Mailbox Delegation Cross-Premises in un ambiente Office 365 Ibrido

Le aziende che hanno Exchange ibrido, solitamente hanno bisogno dei cosiddetti
delegating mailbox permissions tra utenti on-premises e utenti cloud.
Siamo felici di annunciarvi che, finalmente, potranno essere accontentati. La distribuzione di questa funzionalità per i tenant Office 365 comincerà da fine Aprile.

Sono finiti i giorni in cui dovevate migrare gli utenti con i permessi di delega e, allo stesso tempo, continuare a mantenere la delega quando migrate su Exchange Online.
Per abilitare la cross premises delegation dovete prima di tutto configurarla su Exchange on-premises con il seguente comando:

Set-OrganizationConfig -ACLableSyncedObjectEnabled $true

Questa è l’unica cosa di cui avete bisogno per permettere ad un utente on-prem di diventare delegato di una casella di posta sul cloud.

Se volete permettere ad un utente cloud di diventare delegato di un utente on-prem, dovete ri-configurare l’attributo msExchRecipientDisplayType per la casella di posta da remoto sull’AD on-premises. In questo modo, permettete alla mailbox dell’utente cloud di diventare ACLable. Il valore di default per una mailbox migrata da on-prem ad Exchange Online è -2147483642. Dev’essere cambiato al seguente valore: -1073741818.

Il comando on-prem qui sotto, invece, modificherà il valore di una mailbox particolare:

Get-ADUser user@contoso.com -Properties msExchRecipientDisplayType | where {$_.msExchRecipientDisplayType -eq -2147483642} | Set-ADUser -Replace @{msExchRecipientDisplayType = -1073741818}

Quest’altro, invece, modificherà il valore di tutte le caselle di posta migrate:

Get-ADUser -Filter * -Properties msExchRecipientDisplayType | where {$_.msExchRecipientDisplayType -eq -2147483642} | Set-ADUser -Replace @{msExchRecipientDisplayType = -1073741818}

Una volta completati questi passaggi, gli utenti cloud possono diventare delegati per gli utenti on-prem.
Notate che non c’è bisogno di forzare la replication della directory utilizzando AAD Connect, in quanto lo fa in automatico.
Andiamo ora a vedere come figurerà in Outlook.

Per prima cosa, vediamo come si presenta Outlook prima dell’esecuzione del comando.

Iniziamo cliccando File su Outlook e poi su Account Setting > Delegate Access.
In questo modo, apriamo la finestra di dialogo Delegates.

Cliccate Add per aprire la finestra Add Users. Notate che l’account Jeff Guillet è cerchiato in rosso.
Questo sta ad indicare che la mailbox non è ACLable. Se proviamo a delegare qualcosa a quella specifica mailbox, comparirà il seguente errore:
“The user cannot be added. Non-local users cannot be given rights on this server.”

Una volta eseguito il comando qui sotto, seguiremo i medesimi passaggi.
A questo punto l’account Jeff Guillet può essere aggiunto come delegato.

A questo punto, è possibile configurare il livello di delega e, facoltativamente, inviare al delegato un’email in cui ricapitolare questi permessi.

Per dettagli dei permessi Full Access, Send-As e Send-On-Behalf-Of in un ambiente ibrido, vistate l’articolo Overview of delegation in an Office 365 hybrid environment.