stanie wyświetlić elementów kalendarza prywatnego. Aby uzyskać więcej informacji, zobacz Delegaty nie są poprawnie wyświetlane w programie Outlook po migracji do środowiska hybrydowego platformy Microsoft 365.

  • Błędnie skonfigurowani delegaci mogą spowodować nie dostarczenie raportu. Aby uzyskać więcej informacji, zobacz Users receive NDR 5.2.0 when they send meeting invites in Microsoft 365 hybrid environment (Użytkownicy otrzymują protokół NDR 5.2.0 podczas wysyłania zaproszeń na spotkania w środowisku hybrydowym platformy Microsoft 365).

  • Atrybut LegacyExchangeDN obiektów z Exchange Online i lokalnych powinien być zsynchronizowane jako adresy x500 między lasami, aby uniknąć problemów z rozwiązaniem, które wymagają włączenia ustawień wdrożenia hybrydowego programu Exchange w programie AD Connect. Aby uzyskać więcej informacji, zobacz Zapisywanie zwrotne hybrydowe programu Exchange.

  • Jeśli ustawienie wdrożenia hybrydowego programu Exchange nie jest włączone, delegaci mogą zobaczyć raport o braku dostarczania podczas aktualizowania spotkań. Aby uzyskać więcej informacji, zobacz "550 5.1.11 RESOLVER. ADR. ExRecipNotFound", gdy pełnomocnik wysyła aktualizację na spotkanie po przeniesieniu menedżera do środowiska hybrydowego platformy Microsoft 365.

Uwaga

Należy pamiętać, że delegowanie ma również wpływ na udostępnianie kalendarzy zewnętrznych. Aby uzyskać więcej informacji, zobacz Nie można zaakceptować zaproszenia do udostępniania zewnętrznego przy użyciu programu Outlook w środowisku hybrydowym.