Narazil jsem na klasický scénář: uživatel má v novém Outlooku (New Outlook for Windows) přidané dva samostatné (licencované) mailboxy a chce mezi nimi přesouvat nebo kopírovat zprávy. Místo toho vyskočí hláška:
Nelze přesouvat e‑maily mezi účty. Váš správce omezil přesun e‑mailů z tohoto účtu nebo z tohoto účtu.
Ve starém (classic) Outlooku to často “nějak” fungovalo, takže to působí jako bug. Realita je jiná: je to řízené politikou v Exchange Online (OWA mailbox policy) a pro “enterprise/work” účty je to defaultně vypnuté.
Obsah
Co je to za problém a jak se projevuje
V novém Outlooku (a stejně tak v OWA) se uživatel pokusí přesunout (Move) nebo zkopírovat (Copy) e‑mail z účtu A do účtu B (typicky drag&drop v levém stromu složek). Okamžitě se zobrazí hláška, že správce přesun omezil.
Důležité: tohle není “lokální nastavení Outlooku”. Je to nastavení v Exchange Online (na úrovni tenantu), které nový Outlook respektuje.
Proč to tak je (a co to řídí)
Microsoft tuhle funkci pro nové Outlooky/OWA dal pod OWA mailbox policy a přidal parametr:
- ItemsToOtherAccountsEnabled – určuje, jestli uživatel může přesouvat/kopírovat e‑maily mezi účty.
Z Message Center / popisu rolloutů vyplývá, že pro enterprise je to defaultně False, tedy zakázané, a admin si to musí vědomě povolit.
Když je to vypnuté, uživatel narazí přesně na tu hlášku „Your administrator has restricted moving emails…“ (v češtině “Váš správce omezil…”) a nepůjde ani drag&drop ani Move/Copy mezi účty.
Co budeme potřebovat?
Exchange Online PowerShell (modul ExchangeOnlineManagement) a možnost se připojit do tenantu.
Stejně jako u jiných OWA policy nastavení, není to „zatržítko“ v Outlooku, ale řeší se to na úrovni Exchange politik.
Rychlé povolení (globálně pro existující policy) – PowerShell
Níže je “rychlá” varianta: zapnete to na konkrétní existující policy (často Default). Samotný parametr a jeho nastavení je součástí Set-OwaMailboxPolicy.
# ------------------------------------------------------------
# 1) Připojení k Exchange Online
# ------------------------------------------------------------
# (přihlaste se účtem s odpovídajícími právy)
# viz. (https://www.sraga.cz/jak-povolit-specificky-typ-souboru-v-exchange-online-novem-outlooku/
# https://learn.microsoft.com/en-us/powershell/module/exchangepowershell/new-owamailboxpolicy?view=exchange-ps
Connect-ExchangeOnline
# ------------------------------------------------------------
# 2) Zjištění aktuálního stavu OWA mailbox policies
# ------------------------------------------------------------
# ItemsToOtherAccountsEnabled = False znamená: mezi účty nepůjde Move/Copy
Get-OwaMailboxPolicy | Select-Object Name, ItemsToOtherAccountsEnabled
# ------------------------------------------------------------
# 3) Povolení přesunu/kopie mezi účty na vybrané policy
# ------------------------------------------------------------
# Parametr ItemsToOtherAccountsEnabled je přímo součást Set-OwaMailboxPolicy
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ItemsToOtherAccountsEnabled $true
Po povolení bude možné přesouvat mezi účty drag&drop, klávesovými zkratkami a přes kontextové menu Move/Copy (pokud je politika povolená).
Doporučený postup: individuální policy + přiřazení jen vybraným uživatelům
Za mě je nejlepší udělat to stejně jako u jiných “citlivějších” OWA věcí: vytvořit vlastní OWA mailbox policy a přiřadit ji jen lidem, kteří to opravdu potřebují (účtárna, servisní mailboxy, recepce, apod.). OWA mailbox policy je použitá pro Outlook on the web i nový Outlook pro Windows.
Vytvoření nové OWA mailbox policy
Microsoft pro vytvoření nové policy nabízí cmdlet New-OwaMailboxPolicy (vytvoří policy, změny se pak nastavují přes Set-OwaMailboxPolicy).
# ------------------------------------------------------------
# 1) Připojení k Exchange Online
# ------------------------------------------------------------
Connect-ExchangeOnline
# ------------------------------------------------------------
# 2) Vytvoření nové OWA mailbox policy
# ------------------------------------------------------------
New-OwaMailboxPolicy -Name "MoveBetweenAccounts"
# New-OwaMailboxPolicy vytvoří novou policy; konfigurace se pak dělá Set-OwaMailboxPolicy
# ------------------------------------------------------------
# 3) Zapnutí přesunu/kopie mezi účty v nové policy
# ------------------------------------------------------------
Set-OwaMailboxPolicy -Identity "MoveBetweenAccounts" -ItemsToOtherAccountsEnabled $true
Přiřazení policy konkrétnímu uživateli (individuálně)
Pro přiřazení OWA mailbox policy na mailbox se používá Set-CASMailbox a parametr -OwaMailboxPolicy. Microsoft Learn přímo uvádí v syntaxi Set-CASMailbox parametr -OwaMailboxPolicy.
# Přiřazení OWA policy uživateli (mailboxu)
Set-CASMailbox -Identity "uzivatel@firma.cz" -OwaMailboxPolicy "MoveBetweenAccounts"A kdybyste chtěli policy naopak odebrat a vrátit mailbox na defaultní chování, Set-CASMailbox podporuje nastavení klientských přístupů včetně OWA – syntakticky je tedy možné policy změnit/odpojit stejným mechanismem (tj. změnou hodnoty parametru).
Alternativa: vytvoření policy přes GUI (EAC)
Pokud radši klikáte: Postup vytvoření policy v Exchange admin center přes Roles > Outlook web app policies a následnou konfiguraci feature/file access.
Ověření a poznámky (propagace změn)
Get-OwaMailboxPolicy | Select-Object Name, ItemsToOtherAccountsEnabledKdy se změna projeví?
U vytváření a změn OWA mailbox policies Microsoft uvádí, že změny mohou trvat až 60 minut, než se plně projeví.
V praxi často pomůže i “uživatelská klasika”: odhlásit/přihlásit (u OWA) nebo restartovat aplikaci.