Разрешения в Exchange Online

Exchange Online в Microsoft 365 и Office 365 включает большой набор предопределяемых разрешений на основе модели разрешений на основе ролей, которую можно использовать сразу, чтобы легко предоставлять разрешения администраторам и пользователям. Вы можете использовать функции разрешений в Exchange Online, чтобы быстро привести новую организацию в работу.

RBAC — это также модель разрешений, используемая в Microsoft Exchange Server. Большинство ссылок в этом разделе относятся к темам, которые ссылаются на Exchange Server. Понятия в этих разделах также относятся к Exchange Online.

Сведения о разрешениях в Microsoft 365 или Office 365 см. в рублях о ролях администратора

Примечание

Некоторые возможности и принципы управления доступом на основе ролей не затрагиваются в этом разделе, поскольку относятся к расширенным функциям. Если функция, рассматриваемая в этом разделе, не отвечает вашим потребностям и требуется дальнейшая настройка модели разрешений, см. раздел Understanding Role Based Access Control.

Разрешения на основе ролей

В Exchange Online разрешения, которые предоставляются администраторам и пользователям, основаны на ролях управления. Роль управления определяет набор задач, которые может выполнять администратор или пользователь. Например, роль управления определяет Mail Recipients задачи, которые кто-то может выполнять в наборе почтовых ящиков, контактов и групп рассылки. Когда роль управления назначается администратору или пользователю, ему предоставляются разрешения в соответствии с этой ролью.

Административные роли и роли конечного пользователя — два типа ролей управления. Ниже приводится краткое описание каждого из них.

  • Административные роли. Эти роли содержат разрешения, которые могут быть назначены администраторам или специализированным пользователям с помощью групп ролей, которые управляют частью Exchange Online, например получателями или управлением соответствием требованиям.

  • Роли конечного пользователя. Эти роли, которые назначены с помощью политик назначения ролей, позволяют пользователям управлять аспектами собственных почтовых ящиков и групп рассылки, которыми они владеют. Роли конечных пользователей начинаются с префикса My.

Роли управления позволяют администраторам и пользователям выполнять задачи, предоставляя доступ к командлетам лицам с назначенными ролями. Так как центр администрирования Exchange (EAC) и Exchange Online PowerShell используют команды для управления Exchange Online, предоставление доступа к cmdlet дает администратору или пользователю разрешение на выполнение задачи в каждом из Exchange Online интерфейсов управления.

Exchange Online групп ролей, которые можно использовать для предоставления разрешений. Подробнее см. в следующем разделе.

Примечание

Некоторые роли управления могут быть доступными только для локальных установок Exchange Server и не будут доступными в Exchange Online.

Группы ролей и политики назначения ролей

Роли управления предоставляют разрешения на выполнение задач в Exchange Online, но требуется легкий способ их назначения администраторам и пользователям. Для этого в Exchange Online предусмотрены следующие возможности:

  • Группы ролей. Группы ролей позволяют предоставлять разрешения администраторам и специализированным пользователям.

  • Политики назначения ролей. Политики назначения ролей позволяют предоставлять конечным пользователям разрешения на изменение параметров в собственных почтовых ящиках или группах рассылки, которые им принадлежат.

В следующих разделах представлены дополнительные сведения о группах ролей и политиках назначения ролей.

Группы ролей

Каждому администратору, управляющему Exchange Online, должна быть назначена хотя бы одна роль. Администраторы могут иметь несколько ролей, поскольку они могут выполнять функции, охватывающие несколько областей в Exchange Online.

Чтобы упростить назначение администратору нескольких ролей, Exchange Online содержит группы ролей. Когда роль назначается группе ролей, разрешения, соответствующие этой роли, предоставляются всем участникам данной группы. Это позволяет назначить множество ролей сразу нескольким участникам группы ролей. Группы ролей обычно охватывают более широкие области управления, например управление получателями. Они используются только вместе с административными ролями, но не с ролями конечных пользователей. Члены группы ролей могут быть пользователями Exchange Online и других групп ролей.

Примечание

Можно назначить роль непосредственно пользователю, не используя группу ролей. Однако такой способ назначения ролей относится к расширенным процедурам и не затрагивается в данном разделе. Рекомендуется для управления разрешениями использовать группы ролей.

На приведенном ниже рисунке показана взаимосвязь между пользователями, группами ролей и ролями.

Отношения ролей, групп ролей и членов.

Exchange Online содержит несколько встроенных групп ролей, каждая из которых предоставляет разрешения на управление определенными областями в Exchange Online. Некоторые группы ролей могут перекрываться с другими группами ролей. В приведенной ниже таблице перечислены группы ролей с описанием их использования.

Группа ролей Описание Назначены роли по умолчанию
Управление соответствием требованиям Участники могут настраивать и управлять настройками соответствия требованиям в Exchange в соответствии со своими политиками. Журналы аудита

Администратор соответствия требованиям

Защита от потери данных

Управление правами на доступ к данным

Ведение журнала

Отслеживание сообщений

Управление хранением

Правила транспорта

Журналы аудита только для просмотра

Конфигурация только для чтения

Получатели только для чтения

Управление обнаружением Участники могут выполнять поиск почтовых ящиков в Exchange Online для данных, отвечающих определенным критериям, а также настраивать юридические хранения в почтовых ящиках. Юридическое удержание

Поиск в почтовом ящике

ExchangeServiceAdmins_-<unique value> Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

В этой группе ролей ей не назначены роли. Однако она входит в группу ролей управления организацией (в качестве администратора Exchange службы) и наследует разрешения, предоставленные этой группой ролей.

Можно добавить членов в эту группу ролей, добавив пользователей в роль администратора Azure AD Exchange в Центр администрирования Microsoft 365.

н/д
Служба технической поддержки Участники могут просматривать и управлять конфигурацией для отдельных получателей и просматривать получателей в Exchange организации. Члены этой группы ролей могут управлять конфигурацией, которую каждый пользователь может управлять только в своем почтовом ящике. Сброс пароля

Параметры пользователя

Получатели только для чтения

HelpdeskAdmins_<unique value> Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

В этой группе ролей ей не назначены роли. Однако он входит в группу ролей View-Only организации (в качестве администратора helpdesk) и наследует разрешения, предоставленные этой группой ролей.

Можно добавить членов в эту группу ролей, добавив пользователей в роль администратора Azure AD Helpdesk в Центр администрирования Microsoft 365.

н/д
Управление санацией Участники могут управлять Exchange средствами борьбы со спамом, предоставлять разрешения антивирусным продуктам на интеграцию с Exchange и управлять правилами потока почты. Транспортная гигиена

Конфигурация только для чтения

Получатели только для чтения

Управление организацией Члены имеют административный доступ ко всей Exchange Online организации и могут выполнять практически любую задачу в Exchange Online.

По умолчанию следующие роли управления не назначены какой-либо группе ролей, включая управление организацией:

  • Списки адресов
  • Импорт и экспорт почтовых ящиков.

По умолчанию роль поиска почтовых ящиков назначена только группе ролей управления обнаружением

Важно: Поскольку роль группы управления организацией является мощной ролью, только пользователи, которые выполняют административные задачи на уровне организации, которые потенциально могут повлиять на всю организацию Exchange Online, должны быть членами этой группы ролей.

Журналы аудита

Администратор соответствия требованиям

Защита от потери данных

Динамические группы рассылки

Политики адресов электронной почты

Федеративный доступ

Управление правами на доступ к данным

Ведение журнала

Юридическое удержание

Общие папки с включенной поддержкой почты

Создание получателей почты

Получатели почты

Почтовые Советы

Отслеживание сообщений

Миграция

Перемещение почтовых ящиков

Пользовательские приложения в организации.

Приложения Marketplace в организации.

Доступ к клиентам организации

Конфигурация организации

Организация транспорта Параметры

Общедоступные папки

Политики получателей

Удаленные и принятые домены

Сброс пароля

Управление хранением

Управление ролью

Администратор безопасности

Создание и членство группы безопасности

Читатель сведений о безопасности

Почтовые ящики команды

Транспортная гигиена

Правила транспорта

Почтовые ящики единой системы обмена сообщениями.

Приглашения единой системы обмена сообщениями.

Единая система обмена сообщениями.

Параметры пользователя

Журналы аудита только для просмотра

Конфигурация только для чтения

Получатели только для чтения

Управление получателями Участники имеют административный доступ к созданию или Exchange Online получателей в Exchange Online организации. Динамические группы рассылки

Создание получателей почты

Получатели почты

Отслеживание сообщений

Миграция

Перемещение почтовых ящиков

Политики получателей

Сброс пароля

Почтовые ящики команды

Управление записями Участники могут настраивать функции соответствия требованиям, такие как теги политики хранения, классификации сообщений и правила потока почты (также известные как правила транспорта). Журналы аудита

Ведение журнала

Отслеживание сообщений

Управление хранением

Правила транспорта

Администратор безопасности Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Можно добавить членов в эту группу ролей, добавив пользователей в роль администратора службы безопасности Azure AD в Центр администрирования Microsoft 365.

Администратор безопасности
Читатель сведений о безопасности Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Можно добавить участников в эту группу ролей, добавив пользователей в роль чтения azure AD Security в Центр администрирования Microsoft 365.

Читатель сведений о безопасности
TenantAdmins_-<unique value> Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

В этой группе ролей ей не назначены роли. Однако он входит в группу ролей управления организацией (как администратор компании) и наследует разрешения, предоставленные этой группой ролей.

Можно добавить членов в эту группу ролей, добавив пользователей в роль администратора Azure AD Global в Центр администрирования Microsoft 365.

н/д
Управление единой системой обмена сообщениями Участники могут управлять Exchange параметров и функций единой системы обмена сообщениями. Почтовые ящики единой системы обмена сообщениями.

Приглашения единой системы обмена сообщениями.

Единая система обмена сообщениями.

Управление организацией только с правом на просмотр Участники могут просматривать свойства любого объекта в Exchange Online организации. Конфигурация только для чтения

Получатели только для чтения

В небольшой организации с малым количеством администраторов может потребоваться добавить администраторов только в группу ролей Управление организацией, а другие группы ролей могут никогда не понадобиться. Если вы работаете в более крупной организации, у вас могут быть администраторы, которые выполняют определенные задачи, Exchange Online, например конфигурацию получателей. В этих случаях можно добавить одного администратора в группу ролей "Управление получателями", а другого администратора в группу ролей "Управление организацией". Затем эти администраторы могут управлять определенными областями Exchange Online, но у них не будет разрешений на управление областями, за которые они не отвечают.

Если встроенные группы ролей в Exchange Online не соответствуют функции задания администраторов, можно создать группы ролей и добавить к ним роли. Дополнительные сведения см. в разделе Работа с группами ролей в этом разделе.

Политики назначения ролей

Exchange Online содержит политики назначения ролей, позволяющие контролировать параметры, которые могут настраивать пользователи для своих почтовых ящиков и групп рассылки. Эти параметры включают отображаемое имя, контактную информацию, настройки голосовой почты и членство в группах рассылки.

Организация Exchange Online может иметь несколько политик назначения ролей, предусматривающих разные уровни разрешений для разных типов пользователей. Некоторым пользователям может быть разрешено изменять свой адрес или создавать группы рассылки, а другим — нет, в зависимости от политики назначения ролей, связанной с их почтовыми ящиками. Политики назначения ролей добавляются непосредственно к почтовым ящикам, и с каждым почтовым ящиком может быть связана только одна политика.

Одна из политик назначения ролей в организации помечается как используемая по умолчанию. Политика назначения ролей по умолчанию связывается с новыми почтовыми ящиками, которым во время создания явным образом не была назначена определенная политика. Политика назначения ролей по умолчанию должна содержать разрешения, применяемые к большинству почтовых ящиков пользователя.

Разрешения добавляются в политики назначения ролей с использованием ролей конечных пользователей. Роли конечного пользователя начинаются с My предоставления пользователям разрешений на управление только своими почтовыми ящиками или группами рассылки. Они не могут использоваться для управления любыми другими почтовыми ящиками. Политикам назначения ролей могут быть назначены только роли конечных пользователей.

Когда роль конечного пользователя назначается политике назначения ролей, все почтовые ящики, связанные с этой политикой, получают разрешения, предусмотренные данной ролью. Это позволяет добавлять и удалять разрешения для групп пользователей без необходимости настройки отдельных почтовых ящиков. На приведенном ниже рисунке показано следующее.

  • Роли конечных пользователей назначаются политикам назначения ролей. Политикам назначения ролей могут соответствовать одни и те же роли конечных пользователей. Сведения о роли конечных пользователей, доступные в Exchange Online, см. в Exchange Online.

  • Политики назначения ролей связываются с почтовыми ящиками. С каждым почтовым ящиком может быть связана только одна политика назначения ролей.

  • После связывания почтового ящика с политикой назначения ролей роли конечных пользователей применяются к этому почтовому ящику. Разрешения, предусмотренные ролями, предоставляются пользователю этого почтового ящика.

Политика назначения ролей, роли, отношения почтовых ящиков.

Политика назначения ролей под названием "Политика назначения ролей по умолчанию" включена в систему Exchange Online. Как и предполагает название, это политика назначения ролей по умолчанию. Сведения о том, как изменить разрешения, предусмотренные этой политикой назначения ролей, и как создавать политики назначения ролей, см. в разделе Работа с политиками назначения ролей ниже в данной статье.

Microsoft 365 или Office 365 разрешения в Exchange Online

При создании пользователя в Microsoft 365 или Office 365 вы можете назначить пользователю различные административные роли, такие как глобальный администратор, администратор службы, администратор паролей и так далее. Некоторые роли, но не все, Microsoft 365 и Office 365, выдают пользователям административные разрешения в Exchange Online.

Примечание

Пользователь, который использовался для создания Microsoft 365 или Office 365 организации, автоматически назначен роли глобального администратора Microsoft 365 или Office 365.

В следующей таблице перечислены Microsoft 365 или Office 365 роли и Exchange Online группы ролей, которые они соответствуют.

Microsoft 365 или Office 365 роли Группа ролей Exchange Online
Глобальный администратор Управление организацией

Примечание. Роль глобального администратора и группа ролей управления организацией связаны друг с другом с помощью специальной группы ролей администратора компании. Группа ролей администраторов организации управляется внутри службы Exchange Online и не может быть изменена напрямую.

Администратор выставления счетов Соответствующая группа ролей Exchange Online отсутствует.
Администратор паролей Администратор службы технической поддержки.
Администратор служб Соответствующая группа ролей Exchange Online отсутствует.
Администратор управления пользователями Соответствующая группа ролей Exchange Online отсутствует.

Описание групп ролей Exchange Online см. в таблице "Встроенные группы ролей" в статье Группы ролей.

В Microsoft 365 или Office 365 при добавлении пользователя в роли глобального администратора или администратора пароля пользователю предоставляются права, предоставляемые соответствующей группой Exchange Online ролей. Другие Microsoft 365 или Office 365 роли не имеют соответствующей группы ролей Exchange Online и не будут предоставлять административные разрешения в Exchange Online. Дополнительные сведения о назначении Microsoft 365 или Office 365 роли пользователю см. в дополнительных сведениях о назначении ролей администратора.

Пользователям могут предоставляться административные права в Exchange Online без добавления Microsoft 365 или Office 365 ролей. Это делается путем добавления пользователя в группу Exchange Online ролей. Когда пользователь добавляется непосредственно в группу Exchange Online роли, он получает разрешения, предоставленные этой группой ролей в Exchange Online. Однако им не будут предоставлены разрешения на другие Microsoft 365 или Office 365 компоненты. У них будут административные разрешения только в Exchange Online. Пользователи могут быть добавлены в любую из групп ролей, перечисленных в таблице "Встроенные группы ролей" в группах Ролей, за исключением групп ролей администратора компании и администраторов службы поддержки. Дополнительные сведения о добавлении пользователя непосредственно в группу Exchange Online ролей см. в статью Работа с группами ролей.

Работа с группами ролей

Управлять разрешениями с использованием групп ролей в Exchange Online рекомендуется с помощью Центра администрирования Exchange. Используя Центр администрирования Exchange для управления группами ролей, можно добавлять и удалять роли и участников, создавать группы ролей и копировать их с помощью нескольких щелчков кнопкой мыши. EAC предоставляет простые диалоговые окна, такие как диалоговое окно Группы добавлений, показанное на следующем рисунке, для выполнения этих задач.

Новое диалоговое окно группы ролей в EAC.

В системе Exchange Online есть несколько групп ролей, разделяющих разрешения на определенные административные области. Если эти группы ролей предоставляют разрешения, которые необходимы администраторам для управления организацией Exchange Online, то нужно только добавить администраторов в качестве участников соответствующих групп ролей. После этого администраторы смогут управлять функциями, которые относятся к данной группе ролей. Чтобы добавить или удалить участников группы ролей, откройте группу ролей в Центре администрирования Exchange и добавьте или удалите участников из списка. Список встроенных групп ролей см. в таблице "Встроенные группы ролей" в статье Группы ролей.

Важно!

Если администратор входит в несколько групп ролей, Exchange Online предоставляет ему все разрешения, предусмотренные группами ролей, участником которых он является.

Если ни одна из групп ролей в Exchange Online не содержит необходимых разрешений, вы можете при помощи Центра администрирования Exchange создать новую группу ролей и добавить в нее роли с нужными разрешениями. Для создания новой группы ролей выполните следующие действия.

  1. Выберите имя для группы ролей.

  2. Выберите роли, которые необходимо добавить в группу ролей.

  3. Добавьте участников в группу ролей.

  4. Сохраните группу ролей.

Создав группу ролей, ею можно управлять аналогично любой другой группе ролей.

Если существующая группа ролей имеет лишь некоторые из необходимых разрешений, ее можно скопировать и внести изменения, чтобы создать новую группу ролей. Можно скопировать существующую группу ролей и внести в нее изменения, не затрагивая исходную группу. В ходе копирования группы ролей можно добавить новое имя и описание, добавить или удалить роли из новой группы и добавить новых участников. Для создания или копирования группы ролей используется то же диалоговое окно, что показано на предыдущем рисунке.

Существующие группы ролей можно также изменять. Можно добавлять и удалять роли из существующих групп ролей, а также одновременно добавлять и удалять из них участников при помощи диалогового окна Центра администрирования Exchange, аналогичного показанному на предыдущем рисунке. Добавляя и удаляя роли из группы ролей, пользователь включает и выключает административные функции для участников этой группы.

Примечание

Хотя можно изменять состав ролей, назначаемых встроенным группам ролей, рекомендуется скопировать встроенную группу, изменить копию и затем добавить в нее участников. > Группы ролей администраторов организации и администраторов службы технической поддержки нельзя скопировать или изменить.

Работа с политиками назначения ролей

Для управления разрешениями, которые вы предоставляете конечным пользователям для управления их собственными почтовыми ящиками в Exchange Online, рекомендуется использовать Центр администрирования Exchange. Используя Центр администрирования Exchange для управления разрешениями конечных пользователей, можно добавлять и удалять роли, а также создавать политики назначения ролей с помощью нескольких щелчков кнопкой мыши. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна, такие как диалоговое окно Политика назначения ролей, показанное на рисунке ниже.

Диалоговое окно политики назначения ролей в EAC.

Exchange Online содержит политику назначения ролей по умолчанию. Эта политика позволяет пользователям, почтовые ящики которых связаны с ней, выполнять следующие задачи.

  • Вступать в группы рассылки, которые позволяют участникам управлять своим членством, или выходить из групп рассылки.
  • Просматривать и изменять основные параметры собственного почтового ящика, такие как правила папки "Входящие", поведение средства проверки орфографии, параметры нежелательной почты и устройства Microsoft ActiveSync.
  • Изменять свою контактную информацию, такую как рабочий адрес и номер телефона, номер мобильного телефона или пейджера.
  • Создавать, изменять и просматривать параметры текстовых сообщений.
  • Просматривать и изменять параметры голосовой почты.
  • Просматривать и изменять свои программы в marketplace.
  • Создавать групповые почтовые ящики и подключать их к спискам Microsoft SharePoint.
  • Создавать, изменять или просматривать настройки подписки на рассылку по электронной почте, такие как формат сообщений и значения для протокола по умолчанию.

Чтобы добавить или удалить разрешения из политики назначения ролей по умолчанию или какой-либо другой политики назначения ролей, можно использовать Центр администрирования Exchange. Соответствующее диалоговое окно аналогично показанному на предыдущем рисунке. Открыв политику назначения ролей в Центре администрирования Exchange, установите флажки рядом с ролями, которые вы хотите назначить этой политике, и снимите флажки рядом с ролями, которые необходимо удалить. Изменения, внесенные в политику назначения ролей, применяются к каждому связанному с ней почтовому ящику.

Чтобы назначить разные разрешения конечных пользователей разным типам пользователей организации, можно создать новые политики назначения ролей. Диалоговое окно для создания политики назначения ролей аналогично показанному на предыдущем рисунке. Можно указать новое имя для политики назначения ролей и затем выбрать роли, которые нужно назначить этой политике. Создав политику назначения ролей, вы можете связать ее с почтовыми ящиками при помощи Центра администрирования Exchange.

Если необходимо изменить политику назначения ролей по умолчанию, необходимо использовать Exchange Online PowerShell. После изменения все создаваемые почтовые ящики будут связываться с новой политикой назначения ролей по умолчанию, если таковая не была явно указана. Политика назначения ролей, связанная с существующими почтовыми ящиками, не изменяется при выборе новой политики назначения ролей по умолчанию.

Примечание

Если установить флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также устанавливаются. Если снять флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также снимаются.

Подробные процедуры назначения ролей см. в Exchange Online.

Документация по разрешениям

В следующей таблице содержатся ссылки на темы, которые помогут вам больше узнать о разрешениях в Exchange Online и научиться управлять ими.

Статья Описание
Understanding Role Based Access Control Сведения о каждом из компонентов RBAC и о том, как создать расширенные модели разрешений, когда групп ролей и ролей управления недостаточно.
Управление группами ролей в Exchange Online Настройка разрешений для Exchange Online администраторов и пользователей-специалистов с помощью групп ролей, включая добавление и удаление участников в группы ролей и из них.
Политики назначения ролей в Exchange Online Настройка функций, к которым конечные пользователи имеют доступ к своим почтовым ящикам с помощью политик назначения ролей, просмотра, создания, изменения и удаления политик назначения ролей, указания политики назначения ролей по умолчанию и применения политик назначения ролей к почтовым ящикам.
Разрешения компонентов в Exchange Online Дополнительные сведения о разрешениях, необходимых для управления функциями и службами Exchange Online.