Разрешения при гибридных развертываниях Exchange

 

Применимо к:Exchange Server 2013, Exchange Server 2016

Последнее изменение раздела:2017-06-14

В основе Exchange Online в организации Office 365 лежит Exchange Server. Как и в локальных организациях, для контроля разрешений в этой службе применяется управление доступом на основе ролей (RBAC). Администраторам разрешения предоставляются с помощью групп ролей управления, а пользователям — с помощью политик назначения ролей управления.

Дополнительные сведения о разрешениях в Exchange Online и локальной организации Exchange: Разрешения

По умолчанию пользователь, который использовался для создания клиента Office 365, становится участником группы ролей "Управление организацией" в организации Exchange Online. Этот пользователь может управлять всей организацией Exchange Online, в том числе настраивать параметры на уровне организации и управлять получателями Exchange Online.

В организацию Exchange Online можно добавлять дополнительных администраторов в зависимости от того, какие задачи управления необходимо решить. Например, можно добавить дополнительных администраторов организации и администраторов получателей, разрешить пользователям-специалистам выполнять задачи на соответствие требованиям, таких как обнаружение, настройка настраиваемых разрешений и др. Управление всеми разрешениями Exchange Online для администраторов Office 365 должно выполняться в организации Exchange Online с помощью центра администрирования Exchange (EAC) или удаленной оболочки PowerShell.

ВажноВажно!
Невозможно передать разрешения между локальной организацией и организацией Office 365. Разрешения, определенные в локальной организации, должны повторно создаваться в организации Office 365.

Дополнительные сведения см. в разделах Управление группами ролей и Управление участниками группы ролей.

В локальных средах Exchange пользователям можно предоставлять различные разрешения для доступа к почтовым ящикам других пользователей. Такая функция называется делегированием разрешений для почтового ящика. Она удобна, если помощнику руководителя требуется управлять частью почтового ящика другого пользователя (например, календарем руководителя). Некоторые из этих разрешений можно использовать при гибридных развертываниях Exchange.

В гибридных средах Exchange можно использовать разрешение Полный доступ для почтовых ящиков как локальной организации Exchange, так и организации Office 365. Почтовому ящику на локальном сервере Exchange Server можно предоставить разрешение Полный доступ для доступа к почтовому ящику Office 365, и наоборот. Например, почтовому ящику Office 365 можно предоставить разрешение Полный доступ для доступа к общему почтовому ящику на локальном сервере.

ПримечаниеПримечание.
При этом пользователи могут получить дополнительные запросы на ввод учетных данных, когда будут впервые входить в почтовый ящик из другой организации и добавлять его в профиль Outlook.

Но в гибридных средах не поддерживается использование разрешений Send-As, Receive-As и Send on behalf of для почтовых ящиков в разных организациях (локальной организации Exchange и организации Office 365). Эти разрешения доступны, только если оба почтовых ящика (предоставляющий разрешение и получающий его) принадлежат одной и той же организации. Почтовые ящики, получающие эти разрешения от другого почтового ящика, необходимо переместить вместе с ним. Если почтовый ящик получает разрешения от нескольких почтовых ящиков, все эти почтовые ящики (получающий и предоставляющие) необходимо переместить одновременно. Кроме этих разрешений, также не поддерживается функция автоматического сопоставления для почтовых ящиков из разных организаций (локальной организации Exchange и организации Office 365).

Как и в случае с разрешениями администратора, конечным пользователям Exchange Online могут предоставляться разрешения. По умолчанию они предоставляются пользователям через политику назначения ролей по умолчанию. Эта политика применяется к каждому почтовому ящику в организации Exchange Online. Если предоставляемых по умолчанию разрешений оказывается достаточно, то ничего менять не требуется.

Если все же необходимо настроить разрешения для пользователей, можно изменить существующую политику назначения ролей по умолчанию или создать новые политики назначения. При создании нескольких политик назначения можно назначать различные политики для различных групп почтовых ящиков, что позволяет управлять разрешениями, предоставленными каждой группе, в зависимости от их требований. Управление всеми разрешениями для конечных пользователей в Exchange Online должно выполняться в организации Exchange Online с помощью Центра администрирования Exchange или удаленной оболочки PowerShell.

Аналогично разрешениям администратора, разрешения конечных пользователей не передаются между локальной организацией и организацией Exchange Online. Любые разрешения, определенные в локальной организации, должны повторно создаваться в организации Exchange Online.

Дополнительные сведения см. в разделах Управление политиками назначения ролей и Изменение политики назначения для почтового ящика.

В следующей таблице перечисляются разрешения, предоставляемые политиками назначения ролей по умолчанию в организации Exchange Online.

Политика назначения ролей по умолчанию

Роль управления Описание

MyTeamMailboxes

Роль управления MyTeamMailboxes позволяет отдельным пользователям создавать почтовые ящики сайтов и подключать их к сайтам Microsoft SharePoint.

Мои приложения из Marketplace

Роль управления My Marketplace Apps позволяет отдельным пользователям просматривать и изменять их приложения из Microsoft Office Marketplace.

MyBaseOptions

Для просмотра и изменения базовой конфигурации почтового ящика и связанных параметров можно использовать роль управления MyBaseOptions.

MyContactInformation

Роль управления MyContactInformation позволяет отдельным пользователям изменять их контактную информацию, в том числе адрес и номера телефонов.

MyDistributionGroupMembership

Роль управления MyDistributionGroupMembership позволяет отдельным пользователям отображать и изменять членство в группах рассылки в организации, при условии что эти группы рассылки позволяют производить действия с членством в группе.

MyDistributionGroups

Роль управления MyDistributionGroups позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять членов в принадлежащие им группы рассылки.

MyMailSubscription

Роль MyMailSubscription позволяет пользователям просматривать и изменять параметры подписки на рассылку электронной почты, такие как формат сообщений и протоколы по умолчанию.

MyProfileInformation

Роль управления MyProfileInformation позволяет отдельным пользователям изменять свои имена.

MyRetentionPolicies

Роль управления MyRetentionPolicies позволяет отдельным пользователям просматривать свои теги хранения, а также просматривать и изменять параметры тегов хранения и параметры по умолчанию.

MyTextMessaging

Эта роль управления MyTextMessaging позволяет пользователям создавать, просматривать и изменять собственные параметры обмена текстовыми сообщениями.

MyVoiceMail

Пользователи могут использовать роль управления MyVoiceMail для просмотра и изменения параметров голосовой почты.

Мои приложения ReadWriteMailbox

Роль управления My ReadWriteMailbox Apps позволяет пользователям устанавливать приложения с разрешениями ReadWriteMailbox.

Мои пользовательские приложения

Роль управления My Custom Apps позволяет пользователям просматривать и изменять свои пользовательские приложения.

 
Показ: