Microsoft 365 ハイブリッド環境での委任の概要
現象
Microsoft Exchange Onlineお客様は、フル アクセス、送信、代理送信、フォルダーアクセス許可の機能に問題があります。
原因
Microsoft 365 ハイブリッド委任を期待どおりに機能させるには、複数の要件を満たす必要があります。
解決方法
Microsoft 365 ハイブリッド委任では、クラウドとオンプレミスの Active Directory Domain Services (AD DS) 環境で特定の構成が必要です。 次の一覧では、さまざまなアクセス許可と、それらがハイブリッド展開でどのように機能するかについて説明します。
この記事では、必要な構成、管理の詳細、およびさまざまな種類のアクセス許可に関連付けられている既知の問題について説明します。 特定の問題を調査するために Microsoft のヘルプが必要な場合は、動作を再現できるユーザーから次の診断データを収集します。
- 影響を受けるユーザーや表示されるエラー メッセージなど、問題の詳細な説明
- 関連するスクリーンショットまたは 問題ステップ レコーダー の出力
- Microsoft SaRa サポートと回復ツールからの構成レポート
- Outlook のトラブルシューティング ログ
フル アクセス許可
フル アクセス許可を使用すると、すべてのメールボックスコンテンツにアクセスできます。
フル アクセス許可は、Exchange 管理 センターまたはリモート PowerShell (Add-MailboxPermission) を使用してのみ管理者によって付与されます。
フル アクセスのアクセス許可は、Windows 用 Outlook クライアントと共にフォレスト間で機能します。
自動検出は、(ターゲット アドレス リダイレクトを使用して) 別のフォレスト内にある場合でもメールボックスを検索するために使用されます。
ユーザーが別のメールボックスにアクセスする方法に応じて、次の違いが適用されます。
- 追加のメールボックスとして追加するには、別のフォレスト内のメールボックスをユーザーのフォレストで ACLable にする必要があります。 詳細については、「 ハイブリッド展開で委任されたメールボックスのアクセス許可をサポートするように Exchange を構成する」を参照してください。
- 関連するすべてのメールボックスがExchange Onlineに移動されるまで、自動マッピングは機能しません。 別のメールボックスからアクセス許可を受け取るメールボックスは、許可するメールボックスと同時に移動する必要があります。 1 つのメールボックスが複数のメールボックスからアクセス許可を受け取る場合、そのメールボックスと、そのメールボックスにアクセス許可を付与するすべてのメールボックスは、同時に移動する必要があります。 詳細については、「 Microsoft 365 ハイブリッド環境では自動マッピングが期待どおりに機能しない 」と「 Exchange ハイブリッド展開でのアクセス許可」を参照してください。
- 一部のシナリオでは、追加のアクセス許可を持つ予定表の空き時間情報のみがユーザーに表示されます。 詳細については、「 Microsoft 365 ハイブリッド環境でフォレスト間の予定表データを表示できない」を参照してください。
- ユーザーは、メールボックスを追加アカウントとして追加した後、別のユーザーに代わって送信することはできません。 詳細については、「Exchange Serverの共有メールボックスにフル アクセス許可が付与されている場合に電子メール メッセージを送信できない」を参照してください。
リソース メールボックスには特殊な機能があり、次のように別のフォレストにある場合は、一部のシナリオで動作が異なります。
- リソース メールボックスを追加のメールボックスとして追加することはできません。 詳細については、「 Microsoft 365 ハイブリッド環境に会議室またはリソース メールボックスを追加できない」を参照してください。
- お客様は、リソース メールボックスにアクセス許可を付与できません。 詳細については、「 Microsoft 365 ハイブリッド環境の別のフォレストの会議室メールボックスにアクセス許可を追加できない」を参照してください。
新しくプロビジョニングされたクラウド メールボックスは、オンプレミスのメールボックスにアクセスできません。 詳細については、「Exchange Onlineでオンプレミスメールボックスを追加メールボックスとして追加できない」を参照してください。
Exchange Onlineで直接作成された新しいリモート メールボックスは、オンプレミスの Active Directoryでは ACLable ではありません。 詳細については、「オンプレミス AD DS で作成されたリモート メールボックスは、Exchange Onlineで ACLable ではない」を参照してください。
お客様は、Exchange Onlineの非表示のメールボックスにアクセスできません。 詳細については、「 Microsoft 365 ハイブリッド環境への移行後に Outlook で非表示のメールボックスにアクセスできない」を参照してください。
メールボックス所有者として送信する
- 送信は多くのシナリオで機能しますが、「 Exchange ハイブリッド展開でのアクセス許可」で説明されているように、Microsoft では完全にはサポートされていません。
- [送信] アクセス許可を使用すると、メール ユーザー オブジェクトのプライマリ メール アドレスを有効にした別のメールボックスからメールを送信できます。
- アクセス許可は、Exchange 管理 センターまたはリモート PowerShell (オンプレミスの Active Directory では Add-ADPermission、Exchange Onlineでは Add-RecipientPermission) を使用して管理者によって付与されます。
- アクセス許可は、送信側ユーザーのフォレストに存在する必要があります。 たとえば、ユーザーのメールボックスをExchange Onlineに移動する場合は、オンプレミスのメールボックスを表すメール ユーザー オブジェクトに[名前を付けて送信]アクセス許可を一覧表示する必要があります。
- アクセス許可は、Microsoft Entra Connect によって同期されません。
- オンプレミスの AD DS で設定されたアクセス許可は、完全な機能のためにExchange Onlineで手動で追加する必要があります。 詳細については、「 Exchange ハイブリッド展開に関する考慮事項」を参照してください。
フォルダー アクセス
フォルダーは、多くのシナリオでフォレスト間にアクセスできますが、「 Exchange ハイブリッド展開でのアクセス許可」で説明されているように、Microsoft では完全にはサポートされていません。
自動検出は、(ターゲット アドレス リダイレクトを使用して) 別のフォレスト内にある場合でもメールボックスを検索するために使用されます。
フォルダー へのアクセスは、Outlook を使用するか、リモート PowerShell コマンドレット Add-MailboxFolderPermission を使用して管理者が付与できます。 次の条件が適用されます。
- Outlook の予定表フォルダーは、他のフォルダーとは異なる方法で動作します。 詳細については、「 Microsoft 365 ハイブリッド環境でフォレスト間の予定表データを表示できない」を参照してください。
- プライベート項目は、ユーザーがデリゲートとして正しく構成されている場合にのみ表示できます。 詳細については、「 Microsoft 365 ハイブリッド環境への移行後に代理人が Outlook に正しく表示されない」を参照してください。
- ユーザーは、非表示のメールボックスの予定表をExchange Onlineで表示できません。 詳細については、「 Microsoft 365 ハイブリッド環境への移行後に Outlook で非表示のメールボックスにアクセスできない」を参照してください。
代理送信
[代理人として送信] アクセス許可を使用すると、別のメール アドレスに代わってメールを送信できます
アクセス許可は、Outlook を使用するか、Exchange 管理 センターまたはリモート PowerShell (Set-Mailbox コマンドレット) を使用して管理者が付与できます。
アクセス許可は、送信側ユーザーのフォレストに存在する必要があります。
既定では、
PublicDelegates
属性 (Exchange オンプレミスのGrantSendOnBehalfTo
属性とも呼ばれます) は、Microsoft Entra Connect によってExchange Onlineに同期されます。属性をオンプレミスの AD DS と同期
PublicDelegates
するには、追加の構成が必要です。 この構成では、Microsoft Entra Connect で Exchange ハイブリッド展開設定を有効にする必要があります。 詳細については、「 Exchange ハイブリッド ライトバック」を参照してください。Exchange ハイブリッド展開設定が有効になっていない場合は、リモート PowerShell を使用して管理者が [代理送信] アクセス許可を手動で追加する必要があります。 これを行うには、「Microsoft 365 ハイブリッド環境への移行後に代理人が代理で送信できない」を参照してください。
デリゲート
代理人には、Outlook でさまざまな権限の組み合わせを付与できます。
- フォルダー権限
- 代理送信
- 会議出席依頼転送ルール (非表示ルール)
- プライベート アイテム (予定表) を表示する機能
これらの権限の一部は、管理者 ([フォルダー] や [権限の代理送信] など) によって表示および管理できます。 ただし、一部のメールボックスは Exchange メールボックスにのみ格納されます (会議関連のメッセージ、転送ルール、プライベート アイテムの可視性など)。
基本的な機能は、Outlook for Windows を使用してフォレスト間で動作します。 次の条件が適用されます。
- ユーザーは、他のユーザー フォルダー (フォルダー権限とフル アクセス) にアクセスできます。
- ユーザーは、別のフォレストからユーザーの代わりに送信できます。
- 会議出席依頼を転送するためのルールが正常に配信されます。
- ユーザーが異なるフォレストに存在する場合は、新しいデリゲートを追加できます。
スケジュール アシスタントでは、別のフォレスト内のメールボックスの詳細や空き時間情報の一覧は表示されません。 次の条件が適用されます。
一部の機能は、Outlook Web App (OWA) では機能しません。 詳細については、次の記事を参照してください。
- 共存中にマネージャーが別のフォレストにいる場合、代理人は OWA の会議出席依頼を受け入れることはできません。 詳細については、「 共存中にマネージャーが別のフォレストにいる場合、代理人が OWA で会議出席依頼を受け入れることができない」を参照してください。
- 代理人は、共存中にマネージャーが別のフォレストにいる場合にのみ、OWA で空き時間情報を表示できます。 詳細については、「 共存中にマネージャーが別のフォレストにいる場合にのみ、デリゲートで OWA の空き時間情報を表示できます」を参照してください。
マネージャーと代理人ユーザーの間のワークフローは異なり、問題が発生する可能性があります。
マネージャーを移動し、できるだけ一緒にユーザーを委任することをお勧めします。 次の条件が適用されます。
個別に移動すると、代理人はプライベート予定表アイテムを表示できない場合があります。 詳細については、「 Microsoft 365 ハイブリッド環境への移行後に代理人が Outlook に正しく表示されない」を参照してください。
デリゲートが正しく構成されていないと、配信不能レポートが発生する可能性があります。 詳細については、「 ユーザーが Microsoft 365 ハイブリッド環境で会議出席依頼を送信するときに NDR 5.2.0 を受け取る」を参照してください。
LegacyExchangeDN
AD Connect で Exchange ハイブリッド展開設定を有効にする必要がある解決の問題を回避するには、Exchange Onlineとオンプレミスのオブジェクトの属性をフォレスト間で x500 アドレスとして同期する必要があります。 詳細については、「 Exchange ハイブリッド ライトバック」を参照してください。Exchange ハイブリッド展開設定が有効になっていない場合、会議を更新するときに、代理人に配信不能レポートが表示される場合があります。 詳細については、「 550 5.1.11 RESOLVER」を参照してください。Adr。マネージャーが Microsoft 365 ハイブリッド環境に移行した後に代理人が会議に更新プログラムを送信する場合の ExRecipNotFound"。
注:
委任は外部の予定表共有にも影響することに注意してください。 詳細については、「 ハイブリッド環境で Outlook を使用して外部共有の招待を承諾できない」を参照してください。