Présentation du contrôle d'accès basé sur un rôleUnderstanding Role Based Access Control

S’applique à : Exchange Online, Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Le Role Based Access Control (RBAC) constitue le modèle d'autorisations dans Microsoft Exchange Server 2013. Grâce au contrôle d'accès basé sur un rôle, vous n'avez pas besoin de modifier et de gérer les listes de contrôle d'accès, ce qui était le cas dans Exchange Server 2007. Les listes de contrôle d'accès impliquaient plusieurs contraintes dans Exchange 2007, notamment de modifier les listes de contrôle d'accès sans effets involontaires, de gérer tous les changements apportés aux listes par le biais des mises à niveau et de résoudre les problèmes liés à une utilisation non standard de ces mêmes listes.Role Based Access Control (RBAC) is the permissions model used in Microsoft Exchange Server 2013. With RBAC, you don't need to modify and manage access control lists (ACLs), which was done in Exchange Server 2007. ACLs created several challenges in Exchange 2007, such as modifying ACLs without causing unintended consequences, maintaining ACL modifications through upgrades, and troubleshooting problems that occurred due to using ACLs in a nonstandard way.

Le contrôle d'accès basé sur un rôle vous permet de contrôler ce que les administrateurs et les utilisateurs finaux peuvent réaliser, tant à des niveaux élargis que granulaires. Le contrôle d'accès basé sur un rôle vous permet d'aligner plus étroitement les rôles que vous attribuez aux utilisateurs et aux administrateurs avec les rôles réels dont ils sont dotés au sein de votre organisation. Dans Exchange 2007, le modèle d'autorisations serveur s'appliquait uniquement aux administrateurs qui géraient l'infrastructure Exchange 2007. Dans Exchange 2013, le contrôle d'accès basé sur un rôle gère à présent les tâches administratives qu'il est possible de réaliser et la portée avec laquelle les utilisateurs peuvent désormais administrer leur boîte aux lettres et leurs groupes de distribution personnels.RBAC enables you to control, at both broad and granular levels, what administrators and end-users can do. RBAC also enables you to more closely align the roles you assign users and administrators to the actual roles they hold within your organization. In Exchange 2007, the server permissions model applied only to the administrators who managed the Exchange 2007 infrastructure. In Exchange 2013, RBAC now controls both the administrative tasks that can be performed and the extent to which users can now administer their own mailbox and distribution groups.

Le contrôle d'accès basé sur un rôle dispose de deux méthodes principales pour attribuer des autorisations aux utilisateurs de votre organisation, selon que l'utilisateur soit un administrateur, un spécialiste ou un utilisateur final : la gestion des groupes de rôles et les stratégies d'attribution de rôle de gestion. Chaque méthode associe des utilisateurs aux autorisations dont ils ont besoin pour effectuer leurs tâches. Une troisième méthode plus avancée, l'attribution de rôle d'utilisateur directe, peut également être adoptée. Les sections qui suivent dans cette rubrique explique le contrôle d'accès basé sur un rôle et fournissent des exemples de son utilisation.RBAC has two primary ways of assigning permissions to users in your organization, depending on whether the user is an administrator or specialist user, or an end-user: management role groups and management role assignment policies. Each method associates users with the permissions they need to perform their jobs. A third, more advanced method, direct user role assignment, can also be used. The following sections in this topic explain RBAC and provide examples of its use.

Note

Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Contenu de cette rubriqueContents

Groupes de rôles de gestionManagement role groups

Stratégie d'attribution des rôles de gestionManagement role assignment policies

Attribution de rôle d'utilisateur directeDirect user role assignment

Résumé et exemplesSummary and examples

Pour plus d’informationsFor more information

Groupes de rôles de gestionManagement role groups

Groupes de rôles de gestion associer des rôles de gestion à un groupe d’administrateurs ou aux utilisateurs spécialistes. Administrateurs de gérer une configuration d’organisation ou de destinataire Exchange large. Utilisateurs spécialistes gérer les fonctionnalités spécifiques d’Exchange, tels que la conformité. Ou ils peuvent avoir limité les capacités de gestion, telles que les membres de l’aide du support, mais ne sont pas accordées grand nombre de droits d’administration. En général, les groupes de rôles associent les rôles de gestion d’administration qui permettent aux administrateurs et aux utilisateurs spécialistes gérer la configuration de leur organisation et des destinataires. Par exemple, si les administrateurs peuvent gérer les destinataires ou utiliser les fonctionnalités de découverte de boîte aux lettres est contrôlée à l’aide de groupes de rôles.Management role groups associate management roles to a group of administrators or specialist users. Administrators manage a broad Exchange organization or recipient configuration. Specialist users manage the specific features of Exchange, such as compliance. Or they may have limited management abilities, such as Help desk members, but aren't given broad administrative rights. Role groups typically associate administrative management roles that enable administrators and specialist users to manage the configuration of their organization and recipients. For example, whether administrators can manage recipients or use mailbox discovery features is controlled using role groups.

L'ajout ou la suppression d'utilisateurs dans ou à partir des groupes de rôles dépend de la manière dont vous attribuez le plus souvent des autorisations aux administrateurs ou aux utilisateurs spécialistes. Pour plus d'informations, voir Présentation des groupes de rôles de gestion.Adding or removing users to or from role groups is how you most often assign permissions to administrators or specialist users. For more information, see Understanding management role groups.

Les groupes de rôles comprennent les composants suivants qui définissent ce que les administrateurs et les utilisateurs spécialistes peuvent réaliser :Role groups consist of the following components that define what administrators and specialist users can do:

  • Groupe de rôles de gestion Le groupe de rôles de gestion est un groupe spécial de sécurité universel (USG) qui contient les boîtes aux lettres, des utilisateurs, des groupes de sécurité universels et d’autres groupes de rôles qui sont membres du groupe de rôles. Il s’agit où vous ajoutez et supprimez des membres, et il est également les rôles de gestion qui sont assignés au. La combinaison de tous les rôles sur un groupe de rôles définit tout ce qui peuvent gérer les utilisateurs ajoutés à un groupe de rôles dans l’organisation Exchange.Management role group The management role group is a special universal security group (USG) that contains mailboxes, users, USGs, and other role groups that are members of the role group. This is where you add and remove members, and it's also what management roles are assigned to. The combination of all the roles on a role group defines everything that users added to a role group can manage in the Exchange organization.

  • Rôle de gestion Un rôle de gestion est un conteneur d’un regroupement d’entrées de rôle de gestion. Rôles sont utilisés pour définir les tâches spécifiques qui peuvent être effectuées par les membres d’un groupe de rôles qui a attribué le rôle. Une entrée de rôle de gestion est une applet de commande, de script ou d’une autorisation spéciale qui permet à chaque tâche spécifique dans un rôle à effectuer. Pour plus d’informations, voir Understanding management roles.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that can be performed by the members of a role group that's assigned the role. A management role entry is a cmdlet, script, or special permission that enables each specific task in a role to be performed. For more information, see Understanding management roles.

  • Attribution de rôle de gestion Une attribution de rôle de gestion lie un rôle et un groupe de rôles. Affectation d’un rôle à un groupe de rôles accorde des membres du groupe de rôles la possibilité d’utiliser les applets de commande et les paramètres définis dans le rôle. Attributions de rôle peuvent utiliser des étendues de gestion au contrôle où l’affectation peut être utilisée. Pour plus d’informations, consultez présentation management role assignments.Management role assignment A management role assignment links a role and a role group. Assigning a role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the role. Role assignments can use management scopes to control where the assignment can be used. For more information, see Understanding management role assignments.

  • Étendue de rôle de gestion Une étendue de rôle de gestion est l’étendue d’influence ou impact sur une attribution de rôle. Lorsqu’un rôle est affecté à un groupe de rôles avec une étendue, l’étendue de gestion cible spécifiquement les objets que l’affectation est autorisée à gérer. L’affectation, son étendue, puis accordées aux membres du groupe de rôles et limiter ce que les membres peuvent gérer. Une étendue peut se composer d’une liste de serveurs ou bases de données, des unités d’organisation (UO) ou des filtres des objets serveur, la base de données ou destinataire. Pour plus d’informations, voir étendues de rôle de gestion de présentation.Management role scope A management role scope is the scope of influence or impact on a role assignment. When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. The assignment, and its scope, are then given to the members of the role group, and restrict what those members can manage. A scope can consist of a list of servers or databases, organizational units (OUs), or filters on server, database or recipient objects. For more information, see Understanding management role scopes.

Lorsque vous ajoutez un utilisateur à un groupe de rôle, cet utilisateur bénéficie de tous les rôles attribués au groupe de rôles. Si des étendues sont appliquées à l'une des attributions de rôles entre le groupe de rôles et les rôles, ces étendues déterminent la configuration serveur ou les destinataires que l'utilisateur peut gérer.When you add a user to a role group, the user is given all of the roles assigned to the role group. If scopes are applied to any of the role assignments between the role group and the roles, those scopes control what server configuration or recipients the user can manage.

Si vous souhaitez redéfinir les rôles attribués aux groupes de rôles, vous devez modifier les attributions de rôles qui lient les groupes de rôles aux rôles. À moins que les attributions intégrées dans Exchange 2013 ne correspondent pas à vos besoins, vous n'aurez pas à modifier ces attributions. Pour plus d'informations, voir Présentation des attributions de rôles de gestion.If you want to change what roles are assigned to role groups, you need to change the role assignments that link the role groups to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Pour plus d'informations sur les groupes de rôles, voir la rubrique Présentation des groupes de rôles de gestion.For more information about role groups, see Understanding management role groups.

Stratégie d'attribution des rôles de gestionManagement role assignment policies

Les stratégies d'attribution des rôles de gestion associent les rôles de gestion d'utilisateur final aux utilisateurs. Les stratégies d'attribution des rôles déterminent les rôles chargés de contrôler ce qu'un utilisateur peut effectuer au moyen de sa boîte aux lettres ou de son groupe de distribution. Ces rôles ne gèrent pas les fonctionnalités qui ne sont pas directement associées à l'utilisateur. Lorsque vous créez une stratégie d'attribution de rôle, vous définissez tout ce qu'un utilisateur peut effectuer avec sa boîte aux lettres. Par exemple, une stratégie d'attribution de rôle peut permettre à un utilisateur d'afficher le nom complet, ainsi que de configurer la messagerie vocale et des règles de boîte de réception. Une autre stratégie d'attribution de rôle peut autoriser un utilisateur à modifier l'adresse, à utiliser des messages textuels et à configurer des groupes de distribution. Tous les utilisateurs munis d'une boîte aux lettres Exchange 2013, y compris les administrateurs, reçoivent une stratégie d'attribution de rôle par défaut. Vous pouvez décider de la stratégie d'attribution de rôle à attribuer par défaut, choisir les éléments que la stratégie d'attribution de rôle par défaut doit inclure, remplacer les valeurs par défaut pour certaines boîtes aux lettres ou choisir de n'attribuer aucune stratégie d'attribution de rôle par défaut.Management role assignment policies associate end-user management roles to users. Role assignment policies consist of roles that control what a user can do with his or her mailbox or distribution groups. These roles don't allow management of features that aren't directly associated with the user. When you create a role assignment policy, you define everything a user can do with his or her mailbox. For example, a role assignment policy may allow a user to set the display name, set up voice mail, and configure Inbox rules. Another role assignment policy might allow a user to change the address, use text messaging, and set up distribution groups. Every user with an Exchange 2013 mailbox, including administrators, is given a role assignment policy by default. You can decide which role assignment policy should be assigned by default, choose what the default role assignment policy should include, override the default for certain mailboxes, or not assign role assignment policies by default at all.

L'attribution d'un utilisateur à une stratégie d'attribution dépend de la manière dont vous gérez le plus souvent des autorisations pour permettre à des utilisateurs de gérer eux-mêmes leurs options de boîte aux lettres et de groupe de distribution. Pour plus d'informations, voir Présentation des stratégies d'attribution de rôle de gestion.Assigning a user to an assignment policy is how you most often manage permissions for users to manage their own mailbox and distribution group options. For more information, see Understanding management role assignment policies.

Les stratégies d'attribution de rôle présentent les composants suivants. Ils déterminent ce que les utilisateurs peuvent réaliser avec leurs boîtes aux lettres personnelles. Notez que certains de ces mêmes composants s'appliquent également aux groupes de rôles. Lorsqu'ils sont utilisés dans le cadre des stratégies d'attribution de rôle, ces composants peuvent uniquement permettre aux utilisateurs de gérer leurs boîtes aux lettres personnelles :Role assignment policies consist of the following components that define what users can do with their own mailboxes. Notice that some of the same components also apply to role groups. When used with role assignment policies, these components are limited to enable users to manage only their own mailbox:

  • Stratégie d’attribution de rôle de gestion La stratégie d’attribution de rôle de gestion est un objet spécial dans Exchange 2013. Les utilisateurs sont associés à la stratégie d’attribution de rôle lors de la création de boîtes aux lettres ou si vous modifiez la stratégie d’attribution de rôle dans une boîte aux lettres. C’est également ce que vous attribuez des rôles de gestion de l’utilisateur final à. La combinaison de tous les rôles sur une stratégie d’attribution de rôle tout ce que l’utilisateur peut gérer définit sur sa boîte aux lettres ou groupes de distribution.Management role assignment policy The management role assignment policy is a special object in Exchange 2013. Users are associated with the role assignment policy when their mailboxes are created or if you change the role assignment policy on a mailbox. This is also what you assign end-user management roles to. The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Rôle de gestion Un rôle de gestion est un conteneur d’un regroupement d’entrées de rôle de gestion. Rôles sont utilisés pour définir les tâches spécifiques qu’un utilisateur peut faire avec sa boîte aux lettres ou groupes de distribution. Une entrée de rôle de gestion est une applet de commande, le script ou l’autorisation spéciale qui permet à chaque tâche spécifique dans un rôle de gestion à effectuer. Vous pouvez uniquement utiliser les rôles d’utilisateur final avec les stratégies d’attribution de rôle. Pour plus d’informations, voir Understanding management roles.Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. A management role entry is a cmdlet, script or special permission that enables each specific task in a management role to be performed. You can only use end-user roles with role assignment policies. For more information, see Understanding management roles.

  • Attribution de rôle de gestion Une attribution de rôle de gestion est le lien entre un rôle et une stratégie d’attribution de rôle. Affectation d’un rôle à une stratégie d’attribution de rôle accorde la possibilité d’utiliser les applets de commande et les paramètres définis dans le rôle. Lorsque vous créez une attribution de rôle entre une stratégie d’attribution de rôle et un rôle, vous ne pouvez pas spécifier n’importe quelle étendue. L’étendue appliquée à l’affectation est soit Self ou MyGAL. Toutes les attributions de rôles sont limitées à la boîte aux lettres de l’utilisateur ou de groupes de distribution. Pour plus d’informations, consultez présentation management role assignments.Management role assignment A management role assignment is the link between a role and a role assignment policy. Assigning a role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the role. When you create a role assignment between a role assignment policy and a role, you can't specify any scope. The scope applied by the assignment is either Self or MyGAL. All role assignments are scoped to the user's mailbox or distribution groups. For more information, see Understanding management role assignments.

Si vous souhaitez redéfinir les rôles attribués aux stratégies d'attribution de rôle, vous devez modifier les attributions de rôles qui lient les stratégies d'attribution de rôle aux rôles. À moins que les attributions intégrées dans Exchange 2013 ne correspondent pas à vos besoins, vous n'aurez pas à modifier ces attributions. Pour plus d'informations, voir Présentation des attributions de rôles de gestion.If you want to change what roles are assigned to role assignment policies, you need to change the role assignments that link the role assignment policies to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Pour plus d'informations, voir Présentation des stratégies d'attribution de rôle de gestion.For more information, see Understanding management role assignment policies.

Attribution de rôle d'utilisateur directeDirect user role assignment

L’\*attribution de rôle d’utilisateur directe\* est une méthode avancée qui permet d’attribuer des rôles de gestion directement à un utilisateur ou un groupe de sécurité universel sans passer par un groupe de rôles ou une stratégie d’attribution de rôle. Les attributions de rôles directes peuvent être utiles lorsque vous devez préciser un ensemble d’autorisations détaillées pour un seul et unique utilisateur (et personne d’autre). En revanche, l’utilisation d’attributions directes peut considérablement accroître la complexité de votre modèle d’autorisations. Si un utilisateur change de poste ou quitte la société, vous devez manuellement supprimer les attributions et les ajouter au nouvel employé. Nous vous recommandons d’utiliser des groupes de rôles pour attribuer des autorisations à des administrateurs et des utilisateurs spécialistes et des stratégies d’attribution de rôle pour attribuer des autorisations à des utilisateurs.*Direct role assignment* is an advanced method for assigning management roles directly to a user or USG without using a role group or role assignment policy. Direct role assignments can be useful when you need to provide a granular set of permissions to a specific user and no others. However, using direct role assignments can significantly increase the complexity of your permissions model. If a user changes jobs or leaves the company, you need to manually remove the assignments and add them to the new employee. We recommend that you use role groups to assign permissions to administrators and specialist users, and role assignment policies to assign permissions to users.

Pour plus d'informations sur l'attribution de rôle directe, voir Présentation des attributions de rôles de gestion.For more information about direct user assignment, see Understanding management role assignments.

Résumé et exemplesSummary and examples

La figure ci-dessous présente les composants du contrôle d’accès basé sur un rôle et la manière dont ils s’adaptent les uns aux autres :The following figure shows the components in RBAC and how they fit together:

  • Groupes de rôles :Role groups:

    • Un ou plusieurs administrateurs peuvent être membres d’un groupe de rôles. Ils peuvent aussi être membres de plusieurs groupe de rôles. One or more administrators can be members of a role group. They can also be members of more than one role group.

    • Le groupe de rôles se voit attribuer un ou plusieurs rôles. Ces attributions de rôles lient le groupe de rôles à un ou plusieurs rôles administratifs qui définissent les tâches qu’il est possible de réaliser. The role group is assigned one or more role assignments. These link the role group with one or more administrative roles that define what tasks can be performed.

    • Les attributions de rôles peuvent contenir des étendues de gestion qui définissent la géographie dans laquelle les utilisateurs du groupe de rôles peuvent effectuer des opérations. Les étendues déterminent là où les utilisateurs du groupe de rôles peuvent modifier la configuration. The role assignments can contain management scopes that define where the users of the role group can perform actions. The scopes determine where the users of the role group can modify configuration.

  • Stratégies d’attribution de rôles :Role assignment policies:

    • Un ou plusieurs utilisateurs peuvent être associés à une stratégie d'attribution de rôle.One or more users can be associated with a role assignment policy.

    • La stratégie d’attribution de rôle se voit attribuer un ou plusieurs rôles. Ces attributions de rôles lient la stratégie d’attribution de rôle à un ou plusieurs rôles d’utilisateur final. Ces rôles d’utilisateur final définissent ce que l’utilisateur est autorisé à configurer dans sa boîte aux lettres.The role assignment policy is assigned one or more role assignments. These link the role assignment policy with one or more end-user roles. The end-user roles define what the user can configure on his or her mailbox.

    • Les attributions de rôles entre les stratégies d’attribution de rôle et les rôles sont munies d’étendues intégrées qui limitent l’étendue des attributions à la boîte aux lettres ou aux groupes de distribution personnels de l’utilisateur. The role assignments between role assignment policies and roles have built-in scopes that restrict the scope of assignments to the user's own mailbox or distribution groups.

  • Attribution de rôle directe (méthode avancée) :Direct role assignment (advanced):

    • Une attribution de rôle peut être directement créée entre un utilisateur ou un groupe de sécurité universel et un ou plusieurs rôles. Le rôle définit les tâches que l’utilisateur ou le groupe de sécurité universel peut effectuer.A role assignment can be created directly between a user or USG and one or more roles. The role defines what tasks the user or USG can perform.

    • Les attributions de rôles peuvent contenir des étendues de gestion qui définissent la géographie dans laquelle l’utilisateur ou le groupe de sécurité universel peut effectuer des opérations. Les étendues déterminent à quel emplacement l’utilisateur ou le groupe de sécurité universel peut modifier la configuration.The role assignments can contain management scopes that define where the user or USG can perform actions. The scopes determine where the user or USG can modify configuration.

Vue d'ensemble du contrôle d'accès basé sur un rôleRBAC overview

![Relations des composants RBAC] (images/Dd298183.1dee60cc-1d58-4d36-b34e-639f091e7a56(EXCHG.150).jpg "Relations des composants RBAC")RBAC component relationships

Comme le démontre la figure ci-avant, de nombreux composants du contrôle d’accès basé sur un rôle sont liés entre eux. La manière dont chaque composant s’imbrique dans un autre définit les autorisations appliquées à chaque administrateur ou utilisateur. Les exemples ci-dessous offrent un contexte supplémentaire sur la façon dont les groupes de rôles et les stratégies d’attribution de rôle sont utilisées au sein d’une organisation. As shown in the preceding figure, many components in RBAC are related to each other. It's how each component is put together that defines the permissions applied to each administrator or user. The following examples provide some additional context about how role groups and role assignment policies are used in an organization.

Sabine, l'administratriceJane the Administrator

Sabine travaille en qualité d'administratrice au sein de la PME Contoso. Travaillant au bureau de Vancouver, elle est responsable de la gestion des destinataires de l'entreprise. Lorsque le modèle d'autorisations de la société Contoso a été élaboré, Sabine était membre du groupe de rôles personnalisé Gestion des destinataires - Vancouver. Le groupe de rôles personnalisé Gestion des destinataires - Vancouver est le groupe qui correspond le mieux aux responsabilités de son poste qui impliquent notamment la création et la suppression des destinataires (des boîtes aux lettres et des contacts, par exemple), la gestion des membres des groupes de distribution et des propriétés des boîtes aux lettres et bien d'autres tâches encore.Jane is an administrator for the medium-size company, Contoso. She's responsible for managing the company's recipients in their Vancouver office. When the permissions model for Contoso was created, Jane was made a member of the Recipient Management - Vancouver custom role group. The Recipient Management - Vancouver custom role group most closely matches her job's duties, which include creating and removing recipients, such as mailboxes and contacts, managing distribution group membership and mailbox properties, and similar tasks.

En plus du groupe de rôles personnalisé Gestion des destinataires - Vancouver, Sabine a également besoin d'une stratégie d'attribution de rôle pour gérer les paramètres de configuration de sa boîte aux lettres personnelle. Les administrateurs de l'organisation ont décidé que tous les utilisateurs, à l'exception de la direction, bénéficieront des mêmes autorisations pour la gestion de leurs boîtes aux lettres personnelles. Ils peuvent configurer leur messagerie vocale, configurer des stratégies de rétention et modifier les informations de leurs adresses. La stratégie d'attribution de rôle proposée par défaut dans Exchange 2013 reflète désormais ces besoins.In addition to the Recipient Management - Vancouver custom role group, Jane also needs a role assignment policy to manage her own mailbox's configuration settings. The organization administrators have decided that all users, except for senior management, receive the same permissions when they manage their own mailboxes. They can configure their voice mail, set up retention policies and change their address information. The default role assignment policy provided with Exchange 2013 now reflects these requirements.

Note

Vous avez peut-être remarqué que Sabine est membre du groupe de rôles personnalisé Gestion des destinataires - Vancouver, ce qui devrait lui conférer les autorisations nécessaires pour gérer sa boîte aux lettres. C'est bel et bien le cas ; cependant, le groupe de rôles ne fournit pas toutes les autorisations nécessaires pour gérer l'ensemble des fonctionnalités de sa boîte aux lettres. Les autorisations requises pour gérer les paramètres de la messagerie vocale et de la stratégie de rétention ne sont pas incluses dans son groupe de rôles. Elles sont disponibles uniquement par le biais de la stratégie d'attribution de rôle qui lui est attribuée par défaut.You may have noticed that because Jane is a member of the Recipient Management - Vancouver custom role group, that should give her permissions to manage her own mailbox. This is true; however, the role group doesn't provide her all of the permissions necessary to manage all of the features of her mailbox. The permissions needed to manage voice mail and retention policy settings aren't included in her role group. Those are provided only by the default role assignment policy assigned to her.

Pour permettre cela, envisagez le recours au groupe de rôles qui confère à Sabine des autorisations administratives pour les destinataires de Vancouver :To allow for this, consider the role group, which provides Jane's administrative permissions over the recipients in Vancouver:

  1. Un groupe de rôles personnalisé appelé Gestion des destinataires - Vancouver a été créé. Les événements survenus lors de sa création sont les suivants :A custom role group called Recipient Management - Vancouver was created. When it was created, the following occurred:

    1. Tous les rôles de gestion également attribués au groupe de rôles intégré Gestion des destinataires étaient attribués au groupe de rôles. Les utilisateurs ajoutés au groupe de rôle personnalisé Gestion des destinataires - Vancouver disposent ainsi des mêmes autorisations que les utilisateurs ajoutés au groupe de rôles Gestion des destinataires. Toutefois, la procédure suivante limite le cadre d'application de ces autorisations.The role group was assigned all of the same management roles that are also assigned to the Recipient Management built-in role group. This gives users added to the Recipient Management - Vancouver custom role group the same permissions as those users added to the Recipient Management role group. However, the following steps limit where they can use those permissions.

    2. Une étendue de gestion personnalisée pour les destinataires de Vancouver a été créée. Elle correspond uniquement aux destinataires qui travaillent sur ce site. Cette étendue permet de filtrer des informations portant sur la ville de l'utilisateur ou sur d'autres données uniques.The Vancouver Recipients custom management scope was created, which matches only recipients who are located in Vancouver. This was done by creating a scope that filters on a user's city or other unique information.

    3. Le groupe de rôles a été créé avec l'étendue de gestion personnalisée des destinataires de Vancouver. Les administrateurs ajoutés au groupe de rôles personnalisé Gestion des destinataires - Vancouver disposent donc d'autorisations de gestion des destinataires complètes mais n'en bénéficient que pour les destinataires basés à Vancouver.The role group was created with the Vancouver Recipients custom management scope. This means while administrators added to the Recipient Management - Vancouver custom role group have full recipient management permissions, they can only use those permissions against recipients based in Vancouver.

    Pour plus d'informations sur la création d'un groupe de rôles personnalisés, voir Gérer des groupes de rôles.For more information about creating a custom role group, see Manage role groups.

  2. Sabine est ensuite ajoutée en tant que membre du groupe de rôles personnalisé Gestion des destinataires - Vancouver.Jane is then added as a member of the Recipient Management - Vancouver custom role group.

    Pour plus d'informations sur l'ajout de membres d'un groupe de rôles, voir Gérer les membres de groupes de rôles.For more information about adding members to a role group, see Manage role group members.

Pour accorder à Jane la possibilité de gérer les paramètres de son propre boîte aux lettres, une stratégie d’attribution de rôle doit être configuré avec les autorisations requises. La stratégie d’attribution de rôle par défaut est utilisée pour fournir aux utilisateurs les autorisations que dont ils ont besoin pour configurer leur propre boîte aux lettres. Tous les rôles de l’utilisateur final sont supprimés de la stratégie d’attribution rôle par défaut, à l’exception de : MyBaseOptions, MyContactInformation, MyVoicemail, et MyRetentionPolicies. MyBaseOptions est inclus, car ce rôle de gestion fournit les fonctionnalités de l’utilisateur de base dans Outlook Web App, telles que les règles, configuration du calendrier et autres tâches de boîte de réception.To give Jane the ability to manage her own mailbox settings, a role assignment policy needs to be configured with the required permissions. The default role assignment policy is used to provide users with the permissions they need to configure their own mailbox. All end-user roles are removed from the default role assignment policy, except for: MyBaseOptions, MyContactInformation, MyVoicemail, and MyRetentionPolicies. MyBaseOptions is included because this management role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

Il ne reste rien d'autre à faire puisque la stratégie d'attribution de rôle par défaut a déjà été attribuée à Sabine. Ainsi donc, les modifications apportées à cette stratégie d'attribution de rôle sont appliquées immédiatement à sa boîte aux lettres et à toutes les autres boîtes aux lettres auxquelles la stratégie d'attribution de rôle par défaut a également été attribuée.Nothing else needs to be done because Jane is already assigned the default role assignment policy. This means that the changes made to that role assignment policy are immediately applied to her mailbox, and any other mailboxes also assigned to the default role assignment policy.

Pour plus d'informations sur la personnalisation de la stratégie d'attribution de rôle par défaut, voir Gérer les stratégies d'attribution des rôles.For more information about customizing the default role assignment policy, see Manage role assignment policies.

Joe, le spécialisteJoe the Specialist

Comme Sabine, Joe travaille au sein de la société Contoso. Il est responsable des opérations de découverte légale, de la définition des stratégies de rétention et de la configuration des règles de transport et de la journalisation pour l'ensemble de l'organisation. Comme dans le cas de Sabine, lorsque le modèle d'autorisations de la société Contoso a été élaboré, Joe a été ajouté aux groupes de rôles conformes à ses responsabilités professionnelles. Le groupe de rôles Gestion des enregistrements apporte à Joe les autorisations qui lui sont nécessaires pour configurer les stratégies de rétention, la journalisation et les règles de transport. Le groupe de rôles Gestion de la découverte lui offre la possibilité d'effectuer des recherches dans des boîtes aux lettres.Joe works for Contoso, the same company that Jane works for. He's responsible for performing legal discovery, setting the retention policies, and configuring transport rules and journaling for the whole organization. As with Jane, when the permissions model for Contoso was created, Joe was added to the role groups that match his job duties. The Records Management role group provides Joe with the permissions to configure retention policies, journaling, and transport rules. The Discovery Management role group provides him with the ability to perform mailbox searches.

Comme Jane, Joe a également besoin d'autorisations pour gérer sa propre boîte aux lettres. Il reçoit les mêmes autorisations que Jane : Il peut configurer sa messagerie vocale et ses stratégies de rétention et modifier ses données d'adresse.As with Jane, Joe also needs permissions to manage his own mailbox. He is given the same permissions as Jane: He can set up his voice mail and retention policies, and change his address information.

Pour accorder à Joe les autorisations requises pour réaliser les tâches qui lui incombent, Joe est ajouté aux groupes de rôles Gestion des enregistrements et Gestion de la découverte. Les groupes de rôles n'ont en aucune manière besoin d'être modifiés puisqu'ils lui donnent déjà les autorisations dont il a besoin et les étendues de gestion qui s'y appliquent couvrent la totalité de l'organisation.To give Joe the permissions to perform his job duties, Joe is added to the Records Management and Discovery Management role groups. The role groups don't need to be changed in any way because they already provide him with the permissions he needs, and the management scopes applied to them encompass the entire organization.

Pour plus d'informations sur l'ajout d'un utilisateur à un groupe de rôles, voir Gérer les membres de groupes de rôles.For more information about adding a user to a role group, see Manage role group members.

La même stratégie d'attribution de rôle par défaut appliquée à la boîte aux lettres de Sabine l'est également à la boîte aux lettres de Joe. Il dispose ainsi de toutes les autorisations nécessaires pour les fonctionnalités qu'il est autorisé à gérer au sein de sa boîte aux lettres.Joe's mailbox is also assigned the same default role assignment policy that's applied to Jane's mailbox. This gives him all the permissions he needs to manage the features of his mailbox that he's allowed to manage.

Isabelle, Vice-présidenteIsabel the Vice President

Isabelle est la vice-présidente de la branche Marketing de Contoso. En tant que membre de l’équipe dirigeante de Contoso, elle bénéficie d’un plus grand nombre d’autorisations que l’utilisateur moyen. Cela inclut les autorisations qui lui permettent de gérer sa boîte aux lettres à une exception près : Isabelle n’est pas autorisée à gérer les stratégies de rétention qui lui sont propres pour des raisons de conformité légale. Elle peut configurer sa messagerie vocale, modifier ses informations de contact, modifier les données de son profil, créer et gérer ses groupes de distribution et s’ajouter à ou se supprimer de groupes de distribution existants dont d’autres utilisateurs seraient détenteurs.Isabel is the Vice President of Marketing at Contoso. Isabel, as part of the senior leadership team of Contoso, is given more permissions than the average user. This includes the permissions she's provided to manage her mailbox, with one exception: Isabel isn't allowed to manage her own retention policies for legal compliance reasons. Isabel can configure her voice mail, change her contact information, change her profile information, create and manage her own distribution groups, and add or remove herself from existing distribution groups owned by others.

Par conséquent, Isabelle bénéficie d’autorisations différentes pour sa boîte aux lettres. La plupart des utilisateurs de Contoso se voient attribuer la stratégie d’attribution de rôle par défaut. Cependant, les membres de l’équipe dirigeante bénéficient de la stratégie d’attribution de rôle réservée à la direction. Les opérations réalisées pour créer la stratégie d’attribution de rôle personnalisée sont les suivantes :So, Isabel is given different permissions on her own mailbox. Most users at Contoso are assigned to the default role assignment policy. However, senior leadership is assigned to the Senior Leadership role assignment policy. The following is done to create the custom role assignment policy:

  1. Une stratégie d’attribution de rôle personnalisé appelée direction Senior est créée. La stratégie d’attribution de rôle est affectée le MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, etMyDistributionGroups rôles. MyBaseOptions est inclus, car ce rôle fournit les fonctionnalités de l’utilisateur de base dans Outlook Web App, telles que les règles, configuration du calendrier et autres tâches de boîte de réception.A custom role assignment policy called Senior Leadership is created. The role assignment policy is assigned the MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, andMyDistributionGroups roles. MyBaseOptions is included because this role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

  2. La stratégie d'attribution de rôle Direction est ensuite attribuée manuellement à Isabelle.Isabel is then manually assigned the Senior Leadership role assignment policy.

La boîte aux lettres d’Isabelle dispose à présent des autorisations accordées par la stratégie d’attribution de rôle Direction. Toutes les modifications apportées à cette stratégie d’attribution de rôle sont appliquées automatiquement à sa boîte aux lettres et à toutes les autres boîtes aux lettres auxquelles la même stratégie d’attribution de rôle est attribuée.Isabel's mailbox now has the permissions provided by the Senior Leadership role assignment policy. Any changes made to this role assignment policy are automatically applied to her mailbox, and any other mailboxes also assigned to the same role assignment policy.

Pour plus d’informationsFor more information

Gérer les stratégies d'attribution des rôlesManage role assignment policies

Modifier la stratégie d'attribution sur une boîte aux lettresChange the assignment policy on a mailbox