Berechtigungen in Exchange-Hybridbereitstellungen
Die Exchange Online in Microsoft 365 oder Office 365 organization basiert auf Exchange Server und verwendet wie lokale Organisationen auch rollenbasierte Access Control (RBAC), um Berechtigungen zu steuern. Administratoren werden Berechtigungen über Verwaltungsrollengruppen erteilt, während Endbenutzern Berechtigungen über Zuweisungsrichtlinien für Verwaltungsrollen erteilt werden.
Weitere Informationen zu Berechtigungen in Exchange Online und lokalem Exchange finden Sie unter Exchange Server Berechtigungen und Featureberechtigungen in Exchange Online.
Administratorberechtigungen
Standardmäßig wird der Benutzer, der zum Erstellen der Office 365 organization verwendet wurde, mitglied der Rollengruppe Organisationsverwaltung im Exchange Online organization. Dieser Benutzer kann die gesamte Exchange Online organization verwalten, einschließlich der Konfiguration der Einstellungen auf organization-Ebene und der Verwaltung von Exchange Online Empfängern.
Sie können weitere Administratoren in der Exchange Online organization hinzufügen, je nachdem, welche Verwaltung durchgeführt werden muss. Sie können z. B. weitere organization Administratoren und Empfängeradministratoren hinzufügen und es spezialisierten Benutzern ermöglichen, Complianceaufgaben wie die Ermittlung auszuführen, benutzerdefinierte Berechtigungen zu konfigurieren und vieles mehr. Alle Exchange Online-Berechtigungsverwaltung für Microsoft 365- und Office 365-Administratoren müssen im Exchange Online organization entweder über das Exchange Admin Center (EAC) oder Exchange Online PowerShell ausgeführt werden.
Wichtig
Es erfolgt keine Übertragung von Berechtigungen zwischen dem lokalen organization und microsoft 365 oder Office 365 organization. Berechtigungen, die Sie im lokalen organization definiert haben, müssen in Microsoft 365 oder Office 365 organization neu erstellt werden.
Weitere Informationen finden Sie unter Manage Role Groups und Manage Role Group Members.
Delegieren von Berechtigungen für Postfächer
In lokalen Exchange-Bereitstellungen erhalten Benutzer verschiedene Berechtigungen für die Postfächer anderer Benutzer. Dies wird als delegierte Postfachberechtigungen bezeichnet und ist nützlich, wenn eine administrative Assistent einen Teil des Postfachs eines anderen Benutzers verwalten muss, z. B. das Verwalten des Kalenders einer Führungskraft. Exchange-Hybridbereitstellungen unterstützen die Verwendung einiger, aber nicht aller Postfachberechtigungen zwischen Postfächern in einem lokalen Exchange-organization und Postfächern in Microsoft 365 oder Office 365. In den folgenden Abschnitten wird ausführlich beschrieben, welche Berechtigungen unterstützt werden und welche nicht. andere Konfigurationen, die zur Unterstützung hybrider Postfachberechtigungen erforderlich sind; und wie Postfachberechtigungen zwischen Ihren lokalen organization und Microsoft 365 oder Office 365 synchronisiert werden.
Postfachberechtigungen in Hybridumgebungen
Nicht alle Postfachberechtigungen werden in einer Exchange-Hybridumgebung vollständig unterstützt.
In Hybridumgebungen unterstützte Postfachberechtigungen
Vollzugriff: Einem Postfach auf einem lokalen Exchange-Server kann die Vollzugriffsberechtigung für ein Microsoft 365- oder Office 365-Postfach gewährt werden und umgekehrt. Beispielsweise kann einem Microsoft 365- oder Office 365-Postfach die Vollzugriffsberechtigung für ein lokales freigegebenes Postfach erteilt werden. Benutzer müssen das Postfach mithilfe des Outlook-Desktopclients öffnen. Standortübergreifende Postfachberechtigungen werden in Outlook im Web nicht vollständig unterstützt. Benutzer können "Weiteres Postfach in Outlook im Web öffnen" verwenden, um andere Postfächer zu öffnen, in denen sie über die Berechtigung "Vollzugriff" verfügen. Dadurch werden jedoch ein Umleitungslink und eine Aufforderung zu Anmeldeinformationen generiert, bevor der Benutzer auf das Postfach zugreifen kann.
Hinweis
Benutzer erhalten möglicherweise zusätzliche Anmeldeinformationen, wenn sie zum ersten Mal auf ein Postfach zugreifen, das sich im anderen organization befindet, und fügen es ihrem Outlook-Profil hinzu.
Im Auftrag senden: Einem Postfach auf einem lokalen Exchange-Server kann die Berechtigung Senden im Auftrag für ein Microsoft 365- oder Office 365-Postfach erteilt werden und umgekehrt. Beispielsweise kann einem Microsoft 365- oder Office 365-Postfach die Berechtigung Senden im Auftrag für ein lokales freigegebenes Postfach erteilt werden. Benutzer müssen das Postfach mithilfe des Outlook-Desktopclients öffnen. Standortübergreifende Postfachberechtigungen werden in Outlook im Web nicht unterstützt.
Es sind einige Änderungen auf Ihrem Microsoft Entra Connect-Server erforderlich, damit die Berechtigungen "Im Auftrag senden" zwischen Ihren lokalen Exchange-Servern und Exchange Online synchronisiert werden können. Weitere Informationen finden Sie im Abschnitt Aktivieren der Unterstützung für Hybridpostfachberechtigungen in Microsoft Entra Connect weiter unten in diesem Artikel.
Private Elemente: Wenn Sie einem Postfach die Vollzugriffsberechtigung erteilen, können Sie entscheiden, ob der Stellvertretung private Elemente (private Besprechungen, Termine, Kontakte oder Aufgaben) im Postfach anzeigen darf.
Gehen Sie wie folgt vor, um private Elemente für einen Delegaten freizugeben:
Wechseln Sie zuDateikontoeinstellungen>>Delegatzugriff.
Klicken Sie im nächsten Fenster auf Hinzufügen. Ein neues Menü wird angezeigt, um die Personen in Ihrem organization aufzulisten. Wählen Sie einen Delegaten aus, und klicken Sie auf OK.
Die folgende Abbildung wird angezeigt, in der Sie das zugehörige Kontrollkästchen aktivieren können, um private Elemente für einen Delegaten zu teilen.
Weitere Informationen finden Sie unter Übersicht über die Delegierung in einer Office 365 Hybridumgebung.
Postfachberechtigungen und -funktionen werden in Hybridumgebungen NICHT unterstützt
Senden als: Ermöglicht es einem Benutzer, E-Mails so zu senden, als ob sie aus dem Postfach eines anderen Benutzers stammen. Microsoft Entra Connect synchronisiert nicht automatisch die Berechtigung "Senden als" zwischen lokalem Exchange und Microsoft 365 oder Office 365, sodass standortübergreifende Sendeberechtigungen nicht unterstützt werden. Senden als funktioniert jedoch in den meisten Szenarien, wenn Sie die Berechtigungen "Senden als" in beiden Umgebungen mithilfe der Exchange-Verwaltungsshell für lokales Exchange und Exchange Online PowerShell für Microsoft 365 oder Office 365 manuell hinzufügen.
Sie möchten z. B. die Berechtigung Senden als für ein lokales Postfach mit dem Namen ONPREM1 einem Cloudpostfach mit dem Namen EXO1 erteilen.
Führen Sie den folgenden Befehl in der Exchange-Verwaltungsshell auf Ihrem lokalen Exchange-Server aus:
Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Add-ADPermission.
Führen Sie dann den entsprechenden Befehl in Exchange Online PowerShell aus:
Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Add-RecipientPermission.
Hinweis
Die Berechtigung "Senden als" ist auch erforderlich, um die Anforderungen des lokalen Exchange-Servers und Microsoft Entra Connect in den nächsten beiden Abschnitten zu erfüllen.
Automatische Zuordnung: Ermöglicht Outlook, automatisch alle Postfächer zu öffnen, auf die einem Benutzer beim Start Vollzugriff gewährt wurde. (Beachten Sie, dass die automatische Zuordnung nur für einzelne Benutzer funktioniert, denen die richtigen Berechtigungen erteilt wurden, und nicht für jede Art von Gruppe.)
Ordnerberechtigungen: Gewährt Zugriff auf den Inhalt eines bestimmten Ordners.
Postfächer, die diese Berechtigungen von einem anderen Postfach empfangen, müssen gleichzeitig mit diesem Postfach verschoben werden. Wenn ein Postfach Berechtigungen von mehreren Postfächern empfängt, müssen dieses Postfach und alle Postfächer, die Berechtigungen dafür gewähren, gleichzeitig verschoben werden. Weitere Informationen finden Sie unter https://support.microsoft.com/help/3064053.
Konfigurieren der lokalen Exchange-Server zur Unterstützung von Hybridpostfachberechtigungen
Um die Berechtigungen Vollzugriff und Senden im Auftrag in einer Hybridbereitstellung zu aktivieren, sind je nach installierter Version von Exchange möglicherweise weitere Konfigurationsänderungen erforderlich. Die folgende Tabelle zeigt, welche Versionen von Exchange delegierte Postfachberechtigungen in einer Hybridbereitstellung mit Microsoft 365 oder Office 365 unterstützen und welche zusätzliche Konfiguration erforderlich ist. Schritte zum Konfigurieren von Exchange 2013- und 2010-Servern und Postfächern für die Unterstützung von Zugriffssteuerungslisten finden Sie unter Configure Exchange to support delegated mailbox permissions in a hybrid deployment.
Exchange-Version | Voraussetzungen |
---|---|
Exchange 2016 | Aktivieren Sie die ACLable-Objektsynchronisierung auf organization Ebene. Manuelles Aktivieren von ACLs für jedes Postfach, das auf Microsoft 365 oder Office 365 verschoben wurde, bevor die ACL-fähige Objektsynchronisierung auf organization-Ebene aktiviert wurde. Für Postfächer, die nach Microsoft 365 oder Office 365 verschoben werden, ist keine zusätzliche Konfiguration erforderlich, nachdem die ACLable-Objektsynchronisierung auf organization-Ebene aktiviert wurde. |
Exchange 2013 | Für Exchange 2013-Server müssen folgende Voraussetzungen erfüllt sein:
|
Exchange 2010 | Wird nicht mehr unterstützt. Bisher mussten lokale Remotepostfächer, die Microsoft 365 oder Office 365 Postfächern zugeordnet sind, für die Unterstützung von ACLs konfiguriert werden. Dies war für jedes lokale Remotepostfach erforderlich, das einem Microsoft 365- oder Office 365-Postfach zugeordnet ist. |
Exchange 2007 oder älter | Nicht unterstützt |
Aktivieren der Unterstützung für Hybridpostfachberechtigungen in Microsoft Entra Connect
Zusätzlich zum Konfigurieren Ihrer lokalen Exchange-Server müssen Sie auch sicherstellen, dass Microsoft Entra Connect-Server (Microsoft Entra Connect) zum Synchronisieren von Hybridpostfachberechtigungen eingerichtet ist. Hier sehen Sie, was Sie tun müssen, um sicherzustellen, dass Ihr Microsoft Entra Connect-Server bereit ist, diese Berechtigungen zu unterstützen:
Upgrade Microsoft Entra Connect: Microsoft Entra Connect muss mindestens auf Version 1.1.553.0 aktualisiert werden. Sie können die neueste Version von Microsoft Entra Connect von Microsoft Entra Connect herunterladen.
Aktivieren von Exchange Hybrid in Microsoft Entra Connect: Um die Attribute zu synchronisieren, die Hybridpostfachberechtigungen (insbesondere die Berechtigung Senden im Auftrag) aktivieren, müssen Sie sicherstellen, dass die Konfigurationsoption Exchange Hybridbereitstellung in Microsoft Entra Connect aktiviert ist. Informationen zum erneuten Ausführen des Microsoft Entra Connect-Installations-Assistenten zum Aktualisieren der Konfiguration finden Sie unter Microsoft Entra Connect Sync: Ein zweites Ausführen des Installations-Assistenten
Endbenutzerberechtigungen
Wie bei Administratorberechtigungen können Endbenutzern in Exchange Online Berechtigungen erteilt werden. Standardmäßig werden Endbenutzern Berechtigungen über die Standardrichtlinie für die Rollenzuweisung erteilt. Diese Richtlinie wird auf jedes Postfach im Exchange Online organization angewendet. Wenn die standardmäßig erteilten Berechtigungen ausreichen, sind keine weiteren Schritte erforderlich.
Wenn Sie Endbenutzerberechtigungen anpassen möchten, können Sie entweder die vorhandene Standardrichtlinie für die Rollenzuweisung ändern oder neue Zuweisungsrichtlinien erstellen. Wenn Sie mehrere Zuweisungsrichtlinien erstellen, können Sie unterschiedlichen Gruppen von Postfächern unterschiedliche Richtlinien zuweisen, sodass Sie die Berechtigungen, die jeder Gruppe erteilt werden, entsprechend deren Anforderungen einrichten können. Die gesamte Berechtigungsverwaltung für Exchange Online Endbenutzer muss im Exchange Online organization entweder mithilfe des EAC oder Exchange Online PowerShell ausgeführt werden.
Wie Administratorberechtigungen werden Endbenutzerberechtigungen nicht zwischen dem lokalen organization und dem Exchange Online organization übertragen. Alle Berechtigungen, die Sie im lokalen organization definiert haben, müssen im Exchange Online organization neu erstellt werden.
Weitere Informationen finden Sie unter Manage Role Assignment Policies und Change the Assignment Policy on a Mailbox.
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die von den Standardrollenzuweisungsrichtlinien im Exchange Online organization gewährt werden.
Verwaltungsrolle | Beschreibung |
---|---|
MyTeamMailboxes | Die MyTeamMailboxes Verwaltungsrolle ermöglicht es einzelnen Benutzern, Websitepostfächer zu erstellen und sie mit Microsoft SharePoint-Websites zu verbinden. |
Eigene Marketplace-Apps | Die My Marketplace Apps Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihre Microsoft Office Marketplace-Apps anzuzeigen und zu ändern. |
MyBaseOptions | Mit MyBaseOptions der Verwaltungsrolle können einzelne Benutzer die grundlegende Konfiguration ihres eigenen Postfachs und der zugehörigen Einstellungen anzeigen und ändern. |
MyContactInformation | Mit MyContactInformation der Verwaltungsrolle können einzelne Benutzer ihre Kontaktinformationen ändern, einschließlich Adresse und Telefonnummern. |
MyDistributionGroupMembership | Die MyDistributionGroupMembership Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihre Mitgliedschaft in Verteilergruppen in einem organization anzuzeigen und zu ändern, wenn diese Verteilergruppen die Bearbeitung der Gruppenmitgliedschaft zulassen. |
MyDistributionGroups | Die MyDistributionGroups Verwaltungsrolle ermöglicht einzelnen Benutzern das Erstellen, Ändern und Anzeigen von Verteilergruppen sowie das Ändern, Anzeigen, Entfernen und Hinzufügen von Mitgliedern zu Verteilergruppen, die sie besitzen. |
MyMailSubscription | Die MyMailSubscription Rolle ermöglicht es einzelnen Benutzern, ihre Einstellungen für das E-Mail-Abonnement anzuzeigen und zu ändern, z. B. Nachrichtenformat und Protokollstandardeinstellungen. |
MyProfileInformation | Die MyProfileInformation Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihren Namen zu ändern. |
MyRetentionPolicies | Die MyRetentionPolicies Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihre Aufbewahrungstags anzuzeigen und ihre Einstellungen und Standardwerte für Aufbewahrungstags anzuzeigen und zu ändern. |
MyTextMessaging | Die MyTextMessaging Verwaltungsrolle ermöglicht es einzelnen Benutzern, ihre Textnachrichteneinstellungen zu erstellen, anzuzeigen und zu ändern. |
MyVoiceMail | Mit MyVoiceMail der Verwaltungsrolle können einzelne Benutzer ihre Voicemaileinstellungen anzeigen und ändern. |
Eigene ReadWriteMailbox-Apps | Mit My ReadWriteMailbox Apps der Verwaltungsrolle können Benutzer Apps mit ReadWriteMailbox-Berechtigungen installieren. |
Eigene benutzerdefinierte Apps | Mit My Custom Apps der Verwaltungsrolle können Benutzer ihre benutzerdefinierten Apps anzeigen und ändern. |