用户通过启用角色的安全组分配的 Exchange 管理员角色无法访问 EAC，但能够使用管理外壳

Posted 2023-04-13

【中文标题】用户通过启用角色的安全组分配的 Exchange 管理员角色无法访问 EAC，但能够使用管理外壳

【英文标题】：User assigned Exchange Admin role via Role Enabled Security Group unable to access EAC, but able to use management shell

【发布时间】：2021-04-14 00:42:12

【问题描述】：

正如标题所说，我在“Techs”组中有一个用户“User1”，“Techs”是一个启用角色的 Azure AD、仅限云、安全组，同时分配了 Exchange 管理员、帮助台管理员和 Exchange 收件人管理员角色。

User1 能够使用 powershell 和使用大多数 cmdlet 进行邮箱管理，但无法访问 EAC。尝试访问 EAC 会将 User1 发送到其自己邮箱的邮箱管理页面，并尝试在 Microsoft 365 门户中为用户编辑邮箱属性时，User1 会收到 403 禁止页面。

直接分配交换管理员角色有效，但违背了使用组的目的。有其他人遇到过这种情况或知道我该如何解决吗？

【问题讨论】：

我没有遇到与您相同的行为。我可以使用 AAD 组中的用户（同时分配了 Exchange 管理员）来访问 EAC。请检查用户是否在 Azure 门户 -> User1 -> 分配的角色中分配了 Exchange 管理员角色。并尝试在私密窗口中使用 User1 登录admin.exchange.microsoft.com。

好的。所以这非常烦人。该直接管理链接有效。其他所有“正常”方式都没有。

另外，我的用户确实具有列出的角色，但它是组分配的而不是直接分配的。当我直接分配它时，恢复对 EAC 的正常访问......

我不确定您提到的另一种“正常”方式是什么。对于新的 EAC，有两种访问方法：docs.microsoft.com/en-us/exchange/…。他们都为我工作。我将在下面的答案中提供更多详细信息。如果它有帮助，您可以接受它作为答案。谢谢：）

我不确定您提到的另一种“正常”方式是什么。对于新的 EAC，有两种方法可以访问它：docs.microsoft.com/en-us/exchange/…。他们都为我工作。我将在下面的答案中提供更多详细信息。如果它有帮助，您可以接受它作为答案（单击答案旁边的复选标记以将其从灰色切换为已填充。）。见meta.stackexchange.com/questions/5234/…。这对其他社区成员可能是有益的。谢谢。

【参考方案1】：

目前，可以切换回现有 EAC（通常称为“经典”EAC），但在未来某个日期，经典 EAC 将停用。

但我建议不要在工作中使用“经典”EAC，因为根据我的测试，the methods listed here 无法允许 Exchange 管理员管理租户中的邮箱。

建议使用these 2 methods 访问新的 EAC。

使用您的工作或学校帐户登录 Microsoft 365 或 Office 365。

在左侧导航窗格中，导航至管理中心 > Exchange。

您还可以使用以下命令直接访问新的 Exchange 管理中心 URL https://admin.exchange.microsoft.com 并使用您的 凭据。

正如文档所建议的，请务必使用私密浏览会话（不是常规会话）通过直接 URL 访问 Exchange 管理中心。这将阻止使用您当前登录的凭据。

这样，您的用户被分配了具有组继承方式的 Exchange Admin 角色应该能够成功访问 EAC。

【讨论】：

对于通过组分配角色的用户无法通过管理中心 > Exchange 方法访问新 EAC 或旧 EAC，只有直接链接有效。私人浏览器会话与否。如果我直接将 Exchange 管理员添加到该用户，那么他们可以。似乎组分配中的 Exchange 管理员角色并不适用于任何地方

@nathank1989 与您的行为不同。我在组分配中的 Exchange 管理员角色工作正常。您可以在 O365 门户/Azure 门户上提出支持请求以进一步确认。租户管理票是免费的。