通过

在 Exchange Online 中管理已启用邮件的安全组

  • 项目

重要

查看新的 Exchange 管理中心! 体验是现代的、智能的、可访问的,并且更好。 个性化仪表板、管理跨租户迁移、体验改进的组功能等。 立即尝试

启用邮件的安全组可用于分发邮件和授予对 Active Directory 中的资源的访问权限。 有关详细信息,请参阅 Exchange Online 中的收件人

开始前,有必要了解什么?

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange OnlineExchange Online Protection 的论坛。

使用 Exchange 管理中心管理已启用邮件的安全组

使用新的 EAC 创建启用邮件的安全组

  1. 新的 EAC 中,导航到 “收件人>>”“已启用邮件的安全性”。

  2. 单击“ 添加组 ”,然后按照详细信息窗格中的说明进行操作。

    • “选择组类型 ”部分下,选择“ 已启用邮件的安全性 ”,然后单击“ 下一步”。

    • “设置基础知识 ”部分下,输入详细信息并单击“ 下一步”。

  3. “分配所有者 ”部分中,单击“ + 分配所有者”,从列表中选择组所有者,然后单击“ 下一步”。

  4. 在“ 添加成员”下,单击“ + 添加成员”,从列表中选择组成员,然后单击“ 下一步”。

  5. “编辑设置” 部分中,输入组电子邮件地址,配置以下内容,然后单击“ 下一步”:

    • 隐私:将其设置为公共或专用。

    • 将 Microsoft Teams 添加到组:选择此选项可为您的组创建团队。

  6. “查看并完成添加组 ”部分中,验证所有详细信息,单击“ 创建组”,然后单击“ 关闭”。

使用新的 EAC 更改已启用邮件的安全组属性

  1. 在新的 EAC 中,导航到 “收件人>>”“已启用邮件的安全性”。

  2. 在组列表中,单击要查看或更改的已启用邮件的安全组。

  3. 在组的属性页面上,单击下列部分之一查看或更改属性。

    完成后,单击“保存”。

    一般信息

    使用此部分可以查看或更改有关组的基本信息。

    • 名称:将电子邮件发送到此组时,此名称将显示在通讯簿的“ 目标 ”行中,以及“组”列表中。 显示名称是必需的,并且应当是用户友好的,以便用户可以识别它。 显示名称在域中还必须是唯一的。

    • 说明:使用此框描述组,以便人们知道组的用途。 此说明显示在通讯簿和新 EAC 的“详细信息”窗格中。

    电子邮件选项

    使用此部分可以查看或更改与该组关联的电子邮件地址。 这包括组的主 SMTP 地址和任何关联的代理地址。 在 “编辑电子邮件地址 ”页下,更改/编辑 主电子邮件地址,添加/删除 别名,然后单击“ 保存更改”。

    还可以选择组,然后单击工具栏中的“ 编辑电子邮件地址 ”以更改/编辑 主电子邮件地址,添加/删除 别名,然后单击“ 保存更改”。

    Members

    使用此部分可更改/编辑以下内容:

    • “所有者 ”部分下,单击“ 查看所有和管理所有者 ”,从下拉列表中添加/删除组所有者,然后单击“ 保存更改”。 启用邮件的安全组必须至少有一个所有者。

    • 在“ 成员 ”部分下,单击“ 查看所有和管理成员 ”,从下拉列表中添加/删除组成员,然后单击“ 保存更改”。 启用邮件的安全组必须至少有一个成员。

    设置

    “常规设置” 部分下,如果希望允许 外部用户向此组发送电子邮件, 请选择复选框“允许外部发件人向此组发送电子邮件”。

    传递管理

    使用此部分可以管理谁将电子邮件发送到该组。

    • 发件人选项

      默认情况下,只有组织内部的人员才能向此组发送邮件。 还可以允许组织外部的人员向此组发送邮件。

      • 仅允许来自我组织内部人员的邮件:选择此选项可仅允许组织中的发件人向组发送邮件。 这意味着如果组织外部的某个人向此组发送电子邮件,邮件将被拒绝。 这是默认设置。

      • 允许来自组织内外人员的邮件:选择此选项可允许任何人向组发送邮件。

    • 指定的发件人

      您可以通过仅允许特定发件人向此组发送邮件,来进一步限制可以将邮件发送到此组的发件人。 从下拉列表中选择/删除一个或多个收件人/组。 向此列表中添加发件人后,这些发件人将是唯一能够向此组发送邮件的人员。 不在此列表中的任何人发送的邮件都将被拒绝。

      重要

      如果您已将此组配置为只允许组织内部的发件人向此组发送邮件,则从邮件联系人发送的电子邮件将被拒绝,即使这些联系人已添加到此列表中也是如此。

    管理代理

    使用此部分可以向用户分配权限(称为"代理"),允许他们以组身份发送邮件或代表组发送邮件。 可以分配以下权限:

    • 发送方式:此权限允许委托以组身份发送消息。 分配此权限后,委托可以选择将组添加到 “发件人 ”行,以指示该消息是由组发送的。

    • 代表发送:此权限还允许代理人代表组发送邮件。 分配此权限后,委托可以选择将组添加到 “发件人 ”行。 邮件将显示为由组发送,并将说明该邮件由代理代表组发送。

    若要在新 EAC 中向委托分配权限,请在 “编辑委托 ”页下添加委托,从下拉列表中选择 “权限类型” ,然后单击“ 保存更改”。

    邮件审批

    使用此部分可以设置用于仲裁组的选项。 审阅人可以在发送到此组的邮件到达组成员之前批准或拒绝邮件。

    • 对于发送到此组的邮件,需要审查者批准:默认情况下不选中此复选框。 如果选中此复选框,则在传递传入邮件之前将由组审阅人检查邮件。 组审阅人可以批准或拒绝传入邮件。

    • 组审查员:若要添加/删除组审查员,请从下拉列表中搜索/添加用户。 如果已为 发送到此组的邮件选择了“需要审查人审批 ”,并且未选择审查人,则发送到该组的消息将发送给组所有者进行审批。

    • 添加不需要邮件审批的发件人:若要添加/删除可绕过此组审查的用户,请从下拉列表中搜索/添加用户。

    • 如果发件人的邮件未获批准,则通知发件人:使用此部分可设置通知用户有关邮件审批的通知方式。

      • 仅限发件人:这是默认设置。 当组织内部和外部发件人的邮件未得到批准时,通知所有发件人。

      • 仅限组织中的发件人:选择此选项时,只有组织中的用户或组在发送给该组的邮件未获得审查者的批准时收到通知。

      • 无通知:选择此选项时,不会将通知发送给邮件未经组审查者批准的发件人。

    成员资格审批

    使用此部分可指定用户是否需要组所有者批准才能加入此组。

使用经典 EAC 创建已启用邮件的安全组

  1. 在经典 EAC 中,导航到 “收件人>”。

  2. 单击“ 新建添加”图标。>安全组

  3. 在“新建安全组”页上,填写下列字段:

    • * 显示名称:使用此框可键入显示名称。 向此组发送电子邮件时,此名称将显示在共享通讯簿中的“目标:”行中,以及经典 EAC 中的“组”列表中。 显示名称是必需的,并且应当是用户友好的,以便用户可以识别它。 它在林中必须也是唯一的。

      注意

      如果已应用组命名策略,则必须遵循对组织强制执行的命名约束。 有关详细信息,请参阅创建通讯组命名策略。 如果要替代组织的组命名策略,请参阅重命名策略的通讯组

    • * 别名:使用此框可键入安全组的别名。 别名的长度不能超过 64 个字符,并且在林中必须是唯一的。 当用户在电子邮件的"收件人:"行中键入别名时,别名会解析为相应组的显示名称。

    • 说明:使用此框描述安全组,以便人们知道组的用途。

    • 组织单位:可以选择组织单位 (OU) ,而不是默认 (收件人范围) 。 如果收件人范围设置为林,则默认值设置为 Active Directory 域中包含运行经典 EAC 的计算机的用户容器。 如果将收件人作用域设置为特定域,则将默认选择该域中的"用户"容器。 如果将收件人范围设置为某个特定 OU,则默认情况下,将选择该 OU。

      若要选择其他 OU,请单击“浏览”。 此时,对话框中会显示林中指定范围内的所有 OU。 选择所需的 OU,然后单击“确定”。

    • * 所有者:默认情况下,创建组的人员是所有者。 所有组都必须至少有一个所有者。 可以通过单击“ 添加”来添加所有者。

    • 成员:使用此部分可以添加成员,并指定用户加入或离开组是否需要审批。

      组所有者不必是组的成员。 使用将组所有者添加为成员可以将所有者添加为成员,或删除所有者的成员身份。

      若要向组添加成员,请单击“添加”图标。 添加完成员后,点击确定,返回到新建安全组页面。

      如果你希望组所有者接收用户发出的加入组请求,请选中“需要所有者审批”复选框。 选中此选项后,只有组所有者才能删除成员。

  4. 完成后,请单击“保存”以创建安全组。

    注意

    默认情况下,所有启用邮件的新安全组都要求对所有发件人进行身份验证。 这样一来,可防止外部发件人将邮件发送到启用邮件的安全组。 若要将启用邮件的安全组配置为接受所有收件人发送的邮件,必须修改相应组的邮件传递限制设置。

使用经典 EAC 更改已启用邮件的安全组属性

  1. 在经典 EAC 中,导航到 “收件人>”。

  2. 在组列表中,单击要查看或更改的安全组,然后单击 “编辑”图标

  3. 在组属性页面上,单击以下部分之一来查看或更改属性。

    完成后,单击“保存”。

    一般信息

    使用此部分可以查看或更改有关组的基本信息。

    • * 显示名称:电子邮件发送到此组时,此名称显示在通讯簿中的“To:”行中,以及“组”列表中。 显示名称是必需的,并且应当是用户友好的,以便用户可以识别它。 显示名称在域中还必须是唯一的。

    • * 别名:这是出现在 (@) 符号左侧的电子邮件地址部分。 如果更改别名,组的主 SMTP 地址也会更改,并包含新的别名。 同时,带有之前别名的电子邮件地址将作为该组的代理地址保留。

    • 说明:使用此框描述组,以便人们知道组的用途。 此说明出现在通讯簿和 EAC 的"详细信息"窗格中。

    • 从地址列表中隐藏此组:如果不希望用户在通讯簿中看到此组,请选中此复选框。 选中此复选框后,发件人必须在"收件人:"或"抄送:"行上键入组的别名或电子邮件地址,才能将邮件发送到相应组。

      提示

      应考虑隐藏安全组,原因是这些组通常用于向组成员分配权限,而不是用于发送电子邮件。

    • 组织单位:此只读框显示包含安全组的组织单位 (OU) 。 必须使用 Active Directory 用户和计算机,才能将组移到其他 OU 中。

    Ownership

    在此部分中可以分配组所有者。 组所有者不仅可以在组中添加成员,还能批准或拒绝加入组请求。 默认情况下,组创建者即为组所有者。 所有组都必须至少有一个所有者。

    可以通过单击“添加图标添加所有者。 可以通过选择所有者并单击“删除删除图标来删除所有者。

    成员身份

    使用此部分可以添加或删除成员。 组所有者不必是组的成员。 在“ 成员”下,可以通过单击“ 添加”“添加图标”来添加成员。 可以通过在成员列表中选择用户,然后单击“ 删除”图标来删除成员。

    成员身份审批

    在此部分中可以指定用户是否需要获得所有者批准才能加入组。 如果你选中“需要所有者审批”复选框,一名或多名组所有者会收到请求审批加入组的电子邮件。 如前所述,只有所有者才能从组中删除成员。

    注意

    由于存在与安全相关的限制,因此无法对启用邮件的安全组使用这个选项。

    传递管理

    使用此部分可以管理谁将电子邮件发送到该组。

    • 仅组织内的发件人:选择此选项可仅允许组织中的发件人向组发送邮件。 这意味着如果组织外部的某个人向此组发送电子邮件,邮件将被拒绝。 这是默认设置。

    • 组织内外的发件人:选择此选项可允许任何人向组发送邮件。

      您可以通过仅允许特定发件人向此组发送邮件,来进一步限制可以将邮件发送到此组的发件人。 单击“ 添加”图标, 然后选择一个或多个收件人。 向此列表中添加发件人后,这些发件人将是唯一能够向此组发送邮件的人员。 不在此列表中的任何人发送的邮件都将被拒绝。

      若要从列表中删除个人或组,请在列表中选择他们,然后单击“ 删除”图标

      重要

      如果您已将此组配置为只允许组织内部的发件人向此组发送邮件,则从邮件联系人发送的电子邮件将被拒绝,即使这些联系人已添加到此列表中也是如此。

    邮件审批

    使用此部分可以设置用于仲裁组的选项。 审阅人可以在发送到此组的邮件到达组成员之前批准或拒绝邮件。

    • 发送到此组的消息必须经过审查员的批准:默认情况下不选中此复选框。 如果你选中此复选框,传入的邮件在传递前会先由组审查方进行检查。 组审查方可以批准或拒绝传入的邮件。

    • 组审查员:若要添加组审查员,请单击“ 添加”图标。 若要删除审查器,请选择审查器,然后单击“ 删除”图标。 如果已选中"发送到此组的邮件必须由审查方批准",但未选择审查方,则发送到此组的邮件将会发送给组所有者以供审批。

    • 不需要邮件审批的发件人:若要添加可绕过此组审查的人员或组,请单击“添加添加图标”。 若要删除个人或组,请选择该项目,然后单击“ 删除”图标

    • 选择审核通知:使用此部分可设置有关消息审批通知用户的方式。

      • 当发件人的邮件未获批准时通知所有发件人:这是默认设置。 当组织内外的发件人的邮件未获批准时,将收到通知。

      • 当发件人的邮件未获批准时,通知组织中的发件人:选择此选项时,当他们发送到组的邮件未获得审查员批准时,只会通知组织中的人员或组。

      • 邮件未获批准时不通知任何人:选择此选项时,不会向邮件未获得组审查者批准的邮件发件人发送通知。

    电子邮件选项

    使用此部分可以查看或更改与该组关联的电子邮件地址。 这包括组的主 SMTP 地址和任何关联的代理地址。 主 SMTP 地址 (也称为答复地址) 在地址列表中以粗体文本显示,“类型”列中的大写 SMTP 值。

    • 添加:单击添加”图标,为此邮箱添加新电子邮件地址。 选择以下地址类型之一:

      • "SMTP" 这是默认的地址类型。 单击此按钮,然后在“* Email地址”框中键入新的 SMTP 地址。

        注意

        若要将新地址设为相应组的主 SMTP 地址,请选中“将此设为答复地址”复选框。 仅当未选中“ 基于应用于此收件人的电子邮件地址策略自动更新电子邮件地址 ”复选框时,才会显示此复选框。

      • 自定义地址类型:单击此按钮,然后在“*Email地址”框中键入受支持的非 SMTP 电子邮件地址类型之一。

        注意

        除 X.400 地址以外,Exchange 不验证自定义地址的格式是否正确。 您必须确保所指定的自定义地址符合该地址类型的格式要求。

    • 编辑:若要更改与组关联的电子邮件地址,请在列表中选择该地址,然后单击“ 编辑”图标

      注意

      若要将现有地址设为相应组的主 SMTP 地址,请选中“将此设为答复地址”复选框。 如前所述,仅当未选中“ 基于应用于此收件人的电子邮件地址策略自动更新电子邮件地址 ”复选框时,才会显示此复选框。

    • 删除:若要删除与组关联的电子邮件地址,请在列表中选择该电子邮件地址,然后单击“ 删除”图标

    • “基于应用到此收件人的电子邮件地址策略自动更新电子邮件地址”:选中此复选框可基于对组织中电子邮件地址策略所做的更改自动更新收件人的电子邮件地址。 默认情况下,此框处于选中状态。

    邮件提示

    使用此部分可以添加邮件提示,以便在用户向该组发送邮件时提醒用户存在潜在的问题。 邮件提示是在将该组添加到新电子邮件的"收件人"、"抄送"或"密件抄送"行时,信息栏中显示的文本。 例如,对于较大的组,可添加邮件提示来提醒潜在的发送人:他们的邮件将会发送给很多人。

    注意

    邮件提示可包含 HTML 标记,但不允许包含脚本。 自定义邮件提示的长度不能超过 175 个显示的字符。 此字符限制不计入 HTML 标记。

    组代理

    使用此部分可以向用户分配权限(称为"代理"),允许他们以组身份发送邮件或代表组发送邮件。 可以分配以下权限:

    • 发送方式:此权限允许委托以组身份发送消息。 分配此权限后,委托可以选择将组添加到 “发件人 ”行,以指示该消息是由组发送的。

    • 代表发送:此权限还允许代理人代表组发送邮件。 分配此权限后,委托可以选择在 “发件人 ”行中添加组。 邮件将显示为由组发送,并将说明该邮件由代理代表组发送。

    若要向代理人分配权限,请单击相应权限下的“ 添加 ”以显示 “选择收件人” 页,其中显示 Exchange 组织中可分配权限的所有收件人的列表。 选择所需的收件人,将其添加到列表中,然后单击“确定”。 还可以通过在搜索框中键入收件人的姓名,然后单击“搜索搜索”图标来搜索特定收件人。

使用 PowerShell 管理已启用邮件的安全组

使用 Exchange Online PowerShell 创建启用邮件的安全组

此示例创建一个别名为 fsadmin 的 File Server Managers 安全组。 此安全组是在默认 OU 中创建,经组所有者批准后,任何人都可以加入此组。

New-DistributionGroup -Name "File Server Managers" -Alias fsadmin -Type security

有关使用 Exchange Online PowerShell 创建启用邮件的安全组的详细信息,请参阅 New-DistributionGroup

如何知道操作成功?

要验证是否成功创建了已启用邮件的安全组,请执行以下操作之一:

  • 在新的 EAC 中,导航到 “收件人>>”“已启用邮件的安全性”。 此时,新建的启用邮件的安全组会显示在组列表中。

  • 在经典 EAC 中,导航到 “收件人>”。 此时,新建的启用邮件的安全组会显示在组列表中。 在“组类型”下,组类型是“安全组”。

  • 在 Exchange Online PowerShell 中,运行以下命令以显示有关启用邮件的新安全组的信息。

    Get-DistributionGroup <Name> | Format-List Name,RecipientTypeDetails,PrimarySmtpAddress

使用 Exchange Online PowerShell 更改已启用邮件的安全组属性

使用 Get-DistributionGroupSet-DistributionGroup cmdlet 查看和更改安全组的属性。 使用 Exchange Online PowerShell 的优点是能够更改 EAC 中不可用的属性以及更改多个安全组的属性。 有关哪些参数对应于哪些通讯组属性的信息,请参阅以下文章:

下面是使用 Exchange Online PowerShell 更改安全组属性的一些示例。

此示例显示组织中所有安全组的列表。

Get-DistributionGroup -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'MailUniversalSecurityGroup'"

本示例将西雅图管理员安全组的主 SMTP 地址 (也称为答复地址) 从 admins@contoso.com 更改为 seattle.admins@contoso.com。 以前的答复地址将保持为代理地址。

Set-DistributionGroup "Seattle Employees" -EmailAddresses SMTP:sea.admins@contoso.com,smtp:admins@contoso.com

此示例在通讯簿中隐藏组织中的所有安全组。

Get-DistributionGroup -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'MailUniversalSecurityGroup'" | Set-DistributionGroup -HiddenFromAddressListsEnabled $true

如何知道操作成功?

要验证是否已成功更改安全组的属性,请执行以下操作:

  • 在新 EAC 中,选择组以查看更改的属性或功能。 根据更改的属性,它可能会显示在所选组的详细信息窗格中。

  • 在经典 EAC 中,选择组,然后单击 “编辑编辑”图标, 以查看更改的属性或功能。 根据所更改的属性,它可能显示在选定组的"详细信息"窗格中。

  • 在 Exchange Online PowerShell 中,使用 Get-DistributionGroup cmdlet 验证更改。 使用 Exchange Online PowerShell 的一个优点是可以查看多个组的多个属性。 在上面的示例中,所有安全组都隐藏在通讯簿中,运行以下命令来验证新值。

    Get-DistributionGroup -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'MailUniversalSecurityGroup'" | Format-List Name,HiddenFromAddressListsEnabled