獨立版 EOP 中的權限
沒有 Exchange Online 信箱的獨立 Exchange Online Protection (EOP) 組織會使用角色型 存取控制 (RBAC) 許可權模型,輕鬆地將許可權授與系統管理員。 您可以使用獨立 EOP 中的許可權功能,讓新組織快速啟動並執行。
若要將許可權授與使用者,請 參閱在 EOP 中管理系統管理員角色群組。
如需跨 Microsoft 365 許可權的詳細資訊,請參閱 關於系統管理員角色。
角色型權限
您授與用戶的系統管理員許可權是以管理角色為基礎。 管理角色會定義一組指定工作可用的 Cmdlet。 Exchange 系統管理中心 (EAC) 和獨立 EOP PowerShell 都使用 Cmdlet。 因此,將 Cmdlet 的存取權授與使用者在 EAC 或獨立 EOP PowerShell 中執行工作的許可權。 例如,郵件收件者角色會定義修改郵件使用者所需的 Cmdlet。
角色群組
為了讓您更輕鬆地將角色指派給用戶,獨立EOP會使用角色群組。 管理角色會指派給角色群組,而角色群組成員會取得與角色相關聯的許可權。 換句話說,管理角色不會直接指派給使用者;它們會指派給角色群組。 此模型可讓您一次將許多角色指派給許多角色群組成員。 角色群組成員可以是郵件用戶、擁有郵件功能的安全組、來自 Microsoft 365 系統管理中心 的使用者,以及其他角色群組。
下圖顯示使用者、角色群組和角色之間的關係。
下表說明獨立 EOP 中可用的角色群組。
| 角色群組 | 說明 | 已指派預設角色 |
|---|---|---|
| 通訊合規性 | 雖然此角色群組可供使用,但在獨立 EOP 中沒有任何用處。 | 通訊合規性系統管理員 通訊合規性調查 |
| 通訊合規性系統管理員 | 雖然此角色群組可供使用,但在獨立 EOP 中沒有任何用處。 | 通訊合規性系統管理員 |
| 合規性系統管理員 | 管理裝置管理、數據外洩防護、報告和保留的設定。 | 通訊合規性系統管理員 測試人員風險管理系統管理員 |
| 合規性管理 | 如果您的訂用帳戶具有 DLP 功能,請在組織內設定和管理合規性設定,包括數據外洩防護 (DLP) 。 Microsoft Entra ID 中的合規性系統管理員角色成員會自動取得此角色群組的許可權。 |
稽核記錄 合規性 管理員 資料外洩防護 資訊版權管理 日誌 郵件追蹤 保留管理 傳輸規則 僅限檢視稽核記錄 僅限檢視組態 僅限檢視收件者 |
| 探索管理 | 執行 Exchange 組織中信箱的搜尋,以尋找符合特定準則的數據。 | 合法持有 信箱搜尋 |
| 技術支援 | 檢視和管理郵件使用者。 | 重設密碼 用戶選項 僅限檢視收件者 |
| 檢疫管理 | 管理反垃圾郵件、反惡意代碼等 (保護功能 ) 。 | 傳輸檢查 僅限檢視組態 僅限檢視收件者 |
| 資訊保護 | 完全控制所有信息保護功能,包括敏感度標籤及其原則、DLP、所有分類器類型、活動和內容總管,以及所有相關報告。 | 資訊保護系統管理員 資訊保護調查人員 資訊保護讀者 |
| 資訊保護系統管理員 | 雖然此角色群組可供使用,但在獨立 EOP 中沒有任何用處。 | 資訊保護系統管理員 |
| 資訊保護分析員 | 雖然此角色群組可供使用,但在獨立 EOP 中沒有任何用處。 | 無 |
| 資訊保護調查人員 | 搜尋整合稽核記錄 | 資訊保護調查人員 |
| 資訊保護讀者 | 搜尋統一的稽核記錄,並檢視郵件流量和郵件流量摘要報告。 | 資訊保護讀者 |
| 測試人員風險管理 | 管理測試人員風險管理的訪問控制。 | 測試人員風險管理系統管理員 測試人員風險管理調查 |
| 測試人員風險管理管理員 | 雖然此角色群組可供使用,但在獨立 EOP 中沒有任何用處。 | 測試人員風險管理系統管理員 |
| 測試人員風險管理調查員 | 雖然此角色群組可供使用,但在獨立 EOP 中沒有任何用處。 | 測試人員風險管理調查 |
| 組織管理 | 管理員 整個組織的存取權,以及執行幾乎任何工作的能力。 Microsoft Entra ID 中的全域管理員角色成員會自動取得此角色群組的許可權。 重要:因為組織管理角色群組是功能強大的角色,所以只有執行組織層級系統管理工作的使用者才是此角色群組的成員。 |
稽核記錄 通訊合規性系統管理員 通訊合規性調查 合規性 管理員 資料外洩防護 動態通訊群組 電子郵件地址原則 同盟共用 資訊保護系統管理員 資訊保護調查人員 資訊保護讀者 資訊版權管理 測試人員風險管理系統管理員 測試人員風險管理調查 日誌 合法持有 啟用郵件的公用資料夾 建立郵件收件者 郵件收件者 郵件提示 郵件追蹤 移轉 移動信箱 組織自訂應用程式 組織市集應用程式 組織用戶端存取 組織組態 組織傳輸設定 隱私權管理 管理員 隱私權管理調查 公用資料夾 收件者原則 遠端和已接受的網域 重設密碼 保留管理 角色管理 安全性系統管理員 安全組建立和成員資格 安全性讀取者 TenantPlacesManagement 傳輸檢查 傳輸規則 用戶選項 僅限檢視稽核記錄 僅限檢視組態 僅限檢視收件者 |
| 隱私權管理 | 雖然此角色群組可供使用,但在獨立 EOP 中沒有任何用處。 | 隱私權管理 管理員 隱私權管理調查 |
| 隱私權管理系統管理員 | 雖然此角色群組可供使用,但在獨立 EOP 中沒有任何用處。 | 隱私權管理 管理員 |
| 隱私權管理調查人員 | 雖然此角色群組可供使用,但在獨立 EOP 中沒有任何用處。 | 隱私權管理調查 |
| 收件者管理 | 建立、管理及移除組織中的收件者物件。 | 動態通訊群組 建立郵件收件者 郵件收件者 郵件追蹤 移轉 移動信箱 收件者原則 重設密碼 |
| 記錄管理 | 設定合規性功能,例如保留原則標籤、郵件分類和郵件流程規則, (也稱為傳輸規則) 。 | 稽核記錄 日誌 郵件追蹤 保留管理 傳輸規則 |
| }-MAILboxAdmins<GUID> | 未使用 | ApplicationImpersonation |
| 安全性系統管理員 | 設定組織中保護的所有層面, (反垃圾郵件、反惡意代碼、反詐騙、隔離等 ) 。 Microsoft Entra ID 中的安全性系統管理員角色成員會自動取得此角色群組的許可權。 |
安全性系統管理員 SensitivityLabelAdministrator |
| 安全性操作員 | 管理安全性警示,以及檢視安全性功能的報告和設定。 Microsoft Entra ID 中的安全性操作員角色成員會自動取得此角色群組的許可權。 |
租使用者 AllowBlockList Manager |
| SecurityReader | 僅檢視組織中所有保護層面的存取權, (反垃圾郵件、反惡意代碼、反詐騙、隔離等 ) 。 Microsoft Entra ID 中的安全性讀取者角色成員會自動取得此角色群組的許可權。 |
安全性讀取者 |
| <TenantAdmins_Number> | 這個角色群組中的成員資格能跨服務同步,且為集中管理的。 此角色群組未獲指派任何角色,但它是組織管理角色群組的成員,並繼承這些許可權。 | 無 |
| 僅限檢視組織管理 | 檢視收件者、保護和設定物件及其在組織中的屬性。 | 僅限檢視組態 僅限檢視收件者 |
如果您在小型組織中工作,您可能只會使用組織管理角色群組。 在系統管理員負責特定工作的較大組織中 (例如,收件者設定僅) ,您也可以使用收件者管理角色群組。 系統管理員接著可以在不負責的區域中管理其特定區域,而不需要許可權。
如果 Exchange Online 中的內建角色群組不符合系統管理員的作業功能,您可以建立角色群組並將角色新增至其中。 如需詳細資訊,請 參閱在獨立 EOP 中管理角色群組。
角色
下表說明獨立 EOP 中可用的內建角色。
| 角色 | 描述 | 預設角色群組指派 |
|---|---|---|
| 通訊清單 | 可讓系統管理員管理組織中的通訊清單、全域通訊清單和離線通訊清單。 | 無 |
| 稽核記錄 | 搜尋系統管理員稽核記錄並檢視結果。 | 合規性管理 組織管理 記錄管理 |
| 通訊合規性系統管理員 | 雖然此角色可供使用,但在獨立 EOP 中沒有任何用處。 | 通訊合規性 通訊合規性系統管理員 合規性系統管理員 組織管理 |
| 通訊合規性調查 | 雖然此角色可供使用,但在獨立 EOP 中沒有任何用處。 | 組織管理 |
| 合規性 管理員 | 可讓用戶檢視和編輯合規性功能的設定和報告。 | 合規性管理 組織管理 |
| 資料外洩防護 | 可讓系統管理員管理組織中的數據外洩防護 (DLP) 設定。 | 合規性管理 組織管理 |
| 動態通訊群組 | 建立和管理所有通訊群組、擁有郵件功能的安全組和成員。 | 組織管理 收件者管理 |
| 電子郵件地址原則 | 可讓系統管理員管理組織中的電子郵件地址原則。 | 組織管理 |
| 同盟共用 | 可讓系統管理員管理組織中的跨樹系和跨組織共用。 | 組織管理 |
| 資訊保護系統管理員 | 雖然此角色可供使用,但在獨立 EOP 中沒有任何用處。 | 資訊保護 資訊保護系統管理員 組織管理 |
| 資訊保護調查人員 | 搜尋統一稽核記錄。 | 資訊保護 資訊保護調查人員 組織管理 |
| 資訊保護讀者 | 搜尋統一的稽核記錄,並檢視郵件流量和郵件流量摘要報告。 | 資訊保護 資訊保護讀者 組織管理 |
| 資訊版權管理 | 在組織中管理信息版權管理 (IRM) Exchange 功能。 | 合規性管理 組織管理 |
| 測試人員風險管理系統管理員 | 雖然此角色可供使用,但在獨立 EOP 中沒有任何用處。 | 合規性系統管理員 測試人員風險管理 測試人員風險管理管理員 組織管理 |
| 測試人員風險管理調查 | 雖然此角色可供使用,但在獨立 EOP 中沒有任何用處。 | 測試人員風險管理 測試人員風險管理調查員 組織管理 |
| 日誌 | 可讓系統管理員管理組織中的日誌設定。 | 合規性管理 組織管理 記錄管理 |
| 合法持有 | 可讓系統管理員設定是否應保留信箱內的數據,以便在組織中進行訴訟。 | 探索管理 組織管理 |
| 啟用郵件的公用資料夾 | 可讓系統管理員設定組織中的個別公用資料夾是否啟用郵件或郵件停用。 | 組織管理 |
| 建立郵件收件者 | 建立和移除郵件用戶和郵件聯繫人。 | 組織管理 收件者管理 |
| 郵件收件者 | 修改現有的郵件使用者和郵件聯繫人。 | 組織管理 收件者管理 |
| 郵件提示 | 可讓系統管理員管理組織中的MailTip設定。 | 組織管理 |
| 信箱匯入匯出 | 可讓系統管理員匯入和匯出信箱內容。 | 組織管理 |
| 信箱搜尋 | 可讓系統管理員搜尋組織中一或多個信箱的內容。 | 探索管理 |
| 訊息追蹤 | 可讓系統管理員追蹤組織中的訊息。 | 合規性管理 組織管理 收件者管理 記錄管理 |
| 移轉 | 可讓系統管理員將信箱和信箱內容移入或移出組織。 | 組織管理 收件者管理 |
| 移動信箱 | 可讓系統管理員移動信箱。 | 組織管理 收件者管理 |
| 組織用戶端存取 | 可讓系統管理員管理組織中的用戶端存取設定。 | 組織管理 |
| 組織組態 | 可讓系統管理員管理整個組織的設定。 | 組織管理 |
| 組織傳輸設定 | 可讓系統管理員管理混合式和整個組織的郵件傳輸設定。 | 組織管理 |
| 隱私權管理 管理員 | 雖然此角色可供使用,但在獨立 EOP 中沒有任何用處。 | 組織管理 隱私權管理 隱私權管理系統管理員 |
| 隱私權管理調查 | 雖然此角色可供使用,但在獨立 EOP 中沒有任何用處。 | 組織管理 隱私權管理 隱私權管理調查人員 |
| 公用資料夾 | 可讓系統管理員管理組織中的公用資料夾。 | 組織管理 |
| 收件者原則 | 可讓系統管理員管理收件者原則 (驗證原則、數據加密原則、行動裝置信箱原則,以及) 組織中 Outlook 網頁版 信箱原則。 | 組織管理 收件者管理 |
| 遠端和已接受的網域 | 管理遠端網域、接受的網域和連接器。 | 組織管理 |
| 重設密碼 | 可讓系統管理員設定會議室信箱密碼。 | 技術支援 組織管理 收件者管理 |
| 保留管理 | 可讓人員管理保留原則。 | 合規性管理 組織管理 記錄管理 |
| 角色管理 | 可讓系統管理員管理組織中的管理角色群組、角色指派原則、管理角色、角色專案、指派和範圍。 | 組織管理 |
| 安全性系統管理員 | 管理所有安全性和保護功能的設定和報告。 | 組織管理 安全性系統管理員 |
| 安全組建立和成員資格 | 建立和管理擁有郵件功能的安全組。 | 組織管理 |
| 安全性讀取者 | 檢視安全性和保護功能的設定和報告。 | 組織管理 安全性讀取者 |
| SensitivityLabelAdministrator | 可讓用戶編輯敏感度標籤屬性。 | 組織管理 安全性系統管理員 |
| 租使用者 AllowBlockList Manager | 可讓使用者管理租使用者允許/封鎖清單。 | 組織管理 安全性操作員 |
| TenantPlacesManagement | 雖然此角色可供使用,但在獨立 EOP 中沒有任何用處。 | 組織管理 |
| 傳輸檢查 | 管理反惡意代碼、反垃圾郵件功能和反詐騙功能。 | 檢疫管理 組織管理 |
| 傳輸規則 | 建立和管理郵件流程規則 (也稱為傳輸規則) 。 | 合規性管理 組織管理 記錄管理 |
| 用戶選項 | 可讓系統管理員檢視組織中使用者的 Outlook 網頁版 選項。 | 技術支援 組織管理 |
| 僅限檢視稽核記錄 | 搜尋系統管理員稽核記錄並檢視結果。 | 合規性管理 組織管理 |
| 僅限檢視組態 | 檢視組織中所有組織和郵件流程 (非收件者) 設定。 | 合規性管理 檢疫管理 組織管理 僅限檢視組織管理 |
| 僅限檢視收件者 | 檢視收件者屬性並執行訊息追蹤。 | 合規性管理 技術支援 檢疫管理 組織管理 僅限檢視組織管理 |
注意事項
- 以 『My』 前置詞開頭的角色名稱 (例如,MyContactInformation) 是使用者角色。 使用者角色會指派給角色指派原則中的使用者,這可讓使用者在其擁有的物件上操作 (例如,他們自己的帳戶或他們建立的通訊群組) 。 如需詳細資訊,請參閱 Exchange Online 中的角色指派原則。
- 以 『Application』 開頭或結尾的角色名稱是 Exchange Online 中 RBAC for Applications 的一部分。 如需詳細資訊,請參閱 Exchange Online 中應用程式的角色型 存取控制。
獨立 EOP 中的 Microsoft 365 許可權
當您在 Microsoft 365 系統管理中心 中建立使用者時,可以選擇是否要將各種 Microsoft Entra 角色 (例如全域管理員、Exchange 系統管理員和全域讀取者) 指派給使用者。 大部分的 Microsoft Entra 角色會將 EOP 中的系統管理許可權授與使用者。
注意事項
您用來建立獨立 EOP 組織的帳戶會自動指派給全域管理員角色。
下表列出 Microsoft Entra 角色及其對應的獨立 EOP 角色群組。 如需這些角色的詳細資訊,請參閱 關於系統管理員角色。
| Microsoft Entra 角色 | EOP 角色群組 |
|---|---|
| 全域系統管理員 | 組織管理 注意:全域管理員角色和組織管理角色群組會使用特殊的公司系統管理員角色群組系結在一起。 公司系統管理員角色群組是在內部管理,無法直接修改。 |
| Exchange 系統管理員 | 組織管理 |
| 全域讀取者 | ViewOnlyOrganization Management |
| 服務台系統管理員 | 技術支援 |
| 服務支援系統管理員 | 無 |
| Sharepoint 系統管理員 | 無 |
| Teams 系統管理員 | 無 |
| 用戶系統管理員 | 收件者管理 |
| 使用者體驗成功主管 | 無 |
您可以將使用者新增為 EOP 角色群組的成員,以在 EOP 中授與使用者管理許可權,而不需要將使用者新增至 Microsoft Entra 角色。 使用者在 EOP 中取得許可權,但無法取得其他 Microsoft 365 工作負載的許可權。 如需指示,請 參閱使用 EAC 來管理角色群組。