Vue d’ensemble de la délégation dans un environnement hybride Microsoft 365

• S’applique à:

  Exchange Online

Symptômes

Microsoft Exchange Online clients rencontrent des problèmes dans les fonctionnalités de leurs autorisations Accès complet, Envoyer en tant que, Envoyer de la part de et Dossier.

Cause

Pour que la délégation hybride Microsoft 365 fonctionne comme prévu, plusieurs exigences doivent être remplies.

Résolution

La délégation hybride Microsoft 365 nécessite une configuration spécifique dans le cloud et dans l’environnement Active Directory local Domain Services (AD DS). La liste suivante décrit les différentes autorisations et leur fonctionnement dans un déploiement hybride.

Cet article décrit la configuration nécessaire, les détails d’administration et les problèmes connus associés à différents types d’autorisations. Si vous avez besoin d’aide de Microsoft pour examiner un problème spécifique, collectez les données de diagnostic suivantes auprès d’un utilisateur qui peut reproduire le comportement :

• Description détaillée du problème, y compris les utilisateurs affectés et le message d’erreur qu’ils reçoivent
• Captures d’écran pertinentes ou sortie de l’enregistreur d’étapes de problème
• Rapport de configuration de l’outil de support et de récupération Microsoft SaRa
• Journaux de résolution des problèmes Outlook

Accès total

• Les autorisations d’accès complet permettent d’accéder à tout le contenu de la boîte aux lettres.

• Les autorisations d’accès complet sont accordées par les administrateurs uniquement à l’aide d’Exchange Administration Center ou de Remote PowerShell (Add-MailboxPermission).

• Les autorisations d’accès complet fonctionnent entre les forêts avec le client Outlook pour Windows.

• La découverte automatique permet de rechercher la boîte aux lettres même lorsqu’elle se trouve dans une autre forêt (à l’aide de la redirection d’adresse cible).

• Les différences suivantes s’appliquent en fonction de la façon dont un utilisateur tente d’accéder à une autre boîte aux lettres :

  • L’ajout d’une boîte aux lettres supplémentaire nécessite qu’une boîte aux lettres située dans une autre forêt puisse être autorisée par contrôle d’accès dans la forêt de l’utilisateur. Pour plus d’informations, consultez Configurer Exchange pour prendre en charge les autorisations de boîte aux lettres déléguées dans un déploiement hybride.
  • Le mappage automatique ne fonctionne pas tant que toutes les boîtes aux lettres associées ne sont pas déplacées vers Exchange Online. Toutes les boîtes aux lettres qui reçoivent des autorisations d’une autre boîte aux lettres doivent être déplacées en même temps que la boîte aux lettres d’octroi. Si une boîte aux lettres reçoit des autorisations à partir de plusieurs boîtes aux lettres, cette boîte aux lettres et toutes les boîtes aux lettres lui octroyant des autorisations doivent être déplacées simultanément. Pour plus d’informations, consultez Le mappage automatique ne fonctionne pas comme prévu dans un environnement hybride Microsoft 365 et Autorisations dans les déploiements hybrides Exchange.
  • Dans certains scénarios, un utilisateur voit uniquement les informations de disponibilité d’un calendrier pour lequel il dispose d’autorisations supplémentaires. Pour plus d’informations, consultez Impossible d’afficher les données de calendrier inter-forêts dans l’environnement hybride Microsoft 365.
  • L’utilisateur ne peut pas envoyer au nom d’un autre utilisateur une fois qu’il a ajouté une boîte aux lettres en tant que compte supplémentaire. Pour plus d’informations, consultez Impossible d’envoyer un e-mail lorsque l’autorisation Accès total est accordée à une boîte aux lettres partagée dans Exchange Server.

• Les boîtes aux lettres de ressources ont des fonctionnalités spéciales et fonctionnent différemment dans certains scénarios si elles se trouvent dans une autre forêt, comme suit :

  • Les boîtes aux lettres de ressources ne peuvent pas être ajoutées en tant que boîtes aux lettres supplémentaires. Pour plus d’informations, consultez Impossible d’ajouter une boîte aux lettres de salle ou de ressource dans un environnement hybride Microsoft 365.
  • Les clients ne peuvent pas accorder d’autorisations à une boîte aux lettres de ressources. Pour plus d’informations, consultez Impossible d’ajouter des autorisations à une boîte aux lettres de salle dans une autre forêt dans un environnement hybride Microsoft 365.

• Les boîtes aux lettres cloud nouvellement approvisionnées ne peuvent pas accéder aux boîtes aux lettres locales. Pour plus d’informations, consultez Impossible d’ajouter une boîte aux lettres locale en tant que boîte aux lettres supplémentaire dans Exchange Online.

• Une nouvelle boîte aux lettres distante créée directement dans Exchange Online n’est pas modifiable dans Active Directory local. Pour plus d’informations, consultez Une boîte aux lettres distante créée dans les services AD DS locaux n’est pas aclable dans Exchange Online.

• Les clients ne peuvent pas accéder à une boîte aux lettres masquée dans Exchange Online. Pour plus d’informations, voir Impossible d’accéder à une boîte aux lettres masquée dans Outlook après une migration vers un environnement hybride Microsoft 365.

Envoyer en tant que

• L’option Envoyer en tant que fonctionne dans de nombreux scénarios, mais n’est pas entièrement prise en charge par Microsoft, comme indiqué dans Autorisations dans les déploiements hybrides Exchange.
• Les autorisations Envoyer en tant que permettent d’envoyer des messages à partir d’une autre boîte aux lettres qui a activé la adresse e-mail principale de l’objet utilisateur de messagerie.
• Les autorisations sont accordées par les administrateurs à l’aide du Centre de Administration Exchange ou de PowerShell distant (Add-ADPermission dans Active Directory local et Add-RecipientPermission dans Exchange Online).
• Les autorisations doivent exister dans la forêt de l’utilisateur d’envoi. Par exemple, si la boîte aux lettres d’un utilisateur est déplacée vers Exchange Online, les autorisations Envoyer en tant que doivent être répertoriées sur l’objet utilisateur de messagerie qui représente la boîte aux lettres locale.
• Les autorisations ne sont pas synchronisées par Microsoft Entra Connect.
• Les autorisations définies dans les services AD DS locaux doivent être ajoutées manuellement dans le Exchange Online pour des fonctionnalités complètes. Pour plus d’informations, consultez Considérations relatives au déploiement hybride Exchange.

Accès aux dossiers

• Les dossiers sont accessibles entre forêts dans de nombreux scénarios, mais ils ne sont pas entièrement pris en charge par Microsoft, comme indiqué dans Autorisations dans les déploiements hybrides Exchange.

• La découverte automatique est utilisée pour rechercher la boîte aux lettres même si elle se trouve dans une autre forêt (à l’aide de la redirection d’adresse cible).

• L’accès aux dossiers peut être accordé par les utilisateurs à l’aide d’Outlook ou par les administrateurs à l’aide de l’applet de commande PowerShell à distance Add-MailboxFolderPermission. Les conditions suivantes s'appliquent :

  • Le dossier Calendrier fonctionne différemment dans Outlook par rapport aux autres dossiers. Pour plus d’informations, consultez Impossible d’afficher les données de calendrier inter-forêts dans l’environnement hybride Microsoft 365.
  • Les éléments privés ne sont visibles que si l’utilisateur est correctement configuré en tant que délégué. Pour plus d’informations, voir Les délégués ne sont pas répertoriés correctement dans Outlook après une migration vers un environnement hybride Microsoft 365.
  • L’utilisateur ne peut pas afficher le calendrier d’une boîte aux lettres masquée dans Exchange Online. Pour plus d’informations, voir Impossible d’accéder à une boîte aux lettres masquée dans Outlook après une migration vers un environnement hybride Microsoft 365.

Envoyer au nom de

• Envoyer au nom des autorisations permettent d’envoyer des messages au nom d’une autre adresse e-mail

• Les autorisations peuvent être accordées par les utilisateurs à l’aide d’Outlook ou par les administrateurs à l’aide du Centre Administration Exchange ou de PowerShell distant (applet de commande Set-Mailbox).

• Les autorisations doivent exister dans la forêt de l’utilisateur d’envoi.

• Par défaut, l’attribut PublicDelegates (également appelé GrantSendOnBehalfTo attribut dans Exchange local) est synchronisé avec Exchange Online par Microsoft Entra Connect.

• Une configuration supplémentaire est nécessaire pour synchroniser l’attribut PublicDelegates avec AD DS local. Cette configuration nécessite l’activation des paramètres de déploiement hybride Exchange dans Microsoft Entra Connect. Pour plus d’informations, consultez Écriture différée hybride Exchange.

• Si le paramètre de déploiement hybride Exchange n’est pas activé, l’autorisation Envoyer de la part de doit être ajoutée manuellement par un administrateur à l’aide de Remote PowerShell. Pour ce faire, reportez-vous àDelegate can’t send on behalf of after migration to Microsoft 365 hybrid environment.

Délégués

• Les délégués peuvent se voir accorder une combinaison de différents droits dans Outlook :

  • Droits sur les dossiers
  • Envoi de la part de
  • Règles de transfert des demandes de réunion (règles masquées)
  • La possibilité de voir les éléments privés (calendrier)

  

• Certains de ces droits peuvent être vus et gérés par un administrateur (par exemple, Dossier et Envoyer au nom des droits). Toutefois, certains sont stockés uniquement dans la boîte aux lettres Exchange (tels que les messages liés à la réunion, les règles de transfert et la visibilité des éléments privés).

• Les fonctionnalités de base fonctionnent entre les forêts à l’aide d’Outlook pour Windows. Les conditions suivantes s'appliquent :

  • Les utilisateurs peuvent accéder à d’autres dossiers utilisateur (droits de dossier et accès complet).
  • Les utilisateurs peuvent envoyer au nom d’un utilisateur à partir d’une autre forêt.
  • Les règles de transfert des invitations aux réunions seront remises avec succès.
  • De nouveaux délégués peuvent être ajoutés si des utilisateurs existent dans des forêts différentes.

• Dans l’Assistant Planification, aucune information de disponibilité ou de disponibilité limitée n’est répertoriée pour les boîtes aux lettres d’une autre forêt. Les conditions suivantes s'appliquent :

  • Les utilisateurs ne peuvent pas voir les informations de disponibilité après le transfert d’une boîte aux lettres vers Microsoft 365
  • Les utilisateurs peuvent voir uniquement les informations de base de la boîte aux lettres de disponibilité dans une forêt distante dans Microsoft 365

• Certaines fonctionnalités ne fonctionnent pas dans Outlook Web App (OWA). Si vous souhaitez en savoir plus, consultez les articles suivants :

  • Les délégués ne peuvent pas accepter les invitations à une réunion dans OWA si le responsable se trouve dans une autre forêt pendant la coexistence. Pour plus d’informations, consultez Delegate can’t accept meeting request in OWA when manager is in another forest during coexistence.
  • Les délégués peuvent voir les informations de disponibilité dans OWA uniquement si le responsable se trouve dans une autre forêt pendant la coexistence. Pour plus d’informations, consultez Delegate ne peut voir les informations de disponibilité dans OWA que lorsque le gestionnaire se trouve dans une autre forêt pendant la coexistence.

• Les flux de travail entre le responsable et les utilisateurs délégués diffèrent, et des problèmes peuvent être rencontrés.

• Nous vous recommandons de déplacer votre responsable et de déléguer les utilisateurs autant que possible. Les conditions suivantes s'appliquent :

  • Lorsqu’ils sont déplacés séparément, les délégués peuvent ne pas être en mesure de voir les éléments de calendrier privés. Pour plus d’informations, voir Les délégués ne sont pas répertoriés correctement dans Outlook après une migration vers un environnement hybride Microsoft 365.

  • Les délégués mal configurés peuvent entraîner un rapport de non-remise. Pour plus d’informations, consultez Les utilisateurs reçoivent la notification d’échec de remise 5.2.0 lorsqu’ils envoient des invitations à une réunion dans un environnement hybride Microsoft 365.

  • L’attribut LegacyExchangeDN des objets Exchange Online et locaux doit être synchronisé en tant qu’adresses x500 entre les forêts pour éviter les problèmes de résolution qui nécessitent l’activation des paramètres de déploiement hybride Exchange dans AD Connect. Pour plus d’informations, consultez Écriture différée hybride Exchange.

  • Si le paramètre de déploiement hybride Exchange n’est pas activé, les délégués peuvent voir un rapport de non-remise lorsqu’ils mettent à jour des réunions. Pour plus d’informations, consultez « 550 5.1.11 RESOLVER. ADR. ExRecipNotFound » lorsque le délégué envoie une mise à jour à la réunion après le déplacement du responsable vers l’environnement hybride Microsoft 365.

Remarque

N’oubliez pas que la délégation affecte également le partage de calendrier externe. Pour plus d’informations, voir Impossible d’accepter une invitation de partage externe à l’aide d’Outlook dans un environnement hybride.