Разрешения в автономном EOP
Автономная организация Exchange Online Protection (EOP) без Exchange Online почтовых ящиков использует модель разрешений на основе ролей контроль доступа (RBAC), чтобы легко предоставлять разрешения администраторам. Вы можете использовать функции разрешений в автономном EOP, чтобы быстро запустить новую организацию.
Сведения о предоставлении разрешений пользователям см. в статье Управление группами ролей администраторов в EOP.
Дополнительные сведения о разрешениях в Microsoft 365 см. в разделе О ролях администратора.
Разрешения на основе ролей
Разрешения администратора, предоставляемые пользователям, основаны на ролях управления. Роль управления определяет командлеты, доступные для набора заданных задач. Центр администрирования Exchange (EAC) и автономный EOP PowerShell используют командлеты. Таким образом, предоставление доступа к командлету дает пользователям разрешение на выполнение задач в EAC или в автономном EOP PowerShell. Например, роль Получатели почты определяет командлеты, необходимые для изменения пользователей почты.
Группы ролей
Чтобы упростить назначение ролей пользователям, автономная служба EOP использует группы ролей. Роли управления назначаются группам ролей, а члены группы ролей получают разрешения, связанные с ролями. Другими словами, роли управления не назначаются пользователям напрямую; они назначаются группе ролей. Эта модель позволяет назначать несколько ролей нескольким членам группы ролей одновременно. Члены группы ролей могут быть почтовыми пользователями, группами безопасности с поддержкой почты, пользователями из Центр администрирования Microsoft 365 и другими группами ролей.
На приведенном ниже рисунке показана взаимосвязь между пользователями, группами ролей и ролями.
Доступные группы ролей в автономном EOP описаны в следующей таблице.
| Группа ролей | Описание | Назначенные роли по умолчанию |
|---|---|---|
| Соответствие требованиям к обмену данными | Хотя эта группа ролей доступна, она не делает ничего полезного в автономном EOP. | Администратор соответствия требованиям к обмену данными Исследование соответствия требованиям к обмену данными |
| Администраторы соответствия требованиям к обмену данными | Хотя эта группа ролей доступна, она не делает ничего полезного в автономном EOP. | Администратор соответствия требованиям к обмену данными |
| Администратор соответствия требованиям | Управление параметрами управления устройствами, защиты от потери данных, отчетов и сохранения. | Администратор соответствия требованиям к обмену данными Управление внутренними рисками Администратор |
| Управление соответствием требованиям | Настройка параметров соответствия требованиям и управление ими в организации, включая защиту от потери данных (DLP), если в вашей подписке есть возможности защиты от потери данных. Члены роли "Администратор соответствия требованиям" в Microsoft Entra ID автоматически получают разрешения этой группы ролей. |
Журналы аудита Администратор соответствия требованиям Защита от потери данных Управление правами на доступ к данным Ведение журнала Отслеживание сообщений Управление хранением Правила транспорта Журналы аудита только для просмотра Конфигурация только для чтения Получатели только для чтения |
| Управление обнаружением | выполнять поиск данных, соответствующих определенным критериям, в почтовых ящиках в организации Exchange. | Юридическое удержание Поиск в почтовом ящике |
| Служба технической поддержки | Просмотр пользователей почты и управление ими. | Сброс пароля Параметры пользователя Получатели только для чтения |
| Управление санацией | Управление функциями защиты (защита от нежелательной почты, защита от вредоносных программ и т. д.). | Транспортная гигиена Конфигурация только для чтения Получатели только для чтения |
| Защита информации | Полный контроль над всеми функциями защиты информации, включая метки конфиденциальности и их политики, защиту от потери данных, все типы классификаторов, обозревателей действий и содержимого, а также все связанные отчеты. | Администратор Information Protection Исследователь Information Protection Читатель Information Protection |
| Администраторы Information Protection | Хотя эта группа ролей доступна, она не делает ничего полезного в автономном EOP. | Администратор Information Protection |
| Аналитики Information Protection | Хотя эта группа ролей доступна, она не делает ничего полезного в автономном EOP. | Нет |
| Исследователи Information Protection | Поиск в едином журнале аудита | Исследователь Information Protection |
| Читатели Information Protection | Выполните поиск в едином журнале аудита и просмотрите отчеты о трафике почты и сводке трафика почты. | Читатель Information Protection |
| Управление внутренними рисками | Управление доступом для управления внутренними рисками. | Управление внутренними рисками Администратор Исследование управления внутренними рисками |
| Администраторы управления внутренними рисками | Хотя эта группа ролей доступна, она не делает ничего полезного в автономном EOP. | Управление внутренними рисками Администратор |
| Исследователи управления внутренними рисками | Хотя эта группа ролей доступна, она не делает ничего полезного в автономном EOP. | Исследование управления внутренними рисками |
| Управление организацией | Администратор доступ ко всей организации и возможность выполнения практически любой задачи. Члены роли глобального администратора в Microsoft Entra ID автоматически получают разрешения этой группы ролей. Важно! Так как группа ролей "Управление организацией" является мощной ролью, в нее должны вступить только пользователи, выполняющие административные задачи на уровне организации. |
Журналы аудита Администратор соответствия требованиям к обмену данными Исследование соответствия требованиям к обмену данными Администратор соответствия требованиям Защита от потери данных Динамические группы рассылки Политики адресов электронной почты Федеративный доступ Администратор Information Protection Исследователь Information Protection Читатель Information Protection Управление правами на доступ к данным Управление внутренними рисками Администратор Исследование управления внутренними рисками Ведение журнала Юридическое удержание Общие папки с включенной поддержкой почты Создание получателей почты Получатели почты Советы по почте Отслеживание сообщений Миграция Перемещение почтовых ящиков Пользовательские приложения в организации. Приложения Marketplace в организации. Доступ к клиенту организации Конфигурация организации Параметры транспорта организации Управление конфиденциальностью Администратор Исследование управления конфиденциальностью Общедоступные папки Политики получателей Удаленные и принятые домены Сброс пароля Управление хранением Управление ролями Администратор безопасности Создание группы безопасности и членство в ней Читатель сведений о безопасности TenantPlacesManagement Транспортная гигиена Правила транспорта Параметры пользователя Журналы аудита только для просмотра Конфигурация только для чтения Получатели только для чтения |
| Управление конфиденциальностью | Хотя эта группа ролей доступна, она не делает ничего полезного в автономном EOP. | Управление конфиденциальностью Администратор Исследование управления конфиденциальностью |
| Администраторы управления конфиденциальностью | Хотя эта группа ролей доступна, она не делает ничего полезного в автономном EOP. | Управление конфиденциальностью Администратор |
| Следователи по управлению конфиденциальностью | Хотя эта группа ролей доступна, она не делает ничего полезного в автономном EOP. | Исследование управления конфиденциальностью |
| Управление получателями | Создание, администрирование и удаление объектов получателей в организации. | Динамические группы рассылки Создание получателей почты Получатели почты Отслеживание сообщений Миграция Перемещение почтовых ящиков Политики получателей Сброс пароля |
| Управление записями | Настройте функции соответствия, такие как теги политики хранения, классификации сообщений и правила потока обработки почты (также известные как правила транспорта). | Журналы аудита Ведение журнала Отслеживание сообщений Управление хранением Правила транспорта |
| RIM-MailboxAdmins<GUID> | Не используется | ApplicationImpersonation |
| Администратор безопасности | Настройте все аспекты защиты в организации (защита от спама, защита от вредоносных программ, защита от спуфингом, карантин и т. д.). Члены роли администратора безопасности в Microsoft Entra ID автоматически получают разрешения этой группы ролей. |
Администратор безопасности SensitivityLabelAdministrator |
| Оператор безопасности | Управление оповещениями системы безопасности, а также просмотр отчетов и параметров функций безопасности. Члены роли "Оператор безопасности" в Microsoft Entra ID автоматически получают разрешения этой группы ролей. |
Клиент AllowBlockList Manager |
| SecurityReader | Доступ только к просмотру всех аспектов защиты в организации (защита от спама, защита от вредоносных программ, защита от спуфингом, карантин и т. д.). Члены роли читателя безопасности в Microsoft Entra ID автоматически получают разрешения этой группы ролей. |
Читатель сведений о безопасности |
| <TenantAdmins_Number> | Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Этой группе ролей не назначаются роли, но она входит в группу ролей Управление организацией и наследует эти разрешения. | Нет |
| Управление организацией только с правом на просмотр | Просмотр объектов получателей, защиты и конфигурации, а также их свойств в организации. | Конфигурация только для чтения Получатели только для чтения |
Если вы работаете в небольшой организации, вы можете использовать только группу ролей Управление организацией. В крупных организациях с администраторами, отвечающими за определенные задачи (например, только конфигурацию получателей), можно также использовать группу ролей Управление получателями. Затем администраторы могут управлять своими конкретными областями без разрешений в областях, за которые они не отвечают.
Если встроенные группы ролей в Exchange Online не соответствуют функции заданий администраторов, можно создать группы ролей и добавить в них роли. Дополнительные сведения см. в разделе Управление группами ролей в автономном EOP.
Роли
Встроенные роли, доступные в автономном EOP, описаны в следующей таблице.
| Role | Описание | Назначения групп ролей по умолчанию |
|---|---|---|
| Списки адресов | Позволяет администраторам управлять списками адресов, глобальными списками адресов и автономными списками адресов в организации. | Нет |
| Журналы аудита | Выполните поиск в журнале аудита администратора и просмотрите результаты. | Управление соответствием требованиям Управление организацией Управление записями |
| Администратор соответствия требованиям к обмену данными | Хотя эта роль доступна, она не делает ничего полезного в автономном EOP. | Соответствие требованиям к обмену данными Администраторы соответствия требованиям к обмену данными Администратор соответствия требованиям Управление организацией |
| Исследование соответствия требованиям к обмену данными | Хотя эта роль доступна, она не делает ничего полезного в автономном EOP. | Управление организацией |
| Администратор соответствия требованиям | Позволяет пользователям просматривать и изменять параметры и отчеты для функций соответствия требованиям. | Управление соответствием требованиям Управление организацией |
| Защита от потери данных | Позволяет администраторам управлять параметрами защиты от потери данных (DLP) в организации. | Управление соответствием требованиям Управление организацией |
| Динамические группы рассылки | Создание и управление всеми группами рассылки, группами безопасности с поддержкой почты и участниками. | Управление организацией Управление получателями |
| Политики адресов электронной почты | Позволяет администраторам управлять политиками адресов электронной почты в организации. | Управление организацией |
| Федеративный доступ | Позволяет администраторам управлять общим доступом между лесами и организациями в организации. | Управление организацией |
| Администратор Information Protection | Хотя эта роль доступна, она не делает ничего полезного в автономном EOP. | Защита информации Администраторы Information Protection Управление организацией |
| Исследователь Information Protection | Выполните поиск по единому журналу аудита. | Защита информации Исследователи Information Protection Управление организацией |
| Читатель Information Protection | Выполните поиск в едином журнале аудита и просмотрите отчеты о трафике почты и сводке трафика почты. | Защита информации Читатели Information Protection Управление организацией |
| Управление правами на доступ к данным | Управление функциями управления правами на доступ к данным (IRM) в Exchange в организации. | Управление соответствием требованиям Управление организацией |
| Управление внутренними рисками Администратор | Хотя эта роль доступна, она не делает ничего полезного в автономном EOP. | Администратор соответствия требованиям Управление внутренними рисками Администраторы управления внутренними рисками Управление организацией |
| Исследование управления внутренними рисками | Хотя эта роль доступна, она не делает ничего полезного в автономном EOP. | Управление внутренними рисками Исследователи управления внутренними рисками Управление организацией |
| Ведение журнала | Позволяет администраторам управлять конфигурацией журналов в организации. | Управление соответствием требованиям Управление организацией Управление записями |
| Юридическое удержание | Позволяет администраторам настраивать, следует ли хранить данные в почтовом ящике в целях судебного разбирательства в организации. | Управление обнаружением Управление организацией |
| Общие папки с включенной поддержкой почты | Позволяет администраторам настраивать, включены ли отдельные общедоступные папки в почте или отключены в организации. | Управление организацией |
| Создание получателей почты | Создание и удаление почтовых пользователей и почтовых контактов. | Управление организацией Управление получателями |
| Получатели почты | Изменение существующих почтовых пользователей и почтовых контактов. | Управление организацией Управление получателями |
| Советы по почте | Позволяет администраторам управлять параметрами подсказки в организации. | Управление организацией |
| Импорт и экспорт почтовых ящиков. | Позволяет администраторам импортировать и экспортировать содержимое почтовых ящиков. | Управление организацией |
| Поиск в почтовом ящике | Позволяет администраторам выполнять поиск по содержимому одного или нескольких почтовых ящиков в организации. | Управление обнаружением |
| Отслеживание сообщений | Позволяет администраторам отслеживать сообщения в организации. | Управление соответствием требованиям Управление организацией Управление получателями Управление записями |
| Миграция | Позволяет администраторам переносить почтовые ящики и содержимое почтовых ящиков в организацию или из нее. | Управление организацией Управление получателями |
| Перемещение почтовых ящиков | Позволяет администраторам перемещать почтовые ящики. | Управление организацией Управление получателями |
| Доступ к клиенту организации | Позволяет администраторам управлять параметрами клиентского доступа в организации. | Управление организацией |
| Конфигурация организации | Позволяет администраторам управлять параметрами всей организации. | Управление организацией |
| Параметры транспорта организации | Позволяет администраторам управлять гибридными и корпоративными параметрами транспорта почты. | Управление организацией |
| Управление конфиденциальностью Администратор | Хотя эта роль доступна, она не делает ничего полезного в автономном EOP. | Управление организацией Управление конфиденциальностью Администраторы управления конфиденциальностью |
| Исследование управления конфиденциальностью | Хотя эта роль доступна, она не делает ничего полезного в автономном EOP. | Управление организацией Управление конфиденциальностью Следователи по управлению конфиденциальностью |
| Общедоступные папки | Позволяет администраторам управлять общедоступными папками в организации. | Управление организацией |
| Политики получателей | Позволяет администраторам управлять политиками получателей (политики проверки подлинности, политики шифрования данных политики почтовых ящиков мобильных устройств и политики Outlook в Интернете почтовых ящиков) в организации. | Управление организацией Управление получателями |
| Удаленные и принятые домены | Управление удаленными доменами, обслуживаемых доменами и соединителями. | Управление организацией |
| Сброс пароля | Позволяет администраторам задавать пароли почтовых ящиков комнаты. | Служба технической поддержки Управление организацией Управление получателями |
| Управление хранением | Позволяет пользователям управлять политиками хранения. | Управление соответствием требованиям Управление организацией Управление записями |
| Управление ролями | Позволяет администраторам управлять группами ролей управления, политиками назначения ролей, ролями управления, записями ролей, назначениями и областями в организации. | Управление организацией |
| Администратор безопасности | Управление конфигурацией и отчетами для всех функций безопасности и защиты. | Управление организацией Администратор безопасности |
| Создание группы безопасности и членство в ней | Создание групп безопасности с поддержкой почты и управление ими. | Управление организацией |
| Читатель сведений о безопасности | Просмотрите конфигурацию и отчеты о функциях безопасности и защиты. | Управление организацией Читатель сведений о безопасности |
| SensitivityLabelAdministrator | Позволяет пользователям изменять свойства меток конфиденциальности. | Управление организацией Администратор безопасности |
| Клиент AllowBlockList Manager | Позволяет пользователям управлять списком разрешенных и заблокированных клиентов. | Управление организацией Оператор безопасности |
| TenantPlacesManagement | Хотя эта роль доступна, она не делает ничего полезного в автономном EOP. | Управление организацией |
| Транспортная гигиена | Управление функциями защиты от вредоносных программ, спамом и функциями защиты от спуфингов. | Управление санацией Управление организацией |
| Правила транспорта | Создание правил потока обработки почты и управление ими (также известные как правила транспорта). | Управление соответствием требованиям Управление организацией Управление записями |
| Параметры пользователя | Позволяет администраторам просматривать Outlook в Интернете параметры пользователей в организации. | Служба технической поддержки Управление организацией |
| Журналы аудита только для просмотра | Выполните поиск в журнале аудита администратора и просмотрите результаты. | Управление соответствием требованиям Управление организацией |
| Конфигурация только для чтения | Просмотрите все параметры организации и потока обработки почты (не получателя) в организации. | Управление соответствием требованиям Управление санацией Управление организацией Управление организацией только с правом на просмотр |
| Получатели только для чтения | Просмотр свойств получателя и выполнение трассировки сообщений. | Управление соответствием требованиям Служба технической поддержки Управление санацией Управление организацией Управление организацией только с правом на просмотр |
Примечание.
- Имена ролей, начинающиеся с префикса My (например, MyContactInformation), являются ролями конечных пользователей. Роли конечных пользователей назначаются пользователям в политиках назначения ролей, которые позволяют пользователям работать с принадлежащими им объектами (например, с их собственной учетной записью или группами рассылки, которые они создали). Дополнительные сведения см. в разделе Политики назначения ролей в Exchange Online.
- Имена ролей, начинающиеся или заканчивающиеся на "Приложение", являются частью RBAC для приложений в Exchange Online. Дополнительные сведения см. в разделе Контроль доступа на основе ролей для приложений в Exchange Online.
Разрешения Microsoft 365 в автономном EOP
При создании пользователя в Центр администрирования Microsoft 365 можно выбрать, следует ли назначать пользователю различные роли Microsoft Entra (например, глобальный администратор, администратор Exchange и глобальный читатель). Большинство ролей Microsoft Entra предоставляют пользователю административные разрешения в EOP.
Примечание.
Учетная запись, используемая для создания автономной организации EOP, автоматически назначается роли глобального администратора.
В следующей таблице перечислены Microsoft Entra роли и автономные группы ролей EOP, которым они соответствуют. Дополнительные сведения об этих ролях см. в разделе Сведения о ролях администратора.
| роль Microsoft Entra | Группа ролей EOP |
|---|---|
| Глобальный администратор | Управление организацией Примечание. Роль глобального администратора и группа ролей "Управление организацией" связаны друг с другом с помощью специальной группы ролей администраторов компании. Группа ролей "Администратор компании" управляется внутри организации и не может быть изменена напрямую. |
| Администратор Exchange | Управление организацией |
| Глобальный читатель | ViewOnlyOrganization Management |
| Администратор службы поддержки | Служба технической поддержки |
| Администратор поддержки служб | Нет |
| Администратор SharePoint | Нет |
| Администратор Teams | Нет |
| Администратор пользователей | Управление получателями |
| Диспетчер успешных операций с пользовательским интерфейсом | Нет |
Пользователям можно предоставить права администратора в EOP, не добавляя их в Microsoft Entra роли, добавив пользователя в качестве члена группы ролей EOP. Пользователь получает разрешения в EOP, но не получает разрешения в других рабочих нагрузках Microsoft 365. Инструкции см . в разделе Использование EAC для управления группами ролей.