Разрешения при гибридных развертываниях ExchangePermissions in Exchange hybrid deployments

Exchange Online в организации Office 365 на основе Exchange Server и, как и в локальной организации, также использует элемент управления на основе Access ролей (RBAC) для управления разрешениями. Предоставляются разрешения, с помощью групп ролей управления, администраторов и конечных пользователей предоставляются разрешения, с помощью политики назначения ролей управления.The Exchange Online in Office 365 organization is based on Exchange Server and, like on-premises organizations, it also uses Role Based Access Control (RBAC) to control permissions. Administrators are granted permissions using management role groups, and end users are granted permissions using management role assignment policies.

Дополнительные сведения о разрешениях в Exchange Online и локальной Exchange в: разрешенияLearn more about permissions in Exchange Online and on-premises Exchange at: Permissions

Разрешения администратораAdministrator permissions

По умолчанию пользователь, который использовался для создания клиента Office 365 производится в организацию Exchange Online должна быть членом группы ролей управления организацией. Этот пользователь может управлять всей организации Exchange Online, включая настройки параметры на уровне организации и управления Exchange Online получателей.By default, the user that was used to create the Office 365 tenant is made a member of the Organization Management role group in the Exchange Online organization. This user can manage the entire Exchange Online organization, including configuration of organization-level settings and management of Exchange Online recipients.

Можно добавить дополнительных администраторов в организации Exchange Online, в зависимости от того, управления, которую необходимо выполнить. Например можно добавить дополнительные организации Администраторы и получателей, позволяют пользователям выполнять задачи соответствия требованиям, например обнаружения, настройте пользовательские разрешения и многое другое специалист по. Все Exchange Online в Office 365 для администраторов управление разрешениями должны выполняться в организацию Exchange Online с помощью центра администрирования Exchange (EAC) или удаленной оболочки PowerShell.You can add additional administrators in the Exchange Online organization, depending on the management that needs to take place. For example, you can add additional organization administrators and recipient administrators, enable specialist users to perform compliance tasks such as discovery, configure custom permissions, and more. All Exchange Online permissions management for Office 365 administrators must be performed in the Exchange Online organization using either the Exchange Administration Center (EAC) or remote PowerShell.

Важно!

Невозможно передать разрешения между локальной организацией и организацией Office 365. Разрешения, определенные в локальной организации, должны повторно создаваться в организации Office 365.There is no transfer of permissions between the on-premises organization and the Office 365 organization. Permissions that you've defined in the on-premises organization must be re-created in the Office 365 organization.

Дополнительные сведения см. в разделах Manage Role Groups и Manage Role Group Members.For more information, see Manage Role Groups and Manage Role Group Members.

Делегирование разрешений для почтовых ящиковDelegate mailbox permissions

В развертываниях в локальной Exchange пользователи могут быть предоставлены различные разрешения к почтовым ящикам других пользователей. Этот процесс называется разрешения делегированных почтовых ящиков и его полезные при помощника администратора нужно управлять часть почтовый ящик другого пользователя; например управление календарю руководителя. Гибридные развертывания Exchange поддерживает использование некоторых, но не все разрешения для почтового ящика между почтовых ящиков, расположенных в локальной организации Exchange и почтовых ящиков, расположенных в Office 365. В следующих разделах подробно разрешений, а не поддерживается; Дополнительная настройка, необходимых для поддержки гибридной разрешения для почтового ящика; и как разрешения для почтового ящика синхронизируются между локальной организацией и Office 365.In on-premises Exchange deployments, users can be granted a variety of permissions to other users' mailboxes. This is called delegated mailbox permissions and it's useful when an administrative assistant needs to manage some part of another users's mailbox; for example, managing an executive's calendar. Exchange hybrid deployments support the use of some, but not all, mailbox permissions between mailboxes located in an on-premises Exchange organization and mailboxes located in Office 365. The following sections detail which permission are, and aren't, supported; additional configuration required to support hybrid mailbox permissions; and how mailbox permissions are synchronized between your on-premises organization and Office 365.

Разрешения для почтовых ящиков, поддерживаемые в гибридных средахMailbox permissions supported in hybrid environments

Следующие разрешения поддерживаются:The following permissions are supported:

  • Полный доступ Почтовый ящик на сервере в локальной Exchange могут быть предоставлены разрешения Полного доступа к почтовому ящику Office 365 и наоборот. Например почтовый ящик Office 365 может быть предоставлено разрешение Полного доступа для общего почтового ящика в локальной. Пользователи должны быть открыты почтовый ящик с помощью настольных клиентов Outlook; разрешения для почтового ящика между организациями не поддерживаются в Outlook в Интернете.Full Access A mailbox on an on-premises Exchange server can be granted the Full Access permission to an Office 365 mailbox, and vice versa. For example, an Office 365 mailbox can be granted the Full Access permission to an on-premises shared mailbox. Users need to open the mailbox using the Outlook desktop client; cross-premises mailbox permissions aren't supported in Outlook on the web.

    Примечание

    Пользователи могут получать запросы дополнительных учетных данных при обращении к почтовому ящику, находится в другой организации и добавить его в свой профиль Outlook.Users might receive additional credential prompts when they first access a mailbox that's in the other organization and add it to their Outlook profile.

  • Отправить от имени Почтовый ящик на сервере в локальной Exchange может быть предоставлено разрешение Отправить от имени в почтовый ящик Office 365 и наоборот. Например почтовый ящик Office 365 может быть предоставлено разрешение Отправить от имени для локального общего почтового ящика. Пользователи должны быть открыты почтовый ящик с помощью настольных клиентов Outlook; разрешения для почтового ящика между организациями не поддерживаются в Outlook в Интернете.Send on Behalf of A mailbox on an on-premises Exchange server can be granted the Send on Behalf of permission to an Office 365 mailbox, and vice versa. For example, an Office 365 mailbox can be granted the Send on Behalf of permission to an on-premises shared mailbox. Users need to open the mailbox using the Outlook desktop client; cross-premises mailbox permissions aren't supported in Outlook on the web.

    Чтобы разрешения "Отправить от имени" синхронизировались между локальными серверами Exchange Server и Exchange Online, необходимы некоторые изменения на сервере Azure Active Directory Connect. Дополнительные сведения см. в разделе Включение поддержки гибридных разрешений для почтовых ящиков в Azure Active Directory Connect далее в этой статье.Some changes are needed on your Azure Active Directory Connect server for Send on Behalf of permissions to sync between your on-premises Exchange servers and Exchange Online. For details, see Enabling support for hybrid mailbox permissions in Azure Active Directory Connect later in this topic.

  • Личные элементы При добавлении делегата можно настроить параметр разрешать пользователям с разрешениями папки для просмотра элементов календаря закрытый.Private items When adding a delegate the option can be configured to allow a user with folder permissions to see private calendar items.

Следующие разрешения или возможности не поддерживаются: The following permissions or capabilities aren't supported:

  • Send-As. Позволяет пользователю отправлять сообщения так, будто они отправлены из почтового ящика другого пользователя.Send-As Lets a user send mail as though it appears to be coming from another user's mailbox.

  • Автоматическое сопоставление. Позволяет приложению Outlook при запуске автоматически открывать любые почтовые ящики, для которых пользователю предоставлено разрешение Полный доступ.Auto-mapping Enables Outlook, when it starts, to automatically open any mailboxes that a user has been granted Full Access to.

  • Разрешения для папки Предоставляет доступ к содержимому определенной папки.Folder permissions Grants access to the contents of a particular folder.

Почтовые ящики, получающие эти разрешения от другого почтового ящика, необходимо переместить вместе с ним. Если почтовый ящик получает разрешения от нескольких почтовых ящиков, все эти почтовые ящики (получающий и предоставляющие) необходимо переместить одновременно.Any mailboxes that receive these permissions from another mailbox need to be moved at the same time as the granting mailbox. If a mailbox receives permissions from multiple mailboxes, that mailbox, and all of the mailboxes granting permissions to it, need to be moved at the same time.

Настройка поддержки гибридных разрешений для почтовых ящиков на локальных серверах Exchange ServerConfiguring your on-premises Exchange servers to support hybrid mailbox permissions

Чтобы включить разрешения "Полный доступ" и "Отправить от имени" в гибридном развертывании, могут потребоваться дополнительные изменения конфигурации в зависимости от установленной версии Exchange. В приведенной ниже таблице показано, какие версии Exchange поддерживают делегированные разрешения для почтовых ящиков в гибридном развертывании с Office 365 и какая дополнительная настройка требуется. Инструкции по настройке поддержки ACL для серверов и почтовых ящиков Exchange 2013 и Exchange 2010 см. в статье Configure Exchange to support delegated mailbox permissions in a hybrid deployment.To enable Full Access and Send on Behalf of permissions in a hybrid deployment, additional configuration changes might be necessary depending on the version of Exchange you have installed. The following table shows which versions of Exchange support delegated mailbox permissions in a hybrid deployment with Office 365 and what additional configuration is needed. For steps on how to configure Exchange 2013 and 2010 servers and mailboxes to support ACLs, see Configure Exchange to support delegated mailbox permissions in a hybrid deployment.

Версия ExchangeExchange version Необходимые компонентыPrerequisites
Exchange 2016Exchange 2016
Дополнительная настройка не требуется.No additional configuration required.
Exchange 2013Exchange 2013
На серверах Exchange Server 2013 должны выполняться указанные ниже условия.Exchange 2013 servers need the following:
Установлен последний или предыдущий накопительный пакет обновления (CU). Серверы Exchange Server 2013 с более ранними накопительными пакетами обновления не поддерживаются и могут не работать с делегированными разрешениями для почтовых ящиков в гибридном развертывании.The latest cumulative update (CU), or the immediately previous CU, installed. Exchange 2013 servers running older CUs aren't supported and may not work with delegated mailbox permissions in a hybrid deployment.
В организации Exchange разрешено применять списки управления доступом (ACL) к почтовым объектам и синхронизировать их с Office 365.The Exchange organization is configured to allow access control lists (ACLs) to be stamped on mail objects and synchronized with Office 365.
Локальные удаленные почтовые ящики, которые связаны с почтовыми ящиками, перемещенными в Office 365 до установки Exchange 2013 с накопительным пакетом обновления 10 (CU10), необходимо вручную настроить на поддержку ACL. Удаленные почтовые ящики, созданные на серверах под управлением Exchange 2013 с накопительным пакетом обновления 10 (CU10) или более поздней версии после того, как в организации Exchange было разрешено использование ACL, настраиваются автоматически.On-premises remote mailboxes associated with mailboxes moved to Office 365 prior to Exchange 2013 CU10 need to be manually configured to support ACLs. Remote mailboxes, created on servers running Exchange 2013 CU10 or later, and after the Exchange organization is set to allow ACLs, are configured automatically.
Exchange 2010Exchange 2010
На серверах Exchange Server 2010 с пакетом обновления 3 (SP3) должны выполняться указанные ниже условия.Exchange 2010 SP3 servers need the following:
Установлен последний или предыдущий накопительный пакет обновления (RU). Серверы Exchange Server 2010 с пакетом обновления 3 (SP3) и более ранними накопительными пакетами обновления не поддерживаются и могут не работать с делегированными разрешениями для почтовых ящиков в гибридном развертывании.The latest update rollup (RU), or the immediately previous RU, installed. Exchange 2010 SP3 servers running older RU aren't supported and may not work with delegated mailbox permissions in a hybrid deployment.
В локальной среде удаленные почтовые ящики, связанные с почтовыми ящиками Office 365, необходимо настроить на поддержку ACL. Это необходимо сделать для каждого удаленного почтового ящика в локальной среде, который связан с почтовым ящиком Office 365.On-premises remote mailboxes associated with Office 365 mailboxes need to be configured to support ACLs. This needs to be done for each on-premises remote mailbox that's associate with an Office 365 mailbox.
Exchange 2007 или более ранней версииExchange 2007 or earlier
Не поддерживается.Not supported.

Включение поддержки гибридных разрешений для почтовых ящиков в Azure Active Directory ConnectEnabling support for hybrid mailbox permissions in Azure Active Directory Connect

Необходимо не только настроить локальные серверы Exchange Server, но и убедиться, что сервер Azure Active Directory Connect (AAD Connect) настроен на синхронизацию гибридных разрешений для почтовых ящиков. Чтобы гарантировать, что сервер AAD Connect готов к поддержке этих разрешений, выполните указанные ниже действия. In addition to configuring your on-premises Exchange servers, you also need to make sure Azure Active Directory Connect (AAD Connect) server is set up to synchronize hybrid mailbox permissions. Here's what you need to do to make sure your AAD Connect server is ready to support these permissions:

  • Обновления AAD подключения Подключение AAD нуждается в обновлении для по крайней мере версия 1.1.553.0. Можно загрузить последнюю версию AAD подключиться из Microsoft Azure Active Directory подключение.Upgrade AAD Connect AAD Connect needs to be upgraded to at least version 1.1.553.0. You can download the latest version of AAD Connect from Microsoft Azure Active Directory Connect.

  • Enable гибридное развертывание Exchange в AAD подключения Чтобы синхронизировать атрибуты, которые позволяют почтовому ящику гибридного (в частности Отправить от имени разрешения), необходимо убедитесь в том, что параметр конфигурации Exchange гибридного развертывания включен в AAD подключение. Сведения о том, как запустить мастер установки AAD подключение еще раз, чтобы обновить конфигурацию извлечь Azure AD подключение синхронизации: запуск мастера установки еще разEnable Exchange Hybrid in AAD Connect To synchronize the attributes that enable hybrid mailbox permissions (specifically the Send on Behalf of permission), you need to make sure that the Exchange Hybrid deployment configuration option is enabled in AAD Connect. For information about how to run the AAD Connect installation wizard again to update its configuration, check out Azure AD Connect sync: Running the installation wizard a second time

Разрешения для конечных пользователейEnd user permissions

Как и в случае с разрешениями администратора конечных пользователей в Exchange Online могут быть предоставлены разрешения. По умолчанию конечным пользователям предоставляются разрешения с помощью политики назначения ролей по умолчанию. Эта политика применяется для всех почтовых ящиков в организации Exchange Online. Если достаточные разрешения, предоставленные по умолчанию, не нужно изменять что-либо.As with administrator permissions, end users in Exchange Online can be granted permissions. By default, end users are granted permissions via the default role assignment policy. This policy is applied to every mailbox in the Exchange Online organization. If the permissions granted by default are sufficient, you don't need to change anything.

Если необходимо настроить разрешения конечного пользователя, можно изменить существующую политику назначения ролей по умолчанию или создать новые политики назначения. При создании нескольких политик назначения можно назначить различные политики для разных групп почтовые ящики, позволяя управления разрешения, предоставленные каждой группе в зависимости от своих требований к. Все управление разрешениями для Exchange Online конечных пользователей должны выполняться в организацию Exchange Online с помощью центра администрирования Exchange или удаленной оболочки PowerShell.If you do want to customize end user permissions, you can either modify the existing default role assignment policy, or you can create new assignment policies. If you create multiple assignment policies, you can assign different policies to different groups of mailboxes, enabling you to control permissions granted to each group depending on their requirements. All permissions management for Exchange Online end users must be performed in the Exchange Online organization using either the EAC or remote PowerShell.

Как и разрешения администратора разрешения конечного пользователя не переносятся между локальной организацией и организацией Exchange Online. Все разрешения, которые определены в локальной организации необходимо повторно создать в организации Exchange Online.Like administrator permissions, end user permissions aren't transferred between the on-premises organization and the Exchange Online organization. Any permissions that you've defined in the on-premises organization must be re-created in the Exchange Online organization.

Дополнительные сведения см. в разделах Manage Role Assignment Policies и Change the Assignment Policy on a Mailbox.For more information, see Manage Role Assignment Policies and Change the Assignment Policy on a Mailbox.

В следующей таблице перечислены разрешения, предоставленные политики назначения ролей по умолчанию в организации Exchange Online.The following table lists the permissions granted by the default role assignment policies in the Exchange Online organization.

Политика назначения ролей по умолчаниюDefault role assignment policy permissions

Роль управленияManagement role ОписаниеDescription
MyTeamMailboxesMyTeamMailboxes
MyTeamMailboxes Роль управления позволяет отдельным пользователям создавать почтовые ящики сайтов и соединять их с сайтами Microsoft SharePoint.The MyTeamMailboxes management role enables individual users to create site mailboxes and connect them to Microsoft SharePoint sites.
Мои приложения из MarketplaceMy Marketplace Apps
My Marketplace Apps Роль управления позволяет отдельным пользователям просматривать и изменять свои приложения Microsoft Office marketplace.The My Marketplace Apps management role enables individual users to view and modify their Microsoft Office marketplace apps.
MyBaseOptionsMyBaseOptions
MyBaseOptions Роль управления позволяет отдельным пользователям просматривать и изменять базовую конфигурацию почтового ящика и соответствующие параметры.The MyBaseOptions management role enables individual users to view and modify the basic configuration of their own mailbox and associated settings.
MyContactInformationMyContactInformation
MyContactInformation Роль управления позволяет отдельным пользователям изменять свою контактную информацию, включая адрес и номера телефона.The MyContactInformation management role enables individual users to modify their contact information, including address and phone numbers.
MyDistributionGroupMembershipMyDistributionGroupMembership
MyDistributionGroupMembership Роль управления позволяет отдельным пользователям просматривать и изменять их участия в группах рассылки в организации, при условии, что эти группы рассылки позволяет управлять членством в группе.The MyDistributionGroupMembership management role enables individual users to view and modify their membership in distribution groups in an organization, provided that those distribution groups allow manipulation of group membership.
MyDistributionGroupsMyDistributionGroups
MyDistributionGroups Роль управления позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки и изменение, просмотр, удаление и добавление всех членов группы рассылки, которые им принадлежат.The MyDistributionGroups management role enables individual users to create, modify, and view distribution groups, and to modify, view, remove, and add members to distribution groups they own.
MyMailSubscriptionMyMailSubscription
MyMailSubscription Роль позволяет отдельным пользователям просматривать и изменять параметры подписки по электронной почты, например, сообщение формате и протокол значения по умолчанию.The MyMailSubscription role enables individual users to view and modify their e-mail subscription settings such as message format and protocol defaults.
MyProfileInformationMyProfileInformation
MyProfileInformation Роль управления позволяет отдельным пользователям изменять имя.The MyProfileInformation management role enables individual users to modify their name.
MyRetentionPoliciesMyRetentionPolicies
MyRetentionPolicies Роль управления позволяет отдельным пользователям просматривать их теги хранения, а также просматривать и изменять свои параметры тегов хранения и значения по умолчанию.The MyRetentionPolicies management role enables individual users to view their retention tags, and to view and modify their retention tag settings and defaults.
MyTextMessagingMyTextMessaging
MyTextMessaging Роль управления позволяет отдельным пользователям создавать, просматривать и изменять параметры текстовых сообщений.The MyTextMessaging management role enables individual users to create, view, and modify their text messaging settings.
MyVoiceMailMyVoiceMail
MyVoiceMail Роль управления позволяет отдельным пользователям просматривать и изменять параметры голосовых сообщений.The MyVoiceMail management role enables individual users to view and modify their voice mail settings.
Мои приложения ReadWriteMailboxMy ReadWriteMailbox Apps
My ReadWriteMailbox Apps Роль управления позволяет пользователям устанавливать приложения с разрешениями ReadWriteMailbox.The My ReadWriteMailbox Apps management role enables users to install apps with ReadWriteMailbox permissions.
Мои пользовательские приложенияMy Custom Apps
My Custom Apps Роль управления позволяет пользователям просматривать и изменять свои настраиваемые приложения.The My Custom Apps management role enables users to view and modify their custom apps.