使用安全组有效管理 Exchange Online 中的权限

在本文中，我们将回顾使用组在 Exchange Online 环境中管理权限的概念。本文的主要目的是澄清与“组”对象相关的一些术语和概念，并演示通过使用组而不是直接将权限分配给特定用户来管理权限时可以实现的效率。

减少权限任务数量

尽管事实上，向特定用户提供权限被认为是一项简单的任务，但此选项的缺点是，随着时间的推移，大量用户的管理会变得困难和混乱。

“组”的使用使我们能够为需要其他用户资源（邮箱、邮箱文件夹等）权限的用户定义一个“逻辑包装器”。权限被分配给组，并且属于该组的用户将继承分配给该组的权限。

当我们需要为特定用户分配权限或删除权限时。我们只需将用户添加到特定组或从特定组中删除用户。

注意：在Exchange Online环境中，有多种类型的权限，例如：邮箱权限、收件人权限、邮箱文件夹等。在本文中，我们不会提及特定类型的权限，而是一般使用术语“权限”。邮件主题是如何给一个组分配权限（而不是给特定用户分配权限）但是优化权限管理。

为了演示使用组分配权限的优势，我们使用以下示例：帮助台团队成员是：Suzan、John、bob 和 Isabel。我们需要为该用户分配访问以下用户日历的权限：David 和 Alice。如果我们想要为帮助台团队的每个成员分配所需的权限，我们将需要实现八个不同的任务。

将 David 和 Alice（两个单独的操作）上的权限分配给 Suzan（帮助台团队成员），为其余三名成员分配所需的权限最终将通过实施额外的六个权限任务来完成。

第二个选项（首选选项）是将所需的权限分配给组。第一步是创建组，将所需的成员添加到组中，最后一步是为组分配访问 David 和 Alice 的日历所需的权限。

这样，我们只需要“执行”一次权限任务，而之前的场景是由八个单独的权限任务实现的。

如果您不完全相信，我们可以考虑这样的场景，我们需要将日历权限分配给帮助台团队成员到 300 个用户（您可以尝试做数学，如果您想要爪子，权限任务的数量将是 4 X 300=1200)。

另一种情况可能是：Suzan（帮助台团队成员之一）将离开帮助台团队。如果我们使用以下选项：为单个用户分配权限，我们将需要查找并找到 Suzan 对日历或邮箱具有权限的所有用户，并开始按用户删除此权限用户。

安全组与分发组

安全组与分发组之间的主要区别在于我们可以使用安全组来分配权限。我们不能使用通讯组来分配权限。换句话说：通讯组未启用安全性，这意味着它们不能列在任意访问控制列表 (DACL) 中。

下一个问题可能是：我知道我们使用通讯组向通讯组的每个成员发送邮件（指定通讯组名称是收件人），但也可以使用安全组作为通讯组吗？答案是：是的！

要使安全组充当“分发组”，我们需要做的就是为安全组分配一个电子邮件地址。当我们将电子邮件地址分配给安全组时，该组被描述为：启用邮件的安全组（其他使用的术语是安全分发组）。

当用户创建新邮件项目并使用 GAL（全局地址列表）进行选择时，没有唯一标志可以区分启用邮件的安全组和标准通讯组。

隐式权限与显式权限

我们应该熟悉的重要术语是：隐式权限和显式权限。术语“隐式权限”描述了一种场景，在该场景中，我们向特定对象（例如“用户对象”）隐式提供权限。例如：当我们为 John 分配 Suzan 日历的访问权限时，我们使用隐式权限。

当我们向组分配权限时，我们还使用隐式权限。组成员被分配有隐式权限。

我们使用术语“隐式权限”，因为组成员从其所属组继承了权限。例如：我们将对 Alice 邮箱的完全访问权限分配给名为：Help Desk John 和 Suzan 的组，他们是 Help Desk 组的成员。因此，John 和 Suzan 也拥有 Alice 邮箱的完全访问权限。

团体的动态性质

我们已经提到了向组分配权限而不是向特定用户分配权限的优点，但我想额外强调组满足动态环境中管理权限需求的能力。

当我们为安全组分配权限时，所有组成员都会自动继承分配给该组的权限。

在下图中，我们可以看到每个帮助台组成员都具有对 David 邮箱的完全访问权限（隐式权限的概念）。

如果一名帮助台成员离开团队，我们所需要做的就是从帮助台组中删除该团队成员（在我们的示例中为鲍勃），而不是访问大卫的邮箱并手动删除鲍勃的权限。

鲍勃被新的服务台团队成员取代，名叫伊莎贝尔。为了能够向 Isabel 提供管理其他用户邮箱（在我们的示例中为 David 的邮箱）所需的权限，我们只需将 Isabel 添加到帮助台组即可。 Isabel 将继承分配给帮助台组的访问权限。

组嵌套

我们应该熟悉的另一个重要概念是：组嵌套。组嵌套概念描述了一个组是其他组的成员的场景（组可以包含“用户对象”或“组对象”）。继承或隐式权限的概念对于组以相同的方式实现。

为了演示组嵌套的概念，我们使用以下场景：在公司总部，我们创建一个名为：HQ Help Desk 的安全组。我们希望纽约站点的服务台成员能够拥有对 David 邮箱的访问权限。纽约站点帮助台成员有一个名为：NY Help Desk 的组。

为了完成这个任务，我们可以实现以下选项： 组嵌套。我们需要做的就是将纽约帮助台添加为总部帮助台的成员。

结果是，现在 Isabel 和 Jeff 也拥有了 David 邮箱的访问权限。

使用组嵌套是一个强大的选项，我们可以实现许多级别的“嵌套”。虽然我们可以实现复杂的组嵌套结构，但最佳实践是不要过度使用嵌套选项，因为当我们创建复杂的嵌套结构时，优点可能会变成缺点。使用太多级别的嵌套会妨碍我们清楚地了解权限结构。

将通讯组转换为安全组

如果您确信使用安全组来分配权限（或作为“分发组”）更好，那么明显的问题可能是：如何将现有分发组转换为安全组？答案是，目前还没有转换组类型的选项。

此外，没有菜单或界面可以让我们将组成员从现有组复制到“新安全组”。我找到了解决此问题的一些方法，方法是使用 PowerShell 命令将现有成员从一个组（分发组）复制到作为安全组创建的新组中。

例如：

$SourceGroup = "Help-Desk"
$DestinationGroup = "Help-Desk-NEW"
Get-DistributionGroupMember -Identity $SourceGroup |
ForEach {
    Add-DistributionGroupMember -Identity
    $DestinationGroup -Member $($_.Alias)
}

解决方案是提前规划所需的权限基础架构，创建所需的安全组，并找到一种方法将组成员的现有通讯组复制到已创建的新安全组中。

目录同步环境

另一种情况可能是实施目录同步（DirSync 应用程序）。在这种情况下，解决方案会更简单，因为本地 Active Directory 使我们能够将现有通讯组转换为安全组。我们需要将所需的通讯组转换为安全组，并将更新复制到 Office 365 Active Directory (AD Azure)。

创建新的安全组

任务： 在 Exchange Online 中创建新的安全组非常简单。在顶部菜单栏的 Exchange Online 管理界面中，选择组菜单，然后选择添加图标。

在下面的屏幕截图中，我们可以看到组类型的可用选项。要创建启用邮件的安全组，请选择以下选项：安全组。

查找有关群组类型的信息

如果您想在顶部菜单栏的 Exchange Online 管理界面中获取有关组“类型”（安全性或分发）的信息，请选择组菜单。

在“组类型”列中，您可以查看有关组类型的信息。