Разрешения при гибридных развертываниях Exchange

 

Применимо к:Exchange Server 2013, Exchange Server 2016

Последнее изменение раздела:2017-06-14

В основе Exchange Online в организации Office 365 лежит Exchange Server. Как и в локальных организациях, для контроля разрешений в этой службе применяется управление доступом на основе ролей (RBAC). Администраторам разрешения предоставляются с помощью групп ролей управления, а пользователям — с помощью политик назначения ролей управления.

Дополнительные сведения о разрешениях в Exchange Online и локальной организации Exchange: Разрешения

По умолчанию пользователь, который использовался для создания клиента Office 365, становится участником группы ролей "Управление организацией" в организации Exchange Online. Этот пользователь может управлять всей организацией Exchange Online, в том числе настраивать параметры на уровне организации и управлять получателями Exchange Online.

В организацию Exchange Online можно добавлять дополнительных администраторов в зависимости от того, какие задачи управления необходимо решить. Например, можно добавить дополнительных администраторов организации и администраторов получателей, разрешить пользователям-специалистам выполнять задачи на соответствие требованиям, таких как обнаружение, настройка настраиваемых разрешений и др. Управление всеми разрешениями Exchange Online для администраторов Office 365 должно выполняться в организации Exchange Online с помощью центра администрирования Exchange (EAC) или удаленной оболочки PowerShell.

ВажноВажно!
Невозможно передать разрешения между локальной организацией и организацией Office 365. Разрешения, определенные в локальной организации, должны повторно создаваться в организации Office 365.

Дополнительные сведения см. в разделах Управление группами ролей и Управление участниками группы ролей.

В локальных развертываниях Exchange пользователям можно предоставлять различные разрешения для доступа к почтовым ящикам других пользователей. Они называются делегированными разрешениями доступа. Их удобно использовать, если помощнику администратора нужно управлять той или иной частью почтового ящика другого пользователя, например календарем руководителя. Гибридные развертывания Exchange поддерживают использование некоторых (но не всех) разрешений для почтовых ящиков, находящихся в организации Exchange и в Office 365. В следующих разделах подробно описываются поддерживаемые и неподдерживаемые разрешения, дополнительная настройка, необходимая для поддержки гибридных разрешений для почтовых ящиков, а также способ синхронизации разрешений для почтовых ящиков между локальной организацией и Office 365.

Следующие разрешения поддерживаются:

  • Полный доступ. Почтовому ящику или локальному серверу Exchange можно предоставить разрешение Полный доступ для почтового ящика Office 365, и наоборот. Например, почтовому ящику Office 365 можно предоставить разрешение Полный доступ для локального общего почтового ящика. Пользователям потребуется открыть почтовый ящик с помощью классического клиента Outlook. Распределенные разрешения для почтовых ящиков не поддерживаются в Outlook в Интернете.

    ПримечаниеПримечание.
    При этом пользователи могут получить дополнительные запросы на ввод учетных данных, когда будут впервые входить в почтовый ящик из другой организации и добавлять его в профиль Outlook.
  • Отправить от имени. Почтовому ящику или локальному серверу Exchange можно предоставить разрешение Отправить от имени для почтового ящика Office 365, и наоборот. Например, почтовому ящику Office 365 можно предоставить разрешение Отправить от имени для локального общего почтового ящика. Пользователям потребуется открыть почтовый ящик с помощью классического клиента Outlook. Распределенные разрешения для почтовых ящиков не поддерживаются в Outlook в Интернете.

    Чтобы разрешения "Отправить от имени" синхронизировались между локальными серверами Exchange Server и Exchange Online, необходимы некоторые изменения на сервере Azure Active Directory Connect. Дополнительные сведения см. в разделе Включение поддержки гибридных разрешений для почтовых ящиков в Azure Active Directory Connect далее в этой статье.

Следующие разрешения или возможности не поддерживаются:

  • Send-As . Позволяет пользователю отправлять сообщения так, будто они отправлены из почтового ящика другого пользователя.

  • Folder permissions Grants access to the contents of a particular folder.

  • Частные элементы. При добавлении представителя можно настроить этот параметр, чтобы пользователь с разрешениями для папки мог просматривать частные элементы календаря. Это поддерживается только при наличии разрешений "Полный доступ".

  • Автоматическое сопоставление. Позволяет приложению Outlook при запуске автоматически открывать любые почтовые ящики, для которых пользователю предоставлено разрешение Полный доступ.

Почтовые ящики, получающие эти разрешения от другого почтового ящика, необходимо переместить вместе с ним. Если почтовый ящик получает разрешения от нескольких почтовых ящиков, все эти почтовые ящики (получающий и предоставляющие) необходимо переместить одновременно.

Чтобы включить разрешения "Полный доступ" и "Отправить от имени" в гибридном развертывании, могут потребоваться дополнительные изменения конфигурации в зависимости от установленной версии Exchange. В приведенной ниже таблице показано, какие версии Exchange поддерживают делегированные разрешения для почтовых ящиков в гибридном развертывании с Office 365 и какая дополнительная настройка требуется. Инструкции по настройке поддержки ACL для серверов и почтовых ящиков Exchange 2013 и Exchange 2010 см. в статье Настройка Exchange для поддержки делегированных разрешений почтовых ящиков в гибридном развертывании.

 

Версия Exchange Необходимые компоненты

Exchange 2016

Дополнительная настройка не требуется.

Exchange 2013

На серверах Exchange Server 2013 должны выполняться указанные ниже условия.

  • Установлен последний или предыдущий накопительный пакет обновления (CU). Серверы Exchange Server 2013 с более ранними накопительными пакетами обновления не поддерживаются и могут не работать с делегированными разрешениями для почтовых ящиков в гибридном развертывании.

  • В организации Exchange разрешено применять списки управления доступом (ACL) к почтовым объектам и синхронизировать их с Office 365.

  • Локальные удаленные почтовые ящики, которые связаны с почтовыми ящиками, перемещенными в Office 365 до установки Exchange 2013 с накопительным пакетом обновления 10 (CU10), необходимо вручную настроить на поддержку ACL. Удаленные почтовые ящики, созданные на серверах под управлением Exchange 2013 с накопительным пакетом обновления 10 (CU10) или более поздней версии после того, как в организации Exchange было разрешено использование ACL, настраиваются автоматически.

Exchange 2010

На серверах Exchange Server 2010 с пакетом обновления 3 (SP3) должны выполняться указанные ниже условия.

  • Установлен последний или предыдущий накопительный пакет обновления (RU). Серверы Exchange Server 2010 с пакетом обновления 3 (SP3) и более ранними накопительными пакетами обновления не поддерживаются и могут не работать с делегированными разрешениями для почтовых ящиков в гибридном развертывании.

  • В локальной среде удаленные почтовые ящики, связанные с почтовыми ящиками Office 365, необходимо настроить на поддержку ACL. Это необходимо сделать для каждого удаленного почтового ящика в локальной среде, который связан с почтовым ящиком Office 365.

Exchange 2007 или более ранней версии

Не поддерживается.

Необходимо не только настроить локальные серверы Exchange Server, но и убедиться, что сервер Azure Active Directory Connect (AAD Connect) настроен на синхронизацию гибридных разрешений для почтовых ящиков. Чтобы гарантировать, что сервер AAD Connect готов к поддержке этих разрешений, выполните указанные ниже действия.

  • Обновите AAD Connect. Необходимо обновить AAD Connect до версии не ниже 1.1.552.0. Вы можете скачать последнюю версию AAD Connect на странице Microsoft Azure Active Directory Connect.

  • Включите гибридное развертывание Exchange в AAD Connect. Чтобы синхронизировать атрибуты, включающие гибридные разрешения для почтовых ящиков (в частности, разрешение "Отправить от имени"), необходимо убедиться, что в AAD Connect включен параметр Гибридное развертывание Exchange. Сведения о том, как снова запустить мастер установки AAD Connect для обновления его конфигурации, см. в статье Синхронизация Azure AD Connect sync: повторный запуск мастера установки

Как и в случае с разрешениями администратора, конечным пользователям Exchange Online могут предоставляться разрешения. По умолчанию они предоставляются пользователям через политику назначения ролей по умолчанию. Эта политика применяется к каждому почтовому ящику в организации Exchange Online. Если предоставляемых по умолчанию разрешений оказывается достаточно, то ничего менять не требуется.

Если все же необходимо настроить разрешения для пользователей, можно изменить существующую политику назначения ролей по умолчанию или создать новые политики назначения. При создании нескольких политик назначения можно назначать различные политики для различных групп почтовых ящиков, что позволяет управлять разрешениями, предоставленными каждой группе, в зависимости от их требований. Управление всеми разрешениями для конечных пользователей в Exchange Online должно выполняться в организации Exchange Online с помощью Центра администрирования Exchange или удаленной оболочки PowerShell.

Аналогично разрешениям администратора, разрешения конечных пользователей не передаются между локальной организацией и организацией Exchange Online. Любые разрешения, определенные в локальной организации, должны повторно создаваться в организации Exchange Online.

Дополнительные сведения см. в разделах Управление политиками назначения ролей и Изменение политики назначения для почтового ящика.

В следующей таблице перечисляются разрешения, предоставляемые политиками назначения ролей по умолчанию в организации Exchange Online.

Политика назначения ролей по умолчанию

Роль управления Описание

MyTeamMailboxes

Роль управления MyTeamMailboxes позволяет отдельным пользователям создавать почтовые ящики сайтов и подключать их к сайтам Microsoft SharePoint.

Мои приложения из Marketplace

Роль управления My Marketplace Apps позволяет отдельным пользователям просматривать и изменять их приложения из Microsoft Office Marketplace.

MyBaseOptions

Для просмотра и изменения базовой конфигурации почтового ящика и связанных параметров можно использовать роль управления MyBaseOptions.

MyContactInformation

Роль управления MyContactInformation позволяет отдельным пользователям изменять их контактную информацию, в том числе адрес и номера телефонов.

MyDistributionGroupMembership

Роль управления MyDistributionGroupMembership позволяет отдельным пользователям отображать и изменять членство в группах рассылки в организации, при условии что эти группы рассылки позволяют производить действия с членством в группе.

MyDistributionGroups

Роль управления MyDistributionGroups позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять членов в принадлежащие им группы рассылки.

MyMailSubscription

Роль MyMailSubscription позволяет пользователям просматривать и изменять параметры подписки на рассылку электронной почты, такие как формат сообщений и протоколы по умолчанию.

MyProfileInformation

Роль управления MyProfileInformation позволяет отдельным пользователям изменять свои имена.

MyRetentionPolicies

Роль управления MyRetentionPolicies позволяет отдельным пользователям просматривать свои теги хранения, а также просматривать и изменять параметры тегов хранения и параметры по умолчанию.

MyTextMessaging

Эта роль управления MyTextMessaging позволяет пользователям создавать, просматривать и изменять собственные параметры обмена текстовыми сообщениями.

MyVoiceMail

Пользователи могут использовать роль управления MyVoiceMail для просмотра и изменения параметров голосовой почты.

Мои приложения ReadWriteMailbox

Роль управления My ReadWriteMailbox Apps позволяет пользователям устанавливать приложения с разрешениями ReadWriteMailbox.

Мои пользовательские приложения

Роль управления My Custom Apps позволяет пользователям просматривать и изменять свои пользовательские приложения.

 
Показ: