Autorisations dans les déploiements hybrides ExchangePermissions in Exchange hybrid deployments

L'organisation Exchange Online dans Office 365 est basée sur Exchange Server et, comme les organisations locales, elle utilise le contrôle d'accès en fonction du rôle (RBAC) pour contrôler les autorisations. Les administrateurs disposent des autorisations d'utilisation des groupes de rôles de gestion alors que les utilisateurs finaux disposent des autorisations d'utilisation des stratégies d'attribution de rôle de gestion.The Exchange Online in Office 365 organization is based on Exchange Server and, like on-premises organizations, it also uses Role Based Access Control (RBAC) to control permissions. Administrators are granted permissions using management role groups, and end users are granted permissions using management role assignment policies.

Pour en savoir plus sur les autorisations dans Exchange Online et Exchange sur site, consultez la ressource : PermissionsLearn more about permissions in Exchange Online and on-premises Exchange at: Permissions

Autorisations d'administrateurAdministrator permissions

Par défaut, l'utilisateur utilisé pour créer le client Office 365 devient membre du groupe de rôles Gestion de l'organisation dans l'organisation Exchange Online. Cet utilisateur peut gérer toute l'organisation Exchange Online, y compris la configuration des paramètres d'organisation et la gestion des destinataires Exchange Online.By default, the user that was used to create the Office 365 tenant is made a member of the Organization Management role group in the Exchange Online organization. This user can manage the entire Exchange Online organization, including configuration of organization-level settings and management of Exchange Online recipients.

Vous pouvez ajouter des administrateurs supplémentaires dans l'organisation Exchange Online, selon le type de gestion à mettre en place. Par exemple, vous pouvez ajouter des administrateurs d'organisation et de destinataires supplémentaires, permettre aux utilisateurs spécialistes d'effectuer des tâches de conformité telles que la détection, configurer des autorisations personnalisées et davantage. La gestion de toutes les autorisations Exchange Online pour les administrateurs Office 365 doit être effectuée dans l'organisation Exchange Online à l'aide du Centre d'administration Exchange (CAE) ou Remote PowerShell.You can add additional administrators in the Exchange Online organization, depending on the management that needs to take place. For example, you can add additional organization administrators and recipient administrators, enable specialist users to perform compliance tasks such as discovery, configure custom permissions, and more. All Exchange Online permissions management for Office 365 administrators must be performed in the Exchange Online organization using either the Exchange Administration Center (EAC) or remote PowerShell.

Important

Il n'existe pas de transfert d'autorisations entre l'organisation locale et l'organisation Office 365. Les autorisations que vous avez définies dans l'organisation locale doivent être recréées dans l'organisation Office 365.There is no transfer of permissions between the on-premises organization and the Office 365 organization. Permissions that you've defined in the on-premises organization must be re-created in the Office 365 organization.

Pour plus d'informations, consultez les rubriques Manage Role Groups et Manage Role Group Members.For more information, see Manage Role Groups and Manage Role Group Members.

Octroi d'autorisations de boîte aux lettres à des déléguésDelegate mailbox permissions

Dans les déploiements Exchange locaux, il est possible d'octroyer à des utilisateurs diverses autorisations aux boîtes aux lettres d'autres utilisateurs. C'est ce que l'on appelle des autorisations de boîtes aux lettres déléguées. Elles sont utiles lorsqu'un administrateur adjoint doit gérer une partie de la boîte aux lettres d'un autre utilisateur ; par exemple, gérer le calendrier d'un cadre. Les déploiements hybrides Exchange prennent en charge l'utilisation de certaines autorisations de boîtes aux lettres entre les boîtes aux lettres locales situées dans une organisation Exchange et les boîtes aux lettres situées dans Office 365. Les sections suivantes décrivent quelles autorisations sont et ne sont pas prises en charge, les configurations supplémentaires requises pour prendre en charge les autorisations de boîtes aux lettres hybrides, et comment les autorisations de boîtes aux lettres sont synchronisées entre votre organisation locale et Office 365.In on-premises Exchange deployments, users can be granted a variety of permissions to other users' mailboxes. This is called delegated mailbox permissions and it's useful when an administrative assistant needs to manage some part of another users's mailbox; for example, managing an executive's calendar. Exchange hybrid deployments support the use of some, but not all, mailbox permissions between mailboxes located in an on-premises Exchange organization and mailboxes located in Office 365. The following sections detail which permission are, and aren't, supported; additional configuration required to support hybrid mailbox permissions; and how mailbox permissions are synchronized between your on-premises organization and Office 365.

Autorisations de boîtes aux lettres prises en charge dans des environnements hybridesMailbox permissions supported in hybrid environments

Les autorisations suivantes sont prises en charge :The following permissions are supported:

  • Accès total Il est possible d'octroyer à une boîte aux lettres se trouvant sur un serveur Exchange local l'autorisation Accès total à une boîte aux lettres Office 365, et inversement. Par exemple, il est possible d'octroyer à une boîte aux lettres Office 365 l'autorisation Accès total à une boîte aux lettres partagée locale. Les utilisateurs doivent ouvrir leur boîte aux lettres à l'aide du client de bureau Outlook. Les autorisations de boîtes aux lettres déléguées ne sont pas prises en charge dans Outlook sur le web.Full Access A mailbox on an on-premises Exchange server can be granted the Full Access permission to an Office 365 mailbox, and vice versa. For example, an Office 365 mailbox can be granted the Full Access permission to an on-premises shared mailbox. Users need to open the mailbox using the Outlook desktop client; cross-premises mailbox permissions aren't supported in Outlook on the web.

    Note

    Les utilisateurs peuvent être invités à entrer des informations d'identification supplémentaires lorsqu'ils accèdent pour la première fois à une boîte aux lettres qui se trouve dans l'autre organisation et l'ajoutent à leur profil Outlook.Users might receive additional credential prompts when they first access a mailbox that's in the other organization and add it to their Outlook profile.

  • Envoyer de la part de Il est possible d'octroyer à une boîte aux lettres se trouvant sur un serveur Exchange local l'autorisation Envoyer de la part de à une boîte aux lettres Office 365, et inversement. Par exemple, il est possible d'octroyer à une boîte aux lettres Office 365 l'autorisation Envoyer de la part de à une boîte aux lettres partagée locale. Les utilisateurs doivent ouvrir leur boîte aux lettres à l'aide du client de bureau Outlook. Les autorisations de boîtes aux lettres déléguées ne sont pas prises en charge dans Outlook sur le web.Send on Behalf of A mailbox on an on-premises Exchange server can be granted the Send on Behalf of permission to an Office 365 mailbox, and vice versa. For example, an Office 365 mailbox can be granted the Send on Behalf of permission to an on-premises shared mailbox. Users need to open the mailbox using the Outlook desktop client; cross-premises mailbox permissions aren't supported in Outlook on the web.

    Certains changements sur votre serveur Azure Active Directory Connect sont nécessaires pour que les autorisations Envoyer de la part de se synchronisent entre vos serveurs Exchange locaux et Exchange Online. Pour plus d'informations, consultez la section Activation de la prise en charge des autorisations de boîtes aux lettres hybrides dans Azure Active Directory Connect plus loin dans cette rubrique.Some changes are needed on your Azure Active Directory Connect server for Send on Behalf of permissions to sync between your on-premises Exchange servers and Exchange Online. For details, see Enabling support for hybrid mailbox permissions in Azure Active Directory Connect later in this topic.

  • Éléments privés Lorsque vous ajoutez un délégué, l'option peut être configurée pour autoriser un utilisateur disposant des autorisations de dossier à afficher les éléments de calendrier privés.Private items When adding a delegate the option can be configured to allow a user with folder permissions to see private calendar items.

Les autorisations ou fonctionnalités suivantes ne sont pas prises en charge :The following permissions or capabilities aren't supported:

  • Send-As Permet à un utilisateur d'envoyer du courrier comme s'il provenait de la boîte aux lettres d'un autre utilisateur.Send-As Lets a user send mail as though it appears to be coming from another user's mailbox.

  • Mappage automatique Permet à Outlook, lors de son démarrage, d'ouvrir automatiquement des boîtes aux lettres pour lesquelles un utilisateur a reçu l'autorisation Accès total.Auto-mapping Enables Outlook, when it starts, to automatically open any mailboxes that a user has been granted Full Access to.

  • Folder permissions Grants access to the contents of a particular folder.Folder permissions Grants access to the contents of a particular folder.

Les boîtes aux lettres qui reçoivent ces autorisations à partir d’une autre boîte aux lettres doivent être déplacées en même temps que cette boîte aux lettres. Si une boîte aux lettres reçoit des autorisations à partir de plusieurs boîtes aux lettres, cette boîte aux lettres et toutes les boîtes aux lettres lui octroyant des autorisations doivent être déplacées simultanément.Any mailboxes that receive these permissions from another mailbox need to be moved at the same time as the granting mailbox. If a mailbox receives permissions from multiple mailboxes, that mailbox, and all of the mailboxes granting permissions to it, need to be moved at the same time.

Configurer vos serveurs Exchange locaux pour prendre en charge les autorisations de boîtes aux lettres hybridesConfiguring your on-premises Exchange servers to support hybrid mailbox permissions

Pour activer les autorisations Accès total et Envoyer de la part de dans un déploiement hybride, des modifications supplémentaires de la configuration peuvent être nécessaires en fonction de la version d'Exchange que vous avez installée. Le tableau suivant indique quelles versions d'Exchange prennent en charge les autorisations de boîtes aux lettres déléguées dans un déploiement hybride avec Office 365 et quelle configuration supplémentaire est nécessaire. Pour savoir comment configurer les serveurs et boîtes aux lettres Exchange 2013 et 2010 pour prendre en charge des listes de contrôle d'accès (ACL), consultez la rubrique Configurer Exchange pour prendre en charge des autorisations de boîtes aux lettres déléguées dans un déploiement hybride.To enable Full Access and Send on Behalf of permissions in a hybrid deployment, additional configuration changes might be necessary depending on the version of Exchange you have installed. The following table shows which versions of Exchange support delegated mailbox permissions in a hybrid deployment with Office 365 and what additional configuration is needed. For steps on how to configure Exchange 2013 and 2010 servers and mailboxes to support ACLs, see Configure Exchange to support delegated mailbox permissions in a hybrid deployment.

Version d'ExchangeExchange version Conditions préalablesPrerequisites
Exchange 2016Exchange 2016
Aucune configuration supplémentaire requise.No additional configuration required.
Exchange 2013Exchange 2013
Les serveurs Exchange 2013 nécessitent les éléments suivants :Exchange 2013 servers need the following:
La dernière mise à jour cumulative (CU) ou immédiatement antérieure. Les serveurs Exchange 2013 fonctionnant avec les anciennes mises à jour cumulatives ne sont pas pris en charge et peuvent ne pas fonctionner avec des autorisations de boîtes aux lettres déléguées dans un déploiement hybride.The latest cumulative update (CU), or the immediately previous CU, installed. Exchange 2013 servers running older CUs aren't supported and may not work with delegated mailbox permissions in a hybrid deployment.
L’organisation Exchange est configurée pour autoriser le marquage des listes de contrôle d’accès (ACL) dans les objets de courrier et leur synchronisation avec Office 365.The Exchange organization is configured to allow access control lists (ACLs) to be stamped on mail objects and synchronized with Office 365.
Les boîtes aux lettres locales à distance associées à des boîtes aux lettres déplacées vers Office 365 avant la CU10 Exchange 2013 doivent être configurées manuellement pour prendre en charge des ACL. Les boîtes aux lettres à distance, créées sur les serveurs fonctionnant avec la CU10 Exchange 2013 ou ultérieure, et après que l’organisation Exchange a été configurée pour autoriser les ACL, sont configurées automatiquement.On-premises remote mailboxes associated with mailboxes moved to Office 365 prior to Exchange 2013 CU10 need to be manually configured to support ACLs. Remote mailboxes, created on servers running Exchange 2013 CU10 or later, and after the Exchange organization is set to allow ACLs, are configured automatically.
Exchange 2010Exchange 2010
Les serveurs Exchange 2010 SP3 nécessitent les éléments suivants :Exchange 2010 SP3 servers need the following:
Le dernier correctif cumulatif (RU) ou immédiatement antérieur. Les serveurs Exchange 2010 SP3 fonctionnant avec les anciens correctifs cumulatifs ne sont pas pris en charge et peuvent ne pas fonctionner avec des autorisations de boîtes aux lettres déléguées dans un déploiement hybride.The latest update rollup (RU), or the immediately previous RU, installed. Exchange 2010 SP3 servers running older RU aren't supported and may not work with delegated mailbox permissions in a hybrid deployment.
Les boîtes aux lettres locales à distance associées à des boîtes aux lettres Office 365 doivent être configurées pour prendre en charge des ACL. Cela doit être effectué pour chaque boîte aux lettres locale à distance associée à une boîte aux lettres Office 365.On-premises remote mailboxes associated with Office 365 mailboxes need to be configured to support ACLs. This needs to be done for each on-premises remote mailbox that's associate with an Office 365 mailbox.
Exchange 2007 ou une version antérieureExchange 2007 or earlier
Non prise en charge.Not supported.

Activation de la prise en charge des autorisations de boîtes aux lettres hybrides dans Azure Active Directory ConnectEnabling support for hybrid mailbox permissions in Azure Active Directory Connect

En plus de configurer vos serveurs Exchange locaux, vous devez également vérifier que le serveur Azure Active Directory Connect (AAD Connect) est configuré pour synchroniser les autorisations de boîtes aux lettres hybrides. Voici ce que vous devez faire pour vous assurer que votre serveur AAD Connect est prêt à prendre en charge ces autorisations :In addition to configuring your on-premises Exchange servers, you also need to make sure Azure Active Directory Connect (AAD Connect) server is set up to synchronize hybrid mailbox permissions. Here's what you need to do to make sure your AAD Connect server is ready to support these permissions:

  • Mise à niveau DAS se connecter Connecter DAS doit être mis à niveau au moins vers la version 1.1.553.0. Vous pouvez télécharger la dernière version de DAS se connecter à partir de Microsoft Azure Active Directory se connecter.Upgrade AAD Connect AAD Connect needs to be upgraded to at least version 1.1.553.0. You can download the latest version of AAD Connect from Microsoft Azure Active Directory Connect.

  • Activer Exchange hybride dans AAD Connect Pour synchroniser les attributs qui activent les autorisations de boîtes aux lettres hybrides (plus précisément, l'autorisation Envoyer de la part de), vous devez vous assurer que l'option de configuration Déploiement Exchange hybride est activée dans AAD Connect. Pour plus d'informations sur l'exécution de l'Assistant Installation AAD Connect pour mettre à jour sa configuration, consultez l'article Synchronisation Azure AD Connect : Exécuter l'Assistant Installation une deuxième foisEnable Exchange Hybrid in AAD Connect To synchronize the attributes that enable hybrid mailbox permissions (specifically the Send on Behalf of permission), you need to make sure that the Exchange Hybrid deployment configuration option is enabled in AAD Connect. For information about how to run the AAD Connect installation wizard again to update its configuration, check out Azure AD Connect sync: Running the installation wizard a second time

Autorisations d'utilisateur finalEnd user permissions

Comme pour les autorisations d'administrateur, les utilisateurs finaux dans Exchange Online peuvent recevoir des autorisations. Par défaut, les utilisateurs finaux peuvent se voir accorder des autorisations via la stratégie d'attribution de rôle par défaut. Cette stratégie est appliquée à chaque boîte aux lettres dans l'organisation Exchange Online. Si les autorisations accordées par défaut sont suffisantes, il n'est pas nécessaire d'effectuer des modifications.As with administrator permissions, end users in Exchange Online can be granted permissions. By default, end users are granted permissions via the default role assignment policy. This policy is applied to every mailbox in the Exchange Online organization. If the permissions granted by default are sufficient, you don't need to change anything.

Si vous souhaitez personnaliser des autorisations d'utilisateur final, vous pouvez modifier la stratégie d'attribution de rôle par défaut ou créer de nouvelles stratégies d'attribution. Si vous créez de nombreuses stratégies d'attribution de rôle, vous pouvez attribuer différentes stratégies à différents groupes de boîtes aux lettres, ce qui vous permet de contrôler les autorisations accordées à chaque groupe en fonction de leurs besoins. La gestion de toutes les autorisations pour les utilisateurs finaux d'Exchange Online doit être effectuée dans l'organisation Exchange Online à l'aide du CAE ou de Remote PowerShell.If you do want to customize end user permissions, you can either modify the existing default role assignment policy, or you can create new assignment policies. If you create multiple assignment policies, you can assign different policies to different groups of mailboxes, enabling you to control permissions granted to each group depending on their requirements. All permissions management for Exchange Online end users must be performed in the Exchange Online organization using either the EAC or remote PowerShell.

Comme les autorisations d'administrateur, les autorisations d'utilisateur final ne sont pas transférées entre l'organisation locale et l'organisation Exchange Online. Les autorisations que vous avez définies dans l'organisation locale doivent être recréées dans l'organisation Exchange Online.Like administrator permissions, end user permissions aren't transferred between the on-premises organization and the Exchange Online organization. Any permissions that you've defined in the on-premises organization must be re-created in the Exchange Online organization.

Pour plus d'informations, consultez les rubriques Manage Role Assignment Policies et Change the Assignment Policy on a Mailbox.For more information, see Manage Role Assignment Policies and Change the Assignment Policy on a Mailbox.

Le tableau suivant répertorie les autorisations accordées par les stratégies d'attribution de rôle par défaut dans l'organisation Exchange Online.The following table lists the permissions granted by the default role assignment policies in the Exchange Online organization.

Autorisations de stratégie d'attribution de rôle par défautDefault role assignment policy permissions

Rôle de gestionManagement role DescriptionDescription
MyTeamMailboxesMyTeamMailboxes
Le rôle de gestion MyTeamMailboxes permet aux utilisateurs individuels de créer des boîtes aux lettres de site et de les associer à des sites Microsoft SharePoint.The MyTeamMailboxes management role enables individual users to create site mailboxes and connect them to Microsoft SharePoint sites.
My Marketplace AppsMy Marketplace Apps
Le rôle de gestion My Marketplace Apps permet aux utilisateurs individuels d'afficher et de modifier leurs applications Marketplace Microsoft Office.The My Marketplace Apps management role enables individual users to view and modify their Microsoft Office marketplace apps.
MyBaseOptionsMyBaseOptions
Le rôle de gestion MyBaseOptions permet à chaque utilisateur d'afficher et de modifier la configuration de base de sa propre boîte aux lettres et des paramètres associés.The MyBaseOptions management role enables individual users to view and modify the basic configuration of their own mailbox and associated settings.
MyContactInformationMyContactInformation
Le rôle de gestion MyContactInformation permet aux utilisateurs individuels de modifier leurs informations de contact, notamment l'adresse et les numéros de téléphone.The MyContactInformation management role enables individual users to modify their contact information, including address and phone numbers.
MyDistributionGroupMembershipMyDistributionGroupMembership
Le rôle de gestion MyDistributionGroupMembership permet à chaque utilisateur d'afficher et de modifier son appartenance aux groupes de distribution d'une organisation, à condition que ces groupes de distribution permettent la modification de l'appartenance.The MyDistributionGroupMembership management role enables individual users to view and modify their membership in distribution groups in an organization, provided that those distribution groups allow manipulation of group membership.
MyDistributionGroupsMyDistributionGroups
Le rôle de gestion MyDistributionGroups permet à chaque utilisateur de créer, de modifier et d'afficher les groupes de distribution, et de modifier, d'afficher, de supprimer et d'ajouter des membres dans les groupes de distribution qu'ils possèdent.The MyDistributionGroups management role enables individual users to create, modify, and view distribution groups, and to modify, view, remove, and add members to distribution groups they own.
MyMailSubscriptionMyMailSubscription
Le rôle MyMailSubscription permet à chaque utilisateur d'afficher et de modifier ses paramètres d'abonnement de courrier électronique, tels que le format du message et les valeurs par défaut du protocole.The MyMailSubscription role enables individual users to view and modify their e-mail subscription settings such as message format and protocol defaults.
MyProfileInformationMyProfileInformation
Le rôle de gestion MyProfileInformation permet à chaque utilisateur de modifier son nom.The MyProfileInformation management role enables individual users to modify their name.
MyRetentionPoliciesMyRetentionPolicies
Le rôle de gestion MyRetentionPolicies permet à chaque utilisateur d'afficher ses balises de rétention et d'afficher et de modifier les paramètres et valeurs par défaut de ces balises.The MyRetentionPolicies management role enables individual users to view their retention tags, and to view and modify their retention tag settings and defaults.
MyTextMessagingMyTextMessaging
Le rôle de gestion MyTextMessaging permet à chaque utilisateur de créer, d'afficher et de modifier ses paramètres de messagerie texte.The MyTextMessaging management role enables individual users to create, view, and modify their text messaging settings.
MyVoiceMailMyVoiceMail
Le rôle de gestion MyVoiceMail permet à chaque utilisateur d'afficher et de modifier ses paramètres de messagerie vocale.The MyVoiceMail management role enables individual users to view and modify their voice mail settings.
Mes applications ReadWriteMailboxMy ReadWriteMailbox Apps
Le rôle de gestion My ReadWriteMailbox Apps permet aux utilisateurs d'installer des applications avec des autorisations ReadWriteMailbox.The My ReadWriteMailbox Apps management role enables users to install apps with ReadWriteMailbox permissions.
Mes applications personnaliséesMy Custom Apps
Le rôle de gestion My Custom Apps permet aux utilisateurs d'afficher et de modifier leurs applications personnalisées.The My Custom Apps management role enables users to view and modify their custom apps.