Autorizzazioni nelle distribuzioni ibride di Exchange
Il Exchange Online in Microsoft 365 o nell'organizzazione Office 365 si basa su Exchange Server e, come le organizzazioni locali, usa anche il Controllo di accesso controllo degli accessi in base al ruolo (RBAC) per controllare le autorizzazioni. Le autorizzazioni sono concesse agli amministratori, utilizzando i gruppi di ruoli di gestione, e agli utenti finali, tramite i criteri di assegnazione dei ruoli di gestione.
Per altre informazioni sulle autorizzazioni in Exchange Online ed Exchange locale, vedere: Exchange Server autorizzazioni e autorizzazioni delle funzionalità in Exchange Online.
Autorizzazioni dell'amministratore
Per impostazione predefinita, l'utente usato per creare l'organizzazione Office 365 viene reso membro del gruppo di ruoli Gestione organizzazione nell'organizzazione Exchange Online. Questo utente può gestire l'intera organizzazione Exchange Online, inclusa la configurazione delle impostazioni a livello di organizzazione e la gestione dei destinatari Exchange Online.
È possibile aggiungere altri amministratori nell'organizzazione Exchange Online, a seconda della gestione che deve essere eseguita. Ad esempio, è possibile aggiungere altri amministratori dell'organizzazione e amministratori dei destinatari, consentire agli utenti specializzati di eseguire attività di conformità come l'individuazione, la configurazione di autorizzazioni personalizzate e altro ancora. Tutte le Exchange Online gestione delle autorizzazioni per gli amministratori di Microsoft 365 e Office 365 devono essere eseguite nell'organizzazione Exchange Online usando l'interfaccia di amministrazione di Exchange o Exchange Online PowerShell.
Importante
Non è previsto alcun trasferimento di autorizzazioni tra l'organizzazione locale e l'organizzazione Microsoft 365 o Office 365. Le autorizzazioni definite nell'organizzazione locale devono essere ricreate nell'organizzazione di Microsoft 365 o Office 365.
Per ulteriori informazioni, vedere Manage Role Groups e Manage Role Group Members.
Delegare le autorizzazioni per le cassette postali
Nelle distribuzioni di Exchange locali, agli utenti vengono concesse diverse autorizzazioni per le cassette postali di altri utenti. Si tratta di autorizzazioni delegate per le cassette postali ed è utile quando un assistente amministrativo deve gestire parte della cassetta postale di un altro utente, ad esempio la gestione del calendario di un dirigente. Le distribuzioni ibride di Exchange supportano l'uso di alcune, ma non di tutte, le autorizzazioni delle cassette postali tra le cassette postali che si trovano in un'organizzazione di Exchange locale e le cassette postali che si trovano in Microsoft 365 o Office 365. Le sezioni seguenti illustrano in dettaglio quali autorizzazioni sono supportate e non sono supportate. altre configurazioni necessarie per supportare le autorizzazioni per le cassette postali ibride; e la modalità di sincronizzazione delle autorizzazioni delle cassette postali tra l'organizzazione locale e Microsoft 365 o Office 365.
Autorizzazioni per le cassette postali in ambienti ibridi
Non tutte le autorizzazioni per le cassette postali sono completamente supportate in un ambiente ibrido di Exchange.
Autorizzazioni per cassette postali supportate negli ambienti ibridi
Accesso completo: a una cassetta postale in un server Exchange locale può essere concessa l'autorizzazione accesso completo a una cassetta postale di Microsoft 365 o Office 365 e viceversa. Ad esempio, a una cassetta postale di Microsoft 365 o Office 365 può essere concessa l'autorizzazione accesso completo a una cassetta postale condivisa locale. Gli utenti devono aprire la cassetta postale usando il client desktop outlook. Le autorizzazioni per le cassette postali cross-premise non sono completamente supportate in Outlook sul web. Gli utenti possono usare Apri un'altra cassetta postale in Outlook sul web per aprire altre cassette postali in cui dispongono dell'autorizzazione Accesso completo. Verrà tuttavia generato un collegamento di reindirizzamento e una richiesta di credenziali prima che l'utente possa accedere alla cassetta postale.
Nota
Gli utenti potrebbero ricevere richieste di credenziali aggiuntive quando accedono per la prima volta a una cassetta postale nell'altra organizzazione e la aggiungono al profilo di Outlook.
Invia per conto dell'utente: a una cassetta postale in un server Exchange locale può essere concessa l'autorizzazione Invia per conto di una cassetta postale di Microsoft 365 o Office 365 e viceversa. Ad esempio, a una cassetta postale di Microsoft 365 o Office 365 può essere concessa l'autorizzazione Invia per conto di una cassetta postale condivisa locale. Gli utenti devono aprire la cassetta postale usando il client desktop outlook; Le autorizzazioni per le cassette postali cross-premise non sono supportate in Outlook sul web.
Alcune modifiche sono necessarie nel server di Microsoft Entra Connect per le autorizzazioni Di invio per conto per la sincronizzazione tra i server Exchange locali e Exchange Online. Per informazioni dettagliate, vedere la sezione Abilitazione del supporto per le autorizzazioni per le cassette postali ibride in Microsoft Entra Connect più avanti in questo articolo.
Elementi privati: quando si concede l'autorizzazione accesso completo a una cassetta postale, è possibile decidere se consentire al delegato di visualizzare elementi privati (riunioni private, appuntamenti, contatti o attività) nella cassetta postale.
Per condividere elementi privati con un delegato, usare la procedura seguente in Outlook:
Passare aImpostazioni>account file>Delegare l'accesso
Nella finestra successiva fare clic su Aggiungi. Viene visualizzato un nuovo menu per elencare gli utenti dell'organizzazione. Selezionare un delegato e fare clic su OK.
Verrà visualizzata l'immagine seguente, in cui è possibile selezionare la casella di controllo correlata per condividere elementi privati con un delegato.
Per altre informazioni, vedere Panoramica della delega in un ambiente ibrido Office 365.
Autorizzazioni e funzionalità delle cassette postali NON supportate negli ambienti ibridi
Invia come: consente a un utente di inviare messaggi di posta elettronica come se apparisse provenire dalla cassetta postale di un altro utente. Microsoft Entra Connect non sincronizza automaticamente l'autorizzazione SendAs tra Exchange locale e Microsoft 365 o Office 365, quindi le autorizzazioni SendAs cross-premise non sono supportate. Tuttavia, SendAs funzionerà nella maggior parte degli scenari se si aggiungono manualmente le autorizzazioni SendAs in entrambi gli ambienti, usando Exchange Management Shell per Exchange locale e Exchange Online PowerShell per Microsoft 365 o Office 365.
Ad esempio, si vuole concedere l'autorizzazione Invia come per una cassetta postale locale denominata ONPREM1 a un nome di cassetta postale cloud EXO1.
Eseguire il comando seguente in Exchange Management Shell nel server Exchange locale:
Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Add-ADPermission.
Eseguire quindi il comando corrispondente in Exchange Online PowerShell:
Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Add-RecipientPermission.
Nota
L'autorizzazione SendAs è necessaria anche per rispettare i requisiti di Exchange Server locale e Microsoft Entra Connect nelle due sezioni successive.
Mapping automatico: consente a Outlook di aprire automaticamente tutte le cassette postali a cui un utente ha ottenuto l'accesso completo all'avvio. Si noti che il mapping automatico funzionerà solo per i singoli utenti a cui sono state concesse le autorizzazioni appropriate e non funzionerà per alcun tipo di gruppo.
Autorizzazioni cartella: concede l'accesso al contenuto di una determinata cartella.
Le cassette postali che ricevono tali autorizzazioni da un'altra cassetta postale devono essere spostate nello stesso momento in cui viene trasferita quella cassetta postale di concessione. Se una cassetta postale riceve autorizzazioni da più cassette postali, è necessario spostare contemporaneamente tutte le cassette postali (sia quella che riceve le autorizzazioni sia quelle che le concedono). Per altre informazioni, vedere https://support.microsoft.com/help/3064053.
Configurare i server di Exchange locali per supportare le autorizzazioni per cassette postali ibride
Per abilitare le autorizzazioni Accesso completo e Invio per conto di in una distribuzione ibrida, potrebbero essere necessarie altre modifiche alla configurazione a seconda della versione di Exchange installata. La tabella seguente illustra quali versioni di Exchange supportano le autorizzazioni delegate per le cassette postali in una distribuzione ibrida con Microsoft 365 o Office 365 e quale configurazione aggiuntiva è necessaria. Per istruzioni su come configurare i server e le cassette postali di Exchange 2013 e 2010 per il supporto di ACL, vedere Configure Exchange to support delegated mailbox permissions in a hybrid deployment.
| Versione di Exchange | Prerequisiti |
|---|---|
| Exchange 2016 | Abilitare la sincronizzazione degli oggetti ACLable a livello di organizzazione. Abilitare manualmente gli ACL in ogni cassetta postale spostata in Microsoft 365 o Office 365 prima che la sincronizzazione degli oggetti ACLable fosse abilitata a livello di organizzazione. Non è necessaria alcuna configurazione aggiuntiva per le cassette postali spostate in Microsoft 365 o Office 365 dopo l'abilitazione della sincronizzazione degli oggetti ACLable a livello di organizzazione. |
| Exchange 2013 | Per i server di Exchange 2013 è necessario quanto segue:
|
| Exchange 2010 | Non è più supportato. In precedenza, le cassette postali remote locali associate a Microsoft 365 o Office 365 cassette postali dovevano essere configurate per supportare gli ACL. È stato necessario eseguire questa operazione per ogni cassetta postale remota locale associata a una cassetta postale di Microsoft 365 o Office 365. |
| Exchange 2007 o versione precedente | Non supportate. |
Abilitazione del supporto per le autorizzazioni per le cassette postali ibride in Microsoft Entra Connect
Oltre a configurare i server Exchange locali, è anche necessario assicurarsi che Microsoft Entra server Connect (Microsoft Entra Connect) sia configurato per sincronizzare le autorizzazioni per le cassette postali ibride. Ecco cosa è necessario fare per assicurarsi che il server Microsoft Entra Connect sia pronto per supportare queste autorizzazioni:
Aggiornamento Microsoft Entra Connect: Microsoft Entra Connect deve essere aggiornato almeno alla versione 1.1.553.0. È possibile scaricare la versione più recente di Microsoft Entra Connect da Microsoft Entra Connect.
Abilitare Exchange Hybrid in Microsoft Entra Connect: per sincronizzare gli attributi che abilitano le autorizzazioni per le cassette postali ibride (in particolare l'autorizzazione Invia per conto), è necessario assicurarsi che l'opzione di configurazione della distribuzione ibrida di Exchange sia abilitata in Microsoft Entra Connect. Per informazioni su come eseguire di nuovo l'installazione guidata di Microsoft Entra Connect per aggiornarne la configurazione, vedere Microsoft Entra Connect Sync: Running the installation wizard a second time
Autorizzazioni dell'utente finale
Come per le autorizzazioni di amministratore, agli utenti finali in Exchange Online possono essere concesse le autorizzazioni. Per impostazione predefinita, agli utenti finali le autorizzazioni sono concesse tramite il criterio di assegnazione del ruolo predefinito. Questo criterio viene applicato a ogni cassetta postale dell'organizzazione Exchange Online. Se le autorizzazioni concesse per impostazione predefinita sono sufficienti, non è necessario apportare alcuna modifica.
Se si desidera personalizzare le autorizzazioni dell'utente finale, è possibile modificare i criteri di assegnazione di ruolo predefiniti esistenti oppure creare nuovi criteri di assegnazione. Se si creano più criteri di assegnazione, è possibile assegnare vari criteri a diversi gruppi di cassette postali, in modo da controllare le autorizzazioni concesse ad ogni gruppo a seconda delle relative esigenze. Tutta la gestione delle autorizzazioni per Exchange Online utenti finali deve essere eseguita nell'organizzazione Exchange Online usando EAC o Exchange Online PowerShell.
Analogamente alle autorizzazioni di amministratore, le autorizzazioni dell'utente finale non vengono trasferite tra l'organizzazione locale e l'organizzazione Exchange Online. Tutte le autorizzazioni definite nell'organizzazione locale devono essere ricreate nell'organizzazione Exchange Online.
Per ulteriori informazioni, vedere Manage Role Assignment Policies e Change the Assignment Policy on a Mailbox.
Nella tabella seguente sono elencate le autorizzazioni concesse dai criteri di assegnazione di ruolo predefiniti nell'organizzazione Exchange Online.
| Ruoli di gestione | Descrizione |
|---|---|
| MyTeamMailboxes | Il MyTeamMailboxes ruolo di gestione consente ai singoli utenti di creare cassette postali del sito e connetterle ai siti di Microsoft SharePoint. |
| App Marketplace | Il My Marketplace Apps ruolo di gestione consente ai singoli utenti di visualizzare e modificare le app di Microsoft Office Marketplace. |
| MyBaseOptions | Il MyBaseOptions ruolo di gestione consente ai singoli utenti di visualizzare e modificare la configurazione di base della propria cassetta postale e delle impostazioni associate. |
| MyContactInformation | Il MyContactInformation ruolo di gestione consente ai singoli utenti di modificare le informazioni di contatto, inclusi l'indirizzo e i numeri di telefono. |
| MyDistributionGroupMembership | Il MyDistributionGroupMembership ruolo di gestione consente ai singoli utenti di visualizzare e modificare l'appartenenza ai gruppi di distribuzione in un'organizzazione, se tali gruppi di distribuzione consentono la manipolazione dell'appartenenza ai gruppi. |
| MyDistributionGroups | Il MyDistributionGroups ruolo di gestione consente ai singoli utenti di creare, modificare e visualizzare i gruppi di distribuzione e di modificare, visualizzare, rimuovere e aggiungere membri ai gruppi di distribuzione di cui sono proprietari. |
| MyMailSubscription | Il MyMailSubscription ruolo consente ai singoli utenti di visualizzare e modificare le impostazioni della sottoscrizione di posta elettronica, ad esempio il formato del messaggio e le impostazioni predefinite del protocollo. |
| Informazioni profilo personale | Il MyProfileInformation ruolo di gestione consente ai singoli utenti di modificare il nome. |
| MyRetentionPolicies | Il MyRetentionPolicies ruolo di gestione consente ai singoli utenti di visualizzare i tag di conservazione e di visualizzare e modificare le impostazioni e le impostazioni predefinite dei tag di conservazione. |
| MyTextMessaging | Il MyTextMessaging ruolo di gestione consente ai singoli utenti di creare, visualizzare e modificare le impostazioni di messaggistica di testo. |
| MyVoiceMail | Il MyVoiceMail ruolo di gestione consente ai singoli utenti di visualizzare e modificare le impostazioni della segreteria telefonica. |
| App ReadWriteMailbox personali | Il My ReadWriteMailbox Apps ruolo di gestione consente agli utenti di installare app con autorizzazioni ReadWriteMailbox. |
| App personalizzate | Il My Custom Apps ruolo di gestione consente agli utenti di visualizzare e modificare le app personalizzate. |