Exchange 混合式部署中的權限
Microsoft 365 或 Office 365 組織中的 Exchange Online 是以 Exchange Server 為基礎,而且與內部部署組織一樣,也會使用角色型 存取控制 (RBAC) 來控制許可權。 系統管理員是透過管理角色群組獲得權限,而使用者則是透過管理角色指派原則獲得權限。
若要深入瞭解 Exchange Online 和內部部署 Exchange 中的許可權,請參閱:Exchange Server 權限和 Exchange Online 中的功能許可權。
系統管理員權限
根據預設,用來建立 Office 365 組織的用戶會成為 Exchange Online 組織中組織管理角色群組的成員。 此使用者可以管理整個 Exchange Online 組織,包括組織層級設定的設定,以及 Exchange Online 收件者的管理。
您可以在 Exchange Online 組織中新增更多系統管理員,視需要進行的管理而定。 例如,您可以新增其他組織系統管理員和收件者系統管理員、讓專家使用者執行合規性工作,例如探索、設定自定義許可權等等。 Microsoft 365 和 Office 365 系統管理員的所有 Exchange Online 許可權管理都必須使用 Exchange 系統管理中心 (EAC) 或 Exchange Online PowerShell,在 Exchange Online 組織中執行。
重要事項
內部部署組織與 Microsoft 365 或 Office 365 組織之間不會傳輸許可權。 您在內部部署組織中定義的許可權必須在 Microsoft 365 或 Office 365 組織中重新建立。
如需詳細資訊,請參閱Manage Role Groups及Manage Role Group Members。
委派信箱權限
在內部部署 Exchange 部署中,使用者會被授與其他使用者信箱的各種許可權。 這稱為委派信箱許可權,當系統管理 助理 需要管理另一位使用者信箱的某些部分時,這會很有用;例如,管理主管的行事歷。 Exchange 混合式部署支援在位於內部部署 Exchange 組織的信箱與位於 Microsoft 365 或 Office 365 的信箱之間使用部分但並非全部的信箱許可權。 下列各節詳細說明支援和不支援哪些許可權;支援混合式信箱許可權所需的其他設定;以及如何在內部部署組織與 Microsoft 365 或 Office 365 之間同步處理信箱許可權。
混合式環境中的信箱許可權
在 Exchange 混合式環境中,並非所有信箱許可權都受到完整支援。
混合式環境中支援的信箱許可權
完整存取:內部部署 Exchange 伺服器上的信箱可以被授與 Microsoft 365 或 Office 365 信箱的完整存取權,反之亦然。 例如,Microsoft 365 或 Office 365 信箱可以被授與內部部署共用信箱的完整存取權。 用戶必須使用 Outlook 桌面客戶端開啟信箱。 Outlook 網頁版 不完全支援跨單位信箱許可權。 用戶可以在 Outlook 網頁版 中使用 [開啟另一個信箱] 來開啟具有 [完整存取權] 許可權的其他信箱。 不過,這會先產生重新導向鏈接和認證提示,使用者才能存取信箱。
注意事項
當使用者第一次存取位於其他組織的信箱,並將其新增至其 Outlook 配置檔時,可能會收到其他認證提示。
代表傳送:內部部署 Exchange 伺服器上的信箱可以被授與 Microsoft 365 或 Office 365 信箱的代理傳送許可權,反之亦然。 例如,Microsoft 365 或 Office 365 信箱可以授與內部部署共用信箱的代理傳送許可權。 用戶必須使用 Outlook 桌面用戶端開啟信箱;Outlook 網頁版 不支援跨單位信箱許可權。
您的 Microsoft Entra Connect 伺服器需要進行一些變更,才能在內部部署 Exchange 伺服器與 Exchange Online 之間進行同步處理。 如需詳細資訊,請參閱本文稍後的在 Microsoft Entra Connect 中啟用混合式信箱許可權的支援一節。
私人專案:當您將 [完整存取權] 許可權授與信箱時,您可以決定是否要允許委派查看私人專案 (私人會議、約會、聯繫人或工作) 信箱中。
若要與委派共用私人專案,請在 Outlook 中使用下列程式:
移至 [檔案>帳戶設定] [委>派存取權]
在下一個視窗中,按兩下 [ 新增]。 新的功能表隨即出現,以列出組織中的人員。 選取委派,然後按兩下 [ 確定]。
下圖會出現,您可以在其中選取相關的複選框,以與委派共用私人專案。
如需詳細資訊,請參閱 Office 365 混合式環境中的委派概觀。
混合式環境中不支援信箱許可權和功能
傳送身分:讓用戶傳送郵件,就像是來自另一個使用者的信箱一樣。 Microsoft Entra Connect 不會自動同步處理內部部署 Exchange 與 Microsoft 365 或 Office 365 之間的傳送身分許可權,因此不支援跨單位傳送身分許可權。 不過,如果您使用內部部署 Exchange 的 Exchange 管理命令介面,並使用適用於 Microsoft 365 或 Office 365 的 Exchange Online PowerShell,在兩個環境中手動新增傳送身分許可權,傳送身分會在大部分情況下運作。
例如,您想要將名為 ONPREM1 的內部部署信箱傳送為許可權授與雲端信箱名稱 EXO1。
在內部部署 Exchange 伺服器上的 Exchange 管理命令介面中執行下列命令:
Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
如需詳細的語法和參數資訊,請參閱 Add-ADPermission。
然後在 Exchange Online PowerShell 中執行對應的命令:
Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs
如需詳細的語法和參數資訊,請參閱 Add-RecipientPermission。
注意事項
您也需要傳送身分許可權,才能符合內部部署 Exchange 伺服器,並在接下來兩節中 Microsoft Entra 連線需求。
自動對應:讓 Outlook 在啟動時自動開啟任何已授與使用者 完整存取權 的信箱。 (請注意,自動對應僅適用於獲授與適當許可權的個別使用者,且不適用於任何類型的 group.)
資料夾許可權:授與特定資料夾內容的存取權。
從另一個信箱接收這些許可權的任何信箱,都必須與授與信箱同時移動。 如果信箱從多個信箱接收權限,則該信箱與所有將權限授與它的信箱必須同時移動。 如需詳細資訊,請參閱 https://support.microsoft.com/help/3064053。
設定內部部署 Exchange 伺服器以支援混合式信箱許可權
若要在混合式部署中啟用「完整存取」和「代理傳送」許可權,根據您已安裝的 Exchange 版本,可能需要進行更多設定變更。 下表顯示哪些版本的 Exchange 支援 Microsoft 365 或 Office 365 混合式部署中的委派信箱許可權,以及需要哪些額外的設定。 如需如何設定 Exchange 2013 和 2010 伺服器和信箱以支援 ACL 的步驟,請參閱設定 Exchange 以支援混合式部署中的委派信箱許可權。
| Exchange 版本 | 必要條件 |
|---|---|
| Exchange 2016 | 在組織層級啟用 ACLable 物件同步處理。 在組織層級啟用 ACLable 物件同步處理之前,手動在每個移至 Microsoft 365 或 Office 365 的信箱上啟用 ACL。 在組織層級啟用 ACLable 物件同步處理之後,移至 Microsoft 365 或 Office 365 的信箱不需要額外的設定。 |
| Exchange 2013 | Exchange 2013 伺服器需要下列專案:
|
| Exchange 2010 | 不再支援。 先前,與 Microsoft 365 或 Office 365 信箱相關聯的內部部署遠端信箱必須設定為支援 ACL。 您必須針對與 Microsoft 365 或 Office 365 信箱相關聯的每個內部部署遠端信箱完成此動作。 |
| Exchange 2007 或更舊版本 | 不支援。 |
在 Microsoft Entra Connect 中啟用混合式信箱許可權的支援
除了設定內部部署 Exchange 伺服器之外,您也必須確定已設定 Microsoft Entra Connect (Microsoft Entra Connect) 伺服器來同步處理混合式信箱許可權。 以下是您需要執行的動作,以確保您的 Microsoft Entra Connect 伺服器已準備好支持這些許可權:
升級 Microsoft Entra 連線:Microsoft Entra Connect 必須至少升級至 1.1.553.0 版。 您可以從 Microsoft Entra Connect 下載最新版的 Microsoft Entra Connect。
在 Microsoft Entra Connect 中啟用 Exchange Hybrid:若要同步處理啟用混合式信箱許可權的屬性 (特別是[傳送代理者] 許可權) ,您必須確定已在 Microsoft Entra Connect 中啟用 Exchange 混合式部署設定選項。 如需如何再次執行 Microsoft Entra Connect 安裝精靈以更新其設定的詳細資訊,請參閱 Microsoft Entra 連線同步:再次執行安裝精靈
使用者權限
如同系統管理員許可權,Exchange Online 中的使用者可以被授與許可權。 根據預設,使用者的權限是透過預設角色指派原則授與。 此原則會套用至 Exchange Online 組織中的每個信箱。 如果預設授與的權限就已足夠,您就不需要進行任何變更。
如果您想要自定義終端用戶許可權,您可以修改現有的預設角色指派原則,也可以建立新的指派原則。 如果您建立多個指派原則,可以將不同的原則指派給不同的信箱群組,如此可讓您根據需求控制授與每一個群組的權限。 Exchange Online 使用者的所有許可權管理都必須使用EAC或 Exchange Online PowerShell 在 Exchange Online 組織中執行。
如同系統管理員許可權,內部部署組織與 Exchange Online 組織之間不會傳輸用戶權力。 您在內部部署組織中定義的任何許可權都必須在 Exchange Online 組織中重新建立。
如需詳細資訊,請參閱Manage Role Assignment Policies及Change the Assignment Policy on a Mailbox。
下表列出 Exchange Online 組織中預設角色指派原則所授與的許可權。
| 管理角色 | 說明 |
|---|---|
| MyTeamMailboxes | 管理 MyTeamMailboxes 角色可讓個別使用者建立網站信箱,並將其連線至 Microsoft SharePoint 網站。 |
| My Marketplace Apps | 管理 My Marketplace Apps 角色可讓個別用戶檢視和修改其 Microsoft Office Marketplace 應用程式。 |
| MyBaseOptions | 管理 MyBaseOptions 角色可讓個別用戶檢視和修改自己信箱和相關聯設定的基本設定。 |
| MyContactInformation | 管理 MyContactInformation 角色可讓個別使用者修改其連絡資訊,包括地址和電話號碼。 |
| MyDistributionGroupMembership | MyDistributionGroupMembership如果這些通訊群組允許管理群組成員資格,管理角色可讓個別用戶檢視及修改其在組織中通訊群組中的成員資格。 |
| MyDistributionGroups | 管理 MyDistributionGroups 角色可讓個別使用者建立、修改和檢視通訊群組,以及修改、檢視、移除成員,以及將成員新增至他們擁有的通訊群組。 |
| MyMailSubscription | 角色 MyMailSubscription 可讓個別用戶檢視和修改其電子郵件訂閱設定,例如訊息格式和通訊協定預設值。 |
| MyProfileInformation | 管理 MyProfileInformation 角色可讓個別使用者修改其名稱。 |
| MyRetentionPolicies | 管理 MyRetentionPolicies 角色可讓個別用戶檢視其保留標記,以及檢視和修改其保留標籤設定和預設值。 |
| MyTextMessaging | 管理 MyTextMessaging 角色可讓個別使用者建立、檢視及修改其簡訊設定。 |
| MyVoiceMail | 管理 MyVoiceMail 角色可讓個別用戶檢視和修改其語音信箱設定。 |
| 我的 ReadWriteMailbox 應用程式 | 管理 My ReadWriteMailbox Apps 角色可讓使用者安裝具有 ReadWriteMailbox 許可權的應用程式。 |
| 我的自訂應用程式 | 管理 My Custom Apps 角色可讓用戶檢視和修改其自定義應用程式。 |