Přehled delegování v hybridním prostředí Microsoftu 365

• Platí pro:

  Exchange Online

Příznaky

Microsoft Exchange Online zákazníci mají problémy s funkcemi jejich oprávnění Úplný přístup, Odeslat jako, Odesílat jménem a Složka.

Příčina

Aby hybridní delegování Microsoftu 365 fungovalo podle očekávání, musí být splněno několik požadavků.

Řešení

Hybridní delegování Microsoftu 365 vyžaduje konkrétní konfiguraci v cloudu a v prostředí místní Active Directory Doménové služby (AD DS). Následující seznam popisuje různá oprávnění a jejich fungování v hybridním nasazení.

Tento článek popisuje potřebnou konfiguraci, podrobnosti o správě a známé problémy související s různými druhy oprávnění. Pokud potřebujete pomoc od Microsoftu s vyšetřováním konkrétního problému, shromážděte následující diagnostická data od uživatele, který může chování reprodukovat:

• Podrobný popis problému, včetně ovlivněných uživatelů a chybové zprávy, která se jim zobrazí
• Relevantní snímky obrazovky nebo výstup záznamu postupu problému
• Sestava konfigurace z nástroje Microsoft SaRa Support and Recovery Tool
• Protokoly pro řešení potíží s Outlookem

Úplný přístup

• Úplná přístupová oprávnění poskytují přístup k veškerému obsahu poštovní schránky.

• Oprávnění k úplnému přístupu udělují správci jenom pomocí Exchange Správa Center nebo vzdáleného PowerShellu (Add-MailboxPermission).

• Úplná přístupová oprávnění budou fungovat napříč doménovými strukturami společně s klientem Outlooku pro Windows.

• Automatická konfigurace se používá k vyhledání poštovní schránky, i když je v jiné doménové struktuře (pomocí přesměrování cílové adresy).

• V závislosti na tom, jak se uživatel pokusí o přístup k jiné poštovní schránce, platí následující rozdíly:

  • Přidání jako další poštovní schránky vyžaduje, aby poštovní schránka v jiné doménové struktuře byla v doménové struktuře uživatele přístupná. Další informace najdete v tématu Konfigurace Exchange pro podporu delegovaných oprávnění poštovních schránek v hybridním nasazení.
  • Automatické mapování nebude fungovat, dokud se všechny související poštovní schránky nepřesunou do Exchange Online. Všechny poštovní schránky, které přijímají oprávnění z jiné poštovní schránky, je potřeba přesunout současně s udělující poštovní schránkou. Pokud poštovní schránka obdrží oprávnění z více poštovních schránek, musí být tato poštovní schránka a všechny poštovní schránky, které jí udělují oprávnění, přesunuty současně. Další informace najdete v tématech Automatické mapování nefunguje podle očekávání v hybridním prostředí Microsoftu 365 a Oprávnění v hybridních nasazeních Exchange.
  • V některých scénářích se uživateli zobrazí pouze informace o volném čase v kalendáři, ke kterému má další oprávnění. Další informace najdete v tématu Nejde zobrazit data kalendáře mezi doménovými strukturami v hybridním prostředí Microsoftu 365.
  • Uživatel nemůže posílat zprávy jménem jiného uživatele poté, co přidá poštovní schránku jako další účet. Další informace najdete v článku Nejde odeslat e-mailovou zprávu, když je sdílené poštovní schránce v Exchange Server uděleno oprávnění Úplný přístup.

• Poštovní schránky prostředků mají speciální funkce a v některých scénářích fungují odlišně, pokud jsou v jiné doménové struktuře, a to následujícím způsobem:

  • Poštovní schránky prostředků nelze přidat jako další poštovní schránky. Další informace najdete v tématu Nejde přidat poštovní schránku místnosti nebo zdroje v hybridním prostředí Microsoftu 365.
  • Zákazníci nemůžou udělit oprávnění k poštovní schránce prostředku. Další informace najdete v tématu Nejde přidat oprávnění k poštovní schránce místnosti v jiné doménové struktuře v hybridním prostředí Microsoftu 365.

• Nově zřízené cloudové poštovní schránky nemají přístup k místním poštovním schránkám. Další informace najdete v tématu Nejde přidat místní poštovní schránku jako další poštovní schránku v Exchange Online.

• Nová vzdálená poštovní schránka vytvořená přímo v Exchange Online není v místní Active Directory dostupná. Další informace najdete v tématu Vzdálená poštovní schránka vytvořená v místní službě AD DS není možné v Exchange Online.

• Zákazníci nemají přístup ke skryté poštovní schránce v Exchange Online. Další informace najdete v článku Po migraci do hybridního prostředí Microsoftu 365 nejde získat přístup ke skryté poštovní schránce v Outlooku.

Odeslat jako

• Funkce Odeslat jako funguje v mnoha scénářích, ale Microsoft ho plně nepodporuje, jak je uvedeno v tématu Oprávnění v hybridních nasazeních Exchange.
• Oprávnění Odeslat jako umožňují odesílání pošty z jiné poštovní schránky, která povolila primární e-mailovou adresu objektu uživatele pošty.
• Oprávnění udělují správci pomocí Exchange Správa Center nebo vzdáleného PowerShellu (Add-ADPermission v místní Active Directory a Add-RecipientPermission v Exchange Online).
• Oprávnění musí existovat v doménové struktuře odesílajícího uživatele. Pokud se například poštovní schránka uživatele přesune do Exchange Online, oprávnění Odeslat jako musí být uvedená u objektu uživatele pošty, který představuje místní poštovní schránku.
• Oprávnění nejsou synchronizována službou Microsoft Entra Connect.
• Oprávnění nastavená v místní službě AD DS musí být ručně přidána do Exchange Online, aby bylo možné plně funkční. Další informace najdete v tématu Aspekty hybridního nasazení Exchange.

Přístup ke složkě

• Ke složkám je možné přistupovat napříč doménovými strukturami v mnoha scénářích, ale Microsoft je plně nepodporuje, jak je uvedeno v tématu Oprávnění v hybridních nasazeních Exchange.

• Automatická konfigurace se používá k vyhledání poštovní schránky, i když je v jiné doménové struktuře (pomocí přesměrování cílové adresy).

• Přístup ke složkám můžou udělit uživatelé pomocí Outlooku nebo správci pomocí rutiny Vzdáleného PowerShellu Add-MailboxFolderPermission. Platí následující podmínky:

  • Složka Kalendář funguje v Outlooku jinak než jiné složky. Další informace najdete v tématu Nejde zobrazit data kalendáře mezi doménovými strukturami v hybridním prostředí Microsoftu 365.
  • Soukromé položky se dají zobrazit jenom v případě, že je uživatel správně nakonfigurovaný jako delegát. Další informace najdete v článku Delegáti nejsou po migraci do hybridního prostředí Microsoftu 365 v Outlooku správně uvedení.
  • Uživatel nemůže zobrazit kalendář skryté poštovní schránky v Exchange Online. Další informace najdete v článku Po migraci do hybridního prostředí Microsoftu 365 nejde získat přístup ke skryté poštovní schránce v Outlooku.

Odeslat jménem uživatele

• Oprávnění Odesílat za uživatele umožňují posílat poštu jménem jiné e-mailové adresy.

• Oprávnění můžou udělit uživatelé pomocí Outlooku nebo správci pomocí Exchange Správa Center nebo vzdáleného PowerShellu (rutina Set-Mailbox).

• Oprávnění musí existovat v doménové struktuře odesílajícího uživatele.

• Ve výchozím nastavení PublicDelegates je atribut (označovaný také jako GrantSendOnBehalfTo atribut v místním Exchangi) synchronizován s Exchange Online službou Microsoft Entra Connect.

• K synchronizaci atributu s místní službou PublicDelegates AD DS se vyžaduje další konfigurace. Tato konfigurace vyžaduje povolení nastavení hybridního nasazení Exchange ve službě Microsoft Entra Connect. Další informace najdete v tématu Hybridní zpětný zápis Exchange.

• Pokud nastavení hybridního nasazení Exchange není povolené, musí oprávnění Odesílat jménem přidat ručně správce pomocí vzdáleného PowerShellu. Postup najdete v tématuDelegát nemůže po migraci do hybridního prostředí Microsoftu 365 odesílat jménem uživatele.

Delegáti

• Delegátům lze v Outlooku udělit kombinaci různých práv:

  • Práva ke složce
  • Odesílání jménem uživatele
  • Pravidla přeposílání žádostí o schůzku (skrytá pravidla)
  • Možnost zobrazit soukromé položky (kalendář)

  

• Některá z těchto práv může zobrazit a spravovat správce (například práva Pro složku a Odeslat jménem). Některé jsou ale uložené jenom v poštovní schránce Exchange (například zprávy související se schůzkami, pravidla přeposílání a viditelnost soukromých položek).

• Základní funkce fungují napříč doménovými strukturami pomocí Outlooku pro Windows. Platí následující podmínky:

  • Uživatelé mají přístup k dalším uživatelským složkám (práva ke složce a úplný přístup).
  • Uživatelé můžou odesílat zprávy jménem uživatele z jiné doménové struktury.
  • Pravidla pro přeposílání pozvánek na schůzky budou úspěšně doručena.
  • Nové delegáty je možné přidat, pokud uživatelé existují v různých doménových strukturách.

• V Pomocníkovi pro plánování nejsou pro poštovní schránky v jiné doménové struktuře uvedené žádné podrobnosti nebo omezené informace o volném čase. Platí následující podmínky:

  • Uživatelé neuvidí informace o volném čase po přesunutí poštovní schránky do Microsoft 365
  • Uživatelé můžou ve vzdálené doménové struktuře v Microsoftu 365 zobrazit jenom základní informace o volném čase poštovní schránky.

• Některé funkce nefungují v Outlook Web App (OWA). Další informace najdete v následujících článcích:

  • Delegáti nemůžou přijímat pozvánky na schůzky v OWA, pokud je vedoucí během koexistence v jiné doménové struktuře. Další informace najdete v tématu Delegát nemůže přijmout žádost o schůzku v OWA, když je správce během koexistence v jiné doménové struktuře.
  • Delegáti můžou zobrazit informace o volném čase v aplikaci OWA jenom v případě, že se správce během koexistence nachází v jiné doménové struktuře. Další informace najdete v tématu Delegát může zobrazit informace o volném čase v aplikaci OWA pouze v případě, že je správce během koexistence v jiné doménové struktuře.

• Pracovní postupy mezi nadřízeným a delegátem se liší a může docházet k problémům.

• Doporučujeme přesunout manažera a delegovat uživatele co nejvíce dohromady. Platí následující podmínky:

  • Když se přesunou samostatně, nemusí se delegátům zobrazovat soukromé položky kalendáře. Další informace najdete v článku Delegáti nejsou po migraci do hybridního prostředí Microsoftu 365 v Outlooku správně uvedení.

  • Chybně nakonfigurovaní delegáti můžou mít za následek nedoručení sestavy. Další informace najdete v článku Uživatelé obdrží oznámení o nedoručení 5.2.0 při odesílání pozvánek na schůzky v hybridním prostředí Microsoftu 365.

  • Atribut LegacyExchangeDN objektů z Exchange Online a místního prostředí by se měl synchronizovat jako adresy x500 mezi doménovými strukturami, aby se zabránilo problémům s řešením, které vyžadují povolení nastavení hybridního nasazení Exchange ve službě AD Connect. Další informace najdete v tématu Hybridní zpětný zápis Exchange.

  • Pokud nastavení hybridního nasazení Exchange není povolené, delegátům se může při aktualizaci schůzek zobrazit zpráva o nedoručení. Další informace najdete v tématu "550 5.1.11 RESOLVER. ADR. ExRecipNotFound" když delegát odešle aktualizaci na schůzku po přesunutí manažera do hybridního prostředí Microsoftu 365.

Poznámka

Mějte na paměti, že delegování má vliv také na externí sdílení kalendáře. Další informace najdete v tématu Nejde přijmout externí pozvánku ke sdílení pomocí Outlooku v hybridním prostředí.