在Exchange混合部署环境中目前已经支持本地Exchange邮箱和Office 365 Exchange Online邮箱之间的邮箱委派权限功能。
场景介绍:例如本地邮箱需要赋予一个Exchange Online邮箱完全控制权限,反之一个Exchange Online邮箱需要赋予本地Exchange邮箱完全控制权限。
不过目前支持的权限委派只支持 Full Access【完全控制】 and Send on Behalf 【代表发送(显示代表人)】,不支持Send AS【发送为(不显示代表人)】。
在混合环境中要支持本地邮箱和云端邮箱邮箱委派权限功能,首先需要AAD同步服务器的版本必须为 version 1.1.553.0,并且同时需要在AAD服务器上启用Exchange Hybrid deployment功能。
最新的AAD同步软件下载地址:https://www.microsoft.com/en-us/download/details.aspx?id=47594
其次不同版本的Exchange版本在混合部署环境中对邮箱权限委派的支持性不一样,不同版本支持情况如下:
| Exchange版本 | 支持情况 | 是否需要额外配置 |
|---|---|---|
| Exchange 2016 | 所有CU版本都支持 | 无需额外配置 |
| Exchange 2013 CU10以下 | 支持,需要手动配置,邮箱迁移到云端之前需要将权限设置好 | 需要手动配置 |
| Exchange 2013 CU10以上 | 支持,只需组织级别支持ACLs | 自动配置 |
| Exchange 2010 SP3 Rollup26/25 | 支持,组织级别启用支持ACLs | 单独为每个邮箱配置 |
| Exchange 2007及以前版本 | 不支持 | 不支持 |
下面介绍Exchange 2013在混合环境中如何启用支持邮箱权限委派。具体操作步骤如下:
1、Enable ACLable object synchronization【Exchange 2013 CU10及以上版本只需要执行此步骤即可,建议在移动本地邮箱到云端之前执行该步骤,这样可以避免为迁移到云端的邮箱单独执行ACL同步。CU10以前版本执行此步骤后还需执行第二步】
1)、安装最新版的AAD同步软件并且AAD服务器启用混合部署功能。
2)、在Exchange 服务器上运行如下命令启用ACL同步。Set-OrganizationConfig -ACLableSyncedObjectEnabled $True
2、在本地Exchange执行如下命令为每个远程邮箱启用ACL同步。
单个用户启用ACL同步Get-AdUser <Identity> | Set-AdObject -Replace @{msExchRecipientDisplayType=-1073741818}
为所有邮箱启用ACL同步Get-RemoteMailbox -ResultSize unlimited | ForEach {Get-AdUser -Identity $_.Guid | Set-ADObject -Replace @{msExchRecipientDisplayType=-1073741818}}
结果验证Get-RemoteMailbox -ResultSize unlimited | ForEach {Get-AdUser -Identity $_.Guid -Properties msExchRecipientDisplayType | Format-Table DistinguishedName,msExchRecipientDisplayType -Auto}
Exchange 2010 SP3 Rollup 26必须为每个本地的远程邮箱单独启用ACL同步,具体执行步骤同上第二步。
原文地址:https://blog.51cto.com/jialt/2353225