Autorisations dans les déploiements hybrides Exchange

 

Sapplique à :Exchange Server 2013, Exchange Server 2016

Dernière rubrique modifiée :2017-06-14

L’organisation Exchange Online dans Office 365 est basée sur Exchange Server et, comme les organisations locales, elle utilise le contrôle d’accès en fonction du rôle (RBAC) pour contrôler les autorisations. Les administrateurs disposent des autorisations d’utilisation des groupes de rôles de gestion alors que les utilisateurs finaux disposent des autorisations d’utilisation des stratégies d’attribution de rôle de gestion.

Pour en savoir plus sur les autorisations dans Exchange Online et Exchange sur site, consultez la ressource : Autorisations

Par défaut, l’utilisateur utilisé pour créer le client Office 365 devient membre du groupe de rôles Gestion de l’organisation dans l’organisation Exchange Online. Cet utilisateur peut gérer toute l’organisation Exchange Online, y compris la configuration des paramètres d’organisation et la gestion des destinataires Exchange Online.

Vous pouvez ajouter des administrateurs supplémentaires dans l'organisation Exchange Online, selon le type de gestion à mettre en place. Par exemple, vous pouvez ajouter des administrateurs d'organisation et de destinataires supplémentaires, permettre aux utilisateurs spécialistes d'effectuer des tâches de conformité telles que la détection, configurer des autorisations personnalisées et davantage. La gestion de toutes les autorisations Exchange Online pour les administrateurs Office 365 doit être effectuée dans l'organisation Exchange Online à l'aide du Centre d'administration Exchange (CAE) ou Remote PowerShell.

ImportantImportant :
Il n'existe pas de transfert d'autorisations entre l'organisation locale et l'organisation Office 365. Les autorisations que vous avez définies dans l'organisation locale doivent être recréées dans l'organisation Office 365.

Pour plus d'informations, consultez les rubriques Gérer des groupes de rôles et Gérer les membres de groupes de rôles.

Dans les déploiements Exchange locaux, il est possible d’octroyer à des utilisateurs diverses autorisations aux boîtes aux lettres d’autres utilisateurs. C’est ce que l’on appelle des autorisations de boîtes aux lettres déléguées. Elles sont utiles lorsqu’un administrateur adjoint doit gérer une partie de la boîte aux lettres d’un autre utilisateur ; par exemple, gérer le calendrier d’un cadre. Les déploiements hybrides Exchange prennent en charge l’utilisation de certaines autorisations de boîtes aux lettres entre les boîtes aux lettres locales situées dans une organisation Exchange et les boîtes aux lettres situées dans Office 365. Les sections suivantes décrivent quelles autorisations sont et ne sont pas prises en charge, les configurations supplémentaires requises pour prendre en charge les autorisations de boîtes aux lettres hybrides, et comment les autorisations de boîtes aux lettres sont synchronisées entre votre organisation locale et Office 365.

Les autorisations suivantes sont prises en charge :

  • Accès total Il est possible d’octroyer à une boîte aux lettres se trouvant sur un serveur Exchange local l’autorisation Accès total à une boîte aux lettres Office 365, et inversement. Par exemple, il est possible d’octroyer à une boîte aux lettres Office 365 l’autorisation Accès total à une boîte aux lettres partagée locale. Les utilisateurs doivent ouvrir leur boîte aux lettres à l’aide du client de bureau Outlook. Les autorisations de boîtes aux lettres déléguées ne sont pas prises en charge dans Outlook sur le web.

    RemarqueRemarque :
    Les utilisateurs peuvent être invités à entrer des informations d’identification supplémentaires lorsqu’ils accèdent pour la première fois à une boîte aux lettres qui se trouve dans l’autre organisation et l’ajoutent à leur profil Outlook.
  • Envoyer de la part de Il est possible d’octroyer à une boîte aux lettres se trouvant sur un serveur Exchange local l’autorisation Envoyer de la part de à une boîte aux lettres Office 365, et inversement. Par exemple, il est possible d’octroyer à une boîte aux lettres Office 365 l’autorisation Envoyer de la part de à une boîte aux lettres partagée locale. Les utilisateurs doivent ouvrir leur boîte aux lettres à l’aide du client de bureau Outlook. Les autorisations de boîtes aux lettres déléguées ne sont pas prises en charge dans Outlook sur le web.

    Certains changements sur votre serveur Azure Active Directory Connect sont nécessaires pour que les autorisations Envoyer de la part de se synchronisent entre vos serveurs Exchange locaux et Exchange Online. Pour plus d’informations, consultez la section Activation de la prise en charge des autorisations de boîtes aux lettres hybrides dans Azure Active Directory Connect plus loin dans cette rubrique.

Les autorisations ou fonctionnalités suivantes ne sont pas prises en charge :

  • Send-As Permet à un utilisateur d’envoyer du courrier comme s’il provenait de la boîte aux lettres d’un autre utilisateur.

  • Folder permissions Grants access to the contents of a particular folder.

  • Éléments privés Lorsque vous ajoutez un délégué, l’option peut être configurée pour autoriser un utilisateur disposant des autorisations de dossier à afficher les éléments de calendrier privés. Ceci est uniquement pris en charge si les autorisations Accès total sont octroyées.

  • Mappage automatique Permet à Outlook, lors de son démarrage, d’ouvrir automatiquement des boîtes aux lettres pour lesquelles un utilisateur a reçu l’autorisation Accès total.

Les boîtes aux lettres qui reçoivent ces autorisations à partir d’une autre boîte aux lettres doivent être déplacées en même temps que cette boîte aux lettres. Si une boîte aux lettres reçoit des autorisations à partir de plusieurs boîtes aux lettres, cette boîte aux lettres et toutes les boîtes aux lettres lui octroyant des autorisations doivent être déplacées simultanément.

Pour activer les autorisations Accès total et Envoyer de la part de dans un déploiement hybride, des modifications supplémentaires de la configuration peuvent être nécessaires en fonction de la version d’Exchange que vous avez installée. Le tableau suivant indique quelles versions d’Exchange prennent en charge les autorisations de boîtes aux lettres déléguées dans un déploiement hybride avec Office 365 et quelle configuration supplémentaire est nécessaire. Pour savoir comment configurer les serveurs et boîtes aux lettres Exchange 2013 et 2010 pour prendre en charge des listes de contrôle d’accès (ACL), consultez la rubrique Configurer Exchange pour prendre en charge des autorisations de boîtes aux lettres déléguées dans un déploiement hybride.

 

Version d’Exchange Conditions préalables

Exchange 2016

Aucune configuration supplémentaire requise.

Exchange 2013

Les serveurs Exchange 2013 nécessitent les éléments suivants :

  • La dernière mise à jour cumulative (CU) ou immédiatement antérieure. Les serveurs Exchange 2013 fonctionnant avec les anciennes mises à jour cumulatives ne sont pas pris en charge et peuvent ne pas fonctionner avec des autorisations de boîtes aux lettres déléguées dans un déploiement hybride.

  • L’organisation Exchange est configurée pour autoriser le marquage des listes de contrôle d’accès (ACL) dans les objets de courrier et leur synchronisation avec Office 365.

  • Les boîtes aux lettres locales à distance associées à des boîtes aux lettres déplacées vers Office 365 avant la CU10 Exchange 2013 doivent être configurées manuellement pour prendre en charge des ACL. Les boîtes aux lettres à distance, créées sur les serveurs fonctionnant avec la CU10 Exchange 2013 ou ultérieure, et après que l’organisation Exchange a été configurée pour autoriser les ACL, sont configurées automatiquement.

Exchange 2010

Les serveurs Exchange 2010 SP3 nécessitent les éléments suivants :

  • Le dernier correctif cumulatif (RU) ou immédiatement antérieur. Les serveurs Exchange 2010 SP3 fonctionnant avec les anciens correctifs cumulatifs ne sont pas pris en charge et peuvent ne pas fonctionner avec des autorisations de boîtes aux lettres déléguées dans un déploiement hybride.

  • Les boîtes aux lettres locales à distance associées à des boîtes aux lettres Office 365 doivent être configurées pour prendre en charge des ACL. Cela doit être effectué pour chaque boîte aux lettres locale à distance associée à une boîte aux lettres Office 365.

Exchange 2007 ou une version antérieure

Non prise en charge.

En plus de configurer vos serveurs Exchange locaux, vous devez également vérifier que le serveur Azure Active Directory Connect (AAD Connect) est configuré pour synchroniser les autorisations de boîtes aux lettres hybrides. Voici ce que vous devez faire pour vous assurer que votre serveur AAD Connect est prêt à prendre en charge ces autorisations :

  • Mettre à niveau AAD Connect AAD Connect doit être mis à niveau vers la version 1.1.552.0 au minimum. Vous pouvez télécharger la dernière version d’AAD Connect sur Microsoft Azure Active Directory Connect.

  • Activer Exchange hybride dans AAD Connect Pour synchroniser les attributs qui activent les autorisations de boîtes aux lettres hybrides (plus précisément, l’autorisation Envoyer de la part de), vous devez vous assurer que l’option de configuration Déploiement Exchange hybride est activée dans AAD Connect. Pour plus d’informations sur l’exécution de l’Assistant Installation AAD Connect pour mettre à jour sa configuration, consultez l’article Synchronisation Azure AD Connect : Exécuter l’Assistant Installation une deuxième fois

Comme pour les autorisations d'administrateur, les utilisateurs finaux dans Exchange Online peuvent recevoir des autorisations. Par défaut, les utilisateurs finaux peuvent se voir accorder des autorisations via la stratégie d'attribution de rôle par défaut. Cette stratégie est appliquée à chaque boîte aux lettres dans l'organisation Exchange Online. Si les autorisations accordées par défaut sont suffisantes, il n'est pas nécessaire d'effectuer des modifications.

Si vous souhaitez personnaliser des autorisations d'utilisateur final, vous pouvez modifier la stratégie d'attribution de rôle par défaut ou créer de nouvelles stratégies d'attribution. Si vous créez de nombreuses stratégies d'attribution de rôle, vous pouvez attribuer différentes stratégies à différents groupes de boîtes aux lettres, ce qui vous permet de contrôler les autorisations accordées à chaque groupe en fonction de leurs besoins. La gestion de toutes les autorisations pour les utilisateurs finaux d'Exchange Online doit être effectuée dans l'organisation Exchange Online à l'aide du CAE ou de Remote PowerShell.

Comme les autorisations d'administrateur, les autorisations d'utilisateur final ne sont pas transférées entre l'organisation locale et l'organisation Exchange Online. Les autorisations que vous avez définies dans l'organisation locale doivent être recréées dans l'organisation Exchange Online.

Pour plus d'informations, consultez les rubriques Gérer les stratégies d’attribution des rôles et Modifier la stratégie d’attribution sur une boîte aux lettres.

Le tableau suivant répertorie les autorisations accordées par les stratégies d'attribution de rôle par défaut dans l'organisation Exchange Online.

Autorisations de stratégie d'attribution de rôle par défaut

Rôle de gestion Description

MyTeamMailboxes

Le rôle de gestion MyTeamMailboxes permet aux utilisateurs individuels de créer des boîtes aux lettres de site et de les associer à des sites Microsoft SharePoint.

My Marketplace Apps

Le rôle de gestion My Marketplace Apps permet aux utilisateurs individuels d'afficher et de modifier leurs applications Marketplace Microsoft Office.

MyBaseOptions

Le rôle de gestion MyBaseOptions permet à chaque utilisateur d'afficher et de modifier la configuration de base de sa propre boîte aux lettres et des paramètres associés.

MyContactInformation

Le rôle de gestion MyContactInformation permet aux utilisateurs individuels de modifier leurs informations de contact, notamment l'adresse et les numéros de téléphone.

MyDistributionGroupMembership

Le rôle de gestion MyDistributionGroupMembership permet à chaque utilisateur d'afficher et de modifier son appartenance aux groupes de distribution d'une organisation, à condition que ces groupes de distribution permettent la modification de l'appartenance.

MyDistributionGroups

Le rôle de gestion MyDistributionGroups permet à chaque utilisateur de créer, de modifier et d'afficher les groupes de distribution, et de modifier, d'afficher, de supprimer et d'ajouter des membres dans les groupes de distribution qu'ils possèdent.

MyMailSubscription

Le rôle MyMailSubscription permet à chaque utilisateur d'afficher et de modifier ses paramètres d'abonnement de courrier électronique, tels que le format du message et les valeurs par défaut du protocole.

MyProfileInformation

Le rôle de gestion MyProfileInformation permet à chaque utilisateur de modifier son nom.

MyRetentionPolicies

Le rôle de gestion MyRetentionPolicies permet à chaque utilisateur d'afficher ses balises de rétention et d'afficher et de modifier les paramètres et valeurs par défaut de ces balises.

MyTextMessaging

Le rôle de gestion MyTextMessaging permet à chaque utilisateur de créer, d'afficher et de modifier ses paramètres de messagerie texte.

MyVoiceMail

Le rôle de gestion MyVoiceMail permet à chaque utilisateur d'afficher et de modifier ses paramètres de messagerie vocale.

Mes applications ReadWriteMailbox

Le rôle de gestion My ReadWriteMailbox Apps permet aux utilisateurs d’installer des applications avec des autorisations ReadWriteMailbox.

Mes applications personnalisées

Le rôle de gestion My Custom Apps permet aux utilisateurs d’afficher et de modifier leurs applications personnalisées.

 
Afficher: