Administración de permisos para destinatarios en Exchange Online
En Exchange Online, puede usar el Centro de administración de Exchange (EAC) o Exchange Online PowerShell para asignar permisos a un buzón o grupo para que otros usuarios puedan acceder al buzón (el permiso acceso completo) o enviar mensajes de correo electrónico que parecen provenir del buzón o grupo (los permisos Enviar como o Enviar en nombre). Los usuarios a los que se asignan estos permisos en otros buzones o grupos se denominan delegados.
Los permisos que puede asignar a delegados para buzones y grupos en Exchange Online se describen en la tabla siguiente:
| Permiso | Descripción | Tipos de destinatarios en el EAC | Tipos de destinatarios adicionales en PowerShell | **Tipos de delegado disponibles |
|---|---|---|---|---|
| Acceso completo | Permite al delegado abrir el buzón y ver, agregar y quitar el contenido del buzón. No permite al delegado enviar mensajes desde el buzón. Si asigna el permiso acceso completo a un buzón que está oculto en las listas de direcciones, el delegado no podrá abrir el buzón. De forma predeterminada, los buzones de detección están ocultos en las listas de direcciones. De forma predeterminada, la característica de asignación automática de buzones usa detección automática para abrir automáticamente el buzón en el perfil de Outlook del delegado (además de su propio buzón). La asignación automática solo funcionará para usuarios individuales a los que se conceden los permisos adecuados y no funcionará para ningún tipo de grupo. Si no desea que los buzones se asignen automáticamente, debe realizar una de las siguientes acciones:
|
Buzones de usuario Buzones de recursos Buzones compartidos |
Buzones de detección | Buzones con cuentas de usuario Usuarios de correo con cuentas Grupos de seguridad habilitados para correo |
| Enviar como | Permite al delegado enviar mensajes como si vinieran directamente del buzón o grupo. No existe ninguna indicación de que el delegado haya enviado el mensaje. No permite que el delegado lea el contenido del buzón. Si asigna el permiso Enviar como a un buzón que está oculto en las listas de direcciones, el delegado no podrá enviar mensajes desde el buzón. |
Buzones de usuario Buzones de recursos Buzones compartidos Grupos de distribución Grupos de distribución dinámicos Grupos de seguridad habilitados para correo Grupos de Microsoft 365 |
No aplicable | Buzones con cuentas de usuario Usuarios de correo con cuentas Grupos de seguridad habilitados para correo |
| Enviar en nombre de | Permite que el delegado envíe mensajes desde el buzón o grupo. La dirección From de estos mensajes muestra claramente que el mensaje fue enviado por el delegado (" <Delegado> en nombre de <MailboxOrGroup>"). Sin embargo, las respuestas a estos mensajes se envían al buzón o grupo, no al delegado. No permite que el delegado lea el contenido del buzón. Si asigna el permiso Enviar en nombre a un buzón que está oculto en las listas de direcciones, el delegado no podrá enviar mensajes desde el buzón. |
Buzones de usuario Buzones de recursos Grupos de distribución Grupos de distribución dinámicos Grupos de seguridad habilitados para correo Grupos de Microsoft 365 |
Buzones compartidos | Buzones con cuentas de usuario Usuarios de correo con cuentas Grupos de seguridad habilitados para correo Grupos de distribución |
Nota:
Si un usuario tiene los permisos Enviar como y Enviar en nombre a un buzón o grupo, siempre se usa el permiso Enviar como .
¿Qué necesita saber antes de empezar?
Tiempo estimado para completar cada procedimiento: 2 minutos.
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte la entrada "Configuración del buzón" en el artículo Permisos de características en Exchange Online.
Para abrir y usar el EAC, consulte Centro de administración de Exchange en Exchange Online. Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.
Cuando se agrega un buzón a Outlook mediante configuración avanzada, solo se agregará el buzón principal; no se agregará el buzón de archivo. Si un usuario también necesita acceder al buzón de archivo, el buzón debe agregarse a Outlook como una segunda cuenta en el mismo perfil de Outlook.
Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este artículo, consulte Métodos abreviados de teclado para el Centro de administración de Exchange.
Uso del EAC para asignar permisos a buzones individuales
En el EAC, haga clic en Destinatarios en el panel de características. En función del tipo de buzón para el que quiera asignar permisos, haga clic en uno de los siguientes elementos:
- Buzones de correo: buzones de usuario o vinculados.
- Recursos: buzones de sala o equipos.
En la lista de buzones, seleccione el buzón para el que desea asignar permisos.
Haga clic en Delegación de buzón de correo y configure uno o varios de los permisos siguientes:
- Enviar como: los mensajes enviados por un delegado parecen proceder del buzón.
- Enviar en nombre: los mensajes enviados por un delegado tienen " <Delegado> en nombre del <buzón>" en la dirección Desde. Tenga en cuenta que este permiso no está disponible en el EAC para buzones compartidos.
- Leer y administrar (acceso completo): el delegado puede abrir el buzón y hacer cualquier cosa excepto enviar mensajes.
Para asignar permisos a delegados, haga clic en Editar con el permiso adecuado y, a continuación, haga clic en
Agregar miembros.- Seleccione el usuario o grupo de la lista. Repita este proceso tantas veces como sea necesario.
- También puede buscar usuarios o grupos en el cuadro de búsqueda escribiendo todo o parte del nombre y, a continuación, haciendo clic en
Buscar.
Cuando haya terminado de seleccionar delegados, haga clic en Guardar>confirmar.
Para quitar un permiso de un delegado, seleccione el delegado en la lista con el permiso adecuado y, a continuación, haga clic en Eliminar>confirmar.
Uso del EAC para asignar permisos a varios buzones al mismo tiempo
En el EAC, haga clic en Buzones de destinatarios>.
Seleccione los buzones para los que desea asignar permisos.
Haga clic en Delegación del buzón, en el cuadro de texto Agregar un delegado , escriba el nombre o la dirección de correo electrónico y, a continuación, selecciónelo en los resultados.
En la lista desplegable Seleccionar tipos de permisos , seleccione los tipos adecuados (Acceso completo, Enviar como o Enviar en nombre).
Cuando haya terminado de seleccionar usuarios o grupos para agregar como delegados, haga clic en Guardar o en Cerrar X para quitar.
Uso del EAC para asignar permisos a grupos
En el EAC, haga clic en Grupos de destinatarios>.
Seleccione el grupo haciendo clic en cualquier parte de la fila que no sea la opción de botón que aparece en el área en blanco situada junto a la columna Nombre del grupo . y, a continuación, haga clic en Configuración.
En Administrar delegados, haga clic en Editar administrar delegados y configure uno de los permisos siguientes:
- Enviar como: los mensajes enviados por un delegado parecen proceder del grupo.
- Enviar en nombre: los mensajes enviados por un delegado tienen " <Delegado> en nombre del <grupo>" en la dirección Desde.
Para asignar permisos a delegados, en el cuadro de texto Agregar un delegado , escriba el nombre o la dirección de correo electrónico y, a continuación, selecciónelo en los resultados. Repita este proceso tantas veces como sea necesario.
Para quitar el permiso de un delegado, haga clic en Cerrar X.
Cuando haya terminado, haga clic en Guardar.
Usar Exchange Online PowerShell para asignar el permiso de acceso completo a buzones
Use los cmdlets Add-MailboxPermission y Remove-MailboxPermission para administrar el permiso de acceso completo para los buzones. Estos cmdlets usan la misma sintaxis básica:
Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]
Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All
En este ejemplo se asigna al delegado Raymond Sam permisos de Acceso total al buzón de correo de Terry Adams.
Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All
En este ejemplo se asigna a Esther Valle el permiso de acceso completo al buzón de búsqueda de detección predeterminado de la organización e impide que el buzón se abra automáticamente en Outlook de Esther Valle.
Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false
En este ejemplo se asigna a los miembros del grupo de seguridad habilitado para correo del departamento de soporte técnico el permiso acceso completo al buzón compartido denominado Vales del departamento de soporte técnico.
Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All
En este ejemplo se quita el permiso de acceso completo para Jim Hance del buzón de Ayla Kol.
Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte:
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha asignado o quitado correctamente el permiso de acceso completo para un delegado en un buzón de correo, use uno de los procedimientos siguientes:
En las propiedades del buzón del EAC, compruebe que el delegado aparece o no en Acceso completo de delegación> debuzones.
Reemplace <MailboxIdentity> por la identidad del buzón de correo y ejecute el siguiente comando en Exchange Online PowerShell para comprobar que el delegado está o no aparece.
Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table User,Deny,IsInherited,AccessRights -AutoPara obtener más información, vea Get-MailboxPermission.
Usar Exchange Online PowerShell para asignar el permiso Enviar como a buzones y grupos
Los cmdlets Add-RecipientPermission y Remove-RecipientPermission se usan para administrar el permiso Enviar como para buzones y grupos. Estos cmdlets usan la misma sintaxis básica:
<Add-RecipientPermission | Remove-RecipientPermission> -Identity <MailboxOrGroupIdentity> -Trustee <DelegateIdentity> -AccessRights SendAs
En este ejemplo, se asigna el permiso Enviar como al grupo Printer Support en el buzón compartido Contoso Printer Support.
Add-RecipientPermission -Identity "Contoso Printer Support" -Trustee "Printer Support" -AccessRights SendAs
En este ejemplo se quita el permiso Enviar como al usuario Karen Toh en el buzón de Yan Li.
Remove-RecipientPermission -Identity "Yan Li" -Trustee "Karen Toh" -AccessRights SendAs
Para obtener información más detallada acerca de la sintaxis y los parámetros, consulte:
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha asignado o quitado correctamente el permiso Enviar como para un delegado en un buzón o grupo, use uno de los procedimientos siguientes:
En las propiedades del buzón de correo o grupo del EAC, compruebe que el delegado aparece o no en la delegación> de buzónEnviar como o Enviarcomodelegación> de grupo.
Reemplace <MailboxIdentity> y <DelegateIdentity> por el nombre, el alias o la dirección de correo electrónico del buzón o grupo y ejecute el siguiente comando en Exchange Online PowerShell para comprobar que el delegado está o no aparece en la lista.
Get-RecipientPermission -Identity <MailboxIdentity> -Trustee <DelegateIdentity>
Use Exchange Online PowerShell para asignar el permiso Enviar en nombre a buzones y grupos
Use el parámetro GrantSendOnBehalfTo en los distintos cmdlets de buzón y grupo Set- para administrar el permiso Enviar en nombre para buzones y grupos:
- Set-Mailbox
- Set-DistributionGroup: grupos de distribución y grupos de seguridad habilitados para correo.
- Set-DynamicDistributionGroup
- Set-UnifiedGroup: grupos de Microsoft 365.
La sintaxis básica de estos cmdlets es:
<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>
El parámetro GrantSendOnBehalfTo tiene las siguientes opciones para los valores delegados:
- Reemplazar delegados existentes:
<DelegateIdentity>o"<DelegateIdentity1>","<DelegateIdentity2>",... - Agregue o quite delegados sin afectar a otros delegados:
@{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...} - Quitar todos los delegados: use el valor
$null.
En este ejemplo se asigna al delegado Holly Holt el permiso de Enviar en nombre de al buzón de Sean Chai.
Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh
En este ejemplo se agrega el grupo tempassistants@contoso.com a la lista de delegados que tienen permiso Enviar en nombre al buzón compartido de Ejecutivos de Contoso.
Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}
En este ejemplo se asigna el permiso Enviar en nombre de a la delegada Sara Davis en el grupo de distribución Printer Support.
Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad
En este ejemplo se quita el permiso Enviar en nombre que se asignó al administrador en el grupo de distribución dinámica Todos los empleados.
Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha asignado o quitado correctamente el permiso Enviar en nombre para un delegado en un buzón o grupo, use uno de los procedimientos siguientes:
En las propiedades del buzón de correo o grupo del EAC, compruebe que el delegado aparece o no en la delegación> de buzónEnviar como o Enviarcomodelegación> de grupo.
Reemplace <MailboxIdentity> o <GroupIdentity> por la identidad del buzón o grupo y ejecute uno de los siguientes comandos en Exchange Online PowerShell para comprobar que el delegado está o no aparece.
Buzón:
Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfToGrupo de distribución o grupo de seguridad habilitado para correo:
Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfToGrupo de distribución dinámica:
Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfToGrupo de Microsoft 365:
Get-UnifiedGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
Pasos siguientes
Para obtener más información sobre cómo los delegados pueden usar los permisos que se les asignan en buzones y grupos, consulte los artículos siguientes: