在 Exchange 混合中配置权限

在开始将任何邮箱迁移到 Exchange Online - Office 365 之前，最好先完成 Exchange 混合测试计划清单。任务之一是配置跨界权限并测试共享邮箱访问、发送方式、代表发送、和委派访问在 Exchange 混合配置中工作。

在你开始之前

确保组织中运行最新的 Azure AD Connect 和最新的累积更新。这是因为微软在两个版本中修复了跨界邮箱权限的错误。

注意：在 Exchange 混合部署中推送更改时，耐心至关重要。每次更改后等待或强制同步 Azure AD Connect，然后等待才能看到跨界更改。

在我们的示例中，我们有两个帐户，我们将在其上测试跨界权限：

• Testexo（Exchange Online 用户邮箱）

• SharedMailboxOnPrem（Exchange 本地共享邮箱）

启用 ACLable 对象同步

ACLableSyncedObjectEnabled 参数指定混合环境中的远程邮箱是否标记为 ACLableSyncedMailboxUser。默认情况下，它是禁用的。

检查组织中是否启用了 ACLable 对象同步。在本地 Exchange 服务器上以管理员身份运行 Exchange 命令行管理程序。使用获取组织配置 cmdlet。

在我们的示例中，它被禁用，因为该值显示为 False。

[PS] C:\>Get-OrganizationConfig | ft Name,ACL*

Name  ACLableSyncedObjectEnabled
----  --------------------------
EXOIP                      False

使用 Set-OrganizationConfig cmdlet（包括 -ACLableSyncedObjectEnabled 参数）启用 ACLable 对象同步。

[PS] C:\>Set-OrganizationConfig -ACLableSyncedObjectEnabled $True

执行此操作后，您移动到 Microsoft 365 或 Office 365 的任何邮箱都将正确配置为支持委派的邮箱权限。如果在完成这些步骤之前已将邮箱移至 Microsoft 365 或 Office 365 或在 Microsoft 365 或 Office 365 中创建，则您需要使用以下步骤手动启用这些邮箱的 ACL。

对移动到 Microsoft 365 或 Office 365 或在 Microsoft 365 或 Office 365 中创建的单个邮箱启用 ACL。

[PS] C:\>Get-AdUser "testexo" | Set-AdObject -Replace @{msExchRecipientDisplayType=-1073741818}

对移动到 Microsoft 365 或 Office 365 或在 Microsoft 365 或 Office 365 中创建的所有邮箱启用 ACL。

[PS] C:\>Get-RemoteMailbox -ResultSize Unlimited | where {$_.RecipientTypeDetails -eq "RemoteUserMailbox"} | ForEach {Get-AdUser -Identity $_.Guid | Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}}

验证邮箱是否已成功更新。

[PS] C:\>Get-RemoteMailbox -ResultSize unlimited | ForEach {Get-AdUser -Identity $_.Guid -Properties msExchRecipientDisplayType | Format-Table DistinguishedName,msExchRecipientDisplayType -Auto}

重要提示： 只能为用户邮箱设置 msExchRecipientDisplayType 值 -1073741818，而不能为资源邮箱设置。

Exchange Hybrid 中的完全访问权限

迁移邮箱时，完全访问权限将保留。在 Exchange Online 或 Exchange 本地部署中创建新邮箱时，您需要授予跨部署的完全访问权限。

在本地 Exchange 命令行管理程序中运行命令。

[PS] C:\>Add-MailboxPermission -Identity "[email protected]" -User "[email protected]" -AccessRights "FullAccess" -InheritanceType "All"

Identity             User           AccessRights  IsInherited Deny
--------             ----           ------------  ----------- ----
exoip.local/Compa... EXOIP\testexo  {FullAccess}  False       False

启动 Outlook 并使用用户 [email protected] 登录。接下来，将共享邮箱 SharedMailboxOnPrem 添加为附加邮箱。

验证您是否对共享邮箱 SharedMailboxOnPrem ([email protected]) 拥有完全访问权限。

Exchange 混合中的发送权限

迁移邮箱时，发送权限将保留。在 Exchange Online 或 Exchange 本地创建新邮箱时，您需要授予跨界代理发送权限。

在本地 Exchange 命令行管理程序中运行命令。

[PS] C:\>Add-ADPermission -Identity "sharedmailboxonprem" -User "[email protected]" -AccessRights "ExtendedRight" -ExtendedRights "Send As"

Identity             User           Deny  Inherited
--------             ----           ----  ---------
exoip.local/Compa... EXOIP\testexo  False False

然后在 Exchange Online PowerShell 中运行相应的命令。按Y 和Enter。

PS C:\> Add-RecipientPermission -Identity "sharedmailboxonprem" -Trustee "[email protected]" -AccessRights "SendAs"

Confirm
Are you sure you want to perform this action?
Adding recipient permission 'SendAs' for user or group '[email protected]' on recipient Identity:'sharedmailboxonprem'.
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): Y

Identity            Trustee AccessControlType AccessRights Inherited
--------            ------- ----------------- ------------ ---------
SharedMailboxOnPrem testexo Allow             {SendAs}     False    

启动 Outlook 并使用用户 [email protected] 登录。验证您是否可以发送为 [email protected]。

在我们的示例中，电子邮件发送至[email protected]。

验证电子邮件是否已送达 Alison Bell 并以 SharedMailboxOnPrem 形式发送。

Exchange 混合中的代表发送权限

启用 ACLable 对象同步以使代表发送权限发挥作用非常重要。否则，代表发送将无法跨界工作。请参阅上一步以启用该功能。接下来，授予跨界代表发送权限。

在本地 Exchange 命令行管理程序中运行以下命令。

[PS] C:\>Set-Mailbox "[email protected]" -GrantSendOnBehalfTo @{add='[email protected]'}

启动 Outlook 并使用用户 [email protected] 登录。验证您是否可以代表发送[email protected]。

在我们的示例中，电子邮件发送至 [email protected]。

验证电子邮件是否已发送给鲍里斯·坎贝尔 (Boris Campbell)，并且是代表鲍里斯·坎贝尔 (Boris Campbell) 发送的。

Exchange 混合中的委派访问

确保启用 ACLable 对象同步才能使委托访问正常工作。否则，委托访问将无法跨界工作。请参阅上一步以启用该功能。接下来，授予跨界的委托访问权限。

在本地 Exchange 命令行管理程序中运行命令。

[PS] C:\>Add-MailboxFolderPermission -Identity "[email protected]:\Calendar" -User "[email protected]" -AccessRights "Editor"

以用户 [email protected] 身份启动 Outlook。验证您是否拥有鲍里斯·坎贝尔日历的委托访问权限。右键单击鲍里斯日历并创建一个新约会。

这是否有助于您配置 Exchange 混合跨界权限？

在下一篇文章中，我们将了解如何将 MX 记录更新到 Office 365。

结论

您了解了如何在 Exchange Hybrid 中配置权限。迁移邮箱时，所有权限都将保留。但是，当您创建新邮箱并授予本地邮箱和 Exchange Online 之间的权限时，您必须执行一些额外的步骤。

您喜欢这篇文章吗？您可能还希望删除权限后邮箱在 Outlook 中仍然可见。不要忘记关注我们并分享这篇文章。