Microsoft 365 混合环境中的委派概述
症状
Microsoft Exchange Online客户在完全访问权限、发送身份、代表发送和文件夹权限的功能方面存在问题。
原因
若要使 Microsoft 365 混合委派按预期工作,必须满足多个要求。
解决方案
Microsoft 365 混合委派需要在云和 本地 Active Directory 域服务 (AD DS) 环境中进行特定配置。 以下列表讨论了不同的权限及其在混合部署中的工作方式。
本文介绍必要的配置、管理详细信息以及与不同类型的权限关联的已知问题。 如果需要 Microsoft 的帮助来调查特定问题,请从可重现行为的用户那里收集以下诊断数据:
- 问题的详细说明,包括受影响的用户和他们收到的错误消息
- 相关屏幕截图或 问题步骤记录器 输出
- Microsoft SaRa 支持和恢复工具的配置报告
- Outlook 故障排除日志
完全访问权限
完全访问权限提供对所有邮箱内容的访问权限。
管理员仅通过使用 Exchange 管理员 Center 或 Remote PowerShell (Add-MailboxPermission) 授予完全访问权限。
完全访问权限将与适用于 Windows 的 Outlook 客户端一起使用跨林。
使用目标地址重定向) ,即使邮箱位于另一个林 (,也使用自动发现来查找邮箱。
以下差异适用,具体取决于用户尝试访问另一个邮箱的方式:
- 添加为附加邮箱要求另一个林中的邮箱在用户林中可 ACL。 有关详细信息,请参阅 配置 Exchange 以支持混合部署中的委派邮箱权限。
- 在所有相关邮箱移动到Exchange Online之前,自动映射将不起作用。 需要与授予邮箱同时移动从另一个邮箱接收权限的任何邮箱。 如果邮箱从多个邮箱接收权限,该邮箱以及向其授予权限的所有邮箱需同时移动。 有关详细信息,请参阅 自动映射在 Microsoft 365 混合环境中无法按预期工作 和 Exchange 混合部署中的权限。
- 在某些情况下,用户将仅看到他们具有其他权限的日历的忙/闲信息。 有关详细信息,请参阅 无法在 Microsoft 365 混合环境中查看跨林日历数据。
- 用户添加邮箱作为其他帐户后,无法代表其他用户发送。 有关详细信息,请参阅在 Exchange Server 中向共享邮箱授予完全访问权限时无法发送电子邮件。
资源邮箱具有特殊功能,如果资源邮箱位于另一个林中,则在某些情况下的工作方式有所不同,如下所示:
- 无法将资源邮箱添加为其他邮箱。 有关详细信息,请参阅 无法在 Microsoft 365 混合环境中添加会议室或资源邮箱。
- 客户无法向资源邮箱授予权限。 有关详细信息,请参阅 无法在 Microsoft 365 混合环境中向另一个林中的会议室邮箱添加权限。
新预配的云邮箱无法访问本地邮箱。 有关详细信息,请参阅无法在 Exchange Online 中添加本地邮箱作为其他邮箱。
直接在 Exchange Online 中创建的新远程邮箱在 本地 Active Directory 中不可 ACL。 有关详细信息,请参阅在本地 AD DS 中创建的远程邮箱在 Exchange Online 中不可 ACL。
客户无法访问Exchange Online中的隐藏邮箱。 有关详细信息,请参阅 迁移到 Microsoft 365 混合环境后无法访问 Outlook 中的隐藏邮箱。
代理发送
- 发送方式在许多情况下有效,但 Microsoft 并不完全支持,如 Exchange 混合部署中的权限中所述。
- “作为发送”权限允许从启用了邮件用户对象主电子邮件地址的另一个邮箱发送邮件。
- 管理员使用 Exchange 管理员 中心或远程 PowerShell (本地 Active Directory 中的 Add-ADPermission 和 Exchange Online) 中的 Add-RecipientPermission 授予权限。
- 权限必须存在于发送用户的林中。 例如,如果用户的邮箱移动到Exchange Online,则必须在代表本地邮箱的邮件用户对象上列出“代理发送”权限。
- Microsoft Entra Connect 不会同步权限。
- 必须在 Exchange Online中手动添加在本地 AD DS 中设置的权限,才能获得完整功能。 有关详细信息,请参阅 Exchange 混合部署注意事项。
文件夹访问
在许多情况下,可以跨林访问文件夹,但 Microsoft 并不完全支持这些文件夹,如 Exchange 混合部署中的权限中所述。
使用目标地址重定向) 来查找邮箱,即使它位于另一个林 (也是如此。
用户可以使用 Outlook 或管理员通过远程 PowerShell cmdlet Add-MailboxFolderPermission 授予文件夹访问权限。 以下情况适用:
- 日历文件夹在 Outlook 中的工作方式与其他文件夹不同。 有关详细信息,请参阅 无法在 Microsoft 365 混合环境中查看跨林日历数据。
- 仅当用户正确配置为代理人时,才能查看专用项。 有关详细信息,请参阅 迁移到 Microsoft 365 混合环境后,代理未在 Outlook 中正确列出。
- 用户无法在 Exchange Online 中查看隐藏邮箱的日历。 有关详细信息,请参阅 迁移到 Microsoft 365 混合环境后无法访问 Outlook 中的隐藏邮箱。
代表发送
“代表发送”权限允许代表另一个电子邮件地址发送邮件
用户可以使用 Outlook 或管理员通过 Exchange 管理员 Center 或 Remote PowerShell (Set-Mailbox cmdlet) 授予权限。
权限必须存在于发送用户的林中。
默认情况下,
PublicDelegates属性 (也称为GrantSendOnBehalfToExchange 本地) 中的 属性通过 Microsoft Entra Connect 同步到Exchange Online。需要其他配置才能将
PublicDelegates属性与本地 AD DS 同步。 此配置需要在 Microsoft Entra Connect 中启用 Exchange 混合部署设置。 有关详细信息,请参阅 Exchange 混合写回。如果未启用 Exchange 混合部署设置,则管理员必须使用远程 PowerShell 手动添加“代表发送”权限。 为此,请参阅在迁移到 Microsoft 365 混合环境后无法代表 代理发送。
代理
可以在 Outlook 中向代理人授予不同权限的组合:
- 文件夹权限
- 代表发送
- 会议请求转发规则 (隐藏规则)
- 查看日历) (私有项目的功能
其中一些权限可由管理员 (查看和管理,例如“文件夹”和“代表权限发送”) 。 但是,某些邮件仅存储在 Exchange 邮箱 (,例如与会议相关的邮件、转发规则和专用项目可见性) 。
基本功能使用 Outlook for Windows 跨林工作。 以下情况适用:
- 用户可以 (文件夹权限和完全访问权限) 访问其他用户文件夹。
- 用户可以代表用户从另一个林发送。
- 转发会议邀请的规则将成功传递。
- 如果用户位于不同的林中,则可以添加新的委托。
在日程安排助理中,不会为另一个林中的邮箱列出任何详细信息或有限的忙/闲信息。 以下情况适用:
某些功能在 Outlook Web App (OWA) 中不起作用。 有关详细信息,请参阅以下文章:
- 如果管理员在共存期间在另一个林中,则代表不能接受 OWA 中的会议邀请。 有关详细信息,请参阅 当管理员在共存期间在另一个林中时,委托不能接受 OWA 中的会议请求。
- 仅当管理器在共存期间位于另一个林中时,代理才能在 OWA 中查看忙/闲信息。 有关详细信息,请参阅 在共存期间,当管理器位于另一个林中时,委托只能查看 OWA 中的忙/闲信息。
经理和委托用户之间的工作流有所不同,并且可能会遇到问题。
建议尽可能多地将经理和委托用户移到一起。 以下情况适用:
单独移动它们时,代理人可能无法看到私人日历项目。 有关详细信息,请参阅 迁移到 Microsoft 365 混合环境后,代理未在 Outlook 中正确列出。
代理配置错误可能会导致未送达报告。 有关详细信息,请参阅 用户在 Microsoft 365 混合环境中发送会议邀请时接收 NDR 5.2.0。
LegacyExchangeDNExchange Online和本地对象的属性应同步为林之间的 x500 地址,以避免需要启用 AD Connect 中的 Exchange 混合部署设置的解决问题。 有关详细信息,请参阅 Exchange 混合写回。如果未启用 Exchange 混合部署设置,代理在更新会议时可能会看到未送达报告。 有关详细信息,请参阅 “550 5.1.11 RESOLVER”。Adr。ExRecipNotFound“当委托在经理移动到 Microsoft 365 混合环境后向会议发送更新时。
注意
请注意,委派也会影响外部日历共享。 有关详细信息,请参阅 无法在混合环境中使用 Outlook 接受外部共享邀请。