在 Exchange Online 中管理收件人的权限

在 Exchange Online 中，可以使用 Exchange 管理中心 (EAC) 或Exchange Online PowerShell 向邮箱或组分配权限，以便其他用户能够 (“完全访问权限”) 访问邮箱，或者发送看似来自邮箱或组的电子邮件 (“发送为”或“代表发送”权限) 。 在其他邮箱或组中分配有这些权限的用户被称为代理。

下表描述了可分配给Exchange Online中邮箱和组的委托的权限：

权限	说明	EAC 中的收件人类型	PowerShell 中的其他收件人类型	**可用的委托类型
完全访问权限	允许代理打开邮箱以及查看、添加和删除邮箱的内容。 不允许代理从邮箱中发送邮件。 如果将完全访问权限分配给地址列表中隐藏的邮箱，则代理将无法打开该邮箱。 默认情况下，发现邮箱在地址列表中处于隐藏状态。 默认情况下，邮箱自动映射功能使用自动发现功能自动打开代理的 Outlook 配置文件中的邮箱（除了他们自己的邮箱）。 自动映射仅适用于已授予适当权限的单个用户，不适用于任何类型的组。 如果不希望邮箱自动映射，则需要执行以下操作之一： 使用 Exchange Online PowerShell 中的 Add-MailboxPermission cmdlet 通过 设置分配“完全访问权限-AutoMapping $false”。 有关详细信息，请参阅本文中的使用 Exchange Online PowerShell 分配邮箱的完全访问权限部分。 为已启用邮件的安全组分配完全访问权限。 邮箱将不会在每个成员的 Outlook 配置文件中打开。	用户邮箱 资源邮箱 共享邮箱	发现邮箱	具有用户帐户的邮箱 具有帐户的邮件用户 启用邮件的安全组
代理发送	允许代理发送邮箱，好像这些邮件直接来自该邮箱或组。 没有迹象表明邮件是由代理发送的。 不允许代理阅读邮箱的内容。 如果将“发送方式”权限分配给地址列表中隐藏的邮箱，则代理将无法从邮箱发送邮件。	用户邮箱 资源邮箱 共享邮箱 通讯组 动态通讯组 启用邮件功能的安全组 Microsoft 365 组	不适用	具有用户帐户的邮箱 具有帐户的邮件用户 启用邮件功能的安全组
代表发送	允许代理从邮箱或组中发送邮件。 这些邮件的发件人地址清楚地表明，该邮件是由代理 (“<代表 MailboxOrGroup 的代理人>”) 发送的<。> 但是，对这些邮件的答复发送到邮箱或组，而不发送给代理。 不允许代理阅读邮箱的内容。 如果向地址列表中隐藏的邮箱分配“代表发送”权限，则代理将无法从邮箱发送邮件。	用户邮箱 资源邮箱 通讯组 动态通讯组 启用邮件功能的安全组 Microsoft 365 组	共享邮箱	具有用户帐户的邮箱 具有帐户的邮件用户 启用邮件功能的安全组 通讯组

注意

如果用户同时具有邮箱或组的 “发送方式” 和“ 代表发送 ”权限，则始终使用 “作为发送” 权限。

开始前，有必要了解什么？

• 估计完成每个步骤时间：2 分钟。

• 你必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 Exchange Online 中的功能权限一文中的“邮箱设置”条目。

• 若要打开和使用 EAC，请参阅 Exchange Online 中的 Exchange 管理中心。 若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。

• 使用高级设置将邮箱添加到 Outlook 时，只会添加主邮箱;不会添加存档邮箱。 如果用户还需要访问存档邮箱，则应将邮箱作为同一 Outlook 配置文件中的第二个帐户添加到 Outlook。

• 有关可能适用于本文中的过程的键盘快捷方式的信息，请参阅 Exchange 管理中心的键盘快捷方式。

使用 EAC 将权限分配给个别邮箱

1. 在 EAC 中，单击功能窗格中的“收件人”。 根据要为其分配权限的邮箱类型，单击以下选项之一：

   • 邮箱：用户或链接邮箱。
   • 资源：会议室或设备邮箱。

2. 在邮箱列表中，选择要为其分配权限的邮箱。

3. 单击“ 邮箱委派 ”并配置以下一个或多个权限：

   • 发送方式：代理发送的邮件似乎来自邮箱。
   • 代表发送：代理发送的邮件在发件人地址中有“<代表邮箱的代理人”。><> 请注意，该权限在共享邮箱的 EAC 中不可用。
   • 读取和管理 (完全访问权限) ：代理可以打开邮箱并执行除发送邮件以外的任何操作。

4. 若要向委托分配权限，请单击相应权限下的 “编辑 ”，然后单击“ 添加成员。

   • 从列表中选择用户或组。 根据需要多次重复此过程。
   • 还可以通过键入全部或部分名称，然后单击““搜索”，在搜索框中搜索用户或组。

   选择完委托后，单击“ 保存>确认”。

5. 若要从委托中删除权限，请在相应权限下的列表中选择该委托，然后单击“ 删除>确认”。

使用 EAC 同时向多个邮箱分配权限

1. 在 EAC 中，单击“ 收件人>邮箱”。

2. 选择要为其分配权限的邮箱。

   

3. 单击“ 邮箱委派”，在 “添加代理人 ”文本框中，键入 “名称 ”或 “电子邮件地址 ”，然后从结果中选择它。

4. 在 “选择权限类型” 下拉列表中，选择适当的类型 (“完全访问权限”、“ 作为发送 ”或 “代表) 发送 ”。

5. 选择要添加为委托的用户或组后，单击“ 保存 ”或单击“关闭 X ”以删除。

使用 EAC 向组分配权限

1. 在 EAC 中，单击“ 收件人>组”。

2. 单击行中除显示在“ 组名称” 列旁边的空白区域中的按钮选项之外的任何位置，选择组。 然后单击 “设置”。

3. 在 “管理委托”下，单击“ 编辑管理委托” 并配置以下权限之一：

   • 发送方式：委托发送的消息似乎来自组。
   • 代表发送：委托发送的消息在“发件人”地址中有“<代表组的委托>”。><

4. 若要向代理人分配权限，请在 “添加代理人 ”文本框中，键入 “名称 ”或 “电子邮件地址 ”，然后从结果中选择它。 根据需要多次重复此过程。

   若要从委托中删除权限，请单击“关闭 X”。

5. 完成后，单击“保存”。

使用 Exchange Online PowerShell 向邮箱分配完全访问权限

使用 Add-MailboxPermission 和 Remove-MailboxPermission cmdlet 来管理邮箱的完全访问权限。 这些 cmdlet 使用相同的基本语法：

Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]

Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All

此示例为 Raymond Sam 分配 Terry Adams 的邮箱的完全访问权限。

Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All

此示例为 Esther Valle 分配组织的默认发现搜索邮箱的完全访问权限，并阻止邮箱自动在 Esther Valle 的 Outlook 中打开。

Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false

此示例为支持人员启用邮件的安全组的成员分配共享邮箱 Helpdesk Tickets 的完全访问权限。

Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All

此示例删除 Jim Hance 对 Ayla Kol 的邮箱的完全访问权限。

Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All

有关详细的语法和参数信息，请参阅：

• Add-MailboxPermission。
• Remove-MailboxPermission。

如何知道操作成功？

若要验证是否已成功分配或删除邮箱代理的完全访问权限，请使用以下过程之一：

• 在 EAC 邮箱的属性中，验证代理是否在 邮箱委派>完全访问中列出。

• 将 MailboxIdentity> 替换为<邮箱的标识，并在 Exchange Online PowerShell 中运行以下命令，验证代理是否已列出。

  Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table User,Deny,IsInherited,AccessRights -Auto
  

  有关详细信息，请参阅 Get-MailboxPermission。

使用 Exchange Online PowerShell 向邮箱和组分配“代理发送”权限

使用 Add-RecipientPermission 和 Remove-RecipientPermission cmdlet 来管理邮箱和组的“发送为”权限。 这些 cmdlet 使用相同的基本语法：

<Add-RecipientPermission | Remove-RecipientPermission> -Identity <MailboxOrGroupIdentity> -Trustee <DelegateIdentity> -AccessRights SendAs

本示例将“代理发送”权限分配给名为 Contoso 打印机支持的共享邮箱上的打印机支持组。

Add-RecipientPermission -Identity "Contoso Printer Support" -Trustee "Printer Support" -AccessRights SendAs

本示例删除了用户 Karen Toh 对 Yan Li 邮箱的“Send As”权限。

Remove-RecipientPermission -Identity "Yan Li" -Trustee "Karen Toh" -AccessRights SendAs

有关详细的语法和参数信息，请参阅：

• Add-RecipientPermission
• Remove-RecipientPermission

如何知道操作成功？

若要验证是否已成功分配或删除邮箱或组上的代理的“发送方式”权限，请使用以下任一过程：

• 在 EAC 中邮箱或组的属性中，验证代理是否在 邮箱委派>“发送方式” 或 “组委派>发送方式”中列出。

• 将 MailboxIdentity> 和 DelegateIdentity 替换为<邮箱或组的名称、别名或电子邮件地址，并在 Exchange Online PowerShell 中运行以下命令，验证代理是否列出。><

  Get-RecipientPermission -Identity <MailboxIdentity> -Trustee <DelegateIdentity>
  

使用 Exchange Online PowerShell 向邮箱和组分配“代表发送”权限

对各种邮箱和组 Set- cmdlet 使用 GrantSendOnBehalfTo 参数来管理邮箱和组的“代表发送”权限：

• Set-Mailbox
• Set-DistributionGroup：通讯组和已启用邮件的安全组。
• Set-DynamicDistributionGroup
• Set-UnifiedGroup：Microsoft 365 组。

这些 cmdlet 的基本语法是：

<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>

GrantSendOnBehalfTo 参数具有以下委托值选项：

• 替换现有委托： <DelegateIdentity> 或 "<DelegateIdentity1>","<DelegateIdentity2>",...
• 在不影响其他委托的情况下添加或删除委托： @{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}
• 删除所有委托：使用值 $null。

此示例为代理 Holly Holt 分配 Sean Chai 邮箱的"代表发送"权限。

Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh

本示例将组 tempassistants@contoso.com 添加到对 Contoso Executives 共享邮箱具有“代表发送”权限的代理人列表中。

Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}

此示例为代理 Sara Davis 分配 Printer Support 通讯组的"代表发送"权限。

Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad

此示例删除 All Employees 动态通讯组中分配给管理员的“代表发送”权限。

Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}

如何知道操作成功？

若要验证是否已成功分配或删除邮箱或组上的代理的“代表发送”权限，请使用以下任一过程：

• 在 EAC 中邮箱或组的属性中，验证代理是否在 邮箱委派>“发送方式” 或 “组委派>发送方式”中列出。

• 将 MailboxIdentity> 或 GroupIdentity 替换为<邮箱或组的标识，并在 Exchange Online PowerShell 中运行以下命令之一，以验证代理是否已列出。><

  • 邮箱：

    Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo
    

  • 通讯组或已启用邮件的安全组：

    Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
    

  • 动态通讯组：

    Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
    

  • Microsoft 365 组：

    Get-UnifiedGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
    

后续步骤

有关代理如何使用分配给他们的邮箱和组的权限的详细信息，请参阅以下文章：

• 访问其他人的邮箱
• 在 Outlook for Windows 中打开和使用共享邮箱
• 在 Outlook 网页版中打开和使用共享邮箱
• 从或代表Office 365组发送电子邮件