不确定我是否遗漏了某些明显的内容,但是我无法让 Exchange Online 中的管理范围按预期工作。
我希望将某个地理区域内的一组用户的管理权限委托给通常不是 Exchange Online/O365 管理员的帐户,但这些帐户可以针对目标邮箱执行某些有限的任务。
因此,我已将用户标识为 MSOL 组的成员,并尝试根据该组设置管理范围(见下文),并指定“普通”用户作为该范围的管理员。但是,虽然此用户可以访问https://outlook.office365.com/ecp并查看 Exchange 管理中心并可以浏览用户,但他们无法更改我期望在该管理范围内的任何用户。我哪里做错了?
DG = get-msolgroup -objectid <guid>
(请注意,我已尝试针对正常的分发列表和动态 DL,但最终结果没有改变)。
New-ManagementScope "robm's Exchange Management Scope" -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DisplayName)'"
New-RoleGroup -Name “robm User Admins” -Roles “Mail Recipients”, “Distribution Groups”, “Mail Recipient Creation” -CustomRecipientWriteScope "robm's Exchange Management Scope"
一切似乎运行正常,一切似乎都已创建...我只是无法事后管理用户。
答案1
我认为该问题可能是由 -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DisplayName)'" 引起的。您可以使用 {RecipientType -eq "UserMailbox"} 进行测试,如果可行,我们就可以确定这是原因。
答案2
在与 Microsoft 支持人员反复沟通后,问题在于,对于 Exchange Online,您用于范围的组需要通过可分辨名称来指定。
例如
$DG= Get-DynamicDistributionList - identity "Rob test".
New-ManagementScope "Rob Scope" -RecipientRestrictionFilter "MemberOfGroup -eq '$($DG.DistinguishedName)'"