Настройка Exchange для поддержки делегированных разрешений почтовых ящиков в гибридном развертывании
Делегированные разрешения почтового ящика позволяют управлять частью почтового ящика другого пользователя. Распространенный пример этого сценария — административная помощник, которая должна управлять почтовым ящиком и календарем руководителя. Гибридные развертывания между локальной организацией Exchange и Microsoft 365 или Office 365 поддерживают делегированные разрешения на полный доступ и отправку от имени почтового ящика. Однако в зависимости от версии Exchange в локальной организации может потребоваться дополнительная настройка для использования делегированных разрешений почтового ящика в гибридном развертывании. Например:
- Exchange 2016: требуется дополнительная настройка.
- Exchange 2013: требуется поддерживаемое накопительное обновление Exchange 2013 и дополнительная конфигурация.
- Exchange 2010: больше не поддерживается.
Дополнительные сведения о конкретных требованиях для поддержки делегированных разрешений почтовых ящиков в гибридном развертывании см. в статье Permissions in Exchange hybrid deployments.
В следующих разделах описывается настройка локальных развертываний Exchange 2013 и Exchange 2016, чтобы включить поддержку делегированных разрешений почтовых ящиков. Перед выполнением этих действий необходимо убедиться, что используется последняя версия Exchange 2013/2016 CU. Дополнительную информацию см. в статье Предварительные условия для гибридного развертывания.
Exchange 2013 и Exchange 2016
В следующей таблице описаны требования для включения поддержки делегированных разрешений почтовых ящиков в зависимости от среды при перемещении почтовых ящиков в облако.
| версия Exchange Server | Синхронизация объектов ACLable включена или отключена | Необходимые действия |
|---|---|---|
| Exchange 2013 с накопительным пакетом обновления 9 (CU9) или более ранней версии | н/д | Вручную настройте каждый почтовый ящик для поддержки контроль доступа Списки (ACL) |
| Exchange 2013 с накопительным пакетом обновления 10 (CU10) или более поздней версии | Отключена | Включите синхронизацию объектов, поддерживающих ACL, на уровне организации Вручную включите списки управления доступом для каждого почтового ящика, перемещенного в облако, прежде чем на уровне организации была включена синхронизация объектов ACLable. Дополнительная настройка почтовых ящиков, перемещаемых в облако после включения синхронизации объектов ACLable на уровне организации, не требуется. |
| Exchange 2013 с накопительным пакетом обновления 10 (CU10) или более поздней версии | Включено | Дополнительная настройка не требуется. |
| Exchange 2016 | Отключено | Включите синхронизацию объектов, поддерживающих ACL, на уровне организации Вручную включите списки управления доступом для каждого почтового ящика, перемещенного в облако, прежде чем на уровне организации была включена синхронизация объектов ACLable. Дополнительная настройка почтовых ящиков, перемещаемых в облако после включения синхронизации объектов ACLable на уровне организации, не требуется. |
| Exchange 2016 | Включено | Дополнительная настройка не требуется. |
Включение синхронизации объектов, поддерживающих ACL
Чтобы включить синхронизацию объектов, поддерживающих ACL, на уровне организации, выполните указанные ниже действия.
Установите последнюю версию Microsoft Entra Connect (Microsoft Entra Connect) на всех серверах Microsoft Entra Connect. Это необходимо, чтобы разрешить Microsoft Entra Connect синхронизировать атрибуты, необходимые для поддержки гибридных разрешений. Вы можете скачать Microsoft Entra Connect из Microsoft Entra Connect.
Откройте командную консоль Exchange на сервере Exchange 2013 или Exchange 2016 с последним доступным накопительным пакетом обновления или непосредственно предыдущим накопительным пакетом обновления.
Выполните следующую команду.
Set-OrganizationConfig -ACLableSyncedObjectEnabled $True
После выполнения этого шага все почтовые ящики, которые вы перемещаете в облако, будут правильно настроены для поддержки делегированных разрешений почтовых ящиков. Если почтовые ящики были перемещены в облако перед выполнением этих действий, необходимо вручную включить списки управления доступом для этих почтовых ящиков, выполнив действия, описанные в разделе Включение списков управления доступом для удаленных почтовых ящиков.
Важно!
Списки ACL не включены в удаленных почтовых ящиках, созданных в облаке. Если вы создаете удаленный почтовый ящик в облаке с помощью локальной службы Exchange, при запуске New-RemoteMailbox или Enable-RemoteMailbox необходимо использовать параметр ACLableSyncedObjectEnabled.
Включение ACL для удаленных почтовых ящиков
Чтобы включить списки управления доступом в почтовых ящиках, перенесенных в облако до включения синхронизации объектов ACLable на уровне организации, выполните следующие действия.
Откройте командную консоль Exchange на сервере Exchange 2013 или Exchange 2016 с последним доступным накопительным пакетом обновления или непосредственно предыдущим накопительным пакетом обновления.
Чтобы включить списки управления доступом в одном почтовом ящике, выполните следующую команду:
Set-RemoteMailbox <UserMailbox's Identity> -ACLableSyncedObjectEnabledЧтобы включить списки управления доступом для всех почтовых ящиков, перемещенных в облако, выполните следующую команду:
Get-RemoteMailbox -ResultSize unlimited | Set-RemoteMailbox -ACLableSyncedObjectEnabledЧтобы убедиться, что почтовые ящики успешно обновлены, выполните следующую команду:
Get-RemoteMailbox -ResultSize unlimited | Format-Table DistinguishedName,msExchRecipientDisplayType -AutoSize