Autorisations

S’applique à : Exchange Server 2013

Microsoft Exchange Server 2013 inclut un large ensemble d’autorisations prédéfinies, basées sur le modèle d’autorisations basées sur le rôle Access Control (RBAC), que vous pouvez utiliser immédiatement pour accorder facilement des autorisations à vos administrateurs et utilisateurs. Vous pouvez utiliser les fonctionnalités d’autorisations dans Exchange 2013 pour que votre nouvelle organisation soit opérationnelle rapidement.

Remarque

Plusieurs fonctionnalités et concepts de RBAC ne sont pas abordés dans cette rubrique, car il s'agit de fonctionnalités avancées. Si une fonctionnalité abordée dans cette rubrique ne répond pas à vos besoins, et que vous souhaitiez personnaliser votre modèle d'autorisations, consultez la rubrique Understanding Role Based Access Control.

Autorisations basées sur des rôles

Dans Exchange 2013, les autorisations que vous accordez aux administrateurs et aux utilisateurs sont basées sur les rôles de gestion. Un rôle définit un ensemble de tâches qu'un administrateur ou un utilisateur peut effectuer. Par exemple, un rôle de gestion appelé Mail Recipients définit les tâches qu’une personne peut effectuer sur un ensemble de boîtes aux lettres, de contacts et de groupes de distribution. Lorsqu'un rôle est assigné à un administrateur ou à un utilisateur, il obtient les autorisations associées à ce rôle.

Il existe deux types de rôles : rôles d'administrateur et rôles d'utilisateur final :

  • Rôles d’administration : ces rôles contiennent des autorisations qui peuvent être attribuées aux administrateurs ou aux utilisateurs spécialisés à l’aide de groupes de rôles qui gèrent une partie de l’organisation Exchange, comme les destinataires, les serveurs ou les bases de données.
  • Rôles d’utilisateur final : ces rôles, attribués à l’aide de stratégies d’attribution de rôle, permettent aux utilisateurs de gérer les aspects de leurs propres boîtes aux lettres et groupes de distribution dont ils sont propriétaires. Les rôles d’utilisateur final commencent par le préfixe My.

Les rôles concèdent aux administrateurs et utilisateurs auxquels ils sont attribués des autorisations pour réaliser des tâches en mettant à leur disposition des cmdlets. Étant donné que le Centre d’administration Exchange (EAC) et Exchange Management Shell utilisent des applets de commande pour gérer Exchange, l’octroi de l’accès à une applet de commande donne à l’administrateur ou à l’utilisateur l’autorisation d’effectuer la tâche dans chacune des interfaces de gestion Exchange.

Exchange 2013 comprend environ 86 rôles que vous pouvez utiliser pour accorder des autorisations. Pour obtenir la liste des rôles inclus dans Exchange 2013, consultez Rôles de gestion intégrés.

Groupes de rôles et stratégies d'attribution de rôle

Les rôles accordent des autorisations pour effectuer des tâches dans Exchange 2013, mais vous avez besoin d’un moyen simple de les attribuer aux administrateurs et aux utilisateurs. Exchange 2013 fournit les éléments suivants pour vous aider à le faire :

  • Groupes de rôles : les groupes de rôles vous permettent d’accorder des autorisations aux administrateurs et aux utilisateurs spécialisés.
  • Stratégies d’attribution de rôle : les stratégies d’attribution de rôle vous permettent d’accorder des autorisations aux utilisateurs finaux pour modifier les paramètres de leur propre boîte aux lettres ou groupes de distribution dont ils sont propriétaires.

Pour plus d'informations sur les groupes de rôles et les stratégies d'attribution de rôles, consultez les sections suivantes.

Groupes de rôles

Chaque administrateur qui gère Exchange 2013 doit se voir attribuer au moins un ou plusieurs rôles. Les administrateurs peuvent avoir plusieurs rôles, car ils peuvent effectuer des fonctions de travail qui couvrent plusieurs zones dans Exchange. Par exemple, un administrateur peut gérer à la fois les destinataires et les serveurs Exchange. Dans ce cas, cet administrateur peut se voir attribuer les Mail Recipients rôles et Exchange Servers .

Pour faciliter l’attribution de plusieurs rôles à un administrateur, Exchange 2013 inclut des groupes de rôles. Les groupes de rôles sont des groupes de sécurité universels spéciaux utilisés par Exchange 2013 qui peuvent contenir des utilisateurs Active Directory, des groupes de sécurité universels et d’autres groupes de rôles. Quand un rôle est attribué à un groupe de rôles, les autorisations octroyées par ce rôle s'étendent à tous les membres du groupe de rôles. Cela vous permet d'attribuer en une fois un grand nombre de rôles à un grand nombre de membres d'un groupe de rôles. Les groupes de rôles englobent généralement des domaines de gestion plus larges, comme la gestion des destinataires. Ils sont uniquement utilisés par les rôles administratifs, non par les rôles d'utilisateur final.

Remarque

Il est possible d'attribuer un rôle directement à un utilisateur ou un groupe universel de sécurité sans utiliser de groupe de rôle. Cependant, cette méthode d'attribution de rôle est une procédure avancée qui n'est pas abordée dans cette rubrique. Nous vous recommandons d'utiliser des groupes de rôles pour gérer les autorisations.

La figure suivante montre la relation entre les utilisateurs, les groupes de rôles et les rôles.

Rôle, groupe de rôles et relation de membre.

Exchange 2013 inclut plusieurs groupes de rôles intégrés, chacun fournissant des autorisations pour gérer des zones spécifiques dans Exchange 2013. Certains groupes de rôles peuvent se chevaucher. Le tableau suivant répertorie chaque groupe de rôles avec une description de son utilisation. Si vous souhaitez voir les rôles attribués à chaque groupe de rôles, cliquez sur le nom du groupe de rôles dans la colonne « Groupe de rôles », puis ouvrez la section « Rôles de gestion attribués à ce groupe de rôles ».

Groupe de rôles Description
Gestion de l'organisation Les administrateurs membres du groupe de rôles Gestion de l’organisation disposent d’un accès administratif à l’ensemble de l’organisation Exchange 2013 et peuvent effectuer presque n’importe quelle tâche sur n’importe quel objet Exchange 2013, à quelques exceptions près, comme le Discovery Management rôle.

Important : Étant donné que le groupe de rôles Gestion de l’organisation est un rôle puissant, seuls les utilisateurs ou les groupes de sécurité utilisateur qui effectuent des tâches d’administration au niveau de l’organisation qui peuvent avoir un impact potentiel sur l’ensemble de l’organisation Exchange doivent être membres de ce groupe de rôles.
Gestion de l'organisation en affichage seul Les administrateurs membres du groupe de rôles Afficher uniquement la gestion de l'organisation peuvent afficher les propriétés de n'importe quel objet de l'organisation Exchange.
Gestion des destinataires Les administrateurs membres du groupe de rôles Gestion des destinataires disposent d'un accès administratif pour créer ou modifier des destinataires Exchange 2013 au sein de l'organisation Exchange 2013.
Gestion de messagerie unifiée Les administrateurs qui sont membres du groupe de rôles Gestion de la messagerie unifiée peuvent gérer des fonctionnalités dans l'organisation Exchange comme la configuration du service de messagerie unifiée, les propriétés de messagerie unifiée des boîtes aux lettres, les invites de messagerie unifiée et la configuration du standard automatique de messagerie unifiée.
Support technique Par défaut, le groupe de rôles Support technique permet aux membres d’afficher et de modifier les options Microsoft Office Outlook Web App de n’importe quel utilisateur de l’organisation. Ces options peuvent inclure la modification du nom complet, de l'adresse et du numéro de téléphone de l'utilisateur. Elles n'incluent pas les options non disponibles dans Outlook Web App, par exemple, la modification de la taille d'une boîte aux lettres ou la configuration de la base de données de boîtes aux lettres dans laquelle une boîte aux lettres se trouve.
Gestion de l'hygiène Les administrateurs membres du groupe de rôles Gestion de l’hygiène peuvent configurer les fonctionnalités antivirus et anti-courrier indésirable d’Exchange 2013. Les programmes tiers intégrés à Exchange 2013 peuvent ajouter des comptes de service à ce groupe de rôles afin de permettre à ces programmes d'accéder aux cmdlets requises pour extraire et configurer Exchange.
Gestion des enregistrements Les utilisateurs membres du groupe de rôles Gestion des enregistrements peuvent configurer les fonctionnalités de conformité, comme les balises de stratégie de rétention, les classifications de message et les règles de transport.
Gestion de la détection Les administrateurs ou les utilisateurs membres du groupe de rôles Gestion de la découverte peuvent effectuer des recherches dans les boîtes aux lettres de l’organisation Exchange à la recherche de données qui répondent à des critères spécifiques et peuvent également configurer des conservations légales sur les boîtes aux lettres.
Gestion des dossiers publics Les administrateurs qui sont membres du groupe de rôles de gestion des dossiers publics peuvent gérer des dossiers publics sur des serveurs exécutant Exchange 2013.
Gestion du serveur Les administrateurs membres du groupe de rôles Gestion du serveur peuvent se charger de la configuration propre au serveur pour les fonctionnalités de transport, de messagerie unifiée, d'accès client et de boîte aux lettres, telles que les copies de bases de données, les certificats, les files d'attente de transport, les connecteurs d'envoi, les répertoires virtuels et les protocoles d'accès client.
Installation déléguée Les administrateurs membres du groupe de rôles Installation déléguée peuvent déployer des serveurs exécutant Exchange 2013 qui ont été précédemment mis en service par un membre du groupe de rôles Gestion de l'organisation.
Gestion de la conformité Les utilisateurs membres du groupe de rôles Gestion de la conformité peuvent configurer et gérer les paramètres de conformité Exchange conformément à la stratégie de leur organisation.

Si vous travaillez dans une petite organisation qui n’a que quelques administrateurs, vous devrez peut-être ajouter ces administrateurs au groupe de rôles Gestion de l’organisation uniquement, et vous n’aurez peut-être jamais besoin d’utiliser les autres groupes de rôles. Si vous travaillez dans une organisation plus grande, vous pouvez avoir des administrateurs qui effectuent des tâches spécifiques d’administration d’Exchange, telles que la gestion des destinataires ou des serveurs. Dans ce cas, vous pouvez ajouter un administrateur au groupe de rôles Gestion des destinataires et un autre administrateur au groupe de rôles Gestion du serveur. Ces administrateurs peuvent ensuite gérer leurs zones spécifiques d’Exchange 2013, mais ne disposent pas des autorisations nécessaires pour gérer les zones dont ils ne sont pas responsables.

Si les groupes de rôles intégrés dans Exchange 2013 ne correspondent pas à la fonction de travail de vos administrateurs, vous pouvez créer des groupes de rôles et y ajouter des rôles. Pour plus d’informations, consultez Utiliser des groupes de rôles plus loin dans cette rubrique.

Stratégies d'attribution de rôle

Exchange 2013 fournit des stratégies d’attribution de rôle qui vous permettent de contrôler les paramètres que vos utilisateurs peuvent configurer sur leurs propres boîtes aux lettres et sur les groupes de distribution dont ils sont propriétaires. Ces paramètres sont leur nom complet, leurs informations de contact, leurs paramètres de messagerie vocale et leur appartenance au groupe de distribution.

Votre organisation Exchange 2013 peut avoir plusieurs stratégies d’attribution de rôle qui fournissent différents niveaux d’autorisations pour les différents types d’utilisateurs de votre organisation. Certains utilisateurs peuvent être autorisés à modifier leur adresse ou à créer des groupes de distribution, tandis que d'autres non, en fonction de la stratégie d'attribution de rôle associée à leur boîte aux lettres. Les stratégies d'attribution de rôle sont ajoutées directement aux boîtes aux lettres, et chacune d'elles peut être associée uniquement à une stratégie d'attribution de rôle à la fois.

Parmi les stratégies d'attribution de rôle de votre organisation, une est marquée comme la stratégie par défaut. La stratégie d'attribution de rôle par défaut est associée à de nouvelles boîtes aux lettres auxquelles aucune stratégie d'attribution de rôle spécifique n'a été attribuée lors de leur création. La stratégie d'attribution de rôle par défaut doit contenir les autorisations s'appliquant à la majorité de vos boîtes aux lettres.

Les autorisations sont ajoutées aux stratégies d'attribution de rôle à l'aide de rôles d'utilisateur final. Les rôles d’utilisateur final commencent par My et accordent aux utilisateurs des autorisations pour gérer uniquement leur boîte aux lettres ou les groupes de distribution dont ils sont propriétaires. Ils ne peuvent pas être utilisés pour gérer une autre boîte aux lettres. Seuls les rôles d'utilisateur final peuvent être attribués aux stratégies d'attribution de rôle.

Lorsqu'un rôle d'utilisateur final est attribué à une stratégie d'attribution de rôle, toutes les boîtes aux lettres associées à cette stratégie d'attribution de rôle reçoivent les autorisations accordées à ce rôle. Cela vous permet d'ajouter ou de supprimer des autorisations à des ensembles d'utilisateurs sans devoir configurer de boîtes aux lettres individuelles. La figure suivante présente les éléments suivants :

  • Les rôles d'utilisateur final peuvent être attribués aux stratégies d'attribution de rôle. Les stratégies d'attribution de rôle peuvent partager les mêmes rôles d'utilisateur final.

  • Les stratégies d'attribution de rôle sont associées à des boîtes aux lettres. Chaque boîte aux lettres ne peut être associée qu'à une seule stratégie d'attribution de rôle.

  • Lorsqu'une boîte aux lettres est associée à une stratégie d'attribution de rôle, les rôles d'utilisateur final s'appliquent à cette boîte aux lettres. Les autorisations accordées par les rôles sont accordées à l'utilisateur de la boîte aux lettres.

Rôle, stratégie d’attribution de rôle, relation de boîte aux lettres.

La stratégie d’attribution de rôle par défaut de stratégie d’attribution de rôle est incluse dans Exchange 2013. Comme son nom l'indique, il s'agit de la stratégie d'attribution de rôle par défaut. Si vous souhaitez modifier les autorisations accordées par cette stratégie d'attribution de rôle, ou bien si vous souhaitez créer des stratégies d'attribution de rôle, consultez la section Work with Role Assignment Policies plus loin dans cette rubrique.

Utilisation de groupes de rôles

Pour gérer vos autorisations à l’aide de groupes de rôles dans Exchange 2013, nous vous recommandons d’utiliser le Centre d’administration Exchange. Lorsque vous utilisez le CAE pour gérer des groupes de rôles, vous pouvez ajouter et supprimer des rôles et des membres, créer des groupes de rôles et copier des groupes de rôles en quelques clics de souris. Pour réaliser ces tâches, le CAE offre des boîtes de dialogue simples, comme la boîte de dialogue Nouveau groupe de rôles illustrée dans la figure suivante.

Boîte de dialogue Nouveau groupe de rôles dans le CAE.

Exchange 2013 inclut plusieurs groupes de rôles qui séparent les autorisations en zones administratives spécifiques. Si ces groupes de rôles existants fournissent les autorisations dont vos administrateurs ont besoin pour gérer votre organisation Exchange 2013, vous devez uniquement ajouter vos administrateurs en tant que membres des groupes de rôles appropriés. Les administrateurs que vous ajoutez à un groupe de rôles peuvent gérer les fonctionnalités associées à ce dernier. Pour ajouter ou supprimer des membres dans un groupe de rôles, ouvrez ce dernier dans le CAE, puis ajoutez ou supprimez des membres dans la liste des membres. Pour obtenir une liste des groupes de rôles intégrés, consultez la rubrique Groupes de rôles intégrés.

Importante

Si un administrateur est membre de plusieurs groupes de rôles, Exchange 2013 accorde à l’administrateur toutes les autorisations fournies par les groupes de rôles dont il est membre.

Si aucun des groupes de rôles inclus dans Exchange 2013 n’a les autorisations dont vous avez besoin, vous pouvez utiliser le Centre d’administration Exchange pour créer un groupe de rôles et ajouter les rôles qui disposent des autorisations dont vous avez besoin. Pour votre nouveau groupe de rôles :

  1. Vous lui choisissez un nom.
  2. Vous sélectionnez les rôles que vous voulez ajouter au groupe de rôles.
  3. Vous ajoutez des membres au groupe de rôles.
  4. Vous enregistrez le groupe de rôles.

Après avoir créé le groupe de rôles, vous le gérez comme n'importe quel autre groupe de rôles.

S’il existe un groupe de rôles qui dispose de certaines autorisations, mais pas de toutes les autorisations dont vous avez besoin, vous pouvez le copier, puis apporter des modifications pour créer un groupe de rôles. Vous pouvez copier un groupe de rôles, puis y apporter des modifications sans affecter le groupe de rôles d'origine. Durant ce processus de copie, vous pouvez ajouter un nouveau nom et une description, ajouter et supprimer des rôles au sein du nouveau groupe de rôles, et ajouter de nouveaux membres. Lorsque vous créez ou copiez un groupe de rôles, vous utilisez la même boîte de dialogue que celle illustrée dans la figure précédente.

Vous pouvez également modifier des groupes de rôles existants. Vous pouvez ajouter et supprimer des rôles dans des groupes de rôles, ainsi qu'y ajouter et en supprimer simultanément des membres à l'aide d'une boîte de dialogue de CAE semblable à celle illustrée dans la figure précédente. En ajoutant et supprimant des rôles au sein d'un groupe de rôles, vous activez et désactivez des fonctionnalités d'administration pour ses membres. Pour obtenir la liste des rôles que vous pouvez ajouter à un groupe de rôles, consultez Rôles de gestion intégrés.

Remarque

Bien que vous puissiez modifier les rôles attribués aux groupes de rôles intégrés, nous vous recommandons de copier ces derniers, de modifier leur copie, puis d'ajouter des membres à celle-ci.

Utilisation de stratégies d'attribution de rôle

Pour gérer les autorisations que vous accordez aux utilisateurs finaux pour gérer leur propre boîte aux lettres dans Exchange 2013, nous vous recommandons d’utiliser le CAE. Lorsque vous utilisez le CAE pour gérer les autorisations des utilisateurs finaux, vous pouvez ajouter et supprimer des rôles, et créer des stratégies d'attribution de rôle en quelques clics de souris. Pour réaliser ces tâches, le CAE offre des boîtes de dialogue simples, comme la boîte de dialogue Stratégie d'attribution de rôle illustrée dans la figure suivante.

Boîte de dialogue Stratégie d’attribution de rôle dans le CAE.

Exchange 2013 inclut une stratégie d’attribution de rôle nommée Stratégie d’attribution de rôle par défaut. Cette stratégie d'attribution de rôle permet aux utilisateurs dont les boîtes aux lettres y sont associées d'effectuer les tâches suivantes :

  • Rejoindre ou quitter des groupes de distribution permettant aux groupes de gérer leur propre appartenance.
  • Visualiser et modifier des paramètres de boîtes aux lettres basiques de leur propre boîte aux lettres, comme les règles de boîte de réception, le comportement du vérificateur d'orthographe, les paramètres relatifs au courrier indésirable et les périphériques Microsoft ActiveSync.
  • Modifiez leurs informations de contact, telles que l'adresse et le numéro de téléphone professionnels, le numéro de téléphone mobile et le numéro de récepteur de radiomessagerie.
  • Créer, modifier ou visualiser les paramètres des messages texte.
  • Visualiser ou modifier les paramètres de la messagerie vocale.
  • Afficher et modifier leurs applications de place de marché.
  • Créer des boîtes aux lettres d'équipe et les connecter aux listes Microsoft SharePoint.

Si vous souhaitez ajouter ou supprimer des autorisations au sein de la stratégie d'attribution de rôle par défaut, ou dans toute autre stratégie d'attribution de rôle, vous pouvez utiliser le CAE. La boîte de dialogue que vous utilisez est semblable à celle de la figure précédente. Lorsque vous ouvrez la stratégie d'attribution de rôle dans le CAE, activez ou désactivez les cases à cocher en regard des rôles selon que vous souhaitez les attribuer ou les supprimer. Les modifications que vous apportez à la stratégie d'attribution de rôle s'appliquent à toutes les boîtes aux lettres qui y sont associées.

Si vous souhaitez attribuer différentes autorisations d'utilisateur final aux différents types d'utilisateurs de votre organisation, vous pouvez créer des stratégies d'attribution de rôle. Lorsque vous créez une stratégie d'attribution de rôle, une boîte de dialogue semblable à celle indiquée dans la figure précédente s'affiche. Vous pouvez spécifier un nouveau nom pour la stratégie d'attribution de rôle, puis sélectionner les rôles que vous voulez attribuer à la stratégie d'attribution de rôle. Après avoir créé une stratégie d'attribution de rôle, vous pouvez l'associer à des boîtes aux lettres à l'aide du CAE.

Si vous souhaitez modifier la stratégie d’attribution de rôle par défaut, il vous faut utiliser l’environnement de ligne de commande Exchange Management Shell. Lorsque vous modifiez la stratégie d'attribution de rôle par défaut, toutes les boîtes aux lettres créées seront associées à la nouvelle stratégie d'attribution de rôle par défaut si aucune stratégie n'a été explicitement indiquée. La stratégie d'attribution de rôle associée aux boîtes aux lettres existantes ne change pas lorsque vous sélectionnez une nouvelle stratégie d'attribution de rôle par défaut.

Remarque

Si vous activez la case à cocher pour un rôle contenant des rôles enfants, les cases à cocher de ces derniers sont également activées. Si vous désactivez la case à cocher pour un rôle contenant des rôles enfants, les cases à cocher de ces derniers sont également désactivées.

Pour obtenir des informations détaillées sur les étapes de la création de stratégies d'attribution de rôles, ou apporter des modifications aux stratégies d'attribution de rôles existantes, consultez les rubriques suivantes :

Documentation relative aux autorisations

Le tableau suivant contient des liens vers des rubriques qui vous aideront à découvrir et à gérer les autorisations dans Exchange 2013.

Rubrique Description
Understanding Role Based Access Control Découvrez chacun des composants du contrôle d'accès basé sur les rôles (RBAC) et comment créer des modèles d'autorisations avancées si les groupes de rôles et les rôles de gestion ne sont pas suffisants.
Présentation des autorisations sur plusieurs forêts Découvrez comment implémenter des autorisations RBAC dans les organisations avec des forêts de comptes et de ressources.
Présentation des autorisations fractionnées Découvrez comment fractionner la gestion d’Exchange et de principal de sécurité à l’aide des autorisations de fractionnement RBAC et Active Directory.
Présentation de la coexistence des autorisations dans Exchange 2007 et Exchange 2010 Configurez les autorisations pour activer l’administration d’Exchange 2013 dans les organisations Exchange 2007 et Exchange 2010 existantes.
Gérer des groupes de rôles Configurez les autorisations pour les administrateurs Exchange et les utilisateurs spécialisés à l’aide de groupes de rôles.
Gérer les membres de groupes de rôles Ajoutez et supprimez des membres dans des groupes de rôles. En ajoutant et en supprimant des membres dans et à partir de groupes de rôles, vous configurez qui est en mesure d’administrer les fonctionnalités Exchange.
Gérer des groupes de rôles liés Configurez les autorisations pour les administrateurs Exchange et les utilisateurs spécialisés dans les déploiements Exchange à forêts multiples.
Gérer les stratégies d'attribution des rôles Configurez les fonctionnalités auxquelles les utilisateurs finaux ont accès sur leurs boîtes aux lettres à l’aide de stratégies d’attribution de rôle.
Modifier la stratégie d'attribution sur une boîte aux lettres Configurez la stratégie d'attribution de rôle qui doit être appliquée à une ou plusieurs boîtes aux lettres.
Créer des groupes de rôles lié qui reflètent les groupes de rôles intégrés Recréez les groupes de rôles intégrés en tant que groupes de rôles liés dans les déploiements Exchange à forêts multiples.
Afficher les autorisations effectives Affichez les personnes autorisées à administrer les fonctionnalités Exchange.
Autorisations des fonctionnalités En savoir plus sur les autorisations requises pour gérer les fonctionnalités et services Exchange.
Autorisations avancées Utilisez les fonctionnalités RBAC avancées pour créer des modèles d’autorisation hautement personnalisés qui répondent aux besoins de toute organisation.