ハイブリッド環境での委任Office 365概要

現象

Microsoft Exchange Onlineユーザーは、フル アクセス、Send As、Send onHalf、および Folder アクセス許可の機能に問題があります。

原因

ハイブリッドOffice 365期待通り動作するには、複数の要件を満たす必要があります。

解決方法

Office 365ハイブリッド委任には、クラウドおよびオンプレミスの Active Directory ドメイン サービス (DS) 環境で特定の構成AD必要があります。 次の一覧では、さまざまなアクセス許可と、ハイブリッド展開での動作方法について説明します。

この記事では、さまざまな種類のアクセス許可に関連付けられている必要な構成、管理の詳細、既知の問題について説明します。 特定の問題を調査するために Microsoft のヘルプが必要な場合は、動作を再現できるユーザーから次の診断データを収集します。

フル アクセス許可

  • フル アクセスのアクセス許可は、すべてのメールボックスコンテンツへのアクセスを提供します。

  • フル アクセスのアクセス許可は、管理者が管理センターまたはリモート PowerShell(Add-MailboxPermission)を使用Exchangeによってのみ付与されます。

  • フル アクセスのアクセス許可は、フォレスト間で機能し、OutlookクライアントWindows。

  • 自動検出は、メールボックスが別のフォレストにある場合でも (ターゲット アドレス リダイレクトを使用して) メールボックスを検索するために使用されます。

  • ユーザーが追加のメールボックスにアクセスしようとする方法に応じて、次の違いが適用されます。

    • 追加のメールボックスとして追加するには、別のフォレスト内のメールボックスをユーザーのフォレストで ACL 可能にする必要があります。 詳細については、「Configure Exchangeハイブリッド展開で委任されたメールボックスのアクセス許可をサポートする」を参照してください
    • 自動マッピングは、関連するメールボックスがすべてのメールボックスに移動されるまでExchange Online。 別のメールボックスからアクセス許可を受け取るメールボックスは、付与するメールボックスと同時に移動する必要があります。 1 つのメールボックスが複数のメールボックスからアクセス許可を受け取る場合、そのメールボックスと、そのメールボックスにアクセス許可を付与するすべてのメールボックスは、同時に移動する必要があります。 詳細については、「ハイブリッド環境での自動マッピングが期待通り動作しない」および「Office 365ハイブリッド展開でのアクセス許可Exchange参照してください
    • 一部のシナリオでは、ユーザーは追加のアクセス許可を持つ予定表の空き時間情報のみを表示します。 詳細については、「ハイブリッド環境でフォレスト間の予定表データを表示できないOffice 365参照してください
    • ユーザーは、メールボックスを追加アカウントとして追加した後、別のユーザーに代わって送信できません。 詳細については、「フル アクセスのアクセス許可が共有メールボックスに許可されている場合、電子メール メッセージを送信できない」を参照Exchange Server。
  • リソース メールボックスには特別な機能が備え付け、別のフォレスト内にある場合は、次のように、一部のシナリオで異なる方法で動作します。

    • リソース メールボックスを追加のメールボックスとして追加することはできません。 詳細については、「ハイブリッド環境で Room メールボックスまたはリソース メールボックスを追加できないOffice 365参照してください
    • ユーザーは、リソース メールボックスにアクセス許可を付与できません。 詳細については、「ハイブリッド環境で別のフォレスト内のルーム メールボックスにアクセス許可を追加Office 365参照してください
  • 新しくプロビジョニングされたクラウド メールボックスは、オンプレミスのメールボックスにアクセスできません。 詳細については、「オンプレミスメールボックスを追加のメールボックスとして追加できない」を参照Exchange Online。

  • オンプレミスの Active Directory では、Exchange Onlineで直接作成された新しいリモート メールボックスは ACLABLE できません。 詳細については、「オンプレミスで作成されたリモート メールボックス」を参照AD DS はACLable Exchange Online。

  • ユーザーは、非表示のメールボックスにアクセスExchange Online。 詳細については、「ハイブリッド環境への移行後に、OutlookメールボックスにアクセスOffice 365」を参照してください

メールボックス所有者として送信する

  • 送信は多くのシナリオで動作しますが、ハイブリッド展開のアクセス許可で説明されている Microsoft では完全Exchangeされていません
  • Send As アクセス許可を使用すると、メール ユーザー オブジェクトのプライマリ メール アドレスを有効にした別のメールボックスからメールを送信できます。
  • アクセス許可は、Exchange 管理センターまたはリモート PowerShell (オンプレミスの Active Directory のAdd-ADPermissionと Exchange Online のAdd-RecipientPermission)を使用して管理者によって付与されます。
  • アクセス許可は、送信ユーザーのフォレストに存在する必要があります。 たとえば、ユーザーのメールボックスを Exchange Online に移動する場合は、オンプレミスのメールボックスを表すメール ユーザー オブジェクトに送信アクセス許可を一覧表示する必要があります。
  • アクセス許可は、ユーザーがAzure AD Connect。
  • 完全な機能を実現するには、AD DS で設定されたアクセス許可を手動でExchange Onlineする必要があります。 詳細については、「ハイブリッド展開に関するExchange」を参照してください

フォルダー アクセス

  • フォルダーは、多くのシナリオでフォレスト間でアクセスできますが、「ハイブリッド展開のアクセス許可」で説明されている Microsoft では完全Exchangeされていません

  • 自動検出は、メールボックスが別のフォレストにある場合でも (ターゲット アドレス リダイレクトを使用して) メールボックスを検索するために使用されます。

  • フォルダー アクセスは、リモート PowerShell コマンドレットAdd-MailboxFolderPermissionを使用して、Outlookまたは管理者がユーザーに付与できます。 次の条件が適用されます。

    • Calendar フォルダーは、他のフォルダーとOutlook異なる動作をします。 詳細については、「ハイブリッド環境でフォレスト間の予定表データを表示できないOffice 365参照してください
    • プライベート アイテムは、ユーザーが代理人として正しく構成されている場合にのみ表示できます。 詳細については、「デリゲートがハイブリッド環境への移行後にOutlookに正しくOffice 365」を参照してください
    • ユーザーは、非表示のメールボックスの予定表をユーザーに表示Exchange Online。 詳細については、「ハイブリッド環境への移行後に、OutlookメールボックスにアクセスOffice 365」を参照してください

代理で送信する

  • アクセス許可の代わりに送信すると、別のメール アドレスに代わってメールを送信できます。

  • アクセス許可は、Outlook 管理者センターまたはリモート PowerShell(Set-Mailboxコマンドレット) を使用して、Exchangeを使用してユーザーに付与できます。

  • アクセス許可は、送信ユーザーのフォレストに存在する必要があります。

  • 既定では、属性 (オンプレミスの属性とも呼Exchange) は、Exchange Onlineに PublicDelegates GrantSendOnBehalfTo Azure AD Connect。

  • 属性をオンプレミスの DS と同期するには、追加 PublicDelegates の構成ADされます。 この構成では、ハイブリッド展開Exchangeを有効にする必要Azure AD Connect。詳細については、「ハイブリッド ライトバックExchangeを参照してください

    [オプションの機能] ダイアログ ボックスAzure AD Connectスクリーンショット。

  • ハイブリッドExchange設定が有効になっていない場合は、リモート PowerShell を使用して管理者が手動で送信するアクセス許可を追加する必要があります。 これを行うには、ハイブリッド環境への移行後に代理人が代理Microsoft 365参照してください

デリゲート

  • 代理人には、次の方法でさまざまな権限の組み合わせをOutlook。

    • フォルダーの権限
    • 代理送信
    • 会議出席依頼転送ルール (非表示のルール)
    • プライベート アイテム (予定表) を表示する機能

    [代理人] ウィンドウのスクリーンショット。

  • これらの権限の一部は、管理者が表示および管理できます (フォルダーや権限の代わりに送信するなど)。 ただし、一部のユーザーは、Exchangeメールボックスにのみ保存されます (会議関連のメッセージ、転送ルール、プライベート アイテムの表示など)。

  • 基本的な機能は、フォレスト間で機能し、OutlookをWindows。 次の条件が適用されます。

    • ユーザーは、他のユーザー フォルダー (フォルダー権限とフル アクセス) にアクセスできます。
    • ユーザーは、別のフォレストからユーザーに代わって送信できます。
    • 会議出席依頼を転送するルールは、正常に配信されます。
    • ユーザーが異なるフォレストに存在する場合は、新しい代理人を追加できます。
  • 次のスケジュール アシスタント、別のフォレスト内のメールボックスの詳細や制限付き空き時間情報は表示されません。 次の条件が適用されます。

  • 一部の機能は、Outlook Web App (OWA) では機能しません。 詳細については、次の資料を参照してください。

    • マネージャーが共存中に別のフォレストにある場合、代理人は OWA での会議出席依頼を受け入れできません。 詳細については、「マネージャーが共存中に別のフォレストにいる場合、代理人が OWA で会議出席依頼を受け入れ できない」を参照してください
    • 代理人は、共存中にマネージャーが別のフォレスト内にある場合にのみ、OWA で空き時間情報を表示できます。 詳細については、「デリゲートは、共存中にマネージャーが別のフォレスト内にある場合にのみ、OWA で空き時間情報 を表示できます」を参照してください
  • マネージャーと委任ユーザーの間のワークフローが異なって、問題が発生する可能性があります。

  • 可能な限り、マネージャーを移動し、ユーザーを一緒に委任することをお勧めします。 次の条件が適用されます。

    • 個別に移動すると、代理人はプライベート予定表アイテムを表示できない場合があります。 詳細については、「デリゲートがハイブリッド環境への移行後にOutlookに正しくOffice 365」を参照してください

    • 正しく構成されていない代理人は、配信不可レポートを作成する可能性があります。 詳細については、「ユーザーがハイブリッド環境で会議出席招待を送信するときにNDR 5.2.0 を受け取Office 365を参照してください

    • Exchange Online とオンプレミスのオブジェクトの属性は、AD Connect で Exchange ハイブリッド展開設定を有効にする必要がある解決の問題を回避するために、フォレスト間で LegacyExchangeDN x500 アドレスとして同期する必要があります。 詳細については、「ハイブリッド ライトバックExchangeを参照してください

      [オプションの機能] ダイアログ ボックスAzure AD Connectスクリーンショット。

    • ハイブリッド展開Exchangeが有効になっていない場合、代理人は会議を更新するときに配信不可レポートを表示する場合があります。 詳細については、「550 5.1.11 RESOLVER」を参照してください。ADR。ExRecipNotFound"は、マネージャーがハイブリッド環境に移動した後に代理人が会議に更新Office 365送信します。

注意

委任は外部予定表の共有にも影響を与える点に注意してください。 詳細については、「ハイブリッド環境で外部共有の招待を使用して外部共有Outlook承諾できません」を参照してください