Delegasi lintas lokasi pemecahan masalah untuk Office 365 Dedicated/ITAR pelanggan (vNext)

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 3064053
Gejala
Microsoft Exchange Online vNext pelanggan memiliki masalah dalam fungsionalitas izin "akses penuh", "Kirim sebagai" izin, dan melakukan akses untuk objek di lingkungan yang berbeda.
Penyebab
Untuk lintas lokasi delegasi (termasuk "akses penuh" dan izin "Kirim sebagai") untuk bekerja seperti yang diharapkan, beberapa persyaratan harus dipenuhi.
Pemecahan masalah
Delegasi lintas lokasi memerlukan konfigurasi tertentu dalam awan dan dalam lingkungan Layanan Domain direktori aktif (AD DS) lokal. Berikut ini umum skenario pemecahan masalah:
  • Delegasi Delegator
  • Akses penuh pengguna dan izin "Kirim sebagai" untuk kotak surat bersama

Delegasi Delegator

Gambaran Umum

Dalam skenario ini, delegasi dapat melihat folder tertentu di kotak surat delegator. Begitu juga memiliki izin "Kirim atas nama" delegator surat. Delegasi ditambahkan ke atribut publicDelegates (juga dikenal sebagaiGrantSendOnBehalfToatribut di Microsoft Exchange Server)di delegator di kotak surat dan diberi tingkat izin folder ke folder kotak pesan. Skenario ini memerlukan berikut ini:

  1. Kemampuan untuk menambahkan pengguna lain hutan sebagai delegasi.

    Objek untuk setiap pengguna harus ada di cloud dan lingkungan lokal. Pengguna akan objek kotak surat di salah satu lingkungan pengguna di lingkungan lainnya. Untuk menambahkan pengguna surat ke delegasi, nilai dari atribut msExchRecipientDisplayType harus ditetapkan ke -1073741818. Nilai ini membuat objek ACLable. Yaitu, membuat objek yang akan ditambahkan ke Access Control List (ACL). Outlook mengenali objek ini, dan objectis ditambahkan sebagai delegasi meskipun tidak kotak surat di lingkungan Exchange delegator.

    secara asali, nilai ini dikonfigurasi di cloud. Namun, pelanggan harus mengkonfigurasi proses untuk memperbarui nilai ini untuk semua pengguna Surat di lingkungan Exchange di tempat (mewakili kotak surat cloud). Mulai Microsoft Exchange Server 2013 CU10 (lokal penginstalan Exchange), semua pengguna surat akan menetapkan atribut sesuaimsExchRecipientDisplayType .

    Pelanggan khusus warisan pindah ke vNext

    Pengguna Surat di lingkungan khusus warisan akan ACLable. Pengguna individu Surat di vNext dapat permintaan yang akan diperbarui secara manual. Untuk informasi selengkapnya, lihatKB 3187967 tidak dapat menambahkan kotak pesan lain di Outlook setelah migrasi ke Office 365 Dedicated/ITAR (vNext).

    Exchange 2010 and Exchange 2013 (sebelum peluncuran CU10)

    Pengguna dapat memperbarui bawaan script atau proses untuk mengkonfigurasi kotak pesan jauh baru yang ditetapkan sebagai ACLable. Cmdlet yang mirip seperti contoh berikut ini harus diintegrasikan proses bawaan. Cmdlet ini dijalankan terhadap lokal AD DS untukRemoteMailboxobjek. Objectis ini ditunjukkan sebagai objek pengguna surat.

    Contoh:
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    Exchange 2013 CU10

    Ketika Exchange Server 2013 CU10 secara umum, Anda akan menemukan fungsi baru yang memungkinkan administrator menjalankan organisasi perubahan untuk mengatur synched objek sebagai ACLable di Outlook. Setelah itu, panggilan yang dibuat melalui Surat replikasi Service (MRS) akan mengaktifkan MEU lokal sebagai ACLable.
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. Kemampuan untuk mengakses kotak surat folder lintas lokasi di Outlook.

    Fungsionalitas ini tersedia di klien yang menjalankan Office Outlook 2007 SP1 atau versi yang lebih baru.

  3. Kemampuan delegasi untuk kirim atas nama delegator.

    Izin "Kirim atas nama" ada di lingkungan host kotak surat delegator ketika delegasi ditambahkan di Outlook. Izin ini diberikan ketika atribut publicDelegatesterletak di salah satu lingkungan dan disinkronkan ke lingkungan lain yang menggunakan Azure AD Sync (AAD Sink). Nama atribut dalam Exchange adalahGrantSendOnBehalfTo.

    secara asali, nilai dari atribut ini disinkronkan dari lingkungan lokal ke internet. Namun, nilai tidak menyinkronkan dari awan untuk lingkungan lokal. Pelanggan harus membuat manual transformasi di AAD sinkronisasi mengalir atribut ini ke direktori mereka. Transformasi ini harus dikonfigurasi dengan pelanggan mereka instalasi AAD sinkronisasi.

    • Masuk baru menyinkronkan aliran dari awan AD ke metaverse lokal:
      FlowType = langsung
      Target atribut = publicDelegates
      Source = cloudPublicDelegates
    • keluar sinkronisasi aliran dari metaverse lokal ke lokal AD:
      FlowType = langsung
      Target atribut = publicDelegates
      Source = publicDelegates

    Ini berarti bahwa delegasi dihapus dari kotak surat delegator awan, dan kemudian Ubah disinkronkan ke lingkungan lokal dengan AAD sinkronisasi.

    Catatan secara asali, versi mendatang AADConnect akan mengalir atribut ini dari Azure AD.

Fitur tanggung jawab

Untuk pelanggan:

  • Sinkronisasi AAD secara manual mentransfer atribut publicDelegates dari awan lokal Azure AD.
  • Pengguna Surat di lokal AD harus menetapkan nilai dari atribut msExchRecipientDisplayType untuk -1073741818 (ini adalah nilai asali di Exchange 2013 CU9 dan versi yang lebih baru). Oleh karena itu, mereka yang ACLable.
Untuk Microsoft:

  • Meneruskan sinkronisasi dari Azure AD ke Exchange Online

    Ketika atribut disinkronkan dengan AAD sinkronisasi untuk Azure AD, proses sinkronisasi maju menyinkronkan nilai yang sesuai di Exchange Online.
  • Surat pengguna awan harus menetapkan nilai dari atribut msExchRecipientDisplayType untuk -1073741818. Oleh karena itu, mereka yang ACLable (Office 365 khusus pelanggan hanya).
  • BackSync mentransfer atribut CloudPublicDelegates dari Exchange Online ke Azure AD. Ini memungkinkan pelanggan AAD sinkronisasi transformasi ke aliran nilai Azure AD-lokal iklan (Office 365 khusus pelanggan hanya).

Pemecahan masalah

Jika pengguna melaporkan masalah ketika mereka mencoba menyelesaikan tugas-tugas terkait delegasi, ikuti langkah-langkah berikut:

  1. Lingkup kasus dengan benar.

    • Yang melaporkan masalah: delegasi atau delegator?
    • Apa masalahnya melihat? Sebagai contoh, pengguna tidak dapat menambahkan delegasi, tidak dapat menghapus a delegasi, atau delegasi tidak dapat menggunakan "Kirim atas nama" atau mengakses folder tertentu.
  2. Tinjau atribut publicDelegates (juga dikenal sebagaiGrantSendonBehalfTo atribut di Exchange) dari lokal AD DS dan Azure AD untuk mengkonfirmasi bahwa izin dikonfigurasi dengan benar.

    1. Atribut Active Directory lokal dapat diekspor dengan menggunakan Windows PowerShell modul direktori aktif.

    2. Azure Active Directory atribut dapat diekspor menggunakan modul Azure AD (download file dan instruksi yang tersedia diMengelola Azure AD menggunakan Windows PowerShell).
  3. Berdasarkan informasi yang tersedia, periksa Ikhtisar fitur dan tanggung jawab untuk menentukan mana misconfiguration mungkin ada.

Akses penuh pengguna dan kirim sebagai izin kotak surat bersama

Gambaran Umum

Objek untuk setiap pengguna harus ada di lingkungan awan dan lokal. Pengguna akan objek kotak surat di salah satu lingkungan pengguna di lingkungan lainnya. Kirim sebagai dan izin akses penuh disimpan dalam kendali daftar akses (ACL) pada objek pengguna dan tidak direplikasi oleh AAD sinkronisasi. Kirim sebagai izin diperiksa di lingkungan pesan dari pengirim atau delegasi. Hal ini dapat menambah kompleksitas skenario yang melibatkan delegasi dan kotak surat bersama di lingkungan yang berbeda. izin akses penuh pengguna yang memungkinkan akses ke kotak surat tidak dipengaruhi oleh kotak pesan di lingkungan yang berbeda. Dalam lingkungan hibrid, itu diharapkan kirim tersebut sebagai izin harus dikelola di dua objek.

Kirim sebagai izin awan dikelola dengan menggunakan cmdlet Exchange Online Add-RecipientPermission. Kirim sebagai izin lokal yang dikelola oleh menggunakan Exchange cmdlet Tambahkan ADPermission.

izin akses penuh dikelola dengan menggunakan Tambahkan MailboxPermission cmdlet.

Ada dua skenario yang melibatkan izin:

  1. Delegasi kotak surat di tempat, dan kotak surat bersama di cloud.

    Ketika kotak surat bersama dipindahkan ke cloud, ibu Exchange kopi karbon akses penuh dan "Kirim sebagai" izin ACL selama migrasi. Semua izin yang sudah ditetapkan di kotak surat yang dipindahkan dan tetap di Surat pengguna di lingkungan lokal. Delegasi akan tetap dapat mengirimkan sebagai dan mengakses kotak surat karena izin yang ada pada objek di lingkungan lokal. Delegasi ifthe kemudian dipindahkan ke internet, tidak ada perubahan tambahan diperlukan. Pengguna akan tetap dapat mengirimkan sebagai kotak surat karena izin juga ada di kotak surat di internet. Jika izin diubah setelah kotak surat yang dipindahkan, langkah-langkah tambahan mungkin diperlukan.
  2. Delegasi kotak surat di internet, dan kotak surat bersama lokal.

    "Kirim sebagai"izin

    Izin "Kirim sebagai" harus ditambahkan ke objek Surat Cloud yang mewakili kotak surat bersama. Pelanggan dapat mempersiapkan untuk migrasi oleh menyelesaikan pemindaian satu kali izin kotak surat di lingkungan lokal dan manual menambahkan izin tersebut ke objek di cloud. Apa pun "Kirim sebagai" izin yang perubahan setelah memindahkan kotak surat harus diperbarui secara manual pada objek kotak surat bersama di lingkungan kedua.

    "Akses penuh"izin

    Permissionsremain "akses penuh" pada kotak surat di tempat setelah migrasi. Langkah-langkah tambahan mungkin diperlukan saat Anda menambahkan izin yang baru.

Fitur tanggung jawab

Untuk pelanggan:

  • Manajemen izin di lokal dan awan lingkungan Exchange

Pemecahan masalah

  1. Lingkup kasus dengan benar:

    • Pengguna dan kotak surat bersama yang terlibat?
    • Apa lingkungan host setiap kotak pesan?
  2. Permintaan kopi karbon AD DS izin dari lokal AD DS dan Exchange Online:

    1. Lokal atribut AD DS dapat diekspor dengan menggunakan Windows PowerShell Active Directory modul:

    2. Izin Exchange Online dapat diekspor menggunakan PowerShell jarak jauh (RPS):

  3. Berdasarkan informasi yang tersedia, periksa Ikhtisar fitur dan tanggung jawab untuk menentukan mana misconfiguration mungkin ada.

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 3064053 - Tinjauan Terakhir: 11/14/2016 21:53:00 - Revisi: 2.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtid
Tanggapan