Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Problembehandlung bei Office 365 dediziert/ITAR Kunden (vNext) gesamtstrukturübergreifende Delegierung

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3064053
Problembeschreibung
Microsoft Exchange Online vNext Kunden Probleme mit "Zugriffsrechte", "Senden als" Berechtigungen und Stellvertretungszugriff für Objekte in einer anderen Umgebung.
Ursache
Für die gesamtstrukturübergreifende Delegierung (einschließlich der Berechtigungen "Senden als" und "Vollzugriff") wie erwartet, werden mehrere Requirementsmust.
Lösung
Gesamtstrukturübergreifende Delegierung erfordert eine spezifische Konfiguration in der Cloud und in der lokalen Active Directory-Domänendienste (AD DS)-Umgebung. Es folgen zwei gängige Behandlungsszenarios.
  • Delegaten-Person
  • Vollzugriff Benutzer und Berechtigungen auf freigegebenen Postfach senden

Delegaten-Person

Übersicht

In diesem Szenario kann Delegaten bestimmte Ordner im Postfach des Stellvertreters anzeigen. Der Delegat muss auch Berechtigungen "Senden im Auftrag von" Postfach des Stellvertreters. Der Delegat AttributPublicDelegates hinzugefügt(als GrantSendOnBehalfTo -Attribut in Exchange bezeichnet)auf Stellvertreters ist Berechtigungen auf Ordnerebene für den Postfachordner und des Postfachs. Dieses Szenario benötigen Sie Folgendes:
  1. Die Möglichkeit, einen Benutzer aus einer anderen Gesamtstruktur als Stellvertreter hinzuzufügen.

    Objekte für jeden Benutzer müssen die Wolke und die lokale Umgebung vorhanden sein. Der Benutzer werden einem Postfachobjekt in einer Umgebung und einen e-Mail-aktivierten Benutzer in der Umgebung. Um einen e-Mail-aktivierten Benutzer zu einem Delegaten hinzuzufügen, muss der Wert des AttributsMsExchRecipientDisplayType-1073741818festgelegt werden. Dieser Wert stellt das Objekt ACLableoder das Objekt auf eine Zugriffssteuerungsliste (ACL) hinzugefügt werden können. Outlook erkennt dieses Objekts als Delegat hinzugefügt wird, obwohl es sich nicht um ein Postfach in der Exchange-Umgebung die Person ist.

    Dieser Wert ist in der Cloud konfiguriert. Jedoch muss der Kunde einen Prozess zum Aktualisieren dieser Wert für alle e-Mail-aktivierten Benutzer in der lokalen Exchange-Umgebung (für Cloud Postfächer) konfigurieren. Ab 2013 CU10 (lokalen Installation von Exchange) im Exchange alle e-Mail-Benutzer wird das entsprechendeMsExchRecipientDisplayType -Attribut festgelegt.

    Ältere dedizierte vNext nach Kunden

    E-Mail-Benutzer im dedizierten Legacyumgebung und vNext werden ACLable. Es ist keine Änderung erforderlich.

    Exchange 2010 und Exchange 2013 (vor Version CU10)

    Der Kunden kann Bereitstellung Skripts oder Prozesse zum Konfigurieren jedes neu eingerichtete remote Postfach als ACLable aktualisieren. Der Bereitstellungsprozesse sollte ein Cmdlet, das dem folgenden Beispiel ähnelt integriert. Dieses Cmdlet ausführen lokalen AD DS für dasRemoteMailbox-Objekt, das als ein Mail-Objekt dargestellt wird.

    Beispiel:
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    Exchange 2013 CU10

    WhenExchange Server 2013 CU10 veröffentlich, finden Sie neue Funktionen Letsan Administrator Ausführen einer Organisationseinheit ändern, um synchronisierte Objekte als ACLable in Outlook festgelegt. Dann können Anrufe über Mailbox Replication Service (FRAU) lokale MEUs als ACLable.
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. Der Zugriff auf das Postfach Ordner gesamtstrukturübergreifende in Outlook.

    Diese Funktionalität ist in Clients mit Office Outlook 2007 SP1 oder höher verfügbar.
  3. Die Möglichkeit der Delegat für die Person senden.

    Die Berechtigung "Senden im Auftrag von" existiert in der Umgebung, die das dazugehörende Postfach Delegaten in Outlook hinzugefügt. Diese Berechtigung wird erteilt, wenn das Attribut PublicDelegatesAD in einer Umgebung und eine andere Umgebung mit Azure AD synchronisieren (Sync AAD) synchronisiert ist. Der Name des Attributs in Exchange istGrantSendOnBehalfTo.

    Standardmäßig ist der Wert dieses Attributs aus der lokalen Umgebung zur Cloud synchronisiert. Jedoch nicht der Wert aus der Cloud in der lokalen Umgebung synchronisiert. Der Kunde muss manuelle Transformationen AAD synchronisiert dieses Attribut Directory fließen erstellen. Diese Transformationen müssen durch den Kunden in ihrer Installation AAD Synchronisierung konfiguriert werden.
    • Eingehenden Datenfluss aus der Cloud AD lokalen Metaverse neu synchronisieren
      Wechselkurs des Flusstyps = Direct
      Target-Attribut PublicDelegates =
      Quelle = CloudPublicDelegates
    • Synchronisieren von lokalen Metaverse in lokalen fließen ausgehende AD
      Wechselkurs des Flusstyps = Direct
      Target-Attribut PublicDelegates =
      Quelle = PublicDelegates

    Dies bedeutet, dass ein Delegat aus Postfach in der Cloud Die dazugehörende entfernt und dann die Änderung der lokalen Umgebung von AAD Sync synchronisiert ist.

    Hinweis Standardmäßig fließt zukünftige Versionen des AADConnect dieses Attribut unten aus Azure.

Feature-Aufgaben

Für den Kunden:
  • AAD Sync überträgt manuell das Attribut PublicDelegates aus der Cloud in lokalen AD.
  • E-Mail-aktivierte Benutzer lokale AD muss legen den Wert des AttributsMsExchRecipientDisplayType auf -1073741818(Dies ist der Standardwert in Exchange 2013 CU9 oder höher). Daher sind ACLable.
Microsoft:
  • Weiterleiten Sie Synchronisieren von Azure AD mit Exchange Online

    Wenn ein Attribut mit AAD synchronisieren Azure AD synchronisiert, synchronisiert vorwärts Synchronisierungsvorgang die entsprechenden Werte im Exchange Online.
  • E-Mail-aktivierte Benutzer in die Cloud müssen den Wert des AttributsMsExchRecipientDisplayType auf -1073741818festgelegt. Daher sind ACLable (nur Office 365 dedizierte Kunden).
  • BackSync überträgt das CloudPublicDelegates -Attribut von Exchange Online in Azure AD. Der Kunde AAD Sync Transformation den Wert von Azure AD in lokalen fließen AD (Office 365 dedizierte Kunden).

Problembehandlung:

Wenn Benutzer Berichte Probleme zu Aufgaben im Zusammenhang mit Delegaten muss folgendermaßen:
  1. Zweck des Falls entsprechend.
    • Die Problem - Delegaten oder Person meldet?
    • Was ist das Problem sehen sie beispielsweise hinzufügen Benutzer neuen Delegaten nicht möglich, nicht Entfernen eines Delegaten oder Delegaten kann nicht im Auftrag senden oder auf einen bestimmten Ordner zugreifen?
  2. Überprüfen Sie das PublicDelegates -Attribut (das GrantSendonBehalfTo -Attribut in Exchange genannt) vom lokalen AD und Azure AD zu bestätigen, dass die Berechtigungen richtig konfiguriert sind.
    1. Lokalen Active Directory-Attribute können mit Windows PowerShell Active Directory Modul exportiert werden.
    2. Azure Active Directory-Attribute können mit dem Azure AD-Modul (Download und Anweisungen exportiert werdenVerwalten von Azure AD mit Windows PowerShell).
  3. Basierend auf den Informationen, überprüfen Sie die Übersicht und Funktion Aufgaben bestimmen, wo die Fehlkonfiguration auftreten könnte.

Vollzugriff Benutzer und Berechtigungen auf freigegebenen Postfach senden

Übersicht

Objekte für jeden Benutzer müssen in der Cloud und die lokale Umgebung vorhanden sein. Der Benutzer werden ein Postfach-Objekt in einer Umgebung und einen e-Mail-aktivierten Benutzer in der Umgebung. Senden als und Zugriffsrechte werden in Access Control List (ACL) im Benutzerobjekt und AAD Synchronisierung werden nicht repliziert. Senden Sie als in der Umgebung das Postfach des Absenders oder der Stellvertretung Berechtigungen überprüft werden. Dadurch kann Szenarios, die Delegaten und freigegebene Postfächer in unterschiedlichen Umgebungen umfassen Komplexität hinzufügen. Postfächer in unterschiedlichen Umgebungen wirkt sich nicht auf die vollständigen Zugriffsberechtigung, die Zugriff auf das Postfach aus. In einer hybridumgebung ist es, senden erwartet, wie Berechtigungen für zwei Objekte verwaltet werden.

Berechtigungen in der Cloud verwaltet werden, mithilfe der Exchange Online senden Hinzufügen RecipientPermission. Die Berechtigungen Senden Sie als lokalen mithilfe des Exchange-Cmdlets verwaltet, Add-ADPermission.

Zugriffsrechte werden mit derAdd-MailboxPermission Cmdlet.

Es gibt zwei Szenarien, die Berechtigungen umfassen:
  1. Delegaten Postfach lokalen und das freigegebene Postfach in der Cloud ist.

    Wenn das freigegebene Postfach in der Cloud verschoben wird, Exchange Mailbox Replication Service (FRAU) kopiert den Vollzugriff und die Berechtigungen Senden als Zugriffssteuerungslisten während der Migration. Alle Berechtigungen für das Postfach bereits festgelegt werden und e-Mail-aktivierten Benutzer in der lokalen Umgebung bleibt. Der Delegat wird weiterhin als senden und Zugriff auf das Postfach, da die Berechtigungen für das Objekt in der lokalen Umgebung vorhanden. Wenn später der Delegaten in der Cloud verschoben wird, ist keine weitere Änderung erforderlich. Sie werden weiterhin als Postfach senden, da auch die Berechtigungen für das Postfach in der Cloud vorhanden. Wenn Berechtigungen geändert werden, nachdem das Postfach verschoben wurde, möglicherweise zusätzliche Schritte erforderlich.
  2. Delegaten Postfach in der Cloud und das freigegebene Postfach ist lokalen.

    Senden alsBerechtigungen

    Senden an Berechtigungen muss das e-Mail-Objekt in der Cloud hinzugefügt werden, der das freigegebene Postfach darstellt. Kunden kann durch einen einmaligen Scan von Postfachberechtigungen in der lokalen Umgebung ausführen und diese Berechtigungen auf die Objekte in der Cloud manuell hinzugefügt für die Migration vorbereiten. Alle senden als Berechtigungen geändert werden, nachdem das Verschieben von Postfächern auf freigegebenes Postfachobjekte in beiden Umgebungen manuell aktualisiert werden muss.

    VollzugriffBerechtigungen

    Die erforderlichen Berechtigungen bleiben auf das lokale Postfach nach der Migration. Zusätzliche Schritte möglicherweise erforderlich, wenn Sie neue Berechtigungen hinzufügen.

Feature-Aufgaben

Für den Kunden:
  • Verwaltung von Berechtigungen in lokalen und Exchange-Umgebungen cloud

Problembehandlung:

  1. Zweck des Falls entsprechend:
    • Betroffen Benutzer und freigegebene Postfächer sind?
    • Welche Umgebung jedes Postfach?
  2. Anfordern von Berechtigungen für Active Directory aus lokalen AD und:
    1. Lokale AD-Attribute mithilfe von Windows PowerShell Active Directory Modul exportiert werden können:
    2. Exchange Online Berechtigungen können mithilfe von PowerShell (RPS) exportiert werden:
  3. Basierend auf den Informationen, überprüfen Sie die Übersicht und Funktion Aufgaben bestimmen, wo die Fehlkonfiguration auftreten könnte.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3064053 – Letzte Überarbeitung: 03/01/2016 00:27:00 – Revision: 2.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtde
Feedback
>body> /script> rosoft.com/c.gif?DI=4050&did=1&t=">/html>/c.gif?DI=4050&did=1&t=">ody>