Gestion des autorisations des destinataires

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Résumé : Découvrez comment affecter des autorisations pour les boîtes aux lettres et les groupes dans Exchange 2016 afin que les autres utilisateurs puissent ouvrir la boîte aux lettres, envoyer des messages électroniques à partir de la boîte aux lettres, ou envoyer un message à partir du groupe.

Dans Exchange Server 2016, vous pouvez utiliser le Centre d’administration Exchange (CAE) ou le Environnement de ligne de commande Exchange Management Shell pour attribuer des autorisations à une boîte aux lettres ou à un groupe afin que les autres utilisateurs puissent accéder à la boîte aux lettres (Autorisation Accès total) ou envoyer des messages électroniques qui semblent provenir de la boîte aux lettres ou d’un groupe (autorisations Envoyer en tant que ou Envoyer de la part de). Les utilisateurs auxquels sont attribués ces autorisations sur les autres boîtes aux lettres ou groupes sont appelés délégués.

Les autorisations que vous pouvez attribuer aux délégués pour les boîtes aux lettres et les groupes dans Exchange 2016 sont décrites dans le tableau suivant* :

 

Autorisation Description Disponible pour les objets dans le CAE Disponible pour les objets supplémentaires dans le Environnement de ligne de commande Exchange Management Shell Types de délégués disponibles dans le CAE Types de délégués supplémentaires disponibles dans le Environnement de ligne de commande Exchange Management Shell

Accès total

Permet au délégué d’ouvrir la boîte aux lettres et d’afficher, d’ajouter et de supprimer le contenu de la boîte aux lettres. N’autorise pas le délégué à envoyer des messages à partir de la boîte aux lettres.

Si vous attribuez cette autorisation pour accéder à une boîte aux lettres masquée dans les listes d’adresses, le délégué ne peut pas ouvrir cette boîte aux lettres. Par défaut, les boîtes aux lettres de découverte et d’arbitrage sont masquées dans les listes d’adresses.

Par défaut, la fonctionnalité de mappage automatique des boîtes aux lettres utilise la découverte automatique pour ouvrir automatiquement la boîte aux lettres dans le profil Outlook du délégué (en plus de leur propre boîte aux lettres). Si vous ne voulez pas que cela se produise, vous devez effectuer l’une des actions suivantes :

Boîtes aux lettres utilisateur

Boîtes aux lettres liées

Boîtes aux lettres de ressources

Boîtes aux lettres partagées

Boîtes aux lettres d’arbitrage

Boîtes aux lettres de détection

Boîtes aux lettres avec comptes d’utilisateurs

Utilisateurs de messagerie avec comptes

Groupes de sécurité à extension messagerie

Comptes d’utilisateurs qui ne sont pas à extension messagerie.

Groupes de sécurité de domaine locaux, universels et globaux qui ne sont pas à extension messagerie.

Envoyer en tant que

Permet au délégué d’envoyer des messages comme s’ils provenaient directement de la boîte aux lettres ou du groupe. Aucun élément n’indique que le message a été envoyé par le délégué.

N’autorise pas le délégué à lire le contenu de la boîte aux lettres.

Boîtes aux lettres utilisateur

Boîtes aux lettres liées

Boîtes aux lettres de ressources

Boîtes aux lettres partagées

Groupes de distribution

groupes de distribution dynamiques

Groupes de sécurité à extension messagerie

s/o

Boîtes aux lettres avec comptes d’utilisateurs

Utilisateurs de messagerie avec comptes

Groupes de sécurité à extension messagerie

s/o

Envoyer de la part de

Permet au délégué d’envoyer des messages à partir de la boîte aux lettres ou du groupe. L’adresse de l’expéditeur de ces messages indique clairement que le message a été envoyé par le délégué («<Delegate> de la part de <MailboxOrGroup>»). Toutefois, les réponses à ces messages sont envoyées à la boîte aux lettres ou au groupe, et non au délégué.

N’autorise pas le délégué à lire le contenu de la boîte aux lettres.

Boîtes aux lettres utilisateur

Boîtes aux lettres liées

Boîtes aux lettres de ressources

Groupes de distribution

groupes de distribution dynamiques

Groupes de sécurité à extension messagerie

Boîtes aux lettres partagées

Boîtes aux lettres avec comptes d’utilisateurs

Utilisateurs de messagerie avec comptes

Groupes de sécurité à extension messagerie

Groupes de distribution

s/o

*Même si vous pouvez utiliser le Environnement de ligne de commande Exchange Management Shell pour affecter certaines autorisations ou toutes ces autorisations à d’autres types de délégués d’autres types d’objets destinataire, cette rubrique traite des types d’objets délégué et destinataire qui génèrent des résultats utiles.

tipConseil :
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez le forum à l’adresse : Exchange Server, Exchange Online ou Exchange Online Protection..

  1. Dans le CAE, cliquez sur Destinataires dans le volet des fonctionnalités. Selon le type de boîte aux lettres à laquelle vous souhaitez attribuer des autorisations, cliquez sur l’un des onglets suivants :

    • Boîtes aux lettres Boîtes aux lettres utilisateur ou liées.

    • Ressources Boîtes aux lettres de salle ou d’équipement.

    • Partagé Boîtes aux lettres partagées.

  2. Dans la liste des boîtes aux lettres, cliquez sur celle pour laquelle vous voulez attribuer des autorisations, puis cliquez sur ModifierIcône Modifier.

  3. Dans la page de propriétés de la boîte aux lettres qui s’ouvre, cliquez sur Délégation de boîtes aux lettres et configurez une ou plusieurs des autorisations suivantes :

    • Envoyer en tant que Les messages envoyés par un délégué semblent provenir de la boîte aux lettres.

    • Envoyer de la part Les messages envoyés par un délégué comportent la mention « <Delegate> De la part de <Mailbox> » dans l’adresse de l’expéditeur. Notez que cette autorisation n’est pas disponible dans le CAE pour les boîtes aux lettres partagées.

    • Accès total Le délégué peut ouvrir la boîte aux lettres et exécuter n’importe quelle action sauf envoyer des messages.

    Pour attribuer des autorisations aux délégués, cliquez sur AjouterIcône Ajouter sous l’autorisation appropriée. Une boîte de dialogue s’affiche et répertorie les utilisateurs ou les groupes qui peuvent se voir attribuer l’autorisation. Sélectionnez l’utilisateur ou le groupe dans la liste, puis cliquez sur Ajouter. Répétez cette opération autant de fois que nécessaire. Vous pouvez également rechercher des utilisateurs ou des groupes dans la zone de recherche en saisissant tout ou partie du nom, puis en cliquant sur RechercherIcône Recherche. Une fois tous les délégués sélectionnés, cliquez sur OK.

    Pour retirer une autorisation à un délégué, sélectionnez le délégué dans la liste sous l’autorisation appropriée, puis cliquez sur SupprimerIcône Suppression.

  4. Lorsque vous avez terminé, cliquez sur Enregistrer.

  1. Dans le CAE, accédez à Destinataires  > Boîtes aux lettres.

  2. Sélectionnez les boîtes aux lettres auxquelles vous souhaitez attribuer des autorisations. Utilisez la touche MAJ et cliquez pour sélectionner un ensemble de boîtes aux lettres ou utilisez la touche Ctrl et cliquez pour sélectionner plusieurs boîtes aux lettres individuelles. Le titre du volet d’informations affiche Modification en bloc comme illustré dans le diagramme suivant.

    Sélectionner en bloc des boîtes aux lettres dans le centre d’administration Exchange

    Notez que les boîtes aux lettres que vous sélectionnez doivent être du même type. Par exemple, si vous sélectionnez les boîtes aux lettres utilisateur et les boîtes aux lettres liées, vous recevrez un message d’avertissement dans le volet d’informations indiquant que la modification en bloc ne fonctionnera pas.

  3. Au bas du volet d’informations, cliquez sur Plus d’options. Sous l’option Délégation de boîtes aux lettres qui s’affiche, choisissez Ajouter ou Supprimer. Selon votre sélection, effectuez l’une des opérations suivantes :

    • Ajouter Dans la boîte de dialogue Délégation d’ajout en bloc qui s’affiche, cliquez sur AjouterIcône Ajouter sous l’autorisation appropriée (Envoyer en tant que, Envoyer de la part de ou Accès total). Lorsque vous avez terminé la sélection des utilisateurs ou des groupes à ajouter en tant que délégués, cliquez sur Enregistrer.

    • Supprimer Dans la boîte de dialogue Délégation de suppression en bloc qui s’affiche, cliquez sur AjouterIcône Ajouter sous l’autorisation appropriée (Envoyer en tant que, Envoyer de la part de ou Accès total). Lorsque vous avez terminé la sélection des utilisateurs ou des groupes à supprimer des délégués existants, cliquez sur Enregistrer.

  1. Dans le CAE, accédez à Destinataires > Groupes.

  2. Dans la liste des groupes, cliquez sur celui pour lequel vous voulez attribuer des autorisations, puis cliquez sur ModifierIcône Modifier.

  3. Dans la page des propriétés de groupe qui s’ouvre, cliquez sur Délégation de groupe et configurez l’une des autorisations suivantes :

    • Envoyer en tant que Les messages envoyés par un délégué semblent provenir du groupe.

    • Envoyer de la part de Les messages envoyés par un délégué comportent la mention «<Delegate> De la part de <Group> » dans l’adresse de l’expéditeur.

  4. Pour attribuer des autorisations aux délégués, cliquez sur AjouterIcône Ajouter sous l’autorisation appropriée. Une boîte de dialogue s’affiche et répertorie les utilisateurs ou les groupes qui peuvent se voir attribuer l’autorisation. Sélectionnez l’utilisateur ou le groupe dans la liste, puis cliquez sur Ajouter. Répétez cette opération autant de fois que nécessaire. Vous pouvez également rechercher des utilisateurs ou des groupes dans la zone de recherche en saisissant tout ou partie du nom, puis en cliquant sur RechercherIcône Recherche. Une fois tous les délégués sélectionnés, cliquez sur OK.

    Pour retirer une autorisation à un délégué, sélectionnez le délégué dans la liste sous l’autorisation appropriée, puis cliquez sur SupprimerIcône Suppression.

  5. Lorsque vous avez terminé, cliquez sur Enregistrer.

Vous utilisez les applets de commande Add-MailboxPermission et Remove-MailboxPermission pour gérer l’autorisation d’accès total aux boîtes aux lettres. Ces cmdlets utilisent la même syntaxe de base :

Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]

Pour plus d’informations, voir Add-MailboxPermission.

Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All 

Pour plus d’informations, voir Remove-MailboxPermission.

Cet exemple attribue au délégué Raymond Sam l'autorisation Accès total pour la boîte aux lettres de Terry Adams.

Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All

Cet exemple attribue à Esther Valle l’autorisation Accès total pour la boîte aux lettres de découverte de l’organisation et empêche l’ouverture automatique de la boîte aux lettres dans le Outlook d’Esther Valle.

Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false

Cet exemple attribue aux membres du groupe de sécurité Helpdesk l’autorisation Accès total pour la boîte aux lettres partagée Helpdesk Tickets.

Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All

Cet exemple retire à Jim Hance l’autorisation Accès total pour la boîte aux lettres d’Ayla Kol.

Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All

Remarque : Si vous avez déjà attribué l’autorisation d’accès total à un délégué dans le centre d’administration Exchange ou sans utiliser le paramètre -AutoMapping $false

Pour vérifier que vous avez affecté ou supprimé l’autorisation d’accès total pour un délégué sur une boîte aux lettres, utilisez l’une des procédures suivantes :

  • Dans les propriétés de la boîte aux lettres dans le centre d’administration Exchange, assurez-vous que le délégué est ou n’est pas répertorié dans Délégation de boîtes aux lettres > Accès total.

  • Exécutez la commande suivante dans le Environnement de ligne de commande Exchange Management Shell pour vérifier que le délégué est ou n’est pas répertorié. Veillez à remplacer <MailboxIdentity> par l’identité de la boîte aux lettres.

    Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table -Auto User,Deny,IsInherited,AccessRights
    

    Pour plus d’informations, voir Get-MailboxPermission.

Vous utilisez les applets de commande Add-AdPermission et Remove-AdPermission pour gérer les autorisations Envoyer en tant que pour les boîtes aux lettres. Ces cmdlets utilisent la même syntaxe de base :

<Add-AdPermission | Remove-AdPermission> -Identity <MailboxOrGroupNameOrDN> -User <DelegateIdentity> [-AccessRights ExtendedRight] -ExtendedRights "Send As"

Pour plus d’informations, voir Add-ADPermission et Remove-ADPermission.

Remarques :

  • Le paramètre Identity exige que vous utilisiez la valeur (DN) Name ou DistinguishedName de la boîte aux lettres ou du groupe.

    • NameCette valeur peut être identique ou non au nom d’affichage. Par exemple, Felipe Apodaca.

    • DistinguishedName Cette valeur contient toujours la valeur Name et utilise la syntaxe LDAP Active Directory . Par exemple, CN=Felipe Apodaca,CN=Users,DC=contoso,DC=com.

    Pour trouver ces valeurs relatives à une boîte aux lettres ou à un groupe, vous pouvez utiliser l’applet de commande Get-Recipient qui accepte plusieurs valeurs pour le paramètre Identity. Par exemple :

    Get-Recipient -Identity helpdesk@contoso.com | Format-List Name,DistinguishedName
    
  • Les commandes fonctionnent avec ou sans -AccessRights ExtendedRight, c’est pourquoi il est affiché comme facultatif dans la syntaxe.

Cet exemple attribue au groupe de sécurité Helpdesk l’autorisation Envoyer en tant que pour la boîte aux lettres partagée Helpdesk Support Team.

Add-ADPermission -Identity "Helpdesk Support Team" -User Helpdesk -ExtendedRights "Send As"

Cet exemple retire à l'utilisateur Pilar Pinilla l'autorisation Envoyer en tant que pour la boîte aux lettres de James Alvord.

Remove-ADPermission -Identity "James Alvord" -User pilarp -ExtendedRights "Send As"

Pour vérifier que vous avez affecté ou supprimé l’autorisation Envoyer en tant que pour un délégué sur une boîte aux lettres ou un groupe, utilisez l’une des procédures suivantes :

  • Dans les propriétés de la boîte aux lettres ou du groupe dans le centre d’administration Exchange, assurez-vous que le délégué est ou n’est pas répertorié dans Délégation de boîtes aux lettres > Envoyer en tant que ou Délégation de groupe > Envoyer en tant que.

  • Exécutez la commande suivante dans le Environnement de ligne de commande Exchange Management Shell pour vérifier que le délégué est ou n’est pas répertorié. Veillez à remplacer <MailboxOrGroupNameOrDN> par le nom ou le nom unique de la boîte aux lettres ou du groupe.

    Get-ADPermission -Identity <MailboxOrGroupNameOrDN> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRights
    

    Pour plus d’informations, voir Get-ADPermission.

Vous utilisez les applets de commande Set- pour les diverses applets de commande de boîte aux lettres et de groupe afin de gérer l’autorisations Envoyer de la part de pour les boîtes aux lettres et les groupes :

  • Set-Mailbox

  • Set-DistributionGroup   Groupes de distribution et groupes de sécurité à extension messagerie.

  • Set-DynamicDistributionGroup

La syntaxe de base de ces applets de commande est la suivante :


								<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <DelegateIdentity>

<DelegateIdentity> peut être l’une des valeurs suivantes :

  • Pour remplacer les délégués existants par les valeurs que vous spécifiez, utilisez la syntaxe <DelegateIdentity1>,<DelegateIdentity2>.... Si la valeur de l’identité du délégué contient des espaces, vous devez utiliser des guillemets : "<DelegateIdentity1>","<DelegateIdentity2>"....

  • Pour ajouter de nouveaux délégués sans affecter les autres entrées existantes, utilisez la syntaxe @{Add="<DelegateIdentity1>","<DelegateIdentity2>"...}.

  • Pour supprimer des délégués existants sans affecter les autres délégués, utilisez la syntaxe @{Remove="<DelegateIdentity1>","<DelegateIdentity2>"...}.

  • Pour effacer tous les délégués existants, utilisez la valeur $null.

Cet exemple attribue au délégué Holly Holt l'autorisation Envoyer de la part de pour la boîte aux lettres de Sean Chai.

Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh

Cet exemple ajoute le groupe appelé Temporary Executives à la liste des délégués ayant l’autorisation Envoyer de la part de à la boîte aux lettres partagée Contoso Executives.

Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}

Cet exemple attribue au délégué Sara Davis l'autorisation Envoyer de la part de pour le groupe de distribution Printer Support.

Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad

Cet exemple retire à l’administrateur l’autorisation Envoyer de la part de pour le groupe de distribution dynamique All Employees.

Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}

Pour vérifier que vous avez affecté ou supprimé l’autorisation Envoyer de la part de pour un délégué sur une boîte aux lettres ou un groupe, utilisez l’une des procédures suivantes :

  • Dans les propriétés de la boîte aux lettres ou du groupe dans le centre d’administration Exchange, assurez-vous que le délégué est ou n’est pas répertorié dans Délégation de boîtes aux lettres > Envoyer en tant que ou Délégation de groupe > Envoyer en tant que.

  • Exécutez l’une des commandes suivantes dans le Environnement de ligne de commande Exchange Management Shell pour vérifier que le délégué est ou n’est pas répertorié. Veillez à remplacer <MailboxIdentity> ou <GroupIdentity> par l’identité de la boîte aux lettres ou du groupe.

    • Boîte aux lettres :

      
      														Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo
      
    • Groupe :

      
      														Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
      
    • Groupe de distribution dynamique :

      
      														Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
      
 
Afficher: