Exchange 混合部署中的权限

Microsoft 365 或 Office 365 组织中的Exchange Online基于Exchange Server,并且与本地组织一样,它还使用基于角色访问控制 (RBAC) 来控制权限。 使用管理角色组向管理员授予权限,而使用管理角色分配策略向最终用户授予权限。

若要详细了解Exchange Online和本地 Exchange 中的权限,请参阅:Exchange Online 中的Exchange Server权限功能权限

管理员权限

默认情况下,用于创建Office 365组织的用户成为Exchange Online组织中的组织管理角色组的成员。 此用户可以管理整个Exchange Online组织,包括组织级别设置的配置和Exchange Online收件人的管理。

可以根据需要进行的管理,在Exchange Online组织中添加更多管理员。 例如,可以添加其他组织管理员和收件人管理员,使专家用户能够执行合规性任务,例如发现、配置自定义权限等。 Microsoft 365 和Office 365管理员的所有Exchange Online权限管理都必须使用 Exchange 管理中心 (EAC) 或 Exchange Online PowerShell 在 Exchange Online 组织中执行。

重要

本地组织与 Microsoft 365 或 Office 365 组织之间不会转移权限。 必须在 Microsoft 365 或 Office 365 组织中重新创建你在本地组织中定义的权限。

有关详细信息,请参阅Manage Role GroupsManage Role Group Members

委派邮箱权限

在本地 Exchange 部署中,用户被授予对其他用户邮箱的各种权限。 这称为委派邮箱权限,当管理助理需要管理其他用户邮箱的某个部分时,它很有用。例如,管理高管的日历。 Exchange 混合部署支持在本地 Exchange 组织中的邮箱与 Microsoft 365 或 Office 365 中的邮箱之间使用某些(但不是全部)邮箱权限。 以下部分详细介绍了哪些权限受支持以及不支持哪些权限;支持混合邮箱权限所需的其他配置;以及如何在本地组织与 Microsoft 365 或 Office 365 之间同步邮箱权限。

混合环境中的邮箱权限

Exchange 混合环境中并非完全支持所有邮箱权限。

混合环境中支持的邮箱权限

  • 完全访问权限:可以向本地 Exchange 服务器上的邮箱授予对 Microsoft 365 或 Office 365 邮箱的完全访问权限,反之亦然。 例如,可以向 Microsoft 365 或 Office 365 邮箱授予对本地共享邮箱的完全访问权限。 用户需要使用 Outlook 桌面客户端打开邮箱。 Outlook 网页版中并不完全支持跨界邮箱权限。 用户可以使用在 Outlook 网页版 中打开另一个邮箱来打开他们具有完全访问权限的其他邮箱。 但是,这将在用户可以访问邮箱之前生成重定向链接和凭据提示。

    注意

    当用户首次访问其他组织中的邮箱并将其添加到其 Outlook 配置文件时,用户可能会收到其他凭据提示。

  • 代表发送:可以向本地 Exchange 服务器上的邮箱授予 Microsoft 365 或 Office 365 邮箱的“代表发送”权限,反之亦然。 例如,可以向 Microsoft 365 或 Office 365 邮箱授予对本地共享邮箱的“代表发送”权限。 用户需要使用 Outlook 桌面客户端打开邮箱;Outlook 网页版不支持跨界邮箱权限。

    需要对 Azure Active Directory Connect 服务器进行一些更改,才能在本地 Exchange 服务器和Exchange Online之间同步代表发送权限。 有关详细信息,请参阅本文后面的 在 Azure Active Directory Connect 中启用对混合邮箱权限的支持 部分。

  • 私人项目:向邮箱授予 完全访问权限 时,可以决定是否允许代理人查看私人项目 (私人会议、约会、联系人或邮箱中) 任务。

    若要与代理人共享私有项目,请在 Outlook 中使用以下过程:

    1. 转到“文件>帐户设置”“委托访问”>

      Outlook 中的“委托访问”设置。

    2. 在下一个窗口中,单击“ 添加”。 此时会显示一个新菜单,列出组织中的人员。 选择一个委托,然后单击“ 确定”。

    3. 将显示下图,你可以在其中选中相关复选框,以便与代理人共享私人项目。

      代理人可以在 Outlook 中查看我的私人项目设置。

有关详细信息,请参阅Office 365混合环境中的委派概述

混合环境中不支持邮箱权限和功能

  • 发送方式:允许用户发送邮件,就像邮件来自另一个用户的邮箱一样。 Azure AD Connect 不会在本地 Exchange 和 Microsoft 365 或 Office 365 之间自动同步“发送方式”权限,因此不支持跨界“发送方式”权限。 但是,如果在这两个环境中手动添加“发送方式”权限(将 Exchange 命令行管理程序用于本地 Exchange,Exchange Online PowerShell for Microsoft 365 或 Office 365),则在大多数情况下,“发送方式”将起作用。

    例如,你想要将名为 ONPREM1 的本地邮箱的“发送为”权限授予云邮箱名称 EXO1。

    在本地 Exchange 服务器上的 Exchange 命令行管理程序中运行以下命令:

    Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
    

有关详细语法和参数信息,请参阅 Add-ADPermission

然后在 Exchange Online PowerShell 中运行相应的命令:

Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs

有关详细语法和参数信息,请参阅 Add-RecipientPermission

注意

还需要“以发送方式”权限来符合后续两部分中的本地 Exchange 服务器和 AAD Connect 要求。

  • 自动映射:使 Outlook 能够在启动时自动打开用户已被授予 完全访问权限 的任何邮箱。 (请注意,自动映射仅适用于已授予适当权限的单个用户,不适用于任何类型的组。)

  • 文件夹权限:授予对特定文件夹内容的访问权限。

从另一个邮箱接收这些权限的任何邮箱都需要与授予邮箱同时移动。 如果邮箱从多个邮箱接收权限,该邮箱以及向其授予权限的所有邮箱需同时移动。 有关详细信息,请参阅 https://support.microsoft.com/help/3064053

配置本地 Exchange 服务器以支持混合邮箱权限

若要在混合部署中启用“完全访问”和“代表发送”权限,可能需要进行更多配置更改,具体取决于已安装的 Exchange 版本。 下表显示了哪些 Exchange 版本支持使用 Microsoft 365 或 Office 365的混合部署委派邮箱权限,以及需要哪些其他配置。 有关如何配置 Exchange 2013 和 2010 服务器和邮箱以支持 ACL 的步骤,请参阅 配置 Exchange 以支持混合部署中的委派邮箱权限

Exchange 版本 先决条件
Exchange 2016 在组织级别启用 ACLable 对象同步。
在组织级别启用 ACLable 对象同步之前,在移动到 Microsoft 365 或 Office 365 的每个邮箱上手动启用 ACL。
在组织级别启用 ACLable 对象同步后,移动到 Microsoft 365 或 Office 365 的邮箱无需进行其他配置。
Exchange 2013 Exchange 2013 服务器需要以下各项:
  • 安装的最新累积更新 (CU) 或紧靠前一个 CU。 不支持运行较旧 OU 的 Exchange 2013 服务器,并且可能无法在混合部署中使用委派邮箱权限。
  • Exchange 组织配置为允许在邮件对象上标记访问控制列表 (ACL) 并与 Microsoft 365 或 Office 365 同步。
  • 与在 Exchange 2013 CU10 之前移动到 Microsoft 365 或 Office 365 的邮箱关联的本地远程邮箱需要手动配置为支持 ACL。 在运行 Exchange 2013 CU10 或更高版本的服务器上创建的远程邮箱,在 Exchange 组织设置为允许 ACL 后,会自动配置。
Exchange 2010 不再支持。
以前,需要配置与 Microsoft 365 或 Office 365 邮箱关联的本地远程邮箱以支持 ACL。 需要为每个与 Microsoft 365 或 Office 365 邮箱关联的本地远程邮箱执行此操作。
Exchange 2007 或更早版本 不支持。

在 Azure Active Directory Connect 中启用对混合邮箱权限的支持

除了配置本地 Exchange 服务器外,还需要确保将 Azure Active Directory Connect (AAD Connect) 服务器设置为同步混合邮箱权限。 以下是确保 AAD Connect 服务器已准备好支持这些权限时需要执行的操作:

  • 升级 AAD Connect:AAD Connect 需要升级到至少版本 1.1.553.0。 可以从 Microsoft Azure Active Directory Connect 下载最新版本的 AAD Connect

  • 在 AAD Connect 中启用 Exchange 混合:若要同步启用混合邮箱权限的属性 (特别是“代表发送”权限) ,需要确保在 AAD Connect 中启用 Exchange 混合部署 配置选项。 有关如何再次运行 AAD Connect 安装向导以更新其配置的信息,请参阅 Azure AD Connect 同步:再次运行安装向导

最终用户权限

与管理员权限一样,Exchange Online中的最终用户可以被授予权限。 默认情况下,会通过默认角色分配策略向最终用户授予权限。 此策略应用于Exchange Online组织中的每个邮箱。 如果默认情况下授予的权限足够使用,则您无需更改任何内容。

如果确实想要自定义最终用户权限,可以修改现有默认角色分配策略,也可以创建新的分配策略。 如果创建多个分配策略,则可以向不同邮箱组分配不同策略,从而使您可以根据每个组的要求控制向每个组授予的权限。 Exchange Online最终用户的所有权限管理必须在Exchange Online组织中使用 EAC 或 Exchange Online PowerShell 来执行。

与管理员权限一样,最终用户权限不会在本地组织和Exchange Online组织之间转移。 必须在Exchange Online组织中重新创建在本地组织中定义的任何权限。

有关详细信息,请参阅Manage Role Assignment PoliciesChange the Assignment Policy on a Mailbox

下表列出了Exchange Online组织中默认角色分配策略授予的权限。

管理角色 说明
MyTeamMailboxes 管理 MyTeamMailboxes 角色使单个用户能够创建网站邮箱并将其连接到 Microsoft SharePoint 网站。
我的市场应用程序 管理 My Marketplace Apps 角色使单个用户能够查看和修改其 Microsoft Office 市场应用。
MyBaseOptions 管理 MyBaseOptions 角色使单个用户能够查看和修改其自己的邮箱和关联设置的基本配置。
MyContactInformation 管理 MyContactInformation 角色使单个用户能够修改其联系信息,包括地址和电话号码。
MyDistributionGroupMembership 如果 MyDistributionGroupMembership 单个通讯组允许操作组成员身份,则管理角色允许单个用户查看和修改其在组织中的通讯组中的成员身份。
MyDistributionGroups 管理 MyDistributionGroups 角色使单个用户能够创建、修改和查看通讯组,以及修改、查看、删除和添加其拥有的通讯组的成员。
MyMailSubscription MyMailSubscription 角色使单个用户能够查看和修改其电子邮件订阅设置,例如邮件格式和协议默认值。
MyProfileInformation 管理 MyProfileInformation 角色使单个用户能够修改其名称。
MyRetentionPolicies 管理 MyRetentionPolicies 角色使单个用户能够查看其保留标记,以及查看和修改其保留标记设置和默认值。
MyTextMessaging 管理 MyTextMessaging 角色使单个用户能够创建、查看和修改其短信设置。
MyVoiceMail 管理 MyVoiceMail 角色使单个用户能够查看和修改其语音邮件设置。
我的 ReadWriteMailbox 应用程序 管理 My ReadWriteMailbox Apps 角色使用户能够安装具有 ReadWriteMailbox 权限的应用。
我的自定义应用程序 管理 My Custom Apps 角色使用户能够查看和修改其自定义应用。