Berechtigungen in Exchange-Hybridbereitstellungen
Die Exchange Online in Microsoft 365 oder Office 365 Organisation basiert auf Exchange Server und verwendet wie lokale Organisationen auch rollenbasierte Access Control (RBAC), um Berechtigungen zu steuern. Administratoren werden Berechtigungen über Verwaltungsrollengruppen erteilt, während Endbenutzern Berechtigungen über Zuweisungsrichtlinien für Verwaltungsrollen erteilt werden.
Weitere Informationen zu Berechtigungen in Exchange Online und lokalem Exchange finden Sie unter Exchange Server Berechtigungen und Featureberechtigungen in Exchange Online.
Administratorberechtigungen
Standardmäßig wird der Benutzer, der zum Erstellen der Office 365 Organisation verwendet wurde, mitglied der Rollengruppe Organisationsverwaltung in der Exchange Online Organisation. Dieser Benutzer kann die gesamte Exchange Online Organisation verwalten, einschließlich der Konfiguration der Einstellungen auf Organisationsebene und der Verwaltung von Exchange Online Empfängern.
Sie können weitere Administratoren in der Exchange Online Organisation hinzufügen, je nachdem, welche Verwaltung durchgeführt werden muss. Sie können z. B. andere Organisationsadministratoren und Empfängeradministratoren hinzufügen und es spezialisierten Benutzern ermöglichen, Complianceaufgaben wie die Ermittlung auszuführen, benutzerdefinierte Berechtigungen zu konfigurieren und vieles mehr. Alle Exchange Online-Berechtigungsverwaltung für Microsoft 365- und Office 365-Administratoren müssen in der Exchange Online Organisation entweder über das Exchange Admin Center (EAC) oder Exchange Online PowerShell ausgeführt werden.
Wichtig
Es erfolgt keine Übertragung von Berechtigungen zwischen der lokalen Organisation und der Microsoft 365- oder Office 365-Organisation. Berechtigungen, die Sie in der lokalen Organisation definiert haben, müssen in der Microsoft 365- oder Office 365 Organisation neu erstellt werden.
Weitere Informationen finden Sie unter Manage Role Groups und Manage Role Group Members.
Delegieren von Berechtigungen für Postfächer
In lokalen Exchange-Bereitstellungen erhalten Benutzer verschiedene Berechtigungen für die Postfächer anderer Benutzer. Dies wird als delegierte Postfachberechtigungen bezeichnet und ist nützlich, wenn ein Administrator einen Teil des Postfachs eines anderen Benutzers verwalten muss. z. B. die Verwaltung des Kalenders einer Führungskraft. Exchange-Hybridbereitstellungen unterstützen die Verwendung einiger, aber nicht aller Postfachberechtigungen zwischen Postfächern in einer lokalen Exchange-Organisation und Postfächern in Microsoft 365 oder Office 365. In den folgenden Abschnitten wird ausführlich beschrieben, welche Berechtigungen unterstützt werden und welche nicht. andere Konfigurationen, die zur Unterstützung hybrider Postfachberechtigungen erforderlich sind; und wie Postfachberechtigungen zwischen Ihrer lokalen Organisation und Microsoft 365 oder Office 365 synchronisiert werden.
Postfachberechtigungen in Hybridumgebungen
Nicht alle Postfachberechtigungen werden in einer Exchange-Hybridumgebung vollständig unterstützt.
In Hybridumgebungen unterstützte Postfachberechtigungen
Vollzugriff: Einem Postfach auf einem lokalen Exchange-Server kann die Vollzugriffsberechtigung für ein Microsoft 365- oder Office 365-Postfach gewährt werden und umgekehrt. Beispielsweise kann einem Microsoft 365- oder Office 365 Postfach die Vollzugriffsberechtigung für ein lokales freigegebenes Postfach erteilt werden. Benutzer müssen das Postfach mithilfe des Outlook-Desktopclients öffnen. Standortübergreifende Postfachberechtigungen werden in Outlook im Web nicht vollständig unterstützt. Benutzer können "Weiteres Postfach in Outlook im Web öffnen" verwenden, um andere Postfächer zu öffnen, in denen sie über die Berechtigung "Vollzugriff" verfügen. Dadurch werden jedoch ein Umleitungslink und eine Aufforderung zu Anmeldeinformationen generiert, bevor der Benutzer auf das Postfach zugreifen kann.
Hinweis
Benutzer erhalten möglicherweise zusätzliche Anmeldeinformationen, wenn sie zum ersten Mal auf ein Postfach zugreifen, das sich in der anderen Organisation befindet, und fügen es ihrem Outlook-Profil hinzu.
Im Auftrag senden: Einem Postfach auf einem lokalen Exchange-Server kann die Berechtigung Senden im Auftrag für ein Microsoft 365- oder Office 365-Postfach erteilt werden und umgekehrt. Beispielsweise kann einem Microsoft 365- oder Office 365-Postfach die Berechtigung Senden im Auftrag für ein lokales freigegebenes Postfach erteilt werden. Benutzer müssen das Postfach mithilfe des Outlook-Desktopclients öffnen. Standortübergreifende Postfachberechtigungen werden in Outlook im Web nicht unterstützt.
Auf Ihrem Azure Active Directory Connect-Server sind einige Änderungen erforderlich, damit die Berechtigungen "Im Auftrag senden" zwischen Ihren lokalen Exchange-Servern und Exchange Online synchronisiert werden können. Weitere Informationen finden Sie im Abschnitt Aktivieren der Unterstützung für Hybridpostfachberechtigungen in Azure Active Directory Connect weiter unten in diesem Artikel.
Private Elemente: Wenn Sie einem Postfach die Vollzugriffsberechtigung erteilen, können Sie entscheiden, ob der Stellvertretung private Elemente (private Besprechungen, Termine, Kontakte oder Aufgaben) im Postfach anzeigen darf.
Gehen Sie wie folgt vor, um private Elemente für einen Delegaten freizugeben:
Wechseln Sie zuDateikontoeinstellungen>>Delegatzugriff.
Klicken Sie im nächsten Fenster auf Hinzufügen. Ein neues Menü wird angezeigt, um die Personen in Ihrer Organisation aufzulisten. Wählen Sie einen Delegaten aus, und klicken Sie auf OK.
Die folgende Abbildung wird angezeigt, in der Sie das zugehörige Kontrollkästchen aktivieren können, um private Elemente für einen Delegaten zu teilen.
Weitere Informationen finden Sie unter Übersicht über die Delegierung in einer Office 365 Hybridumgebung.
Postfachberechtigungen und -funktionen werden in Hybridumgebungen NICHT unterstützt
Senden als: Ermöglicht es einem Benutzer, E-Mails so zu senden, als ob sie aus dem Postfach eines anderen Benutzers stammen. Azure AD Connect synchronisiert nicht automatisch die Berechtigung "Senden als" zwischen lokalem Exchange und Microsoft 365 oder Office 365, sodass standortübergreifende Sende-als-Berechtigungen nicht unterstützt werden. Senden als funktioniert jedoch in den meisten Szenarien, wenn Sie die Berechtigungen "Senden als" in beiden Umgebungen mithilfe der Exchange-Verwaltungsshell für lokales Exchange und Exchange Online PowerShell für Microsoft 365 oder Office 365 manuell hinzufügen.
Beispielsweise möchten Sie einem Cloudpostfach namens EXO1 die Berechtigung Senden als für ein lokales Postfach mit dem Namen ONPREM1 erteilen.
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell auf Ihrem lokalen Exchange-Server aus:
Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Add-ADPermission.
Führen Sie dann den entsprechenden Befehl in Exchange Online PowerShell aus:
Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Add-RecipientPermission.
Hinweis
Die Berechtigung "Senden als" ist auch erforderlich, um die Anforderungen des lokalen Exchange-Servers und AAD Connect in den nächsten beiden Abschnitten zu erfüllen.
Automatische Zuordnung: Ermöglicht Outlook, automatisch alle Postfächer zu öffnen, auf die einem Benutzer beim Start Vollzugriff gewährt wurde. (Beachten Sie, dass die automatische Zuordnung nur für einzelne Benutzer funktioniert, denen die richtigen Berechtigungen erteilt wurden, und nicht für jede Art von Gruppe.)
Ordnerberechtigungen: Gewährt Zugriff auf den Inhalt eines bestimmten Ordners.
Postfächer, die diese Berechtigungen von einem anderen Postfach empfangen, müssen gleichzeitig mit diesem Postfach verschoben werden. Wenn ein Postfach Berechtigungen von mehreren Postfächern empfängt, müssen dieses Postfach und alle Postfächer, die Berechtigungen dafür gewähren, gleichzeitig verschoben werden. Weitere Informationen finden Sie unter https://support.microsoft.com/help/3064053.
Konfigurieren der lokalen Exchange-Server zur Unterstützung von Hybridpostfachberechtigungen
Um die Berechtigungen Vollzugriff und Senden im Auftrag in einer Hybridbereitstellung zu aktivieren, sind je nach installierter Version von Exchange möglicherweise weitere Konfigurationsänderungen erforderlich. Die folgende Tabelle zeigt, welche Versionen von Exchange delegierte Postfachberechtigungen in einer Hybridbereitstellung mit Microsoft 365 oder Office 365 unterstützen und welche zusätzliche Konfiguration erforderlich ist. Schritte zum Konfigurieren von Exchange 2013- und 2010-Servern und Postfächern für die Unterstützung von Zugriffssteuerungslisten finden Sie unter Configure Exchange to support delegated mailbox permissions in a hybrid deployment.
Exchange-Version | Voraussetzungen |
---|---|
Exchange 2016 | Aktivieren Sie die ACLable-Objektsynchronisierung auf Organisationsebene. Manuelles Aktivieren von ACLs für jedes Postfach, das auf Microsoft 365 oder Office 365 verschoben wurde, bevor die ACLable-Objektsynchronisierung auf Organisationsebene aktiviert wurde. Für Postfächer, die nach Microsoft 365 oder Office 365 verschoben werden, ist keine zusätzliche Konfiguration erforderlich, nachdem die ACLable-Objektsynchronisierung auf Organisationsebene aktiviert wurde. |
Exchange 2013 | Für Exchange 2013-Server müssen folgende Voraussetzungen erfüllt sein:
|
Exchange 2010 | Wird nicht mehr unterstützt. Bisher mussten lokale Remotepostfächer, die Microsoft 365 oder Office 365 Postfächern zugeordnet sind, für die Unterstützung von ACLs konfiguriert werden. Dies war für jedes lokale Remotepostfach erforderlich, das einem Microsoft 365- oder Office 365-Postfach zugeordnet ist. |
Exchange 2007 oder älter | Nicht unterstützt |
Aktivieren der Unterstützung für Hybridpostfachberechtigungen in Azure Active Directory Connect
Neben der Konfiguration der lokalen Exchange-Server müssen Sie auch sicherstellen, dass der Azure Active Directory Connect-Server (AAD Connect) für die Synchronisierung von Hybridpostfachberechtigungen eingerichtet ist. Führen Sie die folgenden Schritte durch, um sicherzustellen, dass der AAD Connect-Server für die Unterstützung dieser Berechtigungen konfiguriert ist:
Upgrade von AAD Connect: AAD Connect muss mindestens auf Version 1.1.553.0 aktualisiert werden. Sie können die neueste Version von AAD Connect von Microsoft Azure Active Directory Connect herunterladen.
Aktivieren von Exchange Hybrid in AAD Connect: Um die Attribute zu synchronisieren, die Hybridpostfachberechtigungen (insbesondere die Berechtigung Senden im Auftrag) ermöglichen, müssen Sie sicherstellen, dass die Konfigurationsoption Exchange-Hybridbereitstellung in AAD Connect aktiviert ist. Informationen zum erneuten Ausführen des AAD Connect-Installations-Assistenten zum Aktualisieren der Konfiguration finden Sie unter Azure AD Connect-Synchronisierung: Ein zweites Mal den Installations-Assistenten ausführen.
Endbenutzerberechtigungen
Wie bei Administratorberechtigungen können Endbenutzern in Exchange Online Berechtigungen erteilt werden. Standardmäßig werden Endbenutzern Berechtigungen über die Standardrichtlinie für die Rollenzuweisung erteilt. Diese Richtlinie wird auf jedes Postfach in der Exchange Online Organisation angewendet. Wenn die standardmäßig erteilten Berechtigungen ausreichen, sind keine weiteren Schritte erforderlich.
Wenn Sie Endbenutzerberechtigungen anpassen möchten, können Sie entweder die vorhandene Standardrichtlinie für die Rollenzuweisung ändern oder neue Zuweisungsrichtlinien erstellen. Wenn Sie mehrere Zuweisungsrichtlinien erstellen, können Sie unterschiedlichen Gruppen von Postfächern unterschiedliche Richtlinien zuweisen, sodass Sie die Berechtigungen, die jeder Gruppe erteilt werden, entsprechend deren Anforderungen einrichten können. Die gesamte Berechtigungsverwaltung für Exchange Online Endbenutzer muss in der Exchange Online Organisation entweder mithilfe des EAC oder Exchange Online PowerShell ausgeführt werden.
Wie Administratorberechtigungen werden Endbenutzerberechtigungen nicht zwischen der lokalen Organisation und der Exchange Online Organisation übertragen. Alle Berechtigungen, die Sie in der lokalen Organisation definiert haben, müssen in der Exchange Online Organisation neu erstellt werden.
Weitere Informationen finden Sie unter Manage Role Assignment Policies und Change the Assignment Policy on a Mailbox.
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die von den Standardrollenzuweisungsrichtlinien in der Exchange Online Organisation gewährt werden.
Verwaltungsrolle | Beschreibung |
---|---|
MyTeamMailboxes | Die MyTeamMailboxes Verwaltungsrolle ermöglicht es einzelnen Benutzern, Websitepostfächer zu erstellen und sie mit Microsoft SharePoint-Websites zu verbinden. |
Eigene Marketplace-Apps | Die My Marketplace Apps Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihre Microsoft Office Marketplace-Apps anzuzeigen und zu ändern. |
MyBaseOptions | Mit MyBaseOptions der Verwaltungsrolle können einzelne Benutzer die grundlegende Konfiguration ihres eigenen Postfachs und der zugehörigen Einstellungen anzeigen und ändern. |
MyContactInformation | Mit MyContactInformation der Verwaltungsrolle können einzelne Benutzer ihre Kontaktinformationen ändern, einschließlich Adresse und Telefonnummern. |
MyDistributionGroupMembership | Die MyDistributionGroupMembership Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihre Mitgliedschaft in Verteilergruppen in einer Organisation anzuzeigen und zu ändern, wenn diese Verteilergruppen die Bearbeitung der Gruppenmitgliedschaft zulassen. |
MyDistributionGroups | Die MyDistributionGroups Verwaltungsrolle ermöglicht einzelnen Benutzern das Erstellen, Ändern und Anzeigen von Verteilergruppen sowie das Ändern, Anzeigen, Entfernen und Hinzufügen von Mitgliedern zu Verteilergruppen, die sie besitzen. |
MyMailSubscription | Die MyMailSubscription Rolle ermöglicht es einzelnen Benutzern, ihre Einstellungen für das E-Mail-Abonnement anzuzeigen und zu ändern, z. B. Nachrichtenformat und Protokollstandardeinstellungen. |
MyProfileInformation | Die MyProfileInformation Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihren Namen zu ändern. |
MyRetentionPolicies | Die MyRetentionPolicies Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihre Aufbewahrungstags anzuzeigen und ihre Einstellungen und Standardwerte für Aufbewahrungstags anzuzeigen und zu ändern. |
MyTextMessaging | Die MyTextMessaging Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihre Textnachrichteneinstellungen zu erstellen, anzuzeigen und zu ändern. |
MyVoiceMail | Mit MyVoiceMail der Verwaltungsrolle können einzelne Benutzer ihre Voicemaileinstellungen anzeigen und ändern. |
Eigene ReadWriteMailbox-Apps | Mit My ReadWriteMailbox Apps der Verwaltungsrolle können Benutzer Apps mit ReadWriteMailbox-Berechtigungen installieren. |
Eigene benutzerdefinierte Apps | Mit My Custom Apps der Verwaltungsrolle können Benutzer ihre benutzerdefinierten Apps anzeigen und ändern. |