Grundlegendes zu Berechtigungen für die Hybridbereitstellung mit Exchange 2010 SP3

Artikel
06/03/2016

Gilt für: Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-05-19

Die Organisation mit Exchange Online in Microsoft Office 365 basiert auf Exchange 2010 und verwendet, ähnlich wie lokale Organisationen, die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen zu steuern. Administratoren werden Berechtigungen über Verwaltungsrollengruppen erteilt, während Endbenutzern Berechtigungen über Zuweisungsrichtlinien für Verwaltungsrollen erteilt werden. Darüber hinaus müssen Sie sorgfältig die Migration von Postfächern planen, die in einer Stellvertretung/Delegator-Beziehung konfiguriert wurden.

Weitere Informationen zur rollenbasierten Zugriffssteuerung finden Sie unter: Grundlegendes zu Berechtigungen

Berechtigungen für standortübergreifende Postfächer

Wenn Sie Benutzern den Zugriff auf Postfächer anderer Benutzer gewähren, (z. B. einem administrativen Assistenten Zugriff auf den Kalender einer Führungskraft gewähren), müssen Sie die folgenden Aspekte vor dem Verschieben der Postfächer zu Office 365 sorgfältig berücksichtigen.

Migration von Postfachberechtigungen Lokale Postfachberechtigungen wie „Senden als“, „Empfangen als“ und „Vollzugriff“, die explizit für das Postfach gelten, werden zu UNRESOLVED_TOKEN_VAL(exExchangeOnline) migriert. Vererbte (nicht explizite) Postfachberechtigungen und Berechtigungen für nicht postfachbezogene Objekte, z. B. Verteilerlisten oder ein E-Mail-aktivierter Benutzer, werden nicht migriert. Aus diesem Grund müssen Sie die Konfiguration dieser Berechtigungen bei Bedarf in Office 365 planen. Sie können beispielsweise die Windows PowerShell-Cmdlets Add-RecipientPermission und Add-MailboxPermission verwenden, um die Berechtigungen in Office 365 einzurichten.
Unterstützung von standortübergreifenden Postfachberechtigungen: Von Exchange-Hybridbereitstellungen wird die Verwendung der Postfachberechtigung Vollzugriff zwischen Postfächern in einer lokalen Exchange-Organisation und Postfächern in Office 365 unterstützt. Einem Postfach auf einem lokalen Exchange-Server kann die Berechtigung Vollzugriff für ein Office 365-Postfach gewährt werden und umgekehrt. So kann beispielsweise einem Office 365-Postfach die Berechtigung Vollzugriff auf ein lokales freigegebenes Postfach gewährt werden.

Hinweis

Benutzer werden möglicherweise zusätzlich aufgefordert, ihre Anmeldeinformationen einzugeben, wenn sie erstmals auf ein in der anderen Organisation befindliches Postfach zugreifen, und es zu ihrem Outlook-Profil hinzuzufügen.

Die Verwendung der Postfachberechtigungen Send-As, Receive-As oder Send on behalf of in Hybridbereitstellungen zwischen lokalen Exchange- und Office 365-Organisationen wird jedoch nicht unterstützt. Diese Berechtigungen sind nur verfügbar, wenn sich das die Berechtigung gewährende Postfach und das die Berechtigung empfangende Postfach in derselben Organisation befinden. Postfächer, die diese Berechtigungen von einem anderen Postfach empfangen, müssen gleichzeitig mit diesem Postfach verschoben werden. Wenn ein Postfach Berechtigungen von mehreren Postfächern empfängt, müssen dieses Postfach und alle Postfächer, die Berechtigungen dafür gewähren, gleichzeitig verschoben werden. Zusätzlich zu diesen Berechtigungen wird das Feature für die automatische Zuordnung nicht unterstützt, wenn die Verwendung zwischen Postfächern in den lokalen Exchange- und Office 365-Organisationen erfolgt.

Administratorberechtigungen

Der Benutzer, der zum Erstellen des Office 365-Diensts verwendet wurde, wird in der Exchange Online-Organisation standardmäßig als Mitglied der Rollengruppe „Organisationsverwaltung“ festgelegt. Dieser Benutzer kann die gesamte Office 365-Organisation verwalten, wozu auch die Konfiguration von Einstellungen auf Organisationebene sowie die Verwaltung von Exchange Online-Empfängern gehören.

Abhängig von den anfallenden Verwaltungsaufgaben können Sie der Office 365-Organisation weitere Administratoren hinzufügen. Sie können weitere Organisationsadministratoren und Empfängeradministratoren hinzufügen und speziellen Benutzern das Ausführen von Aufgaben zur Einhaltung von Bestimmungen ermöglichen, z. B. Offenlegungspflicht, Konfigurieren benutzerdefinierter Berechtigungen usw. Die gesamte Berechtigungsverwaltung für Office 365-Administratoren muss in der Exchange Online-Organisation über die Exchange-Systemsteuerung oder über Remote-PowerShell ausgeführt werden.

Es ist allerdings zu beachten, dass keine Übertragung von Berechtigungen zwischen der lokalen Organisation und der Office 365-Organisation möglich ist. Alle Berechtigungen, die Sie in der lokalen Organisation definiert haben, müssen in der Office 365-Organisation neu erstellt werden.

Weitere Informationen finden Sie in den folgenden Themen:

Endbenutzerberechtigungen

Ähnlich wie bei Administratorberechtigungen können Endbenutzern in Exchange Online Berechtigungen erteilt werden. Standardmäßig werden Endbenutzern Berechtigungen über die Standardrichtlinie für die Rollenzuweisung erteilt. Diese Richtlinie wird auf jedes Postfach in der Exchange Online-Organisation angewendet. Wenn die standardmäßig erteilten Berechtigungen ausreichen, sind keine weiteren Schritte erforderlich.

Wenn Sie Endbenutzerberechtigungen anpassen möchten, können Sie entweder die vorhandene Standardrichtlinie für die Rollenzuweisung ändern oder neue Zuweisungsrichtlinien erstellen. Wenn Sie mehrere Zuweisungsrichtlinien erstellen, können Sie unterschiedlichen Gruppen von Postfächern unterschiedliche Richtlinien zuweisen, sodass Sie die Berechtigungen, die jeder Gruppe erteilt werden, entsprechend deren Anforderungen einrichten können. Die gesamte Berechtigungsverwaltung für cloudbasierte Endbenutzer muss in der Exchange Online-Organisation über die Exchange-Systemsteuerung oder über Remote-PowerShell ausgeführt werden.

Analog zu Administratorberechtigungen werden Endbenutzerberechtigungen nicht zwischen der lokalen Organisation und der Exchange Online-Organisation übertragen. Alle Berechtigungen, die Sie in der lokalen Organisation definiert haben, müssen in der Exchange Online-Organisation neu erstellt werden.

In der folgenden Tabelle sind die Berechtigungen aufgelistet, die von den Standardrichtlinien für die Rollenzuweisung in der Exchange Online-Organisation erteilt werden.

Berechtigungen der Standardrichtlinien für die Rollenzuweisung

Verwaltungsrolle	Beschreibung
MyBaseOptions	Die Verwaltungsrolle `MyBaseOptions` ermöglicht einzelnen Benutzern, die grundlegende Konfiguration ihres eigenen Postfachs und der zugeordneten Einstellungen anzuzeigen und zu ändern.
MyContactInformation	Mithilfe der Verwaltungsrolle `MyContactInformation` können einzelne Benutzer ihre Kontaktinformationen einschließlich Adresse und Telefonnummern ändern.
MyDistributionGroupMembership	Die Verwaltungsrolle `MyDistributionGroupMembership` berechtigt einzelne Benutzer, ihre Mitgliedschaften in Verteilergruppen innerhalb einer Organisation anzuzeigen und zu bearbeiten, sofern in diesen Verteilergruppen Änderungen an der Gruppenmitgliedschaft zulässig sind.
MyDistributionGroups	Mithilfe der Verwaltungsrolle `MyDistributionGroups` können einzelne Benutzer Verteilergruppen erstellen, ändern und anzeigen sowie in Verteilergruppen, deren Besitzer sie sind, Mitglieder ändern, anzeigen, entfernen und hinzufügen.
MyMailSubscription	Die Rolle `MyMailSubscription` ermöglicht es einzelnen Benutzern, die Einstellungen ihrer E-Mail-Abonnements (z. B. die Standardeinstellungen für Nachrichtenformate und Protokollierung) anzuzeigen und zu ändern.
MyProfileInformation	Die Verwaltungsrolle `MyProfileInformation` ermöglicht einzelnen Benutzern das Ändern ihres Namens.
MyRetentionPolicies	Die Verwaltungsrolle `MyRetentionPolicies` ermöglicht es den einzelnen Benutzern, ihre Aufbewahrungstags anzuzeigen und die Einstellungen und Standardwerte für die Aufbewahrungstags anzuzeigen und zu ändern.
MyTextMessaging	Die Verwaltungsrolle `MyTextMessaging` ermöglicht einzelnen Benutzern das Erstellen, Anzeigen und Ändern ihrer Textnachrichteneinstellungen.
MyVoiceMail	Die Verwaltungsrolle `MyVoiceMail` ermöglicht es den einzelnen Benutzern, ihre Voicemaileinstellungen anzuzeigen und zu ändern.