Permisos en implementaciones híbridas de Exchange

Artículo
10/25/2023

La Exchange Online en Microsoft 365 o Office 365 organización se basa en Exchange Server y, al igual que las organizaciones locales, también usa Access Control basada en roles (RBAC) para controlar los permisos. Los permisos se otorgan a los administradores usando grupos de roles de administración, mientras que los permisos a los usuarios finales se otorgan mediante directivas de asignación de roles de administración.

Obtenga más información sobre los permisos en Exchange Exchange Online y local en: permisos de Exchange Server y permisos de características en Exchange Online.

Permisos de administrador

De forma predeterminada, el usuario que se usó para crear la organización Office 365 se convierte en miembro del grupo de roles Administración de la organización en la organización Exchange Online. Este usuario puede administrar toda la organización Exchange Online, incluida la configuración de la configuración de nivel de organización y la administración de Exchange Online destinatarios.

Puede agregar más administradores en la organización Exchange Online, en función de la administración que tenga que realizarse. Por ejemplo, puede agregar otros administradores de la organización y administradores de destinatarios, permitir que los usuarios especializados realicen tareas de cumplimiento, como la detección, la configuración de permisos personalizados, etc. Toda la administración de permisos Exchange Online para microsoft 365 y administradores de Office 365 debe realizarse en la organización Exchange Online mediante el Centro de administración de Exchange (EAC) o Exchange Online PowerShell.

Importante

No hay ninguna transferencia de permisos entre la organización local y la organización de Microsoft 365 o Office 365. Los permisos que haya definido en la organización local deben volver a crearse en la organización de Microsoft 365 o Office 365.

Para obtener más información, consulte Manage Role Groups y Manage Role Group Members.

Delegar permisos de buzón

En las implementaciones locales de Exchange, a los usuarios se les conceden varios permisos para los buzones de otros usuarios. Esto se denomina permisos de buzón delegado y resulta útil cuando un asistente administrativo necesita administrar parte del buzón de otro usuario; por ejemplo, administrar el calendario de un ejecutivo. Las implementaciones híbridas de Exchange admiten el uso de algunos, pero no todos, permisos de buzón entre buzones ubicados en una organización de Exchange local y buzones ubicados en Microsoft 365 o Office 365. En las secciones siguientes se detallan los permisos que se admiten y cuáles no; otras configuraciones necesarias para admitir permisos de buzón híbrido; y cómo se sincronizan los permisos de buzón entre la organización local y Microsoft 365 o Office 365.

Permisos de buzón en entornos híbridos

No todos los permisos de buzón son totalmente compatibles en un entorno híbrido de Exchange.

Permisos de buzón admitidos en entornos híbridos

Acceso completo: se puede conceder el permiso de acceso completo a un buzón de Correo de Microsoft 365 o Office 365 buzón de correo local de Exchange, y viceversa. Por ejemplo, a un buzón de Correo de Microsoft 365 o Office 365 se le puede conceder el permiso de acceso completo a un buzón compartido local. Los usuarios deben abrir el buzón mediante el cliente de escritorio de Outlook. Los permisos de buzón entre locales no se admiten completamente en Outlook en la Web. Los usuarios pueden usar Abrir otro buzón en Outlook en la Web para abrir otros buzones donde tengan permiso de acceso completo. Sin embargo, esto generará un vínculo de redirección y un símbolo del sistema de credenciales antes de que el usuario pueda acceder al buzón.

Nota:

Es posible que los usuarios reciban solicitudes de credenciales adicionales cuando accedan por primera vez a un buzón de correo de la otra organización y lo agreguen a su perfil de Outlook.
Enviar en nombre: se puede conceder a un buzón de correo de un servidor exchange local el permiso Enviar en nombre a un buzón de Correo de Microsoft 365 o Office 365 y viceversa. Por ejemplo, a un buzón de Correo de Microsoft 365 o Office 365 se le puede conceder el permiso Enviar en nombre a un buzón compartido local. Los usuarios deben abrir el buzón mediante el cliente de escritorio de Outlook; Los permisos de buzón entre locales no se admiten en Outlook en la Web.

Se necesitan algunos cambios en el servidor de Microsoft Entra Connect para que los permisos Enviar en nombre se sincronicen entre los servidores de Exchange locales y Exchange Online. Para obtener más información, consulte la sección Habilitación de la compatibilidad con permisos de buzón híbrido en Microsoft Entra Connect más adelante en este artículo.
Elementos privados: al conceder permiso de acceso completo a un buzón, puede decidir si desea permitir que el delegado vea elementos privados (reuniones privadas, citas, contactos o tareas) en el buzón.

Para compartir elementos privados con un delegado, use el procedimiento siguiente en Outlook:
1. Vaya aConfiguración de la cuenta de>archivo>Delegar acceso
2. En la ventana siguiente, haga clic en Agregar. Aparece un nuevo menú para mostrar las personas de la organización. Seleccione un delegado y haga clic en Aceptar.
3. Aparecerá la siguiente imagen, donde puede seleccionar la casilla relacionada para compartir elementos privados con un delegado.

Para obtener más información, vea Información general sobre la delegación en un entorno híbrido Office 365.

Permisos y funcionalidades de buzón NO admitidos en entornos híbridos

Enviar como: permite a un usuario enviar correo como si fuera procedente del buzón de otro usuario. Microsoft Entra Connect no sincroniza automáticamente el permiso Enviar como entre Exchange local y Microsoft 365 o Office 365, por lo que no se admiten permisos de envío entre locales. Sin embargo, Enviar como funcionará en la mayoría de los escenarios si agrega manualmente los permisos Enviar como en ambos entornos, mediante el Shell de administración de Exchange para Exchange local y Exchange Online PowerShell para Microsoft 365 o Office 365.

Por ejemplo, quiere conceder el permiso Enviar como para un buzón local denominado ONPREM1 a un nombre de buzón de correo en la nube EXO1.

Ejecute el siguiente comando en el Shell de administración de Exchange en el servidor exchange local:
```
Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
```

Para obtener información detallada sobre la sintaxis y los parámetros, vea Add-ADPermission.

A continuación, ejecute el comando correspondiente en Exchange Online PowerShell:

Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs

Para obtener información detallada sobre la sintaxis y los parámetros, vea Add-RecipientPermission.

Nota:

También se necesita el permiso Enviar como para cumplir con los requisitos de Exchange server local y Microsoft Entra Connect en las dos secciones siguientes.

Asignación automática: permite que Outlook abra automáticamente los buzones a los que se ha concedido acceso total a un usuario al iniciarse. (Tenga en cuenta que la asignación automática solo funcionará para usuarios individuales a los que se conceden los permisos adecuados y no funcionará para ningún tipo de grupo).
Permisos de carpeta: concede acceso al contenido de una carpeta determinada.

Los buzones que reciben estos permisos de otro buzón deben moverse al mismo tiempo que el buzón de concesión. Si un buzón recibe permisos de varios buzones, ese buzón y todos los buzones que le otorgan permisos deben moverse al mismo tiempo. Puede encontrar más información en https://support.microsoft.com/help/3064053.

Configuración de los servidores exchange locales para admitir permisos de buzón híbrido

Para habilitar los permisos Acceso completo y Enviar en nombre en una implementación híbrida, es posible que sea necesario realizar más cambios de configuración en función de la versión de Exchange que haya instalado. En la tabla siguiente se muestran las versiones de Exchange que admiten permisos de buzón delegados en una implementación híbrida con Microsoft 365 o Office 365 y qué configuración adicional se necesita. Para obtener pasos sobre cómo configurar servidores y buzones de Exchange 2013 y 2010 para admitir ACL, consulte Configuración de Exchange para admitir permisos de buzón delegados en una implementación híbrida.

Versión de Exchange	Requisitos previos
Exchange 2016	Habilite la sincronización de objetos ACLable en el nivel de organización. Habilite manualmente las ACL en cada buzón movido a Microsoft 365 o Office 365 antes de habilitar la sincronización de objetos ACLable en el nivel de organización. No se necesita ninguna configuración adicional para los buzones movidos a Microsoft 365 o Office 365 después de habilitar la sincronización de objetos ACLable en el nivel de organización.
Exchange 2013	Los servidores de Exchange 2013 necesitan lo siguiente: La última actualización acumulativa (CU) o el CU inmediatamente anterior instalado. Los servidores de Exchange 2013 que ejecutan CPU anteriores no se admiten y es posible que no funcionen con permisos de buzón delegados en una implementación híbrida. La organización de Exchange está configurada para permitir que las listas de control de acceso (ACL) se estampan en objetos de correo y se sincronicen con Microsoft 365 o Office 365. Los buzones remotos locales asociados a buzones movidos a Microsoft 365 o Office 365 anteriores a Exchange 2013 CU10 deben configurarse manualmente para admitir acl. Los buzones remotos, creados en servidores que ejecutan Exchange 2013 CU10 o posterior, y una vez establecida la organización de Exchange para permitir ACL, se configuran automáticamente.
Exchange 2010	Ya no se admite. Anteriormente, los buzones remotos locales asociados a Microsoft 365 o Office 365 buzones de correo debían configurarse para admitir acl. Esto era necesario para cada buzón remoto local asociado a un buzón de Microsoft 365 o Office 365.
Exchange 2007 o versiones anteriores	No admitida.

Habilitación de la compatibilidad con permisos de buzón híbrido en Microsoft Entra Connect

Además de configurar los servidores de Exchange locales, también debe asegurarse de que Microsoft Entra servidor Connect (Microsoft Entra Connect) esté configurado para sincronizar los permisos de buzón híbrido. Esto es lo que debe hacer para asegurarse de que el servidor de Microsoft Entra Connect está listo para admitir estos permisos:

Actualizar Microsoft Entra Connect: Microsoft Entra Connect debe actualizarse a la versión 1.1.553.0 como mínimo. Puede descargar la versión más reciente de Microsoft Entra Connect desde Microsoft Entra Connect.
Habilitar Exchange Hybrid en Microsoft Entra Connect: para sincronizar los atributos que habilitan los permisos de buzón híbrido (específicamente el permiso Enviar en nombre), debe asegurarse de que la opción de configuración de implementación híbrida de Exchange está habilitada en Microsoft Entra Connect. Para obtener información sobre cómo volver a ejecutar el asistente para instalación de Microsoft Entra Connect para actualizar su configuración, consulte Microsoft Entra Connect Sync: Running the installation wizard a second time (Conectar sincronización: ejecutar el asistente de instalación por segunda vez).

Permisos de usuario final

Al igual que con los permisos de administrador, se pueden conceder permisos a los usuarios finales de Exchange Online. De forma predeterminada, se otorgan permisos a los usuarios finales mediante la directiva de asignación de roles predeterminada. Esta directiva se aplica a todos los buzones de correo de la organización Exchange Online. Si los permisos otorgados de forma predeterminada son suficientes, no necesita cambiar nada.

Si desea personalizar los permisos de usuario final, puede modificar la directiva de asignación de roles predeterminada existente o puede crear nuevas directivas de asignación. Si crea varias directivas de asignación, puede asignar diferentes directivas a los diferentes grupos de buzones, lo que le permite controlar los permisos otorgados a cada grupo según sus requisitos. Toda la administración de permisos para Exchange Online usuarios finales debe realizarse en la organización Exchange Online mediante el EAC o Exchange Online PowerShell.

Al igual que los permisos de administrador, los permisos de usuario final no se transfieren entre la organización local y la organización Exchange Online. Los permisos que haya definido en la organización local deben volver a crearse en la organización Exchange Online.

Para obtener más información, consulte Manage Role Assignment Policies y Change the Assignment Policy on a Mailbox.

En la tabla siguiente se enumeran los permisos concedidos por las directivas de asignación de roles predeterminadas en la organización Exchange Online.

Rol de administración	Description
MyTeamMailboxes	El `MyTeamMailboxes` rol de administración permite a los usuarios individuales crear buzones de sitio y conectarlos a sitios de Microsoft SharePoint.
Mis aplicaciones del mercado	El `My Marketplace Apps` rol de administración permite a los usuarios individuales ver y modificar sus aplicaciones de Marketplace de Microsoft Office.
MyBaseOptions	El `MyBaseOptions` rol de administración permite a los usuarios individuales ver y modificar la configuración básica de su propio buzón y la configuración asociada.
MyContactInformation	El `MyContactInformation` rol de administración permite a los usuarios individuales modificar su información de contacto, incluida la dirección y los números de teléfono.
MyDistributionGroupMembership	El `MyDistributionGroupMembership` rol de administración permite a los usuarios individuales ver y modificar su pertenencia a grupos de distribución en una organización, si esos grupos de distribución permiten la manipulación de la pertenencia a grupos.
MyDistributionGroups	El `MyDistributionGroups` rol de administración permite a los usuarios individuales crear, modificar y ver grupos de distribución, y modificar, ver, quitar y agregar miembros a los grupos de distribución que poseen.
MyMailSubscription	El `MyMailSubscription` rol permite a los usuarios individuales ver y modificar la configuración de su suscripción de correo electrónico, como el formato de mensaje y los valores predeterminados del protocolo.
MyProfileInformation	El `MyProfileInformation` rol de administración permite a los usuarios individuales modificar su nombre.
MyRetentionPolicies	El `MyRetentionPolicies` rol de administración permite a los usuarios individuales ver sus etiquetas de retención y ver y modificar la configuración y los valores predeterminados de las etiquetas de retención.
MyTextMessaging	El `MyTextMessaging` rol de administración permite a los usuarios individuales crear, ver y modificar su configuración de mensajería de texto.
MyVoiceMail	El `MyVoiceMail` rol de administración permite a los usuarios individuales ver y modificar su configuración de correo de voz.
Mis aplicaciones ReadWriteMailbox	El `My ReadWriteMailbox Apps` rol de administración permite a los usuarios instalar aplicaciones con permisos ReadWriteMailbox.
Mis aplicaciones personalizadas	El `My Custom Apps` rol de administración permite a los usuarios ver y modificar sus aplicaciones personalizadas.