MMSSPP no desaprovisiona un buzón de Exchange y objetos habilitados para correo de Office 365 dedicado/ITAR

Síntomas

El proveedor de aprovisionamiento de servicios administrados de Microsoft (MMSSPP) no desaprovisiona un buzón de Microsoft Exchange ni objetos habilitados para correo desde un entorno dedicado/ITAR de Office 365.

Causa

El desaprovisionamiento tiene varias definiciones y, en el contexto de Office 365 Dedicated/ITAR, estos servicios pueden significar cualquiera de los siguientes:

  • Desconexión de un buzón de correo en Office 365 y conversión del objeto de Office 365 a un usuario habilitado para correo. Esto es común en cualquiera de los siguientes escenarios:

    • Un buzón de usuario se migra a un entorno diferente (por ejemplo, de la nube a local).

    • Donde los servicios de correo están deshabilitados, pero se mantienen otros servicios en la nube (como Lync o Skype Empresarial).

    • Donde se puede ver la información de contacto en la lista global de direcciones (GAL).

    • Donde el usuario puede ser miembro de una distribución o un grupo de seguridad habilitado para correo en Office 365.

  • Desaprovisionamiento de un usuario habilitado para correo o un contacto. Esto quita los derechos y atributos de correo(mail, mailNickname, legacyExchangeDN, proxyAddressesy targetAddress) y quita al usuario de cualquier distribución habilitada para correo o grupos de seguridad en Office 365, pero mantiene el objeto de Active Directory (AD) aprovisionado.

  • Eliminación completa del objeto del usuario de Office 365 Active Directory.

  • Conversión de un buzón activo que está en retención por juicio a un estado inactivo.

  • Eliminación de un grupo habilitado para correo de Office 365 Active Directory.

La falta de desaprovisionamiento puede producirse por una o más de las siguientes razones:

  • No se siguen los procesos correctos ni las prácticas recomendadas para desaprovisionar objetos.

  • Un valor de atributo mal configurado que se notifica en el informe de errores de sincronización MMSSPP diario bloquea el desaprovisionamiento del buzón o del usuario de correo.

  • Un buzón está en retención por juicio. Este buzón de correo nunca se puede desaprovisionar siempre que se establezca esa marca (aunque se puede colocar en un estado inactivo).

Prácticas recomendadas

Situación 1

El usuario tiene un buzón en Office 365D/ITAR y el buzón debe desaprovisionarse. Sin embargo, el objeto Office 365D/ITAR debe permanecer en la GAL como usuario habilitado para correo.

  1. Compruebe el informe diario de errores de sincronización de MMSSPP y corrija los errores notificados. Después de descomprimir el archivo de informe de errores, hay un archivo de Ayuda adjunto juntos y pasos de corrección para cada tipo de error.

  2. En el atributo de desaprovisionamiento designado, agregue el valor que desencadena el desaprovisionamiento de buzones. No realice ningún otro cambio y espere a que el buzón administrado se quite del entorno de Office 365 (el valor del atributo homeMDB se convertirá en null). Esto se ejecuta normalmente en uno o dos ciclos de sincronización MMSSPP.

    1. El atributo que se usa para el desaprovisionamiento difiere para cada cliente y suele ser el mismo valor que se usa para los valores de aprovisionamiento de buzones (por ejemplo, un buzón de correo normalmente aprovisionado tiene extensionAttribute9-MBX-50GB; Tipo-EP2D; REG-EU;).

    2. El valor que se usa para el desaprovisionamiento es diferente para cada cliente. Sin embargo, el valor suele ser RemoveMSOMbx (por ejemplo, extensionAttribute9-RemoveMSOMbx).

  3. Después de deshabilitar el buzón, cambie el valor del atributo targetAddress del cliente para que apunte a la ubicación deseada fuera de Office 365D/ITAR (normalmente, esto es SMTP:sameAsMailValue) y quite el atributo de desaprovisionamiento. Después de algunos ciclos de sincronización, el objeto está habilitado para correo y es visible en la GAL.

Situación 2

Si el usuario tiene un buzón de office 365D/ITAR, el buzón debe desaprovisionarse y los objetos de Office 365D/ITAR deben quitarse de Office 365 AD.

  1. Variación 1: El cliente no tiene la característica de reconexión automática de servicios (ASR) habilitada para las reconexiones de buzones entre bosques. Cualquiera de los siguientes métodos son eficaces:

    • Mueva el objeto de usuario a una unidad organizativa (OU) que esté fuera del ámbito de MMSSPP.

    • Establezca el valor adecuado para el filtro MMSSPP. Este valor se establece para cada cliente con respecto tanto al atributo como al valor, pero su estructura puede ser algo así como extensionAttribute1-NoSync.

    • Utilice el filtro universal para MMSSPP. Este filtro borra los valores de todos los atributos siguientes:

      • Correo

      • MailNickname

      • Proxyaddresses

      • TargetAddress

    • Elimine el objeto del CLIENTE AD.

  2. Variación 2: El cliente tiene la característica ASR que está habilitada para las reconexiones de buzones entre bosques. En esta situación, los objetos que se filtran, mueven o eliminan del AD de cliente hacen que los objetos administrados se muevan a una unidad organizativa de retención (donde están ocultos de la GAL pero siguen recibiendo correo) durante 1-3 días.

    1. Corrija los errores de sincronización.

    2. Agregue el valor DeleteNow al atributo de aprovisionamiento de buzón de correo designado y habilite al menos un ciclo de sincronización para completarlo. Se trata de un valor de solo ensayo que no desencadena el desaprovisionamiento. Indica a MMSSPP que cuando se aplica el filtro para eliminar inmediatamente el objeto de AD administrado en lugar de mantenerlo en la unidad organizativa PendingDeletions durante 1-3 días.

    3. Realice cualquiera de los cambiosque se indican en la Variante 1 (mover, aplicar el filtro personalizado, aplicar el filtro universal o eliminar).

Escenario 3

El buzón del usuario está en retención por juicio. En este escenario, el buzón de Office 365 está conectado y se conserva el objeto de AD administrado. Este es el proceso recomendado para poner el buzón en un estado de retención por juicio inactivo:

  1. Si el proceso del cliente consiste en eliminar el objeto AD del usuario después de un tiempo, cambie los valores de los atributos mail, targetAddressy smtp proxyAddresses para anexar _old o _litHold al prefijo. Esto permite al usuario acceder a sus direcciones de correo electrónico y proxy originales cuando vuelva al empleo. Realice estos cambios de atributo antes de seguir los pasos siguientes.

  2. Si se deben cambiar otros servicios (como Lync), realice los cambios de atributo adecuados.

  3. Agregue el valor Type-InHold; al atributo que se usa para los valores de aprovisionamiento de buzones (esto difiere por cliente). Utilice este ejemplo: MBX-50GB; Tipo-InHold; REG-EU;

  4. Espere al menos un ciclo de sincronización.

  5. Después de que el valor Type-InHold; se sincronice con Office 365D/ITAR, el usuario ya no puede iniciar sesión en el buzón de correo. El buzón está oculto de la GAL y los remitentes de ese buzón reciben un informe de no entrega NDR).

  6. Después de completar los pasos 1-5, el objeto de cliente se puede filtrar, mover fuera del ámbito o eliminar.

  7. Si el paso 6 finaliza antes de completar los pasos 1-5, el buzón administrado sigue inactivo. Sin embargo, omitir esos pasos puede dificultar las consultas y hacer que la restauración de los servicios sea más compleja cuando el usuario vuelve al trabajo.

Escenario 4

Los servicios dedicados/ITAR de Lync deben desaprovisionarse:

  1. Lync se puede desaprovisionar independientemente del estado del buzón estableciendo un valor de 0 en el atributo seleccionado para el aprovisionamiento de Lync. Esto difiere para cada cliente.

  2. Si el buzón de usuario está en retención por juicio, el valor de desaprovisionamiento de Lync de 0 debe establecerse antes de que el objeto de cliente se filtre, quite del ámbito o se elimine del CLIENTE AD.

Escenario 5

Un usuario habilitado para correo (no un usuario habilitado para buzón de correo) o un contacto habilitado para correo deben ser desaprovisionados. Tenga en cuenta que los usuarios habilitados para correo suelen ser usuarios que pueden iniciar sesión en los recursos de dominio de cliente, pero que reciben correo en un buzón fuera del entorno de Office 365D/ITAR. Estos buzones pueden estar ubicados en el entorno local del cliente o en un servicio externo. Para deshabilitar un usuario habilitado para correo, utilice cualquiera de los métodos siguientes:

  • Mueva el objeto de usuario a una unidad organizativa que esté fuera del ámbito de MMSSPP.

  • Establezca el valor adecuado para el filtro MMSSPP. Este valor se establece para cada cliente con respecto tanto al atributo como al valor, pero su estructura puede ser algo así como extensionAttribute1-NoSync.

  • Utilice el filtro universal para MMSSPP. Este filtro borra los valores de todos los atributos siguientes:

    • Correo

    • MailNickname

    • Proxyaddresses

    • TargetAddress

  • Elimine el objeto del CLIENTE AD.

Escenario 6

Un grupo habilitado para correo debe ser desaprovisionado. En esta situación, un grupo que se aprovisiona en Office 365D/ITAR se quita de la GAL y Active Directory. Además, se elimina como miembro de cualquier grupo del que sea miembro. Cualquiera de los siguientes métodos es eficaz:

  • Borre el valor de correo para el grupo.

  • Elimine el objeto de grupo del cliente AD.

Resolución

Después de tener en cuenta los escenarios adecuados, puede corregir un escenario de desaprovisionamiento con errores mediante uno de los métodos siguientes.

Situación 1

Un buzón de Office 365D/ITAR debe desaprovisionarse y el usuario debe estar habilitado para correo (no habilitado para buzón de correo) en Office 365D/ITAR.

  1. Devuelve los valores de los atributos mail y targetAddress a los valores originales necesarios para aprovisionar un buzón de Office 365D/ITAR (por ejemplo, el sufijo de atributo de correo está en la lista de inclusión SMTP y el sufijo de atributo targetAddress es similar a la de mgd.customerdomain.com).

  2. Establezca el valor del atributo de desaprovisionamiento de buzón de correo (por ejemplo, extensionAttribute9-RemoveMSOMbx).

  3. Después de desaprovisionar el buzón (el cmdlet get-recipient no encuentra a nadie o el cmdlet get-user devuelve un valor), establezca los valores de los atributos mail y targetAddress en el estado deseado para un usuario habilitado para correo.

Situación 2

El usuario tiene un buzón en Office 365D/ITAR, el buzón debe desaprovisionarse y los objetos de Office 365D/ITAR deben quitarse de Office 365 AD:

  1. Variación 1: El cliente no tiene la característica ASR habilitada para las reconexiones de buzones entre bosques. Cualquiera de los siguientes métodos es eficaz:

    • Mueva el objeto de usuario a una unidad organizativa que esté fuera del ámbito de MMSSPP.

    • Establezca el valor adecuado para el filtro MMSSPP. Este valor se establece para cada cliente que tiene respecto tanto al atributo como al valor, pero su estructura puede ser algo así como extensionAttribute1-NoSync.

    • Utilice el filtro universal para MMSSPP. Este filtro borra los valores de todos los atributos siguientes:

      • Correo

      • MailNickname

      • Proxyaddresses

      • TargetAddress

    • Elimine el objeto del CLIENTE AD.

  2. Variación 2: El cliente tiene la característica ASR que está habilitada para las reconexiones de buzones entre bosques. En esta situación, los objetos que se filtran, mueven o eliminan del AD de cliente hacen que los objetos administrados se muevan a una unidad organizativa de retención (donde están ocultos de la GAL pero siguen recibiendo correo) durante 1-3 días.

    1. Corrija los errores de sincronización.

    2. Agregue el valor DeleteNow al atributo de aprovisionamiento de buzón de correo designado y habilite al menos un ciclo de sincronización para completarlo. Se trata de un valor de solo ensayo que no desencadena el desaprovisionamiento. Indica a MMSSPP que cuando se aplica el filtro para eliminar inmediatamente el objeto de AD administrado en lugar de mantenerlo en la unidad organizativa PendingDeletions durante 1-3 días.

    3. Realice cualquiera de los cambios que se indican en la Variante 1 (mover, aplicar el filtro personalizado, aplicar el filtro universal o eliminar).

Escenario 3

El buzón del usuario está en retención por juicio.

  1. Un buzón de correo no se desaprovisiona mientras esté en retención por juicio.

  2. Consulte la sección "Prácticas recomendadas" para obtener recomendaciones relacionadas con el proceso para mover un buzón a un estado de retención por juicio inactivo.

  3. Solo después de quitar un buzón de correo de la retención por juicio, las acciones en el escenario 1 o 2 darán como resultado que el buzón se desaprovisione.

Escenario 4

El buzón del usuario está en retención por juicio, pero está en estado inactivo antes de que se desaprovisionen los servicios de Lync. Los servicios de Lync deben desaprovisionarse.

  1. Si el objeto de cliente todavía está en el ámbito de MMSSPP y no se ha filtrado (el buzón se hizo inactivo agregando el valor Type-InHold; al atributo de aprovisionamiento), establezca el valor del atributo en 0 para el atributo de máscara de bits de aprovisionamiento de Lync. Este valor da como resultado el desaprovisionamiento de los servicios de Lync después de algunos ciclos de sincronización. Por ejemplo, extensionAttribute6-15 se cambia a extensionAttribute6-0.

  2. Si el buzón de usuario está en suspensión por juicio y el cliente filtró o quitó el objeto del ámbito antes de desaprovisionar Lync, se deben realizar pasos adicionales para desaprovisionar Lync:

    1. Con el objeto de cliente todavía filtrado o fuera del ámbito de la unidad organizativa, agregue el valor Type-InHold; al atributo de aprovisionamiento de buzón de correo (si aún no está establecido). Esto es muy importante si el buzón de correo está destinado a permanecer inactivo. Si no se agrega el valor, el buzón se devuelve al estado activo (habilitar el inicio de sesión y la entrega de correo) tan pronto como se devuelve al ámbito.

    2. Establezca el valor del atributo de máscara de bits de Lync en 0.

    3. Quite el filtro o vuelva a mover el objeto de cliente al ámbito de unidad organizativa.

    4. Después de algunos ciclos de sincronización, los servicios de Lync se desaprovisionan.

    5. Cuando se completa el desaprovisionamiento de Lync, el objeto de cliente se puede dejar sin modificar, filtrar, quitar del ámbito o eliminars según la directiva del cliente.

Escenario 5

Un usuario habilitado para correo (no un usuario habilitado para buzón de correo) o un contacto habilitado para correo deben ser desaprovisionados. Para deshabilitar un usuario habilitado para correo, cualquiera de los métodos siguientes es efectivo:

  • Mueva el objeto de usuario a una unidad organizativa que esté fuera del ámbito de MMSSPP.

  • Establezca el valor adecuado para el filtro MMSSPP. Este valor se establece para cada cliente que tiene respecto tanto al atributo como al valor, pero su estructura puede ser algo así como extensionAttribute1-NoSync.

  • Utilice el filtro universal para MMSSPP. Este filtro borra los valores de todos los atributos siguientes:

    • Correo

    • MailNickname

    • Proxyaddresses

    • TargetAddress

  • Elimine el objeto del CLIENTE AD.

Escenario 6

Un grupo habilitado para correo debe ser desaprovisionado. En este caso, un grupo que se aprovisiona en Office 365D/ITAR se quita de la GAL y Active Directory. Además, se elimina como miembro de cualquier grupo del que sea miembro. Cualquiera de las siguientes opciones es efectiva:

  • Borre el valor de correo para el grupo.

  • Elimine el objeto de grupo del cliente AD.

Notas

  • Después de aprovisionar un objeto de usuario en Office 365D/ITAR, evite borrar el valor del atributo de correo. Borrar el atributo no desaprovisiona un buzón de correo y puede hacer que los resultados de la consulta sean ambiguos y las tareas de mantenimiento rutinarias innecesariamente complejas.

  • Este documento está diseñado para proporcionar procedimientos recomendados y pasos de corrección simples para desaprovisionar servicios de correo y Lync en entornos de Office 365D/ITAR. Otras acciones tomadas por el cliente pueden dar lugar a la desaprovisionamiento de los servicios. Para obtener más información, consulte el Manual de herramientas de aprovisionamiento de Office 365D/ITAR.

  • Cuando se desaprovisiona un buzón, independientemente del método, no se elimina inmediatamente de Office 365D/ITAR. En su lugar, se conserva en un estado desconectado durante el período de retención configurado (normalmente 30 días), durante el cual se puede volver a conectar automáticamente (si el objeto de usuario original no se filtra o se vuelve a mover al ámbito MMSSPP) o se vuelve a conectar manualmente (mediante una escalada a los servicios de soporte técnico de Microsoft).

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×