Exchange Online 中的權限

  • 發行項

Microsoft 365 和 Office 365 中的Exchange Online包含一組以角色為基礎的 存取控制 (RBAC) 許可權模型為基礎的一組大型預先定義許可權,您可以立即使用此模型,輕鬆地將許可權授與系統管理員和使用者。 您可以使用 Exchange Online 中的權限功能,快速地讓新組織正常運作。

RBAC 也是用於Microsoft Exchange Server的許可權模型。 本主題中的大部分連結都參考參考Exchange Server的主題。 這些主題中的概念亦適用於 Exchange Online。

如需 Microsoft 365 或 Office 365 許可權的相關資訊,請參閱關於系統管理員角色

注意事項

有幾項 RBAC 功能和概念屬於進階功能,因此不在本主題討論之列。 如果本主題所討論的功能不符合您的需求,而且您想進一步自訂權限模型,請參閱Understanding Role Based Access Control

角色型權限

在 Exchange Online 中,您授與給系統管理員和使用者的權限都是以管理角色為基礎。 管理角色定義了系統管理員或使用者所能執行的一組工作。 例如,稱為 的 Mail Recipients 管理角色會定義某人可以在一組信箱、連絡人和通訊群組上執行的工作。 將管理角色指派給系統管理員或使用者後,該名人員便會獲得此管理角色所提供的權限。

系統管理角色和使用者角色是兩種管理角色。 以下是這兩種類型各自的簡短說明:

  • 系統管理角色:這些角色包含的許可權,可以使用管理Exchange Online組織一部分的角色群組指派給系統管理員或專家使用者,例如收件者或合規性管理。

  • 使用者角色:這些角色是使用角色指派原則來指派,可讓使用者管理自己的信箱和他們擁有之通訊群組的各個層面。 使用者角色的開頭為 前置詞 My

管理角色是透過讓角色指派對象能夠使用指令程式的方式,授與系統管理員和使用者執行工作的權限。 由於 Exchange 系統管理中心 (EAC) 和 Exchange Online PowerShell 會使用 Cmdlet 來管理Exchange Online,因此授與 Cmdlet 的存取權可讓系統管理員或使用者在每個Exchange Online管理介面中執行工作。

Exchange Online包含您可以用來授與許可權的角色群組。 如需詳細資訊,請參閱下一節。

注意事項

某些管理角色可能只適用於內部部署的 Exchange Server 安裝,不適用於 Exchange Online。

角色群組和指派原則

管理角色可授與在 Exchange Online 中執行工作的權限,但是您還需要一種可將角色指派給系統管理員和使用者的簡易方式。 Exchange Online 提供下列項目來協助您指派角色:

  • 角色群組:角色群組可讓您將許可權授與系統管理員和專家使用者。

  • 角色指派原則:角色指派原則可讓您將許可權授與使用者,以變更他們自己的信箱或通訊群組上的設定。

以下幾節提供有關角色群組和角色指派原則的詳細資訊。

角色群組

您必須為負責管理 Exchange Online 的每個系統管理員指派至少一個或更多個角色。 系統管理員可以具有多個角色,因為他們可以在 Exchange Online 中執行跨越多個領域的職責。

Exchange Online 中包含角色群組,讓您更輕鬆地將多種角色指派給系統管理員。 將角色指派至角色群組後,此角色群組的所有成員便會獲得由該角色所授與的權限。 這可讓您同時將多個角色指派給多位角色群組成員。 角色群組通常包含範圍較大的管理領域,例如收件者管理。 此外,角色群組只能與系統管理員角色搭配使用,不能用於使用者角色。 角色群組成員可以是 Exchange Online 使用者和其他角色群組。

注意事項

您可以直接將角色指派給使用者,不需使用角色群組。 不過,這種角色指派方式屬於進階程序,不在本主題討論之列。 建議您使用角色群組來管理權限。

下圖顯示使用者、角色群組和角色之間的關係。

角色、角色群組和成員關聯性。

Exchange Online 包含幾個內建角色群組,分別提供管理 Exchange Online 中特定領域的權限。 某些角色群組可能會與其他角色群組重疊。 下表列出每個角色群組,並描述其用法。

角色群組 描述 已指派預設角色
合規性管理 成員可以根據其原則,在 Exchange 內設定及管理合規性設定。 稽核記錄

合規性管理員

資料外洩防護

資訊版權管理

日誌

郵件追蹤

保留管理

傳輸規則

僅限檢視稽核記錄

僅限檢視組態

僅限檢視收件者
探索管理 成員可以在Exchange Online組織中執行信箱搜尋,以尋找符合特定準則的資料,也可以在信箱上設定合法保留。 合法持有

信箱搜尋
ExchangeServiceAdmins_唯 < 一值> 此角色群組中的成員資格會跨服務同步處理,並集中管理。 您無法在Exchange Online中管理此角色群組。

此角色群組沒有任何指派的角色。 不過,它是組織管理角色群組的成員, (為 Exchange 服務管理員) ,並繼承該角色群組所提供的許可權。

您可以將使用者新增至Microsoft 365 系統管理中心中Microsoft Entra識別碼 Exchange 系統管理員角色,以將成員新增至此角色群組。

 不適用
技術支援 成員可以檢視和管理個別收件者的設定,以及檢視 Exchange 組織中的收件者。 此角色群組的成員只能管理每個使用者可以在自己的信箱上管理的設定。 重設密碼

使用者選項

僅限檢視收件者
<HelpdeskAdmins_unique 值> 此角色群組中的成員資格會跨服務同步處理,並集中管理。 您無法在Exchange Online中管理此角色群組。

此角色群組沒有任何指派的角色。 不過,它是 View-Only 組織管理角色群組的成員, (為技術支援人員系統管理員) 並繼承該角色群組所提供的許可權。

您可以將使用者新增至Microsoft 365 系統管理中心中Microsoft Entra服務台系統管理員角色,以將成員新增至此角色群組。

 不適用
檢疫管理 成員可以管理 Exchange 反垃圾郵件功能、授與與 Exchange 整合之防毒軟體產品的許可權,以及管理郵件流程規則。 傳輸檢查

僅限檢視組態

僅限檢視收件者
組織管理 成員具有整個Exchange Online組織的系統管理存取權,而且幾乎可以在Exchange Online中執行任何工作。

根據預設,下列管理角色不會指派給任何角色群組,包括組織管理:

  • 通訊清單
  • 信箱匯入匯出

根據預設,信箱搜尋角色只會指派給探索管理角色群組

重要:因為組織管理角色群組是一個強大的角色,所以只有執行組織層級系統管理工作的使用者可能會影響整個Exchange Online組織,才應該是此角色群組的成員。

 稽核記錄

合規性管理員

資料外洩防護

動態通訊群組

電子郵件地址原則

同盟共用

資訊版權管理

日誌

合法持有

啟用郵件的公用資料夾

建立郵件收件者

郵件收件者

郵件提示

郵件追蹤

移轉

移動信箱

組織自訂應用程式

組織市集應用程式

組織用戶端存取

組織組態

組織傳輸設定

公用資料夾

收件者原則

遠端和已接受的網域

重設密碼

保留管理

角色管理

安全性系統管理員

安全性群組建立和成員資格

安全性讀取者

小組信箱

傳輸檢查

傳輸規則

UM 信箱

UM 提示

整合通訊

使用者選項

僅限檢視稽核記錄

僅限檢視組態

僅限檢視收件者
收件者管理 成員具有系統管理存取權,可在Exchange Online組織內建立或修改Exchange Online收件者。 動態通訊群組

建立郵件收件者

郵件收件者

郵件追蹤

移轉

移動信箱

收件者原則

重設密碼

小組信箱
記錄管理 成員可以設定合規性功能,例如保留原則標籤、郵件分類和郵件流程規則, (也稱為傳輸規則) 。 稽核記錄

日誌

郵件追蹤

保留管理

傳輸規則
安全性系統管理員 此角色群組中的成員資格會跨服務同步處理,並集中管理。 您無法在Exchange Online中管理此角色群組。

您可以將使用者新增至Microsoft 365 系統管理中心中Microsoft Entra安全性系統管理員角色,以將成員新增至此角色群組。

 安全性系統管理員
安全性讀取者 此角色群組中的成員資格會跨服務同步處理,並集中管理。 您無法在Exchange Online中管理此角色群組。

您可以將使用者新增至Microsoft 365 系統管理中心中Microsoft Entra安全性讀取者角色,以將成員新增至此角色群組。

 安全性讀取者
TenantAdmins_唯 < 一值> 此角色群組中的成員資格會跨服務同步處理,並集中管理。 您無法在Exchange Online中管理此角色群組。

此角色群組沒有任何指派的角色。 不過,它是組織管理角色群組的成員, (為公司系統管理員) ,並繼承該角色群組所提供的許可權。

您可以將使用者新增至Microsoft 365 系統管理中心中Microsoft Entra識別碼全域管理員角色,以將成員新增至此角色群組。

 不適用
UM 管理 成員可以管理 Exchange Unified Messaging (UM) 設定和功能。 UM 信箱

UM 提示

整合通訊
僅限檢視組織管理 成員可以檢視Exchange Online組織中任何物件的屬性。 僅限檢視組態

僅限檢視收件者

如果您任職於只有幾個系統管理員的小型組織,可能只需要將這些系統管理員新增到 組織管理 角色群組,而且可能永遠不需要使用其他角色群組。 如果您在較大的組織中工作,您可能會有系統管理員執行管理Exchange Online的特定工作,例如收件者設定。 在這些情況下,您可以將一個系統管理員新增至收件者管理角色群組,並將另一個系統管理員新增至組織管理角色群組。 這些系統管理員接著可以管理其特定的Exchange Online區域,但他們沒有許可權可管理其不負責的區域。

如果 Exchange Online 中的內建角色群組與您的系統管理員職責不符,您可以建立角色群組並新增角色到這些群組。 For more information, see the Work with role groups section later in this topic.

角色指派原則

Exchange Online 提供角色指派原則,使您能夠控制使用者可對他們的專屬信箱和擁有的通訊群組進行哪些設定。 這些設定包括使用者的顯示名稱、連絡資訊、語音信箱設定,以及通訊群組成員資格。

您的 Exchange Online 組織可以有多個角色指派原則,以針對組織中不同的使用者類型,提供不同等級的權限。 依據使用者信箱相關聯的角色指派原則而定,有些使用者可以變更其地址或建立通訊群組,但有些使用者卻不行。 角色指派原則會直接新增至信箱,而且每個信箱一次只能與一個角色指派原則相關聯。

在組織的角色指派原則中,有一個會被標示為預設的原則。 如果在建立新信箱時沒有明確指派特定的角色指派原則,這些新信箱就會與預設的角色指派原則產生關聯。 預設的角色指派原則應該包含多數信箱所應套用的權限。

權限是透過使用者角色新增到角色指派原則。 使用者角色開頭為 ,並授與 My 許可權,讓使用者只管理其擁有的信箱或通訊群組。 使用者角色不能用來管理其他任何信箱。 此外,只有使用者角色可以指派到角色指派原則。

將使用者角色指派到角色指派原則後,與該角色指派原則相關聯的所有信箱都會取得該角色所授與的權限。 因此,您不需要設定個別的信箱,就可以對多組使用者新增或移除權限。 下圖顯示:

  • 使用者角色會指派至角色指派原則。 角色指派原則可以共用相同的使用者角色。 如需Exchange Online中可用之使用者角色的詳細資訊,請參閱Exchange Online 中的角色指派原則

  • 角色指派原則會與信箱產生關聯。 每個信箱只能與一個角色指派原則相關聯。

  • 在信箱與角色指派原則產生關聯後,使用者角色會套用到該信箱。 信箱使用者會獲得角色所授與的權限。

角色、角色指派原則、信箱關聯性。

「預設角色指派原則角色」指派原則包含在 Exchange Online 中。 顧名思義,這是預設角色指派原則。 如果您要變更這個角色指派原則所提供的權限,或是想建立角色指派原則,請參閱本主題稍後的使用角色指派原則

microsoft 365 或 Office 365 中的許可權Exchange Online

當您在 Microsoft 365 或 Office 365 中建立使用者時,可以選擇是否要將全域管理員、服務管理員、密碼管理員等各種系統管理角色指派給使用者。 Microsoft 365 和 Office 365 角色會在Exchange Online中授與使用者系統管理許可權,但並非全部。

注意事項

用來建立 Microsoft 365 或Office 365組織的使用者會自動指派給全域管理員 Microsoft 365 或Office 365角色。

下表列出 Microsoft 365 或Office 365角色及其對應的Exchange Online角色群組。

Microsoft 365 或 Office 365 角色 Exchange Online 角色群組
全域管理員 組織管理

注意:全域管理員角色和組織管理角色群組會使用特殊的公司系統管理員角色群組系結在一起。 公司系統管理員角色群組是由 Exchange Online 內部管理,無法直接修改。
計費管理員 沒有對應的 Exchange Online 角色群組。
密碼管理員 服務台管理員
服務管理員 沒有對應的 Exchange Online 角色群組。
使用者管理管理員 沒有對應的 Exchange Online 角色群組。

如需 Exchange Online 角色群組的說明,請參閱角色群組中的「內建角色群組」表格。

在 Microsoft 365 或 Office 365 中,當您將使用者新增至全域管理員或密碼系統管理員角色時,會將個別Exchange Online角色群組所提供的許可權授與使用者。 其他 Microsoft 365 或Office 365角色沒有對應的Exchange Online角色群組,也不會在Exchange Online中授與系統管理許可權。 如需將 Microsoft 365 或Office 365角色指派給使用者的詳細資訊,請參閱指派系統管理員角色

您可以在Exchange Online中授與使用者系統管理許可權,而不需要將他們新增至 Microsoft 365 或Office 365角色。 將使用者新增為 Exchange Online 角色群組的成員即可達到此目的。 當您將使用者直接新增至 Exchange Online 角色群組時,他們會收到該角色群組在 Exchange Online 中授與的權限。 不過,它們不會被授與其他 Microsoft 365 或Office 365元件的任何許可權。 他們只會擁有 Exchange Online 的系統管理權限。 除了公司管理員和服務台管理員角色群組之外,您還可以將使用者新增至角色群組中「內建角色群組表格」列示的任何角色群組。 如需將使用者直接新增至 Exchange Online 角色群組的詳細資訊,請參閱使用角色群組

使用角色群組

To manage your permissions using role groups in Exchange Online, we recommend that you use the EAC. When you use the EAC to manage role groups, you can add and remove roles and members, create role groups, and copy role groups with a few clicks of your mouse. EAC 提供簡單的對話方塊,例如下圖所示的 [新增角色群組 ] 對話方塊,以執行這些工作。

EAC 中的 [新增角色群組] 對話方塊。

Exchange Online 包含將權限區分為特定系統管理區域的多個角色群組。 如果這些現有的角色群組提供了系統管理員在管理您的 Exchange Online 組織時所需要的權限,您只需要將系統管理員新增為適當角色群組的成員。 在您將系統管理員新增至角色群組之後,他們就可以管理與該角色群組相關的功能。 若要新增或移除角色群組的成員,請在 EAC 中開啟角色群組,然後再於成員資格清單中新增或移除成員。 如需內建角色群組的清單,請參閱角色群組中的「內建角色群組」表格。

重要事項

如果系統管理員是多個角色群組的成員,Exchange Online 會將系統管理員所屬角色群組提供的所有權限,授與給系統管理員。

如果 Exchange Online 隨附的角色群組沒有任何一個具有您需要的權限,您可以使用 EAC 來建立角色群組,並新增擁有您所需權限的角色。 針對新的角色群組,您會:

  1. 選擇角色群組的名稱。

  2. 選取要新增到角色群組的角色。

  3. 在角色群組中新增成員。

  4. 儲存角色群組。

建立角色群組之後,您可以比照其他任何角色群組來管理它。

如果現有的角色群組具有您需要的部分權限 (而非所有權限),您可以複製該群組,然後透過變更的方式來建立角色群組。 您可以複製現有的角色群組並進行變更,而不會影響原始的角色群組。 在複製角色群組的過程中,您可以加入新的名稱和描述、在新的角色群組中新增及移除角色,並新增成員。 建立或複製角色群組時,您會使用上圖中所顯示的同一個對話方塊。

您也可以修改現有的角色群組。 您可以使用與上圖所示對話方塊類似的 EAC 對話方塊,從現有的角色群組新增與移除角色,並同時從該群組新增及移除成員。 透過在角色群組中新增及移除角色,您便可開啟與關閉該角色群組成員的系統管理功能。

注意事項

雖然您可以變更指派至內建角色群組的角色,我們還是建議您複製內建角色群組、修改角色群組複本,然後再新增成員到角色群組複本。 > 無法複製或變更公司系統管理員和技術支援中心系統管理員角色群組。

使用角色指派原則

To manage the permissions that you grant end users to manage their own mailbox in Exchange Online, we recommend that you use the EAC. When you use the EAC to manage end-user permissions, you can add roles, remove roles, and create role assignment policies with a few clicks of your mouse. The EAC provides simple dialog boxes, such as the role assignment policy dialog box, shown in the following figure, to perform these tasks.

EAC 中的角色指派原則對話方塊。

Exchange Online 包含一個名為「預設角色指派原則」的角色指派原則。 這個角色指派原則可以讓其相關聯信箱的使用者執行下列動作:

  • 加入或離開可讓成員自行管理成員資格的通訊群組。
  • 在自己的信箱上檢視並修改基本的信箱設定,例如收件匣規則、拼字檢查行為和 Microsoft ActiveSync 裝置。
  • 修改連絡資訊,例如公司地址和電話號碼、行動電話號碼,以及呼叫器號碼。
  • 建立、修改或檢視簡訊設定。
  • 檢視或修改語音信箱設定。
  • 檢視和修改市場應用程式。
  • 建立團隊信箱,並且將這些信箱連接到 Microsoft SharePoint 清單。
  • 建立、修改或檢視電子郵件訂閱設定,如郵件格式和通訊協定預設值。

如果要從「預設角色指派原則」或其他任何角色指派原則新增或移除權限,您可以使用 EAC。 使用的對話方塊與上圖所示的對話方塊類似。 當您在 EAC 中開啟角色指派原則時,請選取要指派至該原則的角色旁的核取方塊,或清除想要移除的角色旁的核取方塊。 您對角色指派原則所做的變更將會套用到與它相關聯的每一個信箱。

如果要指派不同的使用者權限給組織中各種類型的使用者,您可以建立角色指派原則。 建立角色指派原則時,您會看到與上圖類似的對話方塊。 您可以為角色指派原則指定新名稱,然後再選取要指派至角色指派原則的角色。 建立角色指派原則後,您可以使用 EAC 讓它與信箱產生關聯。

如果您想要變更預設的角色指派原則,您必須使用 Exchange Online PowerShell。 在您變更預設的角色指派原則之後,如果沒有為建立的任何信箱明確指定角色指派原則,這些信箱都會與新的預設角色指派原則產生關聯。 當您選取新的預設角色指派原則時,與現有信箱關聯的角色指派原則將維持不變。

注意事項

如果選取含有子角色之角色的核取方塊,也會選取子角色的核取方塊。 如果取消選取含有子角色之角色的核取方塊,也會取消選取子角色的核取方塊。

如需詳細的角色指派原則程式,請參閱Exchange Online中的角色指派原則

權限文件

下表包含主題的連結,這些主題有助於您瞭解和管理 Exchange Online 中的權限。

主題 描述
了解角色型存取控制 瞭解組成 RBAC 的每個元件,以及如何在角色群組和管理角色不足時建立進階許可權模型。
在 Exchange Online 中管理角色群組 使用角色群組為Exchange Online系統管理員和專家使用者設定許可權,包括在角色群組中新增和移除成員。
Exchange Online 中的角色指派原則 使用角色指派原則,設定使用者可在其信箱上存取哪些功能、檢視、建立、修改和移除角色指派原則、指定預設角色指派原則,以及將角色指派原則套用至信箱。
Exchange Online 中的功能權限 深入瞭解管理Exchange Online功能和服務所需的許可權。