フォレスト間の委任が Office 365 専用/ITAR お客様 (vNext) のトラブルシューティング

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3064053
現象
VNext お客様の Microsoft Exchange Online は、「フル アクセス」アクセス許可の機能に問題がある、「送信者」アクセス許可、および異なる環境でのオブジェクトへのアクセスを委任します。
原因
(「フル アクセス」および「送信者」アクセス許可を含む)、フォレスト間の委任のために、期待どおりに、複数の要件を満たす必要があります。
解決方法
フォレスト間の委任では、クラウドとオンプレミスの Active Directory ドメイン サービス (AD DS) 環境での特定の構成が必要です。次の一般的なシナリオをトラブルシューティングします。
  • 代理人と代理人
  • 完全なユーザーのアクセスと共有されているメールボックスへのアクセス許可を"として送信する]

代理人と代理人

大要

このシナリオでは、代理人が代理人のメールボックスの特定のフォルダーを表示できます。デリゲートでは、代理人のメールボックスに対する「代理送信」アクセス許可も持っています。デリゲートは、 publicDelegates属性に追加されます(Microsoft Exchange Server のGrantSendOnBehalfTo属性とも呼ばれます)代理人でのメールボックスとメールボックスのフォルダーにフォルダー レベルのアクセス許可を付与します。このシナリオでは、次の項目が必要です。

  1. 代理人として他のフォレストからユーザーを追加する機能。

    クラウドとオンプレミス環境の両方でユーザーごとにオブジェクトが存在する必要があります。ユーザーは、1 つの環境でのメールボックス オブジェクトとその他の環境でメールが有効なユーザーになります。代理人にメールが有効なユーザーを追加するには、 -1073741818msExchRecipientDisplayType属性の値を設定しなければなりません。この値とオブジェクト ACLable.オブジェクトのアクセス制御リスト (ACL) を追加することができます。Outlook は、このオブジェクトでは、委任者の Exchange 環境でのメールボックスではないにもかかわらず、代理人として追加されたオブジェクトを認識します。

    既定では、クラウドでこの値が構成されています。ただし、お客様は (クラウドのメールボックスを表す)、オンプレミスの Exchange 環境でメールが有効なすべてのユーザーに対してこの値を更新するプロセスを構成する必要があります。起動する Microsoft Exchange Server 2013 CU10 (オンプレミス Exchange のインストール)、すべてのメール ユーザーは、適切なmsExchRecipientDisplayType属性を設定すること。

    VNext に移行する従来の専用お客様

    従来の専用の環境でのメール ユーザーを"ACLable"となります。VNext 内の個々 のメール ユーザーは、手動で更新するように要求できます。詳細については、KB 3187967 を Office 365 専用/ITAR (vNext) の移行後 Outlook の別のメールボックスを追加することはできません。.

    Exchange 2010 と Exchange 2013 を (CU10 リリース) の前に

    ユーザーには、プロビジョニングのスクリプトやプロセスを ACLable として、新しくプロビジョニングされたリモート メールボックスを構成するのにを更新できます。次の例のようなコマンドレットは、プロビジョニングのプロセスに統合する必要があります。このコマンドレットを実行して、設置されるRemoteMailboxオブジェクトの AD DS です。このオブジェクトがメール ユーザー オブジェクトとして表されます。

    例:
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    Exchange 2013 の CU10

    Exchange Server 2013 の CU10 が公に解放されると、管理者は Outlook で ACLable と同期オブジェクトを設定するのには組織の変更を実行できる新しい機能があります。その後は、メールボックス レプリケーション サービス (MR) を通じて行われる呼び出しが ACLable として設置 MEUs を有効になります。
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. メールボックス フォルダー間のフォレストでは Outlook にアクセスする機能。

    この機能は、Office Outlook 2007 の SP1 またはそれ以降のバージョンを実行しているクライアントで利用可能です。

  3. 代理人、代理人の代理で送信する機能です。

    「代理送信」アクセス許可は、Outlook の代理人を追加するときは、代理人のメールボックスをホストしている環境に存在します。PublicDelegates属性が 1 つの環境で設定し、Azure AD 同期 (AAD の同期) を使用する別の環境を同期するときは、このアクセス許可が与えられます。Exchange 内の属性の名前は、GrantSendOnBehalfToです。

    既定では、この属性の値はクラウド、オンプレミス環境から同期されます。ただし、値は、オンプレミス環境にクラウドから同期しません。お客様は、そのディレクトリには、この属性のフローの同期で AAD 手動変換を作成する必要があります。AAD の同期のインストールにお客様がこれらの変換を構成しなければなりません。

    • 受信新しい AD のクラウドからローカルのメタバースへのフローの同期頻度します。
      FlowType = ダイレクト
      属性をターゲット = publicDelegates
      ソース = cloudPublicDelegates
    • ローカル メタバースから、設置への同期のフローを送信する AD。
      FlowType = ダイレクト
      属性をターゲット = publicDelegates
      ソース = publicDelegates

    つまり、代理人が、クラウドでの代理人のメールボックスから削除される AAD の同期で、オンプレミス環境に変更が同期されて、します。

    既定では、AADConnect の将来のバージョンが流れるこの属性を Azure AD から。

機能の役割

: 顧客の

  • AAD の同期は手動で、施設での Azure AD に、クラウドからpublicDelegates属性を転送します。
  • ユーザーのメールが有効なオンプレミスの AD は、 -1073741818 (これは、Exchange 2013 CU9 およびそれ以降のバージョンの既定値) にmsExchRecipientDisplayType属性の値を設定する必要があります。したがって、これらは ACLable です。
マイクロソフト。

  • Azure AD からの同期をオンライン Exchange へ転送します

    Azure AD AAD の同期属性を同期すると、前方の同期プロセス値が同期適切な Exchange オンライン。
  • クラウド内のメールが有効なユーザーは、 -1073741818msExchRecipientDisplayType属性の値を設定する必要があります。したがって、これらは ACLable (専用の Office 365 のお客様のみ) です。
  • 逆同期は、Azure AD に、Exchange Online のCloudPublicDelegates属性を転送します。Azure AD から、設置型の値をフローするお客様は AAD の同期変換 AD (専用の Office 365 のお客様のみ)。

トラブルシューティング

ユーザーが問題を報告するは、代理人に関連するタスクを完了しようとすると、以下の手順を実行します。

  1. 大文字と小文字を適切にスコープです。

    • 問題: 代理人または代理人を報告したか。
    • 問題が見られる現象とは何ですか。たとえば、ユーザーが代理人を追加できません、ことはできません、デリゲートを削除またはデリゲートできません「代理送信」を使用して、または特定のフォルダーにアクセスします。
  2. オンプレミスのpublicDelegates属性 (Exchange のGrantSendonBehalfTo属性とも呼ばれます) を確認する AD DS と Azure AD へのアクセス許可が正しく構成されていることを確認します。

    1. オンプレミスの Active Directory 属性は、Windows PowerShell のアクティブなディレクトリのモジュールを使用してエクスポートできます。

    2. Azure AD モジュールを使用して、azure Active Directory 属性をエクスポートすることができます (ファイルをダウンロードし、指示は、Windows PowerShell を使用して AD を Azure の管理します。).
  3. 提供される情報に基づき、構成の誤りがある可能性がありますを決定する役割の概要と機能を確認します。

フル アクセスのユーザーと共有されているメールボックスへのアクセス許可として送信します。

大要

オンプレミスとクラウドの両方の環境でユーザーごとにオブジェクトが存在する必要があります。ユーザーは、1 つの環境でのメールボックス オブジェクトとその他の環境でメールが有効なユーザーになります。として送信し、フル アクセスのアクセス許可がユーザー オブジェクトのアクセス制御リスト (ACL) に格納され、AAD の同期ではレプリケートされません。送信者または代理人のメールボックスの環境で権限がチェックされますを送信します。デリゲートと異なる環境で共有メールボックスに関連するシナリオにこの複雑性を追加できます。メールボックスへのアクセスを可能にする完全なユーザーのアクセス許可は、異なる環境でのメールボックスの影響を受けません。ハイブリッド環境でことが予想を送信と、アクセス許可は、2 つのオブジェクトを管理する必要があります。

クラウドでのアクセス許可は、Exchange Online のコマンドレットを使用して管理を送信します。 追加 RecipientPermission.設置型は、Exchange コマンドレットを使用して、管理のアクセス許可として送信します。 追加 ADPermission.

使用して、フル アクセスのアクセス許可を管理します 追加 MailboxPermission コマンドレットです。

アクセス許可に関連する 2 つのシナリオがあります。

  1. 代理人のメールボックスは、オンプレミスとクラウドでは、共有メールボックスです。

    共有メールボックスをクラウドに移動すると、Exchange MR は完全なアクセス権をコピーし、「送信者」アクセス許可 Acl 移行時にします。メールボックスに既に設定されているすべてのアクセス許可は転送され、オンプレミス環境でメールが有効なユーザーに残ります。として送信し、オンプレミス環境でオブジェクトのアクセス許可が存在するため、メールボックスにアクセスできる代理人が続行されます。クラウドに移行する場合の代理人が移動した後で、追加の変更の必要はありません。ユーザーは引き続き、クラウド内のメールボックスにもアクセス許可が存在するためにメールボックスとして送信できるようにします。アクセス許可を変更するは、メールボックスを移動した後、追加の手順が必要な可能性があります。
  2. 代理人のメールボックスは、クラウドでは、共有メールボックス設置します。

    "として送信する]アクセス許可

    共有メールボックスをクラウドにメールが有効なオブジェクトに「送信者」アクセス許可を追加する必要があります。お客様は、オンプレミス環境でのメールボックスのアクセス許可の 1 回だけスキャンを完了して、クラウド内のオブジェクトにこれらのアクセス許可を手動で追加する、移行を準備できます。「送信者」アクセス許可変更後、両方の環境で共有されているメールボックス オブジェクトのメールボックスの移動を手動で更新する必要があります。

    [フル アクセス]アクセス許可

    メールボックスに対する「フル アクセス」の permissionsremain 設置移行後です。追加の手順は、新しいアクセス許可を追加すると、必要な場合があります。

機能の役割

: 顧客の

  • 設置型でアクセス許可を管理し、Exchange 環境をクラウド

トラブルシューティング

  1. 大文字と小文字のスコープを適切にするには。

    • どのユーザーと共有メールボックスが含まれるでしょうか。
    • どのような環境では、各メールボックスをホストしますか。
  2. オンプレミスの AD DS のアクセス許可のコピーを要求する AD DS および Exchange オンライン。

    1. オンプレミス AD DS の属性は、Windows PowerShell のアクティブなディレクトリのモジュールを使用して書き出すことができます。

    2. オンラインの Exchange のアクセス許可は、リモート PowerShell (RPS) を使用してエクスポートできます。

  3. 提供される情報に基づき、構成の誤りがある可能性がありますを決定する役割の概要と機能を確認します。

警告: この記事は自動翻訳されています

プロパティ

文書番号:3064053 - 最終更新日: 11/14/2016 21:54:00 - リビジョン: 3.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtja
フィードバック