Verwalten von Rollengruppen in Exchange Online

Eine Rollengruppe ist eine besondere Art von universeller Sicherheitsgruppe (USG), die im Berechtigungsmodell für die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) in Exchange Online verwendet wird. Verwaltungsrollengruppen vereinfachen die Zuweisung und Pflege von Berechtigungen für Benutzer in Exchange Online. Den Mitgliedern der Rollengruppe wird derselbe Satz von Rollen zugewiesen, und Sie fügen Benutzerberechtigungen hinzu und entfernen sie, indem Sie sie der Rollengruppe hinzufügen oder daraus entfernen. Weitere Informationen zu Rollengruppen in Exchange Online finden Sie unter Berechtigungen in Exchange Online.

Was sollten Sie wissen, bevor Sie beginnen?

  • Geschätzte Zeit bis zum Abschließen der einzelnen Verfahren: 5 bis 10 Minuten

  • Informationen zum Öffnen des Exchange Admin Centers (EAC) finden Sie unter Exchange Admin Center in Exchange Online. Informationen zum Öffnen Exchange Online PowerShell finden Sie unter Verbinden zu Exchange Online PowerShell.

  • Die Verfahren in diesem Thema erfordern die Rollenverwaltungs-RBAC-Rolle in Exchange Online. In der Regel erhalten Sie diese Berechtigung über die Mitgliedschaft in der Rollengruppe "Organisationsverwaltung" (die Rolle "Microsoft 365" oder "Office 365 globaler Administrator").

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen für das Exchange Admin Center.

Tipp

Sie haben Probleme? Bitten Sie in den Exchange-Foren um Hilfe. Sie finden die Foren unter folgenden Links: Exchange Online oder Exchange Online Protection.

Anzeigen von Rollengruppen

Verwenden des neuen EAC zum Anzeigen von Rollengruppen

  1. Wechseln Sie im neuen EAC zu > Rollenadministratorrollen. Alle Rollengruppen in Ihrer Organisation werden hier aufgelistet.

  2. Wählen Sie eine Rollengruppe aus. Im Detailbereich werden name, description, Managed by, Write scope, Assigned und Permissions der Rollengruppe angezeigt.

Verwenden des klassischen EAC zum Anzeigen von Rollengruppen

  1. Wechseln Sie im klassischen EAC zu > Administratorrollen für Berechtigungen. Alle Rollengruppen in Ihrer Organisation werden hier aufgelistet.

  2. Wählen Sie eine Rollengruppe aus. Der Detailbereich zeigt den Bereich "Name", "Beschreibung", "Zugewiesene Rollen", "Mitglieder", "Verwaltet von" und "Schreiben" der Rollengruppe. Sie können diese Informationen auch anzeigen, indem Sie auf das  Bearbeitungssymbol klicken.

Verwenden von Exchange Online PowerShell zum Anzeigen von Rollengruppen

Verwenden Sie die folgende Syntax, um eine Rollengruppe anzuzeigen:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

In diesem Beispiel wird eine Zusammenfassungsliste aller Rollengruppen zurückgegeben.

Get-RoleGroup

In diesem Beispiel werden detaillierte Informationen für die Rollengruppe Empfängeradministratoren zurückgegeben.

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

In diesem Beispiel werden alle Rollengruppen zurückgegeben, in denen der Benutzer Mitglied ist. Sie müssen den DistinguishedName (DN)-Wert für Denkname verwenden, den Sie finden, indem Sie den folgenden Befehl ausführen: Get-User -Identity Julia | Format-List DistinguishedName .

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-RoleGroup.

Erstellen von Rollengruppen

Wenn Sie eine neue Rollengruppe erstellen, müssen Sie alle Einstellungen selbst konfigurieren (während der Erstellung der Gruppe oder danach). Informationen dazu, wie Sie mit der Konfiguration einer vorhandenen Rollengruppe beginnen und diese ändern, finden Sie unter Kopieren vorhandener Rollengruppen.

Verwenden des neuen EAC zum Erstellen von Rollengruppen

  1. Wechseln Sie im neuen EAC zu > Rollenadministratorrollen, und klicken Sie dann auf Rollengruppe hinzufügen.

  2. Konfigurieren Sie im Fenster "Rollengruppe hinzufügen" unter "Grundlegendes einrichten" die folgenden Einstellungen, und klicken Sie auf "Weiter":

    • Name: Geben Sie einen eindeutigen Namen für die Rollengruppe ein.

    • Beschreibung: Geben Sie eine optionale Beschreibung für die Rollengruppe ein.

    • Schreibbereich: Der Standardwert ist Standard, Sie können aber auch einen benutzerdefinierten Empfängerschreibbereich aus der Dropdownliste auswählen.

  3. Wählen Sie im Abschnitt "Berechtigungen hinzufügen" die Rollen aus, und klicken Sie auf "Weiter". Rollen definieren den Umfang der Aufgaben, die die dieser Rollengruppe zugewiesenen Mitglieder verwalten dürfen.

  4. Wählen Sie im Abschnitt "Administratoren zuweisen" die Benutzer aus, die dieser Rollengruppe zugewiesen werden sollen, und klicken Sie auf "Weiter". Sie verfügen über Berechtigungen zum Verwalten der rollen, die Sie zugewiesen haben.

  5. Überprüfen Sie im Abschnitt "Rollengruppe überprüfen" und "Fertig stellen" alle Details, und klicken Sie dann auf "Rollengruppe hinzufügen".

  6. Klicken Sie auf Fertig.

Verwenden des klassischen EAC zum Erstellen von Rollengruppen

  1. Wechseln Sie im klassischen EAC zu "Administratorrollen für Berechtigungen", > und klicken Sie dann auf das Symbol "Hinzufügen".

  2. Konfigurieren Sie im angezeigten Fenster "Neue Rollengruppe" die folgenden Einstellungen:

    • Name: Geben Sie einen eindeutigen Namen für die Rollengruppe ein.

    • Beschreibung: Geben Sie eine optionale Beschreibung für die Rollengruppe ein.

    • Schreibbereich: Der Standardwert ist Standard, Sie können jedoch auch einen benutzerdefinierten Empfängerschreibbereich auswählen, den Sie bereits erstellt haben.

    • Rollen: Klicken Sie auf das Symbol  "Hinzufügen". um die Rollen auszuwählen, die der Rollengruppe im angezeigten neuen Fenster zugewiesen werden sollen.

    • Elemente: Klicken Sie auf das Symbol  "Hinzufügen". um die Mitglieder auszuwählen, die Sie der Rollengruppe im angezeigten neuen Fenster hinzufügen möchten. Sie können Benutzer, E-Mail-aktivierte universelle Sicherheitsgruppen (USGs) oder andere Rollengruppen (Sicherheitsprinzipale) auswählen.

    Wenn Sie fertig sind, klicken Sie auf "Speichern", um die Rollengruppe zu erstellen.

Verwenden Exchange Online PowerShell zum Erstellen einer Rollengruppe

Verwenden Sie die folgende Syntax, um eine neue Rollengruppe zu erstellen:

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"
  • Der Parameter Roles gibt die Verwaltungsrollen an, die der Rollengruppe mithilfe der folgenden Syntax zugewiesen werden "Role1","Role1",..."RoleN" sollen. Sie können die verfügbaren Rollen mit dem Cmdlet Get-ManagementRole anzeigen.
  • Der Parameter "Members" gibt die Mitglieder der Rollengruppe mithilfe der folgenden Syntax an: "Member1","Member2",..."MemberN" . Sie können Benutzer, Mail-aktivierte universelle Sicherheitsgruppen (USGs) oder andere Rollengruppen (Sicherheitsprinzipale) angeben.
  • Der Parameter ManagedBy gibt die Delegaten an, die die Rollengruppe mithilfe der folgenden Syntax ändern und entfernen können: "Delegate1","Delegate2",..."DelegateN" . Beachten Sie, dass diese Einstellung im EAC nicht verfügbar ist.
  • Der Parameter CustomRecipientWriteScope gibt den vorhandenen benutzerdefinierten Empfängerschreibbereich an, der auf die Rollengruppe angewendet werden soll. Sie können die vorhandenen benutzerdefinierten Empfängerschreibbereiche mithilfe des Cmdlets Get-ManagementScope anzeigen.

In diesem Beispiel wird eine neue Rollengruppe namens "Eingeschränkte Empfängerverwaltung" mit den folgenden Einstellungen erstellt:

  • Die Rollen "E-Mail-Empfänger" und "E-Mail-aktivierte öffentliche Ordner" werden der Rollengruppe zugewiesen.
  • Die Benutzer Kim und Martin werden als Mitglieder hinzugefügt. Da kein benutzerdefinierter Empfängerschreibbereich angegeben wurde, können Kim und Martin jeden Empfänger in der Organisation verwalten.
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

Dies ist das gleiche Beispiel bei einem benutzerdefinierten Empfängerschreibbereich, was bedeutet, dass Kim und Martin nur Empfänger verwalten können, die im Bereich "Seattle-Empfänger" enthalten sind (Empfänger, deren City-Eigenschaft auf den Wert Seattle festgelegt ist).

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter "New-RoleGroup".

Kopieren vorhandener Rollengruppen

Wenn eine vorhandene Rollengruppe hinsichtlich der Berechtigungen und Einstellungen, die Sie Benutzern zuweisen möchten, nahe ist, können Sie die vorhandene Rollengruppe kopieren und die Kopie an Ihre Anforderungen anpassen.

Verwenden des neuen EAC zum Kopieren einer Rollengruppe

Hinweis: Sie können das neue EAC nicht zum Kopieren einer Rollengruppe verwenden, wenn Sie Exchange Online PowerShell verwendet haben, um mehrere Bereiche oder exklusive Bereiche für die Rollengruppe zu konfigurieren. Um Rollengruppen mit diesen Einstellungen zu kopieren, müssen Sie Exchange Online PowerShell verwenden.

  1. Wechseln Sie im neuen EAC zu > Rollenadministratorrollen.

  2. Wählen Sie die Rollengruppe aus, die Sie kopieren möchten, und klicken Sie dann auf "Rollengruppe kopieren".

  3. Konfigurieren Sie im Fenster "Rollengruppe kopieren" unter "Grundlegendes einrichten" die folgenden Einstellungen, und klicken Sie auf "Weiter":

    • Name: Der Standardwert lautet "Copy of <Role Group Name> , aber Sie können einen eindeutigen Namen für die Rollengruppe eingeben.
    • Beschreibung: Die vorhandene Beschreibung ist vorhanden, Sie können sie jedoch ändern.
    • Schreibbereich: Der vorhandene Schreibbereich ist ausgewählt, Sie können jedoch in der Dropdownliste den Bereich "Standard" oder einen benutzerdefinierten Empfänger-Schreibbereich auswählen.
  4. Ändern Sie im Abschnitt "Berechtigungen bearbeiten" die Rollen, und klicken Sie auf "Weiter". Rollen definieren den Umfang der Aufgaben, die die dieser Rollengruppe zugewiesenen Mitglieder verwalten dürfen.

  5. Ändern Sie im Abschnitt "Administratoren zuweisen" die Rollengruppenmitgliedschaft, und klicken Sie auf "Weiter". Sie verfügen über Berechtigungen zum Verwalten der rollen, die Sie zugewiesen haben.

  6. Überprüfen Sie im Abschnitt "Rollengruppe überprüfen" und "Fertig stellen" alle Details, und klicken Sie dann auf "Rollengruppe kopieren".

  7. Klicken Sie auf Fertig.

Verwenden des klassischen EAC zum Kopieren einer Rollengruppe

Hinweis: Sie können das klassische EAC nicht zum Kopieren einer Rollengruppe verwenden, wenn Sie Exchange Online PowerShell verwendet haben, um mehrere Bereiche oder exklusive Bereiche für die Rollengruppe zu konfigurieren. Um Rollengruppen mit diesen Einstellungen zu kopieren, müssen Sie Exchange Online PowerShell verwenden.

  1. Wechseln Sie im klassischen EAC zu > Administratorrollen für Berechtigungen.

  2. Wählen Sie die Rollengruppe aus, die Sie kopieren möchten, und klicken Sie dann auf das Symbol  "Kopieren".

  3. Konfigurieren Sie im angezeigten Fenster "Neue Rollengruppe" die folgenden Einstellungen:

    • Name: Der Standardwert lautet "Copy of <Role Group Name> , aber Sie können einen eindeutigen Namen für die Rollengruppe eingeben.

    • Beschreibung: Die vorhandene Beschreibung ist vorhanden, Sie können sie jedoch ändern.

    • Schreibbereich: Der vorhandene Schreibbereich ist ausgewählt, Sie können jedoch "Standard" oder einen anderen benutzerdefinierten Empfänger-Schreibbereich auswählen, den Sie bereits erstellt haben.

    • Rollen: Klicken Sie auf das Symbol  "Hinzufügen". oder entfernen Sie das Symbol  "Entfernen", um die Rollen zu ändern, die der Rollengruppe zugewiesen sind.

    • Elemente: Klicken Sie auf das Symbol  "Hinzufügen". oder entfernen Sie das Symbol  "Entfernen", um die Rollengruppenmitgliedschaft zu ändern.

    Wenn Sie fertig sind, klicken Sie auf "Speichern", um die Rollengruppe zu erstellen.

Verwenden Exchange Online PowerShell zum Kopieren einer Rollengruppe

  1. Speichern Sie die Rollengruppe, die Sie kopieren wollen, mithilfe der folgenden Syntax in einer Variablen:

    $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
    
  2. Erstellen Sie die neue Rollengruppe mithilfe der folgenden Syntax:

    New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
    
    • Der Parameter "Members" gibt die Mitglieder der Rollengruppe mithilfe der folgenden Syntax an: "Member1","Member2",..."MemberN" . Sie können Benutzer, Mail-aktivierte universelle Sicherheitsgruppen (USGs) oder andere Rollengruppen (Sicherheitsprinzipale) angeben.
    • Der Parameter ManagedBy gibt die Delegaten an, die die Rollengruppe mithilfe der folgenden Syntax ändern und entfernen können: "Delegate1","Delegate2",..."DelegateN" . Beachten Sie, dass diese Einstellung im EAC nicht verfügbar ist.
    • Der Parameter CustomRecipientWriteScope gibt den vorhandenen benutzerdefinierten Empfängerschreibbereich an, der auf die Rollengruppe angewendet werden soll. Sie können die vorhandenen benutzerdefinierten Empfängerschreibbereiche mithilfe des Cmdlets Get-ManagementScope anzeigen.

In diesem Beispiel wird die Rollengruppe "Organisationsverwaltung" in die neue Rollengruppe "Limited Organization Management" kopiert. Die Mitglieder der Rollengruppe sind "Posten", "Carter" und "Datensätze", und die Rollengruppendelegats sind Jenny und Kateie.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"

In diesem Beispiel wird die Rollengruppe Organisationsverwaltung in die neue Rollengruppe Verwaltung der Organisation mit dem benutzerdefinierten Schreibbereich des Empfängers Benutzer kopiert.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter "New-RoleGroup".

Ändern der Rollengruppen

Verwenden des neuen EAC zum Ändern von Rollengruppen

  1. Wechseln Sie im neuen EAC zu > Rollenadministratorrollen, wählen Sie die Rollengruppe aus, die Sie ändern möchten, und bearbeiten Sie im Detailbereich Folgendes:

    • Klicken Sie im Abschnitt "Allgemein" auf "Grundlagen bearbeiten", um den Namen und die Beschreibung zu ändern.
    • Fügen Sie im Abschnitt "Zugewiesen" Benutzer zu dieser Rollengruppe hinzu/löschen Sie sie.
    • Fügen Sie im Abschnitt "Berechtigungen" der Rollengruppe zugewiesene Rollen hinzu/entfernen Sie sie.
  2. Klicken Sie nach Abschluss des Vorgangs auf Speichern.

Verwenden des klassischen EAC zum Ändern von Rollengruppen

  1. Wechseln Sie im klassischen EAC zu > "Administratorrollen für Berechtigungen", wählen Sie die Rollengruppe aus, die Sie ändern möchten, und klicken Sie dann auf  "Bearbeiten".

Beim Ändern von Rollengruppen stehen die gleichen Optionen zur Verfügung wie beim Erstellen von Rollengruppen mithilfe des klassischen EAC. Sie haben folgende Möglichkeiten:

  • Ändern Sie den Namen und die Beschreibung.
  • Ändern Sie den Schreibbereich (wenn Sie benutzerdefinierte Empfängerschreibbereiche erstellt haben).
  • Hinzufügen und Entfernen von Verwaltungsrollen (Erstellen oder Entfernen von Rollenzuweisungen).
  • Mitglieder hinzufügen und entfernen.

Hinweise:

  • Sie können den klassischen EAC nicht verwenden, um den Schreibbereich, die Rollen und die Mitglieder einer Rollengruppe zu ändern, wenn Sie Exchange Online PowerShell verwendet haben, um mehrere Bereiche oder exklusive Bereiche für die Rollengruppe zu konfigurieren. Um die Einstellungen dieser Rollengruppen zu ändern, müssen Sie Exchange Online PowerShell verwenden.
  • Einige Rollengruppen (z. B. die Rollengruppe "Organisationsverwaltung") schränken die Rollen ein, die Sie aus der Gruppe entfernen können.
  • Sie können Stellvertretungen zu einer Rollengruppe im klassischen EAC hinzufügen oder entfernen. Sie können nur Exchange Online PowerShell verwenden.

Verwenden Exchange Online PowerShell zum Hinzufügen von Rollen zu Rollengruppen (Erstellen von Rollenzuweisungen)

Um Rollen zu Rollengruppen in Exchange Online PowerShell hinzuzufügen, erstellen Sie Verwaltungsrollenzuweisungen mithilfe der folgenden Syntax:

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]
  • Der Rollenzuweisungsname wird automatisch erstellt, wenn Sie keinen angeben.
  • Wenn Sie den Parameter RecipientRelativeWriteScope nicht verwenden, werden der implizite Lesebereich und der implizite Schreibbereich der Rolle auf die Rollenzuweisung angewendet.
  • Wenn ein vordefinierter Bereich Ihren Geschäftlichen Anforderungen entspricht, können Sie den Parameter RecipientRelativeWriteScope verwenden, um den Bereich auf die Rollenzuweisung anzuwenden.
  • Verwenden Sie den Parameter CustomRecipientWriteScope, um einen benutzerdefinierten Empfängerschreibbereich anzuwenden.

This example assigns the Transport Rules management role to the Seattle Compliance role group.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

This example assigns the Message Tracking role to the Enterprise Support role group and applies the Organization predefined scope.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

This example assigns the Message Tracking role to the Seattle Recipient Admins role group and applies the Seattle Recipients scope.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.

Verwenden Exchange Online PowerShell zum Entfernen von Rollen aus Rollengruppen (Entfernen von Rollenzuweisungen)

Um Rollen aus Rollengruppen in Exchange Online PowerShell zu entfernen, entfernen Sie Verwaltungsrollenzuweisungen mithilfe der folgenden Syntax:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment
  • Um reguläre Rollenzuweisungen zu entfernen, die Benutzern Berechtigungen gewähren, verwenden Sie den Wert $false für den Delegating-Parameter.
  • Verwenden Sie den Wert für den Delegierungsparameter, um delegierende Rollenzuweisungen zu entfernen, mit denen die Rolle anderen zugewiesen werden $true kann.

In diesem Beispiel wird die Rolle "Verteilergruppen" aus der Rollengruppe "Seattle-Empfängeradministratoren" entfernt.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-ManagementRoleAssignment.

Verwenden Exchange Online PowerShell zum Ändern des Umfangs von Rollenzuweisungen in Rollengruppen

Der Schreibbereich einer Rollenzuweisung in einer Rollengruppe definiert die Objekte, mit denen die Mitglieder der Rollengruppe arbeiten können (z. B. alle Benutzer oder nur die Benutzer, deren City-Eigenschaft den Wert "City" aufweist). Sie können den Schreibbereich der Rollen ändern, die einer Rollengruppe zugewiesen sind:

  • Der implizite Bereich der Rollen selbst. Dies bedeutet, dass Sie beim Erstellen der Rollengruppe keine benutzerdefinierten Bereiche angegeben oder den Wert aller Rollenzuweisungen in einer vorhandenen Rollengruppe auf den Wert festgelegt $null haben.
  • Der gleiche benutzerdefinierte Bereich für alle Rollenzuweisungen.
  • Unterschiedliche benutzerdefinierte Bereiche für jede einzelne Rollenzuweisung.

Verwenden Sie die folgende Syntax, um den Bereich für alle Rollenzuweisungen einer Rollengruppe gleichzeitig festzulegen:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

In diesem Beispiel wird der Empfängerbereich für alle Rollenzuweisungen in der Rollengruppe Sales Recipient Management in Direct Sales Employees geändert.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Führen Sie die folgenden Schritte aus, um den Bereich für eine einzelne Rollenzuweisung zwischen einer Rollengruppe und einer Verwaltungsrolle zu ändern:

  1. Ersetzen Sie <Role Group Name> den Namen der Rollengruppe, und führen Sie den folgenden Befehl aus, um die Namen aller Rollenzuweisungen in der Rollengruppe zu suchen:

    Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
    
  2. Ermitteln Sie den Namen der Rollenzuweisung, die Sie ändern möchten. Verwenden Sie den Namen der Rollenzuweisung im nächsten Schritt.

  3. Verwenden Sie die folgende Syntax, um den Bereich für die einzelne Rollenzuweisung festzulegen:

    Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
    

    In diesem Beispiel wird der Empfängerbereich für die Rollenzuweisung E-Mail Recipients_Sales Empfängerverwaltung in "Alle Vertriebsmitarbeiter" geändert.

    Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
    

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ManagementRoleAssignment.

Verwenden Exchange Online Ändern der Liste der Stellvertretungen in Rollengruppen in PowerShell

Rollengruppendelegats definieren, wer die Rollengruppe ändern und löschen darf. Rollengruppendelegats können im EAC nicht verwaltet werden.

Verwenden Sie die folgende Syntax, um die Liste der Delegaten in einer Rollengruppe zu ändern:

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>
  • Verwenden Sie die folgende Syntax, um die vorhandene Liste der Delegaten durch die von Ihnen angegebenen Werte zu ersetzen: "Delegate1","Delegate2",..."DelegateN"

  • Verwenden Sie die folgende Syntax, um die vorhandene Liste von Delegaten selektiv zu ändern: @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}

In diesem Beispiel werden alle aktuellen Delegaten der Helpdesk-Rollengruppe durch die angegebenen Benutzer ersetzt.

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

In diesem Beispiel wird Daigoro Akai hinzugefügt, und "Helpdeska Barrio" wird aus der Liste der Stellvertreter in der Helpdesk-Rollengruppe entfernt.

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-RoleGroup.

Verwenden Exchange Online Ändern der Liste der Mitglieder in Rollengruppen mitHilfe von PowerShell

  • Mit den Cmdlets "Add-RoleGroupMember" und "Remove-RoleGroupMember" werden einzelne Mitglieder einzeln hinzugefügt oder entfernt. Das Cmdlet "Update-RoleGroupMember" kann die vorhandene Mitgliederliste ersetzen oder ändern.

  • Die Mitglieder einer Rollengruppe können Benutzer, E-Mail-aktivierte universelle Sicherheitsgruppen (USGs) oder andere Rollengruppen (Sicherheitsprinzipale) sein.

Verwenden Sie die folgende Syntax, um die Mitglieder einer Rollengruppe zu ändern:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members> [-BypassSecurityGroupManagerCheck]
  • Verwenden Sie die folgende Syntax, um die vorhandene Liste der Elemente durch die von Ihnen angegebenen Werte zu ersetzen: "Member1","Member2",..."MemberN"
  • Verwenden Sie die folgende Syntax, um die vorhandene Liste von Mitgliedern selektiv zu ändern: @{Add="Member1","Member2"...; Remove="Member3","Member4"...}

In diesem Beispiel werden alle aktuellen Mitglieder der Helpdesk-Rollengruppe durch die angegebenen Benutzer ersetzt.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

In diesem Beispiel wird Daigoro Akai hinzugefügt, und Dies wird aus der Liste der Mitglieder in der Helpdesk-Rollengruppe entfernt.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Update-RoleGroupMember.

Entfernen von Rollengruppen

Sie können integrierte Rollengruppen nicht entfernen, aber sie können benutzerdefinierte Rollengruppen entfernen, die Sie erstellt haben.

Hinweise:

  • Wenn Sie eine Rollengruppe entfernen, werden die Verwaltungsrollenzuweisungen zwischen der Rollengruppe und den Verwaltungsrollen gelöscht. Alle Verwaltungsrollen, die der Rollengruppe zugewiesen sind, werden nicht gelöscht.
  • Wenn ein Benutzer für den Zugriff auf ein Feature von der Rollengruppe abhängig ist, hat er keinen Zugriff mehr auf das Feature, nachdem Sie die Rollengruppe gelöscht haben.

Verwenden des neuen EAC zum Entfernen einer Rollengruppe

  1. Wechseln Sie im neuen EAC zu > Rollenadministratorrollen.
  2. Wählen Sie die Rollengruppe aus, und klicken Sie auf "Löschen".
  3. Klicken Sie im Bestätigungsfenster auf "Bestätigen".

Entfernen einer Rollengruppe mithilfe der Exchange-Verwaltungskonsole

  1. Wechseln Sie im EAC zu > Administratorrollen für Berechtigungen.
  2. Wählen Sie die Rollengruppe aus, die Sie entfernen möchten, und klicken Sie dann auf das Symbol  "Löschen".
  3. Klicken Sie im daraufhin angezeigten Bestätigungsfenster auf "Ja".

Verwenden Exchange Online PowerShell zum Entfernen einer Rollengruppe

Verwenden Sie die folgende Syntax, um eine benutzerdefinierte Rollengruppe zu entfernen:

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

In diesem Beispiel wird die Rollengruppe "Schulungsadministratoren" entfernt.

Remove-RoleGroup -Identity "Training Administrators"

In diesem Beispiel wird die Rollengruppe "Empfängeradministratoren" entfernt. Da der Benutzer, der den Befehl ausführt, nicht in der ManagedBy-Eigenschaft der Rollengruppe definiert ist, ist die Option BypassSecurityGroupManagerCheck im Befehl erforderlich. Dem Benutzer, der den Befehl ausführt, wird die Rollenverwaltungsrolle zugewiesen, sodass der Benutzer die Überprüfung des Sicherheitsgruppen-Managers umgehen kann.

Remove-RoleGroup - Identity "Vancouver Recipient Administrators" -BypassSecurityGroupManagerCheck

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-RoleGroup.