Manage permissions for recipients in Exchange Online

• 3/22/2021
• 11 minutes to read
• • m
  • D
  • B
  • c
  • m
  • +8

In Exchange Online, you can use the Exchange admin center (EAC) or Exchange Online PowerShell to assign permissions to a mailbox or group so that other users can access la boîte aux lettres (l’autorisation d’accès complet), ou envoyer des messages électroniques qui semblent provenir de la boîte aux lettres ou du groupe (les autorisations Envoyer en tant que ou Envoyer pour le compte). Les utilisateurs auxquels ces autorisations sont attribuées sur d’autres boîtes aux lettres ou groupes sont appelés délégués.

Les autorisations que vous pouvez attribuer aux délégués pour les boîtes aux lettres et les groupes dans Exchange Online sont décrites dans le tableau suivant :

Remarque: Bien que vous puissiez utiliser Exchange Online PowerShell pour attribuer une partie ou la totalité de ces autorisations à d’autres types de délégués sur d’autres types d’objets destinataires, cette rubrique se concentre sur les types d’objets délégués et destinataires qui produisent des résultats utiles.

Permission	Description	Types de destinataires dans l’EAC	Types de destinataires supplémentaires dans PowerShell	Types de délégués disponibles
Accès complet	Permet au délégué d’ouvrir la boîte aux lettres et d’afficher, d’ajouter et de supprimer le contenu de la boîte aux lettres. Ne permet pas au délégué d’envoyer des messages depuis la boîte aux lettres. Si vous attribuez l’autorisation d’accès complet à une boîte aux lettres masquée des listes d’adresses, le délégué ne pourra pas ouvrir la boîte aux lettres. Par défaut, les boîtes aux lettres de découverte sont masquées des listes d’adresses. Par défaut, la fonction de mappage automatique des boîtes aux lettres utilise la découverte automatique pour ouvrir automatiquement la boîte aux lettres dans le profil Outlook du délégué (en plus de sa propre boîte aux lettres). Notez que le mappage automatique ne fonctionnera que pour les utilisateurs individuels bénéficiant des autorisations appropriées et ne fonctionnera pour aucun type de groupe. Si vous ne souhaitez pas que les boîtes aux lettres soient mappées automatiquement, vous devez effectuer l’une des actions suivantes : • Utilisez l’applet de commande Add-MailboxPermission dans Exchange Online PowerShell pour attribuer l’autorisation d’accès complet avec le paramètre -AutoMapping $false. Pour plus d’informations, consultez la section Utiliser Exchange Online PowerShell pour attribuer l’autorisation d’accès complet aux boîtes aux lettres de cette rubrique. • Attribuez l’autorisation d’accès complet à un groupe de sécurité activé par courrier électronique. La boîte aux lettres ne s’ouvrira pas dans le profil Outlook de chaque membre.	Boîtes aux lettres d’utilisateurs Boîtes aux lettres de ressources Boîtes aux lettres partagées	Boîtes aux lettres de découverte	Boîtes aux lettres avec comptes d’utilisateurs Utilisateurs de messagerie avec comptes Groupes de sécurité compatibles avec le courrier
Envoyer en tant que	Permet au délégué d’envoyer des messages comme s’ils venaient directement de la boîte aux lettres ou du groupe. Rien n’indique que le message ait été envoyé par le délégué. Ne permet pas au délégué de lire le contenu de la boîte aux lettres. Si vous attribuez l’autorisation Send As à une boîte aux lettres masquée des listes d’adresses, le délégué ne pourra pas envoyer de messages depuis la boîte aux lettres.	Boîtes aux lettres utilisateur Boîtes aux lettres de ressources Boîtes aux lettres partagées Groupes de distribution Groupes de distribution dynamiques Groupes de sécurité compatibles avec le courrier électronique Groupes Microsoft 365	n/a	Boîtes aux lettres avec comptes d’utilisateurs Utilisateurs de messagerie avec des comptes Groupes de sécurité compatibles avec la messagerie
Envoyer au nom	Permet au délégué d’envoyer des messages depuis la boîte aux lettres ou le groupe. L’adresse de départ de ces messages montre clairement que le message a été envoyé par le délégué (« <Délégué >au nom de <Groupe de messagerie > »). Cependant, les réponses à ces messages sont envoyées à la boîte aux lettres ou au groupe, et non au délégué. Ne permet pas au délégué de lire le contenu de la boîte aux lettres. Si vous attribuez l’autorisation Envoyer au nom à une boîte aux lettres masquée des listes d’adresses, le délégué ne pourra pas envoyer de messages depuis la boîte aux lettres.	Boîtes aux lettres utilisateur Boîtes aux lettres de ressources Groupes de distribution Groupes de distribution dynamiques Groupes de sécurité compatibles avec le courrier électronique Groupes Microsoft 365	Boîtes aux lettres partagées	Boîtes aux lettres avec comptes d’utilisateurs Utilisateurs de messagerie avec des comptes Groupes de sécurité compatibles avec la messagerie Groupes de distribution

Que devez-vous savoir avant de commencer?

• Temps estimé pour terminer chaque procédure: 2 minutes.

• Vous devez recevoir des autorisations avant de pouvoir effectuer cette ou ces procédures. Pour voir les autorisations dont vous avez besoin, consultez l’entrée « Paramètres de la boîte aux lettres » dans la rubrique Autorisations des fonctionnalités de la rubrique Exchange Online.

• Pour ouvrir et utiliser le CAE, consultez le centre d’administration Exchange dans Exchange Online. Pour vous connecter à Exchange Online PowerShell, consultez Connexion à Exchange Online PowerShell.

• Lorsqu’une boîte aux lettres est ajoutée à Outlook à l’aide des paramètres avancés, seule la boîte aux lettres principale sera ajoutée ; la boîte aux lettres d’archive ne sera pas ajoutée. Si un utilisateur doit également accéder à la boîte aux lettres d’archive, la boîte aux lettres doit être ajoutée à Outlook en tant que deuxième compte dans le même profil Outlook.

• Pour plus d’informations sur les raccourcis clavier pouvant s’appliquer aux procédures de cette rubrique, consultez Raccourcis clavier du centre d’administration Exchange.

Utilisez l’EAC pour attribuer des autorisations à des boîtes aux lettres individuelles

1. Dans l’EAC, cliquez sur Destinataires dans le volet fonctionnalités. Selon le type de boîte aux lettres pour lequel vous souhaitez attribuer des autorisations, cliquez sur l’un des onglets suivants :

   • Boîtes aux lettres : Boîtes aux lettres utilisateur ou liées.

   • Ressources: Boîtes aux lettres de salle ou d’équipement.

   • Partagé : Boîtes aux lettres partagées.

2. Dans la liste des boîtes aux lettres, sélectionnez la boîte aux lettres pour laquelle vous souhaitez attribuer des autorisations, puis cliquez sur Edit .

3. Sur la page Propriétés de la boîte aux lettres qui s’ouvre, cliquez sur Délégation de la boîte aux lettres et configurez une ou plusieurs des autorisations suivantes :

   • Envoyer en tant que : Les messages envoyés par un délégué semblent provenir de la boîte aux lettres.

   • Envoyer au nom: Les messages envoyés par un délégué ont « <Délégué > au nom de <Boîte aux lettres > » dans l’adresse de départ. Notez que cette autorisation n’est pas disponible dans l’EAC pour les boîtes aux lettres partagées.

   • Accès complet: Le délégué peut ouvrir la boîte aux lettres et faire tout sauf envoyer des messages.

   Pour attribuer des autorisations aux délégués, cliquez sur Add sous l’autorisation appropriée. Une boîte de dialogue apparaît qui répertorie les utilisateurs ou les groupes auxquels l’autorisation peut leur être attribuée. Sélectionnez l’utilisateur ou le groupe dans la liste, puis cliquez sur Ajouter. Répétez ce processus autant de fois que nécessaire. Vous pouvez également rechercher des utilisateurs ou des groupes dans la zone de recherche en tapant tout ou partie du nom, puis en cliquant sur Rechercher . Lorsque vous avez terminé de sélectionner les délégués, cliquez sur OK.

   Pour supprimer une autorisation d’un délégué, sélectionnez le délégué dans la liste sous l’autorisation appropriée, puis cliquez sur Remove .

4. Lorsque vous avez terminé, cliquez sur Enregistrer.

Utilisez le CAE pour attribuer des autorisations à plusieurs boîtes aux lettres en même temps

1. Dans le CAE, accédez aux boîtes aux lettres destinataires >.

2. Sélectionnez les boîtes aux lettres pour lesquelles vous souhaitez attribuer des autorisations. Utilisez la touche clic + Maj + clic pour sélectionner une plage de boîtes aux lettres, ou la touche Ctrl + clic pour sélectionner plusieurs boîtes aux lettres individuelles. Le titre du volet détails devient Édition groupée, comme indiqué dans le diagramme suivant.

   

3. Au bas du volet détails, cliquez sur Plus d’options. Sous l’option Délégation de boîte aux lettres qui apparaît, choisissez Ajouter ou Supprimer. Selon votre sélection, effectuez l’une des étapes suivantes :

   • Ajouter : Dans la boîte de dialogue Ajouter une délégation en bloc qui apparaît, cliquez sur Ajouter sous l’autorisation appropriée (Envoyer en tant que, Envoyer au nom ou Accès complet). Lorsque vous avez terminé de sélectionner des utilisateurs ou des groupes à ajouter en tant que délégués, cliquez sur Enregistrer.

   • Supprimer: Dans la boîte de dialogue Supprimer la délégation en bloc qui apparaît, cliquez sur Ajouter sous l’autorisation appropriée (Envoyer en tant que, Envoyer au nom ou Accès complet). Lorsque vous avez terminé de sélectionner des utilisateurs ou des groupes à supprimer des délégués existants, cliquez sur Enregistrer.

Utilisez l’EAC pour attribuer des autorisations à des groupes

1. Dans l’EAC, accédez aux groupes destinataires >.

2. Dans la liste des groupes, sélectionnez le groupe auquel vous souhaitez attribuer des autorisations, puis cliquez sur Edit .

3. Sur la page Propriétés du groupe qui s’ouvre, cliquez sur Délégation du groupe et configurez l’une des autorisations suivantes :

   • Envoyer en tant que : Les messages envoyés par un délégué semblent provenir du groupe.

   • Envoyer au nom: Les messages envoyés par un délégué ont « <Délégué >au nom de <Groupe > » dans le adresse.

4. Pour attribuer des autorisations aux délégués, cliquez sur Add sous l’autorisation appropriée. Une boîte de dialogue apparaît qui répertorie les utilisateurs ou les groupes auxquels l’autorisation peut leur être attribuée. Sélectionnez l’utilisateur ou le groupe dans la liste, puis cliquez sur Ajouter. Répétez ce processus autant de fois que nécessaire. Vous pouvez également rechercher des utilisateurs ou des groupes dans la zone de recherche en tapant tout ou partie du nom, puis en cliquant sur Rechercher . Lorsque vous avez terminé de sélectionner les délégués, cliquez sur OK.

   Pour supprimer une autorisation d’un délégué, sélectionnez le délégué dans la liste sous l’autorisation appropriée, puis cliquez sur Remove .

5. Lorsque vous avez terminé, cliquez sur Enregistrer.

Utilisez Exchange Online PowerShell pour attribuer l’autorisation d’accès complet aux boîtes aux lettres

Vous utilisez les applets de commande Add-MailboxPermission et Remove-MailboxPermission pour gérer l’autorisation d’accès complet aux boîtes aux lettres. Ces applets de commande utilisent la même syntaxe de base :

Add-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All 

Remove-MailboxPermission -Identity <MailboxIdentity> -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All

Cet exemple attribue au délégué Raymond Sam l’autorisation d’accès complet à la boîte aux lettres de Terry Adams.

Add-MailboxPermission -Identity "Terry Adams" -User raymonds -AccessRights FullAccess -InheritanceType All

Cet exemple attribue à Esther Valle l’autorisation d’accès complet à la boîte aux lettres de recherche de découverte par défaut de l’organisation et empêche l’ouverture automatique de la boîte aux lettres dans Outlook d’Esther Valle.

Add-MailboxPermission -Identity "DiscoverySearchMailbox{D919BA05-46A6-415f-80AD-7E09334BB852}" -User estherv -AccessRights FullAccess -InheritanceType All -AutoMapping $false

Cet exemple attribue aux membres du groupe de sécurité du service de messagerie Helpdesk l’autorisation d’accès complet à la boîte aux lettres partagée nommée Tickets Helpdesk.

Add-MailboxPermission -Identity "Helpdesk Tickets" -User Helpdesk -AccessRights FullAccess -InheritanceType All

Cet exemple supprime l’autorisation d’accès complet pour Jim Hance de la boîte aux lettres d’Ayla Kol.

Remove-MailboxPermission -Identity ayla -User "Jim Hance" -AccessRights FullAccess -InheritanceType All

Pour des informations détaillées sur la syntaxe et les paramètres, voir :

• Add-MailboxPermission.

• Supprimer – MailboxPermission.

Comment savez-vous que cela a fonctionné?

Pour vérifier que vous avez correctement attribué ou supprimé l’autorisation d’accès complet pour un délégué sur une boîte aux lettres, utilisez l’une des procédures suivantes :

• Dans les propriétés de la boîte aux lettres dans l’EAC, vérifiez que le délégué est ou n’est pas répertorié dans la délégation de boîte aux lettres >Accès complet.

• Remplacez <MailboxIdentity > par l’identité de la boîte aux lettres et exécutez la commande suivante dans Exchange Online PowerShell pour vérifier que le délégué est ou n’est pas répertorié..

  Get-MailboxPermission <MailboxIdentity> | where {$_.AccessRights -like 'Full*'} | Format-Table User,Deny,IsInherited,AccessRights -Auto

  Pour plus d’informations, consultez Get-MailboxPermission.

Utilisez Exchange Online PowerShell pour attribuer l’autorisation Send As aux boîtes aux lettres et aux groupes

Vous utilisez les applets de commande Add-RecipientPermission et Remove-RecipientPermission pour gérer l’autorisation Send As pour les boîtes aux lettres et les groupes. Ces applets de commande utilisent la même syntaxe de base :

<Add-RecipientPermission | Remove-RecipientPermission> -Identity <MailboxOrGroupIdentity> -Trustee <DelegateIdentity> -AccessRights SendAs

Cet exemple attribue l’autorisation Send As au groupe de support de l’imprimante sur la boîte aux lettres partagée nommée Support de l’imprimante Contoso.

Add-RecipientPermission -Identity "Contoso Printer Support" -Trustee "Printer Support" -AccessRights SendAs

Cet exemple supprime l’autorisation Send As pour l’utilisateur Karen Toh sur la boîte aux lettres de Yan Li.

Remove-RecipientPermission -Identity "Yan Li" -Trustee "Karen Toh" -AccessRights SendAs

Pour des informations détaillées sur la syntaxe et les paramètres, voir :

• Add-RecipientPermission

• Supprimer – RecipientPermission

Comment savez-vous que cela a fonctionné?

Pour vérifier que vous avez correctement attribué ou supprimé l’autorisation d’envoi en tant que délégué pour un délégué sur une boîte aux lettres ou un groupe, utilisez l’une des procédures suivantes :

• Dans les propriétés de la boîte aux lettres ou du groupe dans le CAE, vérifiez que le délégué est ou n’est pas répertorié dans la délégation de boîte aux lettres > Envoyer en tant que délégation ou délégation de groupe > Envoyer en tant que délégation de groupe> Envoyer en tant que délégation de groupe> Envoyer en tant que délégation de groupe Comme.

• Remplacez <MailboxIdentity> et <DelegateIdentity> par le nom, l’alias, ou adresse e-mail de la boîte aux lettres ou du groupe et exécutez la commande suivante dans Exchange Online PowerShell pour vérifier que le délégué est ou n’est pas répertorié.

  Get-RecipientPermission -Identity <MailboxIdentity> -Trustee <DelegateIdentity>

Utilisez Exchange Online PowerShell pour attribuer l’autorisation d’envoi au nom aux boîtes aux lettres et aux groupes

Vous utilisez le paramètre GrantSendOnBehalfTo sur les différentes applets de commande de boîtes aux lettres et de groupes pour gérer l’autorisation d’envoi au nom des boîtes aux lettres et des groupes :

• Set-Mailbox

• Set-DistributionGroup : Groupes de distribution et groupes de sécurité compatibles avec la messagerie.

• Set-DynamicDistributionGroup

• Set-UnifiedGroup: Groupes Microsoft 365.

La syntaxe de base de ces applets de commande est:

<Cmdlet> -Identity <MailboxOrGroupIdentity> -GrantSendOnBehalfTo <Delegates>

Le paramètre GrantSendOnBehalfTo a les options suivantes pour les valeurs des délégués :

• Remplacer les délégués existants : <DelegateIdentity> ou "<DelegateIdentity1>","<DelegateIdentity2>",...

• Ajouter ou supprimer des délégués sans affecter les autres délégués : @{Add="\<value1\>","\<value2\>"...; Remove="\<value1\>","\<value2\>"...}

• Supprimer tous les délégués : Utilisez la valeur $null.

Cet exemple attribue à la déléguée Holly Holt l’autorisation d’envoi au nom de Sean Chai.

Set-Mailbox -Identity [email protected] -GrantSendOnBehalfTo hollyh

Cet exemple ajoute le groupe [email protected] à la liste des délégués qui ont envoyé au nom l’autorisation à la boîte aux lettres partagée des cadres de Contoso.

Set-Mailbox "Contoso Executives" -GrantSendOnBehalfTo @{Add="[email protected]"}

Cet exemple attribue à la déléguée Sara Davis l’autorisation d’envoi au nom du groupe de distribution du Support de l’imprimante.

Set-DistributionGroup -Identity [email protected] -GrantSendOnBehalfTo sarad

Cet exemple supprime l’autorisation Envoyer au nom qui a été attribuée à l’administrateur du groupe de distribution dynamique Tous les employés.

Set-DynamicDistributionGroup "All Employees" -GrantSendOnBehalfTo @{Remove="Administrator"}

Comment savez-vous que cela a fonctionné?

Pour vérifier que vous avez correctement attribué ou supprimé l’autorisation d’envoi au nom d’un délégué sur une boîte aux lettres ou un groupe, utilisez l’une des procédures suivantes :

• Dans les propriétés de la boîte aux lettres ou du groupe dans le CAE, vérifiez que le délégué est ou n’est pas répertorié dans la délégation de boîte aux lettres > Envoyer une délégation en tant que ou de groupe > Envoyer une délégation en tant que ou de groupe > Envoyer Comme.

• Remplacez <Identité de la boîte aux lettres > ou <Identité du groupe > par l’identité de la boîte aux lettres ou du groupe et exécutez l’une des commandes suivantes dans Exchange Online PowerShell pour vérifier que le délégué est ou n’est pas répertorié.

  • Boîte aux lettres:

    Get-Mailbox -Identity <MailboxIdentity> | Format-List GrantSendOnBehalfTo

  • Groupe de distribution ou groupe de sécurité compatible courrier:

    Get-DistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo

  • Groupe de distribution dynamique:

    Get-DynamicDistributionGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo

  • Groupe Microsoft 365:

    Get-UnifiedGroup -Identity <GroupIdentity> | Format-List GrantSendOnBehalfTo

Pour plus d’informations sur la façon dont les délégués peuvent utiliser les autorisations qui leur sont attribuées sur les boîtes aux lettres et les groupes, consultez les rubriques suivantes :

• Accéder à la boîte aux lettres d’une autre personne

• Ouvrir et utiliser une boîte aux lettres partagée dans Outlook pour Windows

• Ouvrez et utilisez une boîte aux lettres partagée dans Outlook sur le web

• Envoyez des e-mails depuis ou au nom d’un groupe Office 365