Управление правами доступа к ящикам и папкам Exchange и Microsoft 365

В этой статье мы рассмотрим, как управлять доступом к почтовым ящикам и отдельным папкам в on-premises Exchange и Microsoft 365 (Exchange Online). По принципы и команды PowerShell для управления доступом к ящикам и папкам в наземном и облачном Exchange практически не отличаются (за исключением отличий в графическом интерфейсе EAC), поэтому я решил собрать всю необходимую информацию для системного администратора в одной статье.

В Exchange (как on-prem, так и облачном Microsoft 365) есть два уровня назначения прав на почтовые ящики:

  • Права на уровне всего ящика – позволяют дать полный доступ к содержимому ящика и отправки писем. На этом уровне можно назначить следующие права Full Access, Send As и Send on Behalf;
  • Права на уровне конкретной папки ящика – вы можете гранулировано предоставить доступ к конкретной папке в почтовом ящике пользователя. Например, полные права на управление элементами в папке Календарь и право на просмотр содержимого папки Входящие.

Рассмотрим права уровня ящика подробнее

  • Право Send As — разрешает отправлять письма с этого ящика;
  • Send on Behalf – право на отправку от имени ящика, когда в поле From виден настоящий отправитель письма;
  • Full Access — полные права на доступ ко всем элементам ящика (кроме прав на отправку от имени ящика).

Управление правами доступа к ящику Exchange (Microsoft 365)

Вы можете назначить на почтовый ящик права Full Access, SendAs, и Send on behalf через графический интерфейс EAC. Например, в Microsoft 365 нужно открыть портал Exchange Admin Center (https://admin.exchange.microsoft.com) и перейти в раздел Mailboxes.

  1. Найдите ящик нужно пользователя;
  2. Выберите его параметры -> Mailbox permissions -> Manage mailbox delegation; управление доступом к почтовому ящику в Exchange Admin Center
  3. В открывшемся окне вы можете посмотреть текущие права доступа к ящику или изменить их.

Настройка прав доступа к ящику Exchange или Microsoft 365 с помощью PowerShell

Как правило, администратор Exchange редко использует портал EAC для управления доступом к ящику. Гораздо быстрее и удобнее управлять правами на ящики пользователей через PowerShell.

Подключитесь к своему серверу Exchange или тенанту Microsoft 365 (Exchange Online):

Например, для предоставления полного доступа к общему ящику, чтобы пользователи могли видеть его содержимое и отправлять письма, нужно предоставить права Full Access и Send As.

Данная команда предоставит полные права на ящик maxadm для HenriettaM:

Add-MailboxPermission -Identity maxadm@winitpro.onmicrosoft.com -User HenriettaM@winitpro.onmicrosoft.com -AccessRights FullAccess -AutoMapping:$true -InheritanceType All

Add-MailboxPermission AccessRights FullAccess

Следующая PowerShell команда используется для предоставления прав на отправку писем:

Add-RecipientPermission maxadm@winitpro.onmicrosoft.com -AccessRights SendAs -Trustee HenriettaM@winitpro.onmicrosoft.com

Add-RecipientPermission SendAs

Чтобы предоставить право SendOnBehalf, выполните:

Get-Mailbox maxadm@winitpro.onmicrosoft.com | Set-Mailbox -GrantSendOnBehalfTo HenriettaM@winitpro.onmicrosoft.com

Можно предоставить права сразу нескольким пользователям. Например, назначим пользователю права SendAs на все ящики из определенного департамента:

Get-Recipient -Filter {(Department -eq "R&D")} | Add-RecipientPermission -AccessRights SendAs –Trustee HenriettaM@winitpro.onmicrosoft.com

Или предоставим полные права на общий ящик для всех членов определённой группы рассылки:

$Members = Get-DistributionGroupMember -id MSKmarketing
ForEach ($Member in $Members)
{
Add-RecipientPermission John -AccessRights SendAs –Trustee $Member.name
Add-MailboxPermission -Identity MSKmarkets@winitpro.onmicrosoft.com -User $Member.name -AccessRights FullAccess -AutoMapping:$true -InheritanceType All
}

Вывести список пользователей, у которых есть полные права на почтовый ящик:

get-mailboxpermission -identity maxadm@winitpro.onmicrosoft.com |ft -AutoSize

get-mailboxpermission

Получить полный отчет со списком пользователей, у которых есть права FullAccess на любые другие ящики в тенанте (организации) Exchange:

Get-Mailbox|Get-MailboxPermission | where {($_.AccessRights -like 'Full*') -and ($_.User -notlike "nt authority\self")} | Format-Table -Auto User,Deny,IsInherited,AccessRights

 вывести всех пользователей, которое имеют доступ к чужим ящикам в exchange online

Отчет по правам SendOnBehalf:

Get-Mailbox –ResultSize Unlimited | Where {$_.GrantSendOnBehalfTo -ne $null} | Select UserprincipalName,GrantSendOnBehalfTo

Вывести список пользователей с правами SendAs на ящике:

Get-RecipientPermission maxadm@winitpro.onmicrosoft.com

Вывести пользователей организации, на которых есть права SendAs у указанного пользователя:

Get-Recipient | Get-RecipientPermission -Trustee HenriettaM@winitpro.onmicrosoft.com | Select Identity, Trustee, AccessRights

найти пользователей с правами SendAs  в оганизации

Удалить для пользователя права SendAs на все ящики в организации:

Get-Recipient | Remove-RecipientPermission -AccessRights SendAs –Trustee HenriettaM@winitpro.onmicrosoft.com

Лишить пользователя доступа к почтовому ящику:

Remove-MailboxPermission -identity maxadm@winitpro.onmicrosoft.com -accessrights:fullaccess -user HenriettaM@winitpro.onmicrosoft.com

Управление правами на папки в почтовом ящике Exchange (Microsoft 365)

Вы можете предоставить пользователям права доступа к любой папке внутри почтового ящика. Например, вы можете разрешить определенному пользователю просматривать содержимое папки Inbox и редактировать любые элементы в папке Календарь.

Пользователь может самостоятельно предоставить доступ к папке другому пользователю через Outlook или OWA. Просто щелкните по имени папки и выберите Permissions.

Назначить разрешения на папки в ящике Exchange через Outlook

Перед вами появится форма, на которой отображены текущие права доступа пользователей к данной папке. Здесь же можно предоставить доступа другим пользователям. Нажмите кнопку + и укажите имя пользователя, которому нужно предоставить доступ.

предоставить доступ к папке Inbox в Outlook

Вы можете выбрать уровень доступа к папке. Можно выбрать одну из предустановленных ролей или назначить конкретное разрешение.

Доступны следующие роли (как коллекции указанных разрешений):

РольРазрешения в роли
AuthorCreateItems, DeleteOwnedItems, EditOwnedItems, FolderVisible, ReadItems
ContributorCreateItems, FolderVisible
EditorCreateItems, DeleteAllItems, DeleteOwnedItems, EditAllItems, EditOwnedItems, FolderVisible, ReadItems
NoneFolderVisible
NonEditingAuthorCreateItems, FolderVisible, ReadItems
OwnerCreateItems, CreateSubfolders, DeleteAllItems, DeleteOwnedItems, EditAllItems, EditOwnedItems, FolderContact, FolderOwner, FolderVisible, ReadItems
PublishingEditorCreateItems, CreateSubfolders, DeleteAllItems, DeleteOwnedItems, EditAllItems, EditOwnedItems, FolderVisible, ReadItems
PublishingAuthorCreateItems, CreateSubfolders, DeleteOwnedItems, EditOwnedItems, FolderVisible, ReadItems
ReviewerFolderVisible, ReadItems
AvailabilityOnlyПрименяется только к папке Календарь. Позволяет просматривать информацию о доступности Free/Busy
LimitedDetailsПрименяется только к папке Календарь. Просмотр доступности, темы и местоположения

Список возможных индивидуальных разрешений:

  • CreateItems
  • CreateSubfolders
  • DeleteAllItems
  • DeleteOwnedItems
  • EditAllItems
  • EditOwnedItems
  • FolderContact
  • FolderOwner
  • FolderVisible
  • ReadItems

роли доступа к папкам в exchange

Администратор Exchange может предоставить права на любую папку пользователя с помощью PowerShell. Следующая команда выведет список доступных папок в ящике пользователя:

Get-MailboxFolder -Identity maxadm@winitpro.onmicrosoft.com -Recurse

Get-MailboxFolder вывести список папок в ящике Exchange

Обращайте внимание на название стандартных папок Outlook, они могут отличаться в зависимости от региональных настроек ящика.

Можно получить список назначенных разрешений на определенную папку в ящике:

Get-MailboxFolderPermission -Identity "maxadm@winitpro.onmicrosoft.com:\Inbox"

Get-MailboxFolderPermission вывести права доступа к папке

Следующая команда предоставит право на просмотр списка папок в ящике:

Add-MailboxFolderPermission -Identity maxadm@winitpro.onmicrosoft.com:\ -User HenriettaM@winitpro.onmicrosoft.com -AccessRights Reviewer

Эти разрешение не наследуются вниз по иерархии папок.

Чтобы предоставить права на просмотр содержимого папки Inbox, выполните:

Add-MailboxFolderPermission -Identity "maxadm@winitpro.onmicrosoft.com:\Inbox" -User HenriettaM@winitpro.onmicrosoft.com -AccessRights Reviewer

Или полные права на календарь:

Add-MailboxFolderPermission -Identity maxadm@winitpro.onmicrosoft.com:\Calendar -User HenriettaM@winitpro.onmicrosoft.com -AccessRights Editor

Add-MailboxFolderPermission  доступ на просмотр календаря другого пользователя

Чтобы удалить права на доступ к папке в ящике, используется команда:

Remove-MailboxFolderPermission -Identity "maxadm@winitpro.onmicrosoft.com:\Inbox" –user HenriettaM@winitpro.onmicrosoft.com


Предыдущая статья Следующая статья


Комментариев: 2 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)