Exchange Online в Microsoft 365 или Office 365 организации основана на Exchange Server и, как и в локальных организациях, она также использует контроль доступа на основе ролей (RBAC) для управления разрешениями. Администраторам разрешения предоставляются с помощью групп ролей управления, в то время как пользователи наделяются разрешениями на основе политик назначения ролей управления.
По умолчанию пользователь, который использовался для создания Office 365 организации, становится членом группы ролей "Управление организацией" в Exchange Online организации. Этот пользователь может управлять всей Exchange Online организацией, включая настройку параметров на уровне организации и управление получателями Exchange Online.
В Exchange Online организации можно добавить дополнительных администраторов в зависимости от того, каким образом необходимо управлять. Например, можно добавить других администраторов организации и администраторов получателей, разрешить специализированным пользователям выполнять такие задачи соответствия, как обнаружение, настройка пользовательских разрешений и многое другое. Все Exchange Online управление разрешениями для администраторов Microsoft 365 и Office 365 должно выполняться в Exchange Online организации с помощью Центра администрирования Exchange (EAC) или Exchange Online PowerShell.
Важно!
Передача разрешений между локальной организацией и Microsoft 365 или Office 365 организацией не осуществляется. Разрешения, определенные в локальной организации, должны быть повторно созданы в Microsoft 365 или Office 365 организации.
В локальных развертываниях Exchange пользователям предоставляются различные разрешения для почтовых ящиков других пользователей. Это называется делегированными разрешениями почтового ящика, и это полезно, когда административному помощник необходимо управлять какой-то частью почтового ящика другого пользователя, например, управлять календарем руководителя. Гибридные развертывания Exchange поддерживают использование некоторых( но не всех) разрешений почтовых ящиков между почтовыми ящиками, расположенными в локальной организации Exchange, и почтовыми ящиками, расположенными в Microsoft 365 или Office 365. В следующих разделах подробно описано, какие разрешения поддерживаются и не поддерживаются. другие конфигурации, необходимые для поддержки разрешений гибридного почтового ящика; и как синхронизируются разрешения почтового ящика между локальной организацией и Microsoft 365 или Office 365.
Разрешения почтовых ящиков в гибридных средах
Не все разрешения почтовых ящиков полностью поддерживаются в гибридной среде Exchange.
Разрешения для почтовых ящиков, поддерживаемые в гибридных средах
Полный доступ. Почтовому ящику на локальном сервере Exchange Server можно предоставить разрешение на полный доступ к почтовому ящику Microsoft 365 или Office 365, и наоборот. Например, почтовому ящику Microsoft 365 или Office 365 можно предоставить разрешение на полный доступ к локальному общему почтовому ящику. Пользователям необходимо открыть почтовый ящик с помощью классического клиента Outlook. Разрешения для разных почтовых ящиков не полностью поддерживаются в Outlook в Интернете. Пользователи могут использовать Открыть другой почтовый ящик в Outlook в Интернете, чтобы открыть другие почтовые ящики, где у них есть разрешение на полный доступ. Однако при этом создается ссылка перенаправления и запрос учетных данных, прежде чем пользователь сможет получить доступ к почтовому ящику.
Примечание
Пользователи могут получать дополнительные запросы учетных данных при первом доступе к почтовому ящику, который находится в другой организации, и добавить его в свой профиль Outlook.
Отправить от имени. Почтовому ящику на локальном сервере Exchange Server можно предоставить разрешение Отправить от имени в почтовый ящик Microsoft 365 или Office 365, и наоборот. Например, почтовому ящику Microsoft 365 или Office 365 можно предоставить разрешение Отправить от имени в локальный общий почтовый ящик. Пользователям необходимо открыть почтовый ящик с помощью классического клиента Outlook; Разрешения для меж локальных почтовых ящиков не поддерживаются в Outlook в Интернете.
Частные элементы. При предоставлении разрешения на полный доступ к почтовому ящику можно решить, следует ли разрешить делегату просматривать частные элементы (частные собрания, встречи, контакты или задачи) в почтовом ящике.
Чтобы предоставить делегату общий доступ к закрытым элементам, выполните следующую процедуру в Outlook:
Разрешения и возможности почтовых ящиков НЕ поддерживаются в гибридных средах
Отправить как. Позволяет пользователю отправлять почту так, как будто она поступает из почтового ящика другого пользователя. Microsoft Entra Connect не синхронизирует автоматически разрешение "Отправить как" между локальной средой Exchange и Microsoft 365 или Office 365, поэтому разрешения "Отправить как" для разных пользователей не поддерживаются. Однако отправка как будет работать в большинстве сценариев, если вручную добавить разрешения "Отправить как" в обеих средах с помощью командной консоли Exchange для локальной среды Exchange и Exchange Online PowerShell для Microsoft 365 или Office 365.
Например, вы хотите предоставить разрешение "Отправить как" для локального почтового ящика с именем ONPREM1 на имя облачного почтового ящика EXO1.
Выполните следующую команду в командной консоли Exchange на локальном сервере Exchange Server:
Разрешение Отправить как также требуется для соответствия требованиям локального сервера Exchange Server и Microsoft Entra Connect, приведенным в следующих двух разделах.
Автоматическое сопоставление. Позволяет Outlook автоматически открывать все почтовые ящики, к которым пользователь получил полный доступ при запуске. (Обратите внимание, что автоматическое сопоставление будет работать только для отдельных пользователей, которым предоставлены соответствующие разрешения, и не будет работать ни для какой группы.)
Разрешения для папок. Предоставляет доступ к содержимому определенной папки.
Почтовые ящики, получающие эти разрешения от другого почтового ящика, необходимо переместить вместе с ним. Если почтовый ящик получает разрешения от нескольких почтовых ящиков, все эти почтовые ящики (получающий и предоставляющие) необходимо переместить одновременно. Дополнительные сведения см. на странице https://support.microsoft.com/help/3064053.
Настройка поддержки гибридных разрешений для почтовых ящиков на локальных серверах Exchange Server
Чтобы включить разрешения полного доступа и отправки от имени в гибридном развертывании, могут потребоваться дополнительные изменения конфигурации в зависимости от установленной версии Exchange. В следующей таблице показано, какие версии Exchange поддерживают делегированные разрешения почтового ящика в гибридном развертывании с Microsoft 365 или Office 365 и какая дополнительная настройка необходима. Инструкции по настройке поддержки ACL для серверов и почтовых ящиков Exchange 2013 и Exchange 2010 см. в статье Configure Exchange to support delegated mailbox permissions in a hybrid deployment.
Версия Exchange
Предварительные требования
Exchange 2016
Включите синхронизацию объектов ACLable на уровне организации. Вручную включите списки управления доступом для каждого почтового ящика, перемещенного в Microsoft 365 или Office 365 до включения синхронизации объектов ACLable на уровне организации. Дополнительная настройка почтовых ящиков, перемещаемых в Microsoft 365 или Office 365 после включения синхронизации объектов ACLable на уровне организации, не требуется.
Exchange 2013
На серверах Exchange Server 2013 должны выполняться указанные ниже условия.
Установлен последний или предыдущий накопительный пакет обновления (CU). Серверы Exchange Server 2013 с более ранними накопительными пакетами обновления не поддерживаются и могут не работать с делегированными разрешениями для почтовых ящиков в гибридном развертывании.
Организация Exchange настроена так, чтобы списки управления доступом (ACL) помекались на почтовых объектах и синхронизирулись с Microsoft 365 или Office 365.
Локальные удаленные почтовые ящики, связанные с почтовыми ящиками, перемещенными в Microsoft 365 или Office 365 до Exchange 2013 CU10, необходимо вручную настроить для поддержки списков управления доступом. Удаленные почтовые ящики, созданные на серверах под управлением Exchange 2013 с накопительным пакетом обновления 10 (CU10) или более поздней версии после того, как в организации Exchange было разрешено использование ACL, настраиваются автоматически.
Exchange 2010
Больше не поддерживается. Ранее локальные удаленные почтовые ящики, связанные с Microsoft 365 или Office 365 почтовыми ящиками, необходимо было настроить для поддержки списков управления доступом. Это необходимо было сделать для каждого локального удаленного почтового ящика, связанного с почтовым ящиком Microsoft 365 или Office 365.
Exchange 2007 или более ранней версии
Не поддерживается.
Включение поддержки разрешений для гибридных почтовых ящиков в Microsoft Entra Connect
Помимо настройки локальных серверов Exchange, необходимо также убедиться, что сервер Microsoft Entra Connect (Microsoft Entra Connect) настроен для синхронизации разрешений гибридного почтового ящика. Вот что необходимо сделать, чтобы убедиться, что сервер Microsoft Entra Connect готов к поддержке этих разрешений:
Обновление Microsoft Entra Connect: Microsoft Entra Connect необходимо обновить как минимум до версии 1.1.553.0. Последнюю версию Microsoft Entra Connect можно скачать на странице Microsoft Entra Connect.
Включение гибридного использования Exchange в Microsoft Entra Connect. Чтобы синхронизировать атрибуты, которые включают разрешения гибридных почтовых ящиков (в частности, разрешение Отправить от имени), необходимо убедиться, что параметр конфигурации гибридного развертывания Exchange включен в Microsoft Entra Connect. Сведения о том, как снова запустить мастер установки Microsoft Entra Connect для обновления конфигурации, проверка Microsoft Entra Connect Sync: Запуск мастера установки во второй раз
Разрешения для конечных пользователей
Как и в случае с разрешениями администратора, конечным пользователям в Exchange Online могут быть предоставлены разрешения. По умолчанию они предоставляются пользователям через политику назначения ролей по умолчанию. Эта политика применяется ко всем почтовым ящикам в Exchange Online организации. Если предоставляемых по умолчанию разрешений оказывается достаточно, то ничего менять не требуется.
Если вы хотите настроить разрешения конечных пользователей, можно либо изменить существующую политику назначения ролей по умолчанию, либо создать новые политики назначений. При создании нескольких политик назначения можно назначать различные политики для различных групп почтовых ящиков, что позволяет управлять разрешениями, предоставленными каждой группе, в зависимости от их требований. Все управление разрешениями для Exchange Online конечных пользователей должно выполняться в Exchange Online организации с помощью центра администрирования EAC или Exchange Online PowerShell.
Как и разрешения администратора, разрешения конечных пользователей не передаются между локальной организацией и Exchange Online организацией. Все разрешения, определенные в локальной организации, должны быть повторно созданы в Exchange Online организации.
В следующей таблице перечислены разрешения, предоставляемые политиками назначения ролей по умолчанию в организации Exchange Online.
Роль управления
Описание
MyTeamMailboxes
Роль MyTeamMailboxes управления позволяет отдельным пользователям создавать почтовые ящики сайтов и подключать их к сайтам Microsoft SharePoint.
Мои приложения из Marketplace
Роль My Marketplace Apps управления позволяет отдельным пользователям просматривать и изменять приложения Microsoft Office Marketplace.
MyBaseOptions
Роль MyBaseOptions управления позволяет отдельным пользователям просматривать и изменять базовую конфигурацию собственного почтового ящика и связанных параметров.
MyContactInformation
Роль MyContactInformation управления позволяет отдельным пользователям изменять свои контактные данные, включая адреса и номера телефонов.
MyDistributionGroupMembership
Роль MyDistributionGroupMembership управления позволяет отдельным пользователям просматривать и изменять свое членство в группах рассылки в организации, если эти группы рассылки позволяют управлять членством в группах.
MyDistributionGroups
Роль MyDistributionGroups управления позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять участников в группы рассылки, владеют ими.
MyMailSubscription
Роль MyMailSubscription позволяет отдельным пользователям просматривать и изменять параметры подписки на электронную почту, такие как формат сообщений и параметры протокола по умолчанию.
MyProfileInformation
Роль MyProfileInformation управления позволяет отдельным пользователям изменять свое имя.
MyRetentionPolicies
Роль MyRetentionPolicies управления позволяет отдельным пользователям просматривать теги хранения, а также просматривать и изменять параметры тегов хранения и значения по умолчанию.
MyTextMessaging
Роль MyTextMessaging управления позволяет отдельным пользователям создавать, просматривать и изменять параметры обмена текстовыми сообщениями.
MyVoiceMail
Роль MyVoiceMail управления позволяет отдельным пользователям просматривать и изменять параметры голосовой почты.
Мои приложения ReadWriteMailbox
Роль My ReadWriteMailbox Apps управления позволяет пользователям устанавливать приложения с разрешениями ReadWriteMailbox.
Мои пользовательские приложения
Роль My Custom Apps управления позволяет пользователям просматривать и изменять пользовательские приложения.
Этот модуль анализирует использование ролей и групп ролей в модели разрешений Microsoft 365, включая управление ролями, рекомендации по настройке ролей администратора, делегированию ролей и повышению привилегий.
Продемонстрировать основы безопасности данных, управления жизненным циклом, информационной безопасности и соответствия требованиям для защиты развертывания Microsoft 365.