Управление разрешениями для получателей в Exchange Online

  • Статья

В Exchange Online можно использовать Центр администрирования Exchange (EAC) или Exchange Online PowerShell для назначения разрешений почтовому ящику или группе, чтобы другие пользователи могли получить доступ к почтовому ящику (разрешение полного доступа) или отправлять сообщения электронной почты, которые кажутся из почтового ящика или группы (разрешения Отправить как или Отправить от имени). Пользователи, которым назначены эти разрешения для других почтовых ящиков или групп, называются делегатами.

Разрешения, которые можно назначить делегатам для почтовых ящиков и групп в Exchange Online, описаны в следующей таблице:

Разрешение Описание Типы получателей в EAC Дополнительные типы получателей в PowerShell **Доступные типы делегатов
Полный доступ Позволяет представителю открывать почтовый ящик, а также просматривать, добавлять и удалять его содержимое. Не разрешает представителю отправлять сообщения от имени почтового ящика.

Если назначить разрешение на полный доступ почтовому ящику, скрытому из списков адресов, делегат не сможет открыть почтовый ящик. По умолчанию почтовые ящики обнаружения скрыты из списков адресов.

По умолчанию функция автоматического сопоставления почтовых ящиков использует автообнаружения для автоматического открытия почтового ящика в профиле Outlook делегата (в дополнение к собственному почтовому ящику). Автоматическое сопоставление будет работать только для отдельных пользователей, которым предоставлены соответствующие разрешения, и не будет работать для любой группы. Если вы не хотите, чтобы почтовые ящики сопоставлялись автоматически, необходимо выполнить одно из следующих действий:		 почтовые ящики пользователей;

Почтовые ящики ресурса

Общие почтовые ящики		 Почтовые ящики обнаружения Почтовые ящики с учетными записями пользователей

Почтовые пользователи с учетными записями

Группы безопасности, поддерживающие почту
"Отправить как" Позволяет представителю отправлять сообщения так, будто они поступают непосредственно от почтового ящика или группы. Нет никаких признаков того, что сообщение было отправлено представителем.

Не разрешает представителю просматривать содержимое почтового ящика.

Если назначить разрешение "Отправить как" почтовому ящику, скрытому из списков адресов, делегат не сможет отправлять сообщения из почтового ящика.		 почтовые ящики пользователей;

Почтовые ящики ресурса

Общие почтовые ящики

группы рассылки;

динамические группы рассылки

группы безопасности с включенной поддержкой почты.

Группы Microsoft 365		 н/д Почтовые ящики с учетными записями пользователей

Почтовые пользователи с учетными записями

группы безопасности с включенной поддержкой почты.
Отправить от имени Позволяет представителю отправлять сообщения от имени почтового ящика или группы. В поле От адреса этих сообщений четко показано, что сообщение было отправлено делегатом (" <Делегат> от имени <MailboxOrGroup>"). Тем не менее ответы на эти сообщения отправляются почтовому ящику или группе, а не представителю.

Не разрешает представителю просматривать содержимое почтового ящика.

Если назначить разрешение Отправить от имени почтовому ящику, скрытому в списках адресов, делегат не сможет отправлять сообщения из почтового ящика.

почтовые ящики пользователей;

Почтовые ящики ресурса

группы рассылки;

динамические группы рассылки

группы безопасности с включенной поддержкой почты.

Группы Microsoft 365		 Общие почтовые ящики Почтовые ящики с учетными записями пользователей

Почтовые пользователи с учетными записями

группы безопасности с включенной поддержкой почты.

Группы рассылки

Примечание.

Если у пользователя есть разрешения Отправить как и Отправить от имени в почтовый ящик или группу, всегда используется разрешение Отправить как .

Что нужно знать перед началом работы

  • Предполагаемое время для завершения каждой процедуры: 2 минуты.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Параметры почтового ящика" в статье Разрешения компонентов в Exchange Online.

  • Сведения об открытии и использовании Центра администрирования Exchange см. в разделе Центр администрирования Exchange в Exchange Online. Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • При добавлении почтового ящика в Outlook с помощью дополнительных параметров будет добавлен только основной почтовый ящик. архивный почтовый ящик не будет добавлен. Если пользователю также требуется доступ к архивному почтовому ящику, он должен быть добавлен в Outlook в качестве второй учетной записи в том же профиле Outlook.

  • Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, см. в разделе Сочетания клавиш для Центра администрирования Exchange.

Назначение разрешений отдельным почтовым ящикам с помощью Центра администрирования Exchange

  1. В Центре администрирования Exchange выберите Получатели в области функций. В зависимости от типа почтового ящика, для которого требуется назначить разрешения, щелкните один из следующих вариантов:

    • Почтовые ящики: пользовательские или связанные почтовые ящики.
    • Ресурсы: почтовые ящики комнат или оборудования.

  2. В списке почтовых ящиков выберите почтовый ящик, для которого требуется назначить разрешения.

  3. Щелкните Делегирование почтового ящика и настройте одно или несколько из следующих разрешений:

    • Отправить как. Сообщения, отправленные делегатом, поступают из почтового ящика.
    • Отправить от имени: сообщения, отправленные делегатом, имеют значение "<Делегат> от имени почтового ящика<>" в поле От адреса. Обратите внимание, что это разрешение недоступно в Центре администрирования Exchange для общих почтовых ящиков.
    • Чтение и управление (полный доступ). Делегат может открывать почтовый ящик и делать что угодно, кроме отправки сообщений.

  4. Чтобы назначить разрешения делегатам, нажмите кнопку Изменить под соответствующим разрешением, а затем нажмите кнопку Добавить значок.Добавление участников.

    • Выберите пользователя или группу из списка. Повторите эти действия необходимое количество раз.
    • Вы также можете искать пользователей или группы в поле поиска, введя все или часть имени, а затем щелкнув Значок поискаПоиск.

    Завершив выбор делегатов, нажмите кнопку Сохранить>подтвердить.

  5. Чтобы удалить разрешение делегата, выберите делегата в списке с соответствующим разрешением и нажмите кнопку Удалить>подтвердить.

Назначение разрешений нескольким почтовым ящикам одновременно с помощью Центра администрирования Exchange

  1. В EAC щелкните Почтовые ящики получателей>.

  2. Выберите почтовые ящики, для которого требуется назначить разрешения.

    Массовый выбор почтовых ящиков в EAC.

  3. Щелкните Делегирование почтового ящика в текстовом поле Добавить делегат , введите имя или адрес электронной почты , а затем выберите его в результатах.

  4. В раскрывающемся списке Выбор типов разрешений выберите соответствующие типы (Полный доступ, Отправить как или Отправить от имени).

  5. Завершив выбор пользователей или групп для добавления в качестве делегатов, нажмите кнопку Сохранить или закрыть X , чтобы удалить.

Назначение разрешений группам с помощью Центра администрирования Exchange

  1. В EAC щелкните Группы получателей>.

  2. Выберите группу, щелкнув в любом месте строки, кроме кнопки, которая отображается в пустой области рядом со столбцом Имя группы . и нажмите кнопку Параметры.

  3. В разделе Управление делегатами щелкните Изменить управление делегатами и настройте одно из следующих разрешений:

    • Отправить как. Сообщения, отправленные делегатом, поступают из группы.
    • Отправить от имени. Сообщения, отправленные делегатом, имеют значение " <Делегат> от имени <группы>" в адресе От.

  4. Чтобы назначить разрешения делегатам, в текстовом поле Добавить делегат введите имя или адрес электронной почты , а затем выберите его в результатах. Повторите эти действия необходимое количество раз.

    Чтобы удалить разрешение делегата, нажмите кнопку Закрыть X.

  5. По завершении нажмите кнопку Сохранить.

Назначение разрешения на полный доступ почтовым ящикам Exchange Online PowerShell

Для управления разрешением "Полный доступ" для почтовых ящиков используются командлеты Add-MailboxPermission и Remove-MailboxPermission. В этих командлетах используется одинаковый базовый синтаксис.

Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]

Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All

В этом примере разрешение полного доступа к почтовому ящику Терри Адамса назначается представителю Рэймонду Сэму.

Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All

В этом примере Эстер Валле назначается разрешение на полный доступ к почтовому ящику поиска обнаружения по умолчанию организации и предотвращается автоматическое открытие почтового ящика в Outlook Эстер Валле.

Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false

В этом примере членам поддерживающей почту группы безопасности Helpdesk назначается разрешение на полный доступ к общему почтовому ящику под названием Helpdesk Tickets.

Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All

В этом примере из почтового ящика пользователя Ayla Kol удаляется разрешение на полный доступ для пользователя Jim Hance.

Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All

Дополнительные сведения о синтаксисе и параметрах см. в разделе:

Как проверить, все ли получилось?

Чтобы убедиться, что вы успешно назначили или удалили разрешение на полный доступ для делегата в почтовом ящике, выполните одно из следующих действий:

  • В свойствах почтового ящика в EAC убедитесь, что делегат указан или отсутствует в спискеПолный доступ кделегированию> почтовых ящиков.

  • Замените <MailboxIdentity> удостоверением почтового ящика и выполните следующую команду в Exchange Online PowerShell, чтобы убедиться, что делегат указан или нет в списке.

    Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table User,Deny,IsInherited,AccessRights -Auto

    Дополнительные сведения см. в статье Get-MailboxPermission.

Использование Exchange Online PowerShell для назначения разрешения "Отправить как" почтовым ящикам и группам

Командлеты Add-RecipientPermission и Remove-RecipientPermission используются для управления разрешением Отправить как для почтовых ящиков и групп. В этих командлетах используется одинаковый базовый синтаксис.

<Add-RecipientPermission | Remove-RecipientPermission> -Identity <MailboxOrGroupIdentity> -Trustee <DelegateIdentity> -AccessRights SendAs

В этом примере показывается назначение разрешения "Отправить как" группе поддержки принтеров на общем почтовом ящике с именем поддержки принтеров Contoso.

Add-RecipientPermission -Identity "Contoso Printer Support" -Trustee "Printer Support" -AccessRights SendAs

В этом примере показывается удаление разрешения "Отправить как" для пользователя Karen Toh на почтовом ящике пользователя Yan Li.

Remove-RecipientPermission -Identity "Yan Li" -Trustee "Karen Toh" -AccessRights SendAs

Дополнительные сведения о синтаксисе и параметрах см. в разделе:

Как проверить, все ли получилось?

Чтобы убедиться, что вы успешно назначили или удалили разрешение "Отправить как" для делегата в почтовом ящике или группе, выполните одно из следующих действий:

  • В свойствах почтового ящика или группы в EAC убедитесь, что делегат указан или отсутствует в списке Делегирование> почтовых ящиковОтправить как или Отправитькакделегирование> группы.

  • Замените <MailboxIdentity> и <DelegateIdentity> именем, псевдонимом или адресом электронной почты почтового ящика или группы и выполните следующую команду в Exchange Online PowerShell, чтобы убедиться, что делегат указан или нет в списке.

    Get-RecipientPermission -Identity <MailboxIdentity> -Trustee <DelegateIdentity>

Назначение разрешения отправить от имени почтовым ящикам и группам с помощью Exchange Online PowerShell

Параметр GrantSendOnBehalfTo используется в различных командлетах set- и group для управления разрешением Отправить от имени для почтовых ящиков и групп:

  • Set-Mailbox
  • Set-DistributionGroup: группы рассылки и группы безопасности с поддержкой почты.
  • Настроить DynamicDistributionGroup
  • Set-UnifiedGroup: группы Microsoft 365.

Базовый синтаксис этих командлетов:

<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>

Параметр GrantSendOnBehalfTo имеет следующие параметры для значений делегатов:

  • Замените существующие делегаты: <DelegateIdentity> или "<DelegateIdentity1>","<DelegateIdentity2>",...
  • Добавление или удаление делегатов без влияния на других делегатов: @{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}
  • Удалить все делегаты: используйте значение $null.

В этом примере показывается назначение разрешения "Отправить от имени" для пользователя Александры Вороновой почтовому ящику Глеба Селезнева.

Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh

В этом примере группа tempassistants@contoso.com добавляется в список делегатов, имеющих разрешение Отправить от имени в общий почтовый ящик Contoso Executives.

Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}

В этом примере показывается назначение разрешения "Отправить от имени" для пользователя Валентины Александровой группе рассылки поддержки принтеров.

Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad

В этом примере удаляется разрешение "Отправить от имени", назначенное администратору динамической группы рассылки All Employees.

Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}

Как проверить, все ли получилось?

Чтобы убедиться, что вы успешно назначили или удалили разрешение Отправить от имени для делегата в почтовом ящике или группе, выполните одно из следующих действий:

  • В свойствах почтового ящика или группы в EAC убедитесь, что делегат указан или отсутствует в списке Делегирование> почтовых ящиковОтправить как или Отправитькакделегирование> группы.

  • Замените <MailboxIdentity> или <GroupIdentity> удостоверением почтового ящика или группы и выполните одну из следующих команд в Exchange Online PowerShell, чтобы убедиться, что делегат указан или отсутствует в списке.

    • Почтовых ящиков:

      Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo

    • Группа рассылки или группа безопасности с поддержкой почты:

      Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo

    • Динамическая группа рассылки:

      Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo

    • Группа Microsoft 365:

      Get-UnifiedGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo

Дальнейшие действия

Дополнительные сведения о том, как делегаты могут использовать разрешения, назначенные им для почтовых ящиков и групп, см. в следующих статьях: