Gesamtstrukturübergreifende Delegierung Fehlerbehebung für Office 365 für/ITAR Kunden (vNext)

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3064053
Problembeschreibung
Microsoft Exchange Online vNext Kunden Probleme mit der Funktionalität "Vollzugriff" Berechtigungen "Senden als" Berechtigungen, und Stellvertretungszugriff für Objekte in einer anderen Umgebung.
Ursache
Für die gesamtstrukturübergreifende Delegierung (einschließlich der Berechtigungen "Senden als" und "Vollzugriff") um erwartungsgemäß, mehrere Anforderungen erfüllt.
Lösung
Gesamtstrukturübergreifende Delegierung erfordert eine spezifische Konfiguration in der Cloud und in der lokalen Active Directory-Domänendienste (AD DS)-Umgebung. Im folgenden werden allgemeine Problembehandlungsszenarien:
  • Delegat-Person
  • Vollständigen Zugriff und Berechtigungen für das freigegebene Postfach "Senden als"

Delegat-Person

Übersicht

In diesem Szenario kann Delegaten bestimmte Ordner im Postfach des Stellvertreters anzeigen. Der Delegat muss auch Berechtigungen "Senden im Auftrag von" Postfach des Stellvertreters. Der Delegat wird das Attribut PublicDelegates hinzugefügt(auch bekannt als das AttributGrantSendOnBehalfToin Microsoft Exchange Server)auf Stellvertreters ist Berechtigungen auf Ordnerebene für den Postfachordner und des Postfachs. Dieses Szenario ist Folgendes erforderlich:

  1. Die Möglichkeit, einen Benutzer aus einer anderen Gesamtstruktur als Stellvertretung hinzuzufügen.

    Objekte für jeden Benutzer müssen in der Cloud und die lokale Umgebung vorhanden sein. Der Benutzer werden einem Postfachobjekt in einer Umgebung und einen e-Mail-aktivierten Benutzer in der Umgebung. Um einen e-Mail-aktivierten Benutzer in einen Delegaten hinzuzufügen, muss der Wert des Attributs MsExchRecipientDisplayType-1073741818festgelegt werden. Dieser Wert stellt das Objekt ACLable. Also können das Objekt um eine Zugriffssteuerungsliste (ACL) hinzugefügt werden. Outlook erkennt dieses Objekts und Objectis, obwohl ein Postfach in Exchange-Umgebung die Person nicht ist als Stellvertretung hinzugefügt.

    Standardmäßig wird dieser Wert in die Cloud konfiguriert. Jedoch muss der Kunde einen Prozess zum Aktualisieren dieser Wert für alle e-Mail-aktivierten Benutzer in ihrer lokalen Exchange-Umgebung (für cloudpostfächer) konfigurieren. Ab Microsoft Exchange Server 2013 CU10 (lokale Exchange-Installation) alle e-Mail-Benutzer wird das entsprechendeMsExchRecipientDisplayType -Attribut festgelegt.

    Ältere vNext nach Kunden

    Nachrichten werden in den älteren dedizierte ACLable. Einzelne e-Mail-Benutzer in vNext Wunsch manuell aktualisiert werden. Weitere Informationen finden Sie unterKB 3187967 kann nicht einem anderen Postfach in Outlook nach der Migration zu Office 365 dedizierte/ITAR (vNext) hinzufügen.

    Exchange 2010 und Exchange 2013 (vor Version CU10)

    Benutzer können Bereitstellung Skripts oder Prozesse jedes neu eingerichtete remote Postfach als ACLable konfigurieren. Der Bereitstellungsprozesse sollte ein Cmdlet, das dem folgenden Beispiel ähnelt integriert. Dieses Cmdlet ausführen lokalen AD DS für dasRemoteMailbox-Objekt. Dieses Objekt ist deshalb als Mail-Benutzerobjekt dargestellt.

    Beispiel:
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    Exchange 2013 CU10

    Wenn Exchange Server 2013 CU10 veröffentlicht wird, finden Sie neue Funktionen, die einen Administrator Ausführen eine organisatorische Änderung um synchronisiert Objekte als ACLable in Outlook festlegen können. Danach werden Aufrufe über Postfach Replication Service (FRAU) sind lokale MEUs ACLable aktivieren.
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. Der Zugriff auf das Postfach Ordner gesamtstrukturübergreifende in Outlook.

    Diese Funktion ist für Clients mit Office Outlook 2007 SP1 oder höher.

  3. Die Möglichkeit für den Delegaten für das dazugehörende senden.

    Die Berechtigung "Senden im Auftrag von" existiert in der Umgebung, die das dazugehörende Postfach hostet, wenn der Delegat in Outlook hinzugefügt wird. Diese Berechtigung ist als Attribut PublicDelegatesbefindet sich in einer Umgebung mit einer anderen Umgebung mit Azure AD Sync (AAD Sync) synchronisiert. Der Name des Attributs in Exchange istGrantSendOnBehalfTo.

    Standardmäßig ist der Wert dieses Attributs aus der lokalen Umgebung in die Cloud synchronisiert. Jedoch synchronisiert nicht der Wert aus der Cloud in die lokale Umgebung. Kunden muss AAD Sync dieser Attributfluss auch manuelle Transformationen erstellen. Diese Transformationen müssen Kunden ihre AAD Sync-Installation konfiguriert werden.

    • Eingehende neu synchronisieren von Cloud AD in lokalen Metaverse fließen:
      Wechselkurs des Flusstyps = Direct
      Target-Attribut PublicDelegates =
      Quelle = CloudPublicDelegates
    • Ausgehende Sync Datenfluss aus dem lokalen Metaverse lokalen AD:
      Wechselkurs des Flusstyps = Direct
      Target-Attribut PublicDelegates =
      Quelle = PublicDelegates

    Dies bedeutet, dass ein Delegat Postfach in der Cloud Die dazugehörende entfernt, und dann die Änderung der lokalen Umgebung von AAD Sync synchronisiert ist.

    Hinweis Standardmäßig fließt zukünftige Versionen des AADConnect dieses Attribut nach unten von Azure AD.

Feature-Aufgaben

Für den Kunden:

  • AAD Sync überträgt das Attribut PublicDelegates manuell aus der Cloud in lokalen Azure AD.
  • E-Mail-aktivierte Benutzer im lokalen AD muss legen den Wert des Attributs MsExchRecipientDisplayType auf -1073741818 (Dies ist der Standardwert in Exchange 2013 CU9 oder höher). Daher sind ACLable.
Microsoft:

  • Synchronisieren von Azure AD zu weiterleiten Exchange Online

    Wenn ein Attribut mit AAD Sync Azure AD synchronisiert wird, synchronisiert forward Synchronisierungsprozess die entsprechenden Werte im Exchange Online.
  • E-Mail-aktivierten Benutzer in der Cloud müssen den Wert des Attributs MsExchRecipientDisplayType auf -1073741818festgelegt. Daher sind ACLable (nur Office 365 dedizierte Kunden).
  • BackSync überträgt das CloudPublicDelegates -Attribut von Exchange Online in Azure AD. Der Kunde AAD Sync Transformation den Wert von Azure AD in lokalen fließen AD (nur Office 365 dedizierte-Kunden).

Problembehandlung:

Wenn Benutzer Probleme beim delegierten Aufgaben ausführen melden, gehen Sie folgendermaßen vor:

  1. Bereich des Falls entsprechend.

    • Die Frage: Delegaten oder Delegator meldet?
    • Was ist das Problem sie sehen? Beispielsweise Benutzer Mitglied können nicht hinzugefügt werden, nicht entfernen einen Delegaten oder der Delegat kann nicht "Senden im Auftrag von" verwenden oder auf einen bestimmten Ordner zugreifen.
  2. Überprüfen Sie das Attribut PublicDelegates (auch bekannt alsGrantSendonBehalfTo -Attribute in Exchange) von lokalen AD DS und Azure AD zu bestätigen, dass die Berechtigungen richtig konfiguriert sind.

    1. Lokale Active Directory-Attribute können mit Windows PowerShell Active Directory Modul exportiert werden.

    2. Azure Active Directory-Attribute mit dem Azure AD-Modul exportiert werden (Downloaddatei und Informationen sind verfügbar unterVerwalten von Azure AD mit Windows PowerShell).
  3. Basierend auf den Informationen, überprüfen Sie die Übersicht und Funktion Aufgaben bestimmen, wo die Fehlkonfiguration auftreten könnte.

Benutzer Vollzugriff und wie Berechtigungen für das freigegebene Postfach senden

Übersicht

Objekte für jeden Benutzer müssen in der Cloud und die lokale Umgebung vorhanden sein. Der Benutzer werden einem Postfachobjekt in einer Umgebung und einen e-Mail-aktivierten Benutzer in der Umgebung. Senden als und Zugriffsrechte werden in der Zugriffssteuerungsliste (ACL) im Benutzerobjekt und AAD Sync werden nicht repliziert. Senden der Umgebung für das Postfach des Absenders oder Delegaten Berechtigungen überprüft werden. Dadurch kann Szenarios, die Delegaten und freigegebene Postfächer in unterschiedlichen Umgebungen Komplexität hinzufügen. Postfächer in unterschiedlichen Umgebungen wirkt sich nicht auf der Benutzer Zugriffsberechtigungen, die Zugriff auf das Postfach aus. In einer hybridumgebung ist es, senden erwartet, wie Berechtigungen für zwei Objekte verwaltet werden.

Wie Berechtigungen in der Cloud mit Exchange Online Cmdlet senden Hinzufügen RecipientPermission. Die Berechtigungen Senden Sie als lokale Verwaltung mithilfe des Exchange-Cmdlets, Hinzufügen ADPermission.

Zugriffsrechte werden verwaltet, mit der Hinzufügen MailboxPermission Cmdlet.

Es gibt zwei Szenarien, die Berechtigungen umfassen:

  1. Delegaten Postfach lokal und das freigegebene Postfach in der Cloud ist.

    Wenn das freigegebene Postfach in der Cloud verschoben wird, FRAU Exchange kopiert den vollständigen Zugriff und "Senden als" Berechtigungen ACLs während der Migration. Alle Berechtigungen, die bereits auf das Postfach übertragen und auf e-Mail-aktivierten Benutzer in der lokalen Umgebung. Der Delegat wird weiterhin als zu senden und das Postfach zugreifen, da die Berechtigungen für das Objekt in der lokalen Umgebung vorhanden. Ifthe-Delegaten später zur Cloud verschoben, ist keine weitere Änderung erforderlich. Benutzer weiterhin als Postfach senden, da auch die Berechtigungen für das Postfach in der Cloud vorhanden sind. Wenn Berechtigungen geändert werden, nachdem das Postfach verschoben wurde, möglicherweise zusätzliche Schritte erforderlich.
  2. Delegaten Postfach in der Cloud und das freigegebene Postfach ist lokal.

    "Senden als"Berechtigungen

    Die Berechtigung "Senden als" müssen das e-Mail-Objekt in der Cloud hinzugefügt werden, die das freigegebene Postfach darstellt. Kunden kann einen einmaligen Scan von Postfachberechtigungen in der lokalen Umgebung abgeschlossen und manuell Berechtigungen für Objekte in der Cloud für die Migration vorbereiten. Jede Berechtigung "Senden als" geändert werden, nachdem der Verschiebevorgang für freigegebenes Postfachobjekte in beiden Umgebungen manuell aktualisiert werden muss.

    "Vollzugriff"Berechtigungen

    Permissionsremain "Vollzugriff" für das Postfach lokal nach der Migration. Zusätzliche Schritte können erforderlich sein, wenn Sie neue Zugriffsrechte hinzufügen.

Feature-Aufgaben

Für den Kunden:

  • Verwaltung von Berechtigungen in lokalen und Exchange-Umgebung

Problembehandlung:

  1. Umfang des Falls entsprechend:

    • Benutzer und freigegebene Postfächer sind betroffen?
    • Welche Umgebung jedes Postfach?
  2. Fordern Sie eine Kopie der AD DS-Berechtigungen von der lokalen Active Directory und Exchange Online:

    1. Lokale AD DS Attribute mithilfe von Windows PowerShell Active Directory Modul exportiert werden können:

    2. Exchange Online Berechtigungen können mithilfe von PowerShell (RPS) exportiert werden:

  3. Basierend auf den Informationen, überprüfen Sie die Übersicht und Funktion Aufgaben bestimmen, wo die Fehlkonfiguration auftreten könnte.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3064053 – Letzte Überarbeitung: 11/14/2016 21:49:00 – Revision: 3.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtde
Feedback