Exchange Online 中的权限
Exchange Online Microsoft 365 和 Office 365 中包含一个大型的预定义权限集,这些权限基于基于角色的访问控制 (RBAC) 权限模型,您可以使用这组权限来轻松向管理员和用户授予权限。 你可以使用 Exchange Online 中的权限功能,以便快速设置并运行新组织。
RBAC 也是在应用程序中使用的权限Microsoft Exchange Server。 本主题中的大多数链接都参考了与本主题Exchange Server。 这些主题中的概念也适用于 Exchange Online。
有关跨用户或Microsoft 365权限Office 365,请参阅关于管理员角色
备注
一些 RBAC 功能和概念为高级功能,因此本主题将不对其进行讨论。如果本主题中讨论的功能无法满足您的需求,并且您希望进一步自定义权限模型,请参阅Understanding Role Based Access Control。
基于角色的权限
在 Exchange Online 中,授予管理员和用户的权限基于管理角色。 管理角色定义了管理员或用户可以执行的任务集。 例如,名为 的管理角色定义某人可以在一组邮箱、联系人和通讯组上 Mail Recipients 执行的任务。 为管理员或用户分配管理角色的同时,也会授予此人该管理角色所提供的权限。
管理角色和最终用户是管理角色的两种类型。以下是对每种类型的简单说明:
管理 角色:这些角色包含的权限可以使用管理 Exchange Online 组织的一部分(如收件人或合规性管理)的角色组分配给管理员或专家用户。
最终用户角色:这些角色是使用策略角色分配分配,使用户能够管理其自己的邮箱及其拥有通讯组的各个方面。 最终用户角色以前缀 开头
My。
管理角色通过向已分配角色的用户提供 cmdlet 来授予管理员和用户执行任务的权限。 由于 Exchange 管理中心 (EAC) 和 Exchange Online PowerShell 使用 cmdlet 管理 Exchange Online,因此授予对 cmdlet 的访问权限会授予管理员或用户在每个 Exchange Online 管理界面中执行任务的权限。
Exchange Online包括可用于授予权限的角色组。 有关详细信息,请参阅下一节。
备注
一些管理角色仅对内部部署 Exchange 服务器安装可用,在 Exchange Online 上不可用。
角色组和角色分配策略
虽然管理角色授予在 Exchange Online 中执行任务的权限,但您需要以简便的方式将这些权限分配给管理员和用户。为此,Exchange Online 为您提供以下方式:
角色 组:角色组使您能够向管理员和专家用户授予权限。
角色分配策略:通过角色分配策略,您可以向最终用户授予更改自己邮箱或自己拥有通讯组的设置的权限。
以下部分提供了关于角色组和角色分配策略的更多信息。
角色组
必须为每个管理 Exchange Online 的管理员分配至少一个或多个角色。 由于管理员可能在 Exchange Online 中跨多个区域执行工作职能,因此他们可能会有多个角色。
为了能够更轻松地为管理员分配多个角色,Exchange Online 包含了角色组。将一个角色分配给角色组时,会将该角色授予的权限授予该角色组的所有成员。这使您可以一次将许多角色分配给许多角色组成员。角色组通常覆盖更广泛的管理区域,如收件人管理。角色组只能与管理角色一起使用,而不能与最终用户角色一起使用。角色组成员可以是 Exchange Online 用户和其他角色组。
备注
可以在不使用角色组的情况下将角色直接分配给用户。但是,这种角色分配方法是一个高级过程,本主题将不做介绍。建议您使用角色组来管理权限。
下图显示了用户、角色组和角色之间的关系。

Exchange Online 包括若干内置角色组,每个角色组都提供管理 Exchange Online 中特定区域的权限。某些角色组可能与其他角色组重叠。下表列出了每个角色组及其使用说明。
| 角色组 | 说明 | 分配的默认角色 |
|---|---|---|
| 合规性管理 | 成员可以按照其策略Exchange管理合规性设置。 | 审核日志 合规性管理员 数据丢失防护 信息权限管理 日记功能 邮件跟踪 保留管理 传输规则 仅供查看审核日志 仅查看配置 仅查看收件人 |
| 发现管理 | 成员可以搜索 Exchange Online 中的邮箱,以查找符合特定条件的数据,还可以配置邮箱合法保留。 | 合法保留 邮箱搜索 |
| ExchangeServiceAdmins_-<unique value> | 此角色组的成员身份跨服务进行同步,并集中管理。 不能在此角色组中管理此Exchange Online。 此角色组未分配任何角色。 但是,它是组织管理角色组的成员, (服务Exchange管理员) 并继承该角色组提供的权限。 可以将用户添加到此角色组,Azure AD Exchange管理员角色Microsoft 365 管理中心。 |
不适用 |
| 技术支持 | 成员可以查看和管理单个收件人的配置,还可以查看组织中Exchange收件人。 此角色组的成员只能管理每个用户都可以在其自己的邮箱上管理的配置。 | 重置密码 用户选项 仅查看收件人 |
| HelpdeskAdmins_<unique value> | 此角色组的成员身份跨服务进行同步,并集中管理。 不能在此角色组中管理此Exchange Online。 此角色组未分配任何角色。 但是,它是组织管理角色View-Only组的成员 (管理员) 并继承该角色组提供的权限。 可以将用户添加到此角色组,Azure AD支持管理员角色Microsoft 365 管理中心。 |
不适用 |
| 安全管理 | 成员可以管理Exchange反垃圾邮件功能、授予防病毒产品与 Exchange 集成的权限,以及管理邮件流规则。 | 传输清洁 仅查看配置 仅查看收件人 |
| 组织管理 | 成员具有对整个组织Exchange Online访问权限,并且几乎可以在 Exchange Online。 默认情况下,不会将以下管理角色分配给任何角色组,包括组织管理:
默认情况下,邮箱搜索角色仅分配给发现管理角色组 重要 提示:由于组织管理角色组是一个强大的角色,因此只有执行可能会影响整个 Exchange Online 组织的组织级别管理任务的用户才应是此角色组的成员。 |
审核日志 合规性管理员 数据丢失防护 动态通讯组 电子邮件地址策略 联合共享 信息权限管理 日记功能 合法保留 启用了邮件的公用文件夹 邮件收件人创建 邮件收件人 邮件使用技巧 邮件跟踪 迁移 移动邮箱 组织自定义应用程序 组织市场应用程序 组织客户端访问 组织配置 组织传输设置 公用文件夹 收件人策略 远程域和接受域 重置密码 保留管理 角色管理 安全管理员 安全组创建和成员身份 安全信息读取者 团队邮箱 传输清洁 传输规则 UM 邮箱 UM 提示 统一消息 用户选项 仅供查看审核日志 仅查看配置 仅查看收件人 |
| 收件人管理 | 成员具有管理权限,可以创建或修改Exchange Online组织内部Exchange Online收件人。 | 动态通讯组 邮件收件人创建 邮件收件人 邮件跟踪 迁移 移动邮箱 收件人策略 重置密码 团队邮箱 |
| 记录管理 | 成员可以配置遵从性功能,如保留策略标记、邮件分类和邮件流规则 (也称为传输规则) 。 | 审核日志 日记功能 邮件跟踪 保留管理 传输规则 |
| 安全管理员 | 此角色组的成员身份跨服务进行同步,并集中管理。 不能在此角色组中管理此Exchange Online。 通过将用户添加到角色组的安全管理员角色,Azure AD此角色组Microsoft 365 管理中心。 |
安全管理员 |
| 安全信息读取者 | 此角色组的成员身份跨服务进行同步,并集中管理。 不能在此角色组中管理此Exchange Online。 可以将用户添加到此角色组,Azure AD安全读者角色Microsoft 365 管理中心。 |
安全信息读取者 |
| TenantAdmins_-<unique value> | 此角色组的成员身份跨服务进行同步,并集中管理。 不能在此角色组中管理此Exchange Online。 此角色组未分配任何角色。 但是,它是组织管理角色组的成员, (公司管理员) 继承该角色组提供的权限。 通过将用户添加到角色组中的全局管理员角色,Azure AD 此 角色组Microsoft 365 管理中心。 |
不适用 |
| 统一消息管理 | 成员可以管理Exchange统一消息 (UM) 设置和功能。 | UM 邮箱 UM 提示 统一消息 |
| 仅查看组织管理 | 成员可以查看组织中任何对象Exchange Online属性。 | 仅查看配置 仅查看收件人 |
如果您在只有少数几个管理员的小型组织工作,可能只需要将这些管理员添加到 组织管理 角色组,并且可能永远不需要使用其他角色组。 如果您在大型组织中工作,则您可能具有执行特定任务的管理员来管理Exchange Online,如收件人配置。 在这种情况下,可以将一个管理员添加到收件人管理角色组,将另一个管理员添加到组织管理角色组。 然后,这些管理员可管理其Exchange Online区域,但他们没有权限管理他们不负责的区域。
如果 Exchange Online 中的内置角色组与管理员的工作职能不匹配,可以创建角色组并向其中添加角色。 有关详细信息,请参阅本主题 稍后介绍的使用 角色组部分。
角色分配策略
Exchange Online 提供了角色分配策略,以便控制用户可以在其自己的邮箱及其拥有的通讯组上配置哪些设置。这些设置包括其显示名称、联系人信息、语音邮件设置和通讯组成员身份。
Exchange Online 组织可以有多个角色分配策略,以便为组织中不同类型的用户提供不同级别的权限。根据与其邮箱相关联的角色分配策略的不同,某些用户有权更改其地址或创建通讯组,另一些用户则不能。角色分配策略直接添加到邮箱,且每个邮箱一次只能与一个角色分配策略相关联。
对于组织中的角色分配策略,其中一个将被标记为默认策略。默认角色分配策略将与创建时未明确分配特定角色分配策略的新邮箱相关联。默认角色分配策略应包含适用于大多数邮箱的权限。
使用最终用户角色将权限添加到角色分配策略。 最终用户角色以 开头,并授予用户仅管理其邮箱或 My 他们拥有通讯组的权限。 不能使用其管理其他任何邮箱。 只有最终用户角色可以分配给角色分配策略。
将最终用户角色分配给角色分配策略后,与该角色分配策略相关联的所有邮箱都将获得该角色授予的权限。这使您可以在不配置各个邮箱的情况下添加或删除用户组的权限。下图显示了:
将最终用户角色分配给角色分配策略。 角色分配策略可以共享相同的最终用户角色。 有关最终用户角色的详细信息,请参阅 Exchange Online 中的角色分配Exchange Online。
角色分配策略与邮箱相关联。每个邮箱只能与一个角色分配策略相关联。
邮箱与角色分配策略相关联之后,最终用户角色会应用于该邮箱。将向该邮箱的用户授予此类角色授予的权限。

默认角色分配策略角色分配策略包括在 Exchange Online 中。顾名思义,它是默认角色分配策略。如果要更改该角色分配策略提供的权限或创建角色分配策略,请参阅本主题后面的使用角色分配策略。
Microsoft 365或Office 365权限Exchange Online
在 Microsoft 365 或 Office 365 创建用户时,可以选择是否向用户分配各种管理角色,如全局管理员、服务管理员、密码管理员等。 某些(而不是全部)Microsoft 365角色Office 365向用户授予用户管理Exchange Online。
备注
用于创建组织或 Microsoft 365 Office 365 的用户将自动分配给全局管理员角色Microsoft 365 Office 365角色。
下表列出了角色Microsoft 365 Office 365角色及其Exchange Online角色组。
| Microsoft 365角色Office 365角色 | Exchange Online 角色组 |
|---|---|
| 全球管理员 | 组织管理 注意:全局管理员角色和组织管理角色组使用特殊的公司管理员角色组关联在一起。 公司管理员角色组由 Exchange Online 内部管理并且不能直接修改。 |
| 帐务管理员 | 没有相应的 Exchange Online 角色组。 |
| 密码管理员 | 技术支持管理员。 |
| 服务管理员 | 没有相应的 Exchange Online 角色组。 |
| 用户管理员 | 没有相应的 Exchange Online 角色组。 |
有关 Exchange Online 角色组的说明,请参阅角色组中的"内置角色组"表。
在 Microsoft 365 或 Office 365 中,向全局管理员或密码管理员角色添加用户时,会向该用户授予由相应角色组Exchange Online的权限。 其他Microsoft 365 Office 365角色没有对应的角色Exchange Online,也不会在角色组中授予Exchange Online。 有关向用户分配Microsoft 365或Office 365角色的信息,请参阅分配管理员角色。
可以授予用户管理权限Exchange Online而无需将用户添加到Microsoft 365角色Office 365角色。 通过添加用户作为 Exchange Online 角色组的成员即可。 当用户被直接添加到 Exchange Online 角色组后,他们会收到由 Exchange Online 中该角色组授予的权限。 但是,不会向这些用户授予对其他组件或Microsoft 365 Office 365权限。 他们只在 Exchange Online 中有管理权限。 可以将用户添加到角色组中"内置角色组表"中列出的任何角色组中,公司管理员和技术支持管理员角色组除外。 有关直接将把用户添加到 Exchange Online 角色组中的详细信息,请参阅使用角色组。
使用角色组
To manage your permissions using role groups in Exchange Online, we recommend that you use the EAC. When you use the EAC to manage role groups, you can add and remove roles and members, create role groups, and copy role groups with a few clicks of your mouse. EAC 提供了简单的对话框(如下图所示的"添加角色组"对话框)来执行这些任务。

Exchange Online 包括数个角色组,将权限分离为特定管理区域。如果这些现有角色组提供了管理员管理 Exchange Online 组织所需的权限,则只需将管理员添加为相应角色组的成员。将管理员添加到角色组后,管理员就可以管理与该角色组相关的功能。若要向角色组中添加成员或删除其中的成员,请在 EAC 中打开该角色组,然后向成员列表中添加成员或从中删除成员。有关内置角色组的列表,请参阅角色组中的"内置角色组"表。
重要
如果某个管理员为多个角色组的成员,则 Exchange Online 授予该管理员其所属的角色组提供的所有权限。
如果 Exchange Online 中提供的角色组没有您所需的权限,则可以使用 EAC 创建角色组并添加具有您所需权限的角色。对于新建的角色组,需执行以下操作:
为角色组选择名称。
选择要添加到角色组的角色。
向角色组中添加成员。
保存角色组。
创建角色组后,可以像管理其他任何角色组一样对其进行管理。
如果某个现有角色组具有部分您需要的权限但并非全部,则可以复制该角色组,然后对其进行更改以创建一个角色组。您可以复制现有角色组并对其进行更改,而不影响原始角色组。复制角色组过程中,可以添加新的名称和说明,向新角色组中添加角色和删除新角色组中的角色,以及添加新成员。创建或复制角色组时,使用上图所示的同一对话框。
也可以修改现有角色组。使用与上图类似的 EAC 对话框,可以同时向现有角色组中添加角色和成员,以及从其中删除角色和成员。通过向角色组中添加角色和从其中删除角色,可以为该角色组的成员启用和禁用管理功能。
备注
尽管可以更改分配给内置角色组的角色,但建议您复制内置角色组、修改角色组副本,然后将成员添加到角色组副本。 > 不能复制或更改公司管理员和技术支持管理员角色组。
使用角色分配策略
To manage the permissions that you grant end users to manage their own mailbox in Exchange Online, we recommend that you use the EAC. When you use the EAC to manage end-user permissions, you can add roles, remove roles, and create role assignment policies with a few clicks of your mouse. The EAC provides simple dialog boxes, such as the role assignment policy dialog box, shown in the following figure, to perform these tasks.

Exchange Online 包括名为"默认角色分配策略"的角色分配策略。通过该角色分配策略,与其关联的邮箱用户可以执行下列操作:
- 加入或退出允许成员管理其自己的成员身份的通讯组。
- 查看并修改自己邮箱中的基本邮箱设置,如收件箱规则、拼写检查行为、垃圾邮件设置和 Microsoft ActiveSync 设备。
- 修改他们的联系信息,例如工作地址和电话号码、手机号码和寻呼机号码。
- 创建、修改或查看文本邮件设置。
- 查看或修改语音邮件设置。
- 查看和修改其市场应用程序。
- 创建团队邮箱,并且将它们连接到 Microsoft SharePoint 列表。
- 创建、更改或查看电子邮件订阅设置,比如邮件格式和协议默认设置。
如果要向"默认角色分配策略"或其他任何角色分配策略中添加权限或删除其中的权限,可以使用 EAC。使用的对话框与上图中的对话框类似。在 EAC 中打开角色分配策略后,选中要为其分配的角色旁边的复选框或清除要删除的角色旁边的复选框。对角色分配策略所做的更改将应用到与其关联的每个邮箱。
如果要为组织中各种类型的用户分配不同的最终用户权限,可以创建角色分配策略。创建角色分配策略时,会看到与上图中类似的对话框。可以为角色分配策略指定新的名称,然后选择要分配给该角色分配策略的角色。创建角色分配策略后,可以使用 EAC 将其与邮箱相关联。
如果要更改默认策略角色分配,必须使用 PowerShell Exchange Online策略。 在更改默认角色分配策略时,任何创建时未明确指定角色分配策略的新建邮箱都将与新的默认角色分配策略相关联。 选择新的默认角色分配策略时,与现有邮箱关联的角色分配策略不会发生变化。
备注
如果选中具有子角色的角色对应的复选框,则同时还会选中其子角色对应的复选框。如果清除具有子角色的角色对应的复选框,则同时还会清除其子角色对应的复选框。
有关策略角色分配的详细信息,请参阅角色分配策略Exchange Online。
权限文档
下表包含指向某些主题的链接,这些主题将帮助您了解和管理 Exchange Online 中的权限。
| 主题 | 说明 |
|---|---|
| Understanding Role Based Access Control | 了解构成 RBAC 的每个组件,以及如果角色组和管理角色不能满足需要,该如何创建高级权限模型。 |
| 管理角色角色Exchange Online | 使用角色组Exchange Online管理员和专家用户配置权限,包括向角色组添加成员和从角色组中删除成员。 |
| 角色分配策略Exchange Online | 使用 角色分配 策略配置最终用户有权访问其邮箱的功能、查看、创建、修改和删除 角色分配 策略、指定默认的 角色分配 策略,以及将 角色分配 策略应用于邮箱。 |
| Exchange Online 中的功能权限 | 了解更多有关管理 Exchange Online 功能和服务所需权限的信息。 |