Office 365 管理范围的委派

拥有分散 IT 支持团队的 IT 组织通常希望限制本地 IT 的管理范围。

让我们考虑一家总部位于美国的公司，该公司在德国设有当地办事处，并使用本地 IT 来支持用户。

德国当地的IT支持团队应该只能管理德国员工的邮箱。

我们如何实现这一目标？

如何从 AD 管理邮箱委派

Office 365 邮箱管理的委派是通过 Azure 中的管理范围和角色分配进行管理的。

幸运的是，如果设置正确，您实际上可以使用本地 Active Directory 中的标准组成员身份处理 Office 365 邮箱委派。

为此，您需要在 AD 中启用邮件安全组。

使用 Easy365Manager，您可以在几秒钟内创建同步的启用邮件的安全组：

在 AD 中创建一个组，打开组属性并转到 Office 365 选项卡。

填写别名并单击“Mail Enable...”按钮：

此操作在 Azure AD 中创建一个同步组，我们可以使用它来委派邮箱管理。

创建管理范围

我们刚刚创建的同步 AD 组的成员将能够管理邮箱。

但什么邮箱呢？管理范围对此进行了定义。

您几乎可以使用任何属性来配置管理范围的过滤器组件。

要定位德国的所有用户，我们可以使用以下命令（Exchange Online 管理模块的一部分）：

New-ManagementScope HelpdeskDE -RecipientRestrictionFilter {CountryOrRegion -eq 'Germany'}

此命令将创建一个名为“HelpdeskDE”的新管理范围，输出应类似于以下内容：

PS C:\> New-ManagementScope HelpdeskDE -RecipientRestrictionFilter {CountryOrRegion -eq 'Germany'}

Name       ScopeRestrictionType Exclusive RecipientRoot RecipientFilter               ServerFilter
----       -------------------- --------- ------------- ---------------               ------------
HelpdeskDE RecipientScope       False                   CountryOrRegion -eq 'Germany'

当然，我们可以根据需要使用任何其他收件人过滤器。

创建管理角色分配

最后一步是将角色分配给我们启用邮件的安全组 - 但受到新创建的管理范围的限制。

使用以下命令分配角色“邮件收件人”、“邮件收件人创建”和“分发组”：

New-ManagementRoleAssignment -Role "Mail Recipients" -SecurityGroup "Helpdesk DE" -CustomRecipientWriteScope "HelpdeskDE"
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Helpdesk DE" -CustomRecipientWriteScope "HelpdeskDE"
New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup "Helpdesk DE" -CustomRecipientWriteScope "HelpdeskDE"

委派这三个角色应该可以满足我们在标准邮箱管理方面的需求。

这些命令的输出类似于以下内容：

PS C:\> New-ManagementRoleAssignment -Role "Mail Recipients" -SecurityGroup "Helpdesk DE" -CustomRecipientWriteScope "HelpdeskDE"

Name                         Role            RoleAssigneeName  RoleAssigneeType  AssignmentMethod  EffectiveUserName
----                         ----            ----------------  ----------------  ----------------  -----------------
Mail Recipients-Helpdesk DE  Mail Recipients Helpdesk DE       SecurityGroup     Direct

PS C:\> New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Helpdesk DE" -CustomRecipientWriteScope "HelpdeskDE"

Name                                 Role                     RoleAssigneeName  RoleAssigneeType  AssignmentMethod  EffectiveUserName
----                                 ----                     ----------------  ----------------  ----------------  -----------------
Mail Recipient Creation-Helpdesk DE  Mail Recipient Creation  Helpdesk DE       SecurityGroup     Direct

PS C:\> New-ManagementRoleAssignment -Role "Distribution Groups" -SecurityGroup "Helpdesk DE" -CustomRecipientWriteScope "HelpdeskDE"

Name                             Role                 RoleAssigneeName  RoleAssigneeType  AssignmentMethod  EffectiveUserName
----                             ----                 ----------------  ----------------  ----------------  -----------------
Distribution Groups-Helpdesk DE  Distribution Groups  Helpdesk DE       SecurityGroup     Direct

来自 Active Directory 的 Azure 委派

就是这样！我们现在已经设置了直接从 Active Directory 管理我们的德国帮助台的先决条件：

每当有新人员加入德国帮助台时，我们只需将该人员添加到 Active Directory 组“Helpdesk DE”（该组还可以提供对德国 IT 支持团队所需的各种本地资源的访问权限）。

这种最小权限方法非常适合分散的支持团队，并且对于企业 IT 来说非常易于维护。

通过列出的方法和 Easy365Manager 的使用，您可以完全整合 AD 和 Office 365 管理并处理 AD 用户和计算机内的所有事务。

在 Active Directory 之外管理 Office 365

如果您确实想让本地 IT 员工的生活变得轻松，请使用 Easy365Manager 为他们进行设置。

Easy365Manager 是 AD 用户和计算机的管理单元，允许您将 Office 365 作为 AD 中用户属性的一部分进行管理。

借助 Easy365Manager，您可以降低培训成本并提高工作效率。

考虑日历访问的委托，否则需要复杂的 PowerShell 脚本编写：

需要几分钟且有时需要高级管理员参与的任务现在可由前端支持团队在几秒钟内完成。

在此处下载功能齐全的 30 天试用版，测试直接从 AD 管理 Office 365 有多么容易。

Easy365Manager 是 AD 用户和计算机管理工具的简单扩展，它不会对 AD 或 Office 365 进行任何更改。

每年的许可费涵盖无限数量的安装，因此您的整个 IT 团队可以享受快速、直观的工作。