Solución de problemas de los clientes de Office 365 dedicado/ITAR (vNext) la delegación entre bosques

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3064053
Síntomas
Clientes de Microsoft Exchange Online vNext tienen problemas en la funcionalidad de sus permisos de "acceso completo", permisos "envían como" y delegan el acceso a objetos en diferentes entornos.
Causa
Para la delegación entre bosques (incluyendo permisos "Enviar como" y "acceso total") para que funcione como se espera, deben cumplirse varios requisitos.
Solución
La delegación entre bosques requiere una configuración específica en la nube y en el entorno de los servicios de dominio de Active Directory (AD DS) local. Son comunes los siguientes escenarios de solución de problemas:
  • Delegado/Delegator
  • Acceso de usuario completo y permisos "Enviar como" para el buzón compartido

Delegado/Delegator

Información general

En este escenario, el delegado puede ver ciertas carpetas en el buzón de la persona que delega. También, el delegado tiene permisos "enviar en nombre de" al buzón de la persona que delega. El delegado se agrega al atributo publicDelegates (también conocido como el atributoGrantSendOnBehalfToen Microsoft Exchange Server)en el usuario delegado tiene permisos de nivel de carpeta para las carpetas del buzón y de buzón. Este escenario requiere lo siguiente:

  1. La capacidad de agregar un usuario de otro bosque como un delegado.

    Objetos para cada usuario deben existir en la nube y el entorno local. El usuario será un objeto de buzón en un entorno y un usuario con correo habilitado en el entorno de otro. Para agregar un usuario con correo habilitado a un delegado, debe establecerse el valor del atributo msExchRecipientDisplayType en -1073741818. Este valor hace que el objeto ACLable. Es decir, permite que el objeto se agrega a una lista de Control de acceso (ACL). Outlook reconoce este objeto y los está agregado como delegado, aunque no es un buzón en el entorno de Exchange de la persona que delega.

    De forma predeterminada, este valor se configura en la nube. Sin embargo, el cliente debe configurar un proceso para actualizar este valor para todos los usuarios habilitados para correo en su entorno de Exchange local (que representa a los buzones de la nube). A partir de 2013 CU10 (local instalación Exchange) de Microsoft Exchange Server, todos los usuarios de correo se establecerá el atributo apropiadomsExchRecipientDisplayType .

    Antiguos clientes dedicados moviendo a vNext

    Los usuarios de correo en los entornos heredados dedicados será ACLable. Pueden solicitar que los usuarios de correo individuales en vNext actualizarse manualmente. Para obtener más información, veaKB 3187967 no puede agregar otro buzón en Outlook después de la migración a Office 365 dedicado/ITAR (vNext).

    Exchange 2010 y Exchange 2013 (antes versión CU10)

    Los usuarios pueden actualizar el aprovisionamiento de secuencias de comandos o procesos para configurar cualquier buzón remoto recientemente creado como ACLable. Un cmdlet que es similar al ejemplo siguiente debe integrarse en los procesos de aprovisionamiento. Este cmdlet se ejecuta en los locales en AD DS para el objetoRemoteMailbox. Este está representado como un objeto de usuario de correo.

    Ejemplo:
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    Intercambio de 2013 CU10

    Cuando Exchange Server 2013 CU10 se haya lanzado, encontrará la nueva funcionalidad que permite a un administrador ejecutar un cambio organizativo para establecer objetos sincronizados como ACLable en Outlook. Después de eso, las llamadas que se realizan a través de buzón Replication Service (Sra.) permitirá local MEUs como ACLable.
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. La capacidad de tener acceso a los buzones carpetas entre bosques en Outlook.

    Esta funcionalidad está disponible en clientes que ejecutan Office Outlook 2007 Service Pack 1 o una versión posterior.

  3. La capacidad para el delegado enviar en nombre de la persona que delega.

    El permiso "enviar en nombre" existe en el entorno que aloja el buzón de la persona que delega cuando se agrega el delegado en Outlook. Este permiso se concede cuando el atributo publicDelegatesse establece en un entorno y se sincroniza con otro entorno que utiliza Azure AD Sync (sincronización de DAA). El nombre del atributo en Exchange esGrantSendOnBehalfTo.

    De forma predeterminada, el valor de este atributo se sincroniza desde el entorno local a la nube. Sin embargo, el valor no sincronización de la nube en el entorno local. El cliente debe crear transformaciones manuales en sincronización DAA fluya este atributo a su directorio. Estas transformaciones deben estar configuradas por el cliente en su instalación de sincronización de DAA.

    • Entrante sincronizar nuevo flujo de nube AD a metaverse local:
      Tasa = directa
      Atributo target = publicDelegates
      Origen = cloudPublicDelegates
    • Flujo de sincronización desde el metaverso local a las instalaciones de salida AD:
      Tasa = directa
      Atributo target = publicDelegates
      Origen = publicDelegates

    Esto significa que se quita un delegado del buzón de la persona que delega en la nube y, a continuación, el cambio se sincroniza en el entorno local por DAA Sync.

    Nota: De forma predeterminada, las versiones futuras de AADConnect fluirá este atributo abajo de Azure AD.

Responsabilidades de la función

Para el cliente:

  • Sincronización de DAA transfiere manualmente el atributo publicDelegates desde la nube a Azure AD en locales.
  • Usuarios habilitados para correo en local AD debe establecer el valor del atributo msExchRecipientDisplayType en -1073741818 (es decir, el valor predeterminado en Exchange 2013 CU9 y versiones posteriores). Por lo tanto, son ACLable.
Para Microsoft:

  • Reenviar sincronización de AD Azure a Exchange en línea

    Cuando un atributo se sincroniza con la sincronización de DAA a Azure AD, el proceso de sincronización directa sincroniza los valores apropiados de Exchange en línea.
  • Usuarios habilitados para correo en la nube deben establecer el valor del atributo msExchRecipientDisplayType en -1073741818. Por lo tanto, son ACLable (sólo para clientes de Office 365 dedicado).
  • BackSync transfiere el atributo CloudPublicDelegates de Exchange Online a Azure AD. Esto permite al cliente transformación DAA sincronización el valor de AD Azure a los locales de flujo AD (sólo para clientes dedicados de Office 365).

Solución de problemas

Si los usuarios informan de problemas cuando intentan realizar las tareas relacionadas con el delegado, siga estos pasos:

  1. Ámbito adecuadamente el caso.

    • ¿Que informa del problema: delegado o usuario delegado?
    • ¿Cuál es el problema que están viendo? Por ejemplo, los usuarios pueden agregar un delegado, no puede quitar un delegado, el delegado no puede utilizar "enviar en nombre" o tener acceso a una carpeta determinada.
  2. Revise el atributo publicDelegates (también conocido como el atributoGrantSendonBehalfTo en Exchange) de los locales en AD DS y AD Azure para confirmar que los permisos están configurados correctamente.

    1. Los atributos de Active Directory local pueden exportarse utilizando el módulo de directorio activo de Windows PowerShell.

    2. Azure atributos de Active Directory se pueden exportar mediante el módulo AD Azure (archivo de descarga y las instrucciones están disponibles enAdministrar Azure AD mediante Windows PowerShell).
  3. Basándose en la información que se proporciona, revise el resumen y característica responsabilidades para determinar dónde puede haber la configuración incorrecta.

Acceso de usuario completo y enviar como permisos para el buzón compartido

Información general

Objetos para cada usuario deben existir en el entorno de nube y locales. El usuario será un objeto de buzón en un entorno y un usuario con correo habilitado en los demás entornos. Enviar como y permisos de acceso total se almacenan en la lista de Control de acceso (ACL) en el objeto de usuario y no se replican por DAA Sync. Enviar como se comprueban los permisos en el entorno del buzón del remitente o delegado. Esto puede agregar complejidad a escenarios que implican los delegados y buzones compartidos en entornos diferentes. El permiso de acceso de usuario completa que permite el acceso al buzón no se ve afectado por los buzones en entornos diferentes. En un entorno híbrido, que espera que se envíe como los permisos que tenga que administrarse en dos objetos.

Enviar como permisos en la nube se administran mediante el cmdlet Exchange Online, RecipientPermission agregar. Enviar como permisos locales se administran mediante el cmdlet de Exchange Agregar-ADPermission.

Permisos de acceso total se administran mediante el Agregar permiso de buzón cmdlet.

Hay dos escenarios que implican los permisos:

  1. Buzón del delegado es local y el buzón compartido está en la nube.

    Cuando se mueve el buzón compartido a la nube, la SEÑORA Exchange copia el pleno acceso y permisos "Enviar como" ACL durante la migración. Todos los permisos que ya están establecidos en el buzón se transfieren y permanecen en el usuario con correo habilitado en el entorno local. El delegado seguirá siendo capaz de enviar como y tener acceso al buzón porque existen los permisos en el objeto en el entorno local. Siel delegado posterior se mueve a la nube, no es necesario ningún cambio adicional. Los usuarios seguirán pueda enviar como el buzón porque los permisos también existen en el buzón de correo en la nube. Si se cambian los permisos después de mover el buzón, pueden requerirse pasos adicionales.
  2. Buzón del delegado está en la nube y el buzón compartido es local.

    "Enviar como"permisos

    Los permisos "Enviar como" deben agregarse al objeto habilitado para correo en la nube que representa el buzón compartido. El cliente puede prepararse para una migración realizando un análisis único de los permisos de buzón en el entorno local y agregando manualmente estos permisos a los objetos en la nube. Los permisos "Enviar como" que son cambios después de que el movimiento del buzón debe actualizarse manualmente en los objetos de buzón compartido en ambos entornos.

    "Acceso total"permisos

    El permissionsremain de "acceso completo" en el buzón local después de la migración. Al agregar nuevos permisos, pueden requerirse pasos adicionales.

Responsabilidades de la función

Para el cliente:

  • Administración de permisos en el local y la nube de entornos Exchange.

Solución de problemas

  1. Ámbito adecuadamente el caso:

    • ¿Los usuarios y los buzones compartidos están implicados?
    • ¿Qué entorno aloja cada buzón?
  2. Solicitar una copia de los permisos de AD DS de los locales en AD DS y Exchange Online:

    1. Local se pueden exportar atributos de AD DS con el módulo de directorio activo de Windows PowerShell:

    2. Permisos de Exchange Online pueden exportarse utilizando PowerShell remota (RPS):

  3. Basándose en la información que se proporciona, revise el resumen y característica responsabilidades para determinar dónde puede haber la configuración incorrecta.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3064053 - Última revisión: 11/14/2016 21:50:00 - Revisión: 3.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtes
Comentarios