在 Exchange Online 中管理收件人的权限
在 Exchange Online 中,可以使用 Exchange 管理中心 (EAC) 或 Exchange Online PowerShell 向邮箱或组分配权限,以便其他用户能够 (“完全访问权限 ”) 访问邮箱,或者发送看似来自邮箱或组的电子邮件, (“ 发送为 ”或“ 代表发送 ”权限) 。 在其他邮箱或组中分配有这些权限的用户被称为代理。
下表介绍了可分配给 Exchange Online 中邮箱和组的委托的权限:
权限 | 说明 | EAC 中的收件人类型 | PowerShell 中的其他收件人类型 | **可用的委托类型 |
---|---|---|---|---|
完全访问权限 | 允许代理打开邮箱以及查看、添加和删除邮箱的内容。 不允许代理从邮箱中发送邮件。 如果将完全访问权限分配给地址列表中隐藏的邮箱,则代理将无法打开该邮箱。 默认情况下,发现邮箱在地址列表中处于隐藏状态。 默认情况下,邮箱自动映射功能使用自动发现功能自动打开代理的 Outlook 配置文件中的邮箱(除了他们自己的邮箱)。 自动映射仅适用于已授予适当权限的单个用户,不适用于任何类型的组。 如果不希望邮箱自动映射,则需要执行以下操作之一:
|
用户邮箱 资源邮箱 共享邮箱 |
发现邮箱 | 具有用户帐户的邮箱 具有帐户的邮件用户 启用邮件的安全组 |
代理发送 | 允许代理发送邮箱,好像这些邮件直接来自该邮箱或组。 没有迹象表明邮件是由代理发送的。 不允许代理阅读邮箱的内容。 如果将“发送方式”权限分配给地址列表中隐藏的邮箱,则代理将无法从邮箱发送邮件。 |
用户邮箱 资源邮箱 共享邮箱 通讯组 动态通讯组 启用邮件功能的安全组 Microsoft 365 组 |
不适用 | 具有用户帐户的邮箱 具有帐户的邮件用户 启用邮件的安全组 |
代表发送 | 允许代理从邮箱或组中发送邮件。 这些邮件的发件人地址清楚地表明,该邮件是由代理 (“<代表 MailboxOrGroup 的代理人>”) 发送的<。> 但是,对这些邮件的答复发送到邮箱或组,而不发送给代理。 不允许代理阅读邮箱的内容。 如果向地址列表中隐藏的邮箱分配“代表发送”权限,则代理将无法从邮箱发送邮件。 |
用户邮箱 资源邮箱 通讯组 动态通讯组 启用邮件功能的安全组 Microsoft 365 组 |
共享邮箱 | 具有用户帐户的邮箱 具有帐户的邮件用户 启用邮件功能的安全组 通讯组 |
注意
如果用户同时具有邮箱或组的 “发送方式” 和“ 代表发送 ”权限,则始终使用 “作为发送” 权限。
开始前,有必要了解什么?
估计完成每个步骤时间:2 分钟。
你必须先获得权限,然后才能执行此过程或多个过程。 若要查看所需的权限,请参阅 Exchange Online 中的功能权限 一文中的“邮箱设置”条目。
若要打开和使用 EAC,请参阅 Exchange Online 中的 Exchange 管理中心。 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
使用高级设置将邮箱添加到 Outlook 时,只会添加主邮箱;不会添加存档邮箱。 如果用户还需要访问存档邮箱,则应将邮箱作为同一 Outlook 配置文件中的第二个帐户添加到 Outlook。
有关可能适用于本文中的过程的键盘快捷方式的信息,请参阅 Exchange 管理中心的键盘快捷方式。
使用 EAC 将权限分配给个别邮箱
在 EAC 中,单击功能窗格中的“收件人”。 根据要为其分配权限的邮箱类型,单击以下选项之一:
- 邮箱:用户或链接邮箱。
- 资源:会议室或设备邮箱。
在邮箱列表中,选择要为其分配权限的邮箱。
单击“ 邮箱委派 ”并配置以下一个或多个权限:
- 发送方式:代理发送的邮件似乎来自邮箱。
- 代表发送:代理发送的邮件在发件人地址中有“<代表邮箱的代理人”。><> 请注意,该权限在共享邮箱的 EAC 中不可用。
- 读取和管理 (完全访问权限) :代理可以打开邮箱并执行除发送邮件以外的任何操作。
若要向委托分配权限,请单击相应权限下的 “编辑 ”,然后单击“ 添加成员。
- 从列表中选择用户或组。 根据需要多次重复此过程。
- 还可以通过键入全部或部分名称,然后单击““搜索”,在搜索框中搜索用户或组。
选择完委托后,单击“ 保存>确认”。
若要从委托中删除权限,请在相应权限下的列表中选择该委托,然后单击“ 删除>确认”。
使用 EAC 同时向多个邮箱分配权限
在 EAC 中,单击“ 收件人>邮箱”。
选择要为其分配权限的邮箱。
单击“ 邮箱委派”,在 “添加代理人 ”文本框中,键入 “名称 ”或 “电子邮件地址 ”,然后从结果中选择它。
在 “选择权限类型” 下拉列表中,选择适当的类型 (“完全访问权限”、“ 作为发送 ”或 “代表) 发送 ”。
选择要添加为委托的用户或组后,单击“ 保存 ”或单击“关闭 X ”以删除。
使用 EAC 向组分配权限
在 EAC 中,单击“ 收件人>组”。
单击行中除显示在“ 组名称” 列旁边的空白区域中的按钮选项之外的任何位置,选择组。 然后单击 “设置”。
在 “管理委托”下,单击“ 编辑管理委托” 并配置以下权限之一:
- 发送方式:委托发送的消息似乎来自组。
- 代表发送:委托发送的消息在“发件人”地址中有“<代表组的委托>”。><
若要向代理人分配权限,请在 “添加代理人 ”文本框中,键入 “名称 ”或 “电子邮件地址 ”,然后从结果中选择它。 根据需要多次重复此过程。
若要从委托中删除权限,请单击“关闭 X”。
完成后,单击“保存”。
使用 Exchange Online PowerShell 为邮箱分配完全访问权限
使用 Add-MailboxPermission 和 Remove-MailboxPermission cmdlet 来管理邮箱的完全访问权限。 这些 cmdlet 使用相同的基本语法:
Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]
Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All
此示例为 Raymond Sam 分配 Terry Adams 的邮箱的完全访问权限。
Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All
此示例为 Esther Valle 分配组织的默认发现搜索邮箱的完全访问权限,并阻止邮箱自动在 Esther Valle 的 Outlook 中打开。
Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false
此示例为支持人员启用邮件的安全组的成员分配共享邮箱 Helpdesk Tickets 的完全访问权限。
Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All
此示例删除 Jim Hance 对 Ayla Kol 的邮箱的完全访问权限。
Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All
有关详细的语法和参数信息,请参阅:
如何知道操作成功?
若要验证是否已成功分配或删除邮箱代理的完全访问权限,请使用以下过程之一:
在 EAC 邮箱的属性中,验证代理是否在 邮箱委派>完全访问中列出。
将 MailboxIdentity> 替换为<邮箱的标识,并在 Exchange Online PowerShell 中运行以下命令,验证代理是否已列出。
Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table User,Deny,IsInherited,AccessRights -Auto
有关详细信息,请参阅 Get-MailboxPermission。
使用 Exchange Online PowerShell 向邮箱和组分配“代理发送”权限
使用 Add-RecipientPermission 和 Remove-RecipientPermission cmdlet 来管理邮箱和组的“发送为”权限。 这些 cmdlet 使用相同的基本语法:
<Add-RecipientPermission | Remove-RecipientPermission> -Identity <MailboxOrGroupIdentity> -Trustee <DelegateIdentity> -AccessRights SendAs
本示例将“代理发送”权限分配给名为 Contoso 打印机支持的共享邮箱上的打印机支持组。
Add-RecipientPermission -Identity "Contoso Printer Support" -Trustee "Printer Support" -AccessRights SendAs
本示例删除了用户 Karen Toh 对 Yan Li 邮箱的“Send As”权限。
Remove-RecipientPermission -Identity "Yan Li" -Trustee "Karen Toh" -AccessRights SendAs
有关详细的语法和参数信息,请参阅:
如何知道操作成功?
若要验证是否已成功分配或删除邮箱或组上的代理的“发送方式”权限,请使用以下任一过程:
在 EAC 中邮箱或组的属性中,验证代理是否在 邮箱委派>“发送方式” 或 “组委派>发送方式”中列出。
将 MailboxIdentity> 和 DelegateIdentity 替换为<邮箱或组的名称、别名或电子邮件地址,并在 Exchange Online PowerShell 中运行以下命令,验证代理是否列出。><
Get-RecipientPermission -Identity <MailboxIdentity> -Trustee <DelegateIdentity>
使用 Exchange Online PowerShell 向邮箱和组分配“代表发送”权限
对各种邮箱和组 Set- cmdlet 使用 GrantSendOnBehalfTo 参数来管理邮箱和组的“代表发送”权限:
- Set-Mailbox
- Set-DistributionGroup:通讯组和已启用邮件的安全组。
- Set-DynamicDistributionGroup
- Set-UnifiedGroup:Microsoft 365 个组。
这些 cmdlet 的基本语法是:
<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>
GrantSendOnBehalfTo 参数具有以下委托值选项:
-
替换现有委托:
<DelegateIdentity>
或"<DelegateIdentity1>","<DelegateIdentity2>",...
-
在不影响其他委托的情况下添加或删除委托:
@{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}
-
删除所有委托:使用值
$null
。
此示例为代理 Holly Holt 分配 Sean Chai 邮箱的"代表发送"权限。
Set-Mailbox -Identity seanc@contoso.com -GrantSendOnBehalfTo hollyh
本示例将组 tempassistants@contoso.com 添加到对 Contoso Executives 共享邮箱具有“代表发送”权限的代理人列表中。
Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="tempassistants@contoso.com"}
此示例为代理 Sara Davis 分配 Printer Support 通讯组的"代表发送"权限。
Set-DistributionGroup -Identity printersupport@contoso.com -GrantSendOnBehalfTo sarad
此示例删除 All Employees 动态通讯组中分配给管理员的“代表发送”权限。
Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}
如何知道操作成功?
若要验证是否已成功分配或删除邮箱或组上的代理的“代表发送”权限,请使用以下任一过程:
在 EAC 中邮箱或组的属性中,验证代理是否在 邮箱委派>“发送方式” 或 “组委派>发送方式”中列出。
将 MailboxIdentity> 或 GroupIdentity 替换为<邮箱或组的标识,并在 Exchange Online PowerShell 中运行以下命令之一,验证代理是否已列出。><
邮箱:
Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo
通讯组或已启用邮件的安全组:
Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
动态通讯组:
Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
Microsoft 365 组:
Get-UnifiedGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo
后续步骤
有关代理如何使用分配给他们的邮箱和组的权限的详细信息,请参阅以下文章: