Gerenciar grupos de funções no Exchange Online

Um grupo de funções é um tipo especial de USG (grupo de segurança universal) usado no modelo de permissões RBAC (role based Controle de Acesso) no Exchange Online. Grupos de funções de gerenciamento simplificam a atribuição e a manutenção de permissões aos usuários no Exchange Online. Os membros do grupo de funções recebem o mesmo conjunto de funções e você adiciona e remove permissões dos usuários adicionando-as ou removendo-as do grupo de funções. Para obter mais informações sobre grupos de funções no Exchange Online, consulte Permissões no Exchange Online.

Do que você precisa saber para começar?

• Tempo estimado para concluir cada procedimento: 5 a 10 minutos

• Para abrir o Centro de administração do Exchange (EAC), consulte Centro de administração do Exchange em Exchange Online. Para abrir Exchange Online PowerShell, consulte Conectar-se ao Exchange Online PowerShell.

• Os procedimentos neste tópico exigem a função RBAC de Gerenciamento de Funções no Exchange Online. Normalmente, você obtém essa permissão por meio da associação ao grupo de funções gerenciamento de organização (a função Microsoft 365 ou Office 365 Administrador global).

• Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste tópico, consulte Atalhos de teclado para o centro de administração do Exchange.

Dica

Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em: Exchange Online ou Proteção do Exchange Online.

Exibir grupos de funções

Usar o novo EAC para exibir grupos de funções

1. No novo EAC, acesse funções Administração funções>. Todos os grupos de funções em sua organização são listadas aqui.

2. Selecione um grupo de funções. O painel de detalhes mostra o Nome, Descrição, Gerenciado por, Escopo de gravação, Atribuído e Permissões do grupo de funções.

Usar o EAC clássico para exibir grupos de funções

1. No EAC clássico, acesse Permissões>Administração Funções. Todos os grupos de funções em sua organização são listadas aqui.

2. Selecione um grupo de funções. O painel de detalhes mostra o escopo Nome, Descrição, Atribuição, Membros, Gerenciado por e Gravação do grupo de funções. Você também pode ver essas informações clicando em Editar.

Usar Exchange Online PowerShell para exibir grupos de funções

Para exibir um grupo de função, use a seguinte sintaxe:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

Este exemplo retorna uma lista de resumo de todos os grupos de funções.

Get-RoleGroup

Este exemplo retorna informações detalhadas para o grupo de funções chamado Administradores de Destinatários.

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

Este exemplo retorna todos os grupos de funções em que o usuário Julia é membro. Você precisa usar o valor DistinguishedName (DN) para Julia, que você pode encontrar executando o comando: Get-User -Identity Julia | Format-List DistinguishedName.

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-RoleGroup.

Criar grupos de funções

Ao criar um novo grupo de funções, você precisa configurar todas as configurações por conta própria (durante a criação do grupo ou depois). Para começar com a configuração de um grupo de funções existente e modificá-lo, consulte Copiar grupos de funções existentes.

Usar o novo EAC para criar grupos de funções

1. No novo EAC, vá para funções Administração funções> e clique em Adicionar grupo de funções.

2. Na janela Adicionar grupo de função , em Configurar a seção básica , configure as seguintes configurações e clique em Avançar:

   • Nome: insira um nome exclusivo para o grupo de função.

   • Descrição: insira uma descrição opcional para o grupo de funções.

   • Escopo de gravação: o valor padrão é Padrão, mas você também pode selecionar um escopo de gravação personalizado do destinatário na lista suspensa.

3. Na seção Adicionar permissões , selecione as funções e clique em Avançar. As funções definem o escopo das tarefas que os membros atribuídos a esse grupo de funções têm permissão para gerenciar.

4. Na seção Atribuir administradores , selecione os usuários para atribuir a esse grupo de funções e clique em Avançar. Eles terão permissões para gerenciar as funções atribuídas.

5. Na seção Revisar grupo de funções e concluir , verifique todos os detalhes e clique em Adicionar grupo de funções.

6. Clique em Concluído.

Usar o EAC clássico para criar grupos de funções

1. No EAC clássico, acesse Permissões>Administração Funções e clique em Adicionar.

2. Na janela Novo grupo de função exibida, configure as seguintes configurações:

   • Nome: insira um nome exclusivo para o grupo de função.

   • Descrição: insira uma descrição opcional para o grupo de funções.

   • Escopo de gravação: o valor padrão é Padrão, mas você também pode selecionar um escopo de gravação personalizado do destinatário que você já criou.

   • Funções: clique em para selecionar as funções que você deseja atribuir ao grupo de funções na nova janela exibida.

   • Membros: clique em para selecionar os membros que você deseja adicionar ao grupo de funções na nova janela exibida. Você pode selecionar usuários, USGs (grupos de segurança universal habilitados para email) ou outros grupos de funções (entidades de segurança).

   Quando terminar, clique em Salvar para criar o grupo de funções.

Use Exchange Online PowerShell para criar um grupo de funções

Para criar um novo grupo de funções, use a seguinte sintaxe:

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"

• O parâmetro Roles especifica as funções de gerenciamento a serem atribuídas ao grupo de funções usando a sintaxe "Role1","Role1",..."RoleN"a seguir . Você pode ver as funções disponíveis usando o cmdlet Get-ManagementRole disponível.
• O parâmetro Membros especifica os membros do grupo de funções usando a seguinte sintaxe: "Member1","Member2",..."MemberN". Você pode especificar usuários, grupos de segurança universais habilitados para email (USGs) ou outros grupos de função (entidades de segurança).
• O parâmetro ManagedBy especifica os delegados que podem modificar e remover o grupo de funções usando a seguinte sintaxe: "Delegate1","Delegate2",..."DelegateN". Observe que essa configuração não está disponível no EAC.
• O parâmetro CustomRecipientWriteScope especifica o escopo de gravação de destinatário personalizado existente a ser aplicado ao grupo de funções. Você pode ver os escopos de escrita personalizados de destinatários disponíveis usando o cmdlet Get-Management Também tema.

Este exemplo cria um novo grupo de funções chamado "Gerenciamento limitado de destinatários" com as seguintes configurações:

• As funções Destinatários de Email e Pastas Públicas Habilitadas para Email são atribuídas ao grupo de funções.
• Os usuários Kim e Martin são adicionados como membros. Como nenhum escopo de gravação personalizado do destinatário foi especificado, Kim e Martin podem gerenciar qualquer destinatário na organização.

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

Este é o mesmo exemplo com um escopo de gravação personalizado do destinatário, o que significa que Kim e Martin só podem gerenciar destinatários incluídos no escopo de Destinatários de Seattle (destinatários que têm sua propriedade City definida como o valor Seattle).

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

Para informações detalhadas de sintaxe e parâmetro, New-RoleGroup.

Copiar grupos de funções existentes

Se um grupo de funções existente estiver próximo em termos das permissões e configurações que você deseja atribuir aos usuários, você poderá copiar o grupo de funções existente e modificar a cópia para atender às suas necessidades.

Usar o novo EAC para copiar um grupo de funções

Observação: você não pode usar o novo EAC para copiar um grupo de funções se tiver usado Exchange Online PowerShell para configurar vários escopos ou escopos exclusivos no grupo de funções. Para copiar grupos de funções que têm essas configurações, você precisa usar Exchange Online PowerShell.

1. No novo EAC, acesse funções Administração funções>.

2. Selecione o grupo de funções que você deseja copiar e clique em Copiar grupo de funções.

3. Na janela Copiar grupo de funções , em Configurar a seção básica , configure as seguintes configurações e clique em Avançar:

   • Nome: o valor padrão é "Cópia do Nome> do Grupo de< Funções, mas você pode inserir um nome exclusivo para o grupo de função.
   • Descrição: a descrição existente está presente, mas você pode alterá-la.
   • Escopo de gravação: o escopo de gravação existente está selecionado, mas você pode selecionar Padrão ou um escopo de gravação personalizado do destinatário na lista suspensa.

4. Na seção Editar permissões , modifique as funções e clique em Avançar. As funções definem o escopo das tarefas que os membros atribuídos a esse grupo de funções têm permissão para gerenciar.

5. Na seção Atribuir administradores , modifique a associação do grupo de funções e clique em Avançar. Eles terão permissões para gerenciar as funções atribuídas.

6. Na seção Revisar grupo de funções e concluir , verifique todos os detalhes e clique em Copiar grupo de funções.

7. Clique em Concluído.

Usar o EAC clássico para copiar um grupo de funções

Observação: você não pode usar o EAC clássico para copiar um grupo de funções se tiver usado Exchange Online PowerShell para configurar vários escopos ou escopos exclusivos no grupo de funções. Para copiar grupos de funções que têm essas configurações, você precisa usar Exchange Online PowerShell.

1. No EAC clássico, acesse Permissões>Administração Funções.

2. Selecione o grupo de funções que você deseja copiar e clique em .

3. Na janela Novo grupo de função exibida, configure as seguintes configurações:

   • Nome: o valor padrão é "Cópia do Nome> do Grupo de< Funções, mas você pode inserir um nome exclusivo para o grupo de função.

   • Descrição: a descrição existente está presente, mas você pode alterá-la.

   • Escopo de gravação: o escopo de gravação existente está selecionado, mas você pode selecionar Padrão ou outro escopo de gravação personalizado do destinatário que você já criou.

   • Funções: clique em Remover para modificar as funções atribuídas ao grupo de funções.

   • Membros: clique em ou Remover para modificar a associação do grupo de função.

   Quando terminar, clique em Salvar para criar o grupo de funções.

Usar Exchange Online PowerShell para copiar um grupo de funções

1. Armazene o grupo de funções que deseja copiar em uma variável usando a seguinte sintaxe:

   $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
   

2. Crie o novo grupo de funções usando a seguinte sintaxe:

   New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
   

   • O parâmetro Membros especifica os membros do grupo de funções usando a seguinte sintaxe: "Member1","Member2",..."MemberN". Você pode especificar usuários, grupos de segurança universais habilitados para email (USGs) ou outros grupos de função (entidades de segurança).
   • O parâmetro ManagedBy especifica os delegados que podem modificar e remover o grupo de funções usando a seguinte sintaxe: "Delegate1","Delegate2",..."DelegateN". Observe que essa configuração não está disponível no EAC.
   • O parâmetro CustomRecipientWriteScope especifica o escopo de gravação de destinatário personalizado existente a ser aplicado ao grupo de funções. Você pode ver os escopos de escrita personalizados de destinatários disponíveis usando o cmdlet Get-Management Também tema.

Este exemplo copia o grupo de funções gerenciamento de organização para o novo grupo de funções chamado "Gerenciamento de Organização Limitada". Os membros do grupo são Isabelle, Carter e Lukas e os delegados do grupo são Jenny e Katie.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"

Este exemplo copia o grupo de funções gerenciamento de organizações para o novo grupo de funções chamado Vancouver Organization Management com o escopo de gravação personalizado do destinatário dos Usuários de Vancouver.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"

Para informações detalhadas de sintaxe e parâmetro, New-RoleGroup.

Modificar grupos de funções

Usar o novo EAC para modificar grupos de funções

1. No novo EAC, vá para Funções>Administração funções, selecione o grupo de funções que você deseja modificar e edite o seguinte no painel de detalhes:

   • Na seção Geral , clique em Editar noções básicas para alterar o nome e a descrição.
   • Na seção Atribuído , adicione/exclua usuários desse grupo de funções.
   • Na seção Permissões , adicione/remova funções atribuídas ao grupo de funções.

2. Quando concluir, clique em Salvar.

Usar o EAC clássico para modificar grupos de funções

1. No EAC Clássico, acesse Permissões>Administração Funções, selecione o grupo de funções que você deseja modificar e clique em Editar.

As mesmas opções estão disponíveis quando você modifica grupos de funções como quando você usa o EAC clássico para criar grupos de funções. Você pode:

• Altere o nome e a descrição.
• Altere o escopo de gravação (se você criou escopos de gravação personalizados do destinatário).
• Adicionar e remover funções de gerenciamento (criar ou remover atribuições de função).
• Adicionar e remover membros a um caso.

Observações:

• Você não pode usar o EAC clássico para modificar o escopo de gravação, funções e membros de um grupo de funções se você tiver usado Exchange Online PowerShell para configurar vários escopos ou escopos exclusivos no grupo de funções. Para modificar as configurações desses grupos de funções, você precisa usar Exchange Online PowerShell.
• Alguns grupos de funções (por exemplo, o grupo de funções gerenciamento de organização) restringem as funções que você pode remover do grupo.
• Você pode adicionar ou remover delegados a um grupo de funções no EAC Clássico. Você só pode usar Exchange Online PowerShell.

Use Exchange Online PowerShell para adicionar funções a grupos de funções (criar atribuições de função)

Para adicionar funções a grupos de funções no Exchange Online PowerShell, crie atribuições de função de gerenciamento usando a seguinte sintaxe:

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]

• O nome da atribuição de função será criado automaticamente se você não especificar um.
• Se você não usar o parâmetro RecipientRelativeWriteScope , o escopo de leitura implícito e o escopo implícito de gravação da função serão aplicados à atribuição de função.
• Se um escopo predefinido atender aos seus requisitos de negócios, você poderá usar o parâmetro RecipientRelativeWriteScope para aplicar o escopo à atribuição de função.
• Para aplicar um escopo de gravação personalizado do destinatário, use o parâmetro CustomRecipientWriteScope .

Este exemplo atribui a função de gerenciamento de Regras de Transporte ao grupo de funções de conformidade de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Este exemplo atribui a função Acompanhamento de Mensagens ao grupo de funções de Suporte Empresarial e aplica o escopo predefinido da Organização.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Este exemplo atribui a função Controle de Mensagens ao grupo de funções administradores de destinatários de Seattle e aplica o escopo de Destinatários de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Use Exchange Online PowerShell para remover funções de grupos de funções (remover atribuições de função)

Para remover funções de grupos de funções no Exchange Online PowerShell, remova as atribuições de função de gerenciamento usando a seguinte sintaxe:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment

• Para remover atribuições de função regulares que concedem permissões aos usuários, use o valor $false para o parâmetro Delegando .
• Para remover atribuições de função delegadas que permitem que a função seja atribuída a outras pessoas, use o valor $true para o parâmetro Delegando .

Este exemplo remove a função Grupos de Distribuição do grupo de funções Administradores de Destinatários de Seattle.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-ManagementRoleAssignment.

Use Exchange Online PowerShell para modificar o escopo de atribuições de função em grupos de funções

O escopo de gravação de uma atribuição de função em um grupo de funções define os objetos em que os membros do grupo de funções podem operar (por exemplo, todos os usuários ou apenas os usuários cuja propriedade City tem o valor Vancouver). Você pode modificar o escopo de gravação das funções atribuídas a um grupo de funções para:

• O escopo implícito das funções em si. Isso significa que você não especificou nenhum escopo personalizado quando criou o grupo de funções ou definiu o valor de todas as atribuições de função em um grupo de funções existente para o valor $null.
• O mesmo escopo personalizado para todas as atribuições de função.
• Escopos personalizados diferentes para cada atribuição de função individual.

Para definir o escopo em todas as atribuições de função em um grupo de função ao mesmo tempo, use a seguinte sintaxe:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

Este exemplo altera o escopo do destinatário para todas as atribuições de função no grupo de funções gerenciamento de destinatários de vendas para Funcionários de Vendas Diretas.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Para alterar o escopo de uma atribuição de função individual entre um grupo de funções e uma função de gerenciamento, siga as seguintes etapas:

1. Substitua <o Nome> do Grupo de Funções pelo nome do grupo de funções e execute o seguinte comando para localizar os nomes de todas as atribuições de função no grupo de função:

   Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
   

2. Localize o nome de atribuição de função que deseja alterar. Use o nome da atribuição de função na próxima etapa.

3. Para definir o escopo na atribuição de função individual, use a seguinte sintaxe:

   Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
   

   Este exemplo altera o escopo do destinatário para a atribuição de função chamada Gerenciamento de Destinatários do Mail Recipients_Sales para Todos os Funcionários de Vendas.

   Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
   

Para informações detalhadas de sintaxes e de parâmetros, consulte Set-ManagementRoleAssignment.

Use Exchange Online PowerShell para modificar a lista de delegados em grupos de funções

Os delegados do grupo de funções definem quem tem permissão para modificar e excluir o grupo de funções. Você não pode gerenciar delegados do grupo de funções no EAC.

Para modificar a lista de delegados em um grupo de funções, use a seguinte sintaxe:

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>

• Para substituir a lista existente de delegados pelos valores especificados, use a seguinte sintaxe: "Delegate1","Delegate2",..."DelegateN".

• Para modificar seletivamente a lista de delegados existente, use a seguinte sintaxe: @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}.

Este exemplo substitui todos os delegados atuais do grupo de funções do Help Desk pelos usuários especificados.

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

Este exemplo adiciona Daigoro Akai e remove Valeria Barrio da lista de delegados no grupo de funções do Help Desk.

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-RoleGroup.

Use Exchange Online PowerShell para modificar a lista de membros em grupos de funções

• Os cmdlets Add-RoleGroupMember e Remove-RoleGroupMember adicionam ou removem membros individuais um de cada vez. O cmdlet Update-RoleGroupMember pode substituir ou modificar a lista de membros existente.

• Os membros de um grupo de funções podem ser usuários, USGs (grupos de segurança universal habilitados para email) ou outros grupos de funções (entidades de segurança).

Para modificar os membros de um grupo de funções, use a seguinte sintaxe:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members> [-BypassSecurityGroupManagerCheck]

• Para substituir a lista existente de membros pelos valores especificados, use a seguinte sintaxe: "Member1","Member2",..."MemberN".
• Para modificar seletivamente a lista de membros existente, use a seguinte sintaxe: @{Add="Member1","Member2"...; Remove="Member3","Member4"...}.

Este exemplo substitui todos os membros atuais do grupo de funções do Help Desk pelos usuários especificados.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

Este exemplo adiciona Daigoro Akai e remove Valeria Barrio da lista de membros no grupo de funções do Help Desk.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Update-RoleGroupMember.

Remover grupos de funções

Você não pode remover grupos de funções internos, mas pode remover grupos de funções personalizados que você criou.

Observações:

• Quando você remove um grupo de função, as atribuições de função de gerenciamento entre o grupo de função e as funções de gerenciamento são removidas. Todas as funções de gerenciamento atribuídas ao grupo de funções não são excluídas.
• Se um usuário depender do grupo de funções para acesso a um recurso, o usuário não terá mais acesso ao recurso depois de excluir o grupo de funções.

Usar o novo EAC para remover um grupo de funções

1. No novo EAC, acesse funções Administração funções>.
2. Selecione o grupo de funções e clique em Excluir.
3. Clique em Confirmar na janela de confirmação.

Usar o EAC para remover um grupo de funções

1. No EAC, acesse Permissões>Administração Funções.
2. Selecione o grupo de funções que você deseja remover e clique em Excluir.
3. Clique em Sim na janela de confirmação exibida.

Usar Exchange Online PowerShell para remover um grupo de funções

Para remover um grupo de função personalizado, use a seguinte sintaxe:

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

Este exemplo remove o grupo de funções Training Administrators.

Remove-RoleGroup -Identity "Training Administrators"

Este exemplo remove o grupo de funções Vancouver Recipient Administrators. Como o usuário que executa o comando não está definido na propriedade ManagedBy do grupo de funções, a opção BypassSecurityGroupManagerCheck é necessária no comando. O usuário que está executando o comando recebe a função Gerenciamento de Função, que permite que o usuário ignore a verificação do gerenciador do grupo de segurança.

Remove-RoleGroup - Identity "Vancouver Recipient Administrators" -BypassSecurityGroupManagerCheck

Para informações detalhadas de sintaxes e de parâmetros, consulte Remove-RoleGroup.