Comment accorder des autorisations en lecture seule à la boîte aux lettres d’un utilisateur

  • Last update on September 12th, 2025

Table of Contents

En raison des limitations de Microsoft, il est actuellement impossible d’accorder un véritable accès en lecture seule à l’ensemble d’une boîte aux lettres Exchange Online. Le droit d’accès « ReadPermission » concerne uniquement la possibilité de lire les paramètres d’autorisation de la boîte aux lettres – cela n’autorise pas l’utilisateur à ouvrir ou afficher le contenu de la boîte aux lettres.

Pour un accès complet à la boîte aux lettres, vous pouvez attribuer l’autorisation « Lecture et gestion de la délégation », qui est fonctionnellement équivalente à l’accès total – le délégué peut lire, envoyer, supprimer et agir comme le propriétaire de la boîte aux lettres. Il n’existe aucune option intégrée « lecture seule » au niveau de la boîte aux lettres dans Exchange Online.

L’autorisation « Accès total » donne aux délégués le contrôle complet de la boîte aux lettres (lecture, envoi, suppression, etc.), pas seulement l’accès en lecture. Il n’existe actuellement aucune méthode prise en charge pour offrir uniquement un accès « lecture seule » au niveau de la boîte aux lettres dans Exchange Online ou Microsoft 365.

 

Alternatives en lecture seule : autorisations au niveau des dossiers

Bien que l’accès « lecture seule » au niveau de la boîte aux lettres ne soit pas disponible, vous pouvez accorder des autorisations « lecture seule » (Reviewer) au niveau de dossiers individuels (par exemple, Boîte de réception ou Calendrier). Cela est possible aussi bien dans Exchange Online que dans les environnements Exchange sur site.

Vous pouvez appliquer ces autorisations via PowerShell ou avec des actions personnalisées dans CoreView.

1. Comment accorder un accès lecture seule au niveau d’un dossier avec PowerShell

L’applet de commande Add-MailboxFolderPermission vous permet d’accorder à un utilisateur des autorisations telles que « Reviewer » (lecture seule) ou « Owner » pour un dossier spécifique.

Syntaxe :

Add-MailboxFolderPermission
[-Identity] <MailboxFolderIdParameter>
-AccessRights <MailboxFolderAccessRight[]>
-User <MailboxFolderUserIdParameter>
[-Confirm]
[-DomainController <Fqdn>]
[-SendNotificationToUser <Boolean>]
[-SharingPermissionFlags <MailboxFolderPermissionFlags>]
[-WhatIf]
[<CommonParameters>]

Exemples :

# Accorde l’autorisation « Owner » à Ed sur le dossier "Marketing" de la boîte aux lettres d’Ayla
Add-MailboxFolderPermission -Identity ayla@contoso.com:\Marketing -User ed@contoso.com -AccessRights Owner
# Ajoute Julia comme déléguée du calendrier (Editor) à la boîte aux lettres d’Ayla (ne peut pas voir les éléments privés)
Add-MailboxFolderPermission -Identity ayla@contoso.com:\Calendar -User julia@contoso.com -AccessRights Editor -SharingPermissionFlags Delegate
# Ajoute Laura comme déléguée du calendrier (Editor) avec accès aux éléments privés
Add-MailboxFolderPermission -Identity ayla@contoso.com:\Calendar -User laura@contoso.com -AccessRights Editor -SharingPermissionFlags Delegate,CanViewPrivateItems

Pour accorder un accès en lecture seule, utilisez -AccessRights Reviewer au lieu de Owner/Editor.

 

Les autorisations au niveau des dossiers doivent être attribuées à chaque dossier individuellement. Les attributions groupées ou pour tous les dossiers ne sont pas prises en charge nativement.

 

2. Comment accorder un accès lecture seule au niveau d’un dossier avec CoreView

Vous pouvez utiliser CoreView pour attribuer des autorisations en lecture seule à un dossier spécifique d’une boîte aux lettres via une action personnalisée. L’exemple ci-dessous montre comment utiliser une action personnalisée pour accorder des autorisations "Reviewer" à un dossier d’une boîte aux lettres pour un autre utilisateur.

Entrées

Fournissez les informations suivantes pour exécuter l’action personnalisée :

  • Boîte aux lettres : la boîte aux lettres sur laquelle vous souhaitez définir les autorisations.
  • Dossier : le dossier spécifique auquel vous souhaitez accorder l’accès.
  • Délégué : l’utilisateur qui recevra l’accès en lecture seule.

Exemple JSON d’action personnalisée

{
   "id": "0006e023-1df3-43c7-9598-9c09a116f393",
   "title": "Grant read-only permissions to a user's mailbox",
   "lastModified": "2025-09-09T12:40:32.6410000Z",
   "target": "Mailbox",
   "tags": [],
   "vars": [
      {
         "name": "Folder",
         "type": "string",
         "isRequired": true
      },
      {
         "name": "Delegate",
         "type": "string",
         "isRequired": true
      }
   ],
   "params": [
      {
         "name": "UserPrincipalName",
         "type": "string",
         "isDefault": false
      }
   ],
   "columns": {
      "UserPrincipalName": ""
   },
   "version": 4,
   "statement": "param ([string]$Folder, [string]$Delegate, [string]$UserPrincipalName)\r\n\r\nAdd-MailboxFolderPermission -Identity \"${UserPrincipalName}:\\${Folder}\" -User $Delegate -AccessRights Reviewer"
}

Related Articles

DID THIS PAGE HELP YOU?