Exchange 混合部署中的权限

Exchange Online 或 Microsoft 365 Office 365 组织基于 Exchange Server,与本地组织一样,它还使用基于角色的访问控制 (RBAC) 来控制权限。 使用管理角色组向管理员授予权限,而使用管理角色分配策略向最终用户授予权限。

若要详细了解本地和本地Exchange Online中的权限,Exchange:Exchange Server的权限和Exchange Online。

管理员权限

默认情况下,用于创建组织的用户Office 365组织组织管理角色组的成员Exchange Online组。 此用户可以管理整个Exchange Online,包括组织级别设置的配置和收件人Exchange Online管理。

您可以在组织中添加Exchange Online管理员,具体取决于需要进行的管理。 例如,您可以添加其他组织管理员和收件人管理员,使专家用户能够执行合规性任务,如发现、配置自定义权限等。 Exchange Online管理员和 Microsoft 365 Office 365 管理员的所有 Exchange Online 权限管理必须在 Exchange Online 组织中使用 Exchange 管理中心 (EAC) 或 Exchange OnlinePowerShell。

重要

内部部署组织与内部部署组织之间不Microsoft 365或Office 365权限。 必须在内部部署组织中或内部部署组织中Microsoft 365 Office 365权限。

有关详细信息,请参阅Manage Role GroupsManage Role Group Members

委派邮箱权限

在本地部署Exchange,会向用户授予对其他用户邮箱的各种权限。 这称为委派邮箱权限,当管理助理需要管理其他用户邮箱的某一部分时,这非常有用;例如,管理主管的日历。 Exchange混合部署支持在位于内部部署 Exchange 组织的邮箱与位于 Microsoft 365 或 Office 365 中的邮箱之间使用部分(而不是全部)邮箱权限。 以下各节详细说明了支持和不支持哪些权限;支持混合邮箱权限所需的其他配置;以及邮箱权限在本地组织与内部部署组织之间的Microsoft 365 Office 365。

混合环境中邮箱权限

并非所有邮箱权限在混合环境中Exchange受到支持。

混合环境中支持的邮箱权限

  • 完全访问:本地 Exchange 上的邮箱可以被授予对 Microsoft 365 或 Office 365 邮箱的完全访问权限,反之亦然。 例如,Microsoft 365或Office 365邮箱可以授予对内部部署共享邮箱的完全访问权限。 用户需要使用桌面客户端Outlook邮箱。 跨内部部署邮箱权限在部署中并不Outlook 网页版。 用户可以使用 Open another mailbox in Outlook 网页版打开他们拥有完全 访问权限的其他邮箱。 但是,这将在用户访问邮箱之前生成重定向链接和凭据提示。

    备注

    用户首次访问另一个组织的邮箱并将其添加到其配置文件中时,可能会收到Outlook提示。

  • 代表发送:本地 Exchange 服务器的邮箱可以被授予对 Microsoft 365 或 Office 365 邮箱的"代表发送"权限,反之亦然。 例如,Microsoft 365或Office 365可以授予本地共享邮箱的"代表发送"权限。 用户需要使用桌面客户端Outlook邮箱;不支持跨内部部署邮箱Outlook 网页版。

    您的本地服务器需要Azure Active Directory 连接一些更改,以代表发送权限在本地服务器和 Exchange Online 之间Exchange同步。 有关详细信息,请参阅本文稍后介绍的在 Azure Active Directory 连接启用混合邮箱权限支持部分。

  • 专用项目:授予邮箱的完全访问权限时,可以决定是否允许代理查看私人项目 (私人会议、约会、联系人或) 邮箱中的任务。

    若要与代理共享私有项目,请使用以下Outlook:

    1. 转到"文件 > ""帐户设置 > 委派访问"

      Outlook 中的"委派访问"设置。

    2. 在下一个窗口中,单击"添加 "。 将显示一个新菜单,列出您组织中的人员。 选择代理,然后单击确定。

    3. 将显示以下图像,可在其中选择相关复选框以与代理人共享私人项目。

      代理可以在"管理"中查看我的Outlook。

有关详细信息,请参阅在混合环境中Office 365概述

混合环境中不支持的邮箱权限和功能

  • 发送方式:允许用户发送邮件,就好像它看起来来自另一个用户的邮箱一样。 Azure AD 连接不会在本地 Exchange 和 Microsoft 365 或 Office 365 之间自动同步"发送为"权限,因此不支持跨界发送为权限。 但是,如果在这两种环境中手动添加"发送为"权限,对本地 Exchange 使用 Exchange 命令行管理程序,对 Microsoft 365 或 Office 365 使用 Exchange Online PowerShell,则"发送方式"在大多数情况下都工作。

    例如,您希望将名为 ONPREM1 的本地邮箱的"发送为"权限授予云邮箱名称 EXO1。

    在本地命令行管理程序Exchange命令行管理程序中运行Exchange命令:

    Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
    

    然后在 PowerShell 中运行Exchange Online命令:

    Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs
    

    备注

    还需要"发送为"权限才能符合内部部署服务器Exchange和AAD 连接两节中的要求。

  • 自动映射:Outlook启用自动打开用户已被授予启动时的 完全访问权限的任何 邮箱。 (请注意,自动映射仅适用于被授予适当权限的单个用户,并且不能用于任何类型的组)

  • 文件夹权限:授予对特定文件夹内容的访问权限。

从另一个邮箱接收这些权限的任何邮箱都需要与授予邮箱同时移动。 如果邮箱从多个邮箱接收权限,该邮箱以及向其授予权限的所有邮箱需同时移动。 有关详细信息,请参阅 https://support.microsoft.com/help/3064053

配置内部部署Exchange服务器以支持混合邮箱权限

若要在混合部署中启用"完全访问"和"代表发送"权限,可能需要进行更多配置更改,Exchange安装的版本。 下表显示了哪些版本的 Exchange支持具有 Microsoft 365 或 Office 365 的混合部署中的委派邮箱权限,以及需要哪些附加配置。 有关配置 Exchange 2013 和 2010 服务器和邮箱以支持 ACL 的步骤,请参阅配置Exchange以支持混合部署中的委派邮箱权限。


Exchange 版本 先决条件
Exchange 2016 在组织级别启用 ACLable 对象同步。
在组织级别启用 ACLable 对象同步Microsoft 365或Office 365每个邮箱上的 ACL 手动启用。
在组织级别启用 ACLable 对象同步后Microsoft 365或Office 365邮箱不需要其他配置。
Exchange 2013 Exchange 2013 服务器需要以下各项:
  • 安装的最新累积更新 (CU) CU 或上一个 CU。 Exchange运行旧 US 的 2013 服务器不受支持,并且可能无法在混合部署中处理委派邮箱权限。
  • 将Exchange组织配置为允许访问控制列表 (ACL) 标记在邮件对象上,并与其Microsoft 365或Office 365。
  • 与在 Exchange 2013 CU10 之前移动到 Microsoft 365 或 Office 365 的邮箱关联的本地远程邮箱需要手动配置以支持 ACL。 自动配置在运行 Exchange 2013 CU10 或更高版本的服务器上以及 Exchange 组织设置为允许 ACL 之后创建的远程邮箱。
Exchange 2010 不再受支持。
以前,需要将与 Microsoft 365 或 Office 365 关联的本地远程邮箱配置为支持 ACL。 必须针对与邮箱或邮箱关联的每个本地远程邮箱Microsoft 365 Office 365此操作。
Exchange 2007 或更早版本 不支持。

在邮箱中启用对混合邮箱权限Azure Active Directory 连接

除了配置内部部署Exchange,您还需要确保将Azure Active Directory 连接 (AAD 连接) 服务器设置为同步混合邮箱权限。 下面是确保你的 AAD 连接 服务器已准备好支持这些权限需要执行哪些操作:

  • Upgrade AAD 连接: AAD 连接需要升级到版本 1.1.553.0。 你可以从 AAD 连接 下载Microsoft Azure Active Directory 连接。

  • 在 AAD 连接 中启用 Exchange 混合:若要同步启用混合邮箱权限的属性 (特别是"代表发送"权限) ,您需要确保 Exchange 混合 部署配置选项在 AAD 连接 中已启用。 若要了解如何再次运行 AAD 连接 安装向导以更新其配置,请参阅Azure AD 连接同步:再次运行安装向导

最终用户权限

与管理员权限一样,Exchange Online最终用户可以被授予权限。 默认情况下,会通过默认角色分配策略向最终用户授予权限。 此策略应用于组织组织Exchange Online邮箱。 如果默认情况下授予的权限足够使用,则您无需更改任何内容。

如果要自定义最终用户权限,可以修改现有默认角色分配策略,也可以创建新的分配策略。 如果创建多个分配策略,则可以向不同邮箱组分配不同策略,从而使您可以根据每个组的要求控制向每个组授予的权限。 最终用户的所有权限Exchange Online必须使用 EAC 或 Exchange Online PowerShell 在 Exchange Online 组织中执行。

与管理员权限一样,最终用户权限不会在本地组织与组织之间Exchange Online传输。 必须在内部部署组织中重新创建在内部部署组织中Exchange Online权限。

有关详细信息,请参阅Manage Role Assignment PoliciesChange the Assignment Policy on a Mailbox

下表列出了默认策略授予的权限,角色分配策略Exchange Online权限。


管理角色 说明
MyTeamMailboxes 管理 MyTeamMailboxes 角色使各个用户能够创建网站邮箱,并连接到 Microsoft SharePoint站点。
我的市场应用程序 管理 My Marketplace Apps 角色使单个用户能够查看和修改其Microsoft Office应用程序。
MyBaseOptions 管理 MyBaseOptions 角色使各个用户能够查看和修改其自己的邮箱和关联设置的基本配置。
MyContactInformation 管理 MyContactInformation 角色使各个用户能够修改其联系人信息,包括地址和电话号码。
MyDistributionGroupMembership 管理角色使各个用户可以查看和修改其组织中通讯组的成员身份(如果这些通讯组允许 MyDistributionGroupMembership 操作组成员身份)。
MyDistributionGroups 管理角色使各个用户能够创建、修改和查看通讯组,以及修改、查看、删除和添加他们拥有 MyDistributionGroups 通讯组的成员。
MyMailSubscription 该角色使各个用户能够查看和修改其电子邮件订阅设置,如邮件 MyMailSubscription 格式和协议默认设置。
MyProfileInformation 管理 MyProfileInformation 角色使各个用户能够修改其名称。
MyRetentionPolicies 管理 MyRetentionPolicies 角色使各个用户能够查看其保留标记,以及查看和修改其保留标记设置和默认值。
MyTextMessaging 管理 MyTextMessaging 角色使各个用户能够创建、查看和修改其短信设置。
MyVoiceMail 管理 MyVoiceMail 角色使各个用户能够查看和修改其语音邮件设置。
我的 ReadWriteMailbox 应用程序 管理 My ReadWriteMailbox Apps 角色使用户能够安装具有 ReadWriteMailbox 权限的应用。
我的自定义应用程序 管理 My Custom Apps 角色使用户能够查看和修改其自定义应用。