Środowisko Exchange Hybryda z Office 365

Środowisko Exchange Hybryda z Office 365
20 października, 2021 Karol Jakubowski

Środowisko Exchange Hybryda z Office 365 – poprawna konfiguracja i praca ze skrzynkami współdzielonymi.

Wraz z możliwością budowania środowiska Exchange hybryda pojawiły się nowe wyzwania dla administratorów i użytkowników tych systemów pocztowych. Jednym z nim jest poprawna konfiguracja skrzynkę współdzielonych (zwanych również udostępnionymi).

Na rysunku 1 pokazano przykładową skrzynkę współdzieloną sekretariat@swiatowiak.org.pl.

Rys.1.  Skrzynka współdzielona widoczna od konsoli ECP Exchange on-premise

 

Do skrzynki współdzielonej uzyskujemy zwyczajowo dostęp po nadaniu uprawnienia (delegacji) o nazwie Pełny dostęp (Full Access). Przykład nadawania uprawnienia pokazano na rysunku 2.

Rys.2.  Nadawanie uprawnień do skrzynki współdzielonej w konsoli ECP Exchange on-premise

 

Nadanie uprawnienia Full Access powoduje, iż każdy użytkownik ma pełny dostęp do skrzynki współdzielonej, widzi jej całą zawartość ale ma uprawnienia do wysyłania jako dana skrzynka pocztowa. Aby mógł wysyłać jako skrzynka pocztowa musi mieć nadane drugie uprawnienie – Wyślij jako (Send As).

Uprawnienie Send As nie jest atrybutem skrzynki w Exchange, jest uprawnieniem na obiekcie  użytkownika w Active Directory. W nowych wersjach Exchange aby delegacja uprawnień była również widoczna dla systemów poza Exchange Microsoft mapuje delegację (Full Access oraz Send of Behalf) na dwa atrybuty użytkownika w Active Directory:

  • Full Access jest mapowane na atrybut wielowartościowy – msExchDelegateListLink

Rys.3.  Mapowanie delegacji Full Access jako atrybutu użytkownika w Active Directory

 

  • Send Of Behalf jest mapowane na atrybut wielowartościowy – publicDelegates

Rys.4.  Mapowanie delegacji Full Access jako atrybutu użytkownika w Active Directory

 

Dla zwykłych skrzynek pocztowych uprawnienia Wyślij w imieniu (Send on Behalf) nadajemy w konsoli graficznej. Dla skrzynek współdzielonych nie ma go w interfejsie graficznym, ale może zostać ustawione za pomocą Exchange Management Shell (składnia polecenia poniżej):

Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh

Sprawa zaczyna się komplikować w środowisku hybrydowym. Dla skrzynki współdzielonej zlokalizowanej na serwerze Exchange On-premise uprawnienia Full Access można nadać w konsoli ECP zarówno dla użytkowników (skrzynek) znajdujących się w środowisku on-premise, jak o Office 365 (przykład pokazuje rysunek 2, gdzie Jan.poniedzialek to konto synchronizowane do Office 365 ze skrzynką w Office 365, zaś Adam.Wtorek ma skrzynkę w Exchange on-premise). Natomiast uprawnienie Send As w konsoli graficznej można nadać TYLKO dla użytkownika on-premise (nie są widoczne konta użytkowników, ze zmigrowanymi do Office 365 skrzynkami pocztowymi).

Do niedawna było to poprawne zachowanie zarówno serwerów Exchange jak i samego procesu uwierzytelniania i autoryzacji w ramach środowiska hybrydowego Exchange.

W ostatnich aktualizacjach mechanizm został zmodyfikowany. Jednakże omówmy jeszcze parę dodatkowych zagadnień.

Do niedawna po synchronizacji obiektów do Office 365 skrzynki rezydujące w Exchange on-premise pojawiały się we zakładce kontakty. Tu widać współdzieloną skrzynkę prezes widzianą jako obiekt typu Użytkownik poczty (Mail Enable User). Taki przykład prezentuje rysunek 5.

Rys.5.  Skrzynka współdzielona widziana w konsoli Exchange online – przed zmianami

 

ZAGADNIENIA AUTOMAPOWANIA i DOSTĘPU DO SKRZYNEK WSPÓLDZIELONYCH

Przykładowy widok podłączonej skrzynki współdzielonej w Outlook prezentuje rysunek 6. Użytkownik po nadaniu uprawnienia Full Access (dzięki funkcjonalności automapping) po chwili poza swoim kontem automatycznie zobaczy w Outlooku skrzynkę współdzieloną (w przykładzie skrzynka o nazwie sekretariat).

Rys.6.  Skrzynka współdzielona (sekretariat) widziana w kliencie Outlook

 

W przypadku OWA sprawa jest trochę bardziej skomplikowana. Należy zalogować się w OWA na konto imienne (rysunek 7) i klikając prawym przyciskiem myszy na ikonie osoby wybrać z menu Otwórz inną skrzynkę pocztowa…

Rys.7.  Uzyskiwanie dostępu do innej skrzynki w OWA

 

Następnie w nowym oknie wpisujemy adres email skrzynki do której chcemy mieć dostęp (na przykładzie sekreatriat@swiatowiak.org.pl) i klikamy wyszukaj. Jak adres zostanie odnaleziony zostanie wyświetlone okno pokazane na rysunku.  Następnie klikamy Otwórz.

Rys.8.  Otwieranie dodatkowej skrzynki w OWA

 

Skrzynka otwiera się w nowej zakładce jak pokazano na rysunku 9. Nazwa podłączanej skrzynki jest widoczna po nazwie URL serwera pocztowego: http://nazwa_serwera/owa/adresemail_podłączanej_skrzynki

Rys.9.  Otwieranie dodatkowej skrzynki w OWA – skrzynka otwiera się w nowej zakładce przeglądarki

 

ZAGADNIENIA DELEGACJI SEND AS

Użytkownik, który na atrybut Wyślij jako (Send AS) może wysyłać jako skrzynka pocztowa. W tym celu należy w menu w sekcji Opcje włączyć pokazywanie linii Od. Wówczas przy tworzeniu emeila wskazujemy, iż wiadomość ma wyjść nie ze skrzynki imiennej tylko z tej do której mamy nadane uprawnienia Send As (w przykładzie sekretariat@swiatowiak.org.pl). Wysyłanie emeila jako inna skrzynka pocztowa pokazano na rysunku 10.

Rys.10.  Wysyłanie emeila jako inna skrzynka pocztowa

 

W przypadku braku powyższego atrybutu. Nadawca dostanie odmowę wysłania takiego emaila. Przykład pokazano na rysunku 11.

Rys.11.  Odmowa wysyłanie emeila jako inna skrzynka pocztowa z powodu braku uprawnienia Send As

 

Przyjrzyjmy się bliżej skrzynkom współdzielonym. Skrzynka współdzielona jest widoczna w AD w sposób pokazany na rysunku 12, jako wyłączony User.

Rys.12.  Skrzynka współdzielona widoczna od strony Active Directory

 

Skrzynka współdzielona różni się od zwykłej skrzynki imiennej atrybutami. Inna jest wartość atrybutów RecipientTypeDetails i RecipientDisplayType. Różnice pokazano na rysunku 13 (dla skrzynek on-premise i 14 (dla skrzynek zmigrowanych do Office 365.

Rys.13.  Różnice w atrybutach skrzynki imiennej i skrzynki współdzielonej (on-premise)

 

Rys.14.  Różnice w atrybutach skrzynki imiennej i skrzynki współdzielonej (Office 365)

 

Zmiany w układzie interfejsu ECP zarówno w konsoli Exchange On-premise jak i Exchange Online zaszły niedawno. W konsoli Exchange On-premise wszystkie skrzynki współdzielone (niezależnie od tego czy jest to skrzynka on-premise [skrzynka prezes]  czy zmigrowana do Office 365 [skrzynka sekretariat]) widoczne są jako skrzynki w sekcji – udostępnione. Przykład pokazuje rysunek 15. Na pierwszy rzut oka się nie różnią.

Rys.15.  Exchange on-premise – sekcja skrzynki udostępnione / współdzielone

 

Różnice ujawniają się dopiero po przejściu do właściwości danej skrzynki. Skrzynka współdzielona [prezes] – to obiekt rezydujący w jakiejś bazie danych Exchange on-premise. Przykład pokazano na rysunku 16.

Rys.16.  Atrybuty i właściwości skrzynki współdzielonej on-premise

 

Uprawnienia typu Full Access czy Send As ustawiamy w sekcji delegowanie skrzynki pocztowej.

Natomiast skrzynki współdzielone zmigrowane mają inne atrybutu i są to obiekty po migracji widziane jako mail-enable user, jak pokazano na rysunku 17.

Rys.17.  Atrybuty i właściwości skrzynki współdzielonej zmigrowanej do Office-365

 

Zatem uprawnienia i inne właściwości ustawiamy już od strony Office 365. Skrzynka ta powinna się pojawić się w konsoli Office 365 / Exchange – również jako skrzynka współdzielona / udostępniona, co pokazano na rysunku 18.

Rys.18.  Exchange online / Office 365 – sekcja skrzynki udostępnione / współdzielone

 

Skrzynka ta ma jeszcze inny zestaw atrybutów – co zaprezentowano na rysunku 19.

Rys.19.  Exchange online / Office 365 – właściwości skrzynki udostępnionej

 

ZMIANY po CU 10 do Exchange 2013

W przypadku skrzynek współdzielonych zmigrowanych do Office 365, przy nadawaniu uprawnienia  Full Access widzimy teraz wszystkich użytkowników zarówno tych mających skrzynki on-premise jak i tych zmigrowanych do Office 365.  Co nie było dostępne w poprzednich aktualizacjach. Przykład pokazuje rysunek 20.

Rys.20.  Nadawanie uprawnień Full Access do skrzynki współdzielonej w konsoli ECP Office 365 (Exchange online)

 

Ale co ciekawe również atrybut Send As jest dostępny dla wszystkich użytkowników zarówno tych zmigrowanych do Office 365 jak tych z kontami w Exchange on-premise (rysunek 21).

Rys.21.  Nadawanie uprawnień Send As do skrzynki współdzielonej w konsoli ECP Office 365 (Exchange online)

 

Uprawnienia Full Access zwyczajowo nadajemy manualnie i przy migracji były one tracone. Spowodowane to było faktem, iż poprzednie wersje Exchange się potrafiły przy migracji skrzynki zmigrować uprawnień Full Access, Send Of Behalt czy Send As.

 

Aby atrybuty Full Access, oraz Send of Behalf  mogły być teraz migrowane i zsynchronizowane do Office 365 potrzebujemy w miarę najnowszego Azure AD Connect. I na poziomie Exchange On-premise globalnie przełączamy jedną opcję. Domyślnie jest ona ustawiona na wartość False

Set-OrganizationConfig -ACLableSyncedObjectEnabled $True

 

Włączenie tej opcji powoduje, że AzureAD Connect dodatkowo synchronizuje atrybut msExchDelegateListLink, oraz publicDelegates które odpowiadają za przekazywanie informacji o uprawnieniu Full Access i Send Of Behalf z on-premise do Office 365.

Rys.22.  Azure AD Connect – synchronizacja atrybutu msExchDelegateListLink

 

Należy również zwrócić uwagę, iż synchronizowany jest również atrybut cloudMSExchDelegateListlink – wykorzystywany dla konfiguracji hybrydowej aby obie strony miały spójność atrybutów / delegacji w zależności od której strony te atrybuty/ delegacje zostały ustawione.

 

Ale co teraz z uprawnieniem Send As

Send As jest uprawnieniem na obiekcie użytkownika i NIE JEST synchronizowany do Office 365. Trzeba do nadawać manualnie od strony On-premise i Office 365.

O ile dla scenariusza:

Mailbox (znajdujący się w chmurze), do którego dla wybranych użytkowników chcemy nadać delegację Send As  à można ją nadać w konsoli graficznej jak pokazano na rysunku 21.

To w scenariuszu:

Mailbox (znajdujący się w on-premise), do którego dla wybranych użytkowników chcemy nadać delegację Send As  à delegację można nadać w konsoli Active Directory Users and Computers lub wygodniej powershell’em. I trzeba to nadać od dwóch stron !!!

Logujemy się PowerShellem do Exchange Online i wywołujemy poleceniem Add-RecipientPermission

Poniżej na rysunku 23 dodano delegacje Send as dla dwóch użytkowników (jan.poniedzialek i adam.wtorek)

Rys.23.  Delegacja Send As od strony PowerShell Exchange Online

 

A następnie logujemy się zwykłym PowerShell Exchange on-premise i nadajemy delegację od strony on-premise. Na rysunku 24 pokazano przykład dla użytkownika jan.poniedzialek.

Rys.24.  Delegacja Send As od strony PowerShell Exchange On-premise

 

 

 

Można to po fakcie zweryfikować za pomocą konsoli ADUC – co pokazano na rysunku 25.

Rys.25.  Weryfikacja delegacji Send As od strony konsoli ADUC

 

Dla użytkowników, którym chcemy nadać wspomnianą delegację Send As musi być ustawione uprawnienie Send As na Allow.

LOKALIZACJA WYSŁANYCH WIADOMOŚCI DLA SKRZYNEK Z DELEGACJAMI

W przypadku skrzynek współdzielonych pozostaje jeszcze jedna kwestia. W przednich wersjach Exchange oraz w domyślnej konfiguracji środowisk Exchange wysłana wiadomość zostaje umieszczona w folderze Wiadomości wysłane skrzynki głównej. Jednakże w wielu środowiskach ta wiadomość powinna być umieszczona w folderze Wiadomości wysłane skrzynki współdzielonej, aby inni użytkownicy tej właśnie skrzynki mieli informacje o wysłanych emailach.

W przypadku skrzynek współdzielonych dla delegacji Send As należy parametr MessageCopyForSentAsEnabled na wartość True.

set-mailbox <mailbox name> -MessageCopyForSentAsEnabled $True

 

Dla delegacji Sent On Behalf należy parametr MessageCopyForSentBehalfEnabled na wartość True.

set-mailbox <mailbox name> -MessageCopyForSendOnBehalfEnabled $True

 

Należy zdawać sobie sprawę, iż ustawienia te będą działały tylko w scenariuszu, gdy skrzynka do której delegujemy uprawnienia znajduje się w tej samej części środowiska co skrzynka, której ustawiamy te delegacje (czyli obie skrzynki w on-premise lub obie skrzynki w Office 365).

 

Możliwość zmiany tego domyślnego zachowania zmieniła się po opublikowaniu CU nr 9 do Exchange 2013 oraz jest dostępna w Office 365 i we wszystkich nowszych wersjach Exchange.

 

Podziel się

[/spb_text_block]

Autor: Jacek Światowiak

Jacek Światowiak

Absolwent Politechniki Gdańskiej. Wykładowca technologii sieciowych i zagadnień bezpieczeństwa na Politechnice Gdańskiej oraz Polsko Japońskiej Akademii Technik Komputerowych.
Od 1999 r. szkoleniowiec w zakresie technologii IT. Trener MCT od 2006 roku. Przez pięć lat Microsoft MVP w kategorii Directory Services oraz Exchange.
Autor wielu publikacji w tym książkowych, artykułów oraz prezentacji technicznych.
Hobby – hodowca kotów rasowych (koty brytyjskie), czynny nurek techniczny oraz instruktor nurkowania rekreacyjnego i technicznego oraz instruktor trener w zakresie szkoleń pierwszej pomocy przedmedycznej.

Ostatnie artykuły autora

Czym jest Microsoft Lists?

Czym jest Microsoft Lists?

Czy potrzebowałeś kiedyś sporządzić listę swoich klientów i dostawców? Albo spisać szczegółową listę sprzętu IT posiadanego przez swoich pracowników? Na…

Jak chronić dane wrażliwe w Microsoft 365

Jak chronić dane wrażliwe w Microsoft 365

Piotr Bieliński wyjaśnia czym są dane wrażliwe w rozumieniu Microsoft, jak można je chronić dzięki portalowi Security & Compliance oraz jaką rolę w tym procesie odgrywają typy danych. Krok po kroku pokazuje również jak stworzyć własny typ danych.

Zmiana sposobu logowania z federacji na uwierzytelnianie przekazywane

Zmiana sposobu logowania z federacji na uwierzytelnianie przekazywane

Piotr Bieliński przeprowadzi Cię krok po kroku przez proces planowania, przygotowania i wdrożenia zmiany polegającej na przejściu z ADFS na Pass-through Authentication w organizacji. Wyjaśnia również na co zwrócić szczególną uwagę i dlaczego testy są tak istotne.

Skontaktuj się z autorem

 

    Administratorem danych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. Podane przez Ciebie dane będą przetwarzane w zakresie niezbędnym do podjęcia kontaktu lub realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO przez okres niezbędny dla realizacji Twojego zgłoszenia. Wszelkie informacje w zakresie przetwarzania podanych przez Ciebie w formularzu danych oraz posiadanych uprawnieniach znajdziesz w Polityce prywatności. Kliknij i dowiedz się więcej jeżeli informacje podane powyżej nie są dostatecznie jasne!