在 Exchange Online 中管理已启用邮件的安全组

启用邮件的安全组可用于分发邮件和授予对 Active Directory 中的资源的访问权限。 有关详细信息,请参阅 Exchange Online 中的收件人

开始前,有必要了解什么?

使用 Exchange 管理中心管理已启用邮件的安全组

使用 EAC 创建启用邮件的安全组

  1. EAC 中,单击“ 收件人>>”“已启用邮件的安全性”。

  2. 单击“ 添加组 ”,然后按照详细信息窗格中的说明进行作。

    • “选择组类型 ”部分中,单击“ 启用邮件的安全性 ”,然后单击“ 下一步”。

    • “设置基础知识 ”部分中,输入详细信息并单击“ 下一步”。

  3. “分配所有者 ”部分中,单击“ + 分配所有者”,从列表中选择组所有者,然后单击“ 下一步”。

  4. 单击“ 添加成员>+ 添加成员”,从列表中选择组成员,然后单击“ 下一步”。

  5. “编辑设置” 部分中,输入组电子邮件地址,配置以下内容,然后单击“ 下一步”:

    • 隐私:将其设置为公共或专用。

    • 将Microsoft Teams 添加到组:选择此选项可为你的团队创建团队。

  6. “查看并完成添加组 ”部分中,验证所有详细信息,单击“ 创建组”,然后单击“ 关闭”。

使用 EAC 更改已启用邮件的安全组属性

  1. 在 EAC 中,单击“ 收件人>>”“已启用邮件的安全性”。

  2. 在组列表中,选择要查看或更改的已启用邮件的安全组。

  3. 在组的属性页中,单击以下部分之一以查看或更改属性。

    完成后,单击“保存”。

    一般信息

    使用此部分可以查看或更改有关组的基本信息。

    • 名称:将电子邮件发送到此组时,此名称将显示在通讯簿的“ 目标 ”行中,以及“组”列表中。 显示名称是必需的,并且应当是用户友好的,以便用户可以识别它。 显示名称在域中还必须是唯一的。

    • 说明:使用此框描述组,以便人们知道组的用途。 此说明出现在通讯簿和 EAC 的"详细信息"窗格中。

    电子邮件选项

    使用此部分可以查看或更改与该组关联的电子邮件地址。 这包括组的主 SMTP 地址和任何关联的代理地址。 在 “编辑电子邮件地址 ”页中,更改/编辑 主电子邮件地址,添加/删除 别名,然后单击“ 保存更改”。

    还可以选择组,然后单击工具栏中的“ 编辑电子邮件地址 ”以更改/编辑 主电子邮件地址,添加/删除 别名,然后单击“ 保存更改”。

    Members

    使用此部分可更改/编辑以下内容:

    • “所有者 ”部分中,单击“ 查看所有和管理所有者 ”,从下拉列表中添加/删除组所有者,然后单击“ 保存更改”。 启用邮件的安全组必须至少有一个所有者。

    • 在“ 成员 ”部分中,单击“ 查看所有和管理成员 ”,从下拉列表中添加/删除组成员,然后单击“ 保存更改”。 启用邮件的安全组必须至少有一个成员。

    设置

    “常规设置” 部分中,如果希望允许 外部用户向此组发送电子邮件, 请选择复选框“允许外部发件人向此组发送电子邮件”。

    传递管理

    使用此部分可以管理谁将电子邮件发送到该组。

    • 发件人选项

      默认情况下,只有组织内部的人员才能向此组发送邮件。 还可以允许组织外部的人员向此组发送邮件。

      • 仅允许来自我组织内部人员的邮件:选择此选项可仅允许组织中的发件人向组发送邮件。 这意味着如果组织外部的某个人向此组发送电子邮件,邮件将被拒绝。 这是默认设置。

      • 允许来自组织内外人员的邮件:选择此选项可允许任何人向组发送邮件。

    • 指定的发件人

      您可以通过仅允许特定发件人向此组发送邮件,来进一步限制可以将邮件发送到此组的发件人。 从下拉列表中选择/删除一个或多个收件人/组。 向此列表中添加发件人后,这些发件人将是唯一能够向此组发送邮件的人员。 不在此列表中的任何人发送的邮件都将被拒绝。

      重要

      如果您已将此组配置为只允许组织内部的发件人向此组发送邮件,则从邮件联系人发送的电子邮件将被拒绝,即使这些联系人已添加到此列表中也是如此。

    管理代理

    使用此部分可以向用户分配权限(称为"代理"),允许他们以组身份发送邮件或代表组发送邮件。 可以分配以下权限:

    • 发送方式:此权限允许委托以组身份发送消息。 分配此权限后,委托可以选择将组添加到 “发件人 ”行,以指示该消息是由组发送的。

    • 代表发送:此权限还允许代理人代表组发送邮件。 分配此权限后,委托可以选择将组添加到 “发件人 ”行。 邮件将显示为由组发送,并将说明该邮件由代理代表组发送。

    若要在 EAC 中向委托分配权限,请在 “编辑委托 ”页中添加委托,从下拉列表中选择 “权限类型” ,然后单击“ 保存更改”。

    邮件审批

    使用此部分可以设置用于仲裁组的选项。 审阅人可以在发送到此组的邮件到达组成员之前批准或拒绝邮件。

    • 对于发送到此组的邮件,需要审查者批准:默认情况下未选中此检查框。 如果选中此复选框,则在传递传入邮件之前将由组审阅人检查邮件。 组审阅人可以批准或拒绝传入邮件。

    • 组审查员:若要添加/删除组审查员,请从下拉列表中搜索/添加用户。 如果已为 发送到此组的邮件选择了“需要审查人审批 ”,并且未选择审查人,则发送到该组的消息将发送给组所有者进行审批。

    • 添加不需要邮件审批的发件人:若要添加/删除可绕过此组审查的用户,请从下拉列表中搜索/添加用户。

    • 如果发件人的邮件未获批准,则通知发件人:使用此部分可设置通知用户有关邮件审批的通知方式。

      • 仅限发件人:这是默认设置。 当组织内部和外部发件人的邮件未得到批准时,通知所有发件人。

      • 仅限组织中的发件人:选择此选项时,只有组织中的用户或组在发送给该组的邮件未获得审查者的批准时收到通知。

      • 无通知:选择此选项时,不会将通知发送给邮件未经组审查者批准的发件人。

    成员资格审批

    使用此部分可指定用户是否需要组所有者批准才能加入此组。

使用 PowerShell 管理已启用邮件的安全组

使用 Exchange Online PowerShell 创建已启用邮件的安全组

此示例创建一个别名为 fsadmin 的 File Server Managers 安全组。 此安全组是在默认 OU 中创建,经组所有者批准后,任何人都可以加入此组。

New-DistributionGroup -Name "File Server Managers" -Alias fsadmin -Type security

有关使用 Exchange Online PowerShell 创建启用邮件的安全组的详细信息,请参阅 New-DistributionGroup

如何知道操作成功?

要验证是否成功创建了已启用邮件的安全组,请执行以下操作之一:

  • 在 EAC 中,单击“ 收件人>>”“已启用邮件的安全性”。 此时,新建的启用邮件的安全组会显示在组列表中。

  • 在 Exchange Online PowerShell 中,运行以下命令以显示有关启用邮件的新安全组的信息。

    Get-DistributionGroup <Name> | Format-List Name,RecipientTypeDetails,PrimarySmtpAddress
    

使用 Exchange Online PowerShell 更改已启用邮件的安全组属性

使用 Get-DistributionGroupSet-DistributionGroup cmdlet 查看和更改安全组的属性。 使用 Exchange Online PowerShell 的优点是能够更改 EAC 中不可用的属性以及更改多个安全组的属性。 有关哪些参数对应于哪些通讯组属性的信息,请参阅以下文章:

下面是使用 Exchange Online PowerShell 更改安全组属性的一些示例。

此示例显示组织中所有安全组的列表。

Get-DistributionGroup -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'MailUniversalSecurityGroup'"

本示例将西雅图管理员安全组的主 SMTP 地址 (也称为答复地址) 从 admins@contoso.com 更改为 seattle.admins@contoso.com。 以前的答复地址将保持为代理地址。

Set-DistributionGroup "Seattle Employees" -EmailAddresses SMTP:sea.admins@contoso.com,smtp:admins@contoso.com

此示例在通讯簿中隐藏组织中的所有安全组。

Get-DistributionGroup -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'MailUniversalSecurityGroup'" | Set-DistributionGroup -HiddenFromAddressListsEnabled $true

如何知道操作成功?

要验证是否已成功更改安全组的属性,请执行以下操作:

  • 在 EAC 中,选择组以查看更改的属性或功能。 根据更改的属性,它可能会显示在所选组的详细信息窗格中。

  • 在 Exchange Online PowerShell 中,使用 Get-DistributionGroup cmdlet 验证更改。 使用 Exchange Online PowerShell 的一个优点是可以查看多个组的多个属性。 在上面的示例中,所有安全组都隐藏在通讯簿中,运行以下命令来验证新值。

    Get-DistributionGroup -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'MailUniversalSecurityGroup'" | Format-List Name,HiddenFromAddressListsEnabled