Noções básicas sobre as políticas de atribuições de função de gerenciamentoUnderstanding management role assignment policies

Aplica-se a: Exchange Server 2013Applies to: Exchange Server 2013

Uma política de atribuição de função de gerenciamento é uma coleção de uma ou mais funções de gerenciamento de usuário final que permite que os usuários finais gerenciem sua própria configuração de caixa de correio e grupo de distribuição do Microsoft Exchange Server 2013.A management role assignment policy is a collection of one or more end-user management roles that enables end users to manage their own Microsoft Exchange Server 2013 mailbox and distribution group configuration. As diretivas de atribuição de função, que são parte do modelo de permissões RBAC (controle de acesso baseado na função) no Exchange 2013, permitem controlar quais configurações de grupo de distribuição e caixa de correio específicas seus usuários finais poderão modificar.Role assignment policies, which are part of the Role Based Access Control (RBAC) permissions model in Exchange 2013, enable you to control what specific mailbox and distribution group configuration settings your end users can modify. Grupos de usuários diferentes podem ter diretivas de atribuição de função especializadas para eles.Different groups of users can have role assignment policies specialized to them.

Observação

Este tópico concentra-se na funcionalidade avançada de RBAC.This topic focuses on advanced RBAC functionality. Se você deseja gerenciar as permissões básicas do Exchange 2013, como usar o centro de administração do Exchange (Eat) para adicionar e remover membros de grupos de função, criar e modificar grupos de função ou criar e modificar políticas de atribuição de função, consulte Permissions.If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

Para mais informações sobre o RBAC, consulte Controle de acesso baseado em função de compreensão.For more information about RBAC, see Understanding Role Based Access Control.

Camadas de diretiva de atribuição de funçãoRole assignment policy layers

A lista a seguir descreve as camadas que compõem o modelo de diretiva de atribuição de função:The following list describes the layers that make up the role assignment policy model:

  • Caixa de correio: as caixas de correio são atribuídas a uma única diretiva de atribuição de função.Mailbox: Mailboxes are assigned a single role assignment policy. Quando uma caixa de correio é atribuída a uma diretiva de atribuição de função, as atribuições entre as funções de gerenciamento e a diretiva de atribuição de função são aplicadas à caixa de correio.When a mailbox is assigned a role assignment policy, the assignments between management roles and a role assignment policy are applied to the mailbox. Isso concede à caixa de correio todas as permissões oferecidas pelas funções de gerenciamento.This grants the mailbox all of the permissions provided by the management roles.

  • Política de atribuição de função de gerenciamento: a política de atribuição de função de gerenciamento é um objeto especial no Exchange 2013.Management role assignment policy: The management role assignment policy is a special object in Exchange 2013. Os usuários são associados a uma diretiva de atribuição de função quando suas caixas de correio são criadas, ou se você alterar a diretiva de atribuição de função em uma caixa de correio.Users are associated with a role assignment policy when their mailboxes are created, or if you change the role assignment policy on a mailbox. Também é a ela que você atribui funções de gerenciamento de usuário final.This is also what you assign end-user management roles to. A combinação de todas as funções em uma diretiva de atribuição de função define tudo o que o usuário pode gerenciar em sua caixa de correio ou em seus grupos de distribuição.The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • Atribuição de função de gerenciamento: uma atribuição de função de gerenciamento é o vínculo entre uma função de gerenciamento e uma diretiva de atribuição de função.Management role assignment: A management role assignment is the link between a management role and a role assignment policy. Atribuir uma função de gerenciamento a uma diretiva de atribuição de função concede a capacidade de usar cmdlets e parâmetros definidos na função de gerenciamento.Assigning a management role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the management role. Ao criar uma atribuição de função entre uma diretiva de atribuição de função e uma função de gerenciamento, não é possível especificar um escopo.When you create a role assignment between a role assignment policy and a management role, you can't specify any scope. O escopo aplicado pela atribuição é baseado na função de gerenciamento e é Self ou MyGAL .The scope applied by the assignment is based on the management role and is either Self or MyGAL. Para obter mais informações, consulte Noções básicas sobre as atribuições de função de gerenciamento.For more information, see Understanding management role assignments.

  • Função de gerenciamento: uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento.Management role: A management role is a container for a grouping of management role entries. As funções são usadas para definir as tarefas específicas que um usuário pode realizar em sua caixa de correio ou em seus grupos de distribuição.Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. Uma entrada de função de gerenciamento é um cmdlet, script ou permissão especial que permite que cada tarefa especificada em uma função de gerenciamento seja realizada.A management role entry is a cmdlet, script, or special permission that enables each specific task in a management role to be performed. Só é possível usar funções de gerenciamento com diretivas de atribuição de função.You can only use end-user management roles with role assignment policies. Para obter mais informações, consulte Understanding Management Roles.For more information, see Understanding management roles.

  • Entrada de função de gerenciamento: as entradas de função de gerenciamento são as entradas individuais de uma função de gerenciamento que determinam quais cmdlets e parâmetros estão disponíveis para a função de gerenciamento e o grupo de função.Management role entry: Management role entries are the individual entries on a management role that determine what cmdlets and parameters are available to the management role and the role group. Cada entrada de função consiste em um único cmdlet e nos parâmetros que podem ser acessados pela função de gerenciamento.Each role entry consists of a single cmdlet and the parameters that can be accessed by the management role.

A imagem a seguir mostra cada camada de diretiva de atribuição de função na lista anterior e como cada camada se relaciona à outra.The following figure shows each of the role assignment policy layers in the preceding list and how each of the layers relates to the other.

Modelo de diretiva de atribuição de função de gerenciamentoManagement role assignment policy model

Relacionamentos do Modelo de Atribuição de FunçãoRole Assignment Model Relationships

Para mais informações sobre funções de gerenciamento, atribuições de função e escopos, consulte Controle de acesso baseado em função de compreensão.For more information about management roles, role assignments, and scopes, see Understanding Role Based Access Control.

Diretivas de atribuição de função explícitas e padrãoDefault and explicit role assignment policies

As seções a seguir descrevem os dois tipos de diretivas de atribuição de função no Exchange 2013.The following sections describe the two types of role assignment policies in Exchange 2013.

Diretiva de atribuição de função padrãoDefault role assignment policy

Uma política de atribuição de função padrão é atribuída a uma caixa de correio quando a caixa de correio é criada ou movida para um servidor que executa o Exchange 2013, e uma diretiva de atribuição de função não foi fornecida usando o parâmetro RoleAssignmentPolicy nos cmdlets New-Mailbox ou Enable-Mailbox .A default role assignment policy is one assigned to a mailbox when the mailbox is created or moved to a server running Exchange 2013, and a role assignment policy wasn't provided using the RoleAssignmentPolicy parameter on the New-Mailbox or Enable-Mailbox cmdlets.

O Exchange 2013 inclui uma diretiva de atribuição de função padrão que oferece aos usuários finais as permissões de uso mais comum. As permissões padrão podem ser alteradas na diretiva de atribuição de função padrão adicionando funções de gerenciamento a ela ou removendo-as.Exchange 2013 includes a default role assignment policy that provides end users with the permissions most commonly used. You can change the default permissions on the default role assignment policy by adding or removing management roles to or from it.

Se você quiser substituir a diretiva de atribuição de função padrão integrada pela sua própria diretiva de atribuição de função padrão, use o cmdlet Set-RoleAssignmentPolicy para selecionar um novo padrão. Ao fazer isso, as caixas de correio novas são atribuídas à diretiva de atribuição de função especificada por padrão, caso uma diretiva de atribuição de função não seja especificada explicitamente.If you want to replace the built-in default role assignment policy with your own default role assignment policy, you can use the Set-RoleAssignmentPolicy cmdlet to select a new default. When you do this, any new mailboxes are assigned the role assignment policy you specified by default if you don't explicitly specify a role assignment policy.

Quando você altera a diretiva de atribuição de função padrão, as caixas de correio atribuídas à diretiva de atribuição de função padrão não são atribuídas automaticamente à nova diretiva de atribuição de função padrão. Se quiser atualizar caixas de correio criadas anteriormente para que usem a diretiva de atribuição de função que você definiu como padrão, use o cmdlet Set-Mailbox para isso.When you change the default role assignment policy, mailboxes assigned the default role assignment policy aren't automatically assigned the new default role assignment policy. If you want to update previously created mailboxes to use the role assignment policy you've set as default, you must use the Set-Mailbox cmdlet to do so.

Diretiva de Atribuição de Função ExplícitaExplicit Role Assignment Policy

Uma diretiva de atribuição de função explícita é uma diretiva que você atribui a uma caixa de correio manualmente usando o parâmetro RoleAssignmentPolicy nos cmdlets New-Mailbox, Set-Mailbox ou Enable-Mailbox.An explicit role assignment policy is a policy that you assign to a mailbox manually using the RoleAssignmentPolicy parameter on the New-Mailbox, Set-Mailbox, or Enable-Mailbox cmdlets. Ao atribuir uma diretiva de atribuição de função explícita, a nova diretiva tem efeito imediato e substitui a diretiva de atribuição de função explícita atribuída anteriormente.When you assign an explicit role assignment policy, the new policy takes effect immediately and replaces the previously assigned explicit role assignment policy.

Usando diretivas de atribuição de funçãoUsing role assignment policies

As diretivas de atribuição de função permitem adaptar as permissões com base nas necessidades empresariais seus usuários precisam ser capazes de configurar. Se a diretiva de atribuição de função padrão atender às suas necessidades, não será preciso fazer mais personalizações. No entanto, se você tiver muitos grupos de usuários diferentes com necessidades especializadas, é possível criar diretivas de atribuição de função para cada um deles.Role assignment policies enable you to tailor permissions based on what business needs your users need to be able to configure. If the default role assignment policy meets your needs, you don't need to do any customization. However, if you have many different user groups with specialized needs, you can create role assignment policies for each of them.

A diretiva de atribuição de função padrão que você usa deve conter as permissões que se aplicam ao maior grupo de seus usuários. Em seguida, crie diretivas de atribuição de função para cada grupo especializado de usuários e adapte essas diretivas de atribuição de função para conceder mais ou menos permissões restritivas a eles. Ao organizar suas diretivas de atribuição de função dessa forma, você reduz a complexidade atribuindo explicitamente apenas diretivas de atribuição de função aos seus usuários especializados, enquanto a maior parte de seus usuários recebe as permissões mais comuns fornecidas pela diretiva de atribuição de função padrão.The default role assignment policy you use should contain the permissions that apply to your broadest set of users. Then, create role assignment policies for each of your specialized user groups and tailor those role assignment policies to grant more or less restrictive permissions to them. When you organize your role assignment policies this way, you reduce complexity by only explicitly assigning role assignment policies to your specialized users while the majority of your users receive the more common permissions provided by the default role assignment policy.

Uma caixa de correio pode ter apenas uma diretiva de atribuição de função. A todos os usuários, incluindo os administradores e usuários especialistas, é atribuída uma diretiva de atribuição de função. Se quiser que um usuário tenha um conjunto diferente de permissões, atribua à caixa de correio do usuário outra diretiva de atribuição de função com as permissões exigidas.A mailbox can have only one role assignment policy. All users, including administrators and specialist users, are assigned one role assignment policy. If you want a user to have a different set of permissions, you must assign that user's mailbox another role assignment policy with the required permissions.

Gerenciamento de diretiva de atribuição de funçãoRole assignment policy management

Para adicionar uma nova diretiva de atribuição de função, crie uma primeiro e decida se ela deve ser a diretiva de atribuição de função padrão. Depois de criar uma diretiva de atribuição de função, atribua funções de gerenciamento à diretiva de atribuição de função e atribua a diretiva de atribuição de função às caixas de correio. Mais tarde, você poderá adicionar ou remover funções de gerenciamento ou escolher uma diretiva de atribuição de função diferente como padrão.To add a new role assignment policy, you first create one and decide whether it should be the default role assignment policy. After you create a role assignment policy, you assign management roles to the role assignment policy, and then assign the role assignment policy to mailboxes. You can later choose to add or remove management roles or choose a different role assignment policy to be the default.

A tabela a seguir lista a camada de diretiva de atribuição de função e os tópicos sobre os procedimentos que podem ser usados no gerenciamento de cada camada.The following table lists the role assignment policy layer and the procedural topics that you can use to manage each layer.

Tópicos de gerenciamento de diretiva de atribuição de funçãoRole assignment policy management topics

Camada de modelo de diretiva de atribuição de funçãoRole assignment policy model layer Tópicos de gerenciamentoManagement topics

MailboxMailbox

Gerenciar caixas de correio de usuáriosManage user mailboxes

Alterar a política de atribuição de uma caixa de correioChange the assignment policy on a mailbox

Diretiva de atribuição de funçãoRole assignment policy

Gerenciar políticas de atribuição de funçãoManage role assignment policies

Funções de gerenciamento e atribuiçõesManagement roles and assignments

Gerenciar políticas de atribuição de funçãoManage role assignment policies

Entradas de função de gerenciamentoManagement role entries

Adicionar uma entrada de função a uma funçãoAdd a role entry to a role

Alterar uma entrada de funçãoChange a role entry

Remover uma entrada de função de uma funçãoRemove a role entry from a role

Observação

Alterar as entradas de função de gerenciamento nas funções de gerenciamento em uma diretiva de atribuição de função é uma tarefa avançada e na maioria dos caso não é exigida.Changing the management role entries in management roles in a role assignment policy is an advanced task and is generally not required in most cases. Você pode, em vez disso, ser capaz de usar uma função de gerenciamento pré-existente adequada às suas necessidades.You may, instead, be able to use a preexisting management role that suits your requirements. Para obter mais informações, consulte grupos de função internos.For more information, see Built-in role groups.