Panoramica della delega in un ambiente ibrido di Microsoft 365
Sintomi
Microsoft Exchange Online i clienti riscontrano problemi nella funzionalità delle autorizzazioni Accesso completo, Invia come, Invia per conto di e Cartella.
Causa
Affinché la delega ibrida di Microsoft 365 funzioni come previsto, è necessario soddisfare più requisiti.
Risoluzione
La delega ibrida di Microsoft 365 richiede una configurazione specifica nel cloud e nell'ambiente Active Directory locale Domain Services (AD DS). L'elenco seguente illustra le diverse autorizzazioni e il modo in cui funzionano in una distribuzione ibrida.
Questo articolo descrive la configurazione necessaria, i dettagli di amministrazione e i problemi noti associati a diversi tipi di autorizzazioni. Se è necessario l'aiuto di Microsoft per analizzare un problema specifico, raccogliere i dati di diagnostica seguenti da un utente che può riprodurre il comportamento:
- Descrizione dettagliata del problema, inclusi gli utenti interessati e il messaggio di errore ricevuto
- Screenshot pertinenti o output di Registrazione passaggi del problema
- Report di configurazione di Microsoft SaRa Support and Recovery Tool
- Log di risoluzione dei problemi di Outlook
Accesso completo
Le autorizzazioni di accesso completo consentono l'accesso a tutti i contenuti delle cassette postali.
Le autorizzazioni di accesso completo vengono concesse dagli amministratori solo tramite Exchange Amministrazione Center o Remote PowerShell (Add-MailboxPermission).
Le autorizzazioni di accesso completo funzioneranno tra foreste insieme al client Outlook per Windows.
L'individuazione automatica viene usata per trovare la cassetta postale anche quando si trova in un'altra foresta (usando il reindirizzamento dell'indirizzo di destinazione).
Si applicano le differenze seguenti, a seconda del modo in cui un utente tenta di accedere a un'altra cassetta postale:
- L'aggiunta come cassetta postale aggiuntiva richiede che una cassetta postale in un'altra foresta sia aclable nella foresta dell'utente.Adding as an additional mailbox requires a mailbox in another forest to be ACLable in the user's forest. Per altre informazioni, vedere Configurare Exchange per supportare le autorizzazioni delegate per le cassette postali in una distribuzione ibrida.
- Il mapping automatico non funzionerà finché tutte le cassette postali correlate non vengono spostate in Exchange Online. Tutte le cassette postali che ricevono le autorizzazioni da un'altra cassetta postale devono essere spostate contemporaneamente alla cassetta postale di concessione. Se una cassetta postale riceve autorizzazioni da più cassette postali, è necessario spostare contemporaneamente tutte le cassette postali (sia quella che riceve le autorizzazioni sia quelle che le concedono). Per altre informazioni, vedere Mapping automatico non funziona come previsto in un ambiente ibrido di Microsoft 365 e Autorizzazioni nelle distribuzioni ibride di Exchange.
- In alcuni scenari, un utente visualizzerà solo le informazioni sulla disponibilità per un calendario a cui dispone di autorizzazioni aggiuntive. Per altre informazioni, vedere Impossibile visualizzare i dati del calendario tra foreste nell'ambiente ibrido di Microsoft 365.
- L'utente non può inviare per conto di un altro utente dopo aver aggiunto una cassetta postale come account aggiuntivo. Per altre informazioni, vedere Non è possibile inviare un messaggio di posta elettronica quando viene concessa l'autorizzazione accesso completo a una cassetta postale condivisa in Exchange Server.
Le cassette postali delle risorse hanno funzionalità speciali e funzionano in modo diverso in alcuni scenari se si trovano in un'altra foresta, come indicato di seguito:
- Le cassette postali delle risorse non possono essere aggiunte come cassette postali aggiuntive. Per altre informazioni, vedere Non è possibile aggiungere una cassetta postale room o risorsa in un ambiente ibrido di Microsoft 365.
- I clienti non possono concedere autorizzazioni a una cassetta postale delle risorse. Per altre informazioni, vedere Non è possibile aggiungere autorizzazioni a una cassetta postale della sala in un'altra foresta in un ambiente ibrido di Microsoft 365.
Le cassette postali cloud di cui è stato appena effettuato il provisioning non possono accedere alle cassette postali locali. Per altre informazioni, vedere Non è possibile aggiungere una cassetta postale locale come cassetta postale aggiuntiva in Exchange Online.
Una nuova cassetta postale remota creata direttamente in Exchange Online non è aclable in Active Directory locale. Per altre informazioni, vedere Una cassetta postale remota creata in Active Directory Domain Services locale non è aclable in Exchange Online.
I clienti non possono accedere a una cassetta postale nascosta in Exchange Online. Per altre informazioni, vedere Non è possibile accedere a una cassetta postale nascosta in Outlook dopo una migrazione all'ambiente ibrido di Microsoft 365.
Invia come
- Invia come funziona in molti scenari, ma non è completamente supportato da Microsoft come descritto in Autorizzazioni nelle distribuzioni ibride di Exchange.
- Le autorizzazioni Invia come consentono l'invio della posta elettronica da un'altra cassetta postale che ha abilitato l'indirizzo di posta elettronica principale dell'oggetto utente di posta elettronica.
- Le autorizzazioni vengono concesse dagli amministratori tramite Exchange Amministrazione Center o Remote PowerShell (Add-ADPermission in Active Directory locale e Add-RecipientPermission in Exchange Online).
- Le autorizzazioni devono esistere nella foresta dell'utente mittente. Ad esempio, se la cassetta postale di un utente viene spostata in Exchange Online, le autorizzazioni Invia come devono essere elencate nell'oggetto utente di posta elettronica che rappresenta la cassetta postale locale.
- Le autorizzazioni non vengono sincronizzate da Microsoft Entra Connect.
- Le autorizzazioni impostate in Servizi di dominio Active Directory locali devono essere aggiunte manualmente nel Exchange Online per la funzionalità completa. Per altre informazioni, vedere Considerazioni sulla distribuzione ibrida di Exchange.
Accesso alle cartelle
È possibile accedere alle cartelle tra foreste in molti scenari, ma non sono completamente supportate da Microsoft, come descritto in Autorizzazioni nelle distribuzioni ibride di Exchange.
L'individuazione automatica viene usata per trovare la cassetta postale anche se si trova in un'altra foresta (usando il reindirizzamento dell'indirizzo di destinazione).
L'accesso alle cartelle può essere concesso dagli utenti tramite Outlook o dagli amministratori tramite il cmdlet Di PowerShell remoto Add-MailboxFolderPermission. Vengono applicate le seguenti condizioni:
- La cartella Calendario funziona in modo diverso in Outlook rispetto ad altre cartelle. Per altre informazioni, vedere Impossibile visualizzare i dati del calendario tra foreste nell'ambiente ibrido di Microsoft 365.
- Gli elementi privati sono visualizzabili solo se l'utente è configurato correttamente come delegato. Per altre informazioni, vedere I delegati non sono elencati correttamente in Outlook dopo una migrazione all'ambiente ibrido di Microsoft 365.
- L'utente non può visualizzare il calendario di una cassetta postale nascosta in Exchange Online. Per altre informazioni, vedere Non è possibile accedere a una cassetta postale nascosta in Outlook dopo una migrazione all'ambiente ibrido di Microsoft 365.
Invia per conto di
Invia per conto delle autorizzazioni consente l'invio della posta elettronica per conto di un altro indirizzo di posta elettronica
Le autorizzazioni possono essere concesse dagli utenti tramite Outlook o dagli amministratori tramite Exchange Amministrazione Center o PowerShell remoto (cmdlet Set-Mailbox).
Le autorizzazioni devono esistere nella foresta dell'utente mittente.
Per impostazione predefinita, l'attributo
PublicDelegates
(noto anche comeGrantSendOnBehalfTo
attributo in Exchange locale) viene sincronizzato con Exchange Online da Microsoft Entra Connect.È necessaria una configurazione aggiuntiva per sincronizzare l'attributo
PublicDelegates
con Active Directory Domain Services locale. Questa configurazione richiede l'abilitazione delle impostazioni di distribuzione ibrida di Exchange in Microsoft Entra Connect. Per altre informazioni, vedere Writeback ibrido di Exchange.Se l'impostazione di distribuzione ibrida di Exchange non è abilitata, l'autorizzazione Invia per conto di deve essere aggiunta manualmente da un amministratore tramite PowerShell remoto. A tale scopo, fare riferimento aDelegate can't send on behalf of after migration to Microsoft 365 hybrid environment (Delega non può inviare per conto di dopo la migrazione all'ambiente ibrido di Microsoft 365).
Delegati
Ai delegati può essere concessa una combinazione di diritti diversi in Outlook:
- Diritti di cartella
- Invio per conto di
- Regole di inoltro delle convocazioni di riunione (regole nascoste)
- Possibilità di visualizzare elementi privati (calendario)
Alcuni di questi diritti possono essere visualizzati e gestiti da un amministratore ,ad esempio Cartella e Invia per conto dei diritti. Alcuni vengono tuttavia archiviati solo nella cassetta postale di Exchange, ad esempio messaggi correlati alle riunioni, regole di inoltro e visibilità degli elementi privati.
La funzionalità di base funziona tra foreste usando Outlook per Windows. Vengono applicate le seguenti condizioni:
- Gli utenti possono accedere ad altre cartelle utente (diritti cartella e accesso completo).
- Gli utenti possono inviare per conto di un utente da un'altra foresta.
- Le regole per inoltrare gli inviti alle riunioni verranno recapitate correttamente.
- È possibile aggiungere nuovi delegati se gli utenti sono presenti in foreste diverse.
In Assistente pianificazione non sono elencati dettagli o informazioni limitate sulla disponibilità per le cassette postali in un'altra foresta. Vengono applicate le seguenti condizioni:
Alcune funzionalità non funzionano in Outlook Web App (OWA). Per altre informazioni, vedere gli articoli seguenti:
- I delegati non possono accettare inviti a riunioni in OWA se il manager si trova in un'altra foresta durante la coesistenza. Per altre informazioni, vedere Delegate can't accept meeting request in OWA when manager is in another forest during coexistence.For more information, see Delegate can't accept meeting request in OWA when manager is in another forest during coexistence.
- I delegati possono visualizzare informazioni sulla disponibilità in OWA solo se il manager si trova in un'altra foresta durante la coesistenza. Per altre informazioni, vedere Delegate can see free/busy information in OWA when manager is in another forest during coesistenza.For more information, see Delegate can see free/busy information in OWA when manager is in another forest during coexistence.
I flussi di lavoro tra il manager e gli utenti delegati sono diversi e possono verificarsi problemi.
È consigliabile spostare il manager e delegare gli utenti il più possibile. Vengono applicate le seguenti condizioni:
Quando vengono spostati separatamente, i delegati potrebbero non essere in grado di visualizzare gli elementi del calendario privato. Per altre informazioni, vedere I delegati non sono elencati correttamente in Outlook dopo una migrazione all'ambiente ibrido di Microsoft 365.
I delegati non configurati correttamente possono generare un report di mancato recapito. Per altre informazioni, vedere Gli utenti ricevono NDR 5.2.0 quando inviano inviti alle riunioni nell'ambiente ibrido di Microsoft 365.
L'attributo
LegacyExchangeDN
degli oggetti da Exchange Online e locale deve essere sincronizzato come indirizzi x500 tra foreste per evitare problemi di risoluzione che richiedono l'abilitazione delle impostazioni di distribuzione ibrida di Exchange in AD Connect. Per altre informazioni, vedere Writeback ibrido di Exchange.Se l'impostazione di distribuzione ibrida di Exchange non è abilitata, i delegati potrebbero visualizzare un report di mancato recapito quando aggiornano le riunioni. Per altre informazioni, vedere "550 5.1.11 RESOLVER. ADR. ExRecipNotFound" quando il delegato invia l'aggiornamento alla riunione dopo che il manager si è spostato nell'ambiente ibrido di Microsoft 365.
Nota
Tenere presente che la delega influisce anche sulla condivisione del calendario esterno. Per altre informazioni, vedere Non è possibile accettare un invito alla condivisione esterna usando Outlook in un ambiente ibrido.