Compartilhar via

Permissões em implantações híbridas do Exchange

O Exchange Online no Microsoft 365 ou Office 365 organização baseia-se em Exchange Server e, tal como as organizações no local, também utiliza o Controle de Acesso Baseado em Funções (RBAC) para controlar as permissões. Os administradores recebem permissões usando grupos de funções de gerenciamento e os usuários finais recebem permissões usando políticas de atribuição de funções de gerenciamento.

Saiba mais sobre as permissões no Exchange no Exchange Online e no local em: permissões de Exchange Server e Permissões de funcionalidades no Exchange Online.

Permissões do administrador

Por predefinição, o utilizador que foi utilizado para criar o Office 365 organização torna-se membro do grupo de funções Gestão da Organização na Exchange Online organização. Este utilizador pode gerir toda a Exchange Online organização, incluindo a configuração das definições ao nível da organização e a gestão de Exchange Online destinatários.

Pode adicionar mais administradores na Exchange Online organização, consoante a gestão que tem de ocorrer. Por exemplo, pode adicionar outros administradores da organização e administradores destinatários, permitir que os utilizadores especializados efetuem tarefas de conformidade, como deteção, configurar permissões personalizadas e muito mais. Todos os Exchange Online gestão de permissões para administradores do Microsoft 365 e Office 365 têm de ser efetuados na Exchange Online organização através do Centro de administração do Exchange (EAC) ou do Exchange Online PowerShell.

Importante

Não existe nenhuma transferência de permissões entre a organização no local e o Microsoft 365 ou Office 365 organização. As permissões que definiu na organização no local têm de ser recriadas no Microsoft 365 ou Office 365 organização.

Para obter mais informações, consulte Manage Role Groups e Manage Role Group Members.

Delegar permissões de caixa de correio

Nas implementações do Exchange no local, são concedidas aos utilizadores várias permissões para as caixas de correio de outros utilizadores. Isto chama-se permissões de caixa de correio delegadas e é útil quando uma assistente administrativa precisa de gerir parte da caixa de correio de outro utilizador; por exemplo, gerir o calendário de um executivo. As implementações híbridas do Exchange suportam a utilização de algumas permissões de caixa de correio, mas não todas, entre caixas de correio localizadas numa organização do Exchange no local e caixas de correio localizadas no Microsoft 365 ou Office 365. As secções seguintes detalham as permissões que são e não são suportadas; outras configurações necessárias para suportar permissões de caixa de correio híbrida; e como as permissões da caixa de correio são sincronizadas entre a sua organização no local e o Microsoft 365 ou Office 365.

Permissões de caixa de correio em ambientes híbridos

Nem todas as permissões de caixa de correio são totalmente suportadas num ambiente híbrido do Exchange.

Permissões de caixa de correio suportadas em ambientes híbridos

  • Acesso Total: uma caixa de correio num servidor Exchange no local pode receber a permissão acesso total a uma caixa de correio do Microsoft 365 ou Office 365 e vice-versa. Por exemplo, uma caixa de correio do Microsoft 365 ou Office 365 pode receber a permissão acesso total a uma caixa de correio partilhada no local. Os utilizadores têm de abrir a caixa de correio com o cliente de ambiente de trabalho do Outlook. As permissões de caixas de correio em vários locais não são totalmente suportadas no Outlook na Web. Os utilizadores podem utilizar a opção Abrir outra caixa de correio no Outlook na Web para abrir outras caixas de correio onde têm permissão de Acesso Total. No entanto, isto irá gerar uma ligação de redirecionamento e um pedido de credenciais antes de o utilizador poder aceder à caixa de correio.

    Observação

    Os utilizadores podem receber pedidos de credenciais adicionais quando acedem pela primeira vez a uma caixa de correio que está na outra organização e a adicionam ao respetivo perfil do Outlook.

  • Enviar em Nome: pode ser concedida a uma caixa de correio num servidor Exchange no local a permissão Enviar em Nome para uma caixa de correio do Microsoft 365 ou Office 365 e vice-versa. Por exemplo, uma caixa de correio do Microsoft 365 ou Office 365 pode ser concedida a permissão Enviar em Nome de uma caixa de correio partilhada no local. Os utilizadores têm de abrir a caixa de correio com o cliente de ambiente de trabalho do Outlook; As permissões de caixas de correio em vários locais não são suportadas no Outlook na Web.

    São necessárias algumas alterações no servidor do Microsoft Entra Connect para as permissões Enviar em Nome para sincronizar entre os seus servidores exchange no local e Exchange Online. Para obter detalhes, consulte a secção Ativar o suporte para permissões de caixa de correio híbrida no Microsoft Entra Ligar mais à frente neste artigo.

  • Itens privados: quando concede permissão de Acesso Total a uma caixa de correio, pode decidir se permite que o delegado veja itens privados (reuniões privadas, compromissos, contactos ou tarefas) na caixa de correio.

    Para partilhar itens privados com um delegado, utilize o seguinte procedimento no Outlook:

    1. Aceda aDefinições> de Conta de Ficheiro>Acesso Delegado

      Definição Acesso Delegado no Outlook.

    2. Na janela seguinte, clique em Adicionar. É apresentado um novo menu para listar as pessoas na sua organização. Selecione um delegado e clique em OK.

    3. Será apresentada a imagem seguinte, onde pode selecionar a caixa de verificação relacionada para partilhar itens privados com um delegado.

      O delegado pode ver a definição dos meus itens privados no Outlook.

Para obter mais informações, veja Descrição geral da delegação num ambiente híbrido Office 365.

Permissões e capacidades da caixa de correio NÃO suportadas em ambientes híbridos

  • Enviar Como: permite que um utilizador envie correio como se parecesse ser proveniente da caixa de correio de outro utilizador. Microsoft Entra Connect não sincroniza automaticamente a permissão Enviar Como entre o Exchange no local e o Microsoft 365 ou Office 365. No entanto, Enviar Como funcionará na maioria dos cenários se adicionar manualmente as permissões Enviar Como em ambos os ambientes, utilizando a Shell de Gestão do Exchange para Exchange no local e Exchange Online PowerShell para Microsoft 365 ou Office 365.

    Por exemplo, quer conceder permissão Enviar Como para uma caixa de correio no local com o nome ONPREM1 para um nome de caixa de correio na nuvem EXO1.

    Execute o seguinte comando na Shell de Gestão do Exchange no servidor Exchange no local:

    Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"

Para obter informações detalhadas sobre sintaxe e parâmetros, veja Add-ADPermission.

Em seguida, execute o comando correspondente no Exchange Online PowerShell:

Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Add-RecipientPermission.

Observação

A permissão Enviar Como também é necessária para cumprir os requisitos do Exchange Server no local e do Microsoft Entra Connect nas duas secções seguintes.

  • Mapeamento automático: permite que o Outlook abra automaticamente todas as caixas de correio às quais tenha sido concedido Acesso Total durante o arranque. (Tenha em atenção que o mapeamento automático só funcionará para utilizadores individuais com as permissões adequadas e não funcionará para qualquer tipo de grupo.)

  • Permissões de pastas: concede acesso ao conteúdo de uma pasta específica.

Todas as caixas de correio que recebam estas permissões de outra caixa de correio têm de ser movidas ao mesmo tempo que a caixa de correio de concessão. Se uma caixa de correio recebe permissões de várias caixas de correio, essa caixa de correio e todas as caixas de correio que concedem permissões a ela deverão ser movidas ao mesmo tempo. Pode encontrar mais informações em https://support.microsoft.com/help/3064053.

Configurar os servidores exchange no local para suportar permissões de caixa de correio híbrida

Para ativar as permissões Acesso Total e Enviar em Nome numa implementação híbrida, poderão ser necessárias mais alterações de configuração consoante a versão do Exchange que instalou. A tabela seguinte mostra que versões do Exchange suportam permissões de caixa de correio delegadas numa implementação híbrida com o Microsoft 365 ou Office 365 e que configuração adicional é necessária. Para obter os passos sobre como configurar servidores e caixas de correio do Exchange 2013 e 2010 para suportar ACLs, consulte Configurar o Exchange para suportar permissões de caixa de correio delegadas numa implementação híbrida.

Versão do Exchange Pré-requisitos
Exchange 2016 Ative a sincronização de objetos ACLable ao nível da organização.
Ative manualmente as ACLs em cada caixa de correio movida para o Microsoft 365 ou Office 365 antes de a sincronização de objetos ACLable ter sido ativada ao nível da organização.
Não é necessária qualquer configuração adicional para caixas de correio movidas para o Microsoft 365 ou Office 365 após a sincronização de objetos ACLable ser ativada ao nível da organização.
Exchange 2013 Os servidores do Exchange 2013 precisam do seguinte:
  • A atualização cumulativa mais recente () ou a imediatamente anterior instalada. Os servidores do Exchange 2013 com CUs mais antigas não são suportados e podem não funcionar com permissões de caixa de correio delegadas numa implementação híbrida.
  • A organização do Exchange está configurada para permitir que as listas de controlo de acesso (ACLs) sejam carimbadas em objetos de correio e sincronizadas com o Microsoft 365 ou Office 365.
  • As caixas de correio remotas no local associadas a caixas de correio movidas para o Microsoft 365 ou Office 365 anteriores ao Exchange 2013 CU10 têm de ser configuradas manualmente para suportar ACLs. As caixas de correio remotas, criadas em servidores com o Exchange 2013 CU10 ou posterior e depois de a organização do Exchange estar definida para permitir ACLs, são configuradas automaticamente.
Exchange 2010 Já não é suportado.
Anteriormente, as caixas de correio remotas no local associadas ao Microsoft 365 ou Office 365 caixas de correio precisavam de ser configuradas para suportar ACLs. Era necessário fazê-lo para cada caixa de correio remota no local associada a uma caixa de correio do Microsoft 365 ou Office 365.
Exchange 2007 ou anterior Sem suporte.

Ativar o suporte para permissões de caixa de correio híbrida no Microsoft Entra Connect

Para além de configurar os servidores Exchange no local, também tem de se certificar de que o servidor Microsoft Entra Connect (Microsoft Entra Connect) está configurado para sincronizar as permissões da caixa de correio híbrida. Eis o que precisa de fazer para garantir que o servidor do Microsoft Entra Connect está pronto para suportar estas permissões:

  • Atualizar Microsoft Entra Connect: Microsoft Entra Connect tem de ser atualizado para, pelo menos, a versão 1.1.553.0. Pode transferir a versão mais recente do Microsoft Entra Connect a partir do Microsoft Entra Connect.

  • Ativar o Exchange Híbrido no Microsoft Entra Ligar: para sincronizar os atributos que permitem permissões de caixa de correio híbridas (especificamente a permissão Enviar em Nome), tem de se certificar de que a opção de configuração de implementação Híbrida do Exchange está ativada no Microsoft Entra Connect. Para obter informações sobre como executar novamente o assistente de instalação do Microsoft Entra Connect para atualizar a configuração, marcar Microsoft Entra Connect Sync: Executar o assistente de instalação uma segunda vez

Permissões do usuário final

Tal como acontece com as permissões de administrador, podem ser concedidas permissões aos utilizadores finais no Exchange Online. Por padrão, os usuários finais recebem permissões através da diretiva de atribuição de função padrão. Esta política é aplicada a todas as caixas de correio na Exchange Online organização. Se as permissões concedidas por padrão forem suficientes, não será necessário mudar nada.

Se quiser personalizar as permissões de utilizador final, pode modificar a política de atribuição de função predefinida existente ou criar novas políticas de atribuição. Ao criar várias diretivas de atribuição, é possível atribuir diretivas diferentes a grupos diferentes de caixas de correio, permitindo controlar as permissões concedidas a cada grupo dependendo das necessidades deles. Toda a gestão de permissões para Exchange Online utilizadores finais tem de ser efetuada na organização Exchange Online com o EAC ou o Exchange Online PowerShell.

Tal como as permissões de administrador, as permissões de utilizador final não são transferidas entre a organização no local e a organização Exchange Online. Todas as permissões que definiu na organização no local têm de ser recriadas na Exchange Online organização.

Para obter mais informações, consulte Manage Role Assignment Policies e Change the Assignment Policy on a Mailbox.

A tabela seguinte lista as permissões concedidas pelas políticas de atribuição de funções predefinidas na Exchange Online organização.

Função de gerenciamento Descrição
MyTeamMailboxes A MyTeamMailboxes função de gestão permite que utilizadores individuais criem caixas de correio do site e as liguem a sites do Microsoft SharePoint.
Meus Aplicativos do Marketplace A My Marketplace Apps função de gestão permite que os utilizadores individuais vejam e modifiquem as respetivas aplicações do Microsoft Office Marketplace.
MyBaseOptions A MyBaseOptions função de gestão permite que utilizadores individuais vejam e modifiquem a configuração básica da sua própria caixa de correio e definições associadas.
MyContactInformation A MyContactInformation função de gestão permite que utilizadores individuais modifiquem as respetivas informações de contacto, incluindo números de endereço e telefone.
MyDistributionGroupMembership A MyDistributionGroupMembership função de gestão permite que os utilizadores individuais vejam e modifiquem a respetiva associação em grupos de distribuição numa organização, se esses grupos de distribuição permitirem a manipulação da associação a grupos.
MyDistributionGroups A MyDistributionGroups função de gestão permite que utilizadores individuais criem, modifiquem e vejam grupos de distribuição e modifiquem, vejam, removam e adicionem membros aos grupos de distribuição que possuem.
MyMailSubscription A MyMailSubscription função permite que os utilizadores individuais vejam e modifiquem as respetivas definições de subscrição de e-mail, como o formato da mensagem e as predefinições do protocolo.
MyProfileInformation A MyProfileInformation função de gestão permite que utilizadores individuais modifiquem o respetivo nome.
MyRetentionPolicies A MyRetentionPolicies função de gestão permite que os utilizadores individuais vejam as respetivas etiquetas de retenção e vejam e modifiquem as respetivas predefinições e definições de etiquetas de retenção.
MyTextMessaging A MyTextMessaging função de gestão permite que utilizadores individuais criem, vejam e modifiquem as respetivas definições de mensagens de texto.
MyVoiceMail A MyVoiceMail função de gestão permite que os utilizadores individuais vejam e modifiquem as respetivas definições de voice mail.
Meus aplicativos ReadWriteMailbox A My ReadWriteMailbox Apps função de gestão permite que os utilizadores instalem aplicações com permissões ReadWriteMailbox.
Meus Aplicativos personalizados A My Custom Apps função de gestão permite que os utilizadores vejam e modifiquem as respetivas aplicações personalizadas.
  • Last updated on