Gestion des autorisations des destinataires
Dans Exchange Server, vous pouvez utiliser le Centre d’administration Exchange (EAC) ou l’Exchange Management Shell pour attribuer des autorisations à une boîte aux lettres ou à un groupe afin que les autres utilisateurs peuvent accéder à la boîte aux lettres (autorisation Accès total) ou envoyer des messages électroniques qui semblent provenant de la boîte aux lettres ou du groupe (autorisations Envoyer en tant que ou Envoyer de la part de). Les utilisateurs auxquels sont attribués ces autorisations sur les autres boîtes aux lettres ou groupes sont appelés délégués.
Les autorisations que vous pouvez attribuer aux délégués pour les boîtes aux lettres et les groupes dans Exchange Server sont décrites dans le tableau suivant :
Remarque : bien que vous pouvez utiliser l’Exchange Management Shell pour attribuer une partie ou l’ensemble de ces autorisations à d’autres types de délégués sur d’autres types d’objets destinataires, cette rubrique se concentre sur les types d’objets délégués et destinataires qui produisent des résultats utiles.
| Autorisation | Description | Types de destinataires dans le EAC | Types de destinataires supplémentaires dans PowerShell | Types de délégués dans le EAC | Types de délégués supplémentaires dans PowerShell |
|---|---|---|---|---|---|
| Accès total | Permet au délégué d'ouvrir la boîte aux lettres et d'afficher, d'ajouter et de supprimer le contenu de la boîte aux lettres. N'autorise pas le délégué à envoyer des messages à partir de la boîte aux lettres. Si vous attribuez l’autorisation Accès total à une boîte aux lettres masquée dans les listes d’adresses, le délégué ne pourra pas ouvrir la boîte aux lettres. Par défaut, les boîtes aux lettres de découverte et d'arbitrage sont masquées dans les listes d'adresses. Par défaut, la fonctionnalité de mappage automatique des boîtes aux lettres utilise la découverte automatique pour ouvrir automatiquement la boîte aux lettres dans le profil Outlook du délégué (en plus de leur propre boîte aux lettres). Notez que le mappage automatique ne fonctionne que pour les utilisateurs individuels granted the proper permissions and will not work for any kind of group. Si vous ne souhaitez pas que les boîtes aux lettres soient automatiquement mappées, vous devez prendre l’une des mesures suivantes :
|
Boîtes aux lettres utilisateur Boîtes aux lettres liées Boîtes aux lettres de ressources Boîtes aux lettres partagées |
Boîtes aux lettres d'arbitrage Boîtes aux lettres de détection |
Boîtes aux lettres avec comptes d'utilisateurs Utilisateurs de messagerie avec comptes Groupes de sécurité à extension messagerie |
Comptes d'utilisateurs qui ne sont pas à extension messagerie. Groupes de sécurité de domaine locaux, universels et globaux qui ne sont pas à extension messagerie. |
| Envoyer en tant que | Permet au délégué d'envoyer des messages comme s'ils provenaient directement de la boîte aux lettres ou du groupe. Aucun élément n'indique que le message a été envoyé par le délégué. N'autorise pas le délégué à lire le contenu de la boîte aux lettres. Si vous attribuez l’autorisation Envoyer en tant que à une boîte aux lettres masquée dans les listes d’adresses, le délégué ne pourra pas envoyer de messages à partir de la boîte aux lettres. |
Boîtes aux lettres utilisateur Boîtes aux lettres liées Boîtes aux lettres de ressources Boîtes aux lettres partagées Groupes de distribution groupes de distribution dynamiques Groupes de sécurité à extension messagerie |
s/o | Boîtes aux lettres avec comptes d'utilisateurs Utilisateurs de messagerie avec comptes Groupes de sécurité à extension messagerie |
s/o |
| Envoyer de la part de | Permet au délégué d'envoyer des messages à partir de la boîte aux lettres ou du groupe. L’adresse De de ces messages indique clairement que le message a été envoyé par le délégué ( » <Delegate> de la part de _<MailboxOrGroup>_« ). Toutefois, les réponses à ces messages sont envoyées à la boîte aux lettres ou au groupe, et non au délégué. N'autorise pas le délégué à lire le contenu de la boîte aux lettres. Si vous attribuez l’autorisation Envoyer de la part de à une boîte aux lettres masquée dans les listes d’adresses, le délégué ne pourra pas envoyer de messages à partir de la boîte aux lettres. |
Boîtes aux lettres utilisateur Boîtes aux lettres liées Boîtes aux lettres de ressources Groupes de distribution groupes de distribution dynamiques Groupes de sécurité à extension messagerie |
Boîtes aux lettres partagées | Boîtes aux lettres avec comptes d'utilisateurs Utilisateurs de messagerie avec comptes Groupes de sécurité à extension messagerie Groupes de distribution |
s/o |
Notes
Si un utilisateur dispose des autorisations Envoyer en tant que et Envoyer de la part de pour une boîte aux lettres ou un groupe, l’autorisation Envoyer en tant que est toujours utilisée.| Boîtes aux lettres utilisateur
Ce qu'il faut savoir avant de commencer
Durée d’exécution estimée de chaque procédure : 2 minutes.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter les procédures de cette rubrique. Pour voir les autorisations qui vous sont nécessaires, consultez l’entrée « Autorisations de mise en service des destinataires » dans la rubrique Autorisations des destinataires .
Pour en savoir plus sur l'ouverture de l'environnement de ligne de commande Exchange Management Shell dans votre organisation Exchange locale, consultez la rubrique Open the Exchange Management Shell.
Les procédures décrites dans cette rubrique requièrent des autorisations spécifiques. Consultez chaque procédure pour savoir quelles autorisations sont nécessaires.
Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.
Conseil
Vous rencontrez des problèmes ? Demandez de l’aide dans les forums Exchange. Accédez aux forums avec les liens suivants : Exchange Server.
Utiliser le CAE pour attribuer des autorisations aux boîtes aux lettres individuelles
Dans le CAE, cliquez sur Destinataires dans le volet des fonctionnalités. Selon le type de boîte aux lettres à laquelle vous souhaitez attribuer des autorisations, cliquez sur l’un des onglets suivants :
Boîtes aux lettres : boîtes aux lettres utilisateur ou liées.
Ressources : boîtes aux lettres de salle ou d’équipement.
Partagé : boîtes aux lettres partagées.
Dans la liste des boîtes aux lettres, sélectionnez la boîte aux lettres pour qui vous souhaitez attribuer des autorisations,
Dans la page de propriétés de la boîte aux lettres qui s'ouvre, cliquez sur Délégation de boîtes aux lettres et configurez une ou plusieurs des autorisations suivantes :
Envoyer en tant que : les messages envoyés par un délégué semblent être issus de la boîte aux lettres.
Envoyer de la part de : les messages envoyés par un délégué ont « <Delegate> de la part de _<Mailbox>_» dans l’adresse de l’expéditeur. Notez que cette autorisation n'est pas disponible dans le CAE pour les boîtes aux lettres partagées.
Accès total : le délégué peut ouvrir la boîte aux lettres et faire quoi que ce soit, sauf envoyer des messages.
Pour attribuer des autorisations aux délégués, cliquez sur Ajouter
sous l’autorisation appropriée. Une boîte de dialogue s'affiche et répertorie les utilisateurs ou les groupes qui peuvent se voir attribuer l'autorisation. Sélectionnez l'utilisateur ou le groupe dans la liste, puis cliquez sur Ajouter. Répétez cette opération autant de fois que nécessaire. Vous pouvez également rechercher des utilisateurs ou des groupes dans la zone de recherche en tapant tout ou partie du nom, puis en cliquant sur l’icône 
. Lorsque vous avez terminé de sélectionner des délégués, cliquez sur OK.Pour supprimer une autorisation d’un délégué, sélectionnez le délégué dans la liste sous l’autorisation appropriée,
Lorsque vous avez terminé, cliquez sur Enregistrer.
Utiliser le CAE pour attribuer des autorisations à plusieurs boîtes aux lettres en même temps
Dans le CAE, accédez à Destinataires > Boîtes aux lettres.
Sélectionnez les boîtes aux lettres auxquelles vous souhaitez attribuer des autorisations. Utilisez la touche MAJ et cliquez pour sélectionner un ensemble de boîtes aux lettres ou utilisez la touche Ctrl et cliquez pour sélectionner plusieurs boîtes aux lettres individuelles. Le titre du volet d'informations affiche Modification en bloc comme illustré dans le diagramme suivant.
Notez que les boîtes aux lettres que vous sélectionnez doivent être du même type. Par exemple, si vous sélectionnez les boîtes aux lettres utilisateur et les boîtes aux lettres liées, vous recevrez un message d'avertissement dans le volet d'informations indiquant que la modification en bloc ne fonctionnera pas.
Au bas du volet d'informations, cliquez sur Plus d'options. Sous l'option Délégation de boîtes aux lettres qui s'affiche, choisissez Ajouter ou Supprimer. Selon votre sélection, effectuez l'une des opérations suivantes :
Ajouter : dans la boîte de dialogue Ajouter une délégation en bloc qui s’affiche, cliquez sur Icône
sous l’autorisation appropriée (Envoyer en tant que, Envoyer de la part de ou Accès total). Lorsque vous avez terminé de sélectionner des utilisateurs ou des groupes à ajouter en tant que délégués, cliquez sur Enregistrer.Supprimer : dans la boîte de dialogue Supprimer la délégation en bloc qui s’affiche, cliquez sur Icône
sous l’autorisation appropriée (Envoyer en tant que, Envoyer de la part de ou Accès total). Lorsque vous avez terminé de sélectionner des utilisateurs ou des groupes à supprimer des délégués existants, cliquez sur Enregistrer.
Utiliser le CAE pour attribuer des autorisations aux groupes
Dans le CAE, accédez à Destinataires > Groupes.
Dans la liste des groupes, sélectionnez le groupe pour qui vous souhaitez attribuer des autorisations,
Dans la page des propriétés de groupe qui s'ouvre, cliquez sur Délégation de groupe et configurez l'une des autorisations suivantes :
Envoyer en tant que : les messages envoyés par un délégué semblent être issus du groupe.
Envoyer de la part de : les messages envoyés par un délégué ont « <Delegate> de la part de _<Group>_» dans l’adresse de l’expéditeur.
Pour attribuer des autorisations aux délégués, cliquez sur Ajouter
sous l’autorisation appropriée. Une boîte de dialogue s'affiche et répertorie les utilisateurs ou les groupes qui peuvent se voir attribuer l'autorisation. Sélectionnez l'utilisateur ou le groupe dans la liste, puis cliquez sur Ajouter. Répétez cette opération autant de fois que nécessaire. Vous pouvez également rechercher des utilisateurs ou des groupes dans la zone de recherche en tapant tout ou partie du nom, puis en cliquant sur l’icône . Lorsque vous avez terminé de sélectionner des délégués, cliquez sur OK.Pour supprimer une autorisation d’un délégué, sélectionnez le délégué dans la liste sous l’autorisation appropriée,
Lorsque vous avez terminé, cliquez sur Enregistrer.
Utiliser l'Environnement de ligne de commande Exchange Management Shell pour attribuer l'autorisation Accès total aux boîtes aux lettres
Vous utilisez les applets de commande Add-MailboxPermission et Remove-MailboxPermission pour gérer l'autorisation d'accès total aux boîtes aux lettres. Ces cmdlets utilisent la même syntaxe de base :
Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]
Pour plus d'informations, voir Add-MailboxPermission.
Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All
Pour plus d'informations, voir Remove-MailboxPermission.
Cet exemple attribue au délégué Raymond Sam l'autorisation Accès total pour la boîte aux lettres de Terry Adams.
Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All
Cet exemple attribue à Esther Valle l'autorisation Accès total pour la boîte aux lettres de découverte de l'organisation et empêche l'ouverture automatique de la boîte aux lettres dans le Outlook d'Esther Valle.
Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false
Cet exemple attribue aux membres du groupe de sécurité Helpdesk l'autorisation Accès total pour la boîte aux lettres partagée Helpdesk Tickets.
Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All
Cet exemple retire à Jim Hance l'autorisation Accès total pour la boîte aux lettres d'Ayla Kol.
Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien attribué ou supprimé l’autorisation Accès total pour un délégué sur une boîte aux lettres, utilisez l’une des procédures suivantes :
Dans les propriétés de la boîte aux lettres dans le centre d'administration Exchange, assurez-vous que le délégué est ou n'est pas répertorié dans Délégation de boîtes aux lettres > Accès total.
Remplacez <MailboxIdentity> par l’identité de la boîte aux lettres et exécutez la commande suivante dans Exchange Management Shell pour vérifier que le délégué est ou n’est pas répertorié.
Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table -Auto User,Deny,IsInherited,AccessRightsPour plus d'informations, voir Get-MailboxPermission.
Utilisez le Environnement de ligne de commande Exchange Management Shell pour affecter l'autorisation Envoyer en tant que aux boîtes aux lettres et aux groupes
Vous utilisez les cmdlets Add-AdPermission et Remove-AdPermission pour gérer l’autorisation Envoyer en tant que pour les boîtes aux lettres. Ces cmdlets utilisent la même syntaxe de base :
<Add-AdPermission | Remove-AdPermission> -Identity <MailboxOrGroupNameOrDN> -User <DelegateIdentity> [-AccessRights ExtendedRight] -ExtendedRights "Send As"
Pour plus d'informations, voir Add-AdPermission et Remove-AdPermission.
Remarques:
Le paramètre Identity vous oblige à utiliser la valeur Nom ou Nom unique ( DN) de la boîte aux lettres ou du groupe.
- Nom : cette valeur peut ou non être identique au nom complet. Par exemple,
Felipe Apodaca. - DistinguishedName : cette valeur contient toujours la valeur Name et utilise la syntaxe LDAP Active Directory. Par exemple,
CN=Felipe Apodaca,CN=Users,DC=contoso,DC=com.
Pour rechercher ces valeurs pour une boîte aux lettres ou un groupe, vous pouvez utiliser la cmdlet Get-Recipient , qui accepte de nombreuses valeurs différentes pour le paramètre Identity . Par exemple :
Get-Recipient -Identity helpdesk@contoso.com | Format-List Name,DistinguishedName- Nom : cette valeur peut ou non être identique au nom complet. Par exemple,
Les commandes fonctionnent avec ou sans
-AccessRights ExtendedRight, c’est pourquoi elles sont affichées comme facultatives dans la syntaxe.
Cet exemple attribue au groupe de sécurité Helpdesk l'autorisation Envoyer en tant que pour la boîte aux lettres partagée Helpdesk Support Team.
Add-ADPermission -Identity "Helpdesk Support Team" -User Helpdesk -ExtendedRights "Send As"
Cet exemple retire à l'utilisateur Pilar Pinilla l'autorisation Envoyer en tant que pour la boîte aux lettres de James Alvord.
Remove-ADPermission -Identity "James Alvord" -User pilarp -ExtendedRights "Send As"
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien affecté ou supprimé l’autorisation Envoyer en tant que pour un délégué sur une boîte aux lettres ou un groupe, utilisez l’une des procédures suivantes :
Dans les propriétés de la boîte aux lettres ou du groupe dans le centre d'administration Exchange, assurez-vous que le délégué est ou n'est pas répertorié dans Délégation de boîtes aux lettres > Envoyer en tant que ou Délégation de groupe > Envoyer en tant que.
Remplacez <MailboxOrGroupNameOrDN> par le nom ou le nom de la boîte aux lettres ou du groupe et exécutez la commande suivante dans l’Exchange Management Shell pour vérifier que le délégué est ou n’est pas répertorié.
Get-ADPermission -Identity <MailboxOrGroupNameOrDN> | where {$_.ExtendedRights -like 'Send*'} | Format-Table -Auto User,Deny,ExtendedRightsPour plus d'informations, voir Get-AdPermission.
Utilisez le Environnement de ligne de commande Exchange Management Shell pour affecter l'autorisation Envoyer de la part de aux boîtes aux lettres et aux groupes
Vous utilisez le paramètre GrantSendOnBehalfTo sur les différentes cmdlets Set- de boîte aux lettres et de groupe pour gérer l’autorisation Envoyer de la part de pour les boîtes aux lettres et les groupes :
Set-Mailbox
Set-DistributionGroup : groupes de distribution et groupes de sécurité à messagerie.
Set-DynamicDistributionGroup
La syntaxe de base de ces applets de commande est la suivante :
<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>
Le paramètre GrantSendOnBehalfTo dispose des options suivantes pour les valeurs déléguées :
Remplacer les délégués existants :
<DelegateIdentity>ou"<DelegateIdentity1>","<DelegateIdentity2>",...Ajoutez ou supprimez des délégués sans affecter les autres délégués :
@{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}Supprimer tous les délégués : utilisez la valeur
$null.
Cet exemple attribue au délégué Holly Holt l'autorisation Envoyer de la part de pour la boîte aux lettres de Sean Chai.
Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh
Cet exemple ajoute le groupe tempassistants@contoso.com à la liste des délégués qui ont l’autorisation Envoyer de la part de à la boîte aux lettres partagée Contoso Executives.
Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}
Cet exemple attribue au délégué Sara Davis l'autorisation Envoyer de la part de pour le groupe de distribution Printer Support.
Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad
Cet exemple retire à l’administrateur l’autorisation Envoyer de la part de pour le groupe de distribution dynamique All Employees.
Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez bien attribué ou supprimé l’autorisation Envoyer de la part d’un délégué sur une boîte aux lettres ou un groupe, utilisez l’une des procédures suivantes :
Dans les propriétés de la boîte aux lettres ou du groupe dans le centre d'administration Exchange, assurez-vous que le délégué est ou n'est pas répertorié dans Délégation de boîtes aux lettres > Envoyer en tant que ou Délégation de groupe > Envoyer en tant que.
Remplacez <MailboxIdentity> <GroupIdentity> ou avec l’identité de la boîte aux lettres ou du groupe et exécutez l’une des commandes suivantes dans l’Exchange Management Shell pour vérifier que le délégué est ou n’est pas répertorié.
Boîte aux lettres :
Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfToGroupe :
Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfToGroupe de distribution dynamique :
Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
Étapes suivantes
Pour plus d'informations sur la façon dont les délégués peuvent utiliser les autorisations qui leur sont affectées dans les boîtes aux lettres et les groupes, consultez les rubriques suivantes :