Présentation du contrôle d'accès basé sur un rôle
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2011-04-28
Le Role Based Access Control (RBAC) constitue le nouveau modèle d’autorisations dans Microsoft Exchange Server 2010. Grâce au contrôle d’accès basé sur un rôle, vous n’avez pas besoin de modifier ni de gérer les listes de contrôle d’accès, ce qui était le cas dans Exchange Server 2007. Les listes de contrôle d’accès impliquaient plusieurs contraintes dans Exchange 2007, notamment de modifier les listes de contrôle d’accès sans effets involontaires, de gérer tous les changements apportés aux listes par le biais des mises à niveau et de résoudre les problèmes liés à une utilisation non standard de ces mêmes listes.
Le contrôle d’accès basé sur un rôle vous permet de contrôler ce que les administrateurs et les utilisateurs finaux peuvent réaliser, tant à des niveaux élargis que granulaires. Il vous permet également de mieux aligner les rôles que vous attribuez aux utilisateurs et administrateurs sur les rôles effectifs qu’ils jouent au sein de votre organisation. Dans Exchange 2007, le modèle d’autorisations serveur s’appliquait uniquement aux administrateurs qui géraient l’infrastructure Exchange 2007. Dans Exchange 2010, le contrôle d’accès basé sur un rôle gère à présent les tâches administratives qu’il est possible de réaliser et la portée avec laquelle les utilisateurs peuvent désormais administrer leur boîte aux lettres et leurs groupes de distribution personnels.
Le contrôle d’accès basé sur un rôle dispose de deux méthodes principales pour attribuer des autorisations aux utilisateurs de votre organisation, selon que l’utilisateur soit un administrateur, un spécialiste ou un utilisateur final : la gestion des groupes de rôles et les stratégies d’attribution de rôle de gestion. Chaque méthode associe des utilisateurs aux autorisations dont ils ont besoin pour effectuer leurs tâches. Une troisième méthode plus avancée, l’attribution de rôle d’utilisateur directe, peut également être adoptée. Les sections qui suivent dans cette rubrique explique le contrôle d’accès basé sur un rôle et fournissent des exemples de son utilisation.
.gif "Remarque") Remarque : |
|---|
| Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2010 de base, comme l’utilisation du panneau de configuration Exchange (ECP) pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles, ou créer et modifier des stratégies d’attribution de rôles, voir Présentation des autorisations. |
Contenu de cette rubrique
Groupe de rôles de gestion
Stratégie d’attribution des rôles de gestion
Attribution de rôle d’utilisateur directe
Résumé et exemples
Pour plus d’informations
Groupe de rôles de gestion
Les groupes de rôles de gestion associent les rôles de gestion à un groupe d’administrateurs ou d’utilisateurs spécialistes. Les administrateurs gèrent une vaste organisation Exchange ou une configuration de destinataires étendue. Les utilisateurs spécialistes gèrent les fonctionnalités spécifiques de Exchange, notamment la conformité. Ils peuvent aussi disposer de prérogatives de gestion limitées, par exemple en qualité de membres du support technique, mais ne reçoivent aucun droit d’administration étendu. Les groupes de rôles associent généralement les rôles de gestion administrative à l’aide desquels les administrateurs et les utilisateurs spécialistes peuvent gérer la configuration de leur organisation et de leurs destinataires. Par exemple, la capacité pour les administrateurs de gérer des destinataires ou d’exploiter les fonctionnalités de détection est contrôlée au moyen des groupes de rôles.
L’ajout ou la suppression d’utilisateurs dans ou à partir des groupes de rôles dépend de la manière dont vous attribuez le plus souvent des autorisations aux administrateurs ou aux utilisateurs spécialistes. Pour plus d’informations, consultez la rubrique Présentation des groupes de rôles de gestion.
Les groupes de rôles comprennent les composants suivants qui définissent ce que les administrateurs et les utilisateurs spécialistes peuvent réaliser :
Groupe de rôle de gestion Le groupe de rôle de gestion est un groupe de sécurité universel spécial qui comprend des boîtes aux lettres, des utilisateurs, des groupes de sécurité universels et d’autres groupes de rôles appartenant à ce groupe de rôle. C’est là que vous ajoutez et supprimez des membres et c’est aussi là où les rôles de gestion sont attribués. L’association de tous les rôles sur un groupe de rôles définit tout ce que les utilisateurs ajoutés à un groupe de rôles peuvent gérer dans l’organisation Exchange.
Rôle de gestion Un rôle de gestion est un conteneur pour un groupe d’entrées de rôles de gestion. Les rôles sont utilisés pour définir les tâches spécifiques que les membres d’un groupe de rôles auxquels le rôle a été attribué peuvent effectuer. Une entrée de rôle de gestion est une cmdlet, un script ou une autorisation spéciale qui permet d’effectuer chaque tâche spécifique dans un rôle. Pour plus d’informations, consultez la rubrique Présentation des rôles de gestion.
Attribution de rôle de gestion Une attribution de rôle de gestion représente le lien entre un rôle et un groupe de rôles. L’attribution d’un rôle à un groupe de rôles permet aux membres de ce dernier d’utiliser les cmdlets et les paramètres définis dans le rôle. Les attributions de rôles peuvent utiliser des étendues de gestion pour contrôler les emplacements où l’attribution peut être utilisée. Pour plus d’informations, consultez la rubrique Présentation des attributions de rôles de gestion.
Étendue de rôle de gestion Une étendue de rôle de gestion représente l’étendue de l’influence ou de l’impact sur une attribution de rôle. Quand un rôle avec une étendue est attribué à un groupe de rôles, l’étendue de gestion vise spécifiquement les objets que l’attribution est autorisée à gérer. L’attribution et son étendue sont ensuite accordées aux membres du groupe de rôles et limitent ce que peuvent gérer ces membres. Une étendue peut être composée d’une liste de serveurs ou de bases de données, d’unités d’organisation ou de filtres sur des objets serveur, base de données ou destinataire. Pour plus d’informations, consultez la rubrique Présentation des portées du rôle de gestion.
Lorsque vous ajoutez un utilisateur à un groupe de rôle, cet utilisateur bénéficie de tous les rôles attribués au groupe de rôles. Si des étendues sont appliquées à l’une des attributions de rôles entre le groupe de rôles et les rôles, ces étendues déterminent la configuration serveur ou les destinataires que l’utilisateur peut gérer.
Si vous souhaitez redéfinir les rôles attribués aux groupes de rôles, vous devez modifier les attributions de rôles qui lient les groupes de rôles aux rôles. À moins que les attributions intégrées dans Exchange 2010 ne correspondent pas à vos besoins, vous n’aurez pas à modifier ces attributions. Pour plus d’informations, consultez la rubrique Présentation des attributions de rôles de gestion.
Pour plus d’informations sur les groupes de rôles, consultez la rubrique Présentation des groupes de rôles de gestion.
Retour au début
Stratégie d’attribution des rôles de gestion
Les stratégies d’attribution des rôles de gestion associent les rôles de gestion d’utilisateur final aux utilisateurs. Les stratégies d’attribution de rôle déterminent les rôles chargés de contrôler ce qu’un utilisateur peut réaliser au moyen de sa boîte aux lettres ou de ses groupes de distribution. Ces rôles ne gèrent pas les fonctionnalités qui ne sont pas directement associées à l’utilisateur. Lorsque vous créez une stratégie d’attribution de rôle, vous définissez tout ce qu’un utilisateur peut effectuer par le biais de sa boîte aux lettres. Par exemple, une stratégie d’attribution de rôle peut permettre à un utilisateur d’afficher le nom complet, de configurer la messagerie vocale et des règles de boîte de réception. Une autre stratégie d’attribution de rôle peut autoriser un utilisateur à modifier l’adresse, à utiliser des messages texte et à configurer des groupes de distribution. Tous les utilisateurs munis d’une boîte aux lettres Exchange 2010, y compris les administrateurs, reçoivent une stratégie d’attribution de rôle par défaut. Vous pouvez décider de la stratégie d’attribution de rôle à attribuer par défaut, choisir les éléments que la stratégie d’attribution de rôle par défaut doit inclure, remplacer les valeurs par défaut pour certaines boîtes aux lettres ou choisir de n’attribuer aucune stratégie d’attribution de rôle par défaut.
L’attribution d’un utilisateur à une stratégie d’attribution dépend de la manière dont vous gérez le plus souvent des autorisations pour permettre à des utilisateurs de gérer eux-mêmes leurs propres options de boîte aux lettres et de groupe de distribution. Pour plus d’informations, consultez la rubrique Présentation des stratégies d’attributions de rôles de gestion.
Les stratégies d’attribution de rôle présentent les composants suivants. Ils déterminent ce que les utilisateurs peuvent réaliser avec leurs boîtes aux lettres personnelles. Notez que certains de ces mêmes composants s’appliquent également aux groupes de rôles. Lorsqu’ils sont utilisés dans le cadre des stratégies d’attribution de rôle, ces composants peuvent uniquement permettre aux utilisateurs de gérer leurs boîtes aux lettres personnelles :
Stratégie d’attribution de rôle de gestion La stratégie d’attribution de rôle de gestion est un objet spécial dans Exchange 2010. Elle est associée aux utilisateurs lorsque leur boîte aux lettres est créée ou si vous modifiez la stratégie d’attribution de rôle sur une boîte aux lettres. C’est également ce que vous attribuez pour les rôles de gestion des utilisateurs finaux. L’association de tous les rôles dans une stratégie d’attribution de rôle définit tout ce que l’utilisateur peut gérer dans sa boîte aux lettres ou ses groupes de distribution.
Rôle de gestion Un rôle de gestion est un conteneur pour un groupe d’entrées de rôles de gestion. Les rôles sont utilisés pour définir les tâches spécifiques qu’un utilisateur peut effectuer avec sa boîte aux lettres ou ses groupes de distribution. Une entrée de rôle de gestion est une cmdlet, un script ou une autorisation spéciale qui permet d’effectuer chaque tâche spécifique dans un rôle de gestion. Vous pouvez uniquement utiliser des rôles d’utilisateur final avec les stratégies d’attribution de rôle. Pour plus d’informations, consultez la rubrique Présentation des rôles de gestion.
Attribution de rôle de gestion Une attribution de rôle de gestion représente le lien entre un rôle et une stratégie d’attribution de rôle. L’attribution d’un rôle à une stratégie d’attribution de rôle permet l’utilisation des cmdlets et des paramètres définis dans le rôle. Lorsque vous créez une attribution de rôle entre une stratégie d’attribution de rôle et un rôle, vous ne pouvez spécifier aucune étendue. L’étendue appliquée par l’attribution est
SelfouMyGAL. Toutes les attributions de rôles ont une étendue limitée à la boîte aux lettres ou aux groupes de distribution de l’utilisateur. Pour plus d’informations, consultez la rubrique Présentation des attributions de rôles de gestion.
Si vous souhaitez redéfinir les rôles attribués aux stratégies d’attribution de rôle, vous devez modifier les attributions de rôles qui lient les stratégies d’attribution de rôle aux rôles. À moins que les attributions intégrées dans Exchange 2010 ne correspondent pas à vos besoins, vous n’aurez pas à modifier ces attributions. Pour plus d’informations, consultez la rubrique Présentation des attributions de rôles de gestion.
Pour plus d’informations, consultez la rubrique Présentation des stratégies d’attributions de rôles de gestion.
Retour au début
Attribution de rôle d’utilisateur directe
L’attribution de rôle d’utilisateur directe est une méthode avancée qui permet d’attribuer des rôles de gestion directement à un utilisateur ou un groupe de sécurité universel sans passer par un groupe de rôle ou une stratégie d’attribution de rôle. Les attributions de rôles directes peuvent être utiles lorsque vous devez préciser un ensemble d’autorisations détaillées pour un seul et unique utilisateur (et personne d’autre). En revanche, l’utilisation d’attributions directes peut considérablement accroître la complexité de votre modèle d’autorisations. Si un utilisateur change de poste ou quitte la société, vous devez manuellement supprimer les attributions et les ajouter au nouvel employé. Nous vous recommandons d’utiliser des groupes de rôles pour attribuer des autorisations à des administrateurs et des utilisateurs spécialistes et des stratégies d’attribution de rôle pour attribuer des autorisations à des utilisateurs.
Pour plus d’informations sur l’attribution de rôle directe, consultez la rubrique Présentation des attributions de rôles de gestion.
Retour au début
Résumé et exemples
La figure ci-dessous présente les composants du contrôle d’accès basé sur un rôle et la manière dont ils s’adaptent les uns aux autres :
Groupes de rôles :
Un ou plusieurs administrateurs peuvent être membres d’un groupe de rôles. Ils peuvent aussi être membres de plusieurs groupe de rôles.
Le groupe de rôles se voit attribuer un ou plusieurs rôles. Ces attributions de rôles lient le groupe de rôles à un ou plusieurs rôles administratifs qui définissent les tâches qu’il est possible de réaliser.
Les attributions de rôles peuvent contenir des étendues de gestion qui définissent la géographie dans laquelle les utilisateurs du groupe de rôles peuvent effectuer des opérations. Les étendues déterminent là où les utilisateurs du groupe de rôles peuvent modifier la configuration.
Stratégies d’attribution de rôle :
Un ou plusieurs utilisateurs peuvent être associés à une stratégie d’attribution de rôle.
La stratégie d’attribution de rôle se voit attribuer un ou plusieurs rôles. Ces attributions de rôles lient la stratégie d’attribution de rôle à un ou plusieurs rôles d’utilisateur final. Ces rôles d’utilisateur final définissent ce que l’utilisateur est autorisé à configurer dans sa boîte aux lettres.
Les attributions de rôles entre les stratégies d’attribution de rôle et les rôles sont munies d’étendues intégrées qui limitent l’étendue des attributions à la boîte aux lettres ou aux groupes de distribution personnels de l’utilisateur.
Attribution de rôle directe (méthode avancée) :
Une attribution de rôle peut être directement créée entre un utilisateur ou un groupe de sécurité universel et un ou plusieurs rôles. Le rôle définit les tâches que l’utilisateur ou le groupe de sécurité universel peut effectuer.
Les attributions de rôles peuvent contenir des étendues de gestion qui définissent la géographie dans laquelle l’utilisateur ou le groupe de sécurité universel peut effectuer des opérations. Les étendues déterminent à quel emplacement l’utilisateur ou le groupe de sécurité universel peut modifier la configuration.
Vue d’ensemble du contrôle d’accès basé sur un rôle
.jpg "Relations des composants RBAC")
Comme le démontre la figure ci-avant, de nombreux composants du contrôle d’accès basé sur un rôle sont liés entre eux. La manière dont chaque composant s’imbrique dans un autre définit les autorisations appliquées à chaque administrateur ou utilisateur. Les exemples ci-dessous offrent un contexte supplémentaire sur la façon dont les groupes de rôles et les stratégies d’attribution de rôle sont utilisées au sein d’une organisation.
Sabine, l’administratrice
Sabine travaille en qualité d’administratrice au sein de la PME Contoso. Située au bureau de Vancouver, elle est responsable de la gestion des destinataires de l’entreprise. Lorsque le modèle d’autorisations de la société Contoso a été élaboré, Sabine était membre du groupe de rôles personnalisé Gestion des destinataires - Vancouver. Le groupe de rôles personnalisé Gestion des destinataires - Vancouver est le groupe qui correspond le mieux aux responsabilités de son poste qui impliquent notamment la création et la suppression des destinataires (des boîtes aux lettres et des contacts, par exemple), la gestion des membres des groupes de distribution et des propriétés des boîtes aux lettres et bien d’autres tâches encore.
En plus du groupe de rôles personnalisé Gestion des destinataires - Vancouver, Sabine a également besoin d’une stratégie d’attribution de rôle pour gérer les paramètres de configuration de sa boîte aux lettres personnelle. Les administrateurs de l’organisation ont décidé que tous les utilisateurs, à l’exception de la direction, bénéficieront des mêmes autorisations pour la gestion de leurs boîtes aux lettres personnelles. Ils peuvent configurer leur messagerie vocale, configurer des stratégies de rétention et modifier les informations de leurs adresses. La stratégie d’attribution de rôle proposée par défaut avec Exchange 2010 reflète désormais ces besoins.
| Remarque : |
|---|
| Vous avez peut-être remarqué que Sabine est membre du groupe de rôles personnalisé Gestion des destinataires - Vancouver, ce qui devrait lui conférer les autorisations nécessaires pour gérer sa propre boîte aux lettres. C’est bel et bien le cas ; cependant, le groupe de rôles ne fournit pas toutes les autorisations nécessaires pour gérer l’ensemble des fonctionnalités de sa boîte aux lettres. Les autorisations requises pour gérer les paramètres de la messagerie vocale et de la stratégie de rétention ne sont pas incluses dans son groupe de rôles. Elles sont disponibles uniquement par le biais de la stratégie d’attribution de rôle qui lui est attribuée par défaut. |
Pour permettre ceci, envisagez le recours au groupe de rôles qui confère à Sabine des autorisations administratives pour les destinataires de Vancouver :
Un groupe de rôles personnalisé appelé Gestion des destinataires - Vancouver a été créé. Les événements survenus lors de sa création sont les suivants :
Tous les rôles de gestion également attribués au groupe de rôles intégré Gestion des destinataires étaient attribués au groupe de rôles. Les utilisateurs ajoutés au groupe de rôle personnalisé Gestion des destinataires - Vancouver disposent ainsi des mêmes autorisations que les utilisateurs ajoutés au groupe de rôles Gestion des destinataires. Toutefois, la procédure suivante limite le cadre d’application de ces autorisations.
Une étendue de gestion personnalisée pour les destinataires de Vancouver a été créée. Elle correspond uniquement aux destinataires qui travaillent sur ce site. Cette étendue permet de filtrer des informations portant sur la ville de l’utilisateur ou sur d’autres données uniques.
Le groupe de rôles a été créé avec l’étendue de gestion personnalisée des destinataires de Vancouver. Les administrateurs ajoutés au groupe de rôles personnalisé Gestion des destinataires - Vancouver disposent donc d’autorisations de gestion des destinataires complètes mais n’en bénéficient que pour les destinataires basés à Vancouver.
Sabine est ensuite ajoutée en tant que membre du groupe de rôles personnalisé Gestion des destinataires - Vancouver.
Pour plus d’informations sur la création d’un groupe de rôles personnalisé, consultez les rubriques suivantes :
Pour donner à Sabine la possibilité de gérer les paramètres de sa boîte aux lettres personnelle, une stratégie d’attribution de rôle doit être configurée avec les autorisations requises.
La stratégie d’attribution de rôle par défaut est utilisée pour fournir aux utilisateurs les autorisations qui leur sont nécessaires pour configurer leur propre boîte aux lettres. Les opérations suivantes sont réalisées pour définir ces autorisations :
- Tous les rôles d’utilisateur final sont supprimés de la stratégie d’attribution de rôle par défaut, sauf les suivants :
MyBaseOptions,MyContactInformation,MyVoicemailetMyRetentionPolicies. Le rôleMyBaseOptionsest inclus puisque ce rôle de gestion apporte les fonctionnalités utilisateur de base dans Microsoft Office Outlook Web App, notamment les règles de boîte de réception, la configuration de calendrier et d’autres tâches.
- Tous les rôles d’utilisateur final sont supprimés de la stratégie d’attribution de rôle par défaut, sauf les suivants :
Il ne reste rien d’autre à faire puisque la stratégie d’attribution de rôle par défaut a déjà été attribuée à Sabine. Ainsi donc, les modifications apportées à cette stratégie d’attribution de rôle sont appliquées immédiatement à sa boîte aux lettres et à toutes les autres boîtes aux lettres auxquelles la stratégie d’attribution de rôle par défaut a également été attribuée.
Pour plus d’informations sur la personnalisation de la stratégie d’attribution de rôle par défaut, consultez la rubrique Modifier la stratégie d’attribution par défaut.
Joe, le spécialiste
Comme Sabine, Joe travaille au sein de la société Contoso. Il est responsable des opérations de découverte légale, de la définition des stratégies de rétention et de la configuration des règles de transport et de la journalisation pour l’ensemble de l’organisation. Comme dans le cas de Sabine, lorsque le modèle d’autorisations de la société Contoso a été élaboré, Joe a été ajouté aux groupes de rôles conformes à ses responsabilités professionnelles. Le groupe de rôles Gestion des enregistrements apporte à Joe les autorisations qui lui sont nécessaires pour configurer les stratégies de rétention, la journalisation et les règles de transport. Le groupe de rôles Gestion de la découverte lui offre la possibilité d’effectuer des recherches dans des boîtes aux lettres.
Comme Jane, Joe a également besoin d’autorisations pour gérer sa propre boîte aux lettres. Il reçoit aussi les mêmes autorisations que Jane : Il peut configurer sa messagerie vocale et ses stratégies de rétention et modifier ses données d’adresse.
Pour accorder à Joe les autorisations requises pour réaliser les tâches qui lui incombent, Joe est ajouté aux groupes de rôles Gestion des enregistrements et Gestion de la découverte. Les groupes de rôles n’ont en aucune manière besoin d’être modifiés puisqu’ils lui donnent déjà les autorisations dont il a besoin et les étendues de gestion qui s’y appliquent couvrent la totalité de l’organisation.
Pour plus d’informations sur l’ajout d’un utilisateur à un groupe de rôles, consultez la rubrique Ajouter des membres un groupe de rôles.
La même stratégie d’attribution de rôle par défaut appliquée à la boîte aux lettres de Sabine l’est également à la boîte aux lettres de Joe. Il dispose ainsi de toutes les autorisations nécessaires pour les fonctionnalités qu’il est autorisé à gérer au sein de sa boîte aux lettres.
Isabelle, Vice-présidente
Isabelle est la vice-présidente de la branche Marketing de Contoso. En tant que membre de l’équipe dirigeante de Contoso, elle bénéficie d’un plus grand nombre d’autorisations que l’utilisateur moyen. Ceci inclut les autorisations qui lui permettent de gérer sa boîte aux lettres à une exception près : Isabelle n’est pas autorisée à gérer ses propres stratégies de rétention pour des raisons de conformité légale. Elle peut configurer sa messagerie vocale, modifier ses informations de contact, modifier les données de son profil, créer et gérer ses propres groupes de distribution et s’ajouter ou se supprimer de groupes de distribution existants dont d’autres utilisateurs seraient détenteurs.
Par conséquent, Isabelle bénéficie d’autorisations différentes pour sa propre boîte aux lettres. La plupart des utilisateurs de Contoso se voient attribuer la stratégie d’attribution de rôle par défaut. Les membres de l’équipe dirigeante, en revanche, bénéficient de la stratégie d’attribution de rôle réservée à la direction. Les opérations réalisées pour créer la stratégie d’attribution de rôle personnalisée sont les suivantes :
Une stratégie d’attribution de rôle appelée « Direction » est créée. Les rôles
MyBaseOptions,MyContactInformation,MyVoicemail,MyProfileInformation,MyDistributionGroupMembershipetMyDistributionGroupssont attribués à la stratégie d’attribution de rôle. Le rôleMyBaseOptionsest inclus car il fournit les fonctionnalités utilisateur de base dans Microsoft Outlook Web App, notamment les règles de boîte de réception, la configuration de calendrier et d’autres tâches.La stratégie d’attribution de rôle Direction est ensuite attribuée manuellement à Isabelle.
La boîte aux lettres d’Isabelle dispose à présent des autorisations accordées par la stratégie d’attribution de rôle Direction. Toutes les modifications apportées à cette stratégie d’attribution de rôle sont appliquées automatiquement à sa boîte aux lettres, et à toutes les autres boîtes aux lettres auxquelles la même stratégie d’attribution de rôle est attribuée.
Retour au début
Pour plus d’informations
Ajouter une stratégie d’attribution
Modifier la stratégie d’attribution sur une boîte aux lettres
Ajouter un rôle à une stratégie d’attribution
© 2010 Microsoft Corporation. Tous droits réservés.