Nhiều nhóm uỷ nhiệm khắc phục sự cố cho Office 365 chuyên dụng/ITAR khách (vNext)

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3064053
Triệu chứng
Microsoft Exchange Online vNext khách hàng gặp sự cố khi chức năng của quyền "truy cập đầy đủ", "gửi dưới dạng" quyền và đại diện truy cập các đối tượng trong môi trường khác nhau.
Nguyên nhân
Cho nhiều nhóm đoàn (bao gồm quyền "gửi dưới dạng" và "truy cập đầy đủ") để hoạt động như mong đợi, nhiều yêu cầu phải được đáp ứng.
Giải pháp
Nhiều nhóm đoàn yêu cầu cấu hình cụ thể trong đám mây và trong môi trường bản ghi dịch vụ miền danh mục hiện hoạt (AD DS) tại chỗ. Dưới đây là phổ biến khắc phục sự cố các trường hợp:
  • Người đại diện/Delegator
  • Truy nhập người dùng đầy đủ và "gửi dưới dạng" quyền hộp thư dùng chung

Người đại diện/Delegator

Tổng quan

Trong trường hợp này, người đại diện có thể xem các cặp trong hộp thư của delegator. Người đại diện có quyền "gửi mặt" delegator của hộp thư. Người đại diện được thêm vào thuộc tính publicDelegates (còn được gọi là các thuộc tínhGrantSendOnBehalfTotrong Microsoft Exchange Server)trên delegator của hộp thư và được mục cấp quyền truy cập vào mục tin thư thoại hộp thư. Tình huống này yêu cầu sau:

  1. Khả năng thêm người dùng từ một nhóm như người đại diện.

    Đối tượng cho mỗi người dùng phải tồn tại trong môi trường tại chỗ và ảo. Người dùng sẽ có một đối tượng hộp thư trong một môi trường và người dùng kích hoạt thư trong môi trường khác. Để thêm người dùng thư cho phép người đại diện, giá trị của thuộc tính msExchRecipientDisplayType phải được đặt thành -1073741818. Giá trị này làm cho các đối tượng ACLable. Tức là, nó cho phép các đối tượng được thêm vào một điều khiển danh sách truy nhập (ACL). Outlook nhận dạng đối tượng này và objectis thêm vào như một người đại diện mặc dù nó không phải là một hộp thư trong môi trường Exchange của delegator.

    theo mặc định, giá trị này được cấu hình ảo. Tuy nhiên, khách hàng phải cấu hình trình Cập Nhật giá trị này cho tất cả thư cho phép người dùng trong môi trường Exchange tại chỗ (đại diện cho hộp thư đám mây). Khởi động trong Microsoft Exchange Server 2013 CU10 (chỗ cài đặt chuyên biệt Exchange), tất cả người dùng thư sẽ đặt thuộc tính phù hợp vớimsExchRecipientDisplayType .

    Hợp lệ dành riêng cho khách hàng chuyển sang vNext

    Người dùng thư trong môi trường chuyên dụng hợp lệ sẽ ACLable. Người dùng thư riêng lẻ trong vNext có thể yêu cầu được Cập Nhật theo cách thủ công. Để biết thêm thông tin, hãy xemKB 3187967 không thể thêm một hộp thư trong Outlook sau khi di chuyển vào Office 365 chuyên dụng/ITAR (vNext).

    Exchange 2010 và Exchange 2013 (trước khi phát hành CU10)

    Người dùng có thể cập nhật cung cấp các kịch bản hoặc quy trình đặt cấu hình hộp thư từ xa mới được cung cấp bất kỳ ACLable. Lệnh giống như ví dụ sau đây sẽ được tích hợp vào quá trình cung cấp. Lệnh này được chạy trên cơ sở AD DS đối tượngRemoteMailbox. Objectis này là một đối tượng người dùng thư.

    Ví dụ:
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    Exchange 2013 CU10

    Exchange Server 2013 CU10 được phát hành công khai, bạn sẽ thấy tính năng mới cho phép quản trị viên chạy một tổ chức thay đổi thiết lập các đối tượng synched là ACLable trong Outlook. Sau đó, cuộc gọi được thực hiện qua bản ghi dịch vụ sao chép hộp thư (MRS) sẽ cho phép chỗ Meu là ACLable.
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. Khả năng truy cập hộp mục tin thư thoại chéo-nhóm trong Outlook.

    Chức năng này có sẵn trong máy tính khách đang chạy Office Outlook 2007 SP1 hoặc phiên bản mới hơn.

  3. Khả năng cho người đại diện cho đại diện cho delegator.

    "Gửi mặt" quyền tồn tại trong môi trường lưu trữ ứng dụng hộp thư delegator khi người đại diện được thêm vào Outlook. Quyền này được cấp khi các thuộc tính publicDelegatesđược đặt trong một môi trường được đồng bộ hoá với một môi trường sử dụng đồng bộ hóa AD Azure (AAD Sync). Tên thuộc tính trong Exchange làGrantSendOnBehalfTo.

    theo mặc định, giá trị của thuộc tính này được đồng bộ hoá từ môi trường tại chỗ với đám mây. Tuy nhiên, giá trị không đồng bộ hoá từ đám mây môi trường tại chỗ. Khách hàng phải tạo biến đổi thủ công trong AAD đồng lưu thuộc tính này vào mục tin thư thoại của họ. Những biến đổi phải được cấu hình của khách hàng trong cài đặt chuyên biệt của họ AAD Sync.

    • Đến mới đồng bộ dòng từ đám mây AD với metaverse cục bộ:
      FlowType = trực tiếp
      Thuộc tính target = publicDelegates
      Nguồn = cloudPublicDelegates
    • Đồng bộ hóa dòng metaverse cục bộ vào chỗ đi quảng cáo:
      FlowType = trực tiếp
      Thuộc tính target = publicDelegates
      Nguồn = publicDelegates

    Điều này có nghĩa là người đại diện bị xoá khỏi hộp thư của delegator ảo, và sau đó thay đổi được đồng bộ hoá môi trường tại chỗ bằng AAD Sync.

    Lưu ý theo mặc định, các phiên bản sắp tới của AADConnect sẽ lưu thuộc tính này xuống từ Azure.

Tính năng trách nhiệm

Đối với khách hàng:

  • AAD Sync tự chuyển thuộc tính publicDelegates từ đám mây trên tại chỗ Azure AD.
  • Người dùng kích hoạt thư tại chỗ quảng cáo phải đặt giá trị của thuộc tính msExchRecipientDisplayType -1073741818 (đây là giá trị mặc định trong Exchange 2013 CU9 và phiên bản mới hơn). Do đó, chúng là ACLable.
Microsoft:

  • Chuyển tiếp đồng bộ hoá từ Azure trao đổi trực tuyến

    Khi một thuộc tính được đồng bộ hoá với AAD Sync Azure quảng cáo, quá trình đồng bộ hoá tiếp đồng bộ hóa các giá trị phù hợp trong Exchange trực tuyến.
  • Người dùng kích hoạt thư ảo phải đặt giá trị của thuộc tính msExchRecipientDisplayType -1073741818. Do đó, chúng là ACLable (Office 365 dành cho khách hàng).
  • BackSync chuyển CloudPublicDelegates tính từ Exchange Online Azure quảng cáo. Điều này cho phép khách hàng AAD chuyển đổi đồng bộ dòng giá trị từ Azure tại chỗ quảng cáo (Office 365 dành cho khách hàng).

Khắc phục sự cố

Nếu người dùng báo cáo sự cố khi họ cố gắng hoàn thành người đại diện liên quan đến công việc, hãy làm theo các bước sau:

  1. Phạm vi hợp thích hợp.

    • Người báo cáo sự cố: người đại diện hoặc delegator?
    • Vấn đề họ thấy là gì? Ví dụ, người dùng không thể thêm người đại diện, không thể loại bỏ một người đại diện hoặc người đại diện không thể sử dụng "gửi mặt" hoặc truy cập vào một mục tin thư thoại cụ thể.
  2. Kiểm tra thuộc tính publicDelegates (còn được gọi làGrantSendonBehalfTo thuộc tính trong Exchange) từ chỗ AD DS và Azure AD để xác nhận rằng các quyền được cấu hình đúng.

    1. Thuộc tính Thư mục Họat động trên cơ sở có thể được xuất khẩu bằng cách sử dụng Windows PowerShell Thư mục Họat động mô-đun.

    2. Azure Thư mục Họat động thuộc tính có thể được xuất khẩu bằng cách sử dụng mô-đun Azure AD (tệp tải xuống và hướng dẫn có sẵn tạiQuản lý Azure AD sử dụng Windows PowerShell).
  3. Dựa trên thông tin được cung cấp, kiểm tra tổng quan về các tính năng và trách nhiệm để xác định vị trí sai có thể tồn tại.

Người dùng truy cập đầy đủ và gửi quyền hộp thư dùng chung

Tổng quan

Đối tượng cho mỗi người dùng phải tồn tại trong môi trường máy chủ ảo và tại chỗ. Người dùng sẽ có một đối tượng hộp thư trong một môi trường và người dùng kích hoạt thư trong môi trường khác. Gửi và quyền truy cập đầy đủ được lưu trữ trong điều khiển danh sách truy nhập (ACL) trong đối tượng người dùng và không được sao chép bằng AAD Sync. Gửi như quyền được chọn trong môi trường của hộp thư của người gửi hoặc người đại diện. Điều này có thể thêm phức tạp tình huống liên quan đến người đại diện và các hộp thư dùng chung trong môi trường khác nhau. Quyền truy cập người dùng đầy đủ cho phép truy cập vào hộp thư không bị ảnh hưởng bởi các hộp thư trong môi trường khác nhau. Trong môi trường kết hợp, nó đã dự kiến gửi đó như quyền có thể quản lý hai đối tượng.

Gửi như quyền ảo được quản lý bằng cách sử dụng lệnh Exchange Online Thêm RecipientPermission. Gửi tại chỗ được quản lý bằng cách sử dụng lệnh Exchange, quyền Thêm ADPermission.

Quyền truy cập được quản lý bằng cách sử dụng các Add-MailboxPermission lệnh ghép ngắn.

Có hai trường hợp liên quan đến quyền:

  1. Người đại diện thư là tại chỗ và hộp thư dùng chung là đám mây.

    Khi hộp thư dùng chung được di chuyển tới đám mây, bà Exchange sao truy cập đầy đủ và "gửi dưới dạng" quyền ACLs trong quá trình di chuyển. Tất cả các quyền đã được thiết lập trong hộp thư được chuyển và vẫn còn trên người dùng kích hoạt thư trong môi trường tại chỗ. Người đại diện sẽ tiếp tục có thể gửi và truy cập hộp thư bởi vì các quyền tồn tại trên các đối tượng trong môi trường tại chỗ. Người đại diện ifthe sau di chuyển đám mây, không có thay đổi bổ sung được yêu cầu. Người dùng sẽ tiếp tục để có thể gửi dưới dạng hộp vì quyền tồn tại trên hộp ảo. Nếu điều khoản được thay đổi sau khi hộp thư được di chuyển, bước bổ sung có thể được yêu cầu.
  2. Hộp thư của người đại diện ở đám mây, và hộp thư dùng chung trên cơ sở.

    "Gửi dưới dạng"quyền

    Quyền "gửi dưới dạng" phải được thêm vào đối tượng hỗ trợ thư ảo hộp thư dùng chung. Khách hàng có thể chuẩn bị di chuyển hoàn thành quét một lần quyền hộp thư trong môi trường tại chỗ và tự thêm các quyền cho các đối tượng ảo. Bất kỳ "gửi dưới dạng" điều khoản được thay đổi sau khi di chuyển hộp thư phải được Cập Nhật theo cách thủ công vào các đối tượng hộp thư dùng chung trong cả hai môi trường.

    "Truy cập đầy đủ"quyền

    "Truy cập đầy đủ" permissionsremain trong hộp thư tại chỗ sau khi di chuyển. Bước bổ sung có thể được yêu cầu khi bạn thêm quyền mới.

Tính năng trách nhiệm

Đối với khách hàng:

  • quản lý quyền tại chỗ và đám mây môi trường Exchange

Khắc phục sự cố

  1. Phạm vi hợp thích hợp:

    • Người dùng và hộp thư dùng chung mà có liên quan?
    • môi trường lưu trữ ứng dụng mỗi thư?
  2. Yêu cầu bản quyền AD DS từ chỗ AD DS và Exchange Online:

    1. Chỗ AD DS thuộc tính có thể được xuất khẩu bằng cách sử dụng Windows PowerShell Thư mục Họat động mô-đun:

    2. Exchange Online quyền có thể được xuất khẩu bằng cách sử dụng PowerShell từ xa (RPS):

  3. Dựa trên thông tin được cung cấp, kiểm tra tổng quan về các tính năng và trách nhiệm để xác định vị trí sai có thể tồn tại.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3064053 - Xem lại Lần cuối: 11/14/2016 22:02:00 - Bản sửa đổi: 2.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtvi
Phản hồi