Управление группами ролей в Exchange Online

Группа ролей — это специальная универсальная группа безопасности (USG) в модели разрешений на основе ролей контроль доступа (RBAC) в Exchange Online. Членам группы ролей назначается один и тот же набор ролей, и вы добавляете и удаляете разрешения у пользователей, добавляя их в группу ролей или удаляя их из группы ролей. Дополнительные сведения о группах ролей в Exchange Online см. в разделе Разрешения в Exchange Online.

Вы можете управлять группами ролей в Центре администрирования Exchange (EAC) и в Exchange Online PowerShell.

Что нужно знать перед началом работы

EAC доступен по адресу https://admin.exchange.microsoft.com. Дополнительные сведения о EAC см. в следующих статьях:
- Центр администрирования Exchange в Exchange Online
- Центр администрирования Exchange во встроенной надстройке безопасности для локальных почтовых ящиков.
Чтобы открыть Exchange Online PowerShell, см. статью Подключение к Exchange Online PowerShell.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Это означает следующее:
- Exchange Online разрешения. Вам нужна роль "Управление ролями", которая назначается группе ролей "Управление организацией" по умолчанию.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, см. в разделе Сочетания клавиш для Центра администрирования Exchange в Exchange Online.

Использование EAC для управления группами ролей

В центре администрирования EAC по адресу https://admin.exchange.microsoft.comвыберите Разрешения>Администратор роли. Или, чтобы перейти непосредственно на страницу Администратор ролей, используйте https://admin.exchange.microsoft.com/#/adminRoles.

Использование EAC для просмотра групп ролей и сведений о группах ролей

На странице Администратор роли в Центре администрирования Майкрософт по адресу https://admin.exchange.microsoft.com/#/adminRolesотображается следующая информация для всех встроенных групп ролей и групп ролей клиентов:

Группа ролей: имя группы ролей.
Описание

Чтобы отсортировать список групп ролей, выберите заголовок столбца.

Чтобы изменить список записей с обычного на компактный, выберите Изменить представление, а затем — Компактный список.

Используйте поле Поиск и соответствующее значение для поиска определенных групп ролей.

Чтобы просмотреть сведения о группе ролей, выберите группу из списка, щелкнув имя. Открывающееся всплывающее окно сведений содержит следующие вкладки:

Вкладка "Общие ": на этой вкладке содержатся следующие сведения о роли:
- Название
- Описание: выберите Изменить основные сведения, чтобы изменить имя.
- Управляется
- Запись область
Вкладка Назначена : на этой вкладке отображаются пользователи, являющиеся членами роли. Вкладка имеет те же возможности изменения и поиска, что и представление главной группы ролей.

Сведения об изменении членства в группах см. в разделе .

Создание групп ролей с помощью EAC

На странице Администратор ролей в центре администрирования EAC выполните https://admin.exchange.microsoft.com/#/adminRolesодно из следующих действий.
- Создайте новую группу ролей. Убедитесь, что группы ролей не выбраны, а затем выберите Добавить группу ролей.
- Скопируйте существующую группу ролей. Выберите группу ролей, которую нужно скопировать, выбрав круглое поле проверка, которое отображается в пустой области рядом со столбцом имя группы ролей, а затем выберите появилось действие Копировать группу ролей**.
Один из этих шагов запускает мастер создания ролей, как описано в остальных шагах.
На странице Основные настройте следующие параметры:
- Имя. Введите уникальное имя группы ролей.
- Описание. Введите необязательное описание группы ролей.
- Запись область. Оставьте значение по умолчанию По умолчанию или выберите существующий объект область записи, созданный ранее в PowerShell.
Если вы копируете группу ролей, значение по умолчанию Имя — Копирование <имени> группы ролей, а существующее значение Description копируется, но эти значения можно изменить.

Завершив работу на странице Основные сведения , нажмите кнопку Далее.
На странице Разрешение выберите роли для назначения группе ролей, выбрав поле проверка рядом со столбцом Роль.

Чтобы отсортировать роли, выберите заголовок столбца:
- Роль
- Описание
- Область получателя по умолчанию
- Область конфигурации по умолчанию
Чтобы изменить список записей с обычного на компактный, выберите Изменить представление, а затем — Компактный список.

Используйте поле Поиск и соответствующее значение, чтобы найти определенную группу ролей.

Если вы копируете группу ролей, разрешения из исходной группы ролей уже выбраны, но их можно изменить.

Завершив работу на странице Разрешения , нажмите кнопку Далее.
На странице Администраторы выберите пользователей, которые нужно добавить в группу ролей.

Щелкните поле, чтобы просмотреть все подходящие учетные записи и группы ролей, которые нужно выбрать, или начать вводить имя или отображаемое имя для фильтрации результатов.

Если вы копируете группу ролей, члены из исходной группы ролей уже выбраны, но их можно изменить.

Чтобы удалить пользователей из группы, нажмите кнопку Удалить в записи.

Завершив работу на странице Администраторы, нажмите кнопку Далее.
На странице Проверка и завершение проверьте выбранные параметры.

Используйте ссылки Изменить в каждом разделе, чтобы изменить значение, или нажмите кнопку Назад .

По завершении на странице Проверка и завершение выберите Добавить группу ролей или Копировать группу ролей , чтобы создать группу ролей.

Использование EAC для изменения групп ролей

Совет

Вы не можете изменить имя или описание встроенной группы ролей.

Не изменяйте роли, назначенные встроенным группам ролей. Скопируйте существующую группу ролей и измените ее копию или создайте пользовательскую группу ролей.

На странице Администратор роли в центре администрирования По адресу https://admin.exchange.microsoft.com/#/adminRolesвыберите группу ролей, щелкнув имя группы ролей.
В открывавшемся всплывающем окне сведений настройте один или несколько из следующих параметров:
- Вкладка "Общие": выберите Изменить основные сведения, чтобы изменить имя или описание группы в открываемом всплывающем элементе, а затем нажмите кнопку Сохранить.
- Вкладка Назначена : измените членство в группе ролей:
  - Добавить участников. Выберите Добавить. Во всплывающем окне Добавление администраторов щелкните поле, чтобы просмотреть все соответствующие учетные записи и группы ролей, которые нужно выбрать, или начать вводить имя или отображаемое имя для фильтрации результатов. Выберите пользователя, щелкнув запись под полем, а затем нажмите кнопку Добавить.
  - Удалить участников. Выберите поле проверка рядом с одним или несколькими существующими элементами в списке, а затем выберите отображающееся действие Удалить, а затем выберите Да, удалить в диалоговом окне подтверждения.
- Вкладка Разрешения. Выберите роли для назначения группе ролей, выбрав поле проверка рядом со столбцом Роль.
  
  Чтобы отсортировать роли, выберите заголовок столбца:
  - Роль
  - Область получателя по умолчанию
  - Область конфигурации по умолчанию
  Чтобы изменить список записей с обычного на компактный, выберите Изменить представление, а затем — Компактный список.
  
  Используйте поле Поиск и соответствующее значение, чтобы найти определенную группу ролей.
  
  По завершении на вкладке нажмите кнопку Сохранить.
Совет

После добавления или удаления членов группы ролей данным пользователям необходимо выйти из системы, а затем снова войти в нее, чтобы изменить административные права.

Удаление групп ролей с помощью EAC

Вы не можете удалить встроенные группы ролей, но вы можете удалить настраиваемые группы ролей.

На странице Администратор ролей в центре администрирования По адресу https://admin.exchange.microsoft.com/#/adminRolesвыберите группу ролей, которую нужно удалить, выбрав круглое поле проверка, которое появится в пустой области рядом со столбцом имя группы ролей, а затем выберите действие Удалить.
Во всплывающем окне подтверждения выберите Подтвердить.

Управление группами ролей с помощью Exchange Online PowerShell

Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

Использование Exchange Online PowerShell для просмотра групп ролей

Чтобы просмотреть группу ролей, используйте следующий синтаксис:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

В этом примере возвращается сводный список всех групп ролей.

Get-RoleGroup

В этом примере возвращаются подробные сведения о группе ролей с именем "Администраторы получателей".

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

В этом примере возвращаются все группы ролей, участником которых является пользователь Julia. Необходимо использовать значение Различающееся имя (DN) для Julia, которое можно найти, выполнив команду : Get-User -Identity Julia | Format-List DistinguishedName.

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-RoleGroup.

Создание групп ролей с помощью Exchange Online PowerShell

Чтобы создать новую группу ролей, используйте следующий синтаксис:

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"

Параметр Roles указывает роли управления, назначаемые группе ролей, используя следующий синтаксис "Role1","Role1",..."RoleN". Доступные роли можно просмотреть с помощью командлета Get-ManagementRole.
Параметр Members указывает члены группы ролей с помощью следующего синтаксиса: "Member1","Member2",..."MemberN". Вы можете указать пользователей, универсальные группы безопасности (USG) с поддержкой почты или другие группы ролей (участников безопасности).
Параметр ManagedBy указывает делегатов, которые могут изменять и удалять группу ролей с помощью следующего синтаксиса: "Delegate1","Delegate2",..."DelegateN". Этот параметр недоступен в Центре администрирования Exchange.
Параметр CustomRecipientWriteScope указывает существующий пользовательский область записи получателя для применения к группе ролей. Доступные области записи внешних получателей можно просмотреть с помощью командлета Get-ManagementScope.

В этом примере создается новая группа ролей с именем "Ограниченное управление получателями" со следующими параметрами:

Роли Получатели почты и Общедоступные папки с поддержкой почты назначаются группе ролей.
Пользователи Ким и Мартин добавляются в качестве участников. Так как пользовательская запись получателя область не указана, Ким и Мартин могут управлять любым получателем в организации.

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

В этом примере используется пользовательская область записи получателя. Это означает, что Ким и Мартин могут управлять только получателями, включенными в область Seattle Recipients (получателями, для которых свойству City присвоено значение Seattle).

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

Подробные сведения о синтаксисе и параметрах см. в статье New-RoleGroup.

Копирование групп ролей с помощью Exchange Online PowerShell

Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:
```
$RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
```
Создайте новую группу ролей, используя следующий синтаксис:
```
New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
```
- Параметр Members указывает члены группы ролей с помощью следующего синтаксиса: "Member1","Member2",..."MemberN". Вы можете указать пользователей, универсальные группы безопасности (USG) с поддержкой почты или другие группы ролей (участников безопасности).
- Параметр ManagedBy указывает делегатов, которые могут изменять и удалять группу ролей с помощью следующего синтаксиса: "Delegate1","Delegate2",..."DelegateN". Этот параметр недоступен в Центре администрирования Exchange.
- Параметр CustomRecipientWriteScope указывает существующий пользовательский область записи получателя для применения к группе ролей. Доступные области записи внешних получателей можно просмотреть с помощью командлета Get-ManagementScope.
В этом примере группа ролей "Управление организацией" копируется в новую группу ролей с именем "Управление ограниченной организацией". Членами группы ролей являются Изабель, Картер и Лукас, а делегатами группы ролей являются Дженни и Кэти.
```
$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"
```
В этом примере группа ролей "Управление организацией" копируется в новую группу ролей под названием "Управление организацией Ванкувера" с пользовательским получателем "Пользователи Ванкувера" записывают область.
```
$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"
```

Подробные сведения о синтаксисе и параметрах см. в статье New-RoleGroup.

Использование Exchange Online PowerShell для изменения списка участников в группах ролей

Командлеты Add-RoleGroupMember и Remove-RoleGroupMember добавляют или удаляют отдельных участников по одному. Командлет Update-RoleGroupMember может заменить или изменить существующий список участников.
Членами группы ролей могут быть пользователи, универсальные группы безопасности с поддержкой почты (USG) или другие группы ролей (субъекты безопасности).

Чтобы изменить члены группы ролей, используйте следующий синтаксис:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>

Чтобы заменить существующий список членов указанными значениями, используйте следующий синтаксис: "Member1","Member2",..."MemberN".
Чтобы выборочно изменить существующий список элементов, используйте следующий синтаксис: @{Add="Member1","Member2"...; Remove="Member3","Member4"...}.

В этом примере все текущие члены группы ролей службы поддержки заменяются указанными пользователями.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

В этом примере добавляется Дайгоро Акай и удаляетСя Валерия Баррио из списка участников группы ролей службы поддержки.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Подробные сведения о синтаксисе и параметрах см. в разделе Update-RoleGroupMember.

Использование Exchange Online PowerShell для добавления ролей в пользовательские группы ролей (создание назначений ролей)

Чтобы добавить роли в пользовательские группы ролей в Exchange Online PowerShell, создайте назначения ролей управления с помощью следующего синтаксиса:

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]

Имя назначения роли создается автоматически, если оно не указано.
Если параметр RecipientRelativeWriteScope не используется, к назначению роли применяется неявное область чтения и неявной записи область роли.
Если предопределенная область соответствует бизнес-требованиям, можно использовать параметр RecipientRelativeWriteScope, чтобы применить область к назначению роли.
Чтобы применить настраиваемый область записи получателя, используйте параметр CustomRecipientWriteScope.

В этом примере группе ролей Seattle Compliance назначается роль управления Transport Rules.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

В этом примере роль Message Tracking назначается группе ролей Enterprise Support, затем применяется предварительно определенная область Organization.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

В этом примере роль Message Tracking назначается группе ролей Seattle Recipient Admins, затем применяется область Seattle Recipients.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Использование Exchange Online PowerShell для удаления ролей из пользовательских групп ролей (удаление назначений ролей)

Чтобы удалить роли из пользовательских групп ролей в Exchange Online PowerShell, удалите назначения ролей управления с помощью следующего синтаксиса:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment

Чтобы удалить обычные назначения ролей, которые предоставляют разрешения пользователям, используйте значение $false параметра Делегирование .
Чтобы удалить делегированные назначения ролей, которые позволяют назначать роль другим пользователям, используйте значение $true параметра Delegating .

В этом примере удаляется роль Группы рассылки из группы ролей Администраторы получателей Сиэтла.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-ManagementRoleAssignment.

Изменение область назначений ролей в пользовательских группах ролей с помощью Exchange Online PowerShell

Запись область назначения роли в группе ролей определяет объекты, с которыми могут работать члены группы ролей (например, все пользователи или только пользователи, свойство City которых имеет значение Vancouver). Вы можете изменить область записи ролей, назначенных настраиваемой группе ролей, чтобы:

Неявные область самих ролей. Это означает, что вы не указали пользовательские области при создании группы ролей или задали значение для всех назначений ролей в существующей группе ролей значение $null.
Один и тот же настраиваемый область для всех назначений ролей.
Различные настраиваемые области для каждого назначения отдельной роли.

Чтобы задать область для всех назначений ролей в группе ролей одновременно, используйте следующий синтаксис:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

В этом примере область получателя для всех назначений ролей в группе ролей Управление получателями продаж изменяется на Прямые сотрудники по продажам.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Чтобы изменить область в отдельном назначении ролей между группой ролей и ролью управления, выполните следующие действия.

Замените <имя> группы ролей именем группы ролей и выполните следующую команду, чтобы найти имена всех назначений ролей в группе ролей:
```
Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
```
Поиск имени назначения роли, которое необходимо изменить. Используйте имя назначения роли на следующем шаге.
Чтобы задать область для назначения отдельной роли, используйте следующий синтаксис:
```
Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
```
В этом примере область получателя для назначения роли с именем Mail Recipients_Sales Recipient Management изменяется на Все сотрудники отдела продаж.
```
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
```
Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.

Изменение списка делегатов в группах ролей с помощью Exchange Online PowerShell

Делегаты группы ролей определяют, кому разрешено изменять и удалять группу ролей. Вы не можете управлять делегатами групп ролей в EAC.

Чтобы изменить список делегатов в группе ролей, используйте следующий синтаксис:

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>

Чтобы заменить существующий список делегатов указанными значениями, используйте следующий синтаксис: "Delegate1","Delegate2",..."DelegateN".
Чтобы выборочно изменить существующий список делегатов, используйте следующий синтаксис: @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}.

В этом примере все текущие делегаты группы ролей службы поддержки заменяются указанными пользователями.

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

В этом примере добавляется Дайгоро Акай и Валерия Баррио из списка делегатов в группе ролей службы поддержки.

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.

Удаление пользовательских групп ролей с помощью Exchange Online PowerShell