Permissões em implantações híbridas do Exchange

O Exchange Online na organização microsoft 365 ou Office 365 é baseado em Exchange Server e, como organizações locais, também usa RBAC (Role Based Controle de Acesso) para controlar as permissões. Os administradores recebem permissões usando grupos de funções de gerenciamento e os usuários finais recebem permissões usando políticas de atribuição de funções de gerenciamento.

Saiba mais sobre permissões no Exchange Exchange Online e local em: Exchange Server permissões e permissões de recurso no Exchange Online.

Permissões do administrador

Por padrão, o usuário usado para criar a organização Office 365 é feito membro do grupo de funções gerenciamento de organização na organização Exchange Online. Esse usuário pode gerenciar todo o Exchange Online organização, incluindo a configuração de configurações no nível da organização e o gerenciamento de Exchange Online destinatários.

Você pode adicionar mais administradores na organização Exchange Online, dependendo do gerenciamento que precisa ocorrer. Por exemplo, você pode adicionar outros administradores da organização e administradores de destinatários, permitir que usuários especializados executem tarefas de conformidade, como descoberta, configurar permissões personalizadas e muito mais. Todos os Exchange Online gerenciamento de permissões para administradores do Microsoft 365 e Office 365 devem ser executados no Exchange Online organização usando o Centro de Administração do Exchange (EAC) ou Exchange Online PowerShell.

Importante

Não há transferência de permissões entre a organização local e a organização microsoft 365 ou Office 365. As permissões definidas na organização local devem ser recriadas na organização do Microsoft 365 ou Office 365.

Para obter mais informações, consulte Manage Role Groups e Manage Role Group Members.

Delegar permissões de caixa de correio

Em implantações locais do Exchange, os usuários recebem várias permissões para as caixas de correio de outros usuários. Isso é chamado de permissões delegadas de caixa de correio e é útil quando um assistente administrativo precisa gerenciar parte da caixa de correio de outro usuário; por exemplo, gerenciar um calendário de um executivo. As implantações híbridas do Exchange dão suporte ao uso de algumas, mas não todas, permissões de caixa de correio entre caixas de correio localizadas em uma organização local do Exchange e caixas de correio localizadas no Microsoft 365 ou Office 365. As seções a seguir detalham quais permissões são e não têm suporte; outras configurações necessárias para dar suporte a permissões de caixa de correio híbrida; e como as permissões de caixa de correio são sincronizadas entre sua organização local e o Microsoft 365 ou Office 365.

Permissões de caixa de correio em ambientes híbridos

Nem todas as permissões de caixa de correio têm suporte total em um ambiente híbrido do Exchange.

Permissões de caixa de correio com suporte em ambientes híbridos

  • Acesso Completo: uma caixa de correio em um servidor do Exchange local pode receber a permissão de Acesso Completo para uma caixa de correio do Microsoft 365 ou Office 365 e vice-versa. Por exemplo, uma caixa de correio do Microsoft 365 ou Office 365 pode receber a permissão de Acesso Completo para uma caixa de correio compartilhada local. Os usuários precisam abrir a caixa de correio usando o cliente da área de trabalho do Outlook. As permissões de caixa de correio entre locais não têm suporte total no Outlook na Web. Os usuários podem usar Abrir outra caixa de correio no Outlook na Web para abrir outras caixas de correio em que têm permissão de Acesso Completo. No entanto, isso gerará um link de redirecionamento e um prompt de credenciais antes que o usuário possa acessar a caixa de correio.

    Observação

    Os usuários podem receber solicitações de credencial adicionais quando acessarem pela primeira vez uma caixa de correio que está na outra organização e adicioná-la ao perfil do Outlook.

  • Enviar em nome: uma caixa de correio em um servidor do Exchange local pode receber a permissão Enviar em nome para uma caixa de correio do Microsoft 365 ou Office 365 e vice-versa. Por exemplo, uma caixa de correio do Microsoft 365 ou Office 365 pode receber a permissão Enviar em Nome para uma caixa de correio compartilhada local. Os usuários precisam abrir a caixa de correio usando o cliente da área de trabalho do Outlook; Não há suporte para permissões de caixa de correio entre locais no Outlook na Web.

    Algumas alterações são necessárias no servidor Microsoft Entra Connect para enviar em nome permissões para sincronizar entre os servidores locais do Exchange e Exchange Online. Para obter detalhes, confira o suporte de habilitação para permissões de caixa de correio híbrida na seção Conectar Microsoft Entra posteriormente neste artigo.

  • Itens privados: ao conceder permissão de Acesso Completo a uma caixa de correio, você pode decidir se permite que o delegado veja itens privados (reuniões privadas, compromissos, contatos ou tarefas) na caixa de correio.

    Para compartilhar itens privados com um delegado, use o seguinte procedimento no Outlook:

    1. Ir para Acesso deDelegado deConfigurações> de Conta de Arquivo>

      Configuração delegar acesso no Outlook.

    2. Na próxima janela, clique em Adicionar. Um novo menu aparece para listar as pessoas em sua organização. Selecione um delegado e clique em OK.

    3. A imagem a seguir será exibida, na qual você pode selecionar a caixa de seleção relacionada para compartilhar itens privados com um delegado.

      Delegado pode ver minha configuração de itens privados no Outlook.

Para obter mais informações, consulte Visão geral da delegação em um ambiente híbrido Office 365.

Permissões e recursos da caixa de correio NÃO há suporte em ambientes híbridos

  • Enviar como: permite que um usuário envie emails como se parecesse estar vindo da caixa de correio de outro usuário. Microsoft Entra Connect não sincroniza automaticamente a permissão Enviar como entre o Exchange local e o Microsoft 365 ou Office 365, portanto, não há suporte para permissões de Enviar Como entre locais. No entanto, o Send As funcionará na maioria dos cenários se você adicionar manualmente as permissões Enviar como em ambos os ambientes, usando o Shell de Gerenciamento do Exchange para Exchange local e Exchange Online PowerShell para Microsoft 365 ou Office 365.

    Por exemplo, você deseja conceder permissão Enviar como para uma caixa de correio local chamada ONPREM1 para um nome de caixa de correio de nuvem EXO1.

    Execute o seguinte comando no Shell de Gerenciamento do Exchange no servidor do Exchange local:

    Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
    

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Add-ADPermission.

Em seguida, execute o comando correspondente no Exchange Online PowerShell:

Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Add-RecipientPermission.

Observação

A permissão Enviar como também é necessária para cumprir os requisitos locais do Exchange Server e Microsoft Entra Connect nas próximas duas seções.

  • Mapeamento automático: permite que o Outlook abra automaticamente todas as caixas de correio às quais um usuário recebeu acesso completo na inicialização. (Observe que o mapeamento automático só funcionará para usuários individuais que receberam as permissões adequadas e não funcionarão para nenhum tipo de grupo.)

  • Permissões de pasta: concede acesso ao conteúdo de uma pasta específica.

Todas as caixas de correio que recebem essas permissões de outra caixa de correio precisam ser movidas ao mesmo tempo que a caixa de correio de concessão. Se uma caixa de correio recebe permissões de várias caixas de correio, essa caixa de correio e todas as caixas de correio que concedem permissões a ela deverão ser movidas ao mesmo tempo. Mais informações podem ser encontradas em https://support.microsoft.com/help/3064053.

Configurar seus servidores locais do Exchange para dar suporte a permissões de caixa de correio híbrida

Para habilitar permissões de Acesso Completo e Enviar em Nome em uma implantação híbrida, mais alterações de configuração podem ser necessárias dependendo da versão do Exchange instalada. A tabela a seguir mostra quais versões do Exchange dão suporte a permissões delegadas de caixa de correio em uma implantação híbrida com o Microsoft 365 ou Office 365 e qual configuração adicional é necessária. Para obter etapas sobre como configurar servidores e caixas de correio do Exchange 2013 e 2010 para dar suporte a ACLs, consulte Configurar o Exchange para dar suporte a permissões delegadas de caixa de correio em uma implantação híbrida.

Versão do Exchange Pré-requisitos
Exchange 2016 Habilite a sincronização de objetos ACLable no nível da organização.
Habilite manualmente ACLs em cada caixa de correio movida para o Microsoft 365 ou Office 365 antes da sincronização de objetos ACLable ser habilitada no nível da organização.
Nenhuma configuração adicional é necessária para caixas de correio movidas para o Microsoft 365 ou Office 365 depois que a sincronização de objetos ACLable for habilitada no nível da organização.
Exchange 2013 Os servidores do Exchange 2013 precisam do seguinte:
  • A cu (atualização cumulativa) mais recente ou a CU imediatamente anterior, instalada. Os servidores do Exchange 2013 que executam CUs mais antigas não têm suporte e podem não funcionar com permissões delegadas de caixa de correio em uma implantação híbrida.
  • A organização do Exchange está configurada para permitir que as ACLs (listas de controle de acesso) sejam carimbadas em objetos de email e sincronizadas com o Microsoft 365 ou Office 365.
  • Caixas de correio remotas locais associadas a caixas de correio movidas para o Microsoft 365 ou Office 365 antes do Exchange 2013 CU10 precisam ser configuradas manualmente para dar suporte a ACLs. As caixas de correio remotas, criadas em servidores que executam o Exchange 2013 CU10 ou posterior, e depois que a organização do Exchange é definida para permitir ACLs, são configuradas automaticamente.
Exchange 2010 Não há mais suporte.
Anteriormente, caixas de correio remotas locais associadas ao Microsoft 365 ou Office 365 caixas de correio precisavam ser configuradas para dar suporte a ACLs. Isso era necessário para ser feito para cada caixa de correio remota local associada a uma caixa de correio do Microsoft 365 ou Office 365.
Exchange 2007 ou anterior Sem suporte.

Habilitando o suporte para permissões de caixa de correio híbrida no Microsoft Entra Connect

Além de configurar seus servidores locais do Exchange, você também precisa garantir que Microsoft Entra servidor Connect (Microsoft Entra Connect) esteja configurado para sincronizar as permissões de caixa de correio híbrida. Veja o que você precisa fazer para garantir que seu servidor Microsoft Entra Connect esteja pronto para dar suporte a essas permissões:

  • Atualizar Microsoft Entra Connect: Microsoft Entra Connect precisa ser atualizado para pelo menos a versão 1.1.553.0. Você pode baixar a versão mais recente do Microsoft Entra Connect do Microsoft Entra Connect.

  • Habilitar o Exchange Hybrid em Microsoft Entra Conectar: para sincronizar os atributos que habilitam permissões de caixa de correio híbrida (especificamente a permissão Enviar em Nome), você precisa ter certeza de que a opção de configuração de implantação do Exchange Hybrid está habilitada no Microsoft Entra Connect. Para obter informações sobre como executar o assistente de instalação do Microsoft Entra Connect novamente para atualizar sua configuração, marcar Microsoft Entra Connect Sync: executando o assistente de instalação uma segunda vez

Permissões do usuário final

Assim como acontece com as permissões de administrador, os usuários finais em Exchange Online podem receber permissões. Por padrão, os usuários finais recebem permissões através da diretiva de atribuição de função padrão. Essa política é aplicada a todas as caixas de correio da organização Exchange Online. Se as permissões concedidas por padrão forem suficientes, não será necessário mudar nada.

Se você quiser personalizar as permissões de usuário final, poderá modificar a política de atribuição de função padrão existente ou criar novas políticas de atribuição. Ao criar várias diretivas de atribuição, é possível atribuir diretivas diferentes a grupos diferentes de caixas de correio, permitindo controlar as permissões concedidas a cada grupo dependendo das necessidades deles. Todo o gerenciamento de permissões para usuários finais Exchange Online deve ser executado na organização Exchange Online usando o EAC ou Exchange Online PowerShell.

Assim como as permissões de administrador, as permissões de usuário final não são transferidas entre a organização local e a organização Exchange Online. Todas as permissões definidas na organização local devem ser recriadas na organização Exchange Online.

Para obter mais informações, consulte Manage Role Assignment Policies e Change the Assignment Policy on a Mailbox.

A tabela a seguir lista as permissões concedidas pelas políticas de atribuição de função padrão na organização Exchange Online.

Função de gerenciamento Descrição
MyTeamMailboxes A MyTeamMailboxes função de gerenciamento permite que usuários individuais criem caixas de correio do site e conectem-nas a sites do Microsoft SharePoint.
Meus Aplicativos do Marketplace A My Marketplace Apps função de gerenciamento permite que usuários individuais exibam e modifiquem seus aplicativos de marketplace do Microsoft Office.
MyBaseOptions A MyBaseOptions função de gerenciamento permite que usuários individuais exibam e modifiquem a configuração básica de sua própria caixa de correio e configurações associadas.
MyContactInformation A MyContactInformation função de gerenciamento permite que usuários individuais modifiquem suas informações de contato, incluindo endereço e números de telefone.
MyDistributionGroupMembership A MyDistributionGroupMembership função de gerenciamento permite que usuários individuais exibam e modifiquem sua associação em grupos de distribuição em uma organização, se esses grupos de distribuição permitirem a manipulação da associação de grupo.
MyDistributionGroups A MyDistributionGroups função de gerenciamento permite que os usuários individuais criem, modifiquem e exibam grupos de distribuição e modifiquem, exibam, removam e adicionem membros aos grupos de distribuição que possuem.
MyMailSubscription A MyMailSubscription função permite que usuários individuais exibam e modifiquem suas configurações de assinatura de email, como formato de mensagem e padrões de protocolo.
MyProfileInformation A MyProfileInformation função de gerenciamento permite que usuários individuais modifiquem seu nome.
MyRetentionPolicies A MyRetentionPolicies função de gerenciamento permite que os usuários individuais exibam suas marcas de retenção e exibam e modifiquem suas configurações e padrões de marca de retenção.
MyTextMessaging A MyTextMessaging função de gerenciamento permite que usuários individuais criem, exibam e modifiquem suas configurações de mensagens de texto.
MyVoiceMail A MyVoiceMail função de gerenciamento permite que usuários individuais exibam e modifiquem suas configurações de correio de voz.
Meus aplicativos ReadWriteMailbox A My ReadWriteMailbox Apps função de gerenciamento permite que os usuários instalem aplicativos com permissões ReadWriteMailbox.
Meus Aplicativos personalizados A My Custom Apps função de gerenciamento permite que os usuários exibam e modifiquem seus aplicativos personalizados.