跨目录林委派对 Office 365 专用/ITAR 客户 (vNext) 进行故障诊断

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3064053
症状
Microsoft Exchange Online vNext 客户在他们的"完全控制"权限的功能有问题、"代理发送"权限,和代理在不同环境中的对象的访问权限。
原因
为跨目录林委派 (包括"完全控制"和"代理发送"权限) 以达到预期效果,必须满足多种需求。
解决方案
跨目录林委派需要在云环境中和在内部部署 活动目录(AD) 域服务 (AD DS) 环境中的特定配置。以下是常见故障排查情形中︰
  • 委托/代理者
  • 完整的用户访问和共享邮箱的"代理发送"权限

委托/代理者

概述

在此方案中,代理就可以查看代理者的邮箱中的特定文件夹。委托还具有代理者的邮箱的"代表发送"权限。委托添加到publicDelegates特性(也称为 Microsoft Exchange Server 中的GrantSendOnBehalfTo属性)上代理者的邮箱,并被授予对邮箱文件夹的文件夹级权限。这种情况下,要求如下︰

  1. 从为代表的另一个目录林中添加用户的能力。

    为每个用户对象必须存在于云环境和内部环境。用户将在一个环境中的邮箱对象和已启用邮件的用户在另一个环境。已启用邮件的用户添加到委托, msExchRecipientDisplayType属性的值必须设置为-1073741818。此值将使对象 ACLable.也就是说,它允许对象被添加到访问控制列表 (ACL)。Outlook 识别出该对象,并添加为代理,即使它不是代理者的 Exchange 环境中的一个邮箱 objectis。

    默认情况下,此值配置在云中。但是,客户必须配置一个过程来更新此值 (表示云邮箱) 其内部 Exchange 环境中的所有已启用邮件的用户。所有邮件用户都启动 Microsoft Exchange Server 2013 CU10 (内部 Exchange 安装),将设置相应的msExchRecipientDisplayType属性。

    移动到 vNext 的旧式专用的客户

    邮件用户专用的传统环境中将 ACLable。在 vNext 中的单个邮件用户可以请求进行手动更新。有关详细信息,请参阅KB 3187967 不能迁移到 Office 365 专用/ITAR (vNext) 后在 Outlook 中添加另一个邮箱.

    Exchange 2010 和 Exchange 2013 (前 CU10 版)

    用户可以更新自动配置脚本或过程来配置新配置的任何远程邮箱为 ACLable。类似于下面的示例是 命令 应集成到装备流程中。针对内部部署运行该 命令 AD DS 的RemoteMailbox对象。此 objectis,表示为邮件用户对象。

    示例︰
    Get-ADUser $User| Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}
    交换 2013 CU10

    公开发布 Exchange Server 2013 CU10 时,您会发现新功能,使管理员可以运行变革要设置为 ACLable,在 Outlook 中的同步的对象。在此之后,通过邮箱复制服务 (女士) 发出的调用将 ACLable 作为使内部 MEUs。
    Set-OrganizationConfig -ACLableSyncedObjectEnabled $true
  2. 访问 Outlook 中的邮箱文件夹跨林的能力。

    此功能可用于运行 Office Outlook 2007 SP1 或更高版本的客户端。

  3. 委托代理者代表发送能力。

    当在 Outlook 中添加委托托管代理者邮箱环境中存在的"代表发送"权限。PublicDelegates特性在一个环境中设置和同步到其他环境中使用 Azure AD 同步 (AAD 同步) 时,已授予此权限。在 Exchange 中特性的名称是GrantSendOnBehalfTo

    默认情况下,此属性的值是与云同步从内部环境。但是,值不同步从云到内部部署环境。客户必须在 AAD 同步流动此属性设置为它们的目录创建手动转换。这些转换必须通过自己安装的 AAD 同步中的客户配置。

    • 接收新同步从云广告流向本地元节︰
      FlowType = 直
      目标属性 = publicDelegates
      源 = cloudPublicDelegates
    • 传出从本地元到内部部署的同步流广告︰
      FlowType = 直
      目标属性 = publicDelegates
      源 = publicDelegates

    这意味着从云中的代理者的邮箱中删除委托由 AAD 同步到内部部署环境同步更改然后。

    注意:默认情况下,AADConnect 的未来版本将此特性下从流 Azure 的广告。

功能的责任

客户︰

  • AAD 同步手动转移publicDelegates特性从云到内部 Azure 的广告。
  • 已启用邮件的用户在本地广告必须将msExchRecipientDisplayType属性的值设置为-1073741818 (这是交换 2013 CU9 及更高版本中的默认值)。因此,它们是 ACLable。
对于 Microsoft:

  • 附送同步从 Azure AD Exchange Online

    AAD 同步到 Azure AD 同步特性之后,正向同步进程同步适当的值在 Exchange 联机。
  • 在云环境中已启用邮件的用户必须设置msExchRecipientDisplayType属性的值为-1073741818。因此,它们是 ACLable (仅适用于 Office 365 提供专用的客户)。
  • BackSync 将CloudPublicDelegates属性从 Exchange Online 传输到 Azure 的广告。这使客户 AAD 同步转换流动到内部部署的值从 Azure 广告广告 (仅 Office 365 专用客户)。

故障排除

如果在尝试完成委托相关的任务时,用户报告问题,请执行以下步骤︰

  1. 这种情况的适当范围。

    • 谁报告的问题︰ 代理人或代理者?
    • 看到了他们的问题是什么?例如,用户不能添加一个委托,不能删除一个委托时,委托不能使用"代表发送"或特定文件夹的访问。
  2. 查看来自内部部署的publicDelegates属性 (也称为交换中的GrantSendonBehalfTo属性) AD DS 和 Azure 的广告,以确认正确配置权限。

    1. 可以通过使用 Windows PowerShell 活动目录模块导出内部活动目录属性。

    2. 可以通过使用 Azure AD 模块导出 azure 活动目录(AD) 特性 (下载文件和说明都在管理 Azure 使用 Windows PowerShell 的广告).
  3. 根据提供的信息,请查看概述和功能责任,以确定可能存在的配置不正确。

完整的用户访问权限和代理发送权限共享邮箱

概述

为每个用户对象必须存在于云和内部环境。用户将在一个环境中的邮箱对象和已启用邮件的用户在其他环境中。为发送和完全访问权限存储在用户对象中访问控制列表 (ACL) 和通过 AAD 同步不会被复制。发送发件人或代理邮箱的环境中检查权限。这可以涉及委托和在不同环境中的共享的邮箱方案增加复杂性。启用邮箱访问权限的超级用户访问权限不受不同环境中的邮箱。在混合环境中,预计该发送根据权限可能需要对两个对象进行管理。

使用 Exchange Online 的 cmdlet,管理云中的权限时,将发送 添加 RecipientPermission.发送使用 Exchange cmdlet,内部管理的权限 添加 ADPermission.

使用管理的完全访问权限 添加 MailboxPermission cmdlet。

有两种情形涉及的权限︰

  1. 代理邮箱是内部,并且共享的邮箱是云。

    共享的邮箱移动到云,Exchange 女士将复制的完全访问权限和"代理发送"权限 Acl 迁移过程。邮箱已设置的所有权限将转移,并且将保留在本地环境中已启用邮件的用户。代理将继续能够作为发送并访问邮箱,因为存在内部环境中的对象上的权限。如果委托以后移动到云,没有其他更改是必需的。用户仍将能够作为邮箱发送,因为在云中邮箱上也存在权限。如果移动邮箱后更改权限,可能需要执行其他步骤。
  2. 代理邮箱在云中,并且共享的邮箱内部。

    "代理发送"权限

    必须将"代理发送"权限添加到云中,表示共享的邮箱的已启用邮件的对象。客户可以准备迁移,通过完成内部环境中的邮箱权限一次性扫描和手动向云中的对象中添加这些权限。这两种环境中的共享的邮箱对象必须手动更新邮箱移动后进行了更改任何"代理发送"权限。

    "完全控制"权限

    "完全访问"邮箱 permissionsremain 内部迁移之后。当您添加新的权限,则可能需要执行其他步骤。

功能的责任

客户︰

  • 内部部署中的权限管理和云 Exchange 环境

故障排除

  1. 适当范围大小写︰

    • 涉及哪些用户和共享的邮箱?
    • 什么环境承载的每个邮箱?
  2. 内部部署请求的 AD DS 权限的副本 AD DS 和 Exchange 联机︰

    1. 内部部署 AD DS 特性可以通过使用 Windows PowerShell 活动目录模块导出︰

    2. 可以通过使用远程 PowerShell (RPS) 导出 Exchange Online 的权限︰

  3. 根据提供的信息,请查看概述和功能责任,以确定可能存在的配置不正确。

属性

文章 ID:3064053 - 上次审阅时间:11/14/2016 22:03:00 - 修订版本: 3.0

Microsoft Business Productivity Online Dedicated, Microsoft Business Productivity Online Suite Federal

  • vkbportal226 kbmt KB3064053 KbMtzh
反馈