Exchange Online 的屬性不會寫回內部部署的 AD 目錄服務

問題

在您設定混合式部署案例的 Exchange 同盟之後,當您嘗試使用 Microsoft Azure Active Directory 同步作業工具與您的內部部署 Active Directory 同步處理 Azure Active directory (Azure AD)時,可能會發生下列問題:

  • 透過 Exchange 系統管理中心或 Exchange Online 對物件所做的變更,PowerShell 未同步至內部部署 Active Directory 安裝。
  • 預計雲端和內部部署運作的 Exchange Server 功能不會如預期般運作。
  • 您無法使用內部部署使用者或 Exchange Online 使用者來查看或共用線上行事曆。
  • 您不會在內部部署和雲端使用者之間接收最新的空閒/忙碌資訊。
  • Microsoft Identity Integration Server (MIIS)中發生錯誤8344,表示「沒有足夠的許可權執行作業」。

如果未啟用共用 Exchange 功能,且不正確的許可權是套用至 Active Directory 屬性,可能會發生這些徵兆。

解決方案

如果要解決這個問題,請依照下列步驟執行:

步驟1:執行 Azure Active Directory 同步處理工具設定向導

請確認已安裝最新版本的目錄同步處理工具,而且您執行的是 Azure Active Directory 同步處理工具設定向導。 當您執行該嚮導時,會顯示一個畫面,提示您啟用豐富的共存功能。 完成嚮導,然後啟動目錄同步處理。

或者,您也可以在安裝目錄同步作業工具後執行 Enable-MSOnlineRichCoexistence Cmdlet,以啟用回寫功能。 必須使用企業版認證執行此 Cmdlet,否則企業系統管理員應該執行此 Cmdlet。

步驟2:確認 MSOL_AD_Sync_RichCoexistence 許可權

如果步驟1未解決問題,請檢查 MSOL_AD_Sync 使用者是否屬於 MSOL_AD_Sync_RichCoexistence 群組,且群組是否允許具有問題之使用者的許可權,其中寫回功能無法使用下列屬性:

  • msExchSafeSendersHash
  • msExchBlockedSendersHash
  • msExchSafeRecipientHash
  • msExchArchiveStatus
  • msExchUCVoiceMailSettings
  • ProxyAddresses

如果要執行這項操作,請依照下列步驟執行:

  1. 在 [Active Directory] 中,確定 MSOL_AD_Sync_RichCoexistence 群組存在,且 MSOL_AD_Sync 使用者是群組的成員。

  2. 在內部部署環境中,使用 [Active Directory 使用者和電腦] 開啟出現問題之使用者的使用者屬性。

  3. 在 [安全性] 索引標籤上,按一下 [高級]。

    注意

    您必須啟用 [高級功能],才能完成步驟3。

  4. 請確定已列出 MSOL_AD_Sync_RichCoexistence 群組。 若未列出,請新增群組,然後確定已授與群組允許寫入先前所列之屬性的許可權。

注意

如果物件不會繼承父項的許可權,則可能需要步驟2。 若要解決此問題,您可以確定物件繼承來自父系物件的許可權。

詳細資訊

若要執行 Enable-MSOnlineRichCoexistence Cmdlet,請遵循下列步驟:

  1. 開啟 [Windows PowerShell],輸入 Import-Module DirSync,然後按 Enter 鍵。

  2. 輸入下列 Cmdlet,然後按 Enter:

    Enable-MSOnlineRichCoexistence
    
  3. 當系統提示您輸入認證時,請輸入您的企業系統管理員認證。

當您執行 Enable-MSOnlineRichCoexistence Cmdlet 時,指令程式會執行下列動作:

  • 檢查目錄同步處理是否正在執行。 如果正在執行目錄同步處理,則會顯示下列警告訊息:

    MSO 目錄同步處理正在同步處理,請稍後再試一次。

  • 針對在內部部署環境中建立的目錄同步處理,設定 MSOL_AD_SYNC 帳戶所有屬性的寫入權限。

  • 針對選取的回寫選項,載入來源 MA 和元節設定。 為做到這一點,MSOnlineWriteBack 指令程式會執行 Import-MIISServerConfig [-file path] Cmdlet,其中檔案路徑代表目錄同步處理安裝中包含的 MA 和元節配置檔案的位置。

  • 因為 Cmdlet 已使用下列 Cmdlet 安裝「新」來源 MA,所以會設定 AD MA 認證:

    Set-MIISADMAconfiguration [-forest] [-login] [-password] [-MA Name]
    
  • 使用下列 Cmdlet 來設定目標 MA 認證:

    Set-MIISExtMAConfiguration [-MOAC login] [-MOAC password] [-connection URL] [-MA Name]
    
  • 設定 FullSyncNeeded 登錄值,以指出完整同步處理。

  • 呼叫 Start-OnlineCoexistenceSync,以使用新設定開始目錄同步處理。 第一個同步處理是完整同步處理。

參考

是否仍需要協助? 移至 Microsoft 社群Azure Active Directory Forums 網站。