Présentation des stratégies d’attribution de rôles de gestionUnderstanding management role assignment policies

 

S’applique à: Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Une stratégie d’attribution de rôle de gestion est une collection d’un ou plusieurs rôles de gestion d’utilisateur final permettant aux utilisateurs finaux de gérer leur propre configuration de groupe de distribution et de boîte aux lettres Microsoft Exchange Server 2013.A management role assignment policy is a collection of one or more end-user management roles that enables end users to manage their own Microsoft Exchange Server 2013 mailbox and distribution group configuration. Les stratégies d'attributions de rôle, qui font partie du modèle d'autorisation du contrôle d'accès basé sur un rôle dans Exchange 2013 vous permettent de contrôler quels paramètres de configuration de groupe de distribution et de boîte aux lettres spécifique peuvent être modifiés par vos utilisateurs finals.Role assignment policies, which are part of the Role Based Access Control (RBAC) permissions model in Exchange 2013, enable you to control what specific mailbox and distribution group configuration settings your end users can modify. Différents groupes d'utilisateurs peuvent bénéficier de stratégies d'attribution de rôle spécialisées.Different groups of users can have role assignment policies specialized to them.

Notes

Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Pour plus d'informations sur le contrôle d'accès basé sur un rôle, voir Présentation du contrôle d'accès basé sur un rôle.For more information about RBAC, see Understanding Role Based Access Control.

Table des matièresContents

Role assignment policy layersRole assignment policy layers

Default and explicit role assignment policiesDefault and explicit role assignment policies

Using role assignment policiesUsing role assignment policies

Role assignment policy managementRole assignment policy management

Couches de stratégie d’attribution de rôleRole assignment policy layers

Les différentes couches qui permettent de créer le modèle de stratégie d’attribution de rôle sont décrites dans la liste suivante :The following list describes the layers that make up the role assignment policy model:

  • Boîte auxlettres: une stratégie d’attribution de rôle unique est affectée aux boîtes aux lettres.Mailbox: Mailboxes are assigned a single role assignment policy. Lorsqu'une stratégie d'attribution de rôle est affectée à une boîte aux lettres, les affectations entre les rôles de gestion et la stratégie d'attribution de rôle s'appliquent à la boîte aux lettres.When a mailbox is assigned a role assignment policy, the assignments between management roles and a role assignment policy are applied to the mailbox. Cette action permet d'accorder à la messagerie toutes les autorisations fournies par les rôles de gestion.This grants the mailbox all of the permissions provided by the management roles.

  • Stratégie d’attribution de rôle de gestion: la stratégie d’attribution de rôle de gestion est un objet spécial dans Exchange 2013.Management role assignment policy: The management role assignment policy is a special object in Exchange 2013. Une stratégie d'attribution de rôle est associée aux utilisateurs lorsque leur boîte aux lettres est créée ou si vous modifiez la stratégie d'attribution de rôle sur une boîte aux lettres.Users are associated with a role assignment policy when their mailboxes are created, or if you change the role assignment policy on a mailbox. C'est également ce que vous attribuez pour les rôles de gestion des utilisateurs finals.This is also what you assign end-user management roles to. L'association de tous les rôles sur une stratégie d'attribution de rôle définit tout ce que l'utilisateur peut gérer dans sa boîte aux lettres ou ses groupes de distribution.The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Attribution de rôle de gestion: une attribution de rôle de gestion est le lien entre un rôle de gestion et une stratégie d’attribution de rôle.Management role assignment: A management role assignment is the link between a management role and a role assignment policy. L'attribution d'un rôle de gestion à une stratégie d'attribution de rôle permet l'utilisation des cmdlets et des paramètres définis dans le rôle de gestion.Assigning a management role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the management role. Lorsque vous créez une attribution de rôle entre une stratégie d'attribution de rôle et un rôle de gestion, vous ne pouvez spécifier aucune étendue.When you create a role assignment between a role assignment policy and a management role, you can't specify any scope. L’étendue appliquée par l’attribution est basée sur le rôle de gestion et est Self ou MyGAL.The scope applied by the assignment is based on the management role and is either Self or MyGAL. Pour plus d'informations, voir Présentation des attributions de rôles de gestion.For more information, see Understanding management role assignments.

  • Rôlede gestion: un rôle de gestion est un conteneur pour le regroupement des entrées de rôle de gestion.Management role: A management role is a container for a grouping of management role entries. Les rôles sont utilisés pour définir les tâches spécifiques qu’un utilisateur peut effectuer avec sa boîte aux lettres ou les groupes de distribution.Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. Une entrée de rôle de gestion est une cmdlet, un script ou une autorisation spéciale qui permet d’effectuer chaque tâche spécifique dans un rôle de gestion.A management role entry is a cmdlet, script, or special permission that enables each specific task in a management role to be performed. Vous pouvez uniquement utiliser des rôles de gestion des utilisateurs finals avec les stratégies d'attribution de rôle.You can only use end-user management roles with role assignment policies. Pour plus d'informations, voir Présentation des rôles de gestion.For more information, see Understanding management roles.

  • Entrée de rôlede gestion: les entrées de rôle de gestion sont les entrées individuelles d’un rôle de gestion qui déterminent les cmdlets et les paramètres disponibles pour le rôle de gestion et le groupe de rôles.Management role entry: Management role entries are the individual entries on a management role that determine what cmdlets and parameters are available to the management role and the role group. Chaque entrée de rôle est constituée d'une cmdlet unique et des paramètres accessibles par le rôle de gestion.Each role entry consists of a single cmdlet and the parameters that can be accessed by the management role.

La figure suivante affiche chacune des couches de stratégie de rôle dans la liste précédente et la manière dont les couches sont associées.The following figure shows each of the role assignment policy layers in the preceding list and how each of the layers relates to the other.

Modèle de stratégie d'attribution de rôle de gestionManagement role assignment policy model

![Relations des modèles d’attribution de rôle] (images/Dd638100.7f7c11ca-0d61-464d-98a3-a9991ec811b5(EXCHG.150).jpg "Relations des modèles d’attribution de rôle")Role Assignment Model Relationships

Pour plus d'informations sur les rôles de gestion, les attributions de rôle et les étendues, voir Présentation du contrôle d'accès basé sur un rôle.For more information about management roles, role assignments, and scopes, see Understanding Role Based Access Control.

Stratégies d’attribution de rôle explicite et par défautDefault and explicit role assignment policies

Les sections suivantes décrivent les deux types de stratégies d'attribution de rôle dans Exchange 2013.The following sections describe the two types of role assignment policies in Exchange 2013.

Stratégie d’attribution de rôles par défautDefault role assignment policy

Une stratégie d’attribution de rôle par défaut est une stratégie attribuée à une boîte aux lettres lorsque la boîte aux lettres est créée ou déplacée vers un serveur exécutant Exchange 2013, et qu’une stratégie d’attribution de rôle n’a pas été fournie à l’aide du paramètre RoleAssignmentPolicy sur la nouvelle boîte aux lettres ou ** Cmdlets Enable-Mailbox** .A default role assignment policy is one assigned to a mailbox when the mailbox is created or moved to a server running Exchange 2013, and a role assignment policy wasn't provided using the RoleAssignmentPolicy parameter on the New-Mailbox or Enable-Mailbox cmdlets.

Exchange 2013 inclut une stratégie d'attribution de rôle par défaut qui fournit aux utilisateurs finals les autorisations utilisées le plus souvent. Vous pouvez modifier les autorisations par défaut sur la stratégie d'attribution de rôle par défaut en ajoutant ou en supprimant des rôles de gestion dans cette stratégie ou à partir de cette dernière.Exchange 2013 includes a default role assignment policy that provides end users with the permissions most commonly used. You can change the default permissions on the default role assignment policy by adding or removing management roles to or from it.

Si vous souhaitez remplacer la stratégie d'attribution de rôle intégrée par défaut par votre propre stratégie d'attribution de rôle par défaut, vous pouvez utiliser la cmdlet Set-RoleAssignmentPolicy pour sélectionner une nouvelle stratégie par défaut. Si vous n'indiquez pas spécifiquement une stratégie d'attribution de rôle lorsque vous effectuez cette opération, la stratégie d'attribution de rôle que vous avez spécifiée par défaut est affectée aux nouvelles boîtes aux lettres.If you want to replace the built-in default role assignment policy with your own default role assignment policy, you can use the Set-RoleAssignmentPolicy cmdlet to select a new default. When you do this, any new mailboxes are assigned the role assignment policy you specified by default if you don't explicitly specify a role assignment policy.

Lorsque vous modifiez la stratégie d'attribution de rôle par défaut, les boîtes aux lettres pour lesquelles la stratégie d'attribution de rôle est fournie par défaut ne recevront pas automatiquement l'obtention de la nouvelle stratégie d'attribution de rôle par défaut. Si vous souhaitez mettre à jour les boîtes aux lettres préalablement créées pour utiliser la stratégie d'attribution de rôle que vous avez définie par défaut, vous devez utiliser la cmdlet Set-Mailbox.When you change the default role assignment policy, mailboxes assigned the default role assignment policy aren't automatically assigned the new default role assignment policy. If you want to update previously created mailboxes to use the role assignment policy you've set as default, you must use the Set-Mailbox cmdlet to do so.

Stratégie d’attribution de rôle expliciteExplicit Role Assignment Policy

Une stratégie d’attribution de rôle explicite est une stratégie que vous affectez manuellement à une boîte aux lettres en utilisant le paramètre RoleAssignmentPolicy sur la cmdlet New-Mailbox, Set-Mailbox ou Enable-Mailbox.An explicit role assignment policy is a policy that you assign to a mailbox manually using the RoleAssignmentPolicy parameter on the New-Mailbox, Set-Mailbox, or Enable-Mailbox cmdlets. Lorsque vous affectez une stratégie d’attribution de rôle explicite, la nouvelle stratégie prend effet immédiatement et remplace celle préalablement attribuée.When you assign an explicit role assignment policy, the new policy takes effect immediately and replaces the previously assigned explicit role assignment policy.

Utilisation de stratégies d’attribution de rôleUsing role assignment policies

Les stratégies d’attribution de rôle vous permettent d’adapter les autorisations en fonction des besoins métier que vos utilisateurs doivent configurer. Si la stratégie d’attribution de rôle par défaut répond à vos besoins, vous n’avez pas besoin d’effectuer une personnalisation. Cependant, si vous disposez de nombreux groupes d’utilisateurs avec des besoins spécialisés, vous pouvez créer des stratégies d’attribution de rôle pour chacune d’entre eux.Role assignment policies enable you to tailor permissions based on what business needs your users need to be able to configure. If the default role assignment policy meets your needs, you don't need to do any customization. However, if you have many different user groups with specialized needs, you can create role assignment policies for each of them.

La stratégie d'attribution de rôle par défaut que vous utilisez devrait contenir les autorisations qui s'appliquent à votre groupe d'utilisateurs le plus large. Puis, créez des stratégies d'attribution de rôle pour chacun de vos groupes d'utilisateurs spécialisés et adaptez ces stratégies d'attribution de rôle pour accorder plus ou moins d'autorisations à ces groupes. Lorsque vous organisez vos stratégies d'attribution de rôle de cette manière, vous réduisez la complexité en attribuant explicitement des stratégies d'attribution de rôle uniquement aux utilisateurs spécialisés tandis que la majorité de vos utilisateurs reçoivent les autorisations utilisées le plus souvent par la stratégie d'attribution de rôle par défaut.The default role assignment policy you use should contain the permissions that apply to your broadest set of users. Then, create role assignment policies for each of your specialized user groups and tailor those role assignment policies to grant more or less restrictive permissions to them. When you organize your role assignment policies this way, you reduce complexity by only explicitly assigning role assignment policies to your specialized users while the majority of your users receive the more common permissions provided by the default role assignment policy.

Une boîte aux lettres peut avoir uniquement une stratégie d’attribution de rôle. Une stratégie d’attribution de rôle est affectée à tous les utilisateurs, y compris les administrateurs et les utilisateurs spécialisés. Si vous souhaitez qu’un utilisateur bénéficie d’un ensemble d’autorisations différent, vous devez attribuer à la boîte aux lettres de cet utilisateur une autre stratégie d’attribution de rôle avec les autorisations requises.A mailbox can have only one role assignment policy. All users, including administrators and specialist users, are assigned one role assignment policy. If you want a user to have a different set of permissions, you must assign that user's mailbox another role assignment policy with the required permissions.

Gestion de stratégie d’attribution de rôleRole assignment policy management

Pour ajouter une stratégie d’attribution de rôle, vous devez d’abord en créer une et décider si elle deviendra la stratégie d’attribution de rôle par défaut. Après avoir créé une stratégie d’attribution de rôle, vous affectez des rôles de gestion à la stratégie d’attribution de rôle. Puis, vous affectez la stratégie d’attribution de rôle aux boîtes aux lettres. Vous pouvez ultérieurement choisir d’ajouter ou de supprimer des rôles de gestion ou choisir une stratégie d’attribution de rôle différente pour qu’elle devienne la stratégie par défaut.To add a new role assignment policy, you first create one and decide whether it should be the default role assignment policy. After you create a role assignment policy, you assign management roles to the role assignment policy, and then assign the role assignment policy to mailboxes. You can later choose to add or remove management roles or choose a different role assignment policy to be the default.

Le tableau suivant répertorie la couche de stratégie d’attribution de rôle et les rubriques relatives à la procédure que vous pouvez utiliser pour gérer chaque couche.The following table lists the role assignment policy layer and the procedural topics that you can use to manage each layer.

Rubriques de gestion de stratégie d’attribution de rôleRole assignment policy management topics

Couche de modèle de stratégie d’attribution de rôleRole assignment policy model layer Rubriques de gestionManagement topics

Boîte aux lettresMailbox

Gestion des boîtes aux lettres utilisateurManage user mailboxes

Modifier la stratégie d'attribution sur une boîte aux lettresChange the assignment policy on a mailbox

Stratégie d'attribution de rôleRole assignment policy

Gérer les stratégies d'attribution des rôlesManage role assignment policies

Rôles de gestion et attributionsManagement roles and assignments

Gérer les stratégies d'attribution des rôlesManage role assignment policies

Entrées de rôles de gestionManagement role entries

Ajouter une entrée de rôle à un rôleAdd a role entry to a role

Modifier une entrée de rôleChange a role entry

Supprimer une entrée de rôle d'un rôleRemove a role entry from a role

Notes

La modification des entrées de rôle de gestion dans les rôles de gestion d’une stratégie d’attribution de rôle est une tâche avancée et elle n’est généralement pas requise dans la plupart des cas.Changing the management role entries in management roles in a role assignment policy is an advanced task and is generally not required in most cases. Vous pouvez à la place utiliser un rôle de gestion préexistant qui convienne à vos besoins.You may, instead, be able to use a preexisting management role that suits your requirements. Pour plus d'informations, voir Groupes de rôles intégrés.For more information, see Built-in role groups.