Autorizzazioni in Exchange Online Protection autonomo
L'organizzazione autonoma Exchange Online Protection (EOP) senza cassette postali Exchange Online usa il modello di autorizzazioni RBAC (Role Based Controllo di accesso) per concedere facilmente le autorizzazioni agli amministratori. È possibile usare le funzionalità di autorizzazione in EOP autonomo per rendere la nuova organizzazione operativa rapidamente.
Per concedere le autorizzazioni agli utenti, vedere Gestire i gruppi di ruoli di amministratore in EOP.
Per altre informazioni sulle autorizzazioni in Microsoft 365, vedere Informazioni sui ruoli di amministratore.
Autorizzazioni basate sui ruoli
Le autorizzazioni di amministratore concesse agli utenti si basano sui ruoli di gestione. Un ruolo di gestione definisce i cmdlet disponibili per un set di attività determinate. L'interfaccia di amministrazione di Exchange e PowerShell autonomo usano entrambi i cmdlet. Pertanto, la concessione dell'accesso a un cmdlet consente agli utenti di eseguire attività in EAC o in PowerShell EOP autonomo. Ad esempio, il ruolo Destinatari posta definisce i cmdlet necessari per modificare gli utenti di posta elettronica.
Gruppi di ruoli
Per semplificare l'assegnazione dei ruoli agli utenti, EOP autonomo usa i gruppi di ruoli. I ruoli di gestione vengono assegnati ai gruppi di ruoli e i membri del gruppo di ruoli ottengono le autorizzazioni associate ai ruoli. In altre parole, i ruoli di gestione non sono assegnati direttamente agli utenti; vengono assegnati al gruppo di ruoli. Questo modello consente di assegnare molti ruoli a molti membri del gruppo di ruoli contemporaneamente. I membri del gruppo di ruoli possono essere utenti di posta elettronica, gruppi di sicurezza abilitati per la posta elettronica, utenti della interfaccia di amministrazione di Microsoft 365 e altri gruppi di ruoli.
Nella figura che segue viene mostrata la relazione tra utenti, gruppi di ruoli e ruoli.
I gruppi di ruoli disponibili in EOP autonomo sono descritti nella tabella seguente.
Gruppo di ruolo | Descrizione | Ruoli predefiniti assegnati |
---|---|---|
Conformità delle comunicazioni | Anche se questo gruppo di ruoli è disponibile, non esegue alcuna operazione utile in EOP autonomo. | Amministratore per la conformità delle comunicazioni Indagine per la conformità delle comunicazioni |
Amministratori della conformità delle comunicazioni | Anche se questo gruppo di ruoli è disponibile, non esegue alcuna operazione utile in EOP autonomo. | Amministratore per la conformità delle comunicazioni |
Amministratore di conformità | Gestire le impostazioni per la gestione dei dispositivi, la prevenzione della perdita dei dati, i report e la conservazione. | Amministratore per la conformità delle comunicazioni Insider Risk Management Amministrazione |
Gestione della conformità | Configurare e gestire le impostazioni di conformità all'interno dell'organizzazione, inclusa la prevenzione della perdita dei dati (DLP) se la sottoscrizione dispone di funzionalità DLP. I membri del ruolo Amministratore conformità in Microsoft Entra ID ottengono automaticamente le autorizzazioni di questo gruppo di ruoli. |
Log di audit Amministrazione di conformità Prevenzione della perdita di dati Information Rights Management Inserimento nel journal Verifica dei messaggi Gestione conservazione Regole di trasporto Log di audit di sola visualizzazione Configurazione solo visualizzazione Destinatari solo visualizzazione |
Gestione individuazione | eseguire ricerche di dati che soddisfano criteri specifici nelle cassette postali dell'organizzazione di Exchange. | Conservazione a fini giudiziari Ricerca cassetta postale |
Help Desk | Visualizzare e gestire gli utenti di posta elettronica. | Reimpostare la password Opzioni utente Destinatari solo visualizzazione |
Gestione igiene | Gestire le funzionalità di protezione (protezione dalla posta indesiderata, antimalware e così via). | Igiene dei trasporti Configurazione solo visualizzazione Destinatari solo visualizzazione |
Azure Information Protection | Controllo completo su tutte le funzionalità di protezione delle informazioni, incluse le etichette di riservatezza e i relativi criteri, la prevenzione della perdita dei dati, tutti i tipi di classificatori, gli esploramenti attività e contenuto e tutti i report correlati. | Amministratore di Information Protection Investigatore di Information Protection Lettore di Information Protection |
Amministratori di Information Protection | Anche se questo gruppo di ruoli è disponibile, non esegue alcuna operazione utile in EOP autonomo. | Amministratore di Information Protection |
Analisti di Information Protection | Anche se questo gruppo di ruoli è disponibile, non esegue alcuna operazione utile in EOP autonomo. | Nessuno |
Investigatori di Information Protection | Eseguire una ricerca nel log di controllo unificato | Investigatore di Information Protection |
Lettori di Information Protection | Cercare nel log di controllo unificato e visualizzare i report Di riepilogo traffico posta e Traffico di posta. | Lettore di Information Protection |
Gestione dei rischi Insider | Gestire il controllo di accesso per la gestione dei rischi Insider. | Insider Risk Management Amministrazione Indagine sulla gestione dei rischi Insider |
Amministratori della gestione dei rischi Insider | Anche se questo gruppo di ruoli è disponibile, non esegue alcuna operazione utile in EOP autonomo. | Insider Risk Management Amministrazione |
Investigatori gestione dei rischi Insider | Anche se questo gruppo di ruoli è disponibile, non esegue alcuna operazione utile in EOP autonomo. | Indagine sulla gestione dei rischi Insider |
Gestione organizzazione | Amministrazione l'accesso all'intera organizzazione e la possibilità di eseguire quasi tutte le attività. I membri del ruolo Amministratore globale in Microsoft Entra ID ottengono automaticamente le autorizzazioni di questo gruppo di ruoli. Importante: poiché il gruppo di ruoli Gestione organizzazione è un ruolo potente, solo gli utenti che eseguono attività amministrative a livello di organizzazione devono essere membri di questo gruppo di ruoli. |
Log di audit Amministratore per la conformità delle comunicazioni Indagine per la conformità delle comunicazioni Amministrazione di conformità Prevenzione della perdita di dati Gruppi di distribuzione Criteri degli indirizzi di posta elettronica Condivisione federata Amministratore di Information Protection Investigatore di Information Protection Lettore di Information Protection Information Rights Management Insider Risk Management Amministrazione Indagine sulla gestione dei rischi Insider Inserimento nel journal Conservazione a fini giudiziari Cartelle pubbliche abilitate alla posta Creazione destinatario di posta Destinatari di posta Suggerimenti per la posta Verifica dei messaggi Migrazione Spostamento delle cassette postali App personalizzate per l'org App Marketplace per l'org Accesso client dell'organizzazione Configurazione dell'organizzazione Impostazioni trasporto organizzazione Amministrazione gestione della privacy Indagine sulla gestione della privacy Cartelle pubbliche Criteri del destinatario Domini remoti e accettati Reimpostare la password Gestione conservazione Gestione dei ruoli Amministratore della sicurezza Creazione e appartenenza di gruppi di sicurezza Ruolo con autorizzazioni di lettura per la sicurezza TenantPlacesManagement Igiene dei trasporti Regole di trasporto Opzioni utente Log di audit di sola visualizzazione Configurazione solo visualizzazione Destinatari solo visualizzazione |
Gestione della privacy | Anche se questo gruppo di ruoli è disponibile, non esegue alcuna operazione utile in EOP autonomo. | Amministrazione gestione della privacy Indagine sulla gestione della privacy |
Amministratori della gestione della privacy | Anche se questo gruppo di ruoli è disponibile, non esegue alcuna operazione utile in EOP autonomo. | Amministrazione gestione della privacy |
Investigatori di gestione della privacy | Anche se questo gruppo di ruoli è disponibile, non esegue alcuna operazione utile in EOP autonomo. | Indagine sulla gestione della privacy |
Gestione destinatari | Creare, gestire e rimuovere oggetti destinatario nell'organizzazione. | Gruppi di distribuzione Creazione destinatario di posta Destinatari di posta Verifica dei messaggi Migrazione Spostamento delle cassette postali Criteri del destinatario Reimpostare la password |
Gestione record | Configurare le funzionalità di conformità, ad esempio i tag dei criteri di conservazione, le classificazioni dei messaggi e le regole del flusso di posta (note anche come regole di trasporto). | Log di audit Inserimento nel journal Verifica dei messaggi Gestione conservazione Regole di trasporto |
GUID RIM-MailboxAdmins<> | Non utilizzato | ApplicationImpersonation |
Amministratore della sicurezza | Configurare tutti gli aspetti della protezione nell'organizzazione (protezione dalla posta indesiderata, antimalware, anti-spoofing, quarantena e così via). I membri del ruolo Amministratore della sicurezza in Microsoft Entra ID ottengono automaticamente le autorizzazioni di questo gruppo di ruoli. |
Amministratore della sicurezza SensitivityLabelAdministrator |
Operatore della sicurezza | Gestire gli avvisi di sicurezza e visualizzare anche i report e le impostazioni delle funzionalità di sicurezza. I membri del ruolo Operatore di sicurezza in Microsoft Entra ID ottengono automaticamente le autorizzazioni di questo gruppo di ruoli. |
Gestione tenant AllowBlockList |
SecurityReader | Accesso in sola visualizzazione a tutti gli aspetti della protezione nell'organizzazione (protezione da posta indesiderata, antimalware, anti-spoofing, quarantena e così via). I membri del ruolo Lettore di sicurezza in Microsoft Entra ID ottengono automaticamente le autorizzazioni di questo gruppo di ruoli. |
Ruolo con autorizzazioni di lettura per la sicurezza |
<TenantAdmins_Number> | L'appartenenza a questo gruppo di ruoli viene sincronizzata in tutti i servizi e gestita in modo centralizzato. A questo gruppo di ruoli non vengono assegnati ruoli, ma è membro del gruppo di ruoli Gestione organizzazione e eredita tali autorizzazioni. | Nessuno |
Gestione organizzazione sola visualizzazione | Visualizzare gli oggetti destinatario, protezione e configurazione e le relative proprietà nell'organizzazione. | Configurazione solo visualizzazione Destinatari solo visualizzazione |
Se si lavora in un'organizzazione di piccole dimensioni, è possibile usare solo il gruppo di ruoli Gestione organizzazione. Nelle organizzazioni di grandi dimensioni con amministratori responsabili di attività specifiche (ad esempio, solo la configurazione dei destinatari), è anche possibile usare il gruppo di ruoli Gestione destinatari. Gli amministratori possono quindi gestire le aree specifiche senza autorizzazioni in aree di cui non sono responsabili.
Se i gruppi di ruoli predefiniti in Exchange Online non corrispondono alla funzione del processo degli amministratori, è possibile creare gruppi di ruoli e aggiungervi ruoli. Per altre informazioni, vedere Gestire i gruppi di ruoli in EOP autonomo.
Ruoli
I ruoli predefiniti disponibili in EOP autonomo sono descritti nella tabella seguente.
Ruolo | Descrizione | Assegnazioni predefinite di gruppi di ruoli |
---|---|---|
Elenchi indirizzi | Consente agli amministratori di gestire elenchi di indirizzi, elenchi di indirizzi globali ed elenchi di indirizzi offline in un'organizzazione. | Nessuno |
Log di audit | Cercare nel log di controllo dell'amministratore e visualizzare i risultati. | Gestione della conformità Gestione organizzazione Gestione record |
Amministratore per la conformità delle comunicazioni | Anche se questo ruolo è disponibile, non è utile in EOP autonomo. | Conformità delle comunicazioni Amministratori della conformità delle comunicazioni Amministratore di conformità Gestione organizzazione |
Indagine per la conformità delle comunicazioni | Anche se questo ruolo è disponibile, non è utile in EOP autonomo. | Gestione organizzazione |
Amministrazione di conformità | Consente agli utenti di visualizzare e modificare le impostazioni e i report per le funzionalità di conformità. | Gestione della conformità Gestione organizzazione |
Prevenzione della perdita di dati | Consente agli amministratori di gestire le impostazioni di prevenzione della perdita dei dati nell'organizzazione. | Gestione della conformità Gestione organizzazione |
Gruppi di distribuzione | Creare e gestire tutti i gruppi di distribuzione, i gruppi di sicurezza abilitati alla posta elettronica e i membri. | Gestione organizzazione Gestione destinatari |
Criteri degli indirizzi di posta elettronica | Consente agli amministratori di gestire i criteri degli indirizzi di posta elettronica in un'organizzazione. | Gestione organizzazione |
Condivisione federata | Consente agli amministratori di gestire la condivisione tra foreste e tra organizzazioni in un'organizzazione. | Gestione organizzazione |
Amministratore di Information Protection | Anche se questo ruolo è disponibile, non è utile in EOP autonomo. | Azure Information Protection Amministratori di Information Protection Gestione organizzazione |
Investigatore di Information Protection | Eseguire una ricerca nel log di controllo unificato. | Azure Information Protection Investigatori di Information Protection Gestione organizzazione |
Lettore di Information Protection | Cercare nel log di controllo unificato e visualizzare i report Di riepilogo traffico posta e Traffico di posta. | Azure Information Protection Lettori di Information Protection Gestione organizzazione |
Information Rights Management | Gestire le funzionalità di Information Rights Management (IRM) di Exchange in un'organizzazione. | Gestione della conformità Gestione organizzazione |
Insider Risk Management Amministrazione | Anche se questo ruolo è disponibile, non è utile in EOP autonomo. | Amministratore di conformità Gestione dei rischi Insider Amministratori della gestione dei rischi Insider Gestione organizzazione |
Indagine sulla gestione dei rischi Insider | Anche se questo ruolo è disponibile, non è utile in EOP autonomo. | Gestione dei rischi Insider Investigatori gestione dei rischi Insider Gestione organizzazione |
Inserimento nel journal | Consente agli amministratori di gestire la configurazione del journaling in un'organizzazione. | Gestione della conformità Gestione organizzazione Gestione record |
Conservazione a fini giudiziari | Consente agli amministratori di configurare se i dati all'interno di una cassetta postale devono essere conservati a scopo di controversia legale in un'organizzazione. | Gestione individuazione Gestione organizzazione |
Cartelle pubbliche abilitate alla posta | Consente agli amministratori di configurare se le singole cartelle pubbliche sono abilitate alla posta elettronica o disabilitate per la posta elettronica in un'organizzazione. | Gestione organizzazione |
Creazione destinatario di posta | Creare e rimuovere utenti di posta elettronica e contatti di posta elettronica. | Gestione organizzazione Gestione destinatari |
Mail Recipients | Modificare gli utenti di posta elettronica e i contatti di posta elettronica esistenti. | Gestione organizzazione Gestione destinatari |
Suggerimenti per la posta | Consente agli amministratori di gestire le impostazioni dei suggerimenti messaggio in un'organizzazione. | Gestione organizzazione |
Esportazione/importazione cassette postali | Consente agli amministratori di importare ed esportare il contenuto della cassetta postale. | Gestione organizzazione |
Ricerca cassetta postale | Consente agli amministratori di eseguire ricerche nel contenuto di una o più cassette postali in un'organizzazione. | Gestione individuazione |
Rilevamento messaggi | Consente agli amministratori di tenere traccia dei messaggi in un'organizzazione. | Gestione della conformità Gestione organizzazione Gestione destinatari Gestione record |
Migrazione | Consente agli amministratori di eseguire la migrazione del contenuto delle cassette postali e delle cassette postali all'esterno o all'esterno di un'organizzazione. | Gestione organizzazione Gestione destinatari |
Spostamento delle cassette postali | Consente agli amministratori di spostare le cassette postali. | Gestione organizzazione Gestione destinatari |
Accesso client dell'organizzazione | Consente agli amministratori di gestire le impostazioni di Accesso client in un'organizzazione. | Gestione organizzazione |
Configurazione dell'organizzazione | Consente agli amministratori di gestire le impostazioni a livello di organizzazione. | Gestione organizzazione |
Impostazioni trasporto organizzazione | Consente agli amministratori di gestire le impostazioni di trasporto della posta ibrida e a livello di organizzazione. | Gestione organizzazione |
Amministrazione gestione della privacy | Anche se questo ruolo è disponibile, non è utile in EOP autonomo. | Gestione organizzazione Gestione della privacy Amministratori della gestione della privacy |
Indagine sulla gestione della privacy | Anche se questo ruolo è disponibile, non è utile in EOP autonomo. | Gestione organizzazione Gestione della privacy Investigatori di gestione della privacy |
Cartelle pubbliche | Consente agli amministratori di gestire le cartelle pubbliche in un'organizzazione. | Gestione organizzazione |
Criteri del destinatario | Consente agli amministratori di gestire i criteri dei destinatari (criteri di autenticazione, criteri di crittografia dei dati criteri cassetta postale per dispositivi mobili e criteri cassetta postale Outlook sul web) in un'organizzazione. | Gestione organizzazione Gestione destinatari |
Domini remoti e accettati | Gestire domini remoti, domini accettati e connettori. | Gestione organizzazione |
Reimpostare la password | Consente agli amministratori di impostare le password delle cassette postali della sala. | Help Desk Gestione organizzazione Gestione destinatari |
Gestione conservazione | Consente agli utenti di gestire i criteri di conservazione. | Gestione della conformità Gestione organizzazione Gestione record |
Gestione dei ruoli | Consente agli amministratori di gestire gruppi di ruoli di gestione, criteri di assegnazione di ruolo, ruoli di gestione, voci di ruolo, assegnazioni e ambiti in un'organizzazione. | Gestione organizzazione |
Amministratore della sicurezza | Gestire la configurazione e i report per tutte le funzionalità di sicurezza e protezione. | Gestione organizzazione Amministratore della sicurezza |
Creazione e appartenenza di gruppi di sicurezza | Creare e gestire gruppi di sicurezza abilitati alla posta elettronica. | Gestione organizzazione |
Ruolo con autorizzazioni di lettura per la sicurezza | Visualizzare la configurazione e i report per le funzionalità di sicurezza e protezione. | Gestione organizzazione Ruolo con autorizzazioni di lettura per la sicurezza |
SensitivityLabelAdministrator | Consente agli utenti di modificare le proprietà delle etichette di riservatezza. | Gestione organizzazione Amministratore della sicurezza |
Gestione tenant AllowBlockList | Consente agli utenti di gestire l'elenco tenant consentiti/bloccati. | Gestione organizzazione Operatore della sicurezza |
TenantPlacesManagement | Anche se questo ruolo è disponibile, non è utile in EOP autonomo. | Gestione organizzazione |
Igiene dei trasporti | Gestire le funzionalità antimalware, anti-spam e anti-spoofing. | Gestione igiene Gestione organizzazione |
Regole di trasporto | Creare e gestire le regole del flusso di posta (note anche come regole di trasporto). | Gestione della conformità Gestione organizzazione Gestione record |
Opzioni utente | Consente agli amministratori di visualizzare le opzioni di Outlook sul web degli utenti dell'organizzazione. | Help Desk Gestione organizzazione |
Log di audit di sola visualizzazione | Cercare nel log di controllo dell'amministratore e visualizzare i risultati. | Gestione della conformità Gestione organizzazione |
Configurazione solo visualizzazione | Visualizzare tutte le impostazioni dell'organizzazione e del flusso di posta (non destinatario) nell'organizzazione. | Gestione della conformità Gestione igiene Gestione organizzazione Gestione organizzazione sola visualizzazione |
Destinatari solo visualizzazione | Visualizzare le proprietà del destinatario ed eseguire la traccia dei messaggi. | Gestione della conformità Help Desk Gestione di Hygiene Gestione organizzazione Gestione organizzazione sola visualizzazione |
Nota
- I nomi di ruolo che iniziano con il prefisso "My", ad esempio MyContactInformation, sono ruoli dell'utente finale. I ruoli dell'utente finale vengono assegnati agli utenti nei criteri di assegnazione di ruolo, che consentono agli utenti di operare su oggetti di loro proprietà (ad esempio, il proprio account o gruppi di distribuzione creati). Per altre informazioni, vedere Criteri di assegnazione di ruolo in Exchange Online.
- I nomi di ruolo che iniziano o terminano con "Application" fanno parte del controllo degli accessi in base al ruolo per le applicazioni in Exchange Online. Per altre informazioni, vedere Role Based Controllo di accesso for Applications in Exchange Online.For more information, see Role Based Controllo di accesso for Applications in Exchange Online.
Autorizzazioni di Microsoft 365 in EOP autonomo
Quando si crea un utente nel interfaccia di amministrazione di Microsoft 365, è possibile scegliere se assegnare all'utente diversi ruoli di Microsoft Entra, ad esempio Amministratore globale, Amministratore di Exchange e Lettore globale. La maggior parte dei ruoli Microsoft Entra concede le autorizzazioni amministrative in EOP all'utente.
Nota
L'account usato per creare l'organizzazione EOP autonoma viene assegnato automaticamente al ruolo Amministratore globale.
Nella tabella seguente sono elencati i ruoli Microsoft Entra e i gruppi di ruoli EOP autonomi a cui corrispondono. Per altre informazioni su questi ruoli, vedere Informazioni sui ruoli di amministratore.
ruolo Microsoft Entra | Gruppo di ruoli EOP |
---|---|
Amministratore globale | Gestione organizzazione Nota: il ruolo Amministratore globale e il gruppo di ruoli Gestione organizzazione sono associati usando un gruppo di ruoli Amministratore aziendale speciale. Il gruppo di ruoli Amministratore aziendale viene gestito internamente e non può essere modificato direttamente. |
Amministratore di Exchange | Gestione organizzazione |
Lettore globale | ViewOnlyOrganization Management |
Amministratore supporto tecnico | Help Desk |
Amministratore del supporto del servizio | Nessuno |
Amministratore SharePoint | Nessuno |
Amministratore di Teams | Nessuno |
Amministratore utente | Gestione destinatari |
Responsabile del successo dell'esperienza utente | Nessuno |
Agli utenti possono essere concessi diritti amministrativi in EOP senza aggiungerli ai ruoli Microsoft Entra aggiungendo l'utente come membro di un gruppo di ruoli EOP. L'utente ottiene le autorizzazioni in EOP, ma non ottiene autorizzazioni in altri carichi di lavoro di Microsoft 365. Per istruzioni, vedere Usare EAC per gestire i gruppi di ruoli.