在基于 Exchange 混合的环境中测试跨站点权限|第 2 部分#5

上一篇文章提到，Exchange Hybrid 环境下的 Exchange 权限关系主体可以在两大场景下实现：

• 场景 1 - 跨站权限

  • Exchange 本地邮箱在云邮箱上可以拥有的 Exchange 权限，反之亦然。

当前的文章专门针对场景 1，我们将查看并验证被视为“跨站点权限”的特定 Exchange 权限。 ”

Exchange 混合环境中有关“跨站点权限”的正式信息

在下面的引用中，我们可以看到微软发布的有关Exchange Hybrid中“跨站点权限”的信息：

支持跨界邮箱权限
Exchange 混合部署支持在位于本地 Exchange 组织中的邮箱和位于 Office 365 中的邮箱之间使用完全访问邮箱权限。
本地 Exchange 组织中的邮箱- 本地 Exchange 服务器可以授予对 Office 365 邮箱的完全访问权限，反之亦然。
例如，可以向 Office 365 邮箱授予对本地共享邮箱的完全访问权限。
我们不这样做但是，不支持在本地 Exchange 和 Office 365 组织之间的混合部署中使用发送方式、接收方式或代表邮箱发送权限。

文章中的信息告诉我们：

1. 我们可以定义位于 Exchange 本地环境和 Exchange Online 环境中的邮箱之间的完全访问权限。

2. Exchange 混合环境中的跨站点权限不支持 Send As 和 代表发送交换权限。

文章中的信息与以下场景无关：

1. 跨站权限和日历共享

关于“跨站权限”和日历共享（日历共享是通过Exchange实现的文件夹权限）。

2. 为安全组分配权限

关于该主题没有明确的声明 - 向安全组分配
例如完全访问权限的能力。

3. 委托权限

委派权限可以视为
文件夹权限和的组合代表发送许可。文章说不支持代发 权限 ，但尚不清楚是否可以选择在 Exchange 本地邮箱和云邮箱之间使用委派（反之亦然）。

我们的场景描述

为了能够更清楚地了解有关受支持的跨站点许可信息的“缺失部分”，我们将使用以下场景：

• 名为 o365info.com 的组织，使用基于 Exchange 混合的环境。
• 爱丽丝是鲍勃的私人助理。
• Bob 的邮箱位于云 (Exchange Online) 中，Alice 的邮箱由 Exchange 本地服务器托管。

我们想为 Alice 分配各种类型的 Exchange 权限，以便她能够访问 Bob 的邮箱。

在下一节中，我们将测试不同类型的可能的 Exchange 权限，其中 Bob 将“允许”Alice 对其邮箱拥有特定权限。

尝试在 Exchange 混合环境中分配委派权限

在下一节中，我们将尝试检查 Exchange 混合环境中的跨站点权限是否支持委派权限。

鲍勃试图将爱丽丝定义为他的代表。

委派是通过使用文件菜单==> 帐户设置... ==> 委派访问==>添加...

在下面的屏幕截图中，我们可以看到 Exchange 收件人的列表。

从技术上讲，当我们在发送新邮件时使用 GAL（收件人列表）时，收件人列表无法让我们区分 Exchange 本地收件人和“云收件人”。换句话说，Bob 不知道 Alice 的邮箱是位于 Exchange 本地服务器还是位于 Exchange Online。

在当前场景中，Bob 使用收件人列表来查找并选择 Alice 的姓名。

注意到一个有趣的事情，当我们查看收件人列表时，我们可以看到在一些收件人姓名的左侧，有一个红色圆圈图标。

此图标的含义是我们无法将所需的权限分配给具有此红色圆圈图标的收件人。

如果 Bob 尝试将 Alice 的名字添加为委托人，则会出现以下错误：

无法添加用户 Alice Caamano。无法授予非本地用户在此服务器上的权限

结论

云收件人无法将 Exchange 本地收件人定义为其代理人。

尝试在 Exchange 混合环境中共享日历（文件夹权限）

在下面的部分中，我们将尝试检查是否可以在 Exchange 混合环境中分配文件夹权限。

在我们的场景中，Bob 尝试与 Alice 共享他的日历（文件夹权限）。

要共享日历，我们将选择日历权限图标，然后单击Add …按钮。

与之前的场景非常相似，我们可以在一些收件人姓名的左侧；有一个红色圆圈图标。

如果 Bob 尝试将 Alice 的名字添加为委托人，则会出现以下错误：

“无法添加用户 Alice Caamano。无法授予非本地用户在此服务器上的权限”

结论

云收件人无法与 Exchange 本地收件人共享其日历。

尝试在 Exchange 混合环境中分配代理发送权限

在下面的部分中，我们将尝试检查是否可以在 Exchange 混合环境中分配发送为权限。

在我们的场景中，我们将向 Alice（Exchange 本地收件人）分配托管于 Bob 邮箱的代理发送权限在线交流。

在 Exchange 环境中，收件人无法自行分配代理发送权限 。 代理发送权限 可以由 Exchange 管理员分配。
我们将登录 Exchange Online 管理并分配 发送为权限。

在下面的屏幕截图中，我们可以看到我们在 Bob 的邮箱上向 Alice 分配了 Send As 权限 。

在下一阶段，Alice 将尝试使用 Bob 电子邮件地址发送电子邮件。我们可以看到 Alice 在电子邮件中添加了“发件人”选项，并且她使用 Bob 的电子邮件地址。

当 Alice 尝试发送电子邮件时，出现以下错误消息：“您没有代表特定用户发送邮件的权限”

结论

Exchange 本地收件人无法拥有云邮箱的代理发送权限。

尝试在 Exchange 混合环境中分配完全访问权限

在下面的部分中，我们将尝试检查是否可以在 Exchange 混合环境中分配完全访问权限。

在我们的场景中，我们将向 Alice（Exchange 本地收件人）分配托管于 Bob 邮箱的完全访问权限在线交流。

在下面的屏幕截图中，我们可以看到我们将 Bob 邮箱上的 完全访问权限 分配给 Alice。

默认情况下，当我们分配完全访问权限时，自动映射选项会自动激活。

自动映射功能的目的是将收件人具有完全访问权限的邮箱添加到他的 Outlook 邮件配置文件中自动地。

在跨站点权限的情况下使用具有完全访问权限时，自动映射选项不可用。

换句话说，用户需要手动将其拥有完全访问权限的邮箱添加到他的 Outlook 邮件配置文件中。

在下面的屏幕截图中，我们可以看到 Alice 需要将 Bob 的邮箱手动添加到她的 Outlook 邮件配置文件中。

出现凭证窗口；爱丽丝需要提供她的凭据。

在我们的特定场景中，Alice 提供了她的本地 Active Directory 凭据。

注意 - 在“标准完全访问权限场景”中，拥有完全访问权限，无需提供凭据。仅在跨站点权限场景中才需要提供凭据。

在下面的屏幕截图中，我们可以看到 Bob 的邮箱出现在 Alice Outlook 配置文件中。

结论

Exchange 本地收件人可以拥有云邮箱的完全访问权限。

尝试向 Exchange 混合环境中的安全组分配完全访问权限

在下面的部分中，我们将尝试检查是否可以将 Exchange 混合环境中的完全访问权限分配给安全组。如果我们想更准确的找到一个启用邮件的安全组。

安全组将包括 Exchange 本地收件人。

目的是验证我们是否可以使用继承（非显式）邮箱权限选项。意思是，将权限分配给一个组而不是特定的收件人，并验证该组中包含的 Exchange 本地收件人是否可以使用他们从安全组“继承”的权限。

为了能够检查这种情况，我们将做以下准备：

• 我们将创建一个名为 -
  On-Prem security 的本地 Active Directory 支持邮件的安全组。
• 我们将添加 Exchange 本地收件人 (Alice) 作为该组的成员
• 我们将向 Exchange Online 邮箱 (Anthony) 分配本地安全性 完全访问权限
• 我们将检查 Exchange 本地收件人 (Alice) 是否可以将 Exchange Online 邮箱添加到她的 Outlook 邮件配置文件中。

步骤 1 - 我们使用 Exchange 本地管理来创建启用邮件的安全组

步骤 2 - 我们将 Alice（Exchange 本地收件人）作为成员添加到启用邮件的安全组。

步骤 3 - 我们使用 Exchange Online 管理界面分配启用邮件的安全组（本地安全性）完全访问权限