Exchange Server

Deep Dive – Entendendo o Full Access

  • O que é Full Access?

R: O Full Access é uma permissão aplicada na mailbox que concede acesso total a uma outra mailbox. Em outras palavras, se eu Denis, concedo permissão de Full Access na minha mailbox, delegando o usuário “John” a acessá-la, ele poderá acessar a todas as minhas pastas e calendários que existem na minha mailbox.

  • Como conceder a permissão?

R: No Exchange 2003/2007/2010/2013 e 2016 nós temos a opção de configurar no próprio usuário através da interface gráfica. É possível também configurar pelo powershell. Logo após a permissão ser concedida, a mailbox aparecera automaticamente sobre o Outlook do delegado graças a feature de automapping – que abordaremos a seguir. Vejamos o passo a passo abaixo:

Exchange 2010

Full Access Exchange 2010

Full Access Exchange 2010

 

Exchange 2013/2016

Full Access Exchange 2013/2016

 

Powershell

Add-MailboxPermission -Identity "Denis" -User John -AccessRights FullAccess -InheritanceType All

 

  • Após concede a permissão, como abrir a mailbox do outro usuário ?

R: Existem alguns modos de se abrir uma mailbox com Full Access. Listarei abaixo quais são esses modos:

  1. Abrindo a mailbox através do AutoMapping
  2. Abrindo a mailbox sem o manualmente sem o AutoMapping, através da aba “Open These Aditional Mailboxes”
  3. Adicionando a mailbox como “Mail Account” no perfil do Outlook já existente
  4. Abrindo a mailbox no OWA

 

1) AutoMapping

  • O que é o AutoMapping ?

R: O AutoMapping é uma feature do Exchange que mapeia automaticamente no Outlook a mailbox em que o Full Access foi concedido. 

Vamos voltar ao exemplo do usuário Denis que concedeu Full Access em sua mailbox para o usuário John poder acessa-la. Nesse caso, ao conceder a permissão, instantaneamente o Exchange Server ira popular o atributo msExchDelegateListLink do usuário de Denis no Active Directory, inserindo o CN da mailbox de John. Juntamente, será populado o atributo chamado msExchDelegateListBL no usuário do John com o DN da mailbox do Denis — esses dois atributos são o que chamamos de link e back-link no AD, atributos que possuem relacionamentos entre si. O msExchDelegateListBL é de suma importância para que o Autodiscover response publique o valor <AlternativeMailbox> no XML.

<AlternativeMailbox> é gerado pelo Exchange com base em uma query no Active Directory no momento de criação do Autodiscover Response, que listará os usuários dentro do atributo msExchDelegateListBL

Por design o Outlook ao ver que existe o <AlternativeMailbox>, o mesmo realiza o mapeamento da mailbox no qual o atributo menciona. Dessa forma o Outlook passa a saber através do Autodiscover que um usuário tem permissão de Full Access na mailbox de outro usuário. Vejais o exemplo abaixo de Autodiscover response de um usuário que recebe Full Access uma mailbox chamada admsignorelli:

<AlternativeMailbox>

  • Desabilitar o AutoMapping

O AutoMapping foi introduzido a partir do Exchange 2010 e é utilizado por padrão ao se conceder permissao de Full Access seja através do EAC ou através do Powershell. Caso não deseje que o AutoMapping seja utilizado, será necessário conceder a permissão através do Powershell utilizando o parâmetro -AutoMapping $false

Outro ponto importante, uma mailbox mapeada pelo AutoMapping ficara sempre aberta no Outlook de quem recebe a permissão. Não é possível a remoção dessa mailbox pela propria pessoa. Portanto, caso o usuário que recebera a permissão de Full Access deseje ter o controle de poder adicionar ou remover a mailbox quando quiser, essa não é uma solução, e será necessário utilizar o método que irei explicar a seguir.

 

2) Mapeamento Manual

  • Se eu não utilizo o AutoMapping, como posso adicionar a mailbox manualmente no Outlook ?

R: Em configurações de conta, abra a configuração e vá em outras Configurações > Configurações avançadas:

Outlook mapping mailbox

 

  • É possível utilizar modo cache ou modo online para as mailboxes abertas em modo Full Access?

R: Sim, é totalmente possível mudar entre modo online ou modo cache.

Outlook mapping mailbox

 

3) Mail Account (Conhecido também como MultiEx ou Multiple Exchange Account)

  • Posso adicionar uma mailbox com Full Access como “Mail Account” ao invés de mapeá-la no Outlook ?

R: Sim, é possível adicionar uma nova conta no Outlook ao invés de mapeá-la através do tradicional método abaixo:

Nos casos em que seja concedido o Full Access a uma pessoa, essa pessoa poderá utilizar sua própria credencial para abrir a mailbox com Full Access. Portanto é possível sim adicionar “dois e-mails” no mesmo perfil de Outlook.

Outlook MultiEx

Após adicionar a mailbox com Full Access como “Mail Account”, o Outlook ira desconsiderar o AutoMapping – caso esteja ativo – e ira deixar de utilizar o AutoMapping enquanto a mailbox estiver configurada como “Mail Account”. Aos olhos de um usuário, ambos os métodos de conexão podem parecer exatamente os mesmos. Contanto aos olhos técnicos existem algumas diferenças entre eles, no qual irei abordar mais abaixo.

  • Ainda no contexto da pergunta acima, existe alguma necessidade especifica em que se vê necessidade de adicionar a mailbox como Account no Outlook ao invés de mapeá-la automaticamente com o AutoMapping ou manualmente ?

R: Particularmente eu conheço apena dois caso em que essa situação é realmente necessária. O primeiro caso é referente a assinatura. Com o AutoMapping ou mapeamento manual não é possível haver duas assinaturas diferentes vinculadas a cada mailbox.  Nesse caso em especifico, recomendo que seja adicionado a conta de e-mail com Full Access ao mesmo perfil de Outlook como citei no exemplo acima, dessa forma será possível criar a assinatura para cada mailbox:

Outlook Signature

O segundo caso em que vejo a necessidade desse cenário, são para pessoas que precisam acessar o Archive da mailbox com Full Access, mas não podem ou não querem fazê-lo através do AutoMapping. Ou seja, para mailbox adicionadas as outras através do modo manual “Open These Aditional Mailboxes”, o Archive não aparece. Portanto nos casos em que o AutoMapping não é viável devido a uma questão pessoal – seja ela qual for – o único modo de acesso ao Online Archive além do OWA, será adicionando a mailbox como “Mail Account”.

Um outro detalhe também é o método de busca utilizado pelo Outlook 2016 e o Exchange 2016 chamado “Fast Search”. Utilizando AutoMapping ou mapeamento manual, o Fast Search não é suportado, será usado então o método de busca WDS. Para mailboxes adicionadas como “Mail Account” o Fast Search já é suportado conforme explicado nesse artigo

 

4) OWA

  • É possível abrir uma mailbox que contenha Full Access através do OWA?

R: Sim, porem o modo diferente de como é aberto no Outlook. Para abrir através do OWA, basta acessar:

Open mailbox OWA

 

Perguntas aleatórias

  • O Full Access funciona em modo Cross-premises (uma mailbox no Exchange Online e outra no Exchange On-prem).

R: Sim, é totalmente suportado em um ambiente hibrido. Inclusive para acesso ao OWA que a Microsoft corrigiu alguns bugs existentes recentemente.

  • O AutoMapping funciona em modo Cross-premises ?

R: Existem inumeras variáveis para esse cenário. Basicamente uma mailbox que já garantia uma permissão Full Access a uma outra mailbox, se alguma das duas forem migradas e ficarem em uma situação cros-prem, o AutoMapping ainda assim funcionara.

O problema na maioria desses casos são as permissões atribuídas depois que ambas as mailboxes já estão em um cenário cross-prem. Isso ocorre porque basicamente por 2 problemas:

1 – Não existe ainda um write-back do Azure AD Connect (DirSync) para poder popular o valor do atributo msExchDelegateListLink e msExchDelegateListBL

2 – Não é possível conceder essa permissão a um “Mail User”. Lembrem-se que no cenário Hybrid nós não vemos a Mailbox do outro lado como Mailbox e sim como Mail User. Portanto esse ainda é um obstáculo que impede o funcionamento cross-prem do Auto-Mapping.

  • Caso o Auto-Mapping demore para aparecer no Outlook, existe um modo de forçar essa configuração ? 

É possível fazer um recycle no AppPool MSexchangeAutodiscoverAppPool do IIS, isso irá forçar no lado do Exchange a configuração. No que tange o lado client, é necessário “forçar” um Autodiscover. Por padrão, o Autodiscover é feito a cada uma hora, ou após a abertura do Outlook. Portanto, uma ideia seria reiniciar o Outlook

  • Que tipo de permissão é o Full Access?

R: O Full Access é uma permissão a nível de mailbox, no qual permanece no Information Store do Exchange.

  • Com o Full Access habilitado, posso enviar e-mail como se fosse a pessoa?

R: Não, para enviar e-mail como se fosse a pessoa é necessário conceder permissão de Send As.

  • É possivel atribuir permissao de Full Access a um grupo (Mail Enable Distribuition Group) ao invés de atribuir somente por usuários ?

R: Sim, é possível desde que o grupo seja Universal, porém o AutoMapping não funciona.

  • Tecnicamente existe alguma diferença entre uma conexão entre o Outlook e Exchange com mailbox mapeada – seja AutoMapping ou não – e mailbox adicionada como “Mail Account” ?

R: Sim, existe uma pequena diferença. Em primeiro lugar vamos entender como o Outlook se conecta com o Exchange quando existe uma mailbox mapeada:

Connections Outlook

Conforme ilustra a imagem acima, existem 4 canais de conexão entre o Outlook e o Exchange Server. Todos eles utilizam a “Mail Account” Denis.Signorelli@contoso.com

Mas reparem que o “Nome Visualizado” nos mostra que duas conexões são em uma mailbox. As outras duas são em outra mailbox. Ou seja, quando existe uma mailbox mapeada – seja AutoMapping ou manualmente – é sempre feito uma conexão a partir da “Mail Account” default do perfil no Outlook.

Ao invés disso, no caso em que temos duas “Mail Account” configuradas, seja uma como principal e outra Full Access, cada uma se conecta por si só no Exchange Server:

Connections Outlook

  • Existe algo que possa ajudar a remover em lote o AutoMapping de uma mailbox ?

R: No Exchange Online e Exchange 2016, existe um patametro -ClearAutoMapping no qual limpa todos os AutoMappings das permissões de Full Access do usuário.

  • Existe algum modo de aplicar permissão de Full Access em lote a todos os usuários do Exchange ?

R: Existe sim um modo mais simples para esse caso, seria conceder permissão de “Mailbox Import Export” através do RBAC, com o seguinte comando:

New-ManagementRoleAssignment -Role "Mailbox Import Export" -User mJewel
  • É possível um usuário que não possui mailbox, acessar através de Full Access uma outra mailbox?

R: Sim, é perfeitamente possível com algumas ressalvas. O primeiro ponto é que a permissão pode ser dada somente através do powershell. Após fornecida a permissão basta configurar o perfil do usuário sem colocar a senha no Outlook. Ao realizar primeiro acesso, será solicitado o usuário e senha. Ali pode-se inserir a credencial do usuário que não possui a mailbox.Para acesso ao OWA o processo é um pouco diferente. É necessário utilizar a URL do OWA apontando diretamente para a mailbox que possui o acesso Full Access:

https://mail.contoso.com/owa/denis@contoso.com/#path=/mail

No caso acima acessaremos a mailbox do denis@contoso.com, e poderemos usar a credencial de uma conta do AD que não possui mailbox.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *