Visão geral da delegação em um ambiente híbrido do Microsoft 365

• Aplica-se a:

  Exchange Online

Sintomas

Microsoft Exchange Online clientes têm problemas na funcionalidade de suas permissões De Acesso Completo, Enviar Como, Enviar em Nome e Pasta.

Motivo

Para que a delegação híbrida do Microsoft 365 funcione conforme o esperado, vários requisitos devem ser atendidos.

Resolução

A delegação híbrida do Microsoft 365 requer uma configuração específica na nuvem e no ambiente do AD DS (Active Directory local Domain Services). A lista a seguir discute as diferentes permissões e como elas funcionam em uma implantação híbrida.

Este artigo descreve a configuração necessária, os detalhes da administração e os problemas conhecidos associados a diferentes tipos de permissões. Se você precisar de ajuda da Microsoft para investigar um problema específico, colete os seguintes dados de diagnóstico de um usuário que possa reproduzir o comportamento:

• Descrição detalhada do problema, incluindo os usuários afetados e a mensagem de erro que recebem
• Capturas de tela relevantes ou saída do Gravador de Etapas de Problema
• Um relatório de configuração da Ferramenta de Recuperação e Suporte do Microsoft SaRa
• Logs de solução de problemas do Outlook

Acesso Total

• As permissões de Acesso Completo fornecem acesso a todos os conteúdos da caixa de correio.

• As permissões de Acesso Completo são concedidas apenas pelos administradores usando o Exchange Administração Center ou o Remote PowerShell (Add-MailboxPermission).

• As permissões de Acesso Completo funcionarão entre florestas junto com o cliente do Outlook para Windows.

• A descoberta automática é usada para localizar a caixa de correio mesmo quando ela está em outra floresta (usando o redirecionamento de endereço de destino).

• As seguintes diferenças se aplicam, dependendo de como um usuário tenta acessar outra caixa de correio:

  • Adicionar como uma caixa de correio adicional requer que uma caixa de correio em outra floresta seja ACLable na floresta do usuário. Para obter mais informações, consulte Configurar o Exchange para dar suporte a permissões de caixa de correio delegadas em uma implantação híbrida.
  • O mapeamento automático não funcionará até que todas as caixas de correio relacionadas sejam movidas para Exchange Online. Todas as caixas de correio que recebem permissões de outra caixa de correio precisam ser movidas ao mesmo tempo que a caixa de correio de concessão. Se uma caixa de correio recebe permissões de várias caixas de correio, essa caixa de correio e todas as caixas de correio que concedem permissões a ela deverão ser movidas ao mesmo tempo. Para obter mais informações, confira O mapeamento automático não funciona conforme o esperado em um ambiente híbrido do Microsoft 365 e permissões em implantações híbridas do Exchange.
  • Em alguns cenários, um usuário verá apenas informações gratuitas/ocupadas para um calendário ao qual tenha permissões adicionais. Para obter mais informações, confira Não é possível exibir dados de calendário entre florestas no ambiente híbrido do Microsoft 365.
  • O usuário não pode enviar em nome de outro usuário depois de adicionar uma caixa de correio como uma conta adicional. Para obter mais informações, consulte Não é possível enviar uma mensagem de email quando a permissão de Acesso Completo for concedida a uma caixa de correio compartilhada em Exchange Server.

• As caixas de correio de recursos têm recursos especiais e funcionam de forma diferente em alguns cenários se estiverem em outra floresta, da seguinte maneira:

  • As caixas de correio de recursos não podem ser adicionadas como caixas de correio adicionais. Para obter mais informações, consulte Não é possível adicionar uma caixa de correio Room ou Resource em um ambiente híbrido do Microsoft 365.
  • Os clientes não podem conceder permissões a uma caixa de correio de recursos. Para obter mais informações, consulte Não é possível adicionar permissões a uma caixa de correio de sala em outra floresta em um ambiente híbrido do Microsoft 365.

• As caixas de correio de nuvem recém-provisionadas não podem acessar caixas de correio locais. Para obter mais informações, consulte Não é possível adicionar uma caixa de correio local como uma caixa de correio adicional em Exchange Online.

• Uma nova caixa de correio remota criada diretamente no Exchange Online não é ACLable no Active Directory local. Para obter mais informações, consulte Uma caixa de correio remota criada no AD DS local não é ACLable em Exchange Online.

• Os clientes não podem acessar uma caixa de correio oculta no Exchange Online. Para obter mais informações, confira Não é possível acessar uma caixa de correio oculta no Outlook após uma migração para o ambiente híbrido do Microsoft 365.

Enviar como

• Enviar como funciona em muitos cenários, mas não é totalmente compatível com a Microsoft conforme descrito em Permissões em implantações híbridas do Exchange.
• As permissões Send As permitem que o email seja enviado de outra caixa de correio que habilitou o endereço de email principal do objeto de usuário de email.
• As permissões são concedidas pelos administradores usando o Exchange Administração Center ou o Remote PowerShell (Add-ADPermission em Active Directory local e Add-RecipientPermission em Exchange Online).
• As permissões devem existir na floresta do usuário de envio. Por exemplo, se a caixa de correio de um usuário for movida para Exchange Online, as permissões Enviar como devem ser listadas no objeto de usuário de email que representa a caixa de correio local.
• As permissões não são sincronizadas pelo Microsoft Entra Connect.
• As permissões definidas no AD DS local devem ser adicionadas manualmente no Exchange Online para a funcionalidade completa. Para obter mais informações, confira Considerações de implantação híbrida do Exchange.

Acesso à pasta

• As pastas podem ser acessadas entre florestas em muitos cenários, mas não têm suporte total da Microsoft, conforme descrito em Permissões em implantações híbridas do Exchange.

• A descoberta automática é usada para localizar a caixa de correio, mesmo que esteja em outra floresta (usando o redirecionamento de endereço de destino).

• O acesso à pasta pode ser concedido pelos usuários usando o Outlook ou por administradores usando o cmdlet Do PowerShell Remoto Add-MailboxFolderPermission. A seguintes condições se aplicam:

  • A pasta Calendário funciona de forma diferente no Outlook do que outras pastas. Para obter mais informações, confira Não é possível exibir dados de calendário entre florestas no ambiente híbrido do Microsoft 365.
  • Os itens privados só serão exibidos se o usuário estiver configurado corretamente como um delegado. Para obter mais informações, consulte Delegados não estão listados corretamente no Outlook após uma migração para o ambiente híbrido do Microsoft 365.
  • O usuário não pode exibir o calendário de uma caixa de correio oculta em Exchange Online. Para obter mais informações, confira Não é possível acessar uma caixa de correio oculta no Outlook após uma migração para o ambiente híbrido do Microsoft 365.

Enviar em nome de

• Enviar em nome de permissões permite que o email seja enviado em nome de outro endereço de email

• As permissões podem ser concedidas pelos usuários usando o Outlook ou por administradores usando o Exchange Administração Center ou o Remote PowerShell (cmdlet Set-Mailbox).

• As permissões devem existir na floresta do usuário de envio.

• Por padrão, o PublicDelegates atributo (também conhecido como GrantSendOnBehalfTo atributo no Exchange local) é sincronizado com Exchange Online por Microsoft Entra Connect.

• A configuração adicional é necessária para sincronizar o atributo com o PublicDelegates AD DS local. Essa configuração requer habilitar as configurações de implantação híbrida do Exchange no Microsoft Entra Connect. Para obter mais informações, consulte Writeback híbrido do Exchange.

• Se a configuração de implantação híbrida do Exchange não estiver habilitada, a permissão Enviar em Nome deve ser adicionada manualmente por um administrador usando o PowerShell Remoto. Para fazer isso, consulteDelegado não pode enviar em nome da migração após a migração para o ambiente híbrido do Microsoft 365.

Representantes

• Os delegados podem receber uma combinação de direitos diferentes no Outlook:

  • Direitos de pasta
  • Enviar em nome de
  • Regras de encaminhamento de solicitação de reunião (regras ocultas)
  • A capacidade de ver itens privados (calendário)

  

• Alguns desses direitos podem ser vistos e gerenciados por um administrador (como Pasta e Enviar em Nome dos direitos). No entanto, alguns são armazenados apenas na caixa de correio do Exchange (como mensagens relacionadas à reunião, regras de encaminhamento e visibilidade de item privado).

• A funcionalidade básica funciona entre florestas usando o Outlook para Windows. A seguintes condições se aplicam:

  • Os usuários podem acessar outras pastas de usuário (direitos de pasta e Acesso Completo).
  • Os usuários podem enviar em nome de um usuário de outra floresta.
  • As regras para encaminhar convites de reunião serão entregues com êxito.
  • Novos delegados podem ser adicionados se os usuários existirem em florestas diferentes.

• No Assistente de Agendamento, nenhum detalhe ou informações limitadas gratuitas/ocupadas estão listados para caixas de correio em outra floresta. A seguintes condições se aplicam:

  • Os usuários não podem ver informações de disponibilidade depois que uma caixa de correio é movida para o Microsoft 365
  • Os usuários podem ver apenas informações básicas de caixa de correio gratuita/ocupada em uma floresta remota no Microsoft 365

• Algumas funcionalidades não funcionam em Outlook Web App (OWA). Para saber mais, confira os seguintes artigos:

  • Os delegados não podem aceitar convites de reunião na OWA se o gerente estiver em outra floresta durante a coexistência. Para obter mais informações, consulte Delegado não pode aceitar a solicitação de reunião na OWA quando o gerente estiver em outra floresta durante a coexistência.
  • Os delegados só poderão ver informações gratuitas/ocupadas na OWA se o gerente estiver em outra floresta durante a coexistência. Para obter mais informações, consulte Delegado só pode ver informações gratuitas/ocupadas na OWA quando o gerente estiver em outra floresta durante a coexistência.

• Os fluxos de trabalho entre os usuários do gerenciador e do delegado diferem e os problemas podem ser experimentados.

• Recomendamos mover o gerente e delegar usuários juntos o máximo possível. A seguintes condições se aplicam:

  • Quando eles são movidos separadamente, os delegados podem não ser capazes de ver itens de calendário privados. Para obter mais informações, consulte Delegados não estão listados corretamente no Outlook após uma migração para o ambiente híbrido do Microsoft 365.

  • Delegados mal configurados podem resultar em um relatório de não entrega. Para obter mais informações, consulte Usuários recebem nDR 5.2.0 quando enviam convites de reunião no ambiente híbrido do Microsoft 365.

  • O LegacyExchangeDN atributo de objetos de Exchange Online e locais deve ser sincronizado como endereços x500 entre florestas para evitar problemas de resolução que exigem a habilitação das configurações de implantação híbrida do Exchange no AD Connect. Para obter mais informações, consulte Writeback híbrido do Exchange.

  • Se a configuração de implantação híbrida do Exchange não estiver habilitada, os delegados poderão ver um relatório de não entrega quando atualizarem as reuniões. Para obter mais informações, confira "550 5.1.11 RESOLVER. ADR. ExRecipNotFound" quando o delegado envia a atualização para a reunião depois que o gerente mudou para o ambiente híbrido do Microsoft 365.

Observação

Lembre-se de que a delegação também afeta o compartilhamento de calendário externo. Para obter mais informações, confira Não é possível aceitar um convite de compartilhamento externo usando o Outlook em um ambiente híbrido.