Présentation des attributions de rôles de gestionUnderstanding management role assignments

S’applique à : Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Une attribution de rôle de gestion, qui fait partie du modèle d’autorisations de contrôle d’accès en fonction de rôle (RBAC) dans Microsoft Exchange Server 2013, est le lien entre un rôle de gestion et d’une personne affectée au rôle. Une personne affectée au rôle est un groupe de rôles, une stratégie d’attribution de rôle, un utilisateur ou un groupe de sécurité universel (USG). Un rôle doit être affecté à une personne affectée au rôle pour qu’il prenne effet. Pour plus d’informations sur RBAC, voir Understanding Role Based Access Control.A management role assignment, which is part of the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013, is the link between a management role and a role assignee. A role assignee is a role group, role assignment policy, user, or universal security group (USG). A role must be assigned to a role assignee for it to take effect. For more information about RBAC, see Understanding Role Based Access Control.

Note

Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Cette rubrique explique l'attribution de rôles aux groupes de rôles, les stratégies d'attribution de rôles et l'attribution de rôles directs aux utilisateurs et groupes universels de sécurité. Elle n'aborde pas l'attribution de groupes de rôles ou des stratégies d'attribution de rôles pour les utilisateurs. Pour plus d'informations sur les groupes de rôles et les stratégies d'attribution de rôles, méthode recommandée pour attribuer des autorisations aux utilisateurs, consultez les rubriques suivantes :This topic discusses the assignment of roles to role groups and role assignment policies and direct role assignment to users and USGs. It doesn't talk about assignment of role groups or role assignment policies to users. For more information about role groups and role assignment policies, which are the recommended way to assign permissions to users, see the following topics:

Vous pouvez créer les types d'attributions de rôles suivants, expliqués en détail plus loin dans cette rubrique :You can create the following types of role assignments, which are explained in detail later in this topic:

  • Attributions de rôles normales et de délégationRegular and delegating role assignments

  • Attributions de rôles exclusivesExclusive role assignments

Gestion des attributions de rôlesManaging role assignments

Lorsque vous modifiez des attributions de rôles, les changements que vous apportez seront probablement effectués entre les stratégies des groupes de rôles et les stratégies d’attribution de rôles. En ajoutant des attributions de rôles aux utilisateurs de rôles, en en supprimant ou en en modifiant, il est possible de contrôler les autorisations accordées à vos administrateurs et utilisateurs, par l’activation et la désactivation la gestion des fonctionnalités liées.When you change role assignments, the changes you make will probably be between role groups and role assignment policies. By adding, removing, or modifying role assignments to or from these role assignees, you can control what permissions are given to your administrators and users, in effect turning on and off management of related features.

Vous voudrez peut-être attribuer directement des rôles à des utilisateurs ou à des groupes universels de sécurité. Il existe une tâche plus avancée qui vous permet de définir à un niveau détaillé les autorisations accordées à vos utilisateurs. Bien que cela vous apporte de la flexibilité, cela augmente aussi la complexité de votre modèle d’autorisations. Par exemple, si l’utilisateur change de fonction, vous devrez peut-être réattribuer manuellement à un autre utilisateur les rôles qui lui ont été attribués. C’est pourquoi nous vous recommandons d’utiliser des groupes de rôles et des stratégies d’attributions de rôles pour donner des autorisations à vos utilisateurs. Vous pouvez attribuer les rôles à un groupe de rôles ou à une stratégie d’attribution de rôles puis simplement ajouter ou supprimer des membres du groupe de rôles, ou bien modifier les stratégies d’attribution de rôles si nécessaire.You might also want to assign roles directly to users or USGs. This is a more advanced task that enables you to define at a granular level what permissions your users are given. Although this provides you with flexibility, it also increases the complexity of your permissions model. For example, if the user changes jobs, you might need to manually reassign the roles assigned to that user to another user. This is why we recommend that you use role groups and role assignment policies to give permissions to your users. You can assign the roles to a role group or role assignment policy, and then just add or remove members of the role group, or change role assignment policies as needed.

Vous pouvez ajouter, supprimer et activer des attributions de rôles, modifier l’étendue de gestion sur une attribution de rôle existante et transférer les attributions de rôles vers d’autres utilisateurs de rôles. Le processus d’attribution de rôles à des groupes de rôles, à des stratégies d’attribution de rôles, à des utilisateurs et à des groupes universels de sécurité est en grande partie identique pour chaque utilisateur de rôle. Les seules exceptions sont les suivantes :You can add, remove, and enable role assignments, modify the management scope on an existing role assignment, and move role assignments to other role assignees. The process of assigning roles to role groups, role assignment policies, users, and USGs is largely the same for each role assignee. The following are the only exceptions:

  • Les stratégies d’attribution de rôles peuvent uniquement recevoir des rôles de gestion des utilisateurs finaux.Role assignment policies can only be assigned end-user management roles.

  • Les stratégies d'attribution de rôle ne peuvent pas recevoir des attributions de rôles de délégation.Role assignment policies can't be assigned delegating role assignments.

  • Vous ne pouvez pas spécifier d'étendue de gestion lors de la création d'une attribution de rôles pour des stratégies d'attribution de rôles.You can't specify a management scope when creating a role assignment to role assignment policies.

Pour plus d'informations sur la gestion des attributions de rôles, consultez les rubriques suivantes :For more information about managing role assignments, see the following topics:

Attributions de rôles normales et de délégationRegular and delegating role assignments

Les attributions de rôles normales permettent à l'utilisateur de rôles d'accéder aux entrées du rôle de gestion disponibles par le rôle de gestion associé. Si plusieurs rôles de gestion sont attribués à un utilisateur de rôle, les entrées du rôle de gestion de chaque rôle de gestion sont regroupées et appliquées. Autrement dit, si des rôles de règles de transport et de journalisation sont attribués à un utilisateur de rôle, les rôles sont associés et l'ensemble des entrées du rôle de gestion associé est attribué à l'utilisateur de rôle. Si l'utilisateur de rôle est un groupe de rôles ou une stratégie d'attribution de rôles, les autorisations fournies par les rôles sont ensuite accordées aux utilisateurs attribués au groupe de rôles ou à la stratégie d'attribution de rôles. Pour plus d'informations sur les rôles de gestion et les entrées des rôles, consultez la rubrique Présentation des rôles de gestion.Regular role assignments enable the role assignee to access the management role entries made available by the associated management role. If multiple management roles are assigned to a role assignee, the management role entries from each management role are aggregated and applied. This means that if a role assignee is assigned the Transport Rules and Journaling roles, the roles are combined, and all the associated management role entries are given to the role assignee. If the role assignee is a role group or role assignment policy, the permissions provided by the roles are then given to the users assigned to the role group or role assignment policy. For more information about management roles and role entries, see Understanding management roles.

Les attributions de rôles de délégation ne donnent pas accès à la gestion des fonctionnalités. Les attributions de rôles de délégation permettent à un utilisateur de rôle d'attribuer le rôle spécifié aux autres utilisateurs de rôle. Si l'utilisateur de rôle est un groupe de rôles, n'importe quel membre du groupe de rôles peut attribuer le rôle à un autre utilisateur de rôle. Par défaut, seul le groupe de rôles Gestion de l'organisation peut attribuer des rôles à d'autres utilisateurs de rôles. Seul l'utilisateur ayant installé Exchange 2013 est membre du groupe de rôles Gestion de l'organisation par défaut. Vous pouvez toutefois y ajouter d'autres utilisateurs si nécessaire, ou créer d'autres groupes de rôles et attribuer des attributions de rôles de délégation à ces groupes.Delegating role assignments doesn't give access to manage features. Delegating role assignments gives a role assignee the ability to assign the specified role to other role assignees. If the role assignee is a role group, any member of the role group can assign the role to another role assignee. By default, only the Organization Management role group has the ability to assign roles to other role assignees. Only the user that installed Exchange 2013 is a member of the Organization Management role group by default. You can, however, add other users to this role group as needed, or create other role groups and assign delegating role assignments to those groups.

Note

Les attributions de rôles de délégation permettent aux utilisateurs de rôles de déléguer des rôles de gestion à d'autres utilisateurs de rôles. Cela ne permet pas aux utilisateurs de déléguer des groupes de rôles. Pour plus d'informations sur la délégation des groupes de rôles, consultez la rubrique Présentation des groupes de rôles de gestion.Delegating role assignments enables role assignees to delegate management roles to other role assignees. This doesn't enable users to delegate role groups. For more information about role group delegation, see Understanding management role groups.

Si vous désirez qu'un utilisateur puisse gérer une fonctionnalité et attribuer à d'autres utilisateurs le rôle qui lui donne l'autorisation d'utiliser la fonctionnalité, attribuez comme suit :If you want a user to be able to manage a feature and assign the role that gives permissions to use the feature to other users, assign the following:

  1. Une attribution de rôle normale pour chaque rôle de gestion qui autorise l'accès aux fonctionnalités à gérer.A regular role assignment for each management role that grants access to the features that need to be managed.

  2. Une attribution de rôle de délégation à chaque rôle de gestion dont vous autorisez l'attribution à d'autres utilisateurs de rôles.A delegating role assignment for each management role that you allow to be assigned to other role assignees.

Il n’est pas nécessaire que les attributions de rôles normales et de délégation soient identiques pour un utilisateur de rôle. Par exemple, un utilisateur est membre d’un groupe de rôles auquel a été attribué le rôle de règles de transport à l’aide d’une attribution de rôles normale. Cela permet à l’utilisateur de gérer la fonctionnalité des règles de transport. Cependant, l’utilisateur ne reçoit pas d’attribution de rôle de délégation pour le rôle règles de transport. L’utilisateur ne peut donc pas attribuer ce rôle aux autres utilisateurs. Toutefois, l’utilisateur est membre d’un groupe de rôles auquel a été attribué le rôle de gestion de journalisation à l’aide d’une attribution de rôles de délégation. Le groupe de rôles dont l’utilisateur est membre ne possède pas d’attribution de rôles normale pour le rôle de journalisation car il possède l’attribution de rôles de délégation. L’utilisateur peut attribuer le rôle à d’autres utilisateurs de rôle.The regular and delegating role assignments for a role assignee don't need to be identical. For example, a user is a member of a role group assigned the Transport Rules role using a regular role assignment. This enables the user to manage the Transport Rules feature. However the user isn't assigned a delegating role assignment for the Transport Rules role so the user can't assign this role to other users. However, the user is a member of a role group assigned the Journaling management role using a delegating role assignment. The role group the user is a member of doesn't have a regular role assignment for the Journaling role but because it has a delegating role assignment, the user can assign the role to other role assignees.

Étendues de gestionManagement scopes

Lorsque vous créez une attribution de rôle de gestion normale ou de délégation, vous avez la possibilité de créer l'attribution avec une étendue de gestion pour limiter les objets pouvant être manipulés par l'utilisateur. Vous pouvez créer des étendues de destinataire ou de configuration. Les étendues de destinataire vous permettent de déterminer qui manipule les boîtes aux lettres, les utilisateurs de messagerie, les groupes de distribution, etc. Les étendues de configuration vous permettent de déterminer qui, des utilisateurs, peut manipuler les serveurs et les bases de données.When you create either a regular or delegating management role assignment, you have the option of creating the assignment with a management scope to limit the objects that the user can manipulate. You can create recipient scopes or configuration scopes. Recipient scopes enable you to control who can manipulate mailboxes, mail users, distribution groups, and so on. Configuration scopes enable you to control who can manipulate servers and databases.

Les étendues de destinataire et de configuration vous permettent de segmenter la gestion des objets serveur, base de données ou destinataire dans votre organisation. Par exemple, une étendue de destinataire peut être ajoutée à une attribution de rôle de sorte que les administrateurs de Vancouver peuvent uniquement gérer les destinataires de la même succursale. Un étendue de configuration serveur peut être ajoutée à une attribution de rôle différente afin que les administrateurs de Sydney puissent uniquement gérer les serveurs de leur site Active Directory.Recipient and configuration scopes enable you to segment the management of server, database or recipient objects in your organization. For example, a recipient scope can be added to a role assignment so that administrators in Vancouver can only manage recipients in the same office. A server configuration scope could be added to a different role assignment so that administrators in Sydney can only manage servers in their Active Directory site.

Les étendues permettent d’attribuer des autorisations à des groupes d’utilisateurs et vous permettent d’orienter les administrateurs vers les sites sur lesquels ils peuvent exercer leurs fonctions. Cela vous permet de créer un modèle d’autorisations qui correspond à vos frontières géographiques ou organisationnelles.Scopes enable permissions to be assigned to groups of users and enable you to direct where those administrators can perform their administration. This enables you to create a permissions model that maps to your geographic or organizational boundaries.

Vous pouvez créer une attribution avec une étendue prédéfinie ou vous pouvez ajouter une étendue personnalisée à l’attribution. Les étendues prédéfinies, comme la limitation d’un utilisateur à ses boîte aux lettres ou groupes de distribution uniquement, peuvent s’appliquer à l’aide des options disponibles sur l’attribution elle-même. Vous pouvez également créer une étendue de destinataire ou de configuration personnalisée, puis l’ajouter à l’attribution de rôle. Les étendues personnalisées vous offrent une plus grande précision sur les objets inclus.You can create an assignment with a predefined scope, or you can add a custom scope to the assignment. Predefined scopes, such as limiting a user to only his or her mailbox or distribution groups, can be applied using options available on the assignment itself. Alternatively, you can create a custom recipient or configuration scope, and then add that scope to the role assignment. Custom scopes give you more granularity over which objects are included in the scope.

Vous ne pouvez pas spécifier d’étendues prédéfinies et personnalisées sur la même attribution. De plus, vous ne pouvez pas mélanger des étendues exclusives et normales sur la même attribution.You can't specify predefined and custom scopes on the same assignment. You also can't mix exclusive and regular scopes on the same assignment.

Chaque attribution de rôle ne peut comporter qu’une seule étendue de destinataire et de configuration. Si vous souhaitez appliquer plusieurs étendues de destinataire ou de configuration à un utilisateur de rôle pour le même rôle de gestion, vous devez alors créer plusieurs attributions de rôles.Each role assignment can only have one recipient scope and one configuration scope. If you want to apply more than one recipient scope, or one configuration scope, to a role assignee for the same management role, you must create multiple role assignments.

Les attributions de rôles ne sont pas limitées aux étendues de destinataire et de configuration qui sont définies sur le rôle proprement dit, que celles-ci soient personnalisées ou prédéfinies. Ces étendues sont qualifiées d’implicites. Toute attribution de rôle n’ayant aucune étendue prédéfinie ou personnalisée hérite des étendues implicites du rôle à laquelle elle est associée.With neither a custom or predefined scope, role assignments are limited to the recipient and configuration scopes that are defined on the role itself. These scopes are called implicit scopes. Any role assignment that doesn't have a predefined or custom scope inherits the implicit scopes from the role it's associated with.

Pour plus d'informations sur les étendues, consultez la rubrique Présentation des portées du rôle de gestion.For more information about scopes, see Understanding management role scopes.

Attributions de rôles exclusivesExclusive role assignments

Les attributions de rôles exclusives sont créées lorsque vous associez une étendue exclusive à une attribution de rôle. Les étendues exclusives fonctionnent comme des étendues normales et permettent aux utilisateurs de rôles de gérer les destinataires correspondant à l’étendue exclusive. Cependant, contrairement aux étendues normales, tous les autres utilisateurs de rôle ne peuvent gérer le destinataire, même si le destinataire correspond à des étendues appliquées à leurs attributions de rôles. Cela peut s’avérer particulièrement utile lorsque vous désirez limiter la gestion d’un destinataire auprès de quelques administrateurs. Seuls ces administrateurs-là peuvent gérer le destinataire et l’accès est refusé à l’ensemble des autres administrateurs.Exclusive role assignments are created when you associate an exclusive scope with a role assignment. Exclusive scopes work like regular scopes and enable role assignees to manage recipients that match the exclusive scope. However, unlike regular scopes, all other role assignees are denied the ability to manage the recipient, even if the recipient matches scopes applied to their role assignments. This can be useful when you want to limit who can manage a recipient to a few administrators. Only those specific administrators can manage the recipient, and all other administrators are denied access.

Imaginons, par exemple, les cas de figure suivants :For example, consider the following:

  • John est cadre chez Contoso. Sa boîte aux lettres correspond à une étendue exclusive appelée Utilisateurs VIP associée à l’attribution exclusive Limité aux VIP.John is an executive at Contoso. His mailbox matches an exclusive scope called VIP Users, which is associated with the VIP Restricted exclusive assignment.

  • La boîte aux lettres de John fait aussi partie d’une étendue normale appelée Utilisateurs de Redmond associée à l’attribution normale Administration de Redmond.John's mailbox is also included in a regular scope called Redmond Users, which is associated with the Redmond Administration regular assignment.

  • Bill est administrateur associé à l'attribution exclusive Limité aux VIP.Bill is an administrator who is associated with the VIP Restricted exclusive assignment.

  • Chris est administrateur associé à l'attribution normale Administration de Redmond.Chris is an administrator who is associated with the Redmond Administration regular assignment.

La boîte aux lettres de John correspondant à l'étendue exclusive Utilisateurs VIP, seul Bill peut gérer sa boîte aux lettres. Même si la boîte aux lettres de John fait aussi partie de l'étendue normale Utilisateurs de Redmond, Chris n'est pas associé à l'attribution exclusive Limité aux VIP. Par conséquent, Exchange refuse que Chris gère la boîte aux lettres de John. Pour que Chris gère la boîte aux lettres de John, Chris doit recevoir une attribution exclusive contenant une étendue exclusive correspondant à la boîte aux lettres de John.Because John's mailbox matches the VIP Users exclusive scope, only Bill can manage his mailbox. Even though John's mailbox also matches the Redmond Users regular scope, Chris isn't associated with the VIP Restricted exclusive assignment. Therefore, Exchange denies Chris the ability to manage John's mailbox. For Chris to manage John's mailbox, Chris needs to be assigned an exclusive assignment that has an exclusive scope that matches John's mailbox.

Pour plus d'informations, consultez la rubrique Présentation des étendues exclusives.For more information, see Understanding exclusive scopes.