Общие сведения о делегировании в гибридной среде Microsoft 365

• Применяется к:

  Exchange Online

Симптомы

Microsoft Exchange Online клиенты имеют проблемы с функциональными возможностями их разрешений "Полный доступ", "Отправить как", "Отправить от имени" и "Папка".

Причина

Чтобы гибридное делегирование Microsoft 365 работало должным образом, необходимо выполнить несколько требований.

Разрешение

Для гибридного делегирования Microsoft 365 требуется определенная конфигурация в облаке и в среде локальная служба Active Directory Доменные службы (AD DS). В следующем списке рассматриваются различные разрешения и способы их работы в гибридном развертывании.

В этой статье описывается необходимая конфигурация, сведения об администрировании и известные проблемы, связанные с различными видами разрешений. Если вам нужна помощь корпорации Майкрософт для изучения конкретной проблемы, соберите следующие диагностические данные от пользователя, который может воспроизвести поведение:

• Подробное описание проблемы, включая затронутых пользователей и сообщение об ошибке, которое они получают
• Соответствующие снимки экрана или выходные данные средства записи шагов по проблеме
• Отчет о конфигурации от средства поддержки и восстановления Microsoft SaRa
• Журналы устранения неполадок Outlook

Полный доступ

• Разрешения на полный доступ предоставляют доступ ко всему содержимому почтового ящика.

• Разрешения на полный доступ предоставляются администраторами только с помощью Exchange Администратор Center или Удаленной оболочки PowerShell (Add-MailboxPermission).

• Разрешения на полный доступ будут работать в разных лесах вместе с клиентом Outlook для Windows.

• Автообнаружение используется для поиска почтового ящика, даже если он находится в другом лесу (с помощью перенаправления целевого адреса).

• В зависимости от того, как пользователь пытается получить доступ к другому почтовому ящику, применяются следующие различия:

  • При добавлении в качестве дополнительного почтового ящика необходимо, чтобы почтовый ящик в другом лесу был доступ к aclable в лесу пользователя. Дополнительные сведения см . в разделе Настройка Exchange для поддержки делегированных разрешений почтовых ящиков в гибридном развертывании.
  • Автоматическое сопоставление не будет работать до тех пор, пока все связанные почтовые ящики не будут перемещены в Exchange Online. Все почтовые ящики, получающие разрешения от другого почтового ящика, должны перемещаться одновременно с предоставленным почтовым ящиком. Если почтовый ящик получает разрешения от нескольких почтовых ящиков, все эти почтовые ящики (получающий и предоставляющие) необходимо переместить одновременно. Дополнительные сведения см. в разделах Автоматическое сопоставление не работает должным образом в гибридной среде Microsoft 365 и Разрешения в гибридных развертываниях Exchange.
  • В некоторых сценариях пользователь будет видеть только сведения о доступности для календаря, для которого у него есть дополнительные разрешения. Дополнительные сведения см . в статье Не удается просмотреть данные календаря между лесами в гибридной среде Microsoft 365.
  • Пользователь не может отправлять сообщения от имени другого пользователя после добавления почтового ящика в качестве дополнительной учетной записи. Дополнительные сведения см. в статье Не удается отправить сообщение электронной почты при предоставлении разрешения на полный доступ к общему почтовому ящику в Exchange Server.

• Почтовые ящики ресурсов имеют специальные возможности и работают по-разному в некоторых сценариях, если они работают в другом лесу, как показано ниже.

  • Почтовые ящики ресурсов нельзя добавить в качестве дополнительных почтовых ящиков. Дополнительные сведения см . в статье Не удается добавить комнату или почтовый ящик ресурсов в гибридной среде Microsoft 365.
  • Клиенты не могут предоставлять разрешения для почтового ящика ресурсов. Дополнительные сведения см. в статье Не удается добавить разрешения в почтовый ящик комнаты в другом лесу в гибридной среде Microsoft 365.

• Недавно подготовленные облачные почтовые ящики не могут получить доступ к локальным почтовым ящикам. Дополнительные сведения см. в статье Не удается добавить локальный почтовый ящик в качестве дополнительного почтового ящика в Exchange Online.

• Новый удаленный почтовый ящик, созданный непосредственно в Exchange Online, в локальная служба Active Directory не поддерживает доступ к acL. Дополнительные сведения см. в статье Удаленный почтовый ящик, созданный в локальных доменных службах Active Directory, не поддерживает доступ к доступу к доступу в Exchange Online.

• Клиенты не могут получить доступ к скрытому почтовому ящику в Exchange Online. Дополнительные сведения см. в статье Не удается получить доступ к скрытому почтовому ящику в Outlook после миграции в гибридную среду Microsoft 365.

Отправить как

• Отправка как работает во многих сценариях, но не полностью поддерживается корпорацией Майкрософт, как описано в разделе Разрешения в гибридных развертываниях Exchange.
• Разрешения "Отправить как" позволяют отправлять почту из другого почтового ящика, включив основной адрес электронной почты объекта почтового пользователя.
• Разрешения предоставляются администраторами с помощью Центра Администратор Exchange или удаленного powerShell (Add-ADPermission в локальная служба Active Directory и Add-RecipientPermission в Exchange Online).
• Разрешения должны существовать в лесу отправляя пользователя. Например, если почтовый ящик пользователя перемещается в Exchange Online, разрешения отправить как должны быть перечислены в объекте почтового пользователя, представляющего локальный почтовый ящик.
• Разрешения не синхронизируются Microsoft Entra Connect.
• Разрешения, заданные в локальных доменных службах Active Directory, необходимо вручную добавить в Exchange Online для полной функциональности. Дополнительные сведения см. в статье Рекомендации по гибридному развертыванию Exchange.

Доступ к папкам

• Во многих сценариях доступ к папкам можно получить между лесами, но они не полностью поддерживаются корпорацией Майкрософт, как описано в разделе Разрешения в гибридных развертываниях Exchange.

• Автообнаружения используется для поиска почтового ящика, даже если он находится в другом лесу (с помощью перенаправления целевого адреса).

• Доступ к папкам может предоставляться пользователями с помощью Outlook или администраторами с помощью удаленного командлета PowerShell Add-MailboxFolderPermission. Применяются следующие условия.

  • Папка Календарь работает в Outlook иначе, чем в других папках. Дополнительные сведения см . в статье Не удается просмотреть данные календаря между лесами в гибридной среде Microsoft 365.
  • Частные элементы можно просматривать только в том случае, если пользователь правильно настроен в качестве делегата. Дополнительные сведения см. в разделе Делегаты неправильно перечислены в Outlook после миграции в гибридную среду Microsoft 365.
  • Пользователь не может просматривать календарь скрытого почтового ящика в Exchange Online. Дополнительные сведения см. в статье Не удается получить доступ к скрытому почтовому ящику в Outlook после миграции в гибридную среду Microsoft 365.

Отправить от имени

• Разрешение "Отправить от имени" позволяет отправлять почту от имени другого адреса электронной почты

• Разрешения могут предоставляться пользователями с помощью Outlook или администраторами с помощью Exchange Администратор Center или удаленной оболочки PowerShell (командлет Set-Mailbox).

• Разрешения должны существовать в лесу отправляя пользователя.

• По умолчанию PublicDelegates атрибут (также известный как атрибут в локальной GrantSendOnBehalfTo среде Exchange) синхронизируется с Exchange Online с помощью Microsoft Entra Connect.

• Для синхронизации атрибута PublicDelegates с локальными AD DS требуется дополнительная конфигурация. Для этой конфигурации необходимо включить параметры гибридного развертывания Exchange в Microsoft Entra Connect. Дополнительные сведения см. в статье Гибридная обратная запись Exchange.

• Если параметр гибридного развертывания Exchange не включен, администратор должен вручную добавить разрешение Отправить от имени пользователя с помощью Удаленной оболочки PowerShell. Для этого см. статьюДелегат не может отправить от имени после миграции в гибридную среду Microsoft 365.

Делегаты

• Делегатам можно предоставить сочетание различных прав в Outlook:

  • Права папок
  • Отправка от имени
  • Правила переадресации запросов на собрания (скрытые правила)
  • Возможность просмотра закрытых элементов (календарь)

  

• Некоторые из этих прав могут просматриваться и управляться администратором (например, "Папка" и "Отправить от имени прав"). Однако некоторые из них хранятся только в почтовом ящике Exchange (например, сообщения, связанные с собраниями, правила переадресации и видимость частных элементов).

• Базовые функции работают в нескольких лесах с помощью Outlook для Windows. Применяются следующие условия.

  • Пользователи могут получать доступ к другим папкам пользователей (права на папки и полный доступ).
  • Пользователи могут отправлять сообщения от имени пользователя из другого леса.
  • Правила для пересылки приглашений на собрание будут доставлены успешно.
  • Новые делегаты можно добавить, если пользователи существуют в разных лесах.

• В помощнике по планированию для почтовых ящиков в другом лесу нет сведений или сведений об ограниченной доступности. Применяются следующие условия.

  • Пользователи не могут видеть сведения о доступности после перемещения почтового ящика в Microsoft 365
  • В Microsoft 365 пользователи могут просматривать только основные сведения о свободном или занятом почтовом ящике в удаленном лесу.

• Некоторые функции не работают в Outlook Web App (OWA). Дополнительные сведения см. в следующих статьях:

  • Делегаты не могут принимать приглашения на собрания в OWA, если руководитель находится в другом лесу во время сосуществования. Дополнительные сведения см. в статье Делегат не может принять приглашение на собрание в OWA, если руководитель находится в другом лесу во время сосуществования.
  • Делегаты могут просматривать сведения о доступности в OWA только в том случае, если во время сосуществования руководитель находится в другом лесу. Дополнительные сведения см. в разделе Делегат может видеть сведения о доступности только в OWA, когда руководитель находится в другом лесу во время сосуществования.

• Рабочие процессы между менеджером и делегатами пользователей различаются, и могут возникнуть проблемы.

• Рекомендуется как можно больше перемещать руководителей и делегировать пользователей. Применяются следующие условия.

  • При перемещении отдельно делегаты могут не видеть частные элементы календаря. Дополнительные сведения см. в разделе Делегаты неправильно перечислены в Outlook после миграции в гибридную среду Microsoft 365.

  • Неправильно настроенные делегаты могут привести к созданию отчета о недоставке. Дополнительные сведения см . в статье Пользователи получают NDR 5.2.0 при отправке приглашений на собрание в гибридной среде Microsoft 365.

  • Атрибут LegacyExchangeDN объектов из Exchange Online и локальной среды должен синхронизироваться как адреса x500 между лесами, чтобы избежать проблем, требующих включения параметров гибридного развертывания Exchange в AD Connect. Дополнительные сведения см. в статье Гибридная обратная запись Exchange.

  • Если параметр гибридного развертывания Exchange не включен, делегаты могут увидеть отчет о недоставках при обновлении собраний. Дополнительные сведения см. в разделе 550 5.1.11 RESOLVER. ADR. ExRecipNotFound", когда делегат отправляет обновление на собрание после перемещения руководителя в гибридную среду Microsoft 365.

Примечание.

Имейте в виду, что делегирование также влияет на общий доступ к внешним календарям. Дополнительные сведения см. в разделе Не удается принять приглашение внешнего общего доступа с помощью Outlook в гибридной среде.