Revisão 21 postado em artigos TechNet por Fernando Lugão Veltem em 16/7/2015 13:23:25
O Office 365 Directory Synchronization (DirSync) permite estender o Active Directory on-premises para oAzure Directory e assim permitir um gerenciamento centralizado de usuários e grupos. No artigo DirSync: List of attributes that are synced by the Azure Active Directory Sync Tool apresenta a documentação de todos os atributos e objetos que são sincronizados com a ferramenta.
Tenho um ambiente com dois servidores, um controlador de domínio e um servidor DirSync, todos os objetos do Active Directory são sincronizados para o Office 365. Com todo o diretório sincronizado, os endereços de email dos usuário e grupos são configurados pelas informações do objecto no Active Directory,
Como as configurações dos grupos são definidas nos atributos do objeto no Active Directory o portal de gerenciamento do Office 365 não permite alterações destas configurações.
O erro informa que a configurações do grupo deve ser feita no Active Directory e sincronizado com a nuvem.
A primeira opção é migrar o gerenciamento do grupo para o Exchange Online. Isso permitirá a configuração de todas as propriedades dos grupos.
Não existe a necessidade de deletar o grupo do Active Directory, acesse as configurações do grupo e remova o campo email.
Sincronize a informação para o Office 365, o grupo deve ser removido dos grupos de distribuição do Exchange Online.
Em seguida crie um novo grupo com o mesmo nome e email.
E adicione os membros.
A segunda opção é configurar os atributos do grupo no Active Directory e sincronizar para o Exchange Online. Os seguintes atributos configuram as propriedades do grupo:
Estes valores foram extraídos da mídia de instalação do Exchange Server, no caminho <mídia de instalação Exchange>\setup\serverroles\common\setup\data.
Neste ambiente foi criado uma pasta C:\Temp e o arquivo schema.ldf. Para executar as alterações o usuário deve ser membro do grupo Enterprise Admin e Schema Admins.
Para importar o arquivo será utilizado o comando ldifde, na parte final do comando substitua o texto "DC=domain,DC=local"com o nome completo do domínio a ser alterado. No meu domínio de demostração tem o nome home.local o comando final fica como no print.
A opção -j cria um arquivo de log das ações.
Reinicie o serviço do Active Directory para aplicar as alterações.
A lista de atributos deve estar disponível nas propriedades do grupo.
Com os atributos disponíveis nos grupos basta configurar cada um de acordo com a necessidade. Abaixo demostro a alteração de cada configuração e o resultado no portal de gerenciamento do Exchange Online.
Em Delivery Management é possível configurar uma lista de usuários que podem enviar email para o grupo.
Para configurar a propriedade authOrig é necessário usar PowerShell. Utilize o cmdlet para configurar.
Sincronize as alterações e verifique que o grupo foi configurado com o usuários.
Para restringir somente usu��rios internos configure o atributo msExchRequireAuthToSendTo este atributo pode ser configurado diretamente no console do Active Directory.
Entre nas propriedades e configure como $True
A opção Only senders inside my organization foi selecionado.
Para iniciar a configuração da moderação habilite a funcionalidade no atributo msExchEnableModeration.Altere o valor do atributo para $True
Em seguida configure o moderador do grupo no campo msExchModeratedByLink e usuários que podem enviar email ou grupo sem moderação msExchBypassModerationLink
Após a sincronização os usuários devem estar configurados no grupo.
O atributo msExchSenderHintTranslations configura o MailTip para o objeto. Acesse as propriedades do grupo e edite a propriedade.
Configure o atributo com o padrão abaixo.
Em MailTip no Exchange Online a configuração deve aparecer da forma abaixo.
Quando um usuário inserir o grupo como recipient a dica de email deve ser apresentada.
Para configurar o usuário com permissão de enviar em nome do grupo é necessário configurar o publicDelegates
Acesse as propriedades do grupo e adicione o Common Name dos usuários.
Os emails deve conter o usuário que usou o grupo e o email do grupo.
Visão Geral
O Office 365 Directory Synchronization (DirSync) permite estender o Active Directory on-premises para oAzure Directory e assim permitir um gerenciamento centralizado de usuários e grupos. No artigo DirSync: List of attributes that are synced by the Azure Active Directory Sync Tool apresenta a documentação de todos os atributos e objetos que são sincronizados com a ferramenta.
Tenho um ambiente com dois servidores, um controlador de domínio e um servidor DirSync, todos os objetos do Active Directory são sincronizados para o Office 365. Com todo o diretório sincronizado, os endereços de email dos usuário e grupos são configurados pelas informações do objecto no Active Directory,
Como as configurações dos grupos são definidas nos atributos do objeto no Active Directory o portal de gerenciamento do Office 365 não permite alterações destas configurações.
O erro informa que a configurações do grupo deve ser feita no Active Directory e sincronizado com a nuvem.
| The action 'Set-DistributionGroup', 'AcceptMessagesOnlyFromSendersOrMembers,RequireSenderAuthenticationEnabled', can't be performed on the object 'Group01' because the object is being synchronized from your on-premises organization. This action should be performed on the object in your on-premises organization. |
1° Solução
A primeira opção é migrar o gerenciamento do grupo para o Exchange Online. Isso permitirá a configuração de todas as propriedades dos grupos.
Não existe a necessidade de deletar o grupo do Active Directory, acesse as configurações do grupo e remova o campo email.
Sincronize a informação para o Office 365, o grupo deve ser removido dos grupos de distribuição do Exchange Online.
Em seguida crie um novo grupo com o mesmo nome e email.
E adicione os membros.
2° Solução
A segunda opção é configurar os atributos do grupo no Active Directory e sincronizar para o Exchange Online. Os seguintes atributos configuram as propriedades do grupo:
- authOrig - configura quais usuários podem enviar email para o grupo.
- msExchRequireAuthToSendTo - configura se o grupo aceitará emails externos ou somente dos usuários da corporação.
- msExchEnableModeration - habilita a moderação da lista.
- msExchModeratedByLink - configurado em conjunto com msExchEnableModerationinforma quem é o moderador do grupo.
- msExchBypassModerationLink - configurado em conjunto com msExchEnableModerationconfigura quais usuários podem enviar email ao grupo sem precisar de moderação.
- publicDelegates - configura quais usuário podem utilizar o endereço de email com a opção Send on Behalf
- msExchSenderHintTranslations - configura a mensagem do dicas de email.
Mas estes atributos não existem por padrão no Active Directory Schema,
eles são criados no processo de instalação do Exchange On-premises. O assistente de instalação do Exchange expande o Schema criando estes e uma série de atributos e classes para suportar as configurações do Exchange.
Uma alternativa é fazer o download da mídia do Exchange e executar somente o primeiro passo de preparação do Schema mostrado no artigo Instalação Exchange 2010, Preparando o ambiente de AD Parte2. O problema dessa solução é que o assistente cria uma cadeia de outros atributos e classes que não serão utilizados.
Desejo criar no Active Directory Schema somente os atributos acima, no artigo How to Create a Custom Attribute in Active Directory demostra o processo de configurar o console do Schema e criar atributos.
Muito cuidado! Alterações no Schema são irreverencieis. Antes de iniciar qualquer operação faça um backup.
No arquivo abaixo separei os atributos desejados. Copie o conteúdo para o Bloco de Notas e nomeie o arquivo schema.ldf
Uma alternativa é fazer o download da mídia do Exchange e executar somente o primeiro passo de preparação do Schema mostrado no artigo Instalação Exchange 2010, Preparando o ambiente de AD Parte2. O problema dessa solução é que o assistente cria uma cadeia de outros atributos e classes que não serão utilizados.
Desejo criar no Active Directory Schema somente os atributos acima, no artigo How to Create a Custom Attribute in Active Directory demostra o processo de configurar o console do Schema e criar atributos.
Muito cuidado! Alterações no Schema são irreverencieis. Antes de iniciar qualquer operação faça um backup.
No arquivo abaixo separei os atributos desejados. Copie o conteúdo para o Bloco de Notas e nomeie o arquivo schema.ldf
| # --------------------------------------------------------------------- # Este arquivo contem os atributos a serem criados para configurar as propriedades # das listas de distribuição. # Para configurar o Schema vou utilizar o comando Ldifde. # ldifde -i -k -f schema.ldf -j c:\temp -c "DC=x" "DC=home,DC=local" # --------------------------------------------------------------------- # --------------------------------------------------------------------- # Esta sessão lista os atributos a serem criados. # --------------------------------------------------------------------- # --------------------------------------------------------------------- # Controla quais usuários podem enviar email ao grupo. Se o atributo não for # configurado o grupo aceita emails de todos usuários internos e externos. # É um atributo multi valor e deve ser configurado com o CN dos usuários (CN=User05 05,OU=Usuarios,DC=home,DC=local) # --------------------------------------------------------------------- dn: CN=ms-Exch-Auth-Orig,CN=Schema,CN=Configuration,DC=x changetype: ntdsSchemaAdd adminDescription: ms-Exch-Auth-Orig adminDisplayName: ms-Exch-Auth-Orig attributeID: 1.2.840.113556.1.2.129 attributeSyntax: 2.5.5.7 isMemberOfPartialAttributeSet: TRUE isSingleValued: FALSE lDAPDisplayName: authOrig mapiId: 36056 name: ms-Exch-Auth-Orig oMSyntax: 127 oMObjectClass:: VgYBAgULHQ== objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=x objectClass: attributeSchema linkID: 110 schemaIdGuid:: l3PfqOrF0RG7ywCAx2ZwwA== searchFlags: 0 # --------------------------------------------------------------------- # Atributo do tipo booleano ($true, $false ou $not set). # Atributo que controla a entrega de email de acordo com sua origem. # Quando configurado para $true o grupo aceita somente emails dos usuários internos. # Quando configurado como $not set ou $false o grupo aceita emails dos usuários internos # e externos. # --------------------------------------------------------------------- dn: CN=ms-Exch-RequireAuthToSendTo,CN=Schema,CN=Configuration,DC=x changetype: ntdsSchemaAdd adminDescription: ms-Exch-RequireAuthToSendTo adminDisplayName: ms-Exch-RequireAuthToSendTo attributeID: 1.2.840.113556.1.4.5062 attributeSyntax: 2.5.5.8 isMemberOfPartialAttributeSet: TRUE isSingleValued: TRUE lDAPDisplayName: msExchRequireAuthToSendTo name: ms-Exch-RequireAuthToSendTo oMSyntax: 1 objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=x objectClass: attributeSchema schemaIdGuid:: O+sz9Vv3s0+y+wjNU3qE0Q== searchFlags: 0 # --------------------------------------------------------------------- # Atributo do tipo booleano ($true, $false ou $not set). # Atributo que habilita a moderação dos grupos de distribuição # Quando configurado como $true o gupo é configurado como moderado e # os emails são direcionados para o moderado. # --------------------------------------------------------------------- dn: CN=ms-Exch-Enable-Moderation,CN=Schema,CN=Configuration,DC=x changetype: ntdsSchemaAdd adminDescription: ms-Exch-Enable-Moderation adminDisplayName: ms-Exch-Enable-Moderation attributeID: 1.2.840.113556.1.4.7000.102.50969 attributeSecurityGuid:: iYopH5jeuEe1zVcq1T0mfg== attributeSyntax: 2.5.5.8 isMemberOfPartialAttributeSet: TRUE isSingleValued: TRUE lDAPDisplayName: msExchEnableModeration mapiId: 36021 name: ms-Exch-Enable-Moderation oMSyntax: 1 objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=x objectClass: attributeSchema schemaIdGuid:: Zy3NakZwWEmL13HOvGi4pw== searchFlags: 0 # --------------------------------------------------------------------- # É um atributo multi valor e deve ser configurado com o CN dos # usuários (CN=User05 05,OU=Usuarios,DC=home,DC=local) # O atributo configura os moderadores do grupo, # --------------------------------------------------------------------- dn: CN=ms-Exch-Moderated-By-Link,CN=Schema,CN=Configuration,DC=x changetype: ntdsSchemaAdd adminDescription: ms-Exch-Moderated-By-Link adminDisplayName: ms-Exch-Moderated-By-Link attributeID: 1.2.840.113556.1.4.7000.102.50952 attributeSecurityGuid:: iYopH5jeuEe1zVcq1T0mfg== attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: TRUE isSingleValued: FALSE lDAPDisplayName: msExchModeratedByLink mapiId: 36013 name: ms-Exch-Moderated-By-Link oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=x objectClass: attributeSchema linkID: 1128 schemaIdGuid:: 48Xh5oJ10EOWcYcYVCpshg== searchFlags: 0 # --------------------------------------------------------------------- # É um atributo multi valor e deve ser configurado com o CN dos usuários # O atributo configura os usuários que não serão moderados para # enviarem mensagens para grupos moderados. # --------------------------------------------------------------------- dn: CN=ms-Exch-Bypass-Moderation-Link,CN=Schema,CN=Configuration,DC=x changetype: ntdsSchemaAdd adminDescription: ms-Exch-Bypass-Moderation-Link adminDisplayName: ms-Exch-Bypass-Moderation-Link attributeID: 1.2.840.113556.1.4.7000.102.51140 attributeSecurityGuid:: iYopH5jeuEe1zVcq1T0mfg== attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: TRUE isSingleValued: FALSE lDAPDisplayName: msExchBypassModerationLink mapiId: 36050 name: ms-Exch-Bypass-Moderation-Link oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=x objectClass: attributeSchema linkID: 1180 schemaIdGuid:: mD4ZYllmJE+OR5v209ommA== searchFlags: 0 # --------------------------------------------------------------------- # Atributo que habilita a configuração de # Send on Behalf # --------------------------------------------------------------------- dn: CN=ms-Exch-Public-Delegates,CN=Schema,CN=Configuration,DC=x changetype: ntdsSchemaAdd adminDescription: ms-Exch-Public-Delegates adminDisplayName: ms-Exch-Public-Delegates attributeID: 1.2.840.113556.1.2.238 attributeSyntax: 2.5.5.1 isMemberOfPartialAttributeSet: TRUE isSingleValued: FALSE lDAPDisplayName: publicDelegates mapiId: 32789 name: ms-Exch-Public-Delegates oMSyntax: 127 oMObjectClass:: KwwCh3McAIVK objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=x objectClass: attributeSchema linkID: 14 schemaIdGuid:: mv/48JER0BGgYACqAGwz7Q== searchFlags: 0 # --------------------------------------------------------------------- # Habilita a adição do MailTips nos grupos sincronizados # --------------------------------------------------------------------- dn: CN=ms-Exch-Sender-Hint-Translations,CN=Schema,CN=Configuration,DC=x changetype: ntdsSchemaAdd adminDescription: ms-Exch-Sender-Hint-Translations adminDisplayName: ms-Exch-Sender-Hint-Translations attributeID: 1.2.840.113556.1.4.7000.102.50899 attributeSyntax: 2.5.5.12 isMemberOfPartialAttributeSet: TRUE isSingleValued: FALSE lDAPDisplayName: msExchSenderHintTranslations mapiId: 36012 name: ms-Exch-Sender-Hint-Translations oMSyntax: 64 objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=x objectClass: attributeSchema rangeLower: 2 rangeUpper: 500 schemaIdGuid:: nWqelDwkvkWvEPfyaFiyKQ== searchFlags: 0 # --------------------------------------------------------------------- # Aplica as alterações dos atributos. # --------------------------------------------------------------------- dn: changetype: ntdsSchemaModify replace: schemaUpdateNow schemaupdatenow: 1 - # --------------------------------------------------------------------- # Esta sessão modifica a classe de grupo do Active Directory e adiciona # os novos atributos para serem utilizados # --------------------------------------------------------------------- dn: CN=Group,CN=Schema,CN=Configuration,DC=x changetype: modify add: mayContain mayContain: authOrig mayContain: msExchRequireAuthToSendTo mayContain: msExchEnableModeration mayContain: msExchModeratedByLink mayContain: msExchBypassModerationLink mayContain: publicDelegates mayContain: msExchSenderHintTranslations - |
Estes valores foram extraídos da mídia de instalação do Exchange Server, no caminho <mídia de instalação Exchange>\setup\serverroles\common\setup\data.
| Atributo | Arquivo Exchange |
| CN=ms-Exch-Auth-Orig | schema2.ldf |
| CN=ms-Exch-RequireAuthToSendTo | schema36.ldf |
| CN=ms-Exch-Enable-Moderation | schema61.ldf |
| CN=ms-Exch-Moderated-By-Link | schema61.ldf |
| CN=ms-Exch-Bypass-Moderation-Link | schema65.ldf |
| CN=ms-Exch-Public-Delegates | schema2.ldf |
| CN=ms-Exch-Sender-Hint-Translations | schema59.ldf |
Neste ambiente foi criado uma pasta C:\Temp e o arquivo schema.ldf. Para executar as alterações o usuário deve ser membro do grupo Enterprise Admin e Schema Admins.
Para importar o arquivo será utilizado o comando ldifde, na parte final do comando substitua o texto "DC=domain,DC=local"com o nome completo do domínio a ser alterado. No meu domínio de demostração tem o nome home.local o comando final fica como no print.
ldifde -i -k -f schema.ldf -j c:\temp -c "DC=x" "DC=domain,DC=local"
A opção -j cria um arquivo de log das ações.
Reinicie o serviço do Active Directory para aplicar as alterações.
A lista de atributos deve estar disponível nas propriedades do grupo.
Com os atributos disponíveis nos grupos basta configurar cada um de acordo com a necessidade. Abaixo demostro a alteração de cada configuração e o resultado no portal de gerenciamento do Exchange Online.
Configurando Usuários com Permissão de Enviar Email para a Grupo
Em Delivery Management é possível configurar uma lista de usuários que podem enviar email para o grupo.
Para configurar a propriedade authOrig é necessário usar PowerShell. Utilize o cmdlet para configurar.
Set-ADGroup group01 -Add @{authOrig='CN=User01 01, OU=Usuarios,DC=home,DC=local'}
Sincronize as alterações e verifique que o grupo foi configurado com o usuários.
Restringindo o Grupo Aceitar Somente Emails Internos
Para restringir somente usu��rios internos configure o atributo msExchRequireAuthToSendTo este atributo pode ser configurado diretamente no console do Active Directory.
Entre nas propriedades e configure como $True
A opção Only senders inside my organization foi selecionado.
Configurando Moderação
Para iniciar a configuração da moderação habilite a funcionalidade no atributo msExchEnableModeration.Altere o valor do atributo para $True
Em seguida configure o moderador do grupo no campo msExchModeratedByLink e usuários que podem enviar email ou grupo sem moderação msExchBypassModerationLink
Após a sincronização os usuários devem estar configurados no grupo.
Configurando Dicas de Email
O atributo msExchSenderHintTranslations configura o MailTip para o objeto. Acesse as propriedades do grupo e edite a propriedade.
Configure o atributo com o padrão abaixo.
default:<html><body>Maiiltip Group01</body></html>
Em MailTip no Exchange Online a configuração deve aparecer da forma abaixo.
Quando um usuário inserir o grupo como recipient a dica de email deve ser apresentada.
Configurando Permissão de Send on Behalf
Para configurar o usuário com permissão de enviar em nome do grupo é necessário configurar o publicDelegates
Acesse as propriedades do grupo e adicione o Common Name dos usuários.
Os emails deve conter o usuário que usou o grupo e o email do grupo.
Outros Idiomas
Tags: Exchange Online, Office 365, Fernando Lugao Veltem
