Présentation du contrôle d’accès basé sur un rôleUnderstanding Role Based Access Control

 

S’applique à:: Exchange Online, exchange Server 2013Applies to:: Exchange Online, Exchange Server 2013

Le Role Based Access Control (RBAC) constitue le modèle d'autorisations dans Microsoft Exchange Server 2013. Grâce au contrôle d'accès basé sur un rôle, vous n'avez pas besoin de modifier et de gérer les listes de contrôle d'accès, ce qui était le cas dans Exchange Server 2007. Les listes de contrôle d'accès impliquaient plusieurs contraintes dans Exchange 2007, notamment de modifier les listes de contrôle d'accès sans effets involontaires, de gérer tous les changements apportés aux listes par le biais des mises à niveau et de résoudre les problèmes liés à une utilisation non standard de ces mêmes listes.Role Based Access Control (RBAC) is the permissions model used in Microsoft Exchange Server 2013. With RBAC, you don't need to modify and manage access control lists (ACLs), which was done in Exchange Server 2007. ACLs created several challenges in Exchange 2007, such as modifying ACLs without causing unintended consequences, maintaining ACL modifications through upgrades, and troubleshooting problems that occurred due to using ACLs in a nonstandard way.

Le contrôle d'accès basé sur un rôle vous permet de contrôler ce que les administrateurs et les utilisateurs finaux peuvent réaliser, tant à des niveaux élargis que granulaires. Le contrôle d'accès basé sur un rôle vous permet d'aligner plus étroitement les rôles que vous attribuez aux utilisateurs et aux administrateurs avec les rôles réels dont ils sont dotés au sein de votre organisation. Dans Exchange 2007, le modèle d'autorisations serveur s'appliquait uniquement aux administrateurs qui géraient l'infrastructure Exchange 2007. Dans Exchange 2013, le contrôle d'accès basé sur un rôle gère à présent les tâches administratives qu'il est possible de réaliser et la portée avec laquelle les utilisateurs peuvent désormais administrer leur boîte aux lettres et leurs groupes de distribution personnels.RBAC enables you to control, at both broad and granular levels, what administrators and end-users can do. RBAC also enables you to more closely align the roles you assign users and administrators to the actual roles they hold within your organization. In Exchange 2007, the server permissions model applied only to the administrators who managed the Exchange 2007 infrastructure. In Exchange 2013, RBAC now controls both the administrative tasks that can be performed and the extent to which users can now administer their own mailbox and distribution groups.

Le contrôle d'accès basé sur un rôle dispose de deux méthodes principales pour attribuer des autorisations aux utilisateurs de votre organisation, selon que l'utilisateur soit un administrateur, un spécialiste ou un utilisateur final : la gestion des groupes de rôles et les stratégies d'attribution de rôle de gestion. Chaque méthode associe des utilisateurs aux autorisations dont ils ont besoin pour effectuer leurs tâches. Une troisième méthode plus avancée, l'attribution de rôle d'utilisateur directe, peut également être adoptée. Les sections qui suivent dans cette rubrique explique le contrôle d'accès basé sur un rôle et fournissent des exemples de son utilisation.RBAC has two primary ways of assigning permissions to users in your organization, depending on whether the user is an administrator or specialist user, or an end-user: management role groups and management role assignment policies. Each method associates users with the permissions they need to perform their jobs. A third, more advanced method, direct user role assignment, can also be used. The following sections in this topic explain RBAC and provide examples of its use.

Notes

Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Contenu de cette rubriqueContents

Groupes de rôles de gestionManagement role groups

Stratégies d’attribution de rôle de gestionManagement role assignment policies

Attribution de rôle d’utilisateur directeDirect user role assignment

Résumé et exemplesSummary and examples

Pour plus d’informationsFor more information

Groupes de rôles de gestionManagement role groups

Les groupes de rôles de gestion associent les rôles de gestion à un groupe d’administrateurs ou d’utilisateurs spécialisés.Management role groups associate management roles to a group of administrators or specialist users. Les administrateurs gèrent une vaste organisation Exchange ou une configuration étendue de destinataires.Administrators manage a broad Exchange organization or recipient configuration. Les utilisateurs spécialisés gèrent les fonctionnalités spécifiques d'Exchange, telles que la conformité.Specialist users manage the specific features of Exchange, such as compliance. Ils peuvent également disposer de compétences de gestion limitées, telles que celles de membres du support technique, mais pas de droits d'administration étendus.Or they may have limited management abilities, such as Help desk members, but aren't given broad administrative rights. Les groupes de rôles associent généralement les rôles de gestion administrative à l'aide desquels les administrateurs et les utilisateurs spécialisés peuvent gérer la configuration de leur organisation et de leurs destinataires.Role groups typically associate administrative management roles that enable administrators and specialist users to manage the configuration of their organization and recipients. Par exemple, la possibilité pour les administrateurs de gérer des destinataires ou d'exploiter les fonctionnalités de détection est contrôlée au moyen des groupes de rôles.For example, whether administrators can manage recipients or use mailbox discovery features is controlled using role groups.

L'ajout ou la suppression d'utilisateurs dans ou à partir des groupes de rôles dépend de la manière dont vous attribuez le plus souvent des autorisations aux administrateurs ou aux utilisateurs spécialistes. Pour plus d'informations, voir Présentation des groupes de rôles de gestion.Adding or removing users to or from role groups is how you most often assign permissions to administrators or specialist users. For more information, see Understanding management role groups.

Les groupes de rôles comprennent les composants suivants qui définissent ce que les administrateurs et les utilisateurs spécialistes peuvent réaliser :Role groups consist of the following components that define what administrators and specialist users can do:

  • Groupe de rôles de gestion: le groupe de rôles de gestion est un groupe de sécurité universel spécial qui contient des boîtes aux lettres, des utilisateurs, des groupes de sécurité universels et d’autres groupes de rôles qui sont membres du groupe de rôles.Management role group: The management role group is a special universal security group (USG) that contains mailboxes, users, USGs, and other role groups that are members of the role group. C'est là que vous ajoutez et supprimez des membres et c'est aussi là où les rôles de gestion sont attribués.This is where you add and remove members, and it's also what management roles are assigned to. L'association de tous les rôles sur un groupe de rôles définit tout ce que les utilisateurs ajoutés à un groupe de rôles peuvent gérer dans l'organisation Exchange.The combination of all the roles on a role group defines everything that users added to a role group can manage in the Exchange organization.

  • Rôlede gestion: un rôle de gestion est un conteneur pour le regroupement des entrées de rôle de gestion.Management role: A management role is a container for a grouping of management role entries. Les rôles sont utilisés pour définir des tâches spécifiques pouvant être effectuées par les membres d’un groupe de rôles qui est affecté au rôle.Roles are used to define the specific tasks that can be performed by the members of a role group that's assigned the role. Une entrée de rôle de gestion est une applet de commande, un script ou une autorisation spéciale qui permet d’effectuer chaque tâche spécifique dans un rôle.A management role entry is a cmdlet, script, or special permission that enables each specific task in a role to be performed. Pour plus d'informations, voir Présentation des rôles de gestion.For more information, see Understanding management roles.

  • Attribution de rôle de gestion: une attribution de rôle de gestion lie un rôle et un groupe de rôles.Management role assignment: A management role assignment links a role and a role group. L'attribution d'un rôle à un groupe de rôles permet aux membres du groupe d'utiliser des cmdlets et des paramètres définis dans le rôle.Assigning a role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the role. Les attributions de rôles peuvent utiliser des étendues de gestion pour contrôler les endroits où l'attribution peut être utilisée.Role assignments can use management scopes to control where the assignment can be used. Pour plus d'informations, voir Présentation des attributions de rôles de gestion.For more information, see Understanding management role assignments.

  • Étendue du rôle de gestion: une étendue de rôle de gestion est l’étendue de l’influence ou de l’impact sur une attribution de rôle.Management role scope: A management role scope is the scope of influence or impact on a role assignment. Quand un rôle avec une étendue est attribué à un groupe de rôles, l'étendue de gestion vise spécifiquement les objets que l'attribution est autorisée à gérer.When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. L'attribution et son étendue sont ensuite accordées aux membres du groupe de rôles et limitent ce que peuvent gérer ces membres.The assignment, and its scope, are then given to the members of the role group, and restrict what those members can manage. Une étendue peut être composée d'une liste de serveurs ou de bases de données, d'unités d'organisation ou de filtres sur des objets serveur, base de données ou destinataire.A scope can consist of a list of servers or databases, organizational units (OUs), or filters on server, database or recipient objects. Pour plus d'informations, voir Présentation des portées du rôle de gestion.For more information, see Understanding management role scopes.

Lorsque vous ajoutez un utilisateur à un groupe de rôle, cet utilisateur bénéficie de tous les rôles attribués au groupe de rôles. Si des étendues sont appliquées à l'une des attributions de rôles entre le groupe de rôles et les rôles, ces étendues déterminent la configuration serveur ou les destinataires que l'utilisateur peut gérer.When you add a user to a role group, the user is given all of the roles assigned to the role group. If scopes are applied to any of the role assignments between the role group and the roles, those scopes control what server configuration or recipients the user can manage.

Si vous souhaitez redéfinir les rôles attribués aux groupes de rôles, vous devez modifier les attributions de rôles qui lient les groupes de rôles aux rôles. À moins que les attributions intégrées dans Exchange 2013 ne correspondent pas à vos besoins, vous n'aurez pas à modifier ces attributions. Pour plus d'informations, voir Présentation des attributions de rôles de gestion.If you want to change what roles are assigned to role groups, you need to change the role assignments that link the role groups to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Pour plus d'informations sur les groupes de rôles, voir la rubrique Présentation des groupes de rôles de gestion.For more information about role groups, see Understanding management role groups.

Stratégie d’attribution des rôles de gestionManagement role assignment policies

Les stratégies d'attribution des rôles de gestion associent les rôles de gestion d'utilisateur final aux utilisateurs. Les stratégies d'attribution des rôles déterminent les rôles chargés de contrôler ce qu'un utilisateur peut effectuer au moyen de sa boîte aux lettres ou de son groupe de distribution. Ces rôles ne gèrent pas les fonctionnalités qui ne sont pas directement associées à l'utilisateur. Lorsque vous créez une stratégie d'attribution de rôle, vous définissez tout ce qu'un utilisateur peut effectuer avec sa boîte aux lettres. Par exemple, une stratégie d'attribution de rôle peut permettre à un utilisateur d'afficher le nom complet, ainsi que de configurer la messagerie vocale et des règles de boîte de réception. Une autre stratégie d'attribution de rôle peut autoriser un utilisateur à modifier l'adresse, à utiliser des messages textuels et à configurer des groupes de distribution. Tous les utilisateurs munis d'une boîte aux lettres Exchange 2013, y compris les administrateurs, reçoivent une stratégie d'attribution de rôle par défaut. Vous pouvez décider de la stratégie d'attribution de rôle à attribuer par défaut, choisir les éléments que la stratégie d'attribution de rôle par défaut doit inclure, remplacer les valeurs par défaut pour certaines boîtes aux lettres ou choisir de n'attribuer aucune stratégie d'attribution de rôle par défaut.Management role assignment policies associate end-user management roles to users. Role assignment policies consist of roles that control what a user can do with his or her mailbox or distribution groups. These roles don't allow management of features that aren't directly associated with the user. When you create a role assignment policy, you define everything a user can do with his or her mailbox. For example, a role assignment policy may allow a user to set the display name, set up voice mail, and configure Inbox rules. Another role assignment policy might allow a user to change the address, use text messaging, and set up distribution groups. Every user with an Exchange 2013 mailbox, including administrators, is given a role assignment policy by default. You can decide which role assignment policy should be assigned by default, choose what the default role assignment policy should include, override the default for certain mailboxes, or not assign role assignment policies by default at all.

L'attribution d'un utilisateur à une stratégie d'attribution dépend de la manière dont vous gérez le plus souvent des autorisations pour permettre à des utilisateurs de gérer eux-mêmes leurs options de boîte aux lettres et de groupe de distribution. Pour plus d'informations, voir Présentation des stratégies d'attribution de rôle de gestion.Assigning a user to an assignment policy is how you most often manage permissions for users to manage their own mailbox and distribution group options. For more information, see Understanding management role assignment policies.

Les stratégies d'attribution de rôle présentent les composants suivants. Ils déterminent ce que les utilisateurs peuvent réaliser avec leurs boîtes aux lettres personnelles. Notez que certains de ces mêmes composants s'appliquent également aux groupes de rôles. Lorsqu'ils sont utilisés dans le cadre des stratégies d'attribution de rôle, ces composants peuvent uniquement permettre aux utilisateurs de gérer leurs boîtes aux lettres personnelles :Role assignment policies consist of the following components that define what users can do with their own mailboxes. Notice that some of the same components also apply to role groups. When used with role assignment policies, these components are limited to enable users to manage only their own mailbox:

  • Stratégie d’attribution de rôle de gestion: la stratégie d’attribution de rôle de gestion est un objet spécial dans Exchange 2013.Management role assignment policy: The management role assignment policy is a special object in Exchange 2013. La stratégie d'attribution de rôle est associée aux utilisateurs lorsque leur boîte aux lettres est créée ou si vous modifiez la stratégie d'attribution de rôle sur une boîte aux lettres.Users are associated with the role assignment policy when their mailboxes are created or if you change the role assignment policy on a mailbox. C'est également ce que vous attribuez pour les rôles de gestion des utilisateurs finaux.This is also what you assign end-user management roles to. L'association de tous les rôles sur une stratégie d'attribution de rôle définit tout ce que l'utilisateur peut gérer dans sa boîte aux lettres ou ses groupes de distribution.The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Rôlede gestion: un rôle de gestion est un conteneur pour le regroupement des entrées de rôle de gestion.Management role: A management role is a container for a grouping of management role entries. Les rôles sont utilisés pour définir les tâches spécifiques qu’un utilisateur peut effectuer avec sa boîte aux lettres ou les groupes de distribution.Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. Une entrée de rôle de gestion est une cmdlet, un script ou une autorisation spéciale qui permet d’effectuer chaque tâche spécifique dans un rôle de gestion.A management role entry is a cmdlet, script or special permission that enables each specific task in a management role to be performed. Vous pouvez uniquement utiliser des rôles des utilisateurs finaux avec les stratégies d'attribution de rôle.You can only use end-user roles with role assignment policies. Pour plus d'informations, voir Présentation des rôles de gestion.For more information, see Understanding management roles.

  • Attribution de rôle de gestion: une attribution de rôle de gestion est le lien entre un rôle et une stratégie d’attribution de rôle.Management role assignment: A management role assignment is the link between a role and a role assignment policy. L'attribution d'un rôle à une stratégie d'attribution de rôle permet l'utilisation des cmdlets et des paramètres définis dans le rôle.Assigning a role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the role. Lorsque vous créez une attribution de rôle entre une stratégie d'attribution de rôle et un rôle, vous ne pouvez spécifier aucune étendue.When you create a role assignment between a role assignment policy and a role, you can't specify any scope. L’étendue appliquée par l’attribution est Self ou. MyGALThe scope applied by the assignment is either Self or MyGAL. Toutes les attributions de rôles ont une étendue limitée à la boîte aux lettres ou aux groupes de distribution de l'utilisateur.All role assignments are scoped to the user's mailbox or distribution groups. Pour plus d'informations, voir Présentation des attributions de rôles de gestion.For more information, see Understanding management role assignments.

Si vous souhaitez redéfinir les rôles attribués aux stratégies d'attribution de rôle, vous devez modifier les attributions de rôles qui lient les stratégies d'attribution de rôle aux rôles. À moins que les attributions intégrées dans Exchange 2013 ne correspondent pas à vos besoins, vous n'aurez pas à modifier ces attributions. Pour plus d'informations, voir Présentation des attributions de rôles de gestion.If you want to change what roles are assigned to role assignment policies, you need to change the role assignments that link the role assignment policies to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

Pour plus d'informations, voir Présentation des stratégies d'attribution de rôle de gestion.For more information, see Understanding management role assignment policies.

Attribution de rôle d’utilisateur directeDirect user role assignment

L’\*attribution de rôle d’utilisateur directe\* est une méthode avancée qui permet d’attribuer des rôles de gestion directement à un utilisateur ou un groupe de sécurité universel sans passer par un groupe de rôles ou une stratégie d’attribution de rôle. Les attributions de rôles directes peuvent être utiles lorsque vous devez préciser un ensemble d’autorisations détaillées pour un seul et unique utilisateur (et personne d’autre). En revanche, l’utilisation d’attributions directes peut considérablement accroître la complexité de votre modèle d’autorisations. Si un utilisateur change de poste ou quitte la société, vous devez manuellement supprimer les attributions et les ajouter au nouvel employé. Nous vous recommandons d’utiliser des groupes de rôles pour attribuer des autorisations à des administrateurs et des utilisateurs spécialistes et des stratégies d’attribution de rôle pour attribuer des autorisations à des utilisateurs.*Direct role assignment* is an advanced method for assigning management roles directly to a user or USG without using a role group or role assignment policy. Direct role assignments can be useful when you need to provide a granular set of permissions to a specific user and no others. However, using direct role assignments can significantly increase the complexity of your permissions model. If a user changes jobs or leaves the company, you need to manually remove the assignments and add them to the new employee. We recommend that you use role groups to assign permissions to administrators and specialist users, and role assignment policies to assign permissions to users.

Pour plus d'informations sur l'attribution de rôle directe, voir Présentation des attributions de rôles de gestion.For more information about direct user assignment, see Understanding management role assignments.

Résumé et exemplesSummary and examples

La figure ci-dessous présente les composants du contrôle d’accès basé sur un rôle et la manière dont ils s’adaptent les uns aux autres :The following figure shows the components in RBAC and how they fit together:

  • Groupes de rôles :Role groups:

    • Un ou plusieurs administrateurs peuvent être membres d'un groupe de rôles. Ils peuvent aussi être membres de plusieurs groupe de rôles.One or more administrators can be members of a role group. They can also be members of more than one role group.

    • Le groupe de rôles se voit attribuer un ou plusieurs rôles. Ces attributions de rôles lient le groupe de rôles à un ou plusieurs rôles administratifs qui définissent les tâches qu'il est possible de réaliser.The role group is assigned one or more role assignments. These link the role group with one or more administrative roles that define what tasks can be performed.

    • Les attributions de rôles peuvent contenir des étendues de gestion qui définissent la géographie dans laquelle les utilisateurs du groupe de rôles peuvent effectuer des opérations. Les étendues déterminent là où les utilisateurs du groupe de rôles peuvent modifier la configuration.The role assignments can contain management scopes that define where the users of the role group can perform actions. The scopes determine where the users of the role group can modify configuration.

  • Stratégies d'attribution de rôles :Role assignment policies:

    • Un ou plusieurs utilisateurs peuvent être associés à une stratégie d'attribution de rôle.One or more users can be associated with a role assignment policy.

    • La stratégie d'attribution de rôle se voit attribuer un ou plusieurs rôles. Ces attributions de rôles lient la stratégie d'attribution de rôle à un ou plusieurs rôles d'utilisateur final. Ces rôles d'utilisateur final définissent ce que l'utilisateur est autorisé à configurer dans sa boîte aux lettres.The role assignment policy is assigned one or more role assignments. These link the role assignment policy with one or more end-user roles. The end-user roles define what the user can configure on his or her mailbox.

    • Les attributions de rôles entre les stratégies d'attribution de rôle et les rôles sont munies d'étendues intégrées qui limitent l'étendue des attributions à la boîte aux lettres ou aux groupes de distribution personnels de l'utilisateur.The role assignments between role assignment policies and roles have built-in scopes that restrict the scope of assignments to the user's own mailbox or distribution groups.

  • Attribution de rôle directe (méthode avancée) :Direct role assignment (advanced):

    • Une attribution de rôle peut être directement créée entre un utilisateur ou un groupe de sécurité universel et un ou plusieurs rôles. Le rôle définit les tâches que l'utilisateur ou le groupe de sécurité universel peut effectuer.A role assignment can be created directly between a user or USG and one or more roles. The role defines what tasks the user or USG can perform.

    • Les attributions de rôles peuvent contenir des étendues de gestion qui définissent la géographie dans laquelle l'utilisateur ou le groupe de sécurité universel peut effectuer des opérations. Les étendues déterminent à quel emplacement l'utilisateur ou le groupe de sécurité universel peut modifier la configuration.The role assignments can contain management scopes that define where the user or USG can perform actions. The scopes determine where the user or USG can modify configuration.

Vue d'ensemble du contrôle d'accès basé sur un rôleRBAC overview

![Relations des composants RBAC] (images/Dd298183.1dee60cc-1d58-4d36-b34e-639f091e7a56(EXCHG.150).jpg "Relations des composants RBAC")RBAC component relationships

Comme le démontre la figure ci-avant, de nombreux composants du contrôle d’accès basé sur un rôle sont liés entre eux. La manière dont chaque composant s’imbrique dans un autre définit les autorisations appliquées à chaque administrateur ou utilisateur. Les exemples ci-dessous offrent un contexte supplémentaire sur la façon dont les groupes de rôles et les stratégies d’attribution de rôle sont utilisées au sein d’une organisation. As shown in the preceding figure, many components in RBAC are related to each other. It's how each component is put together that defines the permissions applied to each administrator or user. The following examples provide some additional context about how role groups and role assignment policies are used in an organization.

Sabine, l’administratriceJane the Administrator

Sabine travaille en qualité d'administratrice au sein de la PME Contoso. Travaillant au bureau de Vancouver, elle est responsable de la gestion des destinataires de l'entreprise. Lorsque le modèle d'autorisations de la société Contoso a été élaboré, Sabine était membre du groupe de rôles personnalisé Gestion des destinataires - Vancouver. Le groupe de rôles personnalisé Gestion des destinataires - Vancouver est le groupe qui correspond le mieux aux responsabilités de son poste qui impliquent notamment la création et la suppression des destinataires (des boîtes aux lettres et des contacts, par exemple), la gestion des membres des groupes de distribution et des propriétés des boîtes aux lettres et bien d'autres tâches encore.Jane is an administrator for the medium-size company, Contoso. She's responsible for managing the company's recipients in their Vancouver office. When the permissions model for Contoso was created, Jane was made a member of the Recipient Management - Vancouver custom role group. The Recipient Management - Vancouver custom role group most closely matches her job's duties, which include creating and removing recipients, such as mailboxes and contacts, managing distribution group membership and mailbox properties, and similar tasks.

En plus du groupe de rôles personnalisé Gestion des destinataires - Vancouver, Sabine a également besoin d'une stratégie d'attribution de rôle pour gérer les paramètres de configuration de sa boîte aux lettres personnelle. Les administrateurs de l'organisation ont décidé que tous les utilisateurs, à l'exception de la direction, bénéficieront des mêmes autorisations pour la gestion de leurs boîtes aux lettres personnelles. Ils peuvent configurer leur messagerie vocale, configurer des stratégies de rétention et modifier les informations de leurs adresses. La stratégie d'attribution de rôle proposée par défaut dans Exchange 2013 reflète désormais ces besoins.In addition to the Recipient Management - Vancouver custom role group, Jane also needs a role assignment policy to manage her own mailbox's configuration settings. The organization administrators have decided that all users, except for senior management, receive the same permissions when they manage their own mailboxes. They can configure their voice mail, set up retention policies and change their address information. The default role assignment policy provided with Exchange 2013 now reflects these requirements.

Notes

Vous avez peut-être remarqué que Sabine est membre du groupe de rôles personnalisé Gestion des destinataires - Vancouver, ce qui devrait lui conférer les autorisations nécessaires pour gérer sa boîte aux lettres. C'est bel et bien le cas ; cependant, le groupe de rôles ne fournit pas toutes les autorisations nécessaires pour gérer l'ensemble des fonctionnalités de sa boîte aux lettres. Les autorisations requises pour gérer les paramètres de la messagerie vocale et de la stratégie de rétention ne sont pas incluses dans son groupe de rôles. Elles sont disponibles uniquement par le biais de la stratégie d'attribution de rôle qui lui est attribuée par défaut.You may have noticed that because Jane is a member of the Recipient Management - Vancouver custom role group, that should give her permissions to manage her own mailbox. This is true; however, the role group doesn't provide her all of the permissions necessary to manage all of the features of her mailbox. The permissions needed to manage voice mail and retention policy settings aren't included in her role group. Those are provided only by the default role assignment policy assigned to her.

Pour permettre cela, envisagez le recours au groupe de rôles qui confère à Sabine des autorisations administratives pour les destinataires de Vancouver :To allow for this, consider the role group, which provides Jane's administrative permissions over the recipients in Vancouver:

  1. Un groupe de rôles personnalisé appelé Gestion des destinataires - Vancouver a été créé. Les événements survenus lors de sa création sont les suivants :A custom role group called Recipient Management - Vancouver was created. When it was created, the following occurred:

    1. Tous les rôles de gestion également attribués au groupe de rôles intégré Gestion des destinataires étaient attribués au groupe de rôles. Les utilisateurs ajoutés au groupe de rôle personnalisé Gestion des destinataires - Vancouver disposent ainsi des mêmes autorisations que les utilisateurs ajoutés au groupe de rôles Gestion des destinataires. Toutefois, la procédure suivante limite le cadre d'application de ces autorisations.The role group was assigned all of the same management roles that are also assigned to the Recipient Management built-in role group. This gives users added to the Recipient Management - Vancouver custom role group the same permissions as those users added to the Recipient Management role group. However, the following steps limit where they can use those permissions.

    2. Une étendue de gestion personnalisée pour les destinataires de Vancouver a été créée. Elle correspond uniquement aux destinataires qui travaillent sur ce site. Cette étendue permet de filtrer des informations portant sur la ville de l'utilisateur ou sur d'autres données uniques.The Vancouver Recipients custom management scope was created, which matches only recipients who are located in Vancouver. This was done by creating a scope that filters on a user's city or other unique information.

    3. Le groupe de rôles a été créé avec l'étendue de gestion personnalisée des destinataires de Vancouver. Les administrateurs ajoutés au groupe de rôles personnalisé Gestion des destinataires - Vancouver disposent donc d'autorisations de gestion des destinataires complètes mais n'en bénéficient que pour les destinataires basés à Vancouver.The role group was created with the Vancouver Recipients custom management scope. This means while administrators added to the Recipient Management - Vancouver custom role group have full recipient management permissions, they can only use those permissions against recipients based in Vancouver.

    Pour plus d'informations sur la création d'un groupe de rôles personnalisés, voir Gérer des groupes de rôles.For more information about creating a custom role group, see Manage role groups.

  2. Sabine est ensuite ajoutée en tant que membre du groupe de rôles personnalisé Gestion des destinataires - Vancouver.Jane is then added as a member of the Recipient Management - Vancouver custom role group.

    Pour plus d'informations sur l'ajout de membres d'un groupe de rôles, voir Gérer les membres de groupes de rôles.For more information about adding members to a role group, see Manage role group members.

Pour donner à Sabine la possibilité de gérer les paramètres de sa boîte aux lettres personnelle, une stratégie d'attribution de rôle doit être configurée avec les autorisations requises.To give Jane the ability to manage her own mailbox settings, a role assignment policy needs to be configured with the required permissions. La stratégie d'attribution de rôle par défaut est utilisée pour fournir aux utilisateurs les autorisations qui leur sont nécessaires pour configurer leur propre boîte aux lettres.The default role assignment policy is used to provide users with the permissions they need to configure their own mailbox. Tous les rôles d’utilisateur final sont supprimés de la stratégie d’attribution de rôle par défaut MyBaseOptions, MyContactInformationà MyVoicemaill’exception MyRetentionPoliciesdes éléments suivants:,, et.All end-user roles are removed from the default role assignment policy, except for: MyBaseOptions, MyContactInformation, MyVoicemail, and MyRetentionPolicies. MyBaseOptions est inclus, car ce rôle de gestion fournit les fonctionnalités utilisateur de base dans Outlook Web App, telles que les règles boîte de réception, la configuration de calendrier et d'autres tâches.MyBaseOptions is included because this management role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

Il ne reste rien d'autre à faire puisque la stratégie d'attribution de rôle par défaut a déjà été attribuée à Sabine. Ainsi donc, les modifications apportées à cette stratégie d'attribution de rôle sont appliquées immédiatement à sa boîte aux lettres et à toutes les autres boîtes aux lettres auxquelles la stratégie d'attribution de rôle par défaut a également été attribuée.Nothing else needs to be done because Jane is already assigned the default role assignment policy. This means that the changes made to that role assignment policy are immediately applied to her mailbox, and any other mailboxes also assigned to the default role assignment policy.

Pour plus d'informations sur la personnalisation de la stratégie d'attribution de rôle par défaut, voir Gérer les stratégies d'attribution des rôles.For more information about customizing the default role assignment policy, see Manage role assignment policies.

Joe, le spécialisteJoe the Specialist

Comme Sabine, Joe travaille au sein de la société Contoso. Il est responsable des opérations de découverte légale, de la définition des stratégies de rétention et de la configuration des règles de transport et de la journalisation pour l'ensemble de l'organisation. Comme dans le cas de Sabine, lorsque le modèle d'autorisations de la société Contoso a été élaboré, Joe a été ajouté aux groupes de rôles conformes à ses responsabilités professionnelles. Le groupe de rôles Gestion des enregistrements apporte à Joe les autorisations qui lui sont nécessaires pour configurer les stratégies de rétention, la journalisation et les règles de transport. Le groupe de rôles Gestion de la découverte lui offre la possibilité d'effectuer des recherches dans des boîtes aux lettres.Joe works for Contoso, the same company that Jane works for. He's responsible for performing legal discovery, setting the retention policies, and configuring transport rules and journaling for the whole organization. As with Jane, when the permissions model for Contoso was created, Joe was added to the role groups that match his job duties. The Records Management role group provides Joe with the permissions to configure retention policies, journaling, and transport rules. The Discovery Management role group provides him with the ability to perform mailbox searches.

Comme Jane, Joe a également besoin d'autorisations pour gérer sa propre boîte aux lettres. Il reçoit les mêmes autorisations que Jane : Il peut configurer sa messagerie vocale et ses stratégies de rétention et modifier ses données d'adresse.As with Jane, Joe also needs permissions to manage his own mailbox. He is given the same permissions as Jane: He can set up his voice mail and retention policies, and change his address information.

Pour accorder à Joe les autorisations requises pour réaliser les tâches qui lui incombent, Joe est ajouté aux groupes de rôles Gestion des enregistrements et Gestion de la découverte. Les groupes de rôles n'ont en aucune manière besoin d'être modifiés puisqu'ils lui donnent déjà les autorisations dont il a besoin et les étendues de gestion qui s'y appliquent couvrent la totalité de l'organisation.To give Joe the permissions to perform his job duties, Joe is added to the Records Management and Discovery Management role groups. The role groups don't need to be changed in any way because they already provide him with the permissions he needs, and the management scopes applied to them encompass the entire organization.

Pour plus d'informations sur l'ajout d'un utilisateur à un groupe de rôles, voir Gérer les membres de groupes de rôles.For more information about adding a user to a role group, see Manage role group members.

La même stratégie d'attribution de rôle par défaut appliquée à la boîte aux lettres de Sabine l'est également à la boîte aux lettres de Joe. Il dispose ainsi de toutes les autorisations nécessaires pour les fonctionnalités qu'il est autorisé à gérer au sein de sa boîte aux lettres.Joe's mailbox is also assigned the same default role assignment policy that's applied to Jane's mailbox. This gives him all the permissions he needs to manage the features of his mailbox that he's allowed to manage.

Isabelle, Vice-présidenteIsabel the Vice President

Isabelle est la vice-présidente de la branche Marketing de Contoso. En tant que membre de l’équipe dirigeante de Contoso, elle bénéficie d’un plus grand nombre d’autorisations que l’utilisateur moyen. Cela inclut les autorisations qui lui permettent de gérer sa boîte aux lettres à une exception près : Isabelle n’est pas autorisée à gérer les stratégies de rétention qui lui sont propres pour des raisons de conformité légale. Elle peut configurer sa messagerie vocale, modifier ses informations de contact, modifier les données de son profil, créer et gérer ses groupes de distribution et s’ajouter à ou se supprimer de groupes de distribution existants dont d’autres utilisateurs seraient détenteurs.Isabel is the Vice President of Marketing at Contoso. Isabel, as part of the senior leadership team of Contoso, is given more permissions than the average user. This includes the permissions she's provided to manage her mailbox, with one exception: Isabel isn't allowed to manage her own retention policies for legal compliance reasons. Isabel can configure her voice mail, change her contact information, change her profile information, create and manage her own distribution groups, and add or remove herself from existing distribution groups owned by others.

Par conséquent, Isabelle bénéficie d'autorisations différentes pour sa boîte aux lettres. La plupart des utilisateurs de Contoso se voient attribuer la stratégie d'attribution de rôle par défaut. Cependant, les membres de l'équipe dirigeante bénéficient de la stratégie d'attribution de rôle réservée à la direction. Les opérations réalisées pour créer la stratégie d'attribution de rôle personnalisée sont les suivantes :So, Isabel is given different permissions on her own mailbox. Most users at Contoso are assigned to the default role assignment policy. However, senior leadership is assigned to the Senior Leadership role assignment policy. The following is done to create the custom role assignment policy:

  1. Une stratégie d'attribution de rôle appelée « Direction » est créée.A custom role assignment policy called Senior Leadership is created. La stratégie d’attribution de rôle est MyBaseOptionsaffectée MyContactInformationaux MyVoicemailrôles MyProfileInformation, MyDistributionGroupMembership,,MyDistributionGroups , et.The role assignment policy is assigned the MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, andMyDistributionGroups roles. Le rôle MyBaseOptions est inclus, car il fournit les fonctionnalités utilisateur de base dans Outlook Web App, telles que les règles de boîte de réception, la configuration de calendrier et d'autres tâches.MyBaseOptions is included because this role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

  2. La stratégie d'attribution de rôle Direction est ensuite attribuée manuellement à Isabelle.Isabel is then manually assigned the Senior Leadership role assignment policy.

La boîte aux lettres d’Isabelle dispose à présent des autorisations accordées par la stratégie d’attribution de rôle Direction. Toutes les modifications apportées à cette stratégie d’attribution de rôle sont appliquées automatiquement à sa boîte aux lettres et à toutes les autres boîtes aux lettres auxquelles la même stratégie d’attribution de rôle est attribuée.Isabel's mailbox now has the permissions provided by the Senior Leadership role assignment policy. Any changes made to this role assignment policy are automatically applied to her mailbox, and any other mailboxes also assigned to the same role assignment policy.

Pour plus d’informationsFor more information

Gérer les stratégies d'attribution des rôlesManage role assignment policies

Modifier la stratégie d'attribution sur une boîte aux lettresChange the assignment policy on a mailbox