Поделиться через

Политики назначения ролей в Exchange Online

  • Статья

Политика назначения ролей — это коллекция из одной или нескольких ролей конечных пользователей, которые позволяют пользователям управлять параметрами почтовых ящиков и группами рассылки в Exchange Online. Роли конечных пользователей являются частью модели разрешений управления доступом на основе ролей (RBAC) в Exchange Online. Вы можете назначить разные политики назначения ролей разным пользователям, чтобы разрешить или запретить определенные функции самостоятельного управления в Exchange Online.

«Политика назначения ролей по умолчанию» в Exchange Online устанавливается планом почтового ящика, который назначается пользователям при лицензировании их учетных записей. Дополнительные сведения о планах почтовых ящиков см. в разделе Планы почтовых ящиков в Exchange Online.

Политики назначения ролей — это то, как роли конечных пользователей (в отличие от ролей управления) назначаются пользователям в Exchange Online. Существует несколько способов назначения разрешений пользователям с помощью политик назначения ролей:

  • Новые пользователи:

    • Измените роли конечных пользователей, назначенные в политике назначения ролей по умолчанию.
    • Создайте настраиваемую политику назначения ролей и выберите ее в качестве используемой по умолчанию. Обратите внимание, что этот метод затрагивает только создаваемые почтовые ящики без указания политики назначения ролей или назначения лицензии (лицензия указывает план почтового ящика, который указывает политику назначения ролей).
    • Установите настраиваемую политику назначения ролей в плане почтового ящика. Дополнительные сведения см. в статье Изменение планов почтовых ящиков с помощью Exchange Online PowerShell.

  • Существующие пользователи:

    • Назначьте пользователю другую лицензию. При этом будут применены параметры другого плана почтового ящика, который определяет политику назначения ролей.
    • Вручную назначьте настраиваемую политику назначения ролей почтовым ящикам.

Роль, политика назначения ролей, связь с почтовым ящиком.

Доступные роли конечных пользователей, которые можно назначить планам почтовых ящиков, описаны в следующей таблице:

Role Назначена политика назначения ролей по умолчанию? Описание
Мои пользовательские приложения Да Установка пользовательских приложений.
Мои приложения из Marketplace Да Установка приложений Marketplace.
Мои приложения ReadWriteMailbox Да Установите приложения с разрешениями ReadWriteMailbox.
MyBaseOptions Да Требуется для доступа пользователей к параметрам Outlook в Интернете из собственного почтового ящика.
MyContactInformation Да Измените их адрес и номер телефона в глобальном списке адресов (GAL).

Эта роль содержит следующие дочерние роли:

  • MyAddressInformation: измените все элементы почтового адреса, номера рабочего телефона и номера факса.
  • MyMobileInformation: измените номера мобильных телефонов и пейджеров.
  • MyPersonalInformation: измените номер домашнего телефона и веб-страницу.

Если вы считаете, что эта роль дает пользователям слишком много возможностей, можно удалить роль из политики назначения ролей и назначить одну или несколько дочерних ролей. Инструкции см. в разделе Добавление и удаление ролей из политики назначения ролей этой статьи.
MyDistributionGroupMembership Да Присоединение к существующим группам рассылки или выход из нее (если группа настроена для присоединения участников к группе или выхода из нее).
MyDistributionGroups Да Создавайте новые группы рассылки, удаляйте группы, которыми они владеют, изменяйте группы, которыми они владеют, и управляйте членством в группах, которыми они владеют.
MyMailboxDelegation Нет Позволяет пользователям предоставлять разрешения на отправку от имени другим пользователям в своем почтовом ящике. В сообщениях явно отображается отправитель в поле От (<Отправитель> от имени почтового ящика<>), но ответы доставляются в почтовый ящик, а не в отправителя.
MyMailSubscriptions Да Подключенные учетные записи были удалены из Outlook в Интернете в ноябре 2018 года. Дополнительные сведения см. в статье Подключенные учетные записи больше не поддерживаются в Outlook в Интернете.
MyProfileInformation Да Измените их имя, средний инициал, фамилию и отображаемое имя в глобальном списке адресов.

Эта роль содержит следующие дочерние роли:

  • MyDisplayName: измените отображаемое имя.
  • MyName: измените имя, среднее начальное значение, фамилию и свойство Notes.

Если вы считаете, что эта роль дает пользователям слишком много полномочий, можно удалить роль из политики назначения ролей и назначить одну из дочерних ролей. Инструкции см. в разделе Добавление и удаление ролей из политики назначения ролей этой статьи.
MyRetentionPolicies Да Позволяет пользователям добавлять личные теги, которые не являются частью назначенной политики хранения.*
MyTeamMailboxes Да Почтовые ящики сайтов были прекращены в пользу групп Microsoft 365 в сентябре 2017 г. Дополнительные сведения см. в статье Использование групп Microsoft 365 вместо почтовых ящиков сайта.
MyTextMessaging Да Включение текстовых уведомлений о собраниях и новых сообщениях электронной почты.*
MyVoiceMail Да Обновите параметры голосовой почты.*

*Эта функция доступна не во всех регионах или организациях.

Что нужно знать перед началом работы

  • Предполагаемое время выполнения каждой процедуры: менее 5 минут.

  • Для процедур, описанных в этом разделе, требуется роль RBAC управления ролями в Exchange Online. Как правило, это разрешение можно получить через членство в группе ролей "Управление организацией". Дополнительные сведения см. в статье Управление группами ролей в Exchange Online.

  • Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online. Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Изменения разрешений вступают в силу после выхода пользователя из системы и повторного входа в систему.

Просмотр ролей, назначенных политике назначения ролей

Использование EAC для просмотра ролей, назначенных политике назначения ролей

  1. В центре администрирования EAC щелкните Роли>администраторов. Здесь перечислены все группы ролей в организации.

  2. Выберите группу ролей. В области сведений отображаются имя, описание и добавление разрешений для группы ролей.

Использование Exchange Online PowerShell для просмотра ролей, назначенных политике назначения ролей

Чтобы просмотреть роли, назначенные политике назначения ролей, используйте следующий синтаксис:

Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto

В этом примере возвращаются роли, назначенные политике назначения ролей по умолчанию.

Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-ManagementRoleAssignment.

Примечание. Чтобы вернуть список всех доступных ролей конечных пользователей, выполните следующую команду:

Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent

Добавление или удаление ролей из политики назначения ролей

Использование EAC для добавления или удаления ролей из политики назначения ролей

  1. В EAC щелкните Роли>Пользователи роли, выберите политику назначения ролей и нажмите кнопкуИзменить.

  2. В открывшемся окне свойств политики выполните одно из следующих действий:

    • Чтобы добавить роль, установите флажок рядом с ролью.

    • Чтобы удалить уже назначенную роль, снимите этот флажок.

    Если установить флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также устанавливаются. Если снять флажок родительской роли, флажки для дочерних ролей также будут сняты. Можно выбрать дочернюю роль, снимите флажок родительской роли, а затем выберите отдельную дочернюю роль.

  3. По завершении нажмите кнопку Сохранить.

Добавление ролей в политику назначения ролей с помощью Exchange Online PowerShell

Добавление роли в политику назначения ролей создает новое назначение роли с уникальным именем, которое является сочетанием имен роли и политики назначения ролей.

Чтобы добавить роли в политику назначения ролей, используйте следующий синтаксис:

New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"

В этом примере роль MyMailboxDelegation добавляется в политику назначения ролей с именем Политика назначения ролей по умолчанию.

New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Удаление ролей из политики назначения ролей с помощью Exchange Online PowerShell

  1. Используйте процедуру из раздела Использование Exchange Online PowerShell, чтобы просмотреть роли, назначенные политике назначения ролей , выше в этом разделе, чтобы найти имя назначения роли для роли, которую вы хотите удалить (это сочетание имен роли и политики назначения ролей).

  2. Чтобы удалить роль из политики назначения ролей, используйте следующий синтаксис:

    Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"

    В этом примере роль MyDistributionGroups удаляется из политики назначения ролей с именем Политика назначения ролей по умолчанию.

    Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-ManagementRoleAssignment.

Создание политик назначения ролей

Создание политик назначения ролей с помощью EAC

  1. В центре администрирования EAC перейдите в раздел Роли>администратора и щелкните Добавить группу ролей.

  2. В окне Добавление группы ролей щелкните Раздел Настройка основ , настройте следующие параметры и нажмите кнопку Далее:

    • Имя. Введите уникальное имя группы ролей.

    • Описание. Введите необязательное описание группы ролей.

    • Выберите роли, которые вы хотите назначить в политику назначения ролей.

  3. В разделе Добавление разрешений выберите роли и нажмите кнопку Далее. Роли определяют область задач, которыми члены, назначенные этой группе ролей, имеют разрешение на управление.

  4. В разделе Назначение администраторов выберите пользователей, которые нужно назначить этой группе ролей, и нажмите кнопку Далее. У них будут разрешения на управление назначенными ролями.

  5. В разделе Проверка группы ролей и завершение проверьте все сведения и нажмите кнопку Добавить группу ролей.

  6. Нажмите кнопку Готово.

Создание политик назначения ролей с помощью Exchange Online PowerShell

Чтобы создать политику назначения ролей, используйте следующий синтаксис:

New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]

В этом примере создается новая политика назначения ролей с именем Contoso Contractors, которая включает указанные роли конечных пользователей.

New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"

Подробные сведения о синтаксисе и параметрах см. в разделе New-RoleAssignmentPolicy.

Изменение политик назначения ролей

Вы можете использовать EAC или Exchange PowerShell для добавления или удаления ролей из политики назначения ролей.

Вы можете использовать Exchange Online PowerShell только для указания политики назначения ролей по умолчанию , применяемой к новым почтовым ящикам, которым не назначена лицензия или политика назначения ролей при их создании.

В противном случае все, что можно сделать в EAC или Exchange Online PowerShell, — это изменить имя и описание политики назначения ролей.

Использование Exchange Online PowerShell для указания политики назначения ролей по умолчанию

Чтобы указать политику назначения ролей по умолчанию, используйте следующий синтаксис:

Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault

В этом примере пользователи Contoso настраивают в качестве политики назначения ролей по умолчанию.

Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault

Примечание. Параметр IsDefault также доступен в командлетах New-RoleAssignmentPolicy .

Подробные сведения о синтаксисе и параметрах см. в разделе Set-RoleAssignmentPolicy.

Удаление политик назначения ролей

Вы не можете удалить политику назначения ролей, которая задана по умолчанию. Сначала необходимо указать другую политику назначения ролей в качестве политики по умолчанию , прежде чем можно будет удалить политику.

Невозможно удалить политику назначения ролей, назначенную почтовым ящикам. Используйте процедуры, описанные в разделе Использование Exchange Online PowerShell для изменения назначений политик назначения ролей в почтовых ящиках , чтобы заменить политику назначения ролей, назначенную почтовым ящикам.

Удаление политик назначения ролей с помощью EAC

  1. В центре администрирования EAC перейдите в раздел Роли>администраторов.

  2. Выберите группу ролей и нажмите кнопку Удалить.

  3. Нажмите кнопку Подтвердить в окне подтверждения.

Удаление политик назначения ролей с помощью Exchange Online PowerShell

Чтобы удалить политику назначения ролей, используйте следующий синтаксис:

Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"

В этом примере удаляется политика назначения ролей с именем Contoso Manager.

Remove-RoleAssignmentPolicy -Identity "Contoso Managers"

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-RoleAssignmentPolicy.

Просмотр назначений политик назначения ролей в почтовых ящиках

Использование EAC для просмотра назначений политик назначения ролей в почтовых ящиках

  1. В EAC перейдите в раздел Почтовые ящики получателей>, выберите почтовый ящик и нажмите кнопкуИзменить.

  2. В открывавшемся окне свойств почтового ящика щелкните Функции почтового ящика. Политика назначения ролей отображается в поле Политика назначения ролей .

  3. По завершении нажмите кнопку Сохранить.

Использование Exchange Online PowerShell для просмотра назначений политик назначения ролей в почтовых ящиках

Чтобы просмотреть назначение политики назначения ролей в определенном почтовом ящике, используйте следующий синтаксис:

Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy

В этом примере возвращается политика назначения ролей для почтового ящика с именем Педро Писарро.

Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy

Чтобы вернуть все почтовые ящики, которым назначена определенная политика назначения ролей, используйте следующий синтаксис:

$<VariableName> = Get-Mailbox -ResultSize unlimited

$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}

В этом примере возвращаются все почтовые ящики, которым назначена политика назначения ролей с именем Contoso Manager.

$Mgrs = Get-Mailbox -ResultSize unlimited

$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}

Изменение назначений политики назначения ролей в почтовых ящиках

Почтовому ящику может быть назначена только одна политика назначения ролей. Политика назначения ролей, назначаемая почтовому ящику, заменит существующую назначенную политику назначения ролей.

Использование EAC для изменения назначений политик назначения ролей в почтовых ящиках

В EAC щелкните Почтовые ящики получателей> и выполните одно из следующих действий.

  • Отдельные почтовые ящики. Выберите почтовый ящик>, нажмите кнопку Изменить.> Щелкните Функции почтового ящика в открывающемся окне щелкните раскрывающийся > список рядом с пунктом Политика> назначения ролей выберите новую политику > назначения ролей нажмите кнопку Сохранить.

  • Несколько почтовых ящиков. Выберите несколько почтовых ящиков одного типа (например, User), выбрав почтовый ящик, удерживая клавишу SHIFT, и выберите другой почтовый ящик дальше в списке или удерживая клавишу CTRL при выборе каждого почтового ящика. В области сведений (теперь называется Массовое изменение): щелкните Дополнительные параметры> нажмите кнопку Обновить. В разделе Политика назначения ролей выберите политику назначения ролей в появившемся > окне нажмите кнопку Сохранить.

Использование Exchange Online PowerShell для изменения назначений политик назначения ролей в почтовых ящиках

Чтобы изменить назначение политики назначения ролей в определенном почтовом ящике, используйте следующий синтаксис:

Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"

В этом примере политика назначения ролей с именем Contoso Manager применяется к почтовому ящику с именем Педро Писарро.

Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"

Чтобы изменить назначение для всех почтовых ящиков, которым назначена определенная политика назначения ролей, используйте следующий синтаксис:

$<VariableName> = Get-Mailbox -ResultSize unlimited

$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'

В этом примере политика назначения ролей изменяется с политики назначения ролей по умолчанию на Contoso Staff для всех почтовых ящиков, которым в настоящее время назначена политика назначения ролей по умолчанию.

$Users = Get-Mailbox -ResultSize unlimited

$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'