Présentation des stratégies d'attribution de rôle de gestionUnderstanding management role assignment policies

S’applique à : Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Une stratégie d’attribution de rôle de gestion est une collection d’un ou plusieurs rôles de gestion de l’utilisateur final qui permet aux utilisateurs finaux de gérer leur propres configuration du groupe de distribution et les boîtes aux lettres Microsoft Exchange Server 2013. Stratégies d’attribution de rôle, qui font partie du modèle d’autorisations de contrôle d’accès en fonction de rôle (RBAC) dans Exchange 2013, permettent de contrôler les boîtes aux lettres spécifiques et les paramètres de configuration de groupe de distribution à vos utilisateurs finaux peuvent modifier. Attribution de rôle spécialisés de stratégies pour les non attribuable à différents groupes d’utilisateurs.A management role assignment policy is a collection of one or more end-user management roles that enables end users to manage their own Microsoft Exchange Server 2013 mailbox and distribution group configuration. Role assignment policies, which are part of the Role Based Access Control (RBAC) permissions model in Exchange 2013, enable you to control what specific mailbox and distribution group configuration settings your end users can modify. Different groups of users can have role assignment policies specialized to them.

Note

Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Pour plus d'informations sur le contrôle d'accès basé sur un rôle, voir Présentation du contrôle d'accès basé sur un rôle.For more information about RBAC, see Understanding Role Based Access Control.

Table des matièresContents

Couches de stratégie d'attribution de rôleRole assignment policy layers

Stratégies d'attribution de rôle explicite et par défautDefault and explicit role assignment policies

Utilisation de stratégies d'attribution de rôleUsing role assignment policies

Gestion de stratégie d'attribution de rôleRole assignment policy management

Couches de stratégie d’attribution de rôleRole assignment policy layers

Les différentes couches qui permettent de créer le modèle de stratégie d’attribution de rôle sont décrites dans la liste suivante :The following list describes the layers that make up the role assignment policy model:

  • Boîte aux lettres Boîtes aux lettres sont affectées à une stratégie d’attribution de rôle unique. Lorsqu’une boîte aux lettres est affectée à une stratégie d’attribution de rôle, les attributions de rôles de gestion et d’une stratégie d’attribution de rôle sont appliquées à la boîte aux lettres. Octroie la boîte aux lettres toutes les autorisations fournies par les rôles de gestion.Mailbox Mailboxes are assigned a single role assignment policy. When a mailbox is assigned a role assignment policy, the assignments between management roles and a role assignment policy are applied to the mailbox. This grants the mailbox all of the permissions provided by the management roles.

  • Stratégie d’attribution de rôle de gestion La stratégie d’attribution de rôle de gestion est un objet spécial dans Exchange 2013. Les utilisateurs sont associés à une stratégie d’attribution de rôle lors de la création de boîtes aux lettres, ou si vous modifiez la stratégie d’attribution de rôle dans une boîte aux lettres. C’est également ce que vous attribuez des rôles de gestion de l’utilisateur final à. La combinaison de tous les rôles sur une stratégie d’attribution de rôle tout ce que l’utilisateur peut gérer définit sur sa boîte aux lettres ou groupes de distribution.Management role assignment policy The management role assignment policy is a special object in Exchange 2013. Users are associated with a role assignment policy when their mailboxes are created, or if you change the role assignment policy on a mailbox. This is also what you assign end-user management roles to. The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Attribution de rôle de gestion Une attribution de rôle de gestion est le lien entre un rôle de gestion et d’une stratégie d’attribution de rôle. Affectation d’un rôle de gestion à une stratégie d’attribution de rôle accorde la possibilité d’utiliser les applets de commande et les paramètres définis dans le rôle de gestion. Lorsque vous créez une attribution de rôle entre une stratégie d’attribution de rôle et un rôle de gestion, vous ne pouvez pas spécifier n’importe quelle étendue. L’étendue appliquée à l’affectation est basé sur le rôle de gestion et est soit Self ou MyGAL. Pour plus d’informations, consultez présentation management role assignments.Management role assignment A management role assignment is the link between a management role and a role assignment policy. Assigning a management role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the management role. When you create a role assignment between a role assignment policy and a management role, you can't specify any scope. The scope applied by the assignment is based on the management role and is either Self or MyGAL. For more information, see Understanding management role assignments.

  • Rôle de gestion Un rôle de gestion est un conteneur d’un regroupement d’entrées de rôle de gestion. Rôles sont utilisés pour définir les tâches spécifiques qu’un utilisateur peut faire avec sa boîte aux lettres ou groupes de distribution. Une entrée de rôle de gestion est une applet de commande, de script ou d’une autorisation spéciale qui permet à chaque tâche spécifique dans un rôle de gestion à effectuer. Vous pouvez uniquement utiliser les rôles de gestion de l’utilisateur final avec les stratégies d’attribution de rôle. Pour plus d’informations, voir Understanding management roles.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. A management role entry is a cmdlet, script, or special permission that enables each specific task in a management role to be performed. You can only use end-user management roles with role assignment policies. For more information, see Understanding management roles.

  • Entrée de rôle de gestion   Les entrées de rôle de gestion sont les entrées individuelles d’un rôle de gestion qui déterminent les cmdlets et paramètres disponibles pour le rôle de gestion et le groupe de rôles. Chaque entrée de rôle est constituée d’une cmdlet unique et des paramètres accessibles par le rôle de gestion.Management role entry Management role entries are the individual entries on a management role that determine what cmdlets and parameters are available to the management role and the role group. Each role entry consists of a single cmdlet and the parameters that can be accessed by the management role.

La figure suivante affiche chacune des couches de stratégie de rôle dans la liste précédente et la manière dont les couches sont associées.The following figure shows each of the role assignment policy layers in the preceding list and how each of the layers relates to the other.

Modèle de stratégie d'attribution de rôle de gestionManagement role assignment policy model

![Relations de modèle affectation de rôle] (images/Dd638100.7f7c11ca-0d61-464d-98a3-a9991ec811b5(EXCHG.150).jpg "Relations de modèle affectation de rôle")Role Assignment Model Relationships

Pour plus d'informations sur les rôles de gestion, les attributions de rôle et les étendues, voir Présentation du contrôle d'accès basé sur un rôle.For more information about management roles, role assignments, and scopes, see Understanding Role Based Access Control.

Stratégies d'attribution de rôle explicite et par défautDefault and explicit role assignment policies

Les sections suivantes décrivent les deux types de stratégies d'attribution de rôle dans Exchange 2013.The following sections describe the two types of role assignment policies in Exchange 2013.

Stratégie d'attribution de rôles par défautDefault role assignment policy

Une stratégie d’attribution de rôle par défaut est affecté à une boîte aux lettres lors de la boîte aux lettres est créé ou déplacé vers un serveur exécutant Exchange 2013, et une stratégie d’attribution de rôle n’a pas été fournie à l’aide du paramètre de RoleAssignmentPolicy sur la Nouvelle boîte aux lettres ou ** Enable-Mailbox** applets de commande.A default role assignment policy is one assigned to a mailbox when the mailbox is created or moved to a server running Exchange 2013, and a role assignment policy wasn't provided using the RoleAssignmentPolicy parameter on the New-Mailbox or Enable-Mailbox cmdlets.

Exchange 2013 inclut une stratégie d'attribution de rôle par défaut qui fournit aux utilisateurs finals les autorisations utilisées le plus souvent. Vous pouvez modifier les autorisations par défaut sur la stratégie d'attribution de rôle par défaut en ajoutant ou en supprimant des rôles de gestion dans cette stratégie ou à partir de cette dernière.Exchange 2013 includes a default role assignment policy that provides end users with the permissions most commonly used. You can change the default permissions on the default role assignment policy by adding or removing management roles to or from it.

Si vous souhaitez remplacer la stratégie d'attribution de rôle intégrée par défaut par votre propre stratégie d'attribution de rôle par défaut, vous pouvez utiliser la cmdlet Set-RoleAssignmentPolicy pour sélectionner une nouvelle stratégie par défaut. Si vous n'indiquez pas spécifiquement une stratégie d'attribution de rôle lorsque vous effectuez cette opération, la stratégie d'attribution de rôle que vous avez spécifiée par défaut est affectée aux nouvelles boîtes aux lettres.If you want to replace the built-in default role assignment policy with your own default role assignment policy, you can use the Set-RoleAssignmentPolicy cmdlet to select a new default. When you do this, any new mailboxes are assigned the role assignment policy you specified by default if you don't explicitly specify a role assignment policy.

Lorsque vous modifiez la stratégie d'attribution de rôle par défaut, les boîtes aux lettres pour lesquelles la stratégie d'attribution de rôle est fournie par défaut ne recevront pas automatiquement l'obtention de la nouvelle stratégie d'attribution de rôle par défaut. Si vous souhaitez mettre à jour les boîtes aux lettres préalablement créées pour utiliser la stratégie d'attribution de rôle que vous avez définie par défaut, vous devez utiliser la cmdlet Set-Mailbox.When you change the default role assignment policy, mailboxes assigned the default role assignment policy aren't automatically assigned the new default role assignment policy. If you want to update previously created mailboxes to use the role assignment policy you've set as default, you must use the Set-Mailbox cmdlet to do so.

Stratégie d'attribution de rôle expliciteExplicit Role Assignment Policy

Une stratégie d’attribution de rôle explicite est une stratégie que vous affectez manuellement à une boîte aux lettres en utilisant le paramètre RoleAssignmentPolicy sur la cmdlet New-Mailbox, Set-Mailbox ou Enable-Mailbox. Lorsque vous affectez une stratégie d’attribution de rôle explicite, la nouvelle stratégie prend effet immédiatement et remplace celle préalablement attribuée.An explicit role assignment policy is a policy that you assign to a mailbox manually using the RoleAssignmentPolicy parameter on the New-Mailbox, Set-Mailbox, or Enable-Mailbox cmdlets. When you assign an explicit role assignment policy, the new policy takes effect immediately and replaces the previously assigned explicit role assignment policy.

Utilisation de stratégies d’attribution de rôleUsing role assignment policies

Les stratégies d’attribution de rôle vous permettent d’adapter les autorisations en fonction des besoins métier que vos utilisateurs doivent configurer. Si la stratégie d’attribution de rôle par défaut répond à vos besoins, vous n’avez pas besoin d’effectuer une personnalisation. Cependant, si vous disposez de nombreux groupes d’utilisateurs avec des besoins spécialisés, vous pouvez créer des stratégies d’attribution de rôle pour chacune d’entre eux.Role assignment policies enable you to tailor permissions based on what business needs your users need to be able to configure. If the default role assignment policy meets your needs, you don't need to do any customization. However, if you have many different user groups with specialized needs, you can create role assignment policies for each of them.

La stratégie d’attribution de rôle par défaut que vous utilisez devrait contenir les autorisations qui s’appliquent à votre groupe d’utilisateurs le plus large. Puis, créez des stratégies d’attribution de rôle pour chacun de vos groupes d’utilisateurs spécialisés et adaptez ces stratégies d’attribution de rôle pour accorder plus ou moins d’autorisations à ces groupes. Lorsque vous organisez vos stratégies d’attribution de rôle de cette manière, vous réduisez la complexité en attribuant explicitement des stratégies d’attribution de rôle uniquement aux utilisateurs spécialisés tandis que la majorité de vos utilisateurs reçoivent les autorisations utilisées le plus souvent par la stratégie d’attribution de rôle par défaut.The default role assignment policy you use should contain the permissions that apply to your broadest set of users. Then, create role assignment policies for each of your specialized user groups and tailor those role assignment policies to grant more or less restrictive permissions to them. When you organize your role assignment policies this way, you reduce complexity by only explicitly assigning role assignment policies to your specialized users while the majority of your users receive the more common permissions provided by the default role assignment policy.

Une boîte aux lettres peut avoir uniquement une stratégie d’attribution de rôle. Une stratégie d’attribution de rôle est affectée à tous les utilisateurs, y compris les administrateurs et les utilisateurs spécialisés. Si vous souhaitez qu’un utilisateur bénéficie d’un ensemble d’autorisations différent, vous devez attribuer à la boîte aux lettres de cet utilisateur une autre stratégie d’attribution de rôle avec les autorisations requises.A mailbox can have only one role assignment policy. All users, including administrators and specialist users, are assigned one role assignment policy. If you want a user to have a different set of permissions, you must assign that user's mailbox another role assignment policy with the required permissions.

Gestion de stratégie d’attribution de rôleRole assignment policy management

Pour ajouter une stratégie d’attribution de rôle, vous devez d’abord en créer une et décider si elle deviendra la stratégie d’attribution de rôle par défaut. Après avoir créé une stratégie d’attribution de rôle, vous affectez des rôles de gestion à la stratégie d’attribution de rôle. Puis, vous affectez la stratégie d’attribution de rôle aux boîtes aux lettres. Vous pouvez ultérieurement choisir d’ajouter ou de supprimer des rôles de gestion ou choisir une stratégie d’attribution de rôle différente pour qu’elle devienne la stratégie par défaut.To add a new role assignment policy, you first create one and decide whether it should be the default role assignment policy. After you create a role assignment policy, you assign management roles to the role assignment policy, and then assign the role assignment policy to mailboxes. You can later choose to add or remove management roles or choose a different role assignment policy to be the default.

Le tableau suivant répertorie la couche de stratégie d’attribution de rôle et les rubriques relatives à la procédure que vous pouvez utiliser pour gérer chaque couche.The following table lists the role assignment policy layer and the procedural topics that you can use to manage each layer.

Rubriques de gestion de stratégie d’attribution de rôleRole assignment policy management topics

Couche de modèle de stratégie d’attribution de rôleRole assignment policy model layer Rubriques de gestionManagement topics

Boîte aux lettresMailbox

Gestion des boîtes aux lettres utilisateurManage user mailboxes

Modifier la stratégie d'attribution sur une boîte aux lettresChange the assignment policy on a mailbox

Stratégie d'attribution de rôleRole assignment policy

Gérer les stratégies d'attribution des rôlesManage role assignment policies

Rôles de gestion et attributionsManagement roles and assignments

Gérer les stratégies d'attribution des rôlesManage role assignment policies

Entrées de rôles de gestionManagement role entries

Ajouter une entrée de rôle à un rôleAdd a role entry to a role

Modifier une entrée de rôleChange a role entry

Supprimer une entrée de rôle d'un rôleRemove a role entry from a role

Note

Modifier les entrées de rôle de gestion des rôles de gestion dans une stratégie d’attribution de rôle est une tâche avancée et n’est généralement pas nécessaire dans la plupart des cas. Vous pouvez, au lieu de cela, être en mesure d’utiliser un rôle de gestion préexistant adaptée à vos besoins. Pour plus d’informations, voir groupes de rôles intégrés.Changing the management role entries in management roles in a role assignment policy is an advanced task and is generally not required in most cases. You may, instead, be able to use a preexisting management role that suits your requirements. For more information, see Built-in role groups.