O grupo de segurança não consegue aceder a uma pasta pública no Exchange Online

• Aplica-se a:

  Exchange Online

Sintomas

Os membros do grupo de segurança não podem aceder a uma pasta pública no Exchange Online, apesar de o grupo de segurança parecer ter os direitos de acesso adequados.

Por exemplo, o cmdlet do PowerShell Get-PublicFolderClientPermission gera o seguinte resultado.

O resultado mostra que Security group1 tem direitos de acesso de PublishingEditor a uma pasta pública. No entanto, se os membros do grupo de segurança tentarem criar, mover ou eliminar uma subpasta na pasta pública, receberão uma mensagem de erro que indica falta de permissões.

Causa

O problema ocorre se o identificador de segurança do objeto do grupo de segurança no ID do Microsoft Entra for alterado após o grupo ter acesso à pasta pública. Se o identificador de segurança for alterado, o grupo de segurança deixará de corresponder à entrada na lista de direitos de acesso da pasta pública. Por conseguinte, embora a entrada do grupo de segurança ainda esteja na lista de direitos de acesso, os membros do grupo de segurança já não podem aceder à pasta pública.

Nota

Para verificar o valor do identificador de segurança de um grupo de segurança, execute os seguintes comandos no PowerShell do Exchange Online:

$permissions = Get-PublicFolderClientPermission -Identity "<public folder>" -User "<security group name>"
$permissions.User.RecipientPrincipal | FL DisplayName, Sid

Ambos os cenários seguintes fazem com que o identificador de segurança mude.

Cenário 1

Passo 1: crie um grupo de segurança no Exchange Server e, em seguida, sincronize do Active Directory no local com o ID do Microsoft Entra. O grupo de segurança com capacidade de correio é apresentado no Exchange Online.

Passo 2: concede ao grupo de segurança no Exchange Online direitos de acesso a uma pasta pública no Exchange Online. Os membros do grupo de segurança podem agora aceder à pasta pública.

Passo 3: elimina o grupo de segurança no local no Active Directory no local.

Passo 4: restaure o grupo de segurança no local no Active Directory no local e, em seguida, ressincronize o Active Directory no local para o Microsoft Entra ID.

Após a conclusão do passo 4, os membros do grupo de segurança já não podem aceder à pasta pública.

Cenário 2

Passo 1: crie um grupo de segurança com capacidade de correio no Exchange Online.

Passo 2: Concede direitos de acesso ao grupo de segurança a uma pasta pública no Exchange Online. Os membros do grupo de segurança podem agora aceder à pasta pública.

Passo 3: Elimine o grupo de segurança.

Passo 4: Crie um novo grupo de segurança com capacidade de correio no Exchange Online que tenha o mesmo nome que o grupo de segurança eliminado.

Após a conclusão do passo 3, os membros do grupo de segurança já não podem aceder à pasta pública. Após a conclusão do passo 4, os membros do grupo de segurança não recuperam o acesso.

Resolução

Para corrigir o problema, siga estes passos para atualizar o grupo de segurança na lista de direitos de acesso da pasta pública:

1. Execute o seguinte cmdlet no PowerShell do Exchange Online para remover os direitos de acesso à pasta pública do grupo de segurança original:

   Remove-PublicFolderClientPermission -Identity "<public folder>" -User "<security group name>"
   

2. Execute o seguinte cmdlet no PowerShell do Exchange Online para adicionar direitos de acesso a pastas públicas para o grupo de segurança restaurado ou novo:

   Add-PublicFolderClientPermission -Identity "<public folder>" -User "<security group name>" -AccessRights "<access rights>"
   

Por exemplo, os cmdlets Do PowerShell Remove-PublicFolderClientPermission e Add-PublicFolderClientPermission geram o seguinte resultado.