在 Exchange Online 中管理收件人的权限

在 Exchange Online 中，可以使用 Exchange 管理中心 (EAC) 或 Exchange Online PowerShell 向邮箱或组分配权限，以便其他用户能够 (“完全访问权限 ”) 访问邮箱，或者发送看似来自邮箱或组的电子邮件， (“ 发送为 ”或“ 代表发送 ”权限) 。 在其他邮箱或组中分配有这些权限的用户被称为代理。

下表介绍了可分配给 Exchange Online 中邮箱和组的委托的权限：

权限	说明	EAC 中的收件人类型	PowerShell 中的其他收件人类型	**可用的委托类型
完全访问权限	允许代理打开邮箱以及查看、添加和删除邮箱的内容。 不允许代理从邮箱中发送邮件。 如果将完全访问权限分配给地址列表中隐藏的邮箱，则代理将无法打开该邮箱。 默认情况下，发现邮箱在地址列表中处于隐藏状态。 默认情况下，邮箱自动映射功能使用自动发现功能自动打开代理的 Outlook 配置文件中的邮箱（除了他们自己的邮箱）。 自动映射仅适用于已授予适当权限的单个用户，不适用于任何类型的组。 如果不希望邮箱自动映射，则需要执行以下操作之一： 使用 Exchange Online PowerShell 中的 Add-MailboxPermission cmdlet 通过 设置分配“完全访问权限 -AutoMapping $false ”。 有关详细信息，请参阅本文中的 使用 Exchange Online PowerShell 分配对邮箱的完全访问权限 部分。 为已启用邮件的安全组分配完全访问权限。 邮箱将不会在每个成员的 Outlook 配置文件中打开。	用户邮箱 资源邮箱 共享邮箱	发现邮箱	具有用户帐户的邮箱 具有帐户的邮件用户 启用邮件的安全组
代理发送	允许代理发送邮箱，好像这些邮件直接来自该邮箱或组。 没有迹象表明邮件是由代理发送的。 不允许代理阅读邮箱的内容。 如果将“发送方式”权限分配给地址列表中隐藏的邮箱，则代理将无法从邮箱发送邮件。	用户邮箱 资源邮箱 共享邮箱 通讯组 动态通讯组 启用邮件功能的安全组 Microsoft 365 组	不适用	具有用户帐户的邮箱 具有帐户的邮件用户 启用邮件的安全组
代表发送	允许代理从邮箱或组中发送邮件。 这些邮件的发件人地址清楚地表明，该邮件是由代理 (“<代表 MailboxOrGroup 的代理人>”) 发送的<。> 但是，对这些邮件的答复发送到邮箱或组，而不发送给代理。 不允许代理阅读邮箱的内容。 如果向地址列表中隐藏的邮箱分配“代表发送”权限，则代理将无法从邮箱发送邮件。	用户邮箱 资源邮箱 通讯组 动态通讯组 启用邮件功能的安全组 Microsoft 365 组	共享邮箱	具有用户帐户的邮箱 具有帐户的邮件用户 启用邮件功能的安全组 通讯组

注意

如果用户同时具有邮箱或组的 “发送方式” 和“ 代表发送 ”权限，则始终使用 “作为发送” 权限。

开始前，有必要了解什么？

• 估计完成每个步骤时间：2 分钟。

• 你必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 Exchange Online 中的功能权限 一文中的“邮箱设置”条目。

• 若要打开和使用 EAC，请参阅 Exchange Online 中的 Exchange 管理中心。 若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。

• 使用高级设置将邮箱添加到 Outlook 时，只会添加主邮箱;不会添加存档邮箱。 如果用户还需要访问存档邮箱，则应将邮箱作为同一 Outlook 配置文件中的第二个帐户添加到 Outlook。

• 有关可能适用于本文中的过程的键盘快捷方式的信息，请参阅 Exchange 管理中心的键盘快捷方式。

使用 EAC 将权限分配给个别邮箱

1. 在 EAC 中，单击功能窗格中的“收件人”。 根据要为其分配权限的邮箱类型，单击以下选项之一：

   • 邮箱：用户或链接邮箱。
   • 资源：会议室或设备邮箱。

2. 在邮箱列表中，选择要为其分配权限的邮箱。

3. 单击“ 邮箱委派 ”并配置以下一个或多个权限：

   • 发送方式：代理发送的邮件似乎来自邮箱。
   • 代表发送：代理发送的邮件在发件人地址中有“<代表邮箱的代理人”。><> 请注意，该权限在共享邮箱的 EAC 中不可用。
   • 读取和管理 (完全访问权限) ：代理可以打开邮箱并执行除发送邮件以外的任何操作。

4. 若要向委托分配权限，请单击相应权限下的 “编辑 ”，然后单击“ 添加成员。

   • 从列表中选择用户或组。 根据需要多次重复此过程。
   • 还可以通过键入全部或部分名称，然后单击““搜索”，在搜索框中搜索用户或组。

   选择完委托后，单击“ 保存>确认”。

5. 若要从委托中删除权限，请在相应权限下的列表中选择该委托，然后单击“ 删除>确认”。

使用 EAC 同时向多个邮箱分配权限

1. 在 EAC 中，单击“ 收件人>邮箱”。

2. 选择要为其分配权限的邮箱。

   

3. 单击“ 邮箱委派”，在 “添加代理人 ”文本框中，键入 “名称 ”或 “电子邮件地址 ”，然后从结果中选择它。

4. 在 “选择权限类型” 下拉列表中，选择适当的类型 (“完全访问权限”、“ 作为发送 ”或 “代表) 发送 ”。

5. 选择要添加为委托的用户或组后，单击“ 保存 ”或单击“关闭 X ”以删除。

使用 EAC 向组分配权限

1. 在 EAC 中，单击“ 收件人>组”。

2. 单击行中除显示在“ 组名称” 列旁边的空白区域中的按钮选项之外的任何位置，选择组。 然后单击 “设置”。

3. 在 “管理委托”下，单击“ 编辑管理委托” 并配置以下权限之一：

   • 发送方式：委托发送的消息似乎来自组。
   • 代表发送：委托发送的消息在“发件人”地址中有“<代表组的委托>”。><

4. 若要向代理人分配权限，请在 “添加代理人 ”文本框中，键入 “名称 ”或 “电子邮件地址 ”，然后从结果中选择它。 根据需要多次重复此过程。

   若要从委托中删除权限，请单击“关闭 X”。

5. 完成后，单击“保存”。

使用 Exchange Online PowerShell 为邮箱分配完全访问权限

使用 Add-MailboxPermission 和 Remove-MailboxPermission cmdlet 来管理邮箱的完全访问权限。 这些 cmdlet 使用相同的基本语法：

Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]

Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All

此示例为 Raymond Sam 分配 Terry Adams 的邮箱的完全访问权限。

Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All

此示例为 Esther Valle 分配组织的默认发现搜索邮箱的完全访问权限，并阻止邮箱自动在 Esther Valle 的 Outlook 中打开。

Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false

此示例为支持人员启用邮件的安全组的成员分配共享邮箱 Helpdesk Tickets 的完全访问权限。

Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All

此示例删除 Jim Hance 对 Ayla Kol 的邮箱的完全访问权限。

Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All

有关详细的语法和参数信息，请参阅：

• Add-MailboxPermission。
• Remove-MailboxPermission。

如何知道操作成功？

若要验证是否已成功分配或删除邮箱代理的完全访问权限，请使用以下过程之一：

• 在 EAC 邮箱的属性中，验证代理是否在 邮箱委派>完全访问中列出。

• 将 MailboxIdentity> 替换为<邮箱的标识，并在 Exchange Online PowerShell 中运行以下命令，验证代理是否已列出。

  Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table User,Deny,IsInherited,AccessRights -Auto
  

  有关详细信息，请参阅 Get-MailboxPermission。

使用 Exchange Online PowerShell 向邮箱和组分配“代理发送”权限

使用 Add-RecipientPermission 和 Remove-RecipientPermission cmdlet 来管理邮箱和组的“发送为”权限。 这些 cmdlet 使用相同的基本语法：

<Add-RecipientPermission | Remove-RecipientPermission> -Identity <MailboxOrGroupIdentity> -Trustee <DelegateIdentity> -AccessRights SendAs

本示例将“代理发送”权限分配给名为 Contoso 打印机支持的共享邮箱上的打印机支持组。

Add-RecipientPermission -Identity "Contoso Printer Support" -Trustee "Printer Support" -AccessRights SendAs

本示例删除了用户 Karen Toh 对 Yan Li 邮箱的“Send As”权限。

Remove-RecipientPermission -Identity "Yan Li" -Trustee "Karen Toh" -AccessRights SendAs

有关详细的语法和参数信息，请参阅：

• Add-RecipientPermission
• Remove-RecipientPermission

如何知道操作成功？

若要验证是否已成功分配或删除邮箱或组上的代理的“发送方式”权限，请使用以下任一过程：

• 在 EAC 中邮箱或组的属性中，验证代理是否在 邮箱委派>“发送方式” 或 “组委派>发送方式”中列出。

• 将 MailboxIdentity> 和 DelegateIdentity 替换为<邮箱或组的名称、别名或电子邮件地址，并在 Exchange Online PowerShell 中运行以下命令，验证代理是否列出。><

  Get-RecipientPermission -Identity <MailboxIdentity> -Trustee <DelegateIdentity>
  

使用 Exchange Online PowerShell 向邮箱和组分配“代表发送”权限

对各种邮箱和组 Set- cmdlet 使用 GrantSendOnBehalfTo 参数来管理邮箱和组的“代表发送”权限：

• Set-Mailbox
• Set-DistributionGroup：通讯组和已启用邮件的安全组。
• Set-DynamicDistributionGroup
• Set-UnifiedGroup：Microsoft 365 个组。

这些 cmdlet 的基本语法是：

<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>

GrantSendOnBehalfTo 参数具有以下委托值选项：

• 替换现有委托： <DelegateIdentity> 或 "<DelegateIdentity1>","<DelegateIdentity2>",...
• 在不影响其他委托的情况下添加或删除委托： @{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}
• 删除所有委托：使用值 $null。

此示例为代理 Holly Holt 分配 Sean Chai 邮箱的"代表发送"权限。

Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh

本示例将组 tempassistants@contoso.com 添加到对 Contoso Executives 共享邮箱具有“代表发送”权限的代理人列表中。

Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}

此示例为代理 Sara Davis 分配 Printer Support 通讯组的"代表发送"权限。

Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad

此示例删除 All Employees 动态通讯组中分配给管理员的“代表发送”权限。

Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}

如何知道操作成功？

若要验证是否已成功分配或删除邮箱或组上的代理的“代表发送”权限，请使用以下任一过程：

• 在 EAC 中邮箱或组的属性中，验证代理是否在 邮箱委派>“发送方式” 或 “组委派>发送方式”中列出。

• 将 MailboxIdentity> 或 GroupIdentity 替换为<邮箱或组的标识，并在 Exchange Online PowerShell 中运行以下命令之一，验证代理是否已列出。><

  • 邮箱：

    Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo
    

  • 通讯组或已启用邮件的安全组：

    Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
    

  • 动态通讯组：

    Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
    

  • Microsoft 365 组：

    Get-UnifiedGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
    

后续步骤

有关代理如何使用分配给他们的邮箱和组的权限的详细信息，请参阅以下文章：

• 访问其他人的邮箱
• 在 Outlook for Windows 中打开和使用共享邮箱
• 在 Outlook 网页版中打开和使用共享邮箱
• 从 Office 365 组或代表 Office 365 组发送电子邮件