Настройка Exchange для поддержки делегированных разрешений почтовых ящиков в гибридном развертыванииConfigure Exchange to support delegated mailbox permissions in a hybrid deployment

С помощью делегированных разрешений для почтовых ящиков пользователи могут частично управлять почтовыми ящиками других пользователей. Распространенный пример такого пользователя — помощник администратора, который должен управлять почтой и календарем руководителя. Гибридные развертывания, состоящие из локальной организации Exchange и Office 365, поддерживают делегированные разрешения Полный доступ и Отправить от имени для почтовых ящиков. Однако в зависимости от того, какая версия Exchange установлена в локальной организации, для использования делегированных разрешений почтовых ящиков может потребоваться дополнительная настройка. В приведенной ниже таблице перечислены версии Exchange, которые поддерживают делегированные разрешения для почтовых ящиков в гибридном развертывании и указано, требуется ли дополнительная настройка для той или иной версии.Delegated mailbox permissions enable someone to manage some part of another users's mailbox. A common example of this is an administrative assistant who needs to manage an executive's mailbox and calendar. Hybrid deployments between an on-premises Exchange organization and Office 365 support the Full Access and Send on Behalf of delegated mailbox permissions. However, depending on the version of Exchange you have installed in your on-premises organization, you might need to perform additional configuration to use delegated mailbox permissions in a hybrid deployment. The following lists the versions of Exchange that support delegated mailbox permissions in a hybrid deployment and whether additional configuration is needed for that version.

  • Exchange 2016. Дополнительная настройка не требуется.Exchange 2016 No additional configuration is required.

  • Exchange 2013. Необходимы поддерживаемый накопительный пакет обновления (CU) для Exchange 2013 и дополнительная настройка.Exchange 2013 A supported Exchange 2013 cumulative update (CU) and additional configuration are required.

  • Exchange 2010. Необходимы поддерживаемый накопительный пакет обновления (RU) для Exchange 2010 и дополнительная настройка.Exchange 2010 A supported Exchange 2010 update roll (RU) and additional configuration are required.

Дополнительные сведения о конкретных требованиях для поддержки делегированных разрешений почтовых ящиков в гибридном развертывании см. в статье Permissions in Exchange hybrid deployments.For more information about the specific requirements to support delegated mailbox permissions in a hybrid deployment, take a look at Permissions in Exchange hybrid deployments.

В следующих разделах описывается настройка локальных развертываний Exchange 2013 и Exchange 2010 для поддержки делегированных разрешений почтовых ящиков. Прежде чем выполнять эти действия, убедитесь, что установлен последний накопительный пакет обновления (CU или RU) для Exchange 2013 или Exchange 2010 с пакетом обновления 3 (SP3). Дополнительные сведения см. в статье Предварительные условия для гибридного развертывания.The following sections step you through the configuration of Exchange 2013 and Exchange 2010 on-premises deployments to enable support for delegated mailbox permissions. Before you follow these steps, you need to make sure you're on the latest Exchange 2013 CU or Exchange SP3 RU. For more information, see Hybrid deployment prerequisites.

Exchange 2013Exchange 2013

Действия, необходимые для включения поддержки делегированных разрешений почтовых ящиков, зависят от ряда факторов. Если вы переносили почтовые ящики в Office 365, воспользуйтесь приведенной ниже таблицей.What you need to do to enable support for delegated mailbox permissions depends on a few factors. If you moved mailboxes to Office 365 and at that time:

Установленная средаThe following was installed... Состояние синхронизации объектов, поддерживающих ACL, в организацииAnd ACLable object synchronization at the organization was... Необходимые действияThen you need to...
Exchange 2013 с накопительным пакетом обновления 9 (CU9) или более ранней версииExchange 2013 CU9 or earlier
Эта функция недоступна в Exchange 2013 с накопительным пакетом обновления 9 (CU9) и более ранних версий.This feature isn't available in Exchange 2013 CU9 and earlier.
Вручную настройте поддержку ACL для каждого почтового ящикаManually configure each mailbox to support ACLs
Exchange 2013 с накопительным пакетом обновления 10 (CU10) или более поздней версииExchange 2013 CU10 or later
ОтключенаDisabled
Включите синхронизацию объектов, поддерживающих ACL, на уровне организацииEnable ACLable object synchronization at the organization level
Вручную включите ACL для каждого почтового ящика, перенесенного в Office 365 до того, как синхронизация объектов, поддерживающих ACL, была включена на уровне организации.Manually enable ACLs on each mailbox moved to Office 365 before ACLable object synchronization was enabled at the organization level.
Для почтовых ящиков, перемещенных в Office 365 после того, как на уровне организации была включена синхронизация объектов, поддерживающих ACL, не потребуется дополнительная настройка.No additional configuration is needed for mailboxes moved to Office 365 after ACLable object synchronization is enabled at the organization level.
Exchange 2013 с накопительным пакетом обновления 10 (CU10) или более поздней версииExchange 2013 CU10 or later
ВключенаEnabled
Дополнительная настройка не требуется.No additional configuration is needed

Включение синхронизации объектов, поддерживающих ACLEnable ACLable object synchronization

Чтобы включить синхронизацию объектов, поддерживающих ACL, на уровне организации, выполните указанные ниже действия.To enable ACLable object synchronization at the organization level, do the following.

  1. Установите последнюю версию Azure Active Directory Connect (AAD Connect) на всех серверах AAD Connect. Это необходимо, чтобы сервер AAD Connect мог синхронизировать атрибуты, необходимые для поддержки гибридных разрешений. Вы можете скачать AAD Connect на странице Microsoft Azure Active Directory Connect.Install the latest version of Azure Active Directory Connect (AAD Connect) on all of your AAD Connect servers. This is needed to allow AAD Connect to synchronize the attributes needed to support hybrid permissions. You can download AAD Connect from Microsoft Azure Active Directory Connect.

  2. Откройте командную консоль Exchange на сервере с последним или предыдущим накопительным пакетом обновления (CU) для Exchange 2013.Open the Exchange Management Shell on a server running the latest available Exchange 2013 CU, or the immediately previous CU.

  3. Выполните следующую команду:Run the following command.

Set-OrganizationConfig -ACLableSyncedObjectEnabled $True

После этого все почтовые ящики, перемещенные в Office 365, будут надлежащим образом настроены для поддержки делегированных разрешений почтовых ящиков. Если почтовые ящики были перемещены в Office 365 до выполнения этих действий, потребуется вручную включить ACL для этих почтовых ящиков, выполнив действия, описанные в разделе Включение ACL для удаленных почтовых ящиков.After you do this, any mailboxes that you move to Office 365 will be properly configured to support delegated mailbox permissions. If mailboxes were moved to Office 365 prior to you completing these steps, you'll need to manually enable ACLs on those mailboxes using the steps in Enable ACLs on remote mailboxes.

Важно!

Списки управления доступом не включен на удаленные почтовые ящики, созданные в Office 365. Если вы создаете удаленного почтового ящика в Office 365, необходимо выполните действия в списки управления доступом включить в разделе удаленные почтовые ящики, чтобы включить списки управления доступом на этот удаленный почтовый ящик. Чтобы избежать этой дополнительное действие, рекомендуется создать почтовый ящик на сервере Exchange в локальной и затем перемещения почтовых ящиков в Office 365.ACLs aren't enabled on remote mailboxes created in Office 365. If you create a remote mailbox in Office 365, you'll need to follow the steps in the Enable ACLs on remote mailboxes section to enable ACLs on that remote mailbox. To avoid this extra step, we recommend that you create the mailbox on an on-premises Exchange server and then move the mailbox to Office 365.

Включение ACL для удаленных почтовых ящиковEnable ACLs on remote mailboxes

Чтобы включить ACL для почтовых ящиков, перенесенных в Office 365 до того, как синхронизация объектов, поддерживающих ACL, была включена на уровне организации, выполните указанные ниже действия.To enable ACLs on mailboxes moved to Office 365 before ACLable object synchronization was enabled at the organization level, do the following.

  1. Откройте командную консоль Exchange на сервере с последним или предыдущим накопительным пакетом обновления (CU) для Exchange 2013.Open the Exchange Management Shell on a server running the latest available Exchange 2013 CU, or the immediately previous CU.

  2. Чтобы включить ACL для одного почтового ящика, выполните следующую команду:To enable ACLs on a single mailbox, run the following command.

Get-AdUser <Identity> | Set-AdObject -Replace @{msExchRecipientDisplayType=-1073741818}
  1. Чтобы включить ACL для всех почтовых ящиков, перемещенных в Office 365, выполните следующую команду:To enable ACLs on all mailboxes moved to Office 365, run the following command.
Get-RemoteMailbox | ForEach { Get-AdUser -Identity $_.Guid | Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}}
  1. Чтобы убедиться, что почтовые ящики успешно обновлены, выполните следующую команду:To verify that the mailboxes have been successfully updated, run the following command.
Get-RemoteMailbox | ForEach { Get-AdUser -Identity $_.Guid -Properties msExchRecipientDisplayType | Format-Table -AutoSize DistinguishedName, msExchRecipientDisplayType}

Exchange 2010Exchange 2010

Серверы Exchange Server 2010 с пакетом обновления (SP3) поддерживают настройку ACL в удаленных почтовых ящиках, но эту конфигурацию необходимо вручную задать для каждого почтового ящика. В отличие от новых версий Exchange, в Exchange 2010 нет возможности включить эту функцию на уровне организации. Указанные ниже действия необходимо выполнить для каждого почтового ящика, ранее перемещенного в Office 365, и для всех почтовых ящиков, которые будут перемещены с сервера Exchange Server 2010 с пакетом обновления 3 (SP3) в Office 365.Exchange 2010 SP3 servers support the configuration of ACLs on remote mailboxes, however, this configuration needs to be set manually on each mailbox. Unlike newer versions of Exchange, Exchange 2010 doesn't provide the ability to set this feature at the organization level. You need to follow the steps below on any mailboxes that you've previously moved to Office 365, and on any mailboxes that will be moved from an Exchange 2010 SP3 server to Office 365 in the future.

Включение ACL для удаленных почтовых ящиковEnable ACLs on remote mailboxes

Чтобы включить ACL для почтовых ящиков, перемещенных в Office 365, выполните указанные ниже действия.To enable ACLs on mailboxes moved to Office 365, do the following.

  1. Откройте командную консоль Exchange на сервере с последним или предыдущим накопительным пакетом обновления (RU) для Exchange 2010 с пакетом обновления 3 (SP3).Open the Exchange Management Shell on a server running the latest available Exchange 2010 SP3 RU, or the immediately previous RU.

  2. Чтобы включить ACL для одного почтового ящика, выполните следующую команду:To enable ACLs on a single mailbox, run the following command.

Get-AdUser <Identity> | Set-AdObject -Replace @{msExchRecipientDisplayType=-1073741818}
  1. Чтобы включить ACL для всех почтовых ящиков, перемещенных в Office 365, выполните следующую команду:To enable ACLs on all mailboxes moved to Office 365, run the following command.
Get-RemoteMailbox | ForEach { Get-AdUser -Identity $_.Guid | Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}}
  1. Чтобы убедиться, что почтовые ящики успешно обновлены, выполните следующую команду:To verify that the mailboxes have been successfully updated, run the following command.
Get-RemoteMailbox | ForEach { Get-AdUser -Identity $_.Guid -Properties msExchRecipientDisplayType | Format-Table -AutoSize DistinguishedName, msExchRecipientDisplayType}