Разрешения при гибридных развертываниях Exchange

  • Статья

Exchange Online в Microsoft 365 или Office 365 организации основана на Exchange Server и, как и в локальных организациях, она также использует контроль доступа на основе ролей (RBAC) для управления разрешениями. Администраторам разрешения предоставляются с помощью групп ролей управления, в то время как пользователи наделяются разрешениями на основе политик назначения ролей управления.

Дополнительные сведения о разрешениях в Exchange Online и локальной среде Exchange см. в статье разрешения Exchange Server и разрешения компонентов в Exchange Online.

Разрешения администратора

По умолчанию пользователь, который использовался для создания Office 365 организации, становится членом группы ролей "Управление организацией" в Exchange Online организации. Этот пользователь может управлять всей Exchange Online организацией, включая настройку параметров на уровне организации и управление получателями Exchange Online.

В Exchange Online организации можно добавить дополнительных администраторов в зависимости от того, каким образом необходимо управлять. Например, можно добавить других администраторов организации и администраторов получателей, разрешить специализированным пользователям выполнять такие задачи соответствия, как обнаружение, настройка пользовательских разрешений и многое другое. Все Exchange Online управление разрешениями для администраторов Microsoft 365 и Office 365 должно выполняться в Exchange Online организации с помощью Центра администрирования Exchange (EAC) или Exchange Online PowerShell.

Важно!

Передача разрешений между локальной организацией и Microsoft 365 или Office 365 организацией не осуществляется. Разрешения, определенные в локальной организации, должны быть повторно созданы в Microsoft 365 или Office 365 организации.

Дополнительные сведения см. в разделах Manage Role Groups и Manage Role Group Members.

Делегирование разрешений для почтовых ящиков

В локальных развертываниях Exchange пользователям предоставляются различные разрешения для почтовых ящиков других пользователей. Это называется делегированными разрешениями почтового ящика, и это полезно, когда административному помощник необходимо управлять какой-то частью почтового ящика другого пользователя, например, управлять календарем руководителя. Гибридные развертывания Exchange поддерживают использование некоторых( но не всех) разрешений почтовых ящиков между почтовыми ящиками, расположенными в локальной организации Exchange, и почтовыми ящиками, расположенными в Microsoft 365 или Office 365. В следующих разделах подробно описано, какие разрешения поддерживаются и не поддерживаются. другие конфигурации, необходимые для поддержки разрешений гибридного почтового ящика; и как синхронизируются разрешения почтового ящика между локальной организацией и Microsoft 365 или Office 365.

Разрешения почтовых ящиков в гибридных средах

Не все разрешения почтовых ящиков полностью поддерживаются в гибридной среде Exchange.

Разрешения для почтовых ящиков, поддерживаемые в гибридных средах

  • Полный доступ. Почтовому ящику на локальном сервере Exchange Server можно предоставить разрешение на полный доступ к почтовому ящику Microsoft 365 или Office 365, и наоборот. Например, почтовому ящику Microsoft 365 или Office 365 можно предоставить разрешение на полный доступ к локальному общему почтовому ящику. Пользователям необходимо открыть почтовый ящик с помощью классического клиента Outlook. Разрешения для разных почтовых ящиков не полностью поддерживаются в Outlook в Интернете. Пользователи могут использовать Открыть другой почтовый ящик в Outlook в Интернете, чтобы открыть другие почтовые ящики, где у них есть разрешение на полный доступ. Однако при этом создается ссылка перенаправления и запрос учетных данных, прежде чем пользователь сможет получить доступ к почтовому ящику.

    Примечание.

    Пользователи могут получать дополнительные запросы учетных данных при первом доступе к почтовому ящику, который находится в другой организации, и добавить его в свой профиль Outlook.

  • Отправить от имени. Почтовому ящику на локальном сервере Exchange Server можно предоставить разрешение Отправить от имени в почтовый ящик Microsoft 365 или Office 365, и наоборот. Например, почтовому ящику Microsoft 365 или Office 365 можно предоставить разрешение Отправить от имени в локальный общий почтовый ящик. Пользователям необходимо открыть почтовый ящик с помощью классического клиента Outlook; Разрешения для меж локальных почтовых ящиков не поддерживаются в Outlook в Интернете.

    Некоторые изменения необходимы на сервере Microsoft Entra Connect для разрешения отправки от имени для синхронизации между локальными серверами Exchange Server и Exchange Online. Дополнительные сведения см. в разделе Включение поддержки разрешений гибридных почтовых ящиков в Microsoft Entra Connect далее в этой статье.

  • Частные элементы. При предоставлении разрешения на полный доступ к почтовому ящику можно решить, следует ли разрешить делегату просматривать частные элементы (частные собрания, встречи, контакты или задачи) в почтовом ящике.

    Чтобы предоставить делегату общий доступ к закрытым элементам, выполните следующую процедуру в Outlook:

    1. Перейдите враздел Параметры учетной записифайлов>: делегирование доступа>

      Параметр делегирования доступа в Outlook.

    2. В следующем окне щелкните Добавить. Появится новое меню со списком пользователей в вашей организации. Выберите делегата и нажмите кнопку ОК.

    3. Появится следующее изображение, на котором можно установить соответствующий флажок, чтобы предоставить делегату общий доступ к частным элементам.

      Делегат может просмотреть параметр мои личные элементы в Outlook.

Дополнительные сведения см. в статье Общие сведения о делегировании в гибридной среде Office 365.

Разрешения и возможности почтовых ящиков НЕ поддерживаются в гибридных средах

  • Отправить как. Позволяет пользователю отправлять почту так, как будто она поступает из почтового ящика другого пользователя. Microsoft Entra Connect не синхронизирует автоматически разрешение "Отправить как" между локальной средой Exchange и Microsoft 365 или Office 365, поэтому разрешения "Отправить как" для разных пользователей не поддерживаются. Однако отправка как будет работать в большинстве сценариев, если вручную добавить разрешения "Отправить как" в обеих средах с помощью командной консоли Exchange для локальной среды Exchange и Exchange Online PowerShell для Microsoft 365 или Office 365.

    Например, вы хотите предоставить разрешение "Отправить как" для локального почтового ящика с именем ONPREM1 на имя облачного почтового ящика EXO1.

    Выполните следующую команду в командной консоли Exchange на локальном сервере Exchange Server:

    Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"

Подробные сведения о синтаксисе и параметрах см. в разделе Add-ADPermission.

Затем выполните соответствующую команду в Exchange Online PowerShell:

Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs

Подробные сведения о синтаксисе и параметрах см. в разделе Add-RecipientPermission.

Примечание.

Разрешение Отправить как также требуется для соответствия требованиям локального сервера Exchange Server и Microsoft Entra Connect, приведенным в следующих двух разделах.

  • Автоматическое сопоставление. Позволяет Outlook автоматически открывать все почтовые ящики, к которым пользователь получил полный доступ при запуске. (Обратите внимание, что автоматическое сопоставление будет работать только для отдельных пользователей, которым предоставлены соответствующие разрешения, и не будет работать ни для какой группы.)

  • Разрешения для папок. Предоставляет доступ к содержимому определенной папки.

Почтовые ящики, получающие эти разрешения от другого почтового ящика, необходимо переместить вместе с ним. Если почтовый ящик получает разрешения от нескольких почтовых ящиков, все эти почтовые ящики (получающий и предоставляющие) необходимо переместить одновременно. Дополнительные сведения см. на странице https://support.microsoft.com/help/3064053.

Настройка поддержки гибридных разрешений для почтовых ящиков на локальных серверах Exchange Server

Чтобы включить разрешения полного доступа и отправки от имени в гибридном развертывании, могут потребоваться дополнительные изменения конфигурации в зависимости от установленной версии Exchange. В следующей таблице показано, какие версии Exchange поддерживают делегированные разрешения почтового ящика в гибридном развертывании с Microsoft 365 или Office 365 и какая дополнительная настройка необходима. Инструкции по настройке поддержки ACL для серверов и почтовых ящиков Exchange 2013 и Exchange 2010 см. в статье Configure Exchange to support delegated mailbox permissions in a hybrid deployment.

Версия Exchange Предварительные требования
Exchange 2016 Включите синхронизацию объектов ACLable на уровне организации.
Вручную включите списки управления доступом для каждого почтового ящика, перемещенного в Microsoft 365 или Office 365 до включения синхронизации объектов ACLable на уровне организации.
Дополнительная настройка почтовых ящиков, перемещаемых в Microsoft 365 или Office 365 после включения синхронизации объектов ACLable на уровне организации, не требуется.
Exchange 2013 На серверах Exchange Server 2013 должны выполняться указанные ниже условия.
  • Установлен последний или предыдущий накопительный пакет обновления (CU). Серверы Exchange Server 2013 с более ранними накопительными пакетами обновления не поддерживаются и могут не работать с делегированными разрешениями для почтовых ящиков в гибридном развертывании.
  • Организация Exchange настроена так, чтобы списки управления доступом (ACL) помекались на почтовых объектах и синхронизирулись с Microsoft 365 или Office 365.
  • Локальные удаленные почтовые ящики, связанные с почтовыми ящиками, перемещенными в Microsoft 365 или Office 365 до Exchange 2013 CU10, необходимо вручную настроить для поддержки списков управления доступом. Удаленные почтовые ящики, созданные на серверах под управлением Exchange 2013 с накопительным пакетом обновления 10 (CU10) или более поздней версии после того, как в организации Exchange было разрешено использование ACL, настраиваются автоматически.
Exchange 2010 Больше не поддерживается.
Ранее локальные удаленные почтовые ящики, связанные с Microsoft 365 или Office 365 почтовыми ящиками, необходимо было настроить для поддержки списков управления доступом. Это необходимо было сделать для каждого локального удаленного почтового ящика, связанного с почтовым ящиком Microsoft 365 или Office 365.
Exchange 2007 или более ранней версии Не поддерживается.

Включение поддержки разрешений для гибридных почтовых ящиков в Microsoft Entra Connect

Помимо настройки локальных серверов Exchange, необходимо также убедиться, что сервер Microsoft Entra Connect (Microsoft Entra Connect) настроен для синхронизации разрешений гибридного почтового ящика. Вот что необходимо сделать, чтобы убедиться, что сервер Microsoft Entra Connect готов к поддержке этих разрешений:

  • Обновление Microsoft Entra Connect: Microsoft Entra Connect необходимо обновить как минимум до версии 1.1.553.0. Последнюю версию Microsoft Entra Connect можно скачать на странице Microsoft Entra Connect.

  • Включение гибридного использования Exchange в Microsoft Entra Connect. Чтобы синхронизировать атрибуты, которые включают разрешения гибридных почтовых ящиков (в частности, разрешение Отправить от имени), необходимо убедиться, что параметр конфигурации гибридного развертывания Exchange включен в Microsoft Entra Connect. Сведения о том, как снова запустить мастер установки Microsoft Entra Connect для обновления конфигурации, проверка Microsoft Entra Connect Sync: Запуск мастера установки во второй раз

Разрешения для конечных пользователей

Как и в случае с разрешениями администратора, конечным пользователям в Exchange Online могут быть предоставлены разрешения. По умолчанию они предоставляются пользователям через политику назначения ролей по умолчанию. Эта политика применяется ко всем почтовым ящикам в Exchange Online организации. Если предоставляемых по умолчанию разрешений оказывается достаточно, то ничего менять не требуется.

Если вы хотите настроить разрешения конечных пользователей, можно либо изменить существующую политику назначения ролей по умолчанию, либо создать новые политики назначений. При создании нескольких политик назначения можно назначать различные политики для различных групп почтовых ящиков, что позволяет управлять разрешениями, предоставленными каждой группе, в зависимости от их требований. Все управление разрешениями для Exchange Online конечных пользователей должно выполняться в Exchange Online организации с помощью центра администрирования EAC или Exchange Online PowerShell.

Как и разрешения администратора, разрешения конечных пользователей не передаются между локальной организацией и Exchange Online организацией. Все разрешения, определенные в локальной организации, должны быть повторно созданы в Exchange Online организации.

Дополнительные сведения см. в разделах Manage Role Assignment Policies и Change the Assignment Policy on a Mailbox.

В следующей таблице перечислены разрешения, предоставляемые политиками назначения ролей по умолчанию в организации Exchange Online.

Роль управления Описание
MyTeamMailboxes Роль MyTeamMailboxes управления позволяет отдельным пользователям создавать почтовые ящики сайтов и подключать их к сайтам Microsoft SharePoint.
Мои приложения из Marketplace Роль My Marketplace Apps управления позволяет отдельным пользователям просматривать и изменять приложения Microsoft Office Marketplace.
MyBaseOptions Роль MyBaseOptions управления позволяет отдельным пользователям просматривать и изменять базовую конфигурацию собственного почтового ящика и связанных параметров.
MyContactInformation Роль MyContactInformation управления позволяет отдельным пользователям изменять свои контактные данные, включая адреса и номера телефонов.
MyDistributionGroupMembership Роль MyDistributionGroupMembership управления позволяет отдельным пользователям просматривать и изменять свое членство в группах рассылки в организации, если эти группы рассылки позволяют управлять членством в группах.
MyDistributionGroups Роль MyDistributionGroups управления позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять участников в группы рассылки, владеют ими.
MyMailSubscription Роль MyMailSubscription позволяет отдельным пользователям просматривать и изменять параметры подписки на электронную почту, такие как формат сообщений и параметры протокола по умолчанию.
MyProfileInformation Роль MyProfileInformation управления позволяет отдельным пользователям изменять свое имя.
MyRetentionPolicies Роль MyRetentionPolicies управления позволяет отдельным пользователям просматривать теги хранения, а также просматривать и изменять параметры тегов хранения и значения по умолчанию.
MyTextMessaging Роль MyTextMessaging управления позволяет отдельным пользователям создавать, просматривать и изменять параметры обмена текстовыми сообщениями.
MyVoiceMail Роль MyVoiceMail управления позволяет отдельным пользователям просматривать и изменять параметры голосовой почты.
Мои приложения ReadWriteMailbox Роль My ReadWriteMailbox Apps управления позволяет пользователям устанавливать приложения с разрешениями ReadWriteMailbox.
Мои пользовательские приложения Роль My Custom Apps управления позволяет пользователям просматривать и изменять пользовательские приложения.