В Exchange Server и Microsoft 365 (Exchange Online) вы можете предоставить пользователям права на отправку писем от имени другого пользователя или почтового ящика. В этой статье мы рассмотрим, как предоставить права send as/send on behalf через Exchange Admin Center и с помощью PowerShell.
В Exchange есть два типа полномочий на отправку от имени другого ящика или группы:
- Send as – разрешить пользователю отправку писем с другого почтового ящика. Получатель в данном не видит, что на самом деле письмо ему отправил другой пользователь;
- Send on behalf – права аналогичные Send-As, но при отправке в поле From показывается настоящий отправитель письма. На скриншоте ниже из Outlook, видно что пользователь AAA отправил письмо от имени ящика BBB ([email protected] on behalf of [email protected]).
Предоставление прав Send as в Exchange Server
В on-prem Exchange Server 2019,2016, 2013 вы можете предоставить права на ящик через Exchange Admin Center.
- Авторизуйтесь на ECP:
https://exchange1/ecp; - Перейдите в раздел Recipients -> Mailboxes -> найдите ящик пользователя, на который нужно предоставить права;
- Откройте свойства пользователя и перейдите на вкладку Mailbox Delegation;
- Здесь вы можете предоставить другому пользователю права SendAs или SendOnBehalf, добавив его аккаунт в соответствующий раздел.
Аналогичным образом можно предоставить права отправки от имени группы рассылок и mail enabled security групп (вкладка group delegation).
Вы можете предоставить права send as с помощью PowerShell. Для этого запустите консоль EMS или подключитесь к своему серверу Exchange удаленно из консоли PowerShell:
Чтобы предоставить права SendAs, выполните команду (права назначаются на уровне учётной записи в Active Directory, их можно также насроит вручную на вкладке Security в свойствах пользователя в консоли ADUC):
Get-Mailbox [email protected] | Add-ADPermission -User [email protected] -ExtendedRights "Send As"
Для предоставления права SendOnBehalf, используется другая команда:
Set-Mailbox -Identity [email protected] -GrantSendOnBehalfTo [email protected]
Предыдущая команда очищает текущий список доступа и добавляет в него только новый аккаунт. Если вы хотите добавить в список доступа SendOnBehalf нового пользователя, выполните:
Set-Mailbox [email protected] -GrantSendOnBehalfTo @{Add="[email protected]"}
Можно предоставить права отправки на все почтовый ящики, в определенном Organizational Unit в Active Directory:
Get-Mailbox | Where {$_.DistinguishedName -like "*OU=Service,OU=MSK,DC=winitpro,DC=ru*"} | Set-Mailbox -GrantSendOnBehalfTo @{add="User1","User2"}
Если нужно предоставить права на отправку от имени группы рассылки Exchange, используется другая команда:
Set-DistributionGroup -Identity [email protected] -GrantSendOnBehalfTo @{Add="[email protected]"}
Чтобы предоставить права отправки от имени динамической группы рассылки:
Set-DynamicDistributionGroup "IT_DeptUsers" -GrantSendOnBehalfTo @{Add="[email protected]"}
Чтобы отправить письмо от имени другого ящика в Outlook или OWA, нужно добавить в интерфейс поле From (От). После этого при создании нового письма нужно в выпадающем списке выбрать от имени какого ящика нужно выполнить отправку (первый раз нужно выбрать пользователя из адресной книги вручную).
В on-premises Exchange Server для распространения настроек может придется подождать до двух часов или перезапустить сервис Exchange Information Store.
Если при отправке о имени другого ящика вы получаете отбойник:
You do not have permission to send to this recipient. For assistance, contact your system administrator
или
You can't send a message on behalf of this user unless you have permission to do so. Нельзя отправить сообщение от лица этого пользователя без соответствующего разрешения.
Попробуйте:
- Попробовать отправить письмо от имени ящика из OWA;
- Если отправка из OWA работает, попробуйте удалить Offline Address Book (OAB,
C:\Users\%username%\AppData\Local\Microsoft\Outlook\Offline Address Books) при выключенном Outlook.
Отправка писем от имени в Microsoft 365 (Exchange Online)
В Exchange Online вы можете предоставить права отправки от имени ящика или группы рассылки с помощь Exchange Admin Center.
- Перейдите в раздел Recipients, выберите Mailboxes (или Groups);
- Найдите ящик, на который нужно предоставить права;
- Откройте настройки ящика, перейдите на вкладку Settings и выберите Edit manage delegates;
- Затем выберите пользователя, которому нужно предоставить доступ и тип разрешений (Send as или Send on behalf).
Также вы можете предоставить права sendas в Exchage Online с помощью PowerShell. Подключитесь к своему тенанту Micorosft 365 с помощью модуля Exchange Online PowerShell (EXO):
Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true
Чтобы разрешить пользователю отправку писем от имени группы рассылки, используется командлет Add-RecipientPermission:
Add-RecipientPermission <GroupName> -Trustee <MailboxName> -AccessRights SendAs
Чтобы дать пользователю права на отправку почты (Send As) от имени группы рассылки:
Get-DistributionGroup -Identity global_server_admins | Add-RecipientPermission -AccessRights SendAs -Trustee kbuldogov
Чтобы предоставить право SendOnBehalf на ящик пользовател, выполните:
Get-Mailbox maxadm | Set-Mailbox -GrantSendOnBehalfTo HenriettaM
Для предоставления прав отправки от имени группы Microsoft365:
Set-UnifiedGroup msteams_cc294d -GrantSendOnBehalfTo maxadm
Получить отчет со списком пользователей, у которых есть права SendOnBehalf на указанный ящик:
Get-Mailbox maxadm | Where {$_.GrantSendOnBehalfTo -ne $null} | Select UserprincipalName,GrantSendOnBehalfTo
Вывести список пользователей с правами SendAs на ящике:
Get-RecipientPermission maxadm
Найти все почтовые ящики в организации, на которых предоставлены права SendAs для указанного пользователя:
Get-Recipient | Get-RecipientPermission -Trustee [email protected] | Select Identity, Trustee, AccessRights
Чтобы удалить права SendAs на ящик, используется командлет Remove-RecipientPermission:
Get-Recipient maxadm | Remove-RecipientPermission -AccessRights SendAs –Trustee [email protected]
«Предыдущие команды очищают текущий список доступа и добавляют только новый аккаунт.»
Это справедливо только для связки Set-Mailbox + -GrantSendOnBehalfTo. При выполнении Add-MailboxPermission старые права будут сохранены.
А по написанному в статье можно подумать, что такое поведение для обеих команд.
Принято, спасибо! Внес корректировку в текст.
Спасибо за статью.
Но есть вопрос, как убрать именно SendOnBehalf права SendAs при этом должны остаться (юзается свой почтовый кластер на EXCH 2019).
Вот так попробуйте:
Set-Mailbox "[Identity]" -GrantSendOnBehalfTo @{remove="[User]"}Если отправка из OWA работает, попробуйте удалить Offline Address Boot (OAB, C:\Users\%username%\AppData\Local\Microsoft\Outlook\Offline Address Books ) при выключенном Outlook.
заменить «Offline Address Boot» на «Offline Address Book»
+
Get-DistributionGroup -Identity global_server_admins | Add-RecipientPermission -AccessRights SendAs -Trustee kbuldogovзаменил на
Get-DistributionGroup "Group" | Add-ADPermission -User "User" -ExtendedRights "Send As"тогда сработало