В Exchange Server и Microsoft 365 (Exchange Online) вы можете предоставить пользователям права на отправку писем от имени другого пользователя или почтового ящика. В этой статье мы рассмотрим, как предоставить права send as/send on behalf через Exchange Admin Center и с помощью PowerShell.
В Exchange есть два типа полномочий на отправку от имени другого ящика или группы:
- Send as – разрешить пользователю отправку писем с другого почтового ящика. Получатель в данном не видит, что на самом деле письмо ему отправил другой пользователь;
- Send on behalf – права аналогичные Send-As, но при отправке в поле From показывается настоящий отправитель письма. На скриншоте ниже из Outlook, видно что пользователь AAA отправил письмо от имени ящика BBB (aaa@email.ru on behalf of bbb@email.ru).
Предоставление прав Send as в Exchange Server
В on-prem Exchange Server 2019,2016, 2013 вы можете предоставить права на ящик через Exchange Admin Center.
- Авторизуйтесь на ECP:
https://exchange1/ecp
; - Перейдите в раздел Recipients -> Mailboxes -> найдите ящик пользователя, на который нужно предоставить права;
- Откройте свойства пользователя и перейдите на вкладку Mailbox Delegation;
- Здесь вы можете предоставить другому пользователю права SendAs или SendOnBehalf, добавив его аккаунт в соответствующий раздел.
Если вы одновременно предоставите пользователю право Send as и Send on behalf, то по умолчанию при отправке писем будет использоваться Send as.
Аналогичным образом можно предоставить права отправки от имени группы рассылок и mail enabled security групп (вкладка group delegation).
Вы можете предоставить права send as с помощью PowerShell. Для этого запустите консоль EMS или подключитесь к своему серверу Exchange удаленно из консоли PowerShell:
Чтобы предоставить права SendAs, выполните команду (права назначаются на уровне учётной записи в Active Directory, их можно также насроит вручную на вкладке Security в свойствах пользователя в консоли ADUC):
Get-Mailbox secretar@winitpro.ru | Add-ADPermission -User kbuldogov@winitpro.ru -ExtendedRights «Send As»
Для предоставления права SendOnBehalf, используется другая команда:
Set-Mailbox -Identity secretar@winitpro.ru -GrantSendOnBehalfTo kbuldogov@winitpro.ru
Предыдущая команда очищает текущий список доступа и добавляет в него только новый аккаунт. Если вы хотите добавить в список доступа SendOnBehalf нового пользователя, выполните:
Set-Mailbox secretar@winitpro.ru -GrantSendOnBehalfTo @{Add=»kbuldogov@winitpro.ru»}
Можно предоставить права отправки на все почтовый ящики, в определенном Organizational Unit в Active Directory:
Get-Mailbox | Where {$_.DistinguishedName -like «*OU=Service,OU=MSK,DC=winitpro,DC=ru*»} | Set-Mailbox -GrantSendOnBehalfTo @{add=»User1″,»User2″}
Если нужно предоставить права на отправку от имени группы рассылки Exchange, используется другая команда:
Set-DistributionGroup -Identity msk_admins@winitpro.ru -GrantSendOnBehalfTo @{Add=»kbuldogov@winitpro.ru»}
Чтобы предоставить права отправки от имени динамической группы рассылки:
Set-DynamicDistributionGroup «IT_DeptUsers» -GrantSendOnBehalfTo @{Add=»kbuldogov@winitpro.ru»}
Подробнее про управлениие правами на ящики Exchange.
Чтобы отправить письмо от имени другого ящика в Outlook или OWA, нужно добавить в интерфейс поле From (От). После этого при создании нового письма нужно в выпадающем списке выбрать от имени какого ящика нужно выполнить отправку (первый раз нужно выбрать пользователя из адресной книги вручную).
В on-premises Exchange Server для распространения настроек может придется подождать до двух часов или перезапустить сервис Exchange Information Store.
Если при отправке о имени другого ящика вы получаете отбойник:
You do not have permission to send to this recipient. For assistance, contact your system administrator
или
You can’t send a message on behalf of this user unless you have permission to do so.
Нельзя отправить сообщение от лица этого пользователя без соответствующего разрешения.
Попробуйте:
- Попробовать отправить письмо от имени ящика из OWA;
- Если отправка из OWA работает, попробуйте удалить Offline Address Boot (OAB,
C:Users%username%AppDataLocalMicrosoftOutlookOffline Address Books
) при выключенном Outlook.
Отправка писем от имени в Microsoft 365 (Exchange Online)
В Exchange Online вы можете предоставить права отправки от имени ящика или группы рассылки с помощь Exchange Admin Center.
- Перейдите в раздел Recipients, выберите Mailboxes (или Groups);
- Найдите ящик, на который нужно предоставить права;
- Откройте настройки ящика, перейдите на вкладку Settings и выберите Edit manage delegates;
- Затем выберите пользователя, которому нужно предоставить доступ и тип разрешений (Send as или Send on behalf).
Также вы можете предоставить права sendas в Exchage Online с помощью PowerShell. Подключитесь к своему тенанту Micorosft 365 с помощью модуля Exchange Online PowerShell (EXO):
Connect-ExchangeOnline -UserPrincipalName kbuldogov@winitpro.onmicrosoft.com -ShowProgress $true
Чтобы разрешить пользователю отправку писем от имени группы рассылки, используется командлет Add-RecipientPermission:
Add-RecipientPermission <GroupName> -Trustee <MailboxName> -AccessRights SendAs
Чтобы дать пользователю права на отправку почты (Send As) от имени группы рассылки:
Get-DistributionGroup -Identity global_server_admins | Add-RecipientPermission -AccessRights SendAs -Trustee kbuldogov
Чтобы предоставить право SendOnBehalf на ящик пользовател, выполните:
Get-Mailbox maxadm | Set-Mailbox -GrantSendOnBehalfTo HenriettaM
Для предоставления прав отправки от имени группы Microsoft365:
Set-UnifiedGroup msteams_cc294d -GrantSendOnBehalfTo maxadm
Получить отчет со списком пользователей, у которых есть права SendOnBehalf на указанный ящик:
Get-Mailbox maxadm | Where {$_.GrantSendOnBehalfTo -ne $null} | Select UserprincipalName,GrantSendOnBehalfTo
Вывести список пользователей с правами SendAs на ящике:
Get-RecipientPermission maxadm
Найти все почтовые ящики в организации, на которых предоставлены права SendAs для указанного пользователя:
Get-Recipient | Get-RecipientPermission -Trustee HenriM@winitpro.onmicrosoft.com | Select Identity, Trustee, AccessRights
Ранее мы рассматривали, как в организации найти все ящики, к которым предоставлен доступ определенному пользователю Exchange.
Чтобы удалить права SendAs на ящик, используется командлет Remove-RecipientPermission:
Get-Recipient maxadm | Remove-RecipientPermission -AccessRights SendAs –Trustee HenriettaM@winitpro.onmicrosoft.com