PI Services

Microsoft a intégré la fonction de prévention des suppressions accidentelles dans le cadre du service de provisionnement Azure AD. Lorsque le nombre de suppressions à traiter dans un cycle de provisionnement unique dépasse un seuil défini par le client, le service de provisionnement Azure AD s'interrompt en offrant une visibilité sur les suppressions potentielles afin d'accepter ou de refuser les suppressions.

La fonctionnalité de prévention des suppressions accidentelles est activée par défaut et configurée de manière à ne pas autoriser toute exportation comprenant plus de 500 suppressions. Vous pouvez modifier la valeur par défaut de 500 objets avec PowerShell en utilisant Enable-ADSyncExportDeletionThreshold, qui fait partie du module AD Sync installé avec Microsoft Entra Connect. Vous devez configurer cette valeur de manière à l’ajuster à la taille de votre organisation. Étant donné que le Planificateur de synchronisation est exécuté toutes les 30 minutes, la valeur est le nombre de suppressions détectées dans les 30 minutes.

Si le nombre de suppressions à exporter vers Microsoft Entra ID est trop important, l’exportation s’arrête et vous recevez un e-mail vous informant de l'arrêt de l'opération.

Vous pouvez également consulter l’état stopped-deletion-threshold-exceeded lorsque vous recherchez le profil d’exportation dans l’interface utilisateur Synchronization Service Manager .

Si vous souhaitez que tous les éléments soient supprimés, procédez comme suit :

1. Pour récupérer le seuil de suppression actuel, exécutez l’applet de commande PowerShell Get-ADSyncExportDeletionThreshold. La valeur par défaut est 500.
2. Pour désactiver temporairement cette protection et procéder à ces suppressions exécutez la commande PowerShell Disable-ADSyncExportDeletionThreshold.
3. Sélectionnez par la suite le connecteur Microsoft Entra,  choisir l’action Exécuter, puis Exporter.
4. Pour réactiver la protection, exécutez l’applet de commande PowerShell Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500. Remplacez 500 par la valeur que vous avez notée lors de la récupération du seuil de suppression actuel.

Le Mappage automatique permet à Outlook d’ouvrir automatiquement toutes les boîtes aux lettres auxquelles un utilisateur a les droits d'accès complet (le mappage automatique fonctionne uniquement pour les utilisateurs individuels disposant des autorisations appropriées et ne fonctionne pour aucun type de groupe.)

La fonctionnalité d’auto-mappage automatique de boîte aux lettres est NON prise en charge dans les environnements hybrides. Au début, les migrations Exchange hybrides ne prenaient en charge aucune sorte d’autorisations de boîte aux lettres entre forêts. Après quelques années, Microsoft a rendu possible le fonctionnement des autorisations d'accès complet.

Lorsque les autorisations d'accès complet sont attribuées avant le déplacement --> Tout continue de fonctionner. Toutefois, la configuration des autorisations d’accès complet après la migration d’une boîte aux lettres ne configurera pas le mappage automatique. Il ne s'agit pas d'un problème  d'autorisations mais plutôt au niveau des attributs de mappage automatique.

Les deux attributs Active Directory qui doivent être mis à jour pour que le mappage automatique fonctionne sont : msExchDelegateListLink (La boîte aux lettres autorisée) et  msExchDelegateListBL (Utilisateur bénéficiant des autorisations)

1. Ajouter tout d'abord des autorisations permettant à un user Online d’accéder à la boîte aux lettres onpremise. Cela se fait avec l’applet de commande Add-MailboxPermission dans Exchange Online. 

PS C:\>Add-MailboxPermission -Identity sales@contoso.com -Utilisateur nathan@contoso.com -AccessRights FullAccess -InheritanceType All

2. Exécuter par la suite la commande Set-ADUser Onprem. 

PS C:\>Set-ADUser -Identity nathan@mcsmlab.com -Add@ {msExchDelegateListLink/BL=sales@contoso.com}

Une fois que ces actions ont été effectuées, AAD Connect synchronisera tous les attributs appropriés dans Azure AD et le mappage automatique fonctionnera comme prévu.

Symptômes

Quand vous accédez aux dossiers d’une boîte aux lettres sur votre profil Outlook, vous pouvez rencontrer des problèmes de synchronisation aléatoires suivants :

• Lorsque vous affichez des éléments dans la boîte aux lettres partagée, les nouveaux éléments peuvent ne pas apparaître ou des éléments semblent manquants,

• Les éléments que vous avez supprimés apparaissent toujours,

• Performances d’Outlook lentes ou blocages aléatoires.

Résolution

Désactiver la mise en cache de tous les dossiers partagés (Pour Outlook 2010 et versions ultérieures):

1. Sous l’onglet Fichier, cliquez sur Paramètres du compte dans la liste Paramètres du compte.

2. Dans la boîte de dialogue Paramètres du compte, cliquez sur l’onglet Messagerie, puis double-cliquez sur votre compte Microsoft Exchange. Dans la boîte de dialogue Modifier le compte, cliquez sur Autres paramètres.

3. Dans la boîte de dialogue Microsoft Exchange, cliquez sur l’onglet Avancé puis désactivez la case à cocher Télécharger les dossiers partagés puis Cliquez deux fois sur OK.

4. Cliquez sur Suivant, sur Terminer, puis sur Fermer.

5. Redémarrez Outlook.

Problème

Supposons que vous utilisez Microsoft Outlook 2010 ou une version ultérieure et que vous êtes autorisé à envoyer des messages électroniques en tant qu’un autre utilisateur ou pour le compte d’un autre utilisateur à partir d’une boîte aux lettres partagée. Toutefois, lorsque vous envoyez un message pour cet utilisateur, ce message n’est pas enregistré dans le dossier Éléments envoyés de la boîte aux lettres partagée. En lieu et place, il est enregistré dans le dossier Éléments envoyés de votre boîte aux lettres.

Résolution

1. Cliquez sur Démarrer, puis sur Exécuter, tapez regedit, puis cliquez sur OK.
2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :

HKEY_CURRENT_USER\Software\Microsoft\Office\x.0\Outlook\Preferences

 Note: Lʼespace réservé x.0 représente la version dʼOffice (16.0 = Office 2016, Office 2019, 15.0 = Office 2013).

3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
4. Tapez « DelegateSentItemsStyle », puis appuyez sur Entrée.
5. Cliquez avec le bouton droit sur DelegateSentItemsStyle, puis cliquez sur Modifier.
6. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
7. Fermez l’Éditeur du Registre.

Note: Outlook doit être configuré en mode mis en cache pour que cette modification du clé de registre fonctionne correctement. 

Contexte

Une boîte aux lettres partagée est une boîte aux lettres que plusieurs utilisateurs peuvent utiliser pour lire et envoyer des e-mails ou encore partager un calendrier commun. Une boîte aux lettres partagée est un type de boîte aux lettres utilisateur qui n'a pas son propre nom d'utilisateur et mot de passe. Par conséquent, les utilisateurs ne peuvent pas s'y connecter directement

Pour accéder à une boîte aux lettres partagée, les utilisateurs doivent d'abord disposer des autorisations Envoyer en tant que ou Accès total à la boîte aux lettres et dans ce cas, le mappage automatique connecte la boîte aux lettres partagée aux utilisateurs associés. 

Si vous souhaitez partager la boîte aux lettres en lecture seule, ou mieux avec des autorisations "Relecteur", vous devez supprimer à l'utilisateur les autorisations d'accès total, puis utiliser PowerShell pour définir les autorisations correctes et dans ce cas, le mappage automatique ne fonctionnera pas.

1. Positionnez tout d'abord l'autorisation par défaut: 

Add-MailboxPermission -Identity SharedMailbox -User 'Username' -AccessRights ReadPermission 

2. Puis, définissez les autorisations "Relecteur" pour tout dossier que vous souhaitez partager en lecture seule 

Add-MailboxFolderPermission -Identity Support:\ -User upn@domain.com -AccessRights Reviewer

Add-MailboxFolderPermission -Identity Support:\Inbox -User upn@domain.com -AccessRights Reviewer

Add-MailboxFolderPermission -Identity Support:\Outbox -User upn@domain.com -AccessRights Reviewer 

Attention : vous devez appliquer l'autorisation à chaque dossier de boîte aux lettres, Support est le nom du dossier partagé.

• Pour supprimer l'autorisation, exécutez la commande

Remove-MailboxFolderPermission -Identity Support:\Outbox -User upn@domain.com   

Il est possible d’activer le balisage des e-mails externes au niveau des tenants exchange Online, ce qui permet aux clients Outlook de mettre en surbrillance les messages reçus de domaines externes.

La fonctionnalité peut remplacer les implémentations personnalisées pour marquer les e-mails comme externes, généralement effectuées via des règles de transport.

Activation du tag externe dans Exchange Online

Le balisage externe est désactivé par défaut. Vous pouvez l'activer via Exchange Online PowerShell. 

Remarque : Si vous utilisez la règle de transport pour ajouter une balise [Externe] dans la ligne d'objet, désactivez la avant d'activer le balisage externe natif afin d'éviter que les e-mails soient marqués "Externe" deux fois. 

• Pour activer la balise externe, exécutez la cmdlet suivante dans un environnement Exchange Online PowerShell:

Set-ExternalInOutlook –Enabled $true1Set-ExternalInOutlook –Enabled $true

• Pour afficher les paramètres de balisage externe, vous pouvez utiliser l'applet de commande Get-ExternalInOutlook. 
• Après avoir activé cette fonctionnalité, les nouveaux e-mails externes qui arrivent sont automatiquement marqués avec "Externe". Cela n'aura aucun impact sur les e-mails existants.

Exclusion de certaines adresses e-mail ou certains domaines du tag externe

Dans certaines situations, vous ne souhaitez pas ajouter la balise "Externe" pour certains expéditeurs externes ou domaines externes. Dans ce cas, vous pouvez les exclure en ajoutant le paramètre "AllowList". 

• Pour définir plusieurs entrées et écraser toutes les entrées existantes, exécutez la commande suivante:

Set-ExternalInOutlook –AllowList "user01@contoso.com","domain.com" 

Le nombre maximum d'entrées est de 30 et la taille totale de toutes les entrées ne peut pas dépasser un kilo-octet. Sinon, les erreurs suivantes seront affichées:

Maximum AllowList count exceeded. Max 30, Current: 31.
+ CategoryInfo : WriteError: (SetExternalInOutlook:String) [Set-ExternalInOutlook], Exception
+ FullyQualifiedErrorId : [Server=MAXPR01MB2431,RequestId=7b2ab330-0de4-43cf-8cfa-8647307773b8,TimeStamp=27-04-2021 08:25:14] [FailureCategory=Cmdlet-Exception] D8D55C02,Micr
osoft.Exchange.Management.SystemConfigurationTasks.SetExternalInOutlook
+ PSComputerName : outlook.office365.com

 Maximum AllowList length exceeded. Max 1024, Current: 1129.
+ CategoryInfo : WriteError: (SetExternalInOutlook:String) [Set-ExternalInOutlook], Exception
+ FullyQualifiedErrorId : [Server=MAXPR01MB2431,RequestId=7b2ab330-0de4-43cf-8cfa-8647307773b8,TimeStamp=27-04-2021 08:25:14] [FailureCategory=Cmdlet-Exception] D8D55C02,Micr
osoft.Exchange.Management.SystemConfigurationTasks.SetExternalInOutlook
+ PSComputerName : outlook.office365.com

• Pour ajouter de nouvelles valeurs sans affecter les valeurs existantes,

 Set-ExternalInOutlook –AllowList @{Add="microsoft.com","user02@domain.com"}

•  Pour supprimer le domaine ou l'utilisateur externe de la liste autorisée, vous pouvez utiliser l'applet de commande ci-dessous:

 Set-ExternalInOutlook –AllowList @{Remove="contoso.com","Anna@Fabrikam.com"} 

--> Étant donné que le balisage externe est un paramètre au niveau de l'organisation, il faudra un certain temps à Exchange Online pour que le tag soit activé. Cela peut prendre 24 à 48 heures.

Quand choisir la règle de transport plutôt que la balise externe native?

Le balisage externe natif est un paramètre global et sa personnalisation est limitée par rapport à la règle de transport. Si l'organisation a besoin d'exigences plus précises pour ajouter/exclure le balisage externe, vous devez opter pour la règle de transport.

Symptôme

Les messages reçus sont automatiquement déplacés vers le dossier Éléments supprimés en absence de règles serveur ou sur Outlook.

Cause

Ce problème se produit si vous avez sélectionné Ignorer dans un e-mail, puis qu'un message ultérieur de ce fil de discussion arrive dans votre boîte aux lettres: Si un futur message lié au message initialement ignoré arrive dans votre boîte de réception, Outlook le déplace automatiquement vers votre dossier Éléments supprimés.

Remarque : Vous pouvez savoir qu'un message est ignoré par l'état du contrôle Ignorer sur le ruban: Dans Eléments supprimés, ouvrez le mail puis Développez le menu Supprimer, si Ignorer est mis en surbrillance, comme illustré dans la figure ci-dessous, le fil de conversation de ce message est actuellement ignoré par Outlook et les messages relatifs reçus sont déplacés automatiquement dans éléments supprimés.

Résolution

 Pour résoudre ce problème, supprimez l'état "ignorer" du fil de discussion comme suit : 

1. Sélectionnez votre dossier "Éléments supprimés" puis ouvrez le message actuellement configuré pour être ignoré dans Outlook.
2. Cliquez sur Ignorer dans le groupe Supprimer de l'onglet Message du ruban. Si vous y êtes invité, cliquez sur Arrêter d'ignorer la conversation. À ce stade, le message est automatiquement déplacé depuis votre dossier Éléments supprimés vers le dossier initial, et les futurs messages de ce fil de discussion ne seront plus automatiquement supprimés.

Symptômes:

Lorsque vous essayez de supprimer l'autorisation « Accès total » ou « Envoyer en tant que »  sur une boite aux lettres, vous pouvez être confronté aux messages d’avertissements indiquant que l’entrée de contrôle d’accès ne peut pas être supprimée.

Ce problème apparaîtra quand vous essayez de supprimer l'autorisation à l'aide du PowerShell Exchange ou depuis l'interface graphique.

•  A la suppression de l’autorisation « Envoyer en tant que» via la console d’administration ECP, vous aurez  le message d’avertissement ci-dessous :
• Quand vous supprimez l’autorisation « Accès total» , pas de message d’avertissement , mais la délégation n’est pas supprimée.
• A la suppression de l’autorisation « Full Access/ send as » depuis une BAL en powershell,  vous aurez les messages d’avertissement suivants :

Solution:

Les étapes suivantes s'appliquent pour les boites aux lettres liées. La solution de contournement consiste à déconnecter la BAL de l'utilisateur, modifier les autorisations puis la reconnecter :

Exemple : Supprimer l’autorisation de User01 sur la BAL de User02:

• Exécutez la commande suivante: Set-User -Identity useridentity -LinkedMasterAccount $null Cette commande permet de dissocier la boîte aux lettres liée et la convertir en boîte aux lettres utilisateur.

  Le paramètre Identity spécifie l'utilisateur que vous souhaitez modifier. Vous pouvez utiliser n'importe quelle valeur qui identifie l'utilisateur de manière unique. Par exemple:

  • Name
  • Distinguished name (DN)
  • Canonical DN
  • GUID
  • UserPrincipalName

• Supprimez par la suite les autorisations en exécutant les commandes suivantes :

  Pour supprimer la délégation Full Access  Remove-MailboxPermission -Identity MailboxAccount -User UserAccount -AccessRights FullAccess -InheritanceType All

  Exemple:  Remove-MailboxPermission -Identity "user02" -User "User01" -AccessRights FullAccess -InheritanceType All

  Pour supprimer la délégation Send As  Remove-ADPermission -Identity "MailboxAccount" -User "UserAccount" -ExtendedRights "Send As"

  Exemple: Remove-ADPermission -Identity " User02" -User " User01" -ExtendedRights "Send As"

• Une fois les délégations supprimées, reconnectez de nouveau la boite aux lettres de l’utilisateur via la commande :

  Set-User -Identity “UserAccount” – LinkedDomainController “domaincontroller” -LinkedMasterAccount “DomainName\user”

  Exemple:  Set-User -Identity User01@contoso.com – LinkedDomainController dc01.contoso.com -LinkedMasterAccount “contoso\User01”

• Vérifier par la suite que les autorisations ont été bien supprimées.

Lorsque vous créez un groupe de distribution dynamique dans Exchange 2016/2013 avec le filtre "RecipientContainer", l'onglet Aperçu n'existe plus, il fallait donc passer par Exchange Powershell pour afficher les membres du groupe.

Pour afficher l'appartenance au groupe de distribution dynamique, la commande Exchange PowerShell est simple et rapide:

Get-Recipient -RecipientPreviewFilter (Get-DynamicDistributionGroup "DynamicGroupName").RecipientFilter

Malheureusement, comme votre groupe de distribution utilise le paramètre "RecipientContainer", la commande ci-dessus ne fonctionnera pas correctement et affichera tous les destinataires quel que soit leurs unités organisationnelles.

Pour contourner le problème, utilisez plutôt les commandes suivantes:

1. Créez tout d'abord une variable qui stockera les résultats de la commande:
   $DDL = Get-DynamicDistributionGroup "DynamicGroupName" 
2. Utilisez la variable avec la commande Get-Recipient pour renvoyer les résultats requis : Get-DynamicDistributionGroup $DDL | ForEach {Get-Recipient -RecipientPreviewFilter $_.RecipientFilter -OrganizationalUnit $_.RecipientContainer} | Select DisplayName,PrimarySMTPAddress,OrganizationalUnit | Sort-Object -Property DisplayName

Description du Problème:

Lorsque vous supprimez des messages d'une boite aux lettres, les éléments supprimés sont placés dans votre propre dossier "Éléments supprimés" au lieu du dossier "Éléments supprimés" de la boîte aux lettres partagée. 

Contournement:

Pour contourner ce problème, il faut changer la destination des éléments supprimés vers le dossier Éléments supprimés du propriétaire de la boîte aux lettres à travers une modification du paramétrage du registre comme suit:

1. Quittez Outlook
2. Démarrez l’Éditeur du Registre: Appuyez sur touche de logo Windows+R pour ouvrir une boîte de dialogue Exécuter, tapez regedit.exe, puis appuyez sur OK.
3. Trouvez la sous-clé de Registre suivante :

\HKEY_CURRENT_USER\Software\Microsoft\Office<x.0>\Outlook\Options\General

Note: L’espace réservé<x.0> représente votre version d’Office (16.0 = Office 2016, Office 2019, Office LTSC 2021 ou Microsoft 365, 15.0 = Office 2013).

4. Cliquez avec le bouton droit sur la valeur DelegateWastebasketStyle, puis sélectionnez Modifier.

Si cette valeur de Registre n’est pas présente, procédez comme suit pour la créer :

1. Cliquez avec le bouton droit sur le dossier Général dans le chemin défini à l’étape 3.
2. Pointez sur Nouveau, puis sélectionnez Valeur DWORD.
3. Tapez DelegateWastebasketStyle, puis appuyez sur Entrée
4. Remplacez les données de valeur de la boîte de dialogue Modifier la valeur DWORD par l’une des valeurs suivantes :

• 8 = Stocke les éléments supprimés dans votre dossier.
• 4 = Stocke les éléments supprimés dans le dossier du propriétaire de la boîte aux lettres.

6. Fermez l’Éditeur du Registre.
7. Redémarrez Outlook.