Gerenciar grupos de funções no Exchange Online

Um grupo de funções é um USG (grupo de segurança universal) especial no modelo de permissões RBAC (role based Controle de Acesso) no Exchange Online. Os membros do grupo de funções recebem o mesmo conjunto de funções e você adiciona e remove permissões dos usuários adicionando-as ou removendo-as do grupo de funções. Para obter mais informações sobre grupos de funções no Exchange Online, consulte Permissões no Exchange Online.

Você pode gerenciar grupos de funções no Centro de administração do Exchange (EAC) e no Exchange Online PowerShell.

Do que você precisa saber para começar?

• O EAC está disponível em https://admin.exchange.microsoft.com. Para obter mais informações sobre o EAC, confira os seguintes artigos:

  • Centro de administração do Exchange no Exchange Online
  • Centro de administração do Exchange no EOP autônomo.

• Para abrir Exchange Online PowerShell, consulte Conectar-se ao Exchange Online PowerShell.

• Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

  • Exchange Online permissões: você precisa da função Gerenciamento de Função, que é atribuída ao grupo de funções gerenciamento de organização por padrão.
  • Microsoft Entra permissões: Associação à função de Administrador Global.

• Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste artigo, consulte Atalhos de teclado para o centro de administração do Exchange em Exchange Online.

Usar o EAC para gerenciar grupos de funções

No EAC em https://admin.exchange.microsoft.com, acesse Permissões>Administração funções. Ou, para ir diretamente para a página Administração funções, use https://admin.exchange.microsoft.com/#/adminRoles.

Usar o EAC para exibir grupos de funções e detalhes do grupo de funções

Na página Administração funções no EAC em https://admin.exchange.microsoft.com/#/adminRoles, as seguintes informações são mostradas para todos os grupos de funções internas e do cliente:

• Grupo de funções: o nome do grupo de funções.
• Descrição

Para classificar a lista de grupos de função, selecione em um cabeçalho de coluna.

Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar exibição e selecione Lista compacta.

Use a caixa Pesquisa e um valor correspondente para localizar grupos de funções específicos.

Para exibir os detalhes de um grupo de funções, selecione o grupo na lista clicando no nome. O flyout de detalhes aberto contém as seguintes guias:

• Guia geral : esta guia contém as seguintes informações sobre a função:

  • Nome
  • Descrição: selecione Editar noções básicas para alterar o Nome.
  • Gerenciado por
  • Escopo de gravação

• Guia atribuída : essa guia mostra os usuários que são membros da função. A guia tem a mesma exibição de alterações e recursos de pesquisa que a exibição do grupo de funções main.

  Para modificar a associação de grupo, consulte a seção.

Usar o EAC para criar grupos de funções

1. Na página Administração funções no EAC em https://admin.exchange.microsoft.com/#/adminRoles, faça uma das seguintes etapas:

   • Create um novo grupo de funções: verifique se nenhum grupo de função está selecionado e selecione Adicionar grupo de funções.
   • Copie um grupo de funções existente: selecione o grupo de funções que você deseja copiar selecionando a caixa de marcar redonda que aparece na área em branco ao lado da coluna nome do grupo de função e selecione a ação Copiar grupo de função que aparece**.

   Uma dessas etapas inicia o assistente de criação de função, conforme descrito nas etapas restantes.

2. Na página Noções básicas, defina as seguintes configurações:

   • Nome: insira um nome exclusivo para o grupo de função.
   • Descrição: insira uma descrição opcional para o grupo de funções.
   • Escopo de gravação: deixe o valor padrão Padrão ou selecione um objeto de escopo de gravação existente que você criou anteriormente no PowerShell.

   Se você estiver copiando um grupo de funções, o valor de nome padrão será Copiar o nome> do grupo de < função e o valor de Descrição existente for copiado, mas você poderá alterar esses valores.

   Quando terminar na página Noções básicas , selecione Avançar.

3. Na página Permissão, selecione as funções a serem atribuídas ao grupo de funções selecionando a caixa marcar ao lado da coluna Função.

   Para classificar as funções, selecione em um título de coluna:

   • Função
   • Descrição
   • Escopo padrão do destinatário
   • Escopo de configuração padrão

   Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar exibição e selecione Lista compacta.

   Use a caixa Pesquisa e um valor correspondente para encontrar um grupo de funções específico.

   Se você estiver copiando um grupo de funções, as permissões do grupo de funções original já estão selecionadas, mas você pode alterá-las.

   Quando terminar na página Permissão , selecione Avançar.

4. Na página Administradores , selecione os usuários para adicionar ao grupo de funções.

   Clique na caixa para ver todas as contas e grupos de funções qualificados para selecionar ou comece a digitar um nome ou nome de exibição para filtrar os resultados.

   Se você estiver copiando um grupo de funções, os membros do grupo de funções original já estão selecionados, mas você pode alterá-los.

   Para remover usuários do grupo, selecione Remover na entrada.

   Quando terminar na página Administradores , selecione Avançar

5. Na página Revisar e concluir , verifique suas seleções.

   Use os links Editar em cada seção para alterar o valor ou usar o botão Voltar .

   Quando terminar na página Revisar e concluir , selecione Adicionar grupo de funções ou Copiar grupo de funções para criar o grupo de funções.

Usar o EAC para modificar grupos de funções

Dica

Você não pode alterar o nome ou a descrição de um grupo de função interno.

Não altere as funções atribuídas a grupos de funções internos. Copie o grupo de funções existente e modifique a cópia ou crie um grupo de funções personalizado.

1. Na página Administração funções no EAC em https://admin.exchange.microsoft.com/#/adminRoles, selecione um grupo de funções clicando no nome do grupo de função.

2. No flyout de detalhes que é aberto, configure uma ou mais das seguintes configurações:

   • Guia geral : selecione Editar noções básicas para alterar o nome ou a descrição do grupo no flyout aberto e selecione Salvar.

   • Guia atribuído : alterar a associação do grupo de funções:

     • Adicionar membros: selecione Adicionar. No flyout Adicionar administradores que é aberto, clique na caixa para ver todas as contas e grupos de funções qualificados para selecionar ou comece a digitar um nome ou nome de exibição para filtrar os resultados. Selecione o usuário clicando na entrada abaixo da caixa e selecione Adicionar.

     • Remover membros: selecione a caixa marcar ao lado de um ou mais membros existentes na lista e selecione a ação Excluir exibida e selecione Sim, remova na caixa de diálogo de confirmação.

   • Guia permissão: selecione as funções a serem atribuídas ao grupo de funções selecionando a caixa marcar ao lado da coluna Função.

     Para classificar as funções, selecione em um título de coluna:

     • Função
     • Escopo padrão do destinatário
     • Escopo de configuração padrão

     Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar exibição e selecione Lista compacta.

     Use a caixa Pesquisa e um valor correspondente para encontrar um grupo de funções específico.

     Quando terminar na guia , selecione Salvar.

   Dica

   Os usuários precisam sair e entrar novamente para ver a alteração em seus diretos administrativos após a adição ou remoção de membros do grupo de funções.

Usar o EAC para remover grupos de funções

Você não pode remover grupos de funções internos, mas pode remover grupos de funções personalizados.

1. Na página Administração funções no EAC em https://admin.exchange.microsoft.com/#/adminRoles, selecione o grupo de função que você deseja remover selecionando a caixa de marcar redonda que aparece na área em branco ao lado da coluna nome do grupo de função e selecione a ação Excluir exibida.

2. No flyout de confirmação que é aberto, selecione Confirmar.

Usar Exchange Online PowerShell para gerenciar grupos de funções

Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.

Usar Exchange Online PowerShell para exibir grupos de funções

Para exibir um grupo de função, use a seguinte sintaxe:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

Este exemplo retorna uma lista de resumo de todos os grupos de funções.

Get-RoleGroup

Este exemplo retorna informações detalhadas para o grupo de funções chamado Administradores de Destinatários.

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

Este exemplo retorna todos os grupos de funções em que o usuário Julia é membro. Você precisa usar o valor DistinguishedName (DN) para Julia, que você pode encontrar executando o comando: Get-User -Identity Julia | Format-List DistinguishedName.

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-RoleGroup.

Usar Exchange Online PowerShell para criar grupos de funções

Para criar um novo grupo de funções, use a seguinte sintaxe:

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"

• O parâmetro Roles especifica as funções de gerenciamento a serem atribuídas ao grupo de funções usando a sintaxe "Role1","Role1",..."RoleN"a seguir . Você pode ver as funções disponíveis usando o cmdlet Get-ManagementRole disponível.
• O parâmetro Membros especifica os membros do grupo de funções usando a seguinte sintaxe: "Member1","Member2",..."MemberN". Você pode especificar usuários, grupos de segurança universais habilitados para email (USGs) ou outros grupos de função (entidades de segurança).
• O parâmetro ManagedBy especifica os delegados que podem modificar e remover o grupo de funções usando a seguinte sintaxe: "Delegate1","Delegate2",..."DelegateN". Essa configuração não está disponível no EAC.
• O parâmetro CustomRecipientWriteScope especifica o escopo de gravação de destinatário personalizado existente a ser aplicado ao grupo de funções. Você pode ver os escopos de escrita personalizados de destinatários disponíveis usando o cmdlet Get-Management Também tema.

Este exemplo cria um novo grupo de funções chamado "Gerenciamento limitado de destinatários" com as seguintes configurações:

• As funções Destinatários de Email e Pastas Públicas Habilitadas para Email são atribuídas ao grupo de funções.
• Os usuários Kim e Martin são adicionados como membros. Como nenhum escopo de gravação personalizado do destinatário foi especificado, Kim e Martin podem gerenciar qualquer destinatário na organização.

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

Este exemplo usa um escopo de gravação personalizado do destinatário, o que significa que Kim e Martin só podem gerenciar destinatários incluídos no escopo de Destinatários de Seattle (destinatários que têm sua propriedade city definida como o valor Seattle).

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

Para informações detalhadas de sintaxe e parâmetro, New-RoleGroup.

Usar Exchange Online PowerShell para copiar grupos de funções

1. Armazene o grupo de funções que deseja copiar em uma variável usando a seguinte sintaxe:

   $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
   

2. Create o novo grupo de funções usando a seguinte sintaxe:

   New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
   

   • O parâmetro Membros especifica os membros do grupo de funções usando a seguinte sintaxe: "Member1","Member2",..."MemberN". Você pode especificar usuários, grupos de segurança universais habilitados para email (USGs) ou outros grupos de função (entidades de segurança).
   • O parâmetro ManagedBy especifica os delegados que podem modificar e remover o grupo de funções usando a seguinte sintaxe: "Delegate1","Delegate2",..."DelegateN". Essa configuração não está disponível no EAC.
   • O parâmetro CustomRecipientWriteScope especifica o escopo de gravação de destinatário personalizado existente a ser aplicado ao grupo de funções. Você pode ver os escopos de escrita personalizados de destinatários disponíveis usando o cmdlet Get-Management Também tema.

Este exemplo copia o grupo de funções gerenciamento de organização para o novo grupo de funções chamado "Gerenciamento de Organização Limitada". Os membros do grupo são Isabelle, Carter e Lukas e os delegados do grupo são Jenny e Katie.

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"

Este exemplo copia o grupo de funções gerenciamento de organizações para o novo grupo de funções chamado Vancouver Organization Management com o escopo de gravação personalizado do destinatário dos Usuários de Vancouver.

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"

Para informações detalhadas de sintaxe e parâmetro, New-RoleGroup.

Usar Exchange Online PowerShell modificar a lista de membros em grupos de funções

• Os cmdlets Add-RoleGroupMember e Remove-RoleGroupMember adicionam ou removem membros individuais um de cada vez. O cmdlet Update-RoleGroupMember pode substituir ou modificar a lista de membros existente.
• Os membros de um grupo de funções podem ser usuários, USGs (grupos de segurança universal habilitados para email) ou outros grupos de funções (entidades de segurança).

Para modificar os membros de um grupo de funções, use a seguinte sintaxe:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>

• Para substituir a lista existente de membros pelos valores especificados, use a seguinte sintaxe: "Member1","Member2",..."MemberN".
• Para modificar seletivamente a lista de membros existente, use a seguinte sintaxe: @{Add="Member1","Member2"...; Remove="Member3","Member4"...}.

Este exemplo substitui todos os membros atuais do grupo de funções do Help Desk pelos usuários especificados.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

Este exemplo adiciona Daigoro Akai e remove Valeria Barrio da lista de membros no grupo de funções do Help Desk.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Update-RoleGroupMember.

Use Exchange Online PowerShell para adicionar funções a grupos de funções personalizados (criar atribuições de função)

Para adicionar funções a grupos de funções personalizados no Exchange Online PowerShell, crie atribuições de função de gerenciamento usando a seguinte sintaxe:

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]

• O nome da atribuição de função será criado automaticamente se você não especificar um.
• Se você não usar o parâmetro RecipientRelativeWriteScope , o escopo de leitura implícito e o escopo implícito de gravação da função serão aplicados à atribuição de função.
• Se um escopo predefinido atender aos seus requisitos de negócios, você poderá usar o parâmetro RecipientRelativeWriteScope para aplicar o escopo à atribuição de função.
• Para aplicar um escopo de gravação personalizado do destinatário, use o parâmetro CustomRecipientWriteScope .

Este exemplo atribui a função de gerenciamento de Regras de Transporte ao grupo de funções de conformidade de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Este exemplo atribui a função Acompanhamento de Mensagens ao grupo de funções de Suporte Empresarial e aplica o escopo predefinido da Organização.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Este exemplo atribui a função Acompanhamento de Mensagens ao grupo de funções administradores de destinatários de Seattle e aplica o escopo de Destinatários de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Use Exchange Online PowerShell para remover funções de grupos de função personalizados (remover atribuições de função)

Para remover funções de grupos de função personalizados no Exchange Online PowerShell, remova as atribuições de função de gerenciamento usando a seguinte sintaxe:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment

• Para remover atribuições de função regulares que concedem permissões aos usuários, use o valor $false para o parâmetro Delegando .
• Para remover atribuições de função delegadas que permitem que a função seja atribuída a outras pessoas, use o valor $true para o parâmetro Delegando .

Este exemplo remove a função Distribuição Grupos do grupo de funções Administradores de Destinatários de Seattle.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-ManagementRoleAssignment.

Use Exchange Online PowerShell para modificar o escopo de atribuições de função em grupos de funções personalizados

O escopo de gravação de uma atribuição de função em um grupo de funções define os objetos em que os membros do grupo de funções podem operar (por exemplo, todos os usuários ou apenas os usuários cuja propriedade City tem o valor Vancouver). Você pode modificar o escopo de gravação das funções atribuídas a um grupo de função personalizado para:

• O escopo implícito das funções em si. Isso significa que você não especificou nenhum escopo personalizado quando criou o grupo de funções ou definiu o valor de todas as atribuições de função em um grupo de funções existente para o valor $null.
• O mesmo escopo personalizado para todas as atribuições de função.
• Escopos personalizados diferentes para cada atribuição de função individual.

Para definir o escopo em todas as atribuições de função em um grupo de função ao mesmo tempo, use a seguinte sintaxe:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

Este exemplo altera o escopo do destinatário para todas as atribuições de função no grupo de funções gerenciamento de destinatários de vendas para Funcionários de Vendas Diretas.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Para alterar o escopo de uma atribuição de função individual entre um grupo de funções e uma função de gerenciamento, siga as seguintes etapas:

1. Substitua <o Nome> do Grupo de Funções pelo nome do grupo de funções e execute o seguinte comando para localizar os nomes de todas as atribuições de função no grupo de função:

   Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
   

2. Localize o nome de atribuição de função que deseja alterar. Use o nome da atribuição de função na próxima etapa.

3. Para definir o escopo na atribuição de função individual, use a seguinte sintaxe:

   Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
   

   Este exemplo altera o escopo do destinatário para a atribuição de função chamada Gerenciamento de Destinatários do Mail Recipients_Sales para Todos os Funcionários de Vendas.

   Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
   

Para informações detalhadas de sintaxes e de parâmetros, consulte Set-ManagementRoleAssignment.

Use Exchange Online PowerShell para modificar a lista de delegados em grupos de funções

Os delegados do grupo de funções definem quem tem permissão para modificar e excluir o grupo de funções. Você não pode gerenciar delegados do grupo de funções no EAC.

Para modificar a lista de delegados em um grupo de funções, use a seguinte sintaxe:

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>

• Para substituir a lista existente de delegados pelos valores especificados, use a seguinte sintaxe: "Delegate1","Delegate2",..."DelegateN".

• Para modificar seletivamente a lista de delegados existente, use a seguinte sintaxe: @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}.

Este exemplo substitui todos os delegados atuais do grupo de funções do Help Desk pelos usuários especificados.

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

Este exemplo adiciona Daigoro Akai e remove Valeria Barrio da lista de delegados no grupo de funções do Help Desk.

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-RoleGroup.

Use Exchange Online PowerShell para remover grupos de funções personalizados

Você não pode remover grupos de funções internos, mas pode remover grupos de funções personalizados.

Para remover um grupo de função personalizado, use a seguinte sintaxe:

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

Este exemplo remove o grupo de funções Training Administrators.

Remove-RoleGroup -Identity "Training Administrators"

Para informações detalhadas de sintaxes e de parâmetros, consulte Remove-RoleGroup.

Como saber se esses procedimentos funcionaram?

Para verificar se você criou, modificou ou removeu com êxito um grupo de funções, faça uma das seguintes etapas:

• No EAC, vá para a página Administração funções em https://admin.exchange.microsoft.com/#/adminRoles, e verifique se o grupo de funções está listado (ou não listado). Selecione o grupo de funções clicando no nome e verificando as configurações no flyout de detalhes que é aberto.

• Em Exchange Online PowerShell, substitua <o Nome> do Grupo de Funções pelo nome do grupo de funções e execute o seguinte comando para verificar se o grupo de funções existe (ou não existe) e verifique as configurações:

  Get-RoleGroup -Identity "<Role Group Name>" | Format-List