Übersicht über die Delegierung in einer Microsoft 365-Hybridumgebung

• Gilt für::

  Exchange Online

Symptome

Microsoft Exchange Online Kunden Probleme mit der Funktionalität ihrer Berechtigungen "Vollzugriff", "Senden als", "Senden im Auftrag von" und "Ordner" haben.

Ursache

Damit die Microsoft 365-Hybriddelegierung wie erwartet funktioniert, müssen mehrere Anforderungen erfüllt sein.

Lösung

Die Microsoft 365-Hybriddelegierung erfordert eine bestimmte Konfiguration in der Cloud und in der lokales Active Directory Domain Services -Umgebung (AD DS). In der folgenden Liste werden die verschiedenen Berechtigungen und deren Funktionsweise in einer Hybridbereitstellung erläutert.

In diesem Artikel werden die erforderlichen Konfigurationen, Verwaltungsdetails und bekannten Probleme beschrieben, die mit verschiedenen Arten von Berechtigungen verbunden sind. Wenn Sie Hilfe von Microsoft benötigen, um ein bestimmtes Problem zu untersuchen, sammeln Sie die folgenden Diagnosedaten von einem Benutzer, der das Verhalten reproduzieren kann:

• Detaillierte Beschreibung des Problems, einschließlich der betroffenen Benutzer und der Fehlermeldung, die sie erhalten
• Relevante Screenshots oder Ausgabe der Aufzeichnung von Problemschritten
• Ein Konfigurationsbericht vom Microsoft SaRa Support and Recovery Tool
• Outlook-Protokolle zur Problembehandlung

Vollzugriff

• Vollzugriffsberechtigungen bieten Zugriff auf alle Postfachinhalte.

• Vollzugriffsberechtigungen werden von Administratoren nur mithilfe von Exchange Admin Center oder Remote PowerShell (Add-MailboxPermission) erteilt.

• Vollzugriffsberechtigungen funktionieren gesamtstrukturübergreifend mit dem Outlook-Client für Windows.

• Die AutoErmittlung wird verwendet, um das Postfach auch dann zu finden, wenn es sich in einer anderen Gesamtstruktur befindet (mithilfe der Zieladressenumleitung).

• Je nachdem, wie ein Benutzer versucht, auf ein anderes Postfach zuzugreifen, gelten die folgenden Unterschiede:

  • Das Hinzufügen als zusätzliches Postfach erfordert, dass ein Postfach in einer anderen Gesamtstruktur in der Gesamtstruktur des Benutzers ACL-fähig ist. Weitere Informationen finden Sie unter Konfigurieren von Exchange zur Unterstützung delegierter Postfachberechtigungen in einer Hybridbereitstellung.
  • Die automatische Zuordnung funktioniert erst, wenn alle zugehörigen Postfächer in Exchange Online verschoben wurden. Alle Postfächer, die Berechtigungen von einem anderen Postfach erhalten, müssen gleichzeitig mit dem erteilenden Postfach verschoben werden. Wenn ein Postfach Berechtigungen von mehreren Postfächern empfängt, müssen dieses Postfach und alle Postfächer, die Berechtigungen dafür gewähren, gleichzeitig verschoben werden. Weitere Informationen finden Sie unter Automatische Zuordnung funktioniert in einer Microsoft 365-Hybridumgebung nicht wie erwartet und Berechtigungen in Exchange-Hybridbereitstellungen.
  • In einigen Szenarien sehen Benutzer nur Frei/Gebucht-Informationen für einen Kalender, für den er über zusätzliche Berechtigungen verfügt. Weitere Informationen finden Sie unter Kann keine gesamtstrukturübergreifenden Kalenderdaten in einer Microsoft 365-Hybridumgebung anzeigen.
  • Der Benutzer kann nicht im Namen eines anderen Benutzers senden, nachdem er ein Postfach als zusätzliches Konto hinzugefügt hat. Weitere Informationen finden Sie unter Kann keine E-Mail-Nachricht senden, wenn die Vollzugriffsberechtigung für ein freigegebenes Postfach in Exchange Server erteilt wird.

• Ressourcenpostfächer verfügen über spezielle Funktionen und funktionieren in einigen Szenarien anders, wenn sie sich in einer anderen Gesamtstruktur befinden, wie folgt:

  • Ressourcenpostfächer können nicht als zusätzliche Postfächer hinzugefügt werden. Weitere Informationen finden Sie unter Hinzufügen eines Raum- oder Ressourcenpostfachs in einer Microsoft 365-Hybridumgebung.
  • Kunden können keine Berechtigungen für ein Ressourcenpostfach erteilen. Weitere Informationen finden Sie unter Hinzufügen von Berechtigungen zu einem Raumpostfach in einer anderen Gesamtstruktur in einer Microsoft 365-Hybridumgebung.

• Neu bereitgestellte Cloudpostfächer können nicht auf lokale Postfächer zugreifen. Weitere Informationen finden Sie unter Hinzufügen eines lokalen Postfachs als zusätzliches Postfach in Exchange Online.

• Ein neues Remotepostfach, das direkt in Exchange Online erstellt wird, ist in lokales Active Directory nicht ACL-fähig. Weitere Informationen finden Sie unter Ein Remotepostfach, das in einer lokalen AD DS-Instanz erstellt wurde, ist in Exchange Online nicht ACLable.For more information, see A remote mailbox created in on-premise AD DS is not ACLable in Exchange Online.

• Kunden können in Exchange Online nicht auf ein ausgeblendetes Postfach zugreifen. Weitere Informationen finden Sie unter Kann nach einer Migration zur Microsoft 365-Hybridumgebung nicht auf ein ausgeblendetes Postfach in Outlook zugreifen.

Senden als

• Senden wie funktioniert in vielen Szenarien, wird jedoch nicht vollständig von Microsoft unterstützt, wie unter Berechtigungen in Exchange-Hybridbereitstellungen beschrieben.
• Die Berechtigungen "Senden als" ermöglichen das Senden von E-Mails aus einem anderen Postfach, das die primäre E-Mail-Adresse des E-Mail-Benutzerobjekts aktiviert hat.
• Berechtigungen werden von Administratoren mithilfe von Exchange Admin Center oder Remote PowerShell (Add-ADPermission in lokales Active Directory und Add-RecipientPermission in Exchange Online) erteilt.
• Berechtigungen müssen in der Gesamtstruktur des sendenden Benutzers vorhanden sein. Wenn z. B. das Postfach eines Benutzers in Exchange Online verschoben wird, müssen die Berechtigungen Senden als für das E-Mail-Benutzerobjekt aufgeführt werden, das das lokale Postfach darstellt.
• Berechtigungen werden von Microsoft Entra Connect nicht synchronisiert.
• Berechtigungen, die in der lokalen AD DS-Instanz festgelegt werden, müssen manuell in der Exchange Online hinzugefügt werden, um die volle Funktionalität zu erhalten. Weitere Informationen finden Sie unter Überlegungen zur Hybridbereitstellung in Exchange.

Ordnerzugriff

• Auf Ordner kann in vielen Szenarien gesamtstrukturübergreifend zugegriffen werden, aber sie werden von Microsoft nicht vollständig unterstützt, wie unter Berechtigungen in Exchange-Hybridbereitstellungen beschrieben.

• Die AutoErmittlung wird verwendet, um das Postfach auch dann zu finden, wenn es sich in einer anderen Gesamtstruktur befindet (mithilfe der Zieladressenumleitung).

• Der Ordnerzugriff kann von Benutzern mithilfe von Outlook oder von Administratoren mithilfe des Remote PowerShell-Cmdlets Add-MailboxFolderPermission gewährt werden. Dabei gilt Folgendes:

  • Der Ordner Kalender funktioniert in Outlook anders als andere Ordner. Weitere Informationen finden Sie unter Kann keine gesamtstrukturübergreifenden Kalenderdaten in einer Microsoft 365-Hybridumgebung anzeigen.
  • Private Elemente können nur angezeigt werden, wenn der Benutzer ordnungsgemäß als Delegat konfiguriert ist. Weitere Informationen finden Sie unter Delegaten werden in Outlook nach einer Migration zur Microsoft 365-Hybridumgebung nicht ordnungsgemäß aufgelistet.
  • Der Benutzer kann den Kalender eines ausgeblendeten Postfachs in Exchange Online nicht anzeigen. Weitere Informationen finden Sie unter Kann nach einer Migration zur Microsoft 365-Hybridumgebung nicht auf ein ausgeblendetes Postfach in Outlook zugreifen.

Senden im Auftrag von

• Senden im Auftrag von Berechtigungen ermöglichen, dass E-Mails im Namen einer anderen E-Mail-Adresse gesendet werden

• Berechtigungen können von Benutzern mithilfe von Outlook oder von Administratoren mithilfe von Exchange Admin Center oder Remote PowerShell (Cmdlet Set-Mailbox) erteilt werden.

• Berechtigungen müssen in der Gesamtstruktur des sendenden Benutzers vorhanden sein.

• Standardmäßig wird das PublicDelegates Attribut (auch als Attribut in Exchange lokal bezeichnetGrantSendOnBehalfTo) von Microsoft Entra Connect mit Exchange Online synchronisiert.

• Eine zusätzliche Konfiguration ist erforderlich, um das Attribut mit einer PublicDelegates lokalen AD DS-Instanz zu synchronisieren. Diese Konfiguration erfordert die Aktivierung der Exchange-Hybridbereitstellungseinstellungen in Microsoft Entra Connect. Weitere Informationen finden Sie unter Hybridrückschreiben in Exchange.

• Wenn die Exchange-Hybridbereitstellungseinstellung nicht aktiviert ist, muss die Berechtigung Senden im Auftrag von manuell von einem Administrator mithilfe von Remote PowerShell hinzugefügt werden. Informationen hierzu finden Sie unterStellvertretung kann nach der Migration zur Microsoft 365-Hybridumgebung nicht im Namen von gesendet werden.

Stellvertretungen

• Delegaten kann eine Kombination verschiedener Rechte in Outlook gewährt werden:

  • Ordnerrechte
  • Senden im Namen von
  • Weiterleitungsregeln für Besprechungsanfragen (ausgeblendete Regeln)
  • Die Möglichkeit, private Elemente (Kalender) anzuzeigen

  

• Einige dieser Rechte können von einem Administrator eingesehen und verwaltet werden (z. B. Ordner und Im Auftrag von Rechten senden). Einige werden jedoch nur im Exchange-Postfach gespeichert (z. B. besprechungsbezogene Nachrichten, Weiterleitungsregeln und Sichtbarkeit privater Elemente).

• Grundlegende Funktionen funktionieren gesamtstrukturübergreifend mithilfe von Outlook für Windows. Dabei gilt Folgendes:

  • Benutzer können auf andere Benutzerordner zugreifen (Ordnerrechte und Vollzugriff).
  • Benutzer können im Namen eines Benutzers aus einer anderen Gesamtstruktur senden.
  • Regeln zum Weiterleiten von Besprechungseinladungen werden erfolgreich übermittelt.
  • Neue Delegaten können hinzugefügt werden, wenn Benutzer in verschiedenen Gesamtstrukturen vorhanden sind.

• Im Terminplanungs-Assistenten sind keine Details oder eingeschränkten Frei/Gebucht-Informationen für Postfächer in einer anderen Gesamtstruktur aufgeführt. Dabei gilt Folgendes:

  • Benutzer können keine Frei/Gebucht-Informationen sehen, nachdem ein Postfach zu Microsoft 365 verschoben wurde
  • Benutzer können nur grundlegende Frei/Gebucht-Postfachinformationen in einer Remotegesamtstruktur in Microsoft 365 anzeigen.

• Einige Funktionen funktionieren in Outlook Web App (OWA) nicht. Weitere Informationen finden Sie in den folgenden Artikeln:

  • Stellvertretungen können keine Besprechungseinladungen in OWA annehmen, wenn sich der Manager während der Koexistenz in einer anderen Gesamtstruktur befindet. Weitere Informationen finden Sie unter Delegate can't accept meeting request in OWA when manager is in another forest during koexist.
  • Stellvertretungen können Frei/Gebucht-Informationen in OWA nur anzeigen, wenn sich der Manager während der Koexistenz in einer anderen Gesamtstruktur befindet. Weitere Informationen finden Sie unter Delegat kann Frei/Gebucht-Informationen nur in OWA anzeigen, wenn sich der Manager während der Koexistenz in einer anderen Gesamtstruktur befindet.

• Workflows zwischen dem Vorgesetzten und den Stellvertretungsbenutzern unterscheiden sich, und es können Probleme auftreten.

• Es wird empfohlen, dass Sie Ihren Vorgesetzten verschieben und Die Benutzer so weit wie möglich delegieren. Dabei gilt Folgendes:

  • Wenn sie separat verschoben werden, können Stellvertretungen möglicherweise keine privaten Kalenderelemente sehen. Weitere Informationen finden Sie unter Delegaten werden in Outlook nach einer Migration zur Microsoft 365-Hybridumgebung nicht ordnungsgemäß aufgelistet.

  • Falsch konfigurierte Stellvertretungen können zu einem Nichtübermittlungsbericht führen. Weitere Informationen finden Sie unter Benutzer erhalten NDR 5.2.0, wenn sie Besprechungseinladungen in einer Microsoft 365-Hybridumgebung senden.

  • Das LegacyExchangeDN Attribut von Objekten aus Exchange Online und lokal sollte als x500-Adressen zwischen Gesamtstrukturen synching sein, um Lösungsprobleme zu vermeiden, die die Aktivierung der Exchange-Hybridbereitstellungseinstellungen in AD Connect erfordern. Weitere Informationen finden Sie unter Hybridrückschreiben in Exchange.

  • Wenn die Exchange-Hybridbereitstellungseinstellung nicht aktiviert ist, sehen Stellvertretungen möglicherweise einen Bericht zur Nichtübermittlung, wenn sie Besprechungen aktualisieren. Weitere Informationen findest du unter 550 5.1.11 RESOLVER. ADR. "ExRecipNotFound", wenn der Delegat ein Update an die Besprechung sendet, nachdem der Manager in die Microsoft 365-Hybridumgebung verschoben wurde.

Hinweis

Beachten Sie, dass sich die Delegierung auch auf die Freigabe externer Kalender auswirkt. Weitere Informationen finden Sie unter Unable to accept an external sharing invitation by using Outlook in a hybrid environment .For more information, see Unable to accept an external sharing invitation by using Outlook in a hybrid environment.