Délégation entre forêts de dépannage pour les clients d’Office 365 dédié/ITAR (vNext)

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 3064053
Symptômes
Microsoft Exchange Online vNext clients des problèmes dans les fonctionnalités de leurs autorisations « accès complet », « envoyer comme » autorisations et déléguer l’accès pour les objets dans des environnements différents.
Cause
Pour la délégation entre forêts (y compris les autorisations « Envoyer en tant que » et « accès complet ») pour fonctionner comme prévu, plusieurs conditions doivent être remplies.
Résolution
Délégation de forêt croisée nécessite une configuration spécifique dans le nuage et dans l’environnement de Services de domaine Active Directory (AD DS) sur site. Les éléments suivants sont communs scénarios de dépannage :
  • Délégué/personne
  • Un accès complet et les autorisations « Envoyer en tant que » à la boîte aux lettres partagée

Délégué/personne

Vue d’ensemble

Dans ce scénario, le délégué peut afficher certains dossiers de boîte aux lettres de la personne qui délègue. Le délégué doit également les autorisations « Envoyer de la part » boîte aux lettres de la personne qui délègue. Le délégué est ajouté à l’attribut publicDelegates (également appelé attributGrantSendOnBehalfTodans Microsoft Exchange Server)sur la personne qui a délégué la boîte aux lettres et bénéficie des autorisations au niveau des dossiers dans les dossiers de boîte aux lettres. Ce scénario requiert les éléments suivants :

  1. La possibilité d’ajouter un utilisateur à partir d’une autre forêt en tant que délégué.

    Les objets de chaque utilisateur doivent exister dans l’environnement local et le nuage. L’utilisateur sera un objet boîte aux lettres dans un environnement et un utilisateur avec accès messagerie dans l ' autre environnement. Pour ajouter un utilisateur à extension messagerie à un délégué, la valeur de l’attribut msExchRecipientDisplayType doit être définie à -1073741818. Cette valeur permet à l’objet ACLable. Autrement dit, il vous permet de l’objet ajouté à une liste de contrôle d’accès (ACL). Outlook reconnaît que cet objet et l’objectis ajouté en tant que délégué, même s’il n’est pas une boîte aux lettres dans un environnement d’échange de la personne qui a délégué.

    Par défaut, cette valeur est configurée dans le nuage. Toutefois, le client doit configurer un processus pour mettre à jour cette valeur pour tous les utilisateurs à extension messagerie dans leur environnement de Exchange sur site (représentant des boîtes aux lettres du nuage). À partir de Microsoft Exchange Server 2013 CU10 (local installation Exchange), tous les utilisateurs de messagerie définira l’attribut appropriémsExchRecipientDisplayType .

    Hérité dédiés pour les clients installant vNext

    Les utilisateurs de messagerie dans les anciens environnements dédiés sera ACLable. Les utilisateurs de messagerie individuels dans vNext peuvent demander à être mis à jour manuellement. Pour plus d’informations, reportez-vous à la section.Ko 3187967 ne pouvez pas ajouter une boîte aux lettres dans Outlook après la migration vers Office 365 dédié/ITAR (vNext).

    Exchange 2010 et Exchange 2013 (avant la sortie de CU10)

    Les utilisateurs peuvent mettre à jour mise en service des scripts ou des processus pour configurer des boîtes aux lettres distants qui vient d’être mis en service en tant que ACLable. Une applet de commande qui ressemble à l’exemple suivant doit être intégré dans les processus de provisionnement. Cette applet de commande est exécutée sur le site AD DS pour l’objetRemoteMailbox. Ce objectis est représenté sous la forme d’un objet utilisateur de messagerie.

    Exemple :
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    Exchange 2013 CU10

    Lorsque Exchange Server 2013 CU10 est diffusé publiquement, vous trouverez la nouvelle fonctionnalité qui permet à un administrateur d’exécuter une modification de l’organisation pour définir les objets synchronisés sont comme ACLable dans Outlook. Après cela, les appels effectués via le Service de réplication de boîtes aux lettres (Mme) permettra sur site MEUs en tant que ACLable.
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. La possibilité d’accéder à la boîte aux lettres dossiers inter-forêts dans Outlook.

    Cette fonctionnalité est disponible dans les clients exécutant Office Outlook 2007 Service Pack 1 ou une version ultérieure.

  3. La possibilité pour le délégué à envoyer de la part de la personne.

    L’autorisation « Envoyer de la part » existe dans l’environnement qui héberge la boîte aux lettres de la personne qui a délégué lorsque le délégué est ajouté dans Outlook. Cette autorisation est accordée lorsque l’attribut publicDelegatesest définie dans un environnement et qu’il est synchronisé avec un autre environnement qui utilise Azure AD Sync (synchronisation DAS). Le nom de l’attribut dans Exchange estGrantSendOnBehalfTo.

    Par défaut, la valeur de cet attribut est synchronisée à partir de l’environnement local dans le nuage. Toutefois, la valeur de ne synchroniser à partir du cloud à l’environnement local. Le client doit créer des transformations manuelles dans la synchronisation de DAS à cet attribut dans leur répertoire de flux. Ces transformations doivent être configurées par le client dans leur installation de synchronisation du DAS.

    • Entrant synchroniser nouveau flux du cloud AD dans le métaverse local :
      TauxChange du = Direct
      Target, attribut = publicDelegates
      Source = cloudPublicDelegates
    • Sortant du flux de synchronisation du métaverse local vers le site Active Directory :
      TauxChange du = Direct
      Target, attribut = publicDelegates
      Source = publicDelegates

    Cela signifie qu’un délégué est supprimé de la boîte aux lettres de la personne dans le nuage, et puis le changement est synchronisé à l’environnement local par synchronisation des DAS.

    Remarque : Par défaut, les versions futures de AADConnect passera cet attribut vers le bas à partir d’Active Directory Azure.

Responsabilités de la fonction

Pour le client :

  • DAS synchronisation transfère manuellement l’attribut publicDelegates du nuage pour Azure AD sur site.
  • Utilisateurs à extension messagerie dans des locaux AD doit définir la valeur de l’attribut msExchRecipientDisplayType à -1073741818 (c’est la valeur par défaut dans Exchange 2013 CU9 et versions ultérieures). Par conséquent, ils sont ACLable.
Pour Microsoft :

  • Transférer la synchronisation depuis Active Directory Azure à Exchange en ligne

    Lorsqu’un attribut est synchronisé avec la synchronisation de DAS à AD Azure, le processus de transfert de synchronisation synchronise les valeurs appropriées dans Exchange en ligne.
  • Utilisateurs à extension messagerie dans le nuage doivent définir la valeur de l’attribut msExchRecipientDisplayType à -1073741818. Par conséquent, ils sont ACLable (Office 365 dédié clients uniquement).
  • BackSync transfère l’attribut CloudPublicDelegates dans Exchange Online à AD Azure. Ainsi, le client transformation de synchronisation de DAS à la valeur d’Azure AD dans les locaux de flux AD (clients dédié de Office 365 uniquement).

Résolution des problèmes

Si les utilisateurs signalent des problèmes lorsqu’ils essaient d’effectuer des tâches liées au délégué, procédez comme suit :

  1. Le cas de l’étendue appropriée.

    • Qui signale le problème : délégué ou la personne qui a délégué ?
    • Quel est le problème qu’ils vous voyez ? Par exemple, un délégué ne peut pas ajouter des utilisateurs, ne peut pas supprimer un délégué, le délégué ne peut pas utiliser « envoyer de la part » ou accéder à un dossier particulier.
  2. Examinez l’attribut publicDelegates (également connu sous l’attributGrantSendonBehalfTo dans Exchange) sur site AD DS et AD Azure pour confirmer que les autorisations sont configurées correctement.

    1. Attributs d’Active Directory sur site peuvent être exportés à l’aide du Module de répertoire actif Windows PowerShell.

    2. Les attributs Active Directory Azure peuvent être exportées en utilisant le module AD Azure (fichier de téléchargement et les instructions sont disponibles surGérer les annonces Azure à l’aide de Windows PowerShell).
  3. Selon les informations fournies, passez en revue les responsabilités de présentation et de fonctionnalité pour déterminer l’origine du problème de configuration.

Un accès complet et envoyer en tant que des autorisations de boîte aux lettres partagée

Vue d’ensemble

Les objets de chaque utilisateur doivent exister dans un environnement du nuage et sur site. L’utilisateur sera un objet boîte aux lettres dans un environnement et un utilisateur à extension messagerie dans les autres environnements. Envoyer en tant qu’et les autorisations d’accès complet sont stockées dans la liste de contrôle d’accès (ACL) dans l’objet utilisateur et ne sont pas répliquées par synchronisation des DAS. Envoyer les autorisations sont vérifiées dans l’environnement de la boîte aux lettres de l’expéditeur ou le délégué. Cela peut compliquer les scénarios qui impliquent des délégués et des boîtes aux lettres partagées dans différents environnements. L’autorisation d’accès utilisateur complet qui permet d’accéder à la boîte aux lettres n’est pas affectée par les boîtes aux lettres dans des environnements différents. Dans un environnement hybride, il a prévu qu’Envoyer comme autorisations peuvent avoir à gérer de deux objets.

Envoyer dans le nuage, les autorisations sont gérées à l’aide de l’applet de commande Exchange Online, Ajouter-RecipientPermission. Envoyer en tant que locaux est gérés à l’aide de l’applet de commande Exchange, les autorisations Ajouter-ADPermission.

Autorisations d’accès complet sont gérées à l’aide de la Ajouter-MailboxPermission. applet de commande.

Il existe deux scénarios qui impliquent des autorisations :

  1. Boîte aux lettres de délégué est local, et la boîte aux lettres partagée est dans le nuage.

    Lorsque la boîte aux lettres partagée est déplacé vers le nuage, la Mme Exchange copie l’accès complet et « envoyer comme » autorisations ACL lors de la migration. Toutes les autorisations qui sont déjà définies dans la boîte aux lettres sont transférées et restent sur l’utilisateur à extension messagerie dans l’environnement local. Le délégué continue à être en mesure d’envoyer en tant qu’et d’accéder à la boîte aux lettres car il existent des autorisations sur l’objet dans l’environnement local. Sile délégué est déplacé vers le nuage, aucune modification supplémentaire n’est requise. Les utilisateurs continueront à être en mesure d’envoyer en tant que la boîte aux lettres car les autorisations existent également sur la boîte aux lettres dans le nuage. Si des autorisations sont modifiées une fois la boîte aux lettres est déplacée, des étapes supplémentaires peuvent être requis.
  2. Boîte aux lettres de délégué est dans le nuage et la boîte aux lettres partagée est sur site.

    « Envoyer comme »autorisations

    Les autorisations « Envoyer comme » doivent être ajoutées à l’objet à extension messagerie dans le cloud qui représente la boîte aux lettres partagée. Le client peut préparer une migration en effectuant une analyse ponctuelle des autorisations de boîte aux lettres dans l’environnement local et en ajoutant manuellement ces autorisations aux objets dans le nuage. Les autorisations « Envoyer comme » qui sont des modifications après que le déplacement de boîtes aux lettres doit être manuellement mis à jour sur les objets de la boîte aux lettres partagée dans les deux environnements.

    « Accès complet »autorisations

    Le permissionsremain « accès complet » sur la boîte aux lettres locale après la migration. Des étapes supplémentaires peuvent être nécessaires lorsque vous ajoutez de nouvelles autorisations.

Responsabilités de la fonction

Pour le client :

  • Gestion des autorisations dans les locaux et les environnements Exchange en nuage

Résolution des problèmes

  1. Portée de manière appropriée le cas :

    • Les utilisateurs et les boîtes aux lettres partagées sont impliquées ?
    • Quel environnement héberge chaque boîte aux lettres ?
  2. Demander une copie des autorisations des services AD DS sur site AD DS et Exchange Online :

    1. Attributs du service d’annuaire Active Directory peuvent être exportés à l’aide de Windows PowerShell Active Directory Module sur site :

    2. Autorisations Exchange en ligne peuvent être exportées à l’aide du PowerShell distant (RPS) :

  3. Selon les informations fournies, passez en revue les responsabilités de présentation et de fonctionnalité pour déterminer l’origine du problème de configuration.

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 3064053 - Dernière mise à jour : 11/14/2016 21:51:00 - Révision : 3.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtfr
Commentaires