Présentation des autorisations
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2015-03-09
Microsoft Exchange Server 2010 comprend un large éventail d’autorisations prédéfinies, basées sur le modèle des autorisations du contrôle d’accès basé sur un rôle (RBAC), que vous pouvez utiliser de manière immédiate pour donner facilement des autorisations à vos administrateurs et utilisateurs. Vous pouvez utiliser les autorisations proposées par Exchange 2010 afin que votre nouvelle organisation soit opérationnelle rapidement.
Le contrôle d’accès basé sur les rôles (RBAC) donne des autorisations pour gérer les rôles boîte aux lettres, transport Hub, serveur d’accès au client et messagerie unifiée. Pour plus d’informations sur les autorisations du rôle de serveur de transport Edge, voir Edge Transport Permissions plus loin dans cette rubrique.
.gif "Remarque") Remarque : |
|---|
| Plusieurs fonctionnalités et concepts RBAC ne sont pas abordés dans cette rubrique car il s’agit de fonctionnalités avancées. Si la fonctionnalité abordée dans cette rubrique ne répond pas à vos besoins, et que vous souhaitez personnaliser votre modèle d’autorisations, voir Présentation du contrôle d'accès basé sur un rôle. |
Souhaitez-vous rechercher les tâches de gestion liées aux autorisations ? Voir Gestion des autorisations.
Autorisations basées sur des rôles
Dans Exchange 2010, les autorisations que vous concédez aux administrateurs et aux utilisateurs sont basées sur des rôles de gestion. Un rôle définit un ensemble de tâches qu’un administrateur ou un utilisateur peuvent réaliser. Par exemple, un rôle de gestion appelé Mail Recipients définit les tâches qu’une personne peut réaliser sur un ensemble de boîtes aux lettres, contacts et groupes de distribution. Lorsqu’un rôle est assigné à un administrateur ou à un utilisateur, il obtient les autorisations associées à ce rôle.
Il existe deux types de rôles : les rôles d’administrateur et les rôles d’utilisateur final :
Rôles d’administrateur Ces rôles comportent des autorisations qu’il est possible d’assigner à des administrateurs ou des utilisateurs spécialistes utilisant des groupes de rôles qui ont une fonction de gestion dans l’organisation Exchange comme des destinataires, des serveurs ou des bases de données.
Rôles d’utilisateur final Ces rôles, assignés à l’aide de stratégies d’attribution de rôle, permettent aux utilisateurs de gérer des aspects de leurs propres boîtes aux lettres et groupes de distribution. Les rôles d’utilisateur final commencent par le préfixe
My.
Les rôles concèdent aux administrateurs et utilisateurs auxquels ils sont attribués des autorisations pour réaliser des tâches en mettant à leur disposition des cmdlets. Du fait que la Console de gestion Exchange (EMC), le Panneau de configuration Exchange (ECP), et l’environnement de ligne de commande Exchange Management Shell utilisent des cmdlets pour gérer Exchange, l’accès à une cmdlet donne à l’administrateur ou à l’utilisateur l’autorisation de réaliser des tâches dans chacune des interfaces de gestion Exchange.
Exchange 2010 comprend environ 60 rôles pouvant être utilisés pour accorder des autorisations. Pour obtenir une liste des rôles intégrés à Exchange 2010, voir Rôles de gestion intégrés.
Groupes de rôles et stratégies d’attribution de rôle
Les rôles donnent l’autorisation de réaliser des tâches dans Exchange 2010, mais vous avez besoin d’un moyen facile de les assigner aux administrateurs et aux utilisateurs. Voici ce que vous propose Exchange 2010 :
Groupes de rôles Les groupes de rôles vous permettent d’accorder des autorisations à des administrateurs et à des utilisateurs spécialistes.
Stratégies d’attribution de rôle Les stratégies d’attribution de rôle vous permettent d’accorder aux utilisateurs finaux les autorisations de modifier les paramètres de leurs propres boîtes aux lettres ou groupes de distribution.
Pour plus d’informations sur les groupes de rôles et les stratégies d’attribution de rôles, voir les sections suivantes :
Groupes de rôles
Il faut attribuer au moins un rôle ou plus à chacun des administrateurs gérant Exchange 2010. Il est possible que les administrateurs disposent de plus d’un rôle car leur travail englobe plusieurs facettes de Exchange. Par exemple, un administrateur peut gérer à la fois les destinataires et les serveurs Exchange. Dans ce cas, cet administrateur peut se voir attribuer les rôles Mail Recipients et Exchange Servers.
De façon à faciliter l’attribution de plusieurs rôles à un administrateur, Exchange 2010 comprend les groupes de rôles. Les groupes de rôles sont des groupes de sécurité universels (USG) spéciaux utilisés par Exchange 2010. Ils peuvent contenir des utilisateurs Active Directory, des groupes de sécurité universels et d’autres groupes de rôles. Lorsqu’un rôle est assigné à un groupe de rôles, les autorisations accordées par ce rôle s’étendent à tous les membres du groupe de rôles. Cela vous permet d’assigner de multiples rôles à de nombreux membres de groupes de rôles à la fois. Les groupes de rôles englobent généralement des domaines de gestion plus larges, comme par exemple la gestion des destinataires. Ils sont uniquement utilisés par les rôles d’administrateur, non par les rôles d’utilisateur final.
| Remarque : |
|---|
| Il est possible d’attribuer un rôle directement à un utilisateur ou un groupe de sécurité universel sans utiliser de groupe de rôle. Cependant, cette méthode d’attribution de rôle est une procédure avancée qui n’est pas couverte dans cette rubrique. Nous vous recommandons d’utiliser les groupes de rôles pour gérer les autorisations. |
La figure suivante montre la relation entre les utilisateurs, les groupes de rôles et les rôles.
Rôles, groupes de rôles et membres de groupes de rôles
.gif "Relations des rôles, des groupes de rôles et des membres")
Exchange 2010 comprend plusieurs groupes de rôles intégrés, chacun accordant des autorisations pour gérer des domaines différents de Exchange 2010. Certains groupes de rôles peuvent se chevaucher. Le tableau suivant répertorie chaque groupe de rôles avec une description de son utilisation. Si vous souhaitez voir les rôles assignés à chaque groupe de rôles, cliquez sur le nom du groupe de rôles dans le tableau, puis ouvrez la section « Rôles de gestion attribués à ce groupe de rôles ».
Groupes de rôles intégrés
| Groupe de rôles | Description | ||
|---|---|---|---|
Les administrateurs membres du groupe de rôles Gestion de l’organisation disposent d’un accès administratif sur toute l’organisation Exchange 2010 et peuvent réaliser pratiquement n’importe quelle tâche relative à un objet Exchange 2010, à quelques exceptions près, comme le rôle
|
|||
Les administrateurs membres du groupe de rôles Afficher uniquement la gestion de l’organisation peuvent afficher les propriétés de n’importe quel objet de l’organisation Exchange. |
|||
Les administrateurs membres du groupe de rôles Gestion des destinataires disposent d’un accès administratif pour créer ou modifier des destinataires Exchange 2010 au sein de l’organisation Exchange 2010. |
|||
Les administrateurs membres du groupe de rôles de gestion de messagerie unifiée peuvent gérer des fonctionnalités dans l’organisation Exchange comme la configuration du serveur de messagerie unifiée, les propriétés de messagerie unifiée des boîtes aux lettres, les invites de messagerie unifiée et la configuration du standard automatique de messagerie unifiée. |
|||
Le groupe de rôles Support technique, par défaut, permet aux membres de voir et de modifier les options Microsoft Office Outlook Web App de tout utilisateur dans l’organisation. Ces options peuvent comprendre la modification du nom complet, de l’adresse et du numéro de téléphone de l’utilisateur. Elles ne comprennent pas les options non disponibles dans Outlook Web App, par exemple, les options permettant de modifier la taille d’une boîte aux lettres ou de configurer la base de données de boîtes aux lettres dans laquelle une boîte aux lettres se trouve. |
|||
Les administrateurs membres du groupe de rôles Gestion de l’hygiène peuvent configurer les fonctionnalités d’antivirus et de blocage du courrier indésirable de Exchange 2010. Les programmes tiers intégrés à Exchange 2010 peuvent ajouter des comptes de service à ce groupe de rôles afin de permettre à ces programmes d’accéder aux cmdlets requises pour extraire et configurer Exchange. |
|||
Les utilisateurs membres du groupe de rôles Gestion des enregistrements peuvent configurer les fonctionnalités de conformité, comme les balises de stratégie de rétention, les classifications de message et les règles de transport. |
|||
Les administrateurs et utilisateurs membres du groupe de rôles Gestion de la découverte peuvent effectuer des recherches dans les boîtes aux lettres de l’organisation Exchange pour trouver des données répondant à des critères spécifiques. Ils peuvent aussi configurer la rétention légale des boîtes aux lettres. Pour plus d’informations, voir Recherche dans plusieurs boîtes aux lettres et Présentation de la conservation de données en cas de litige. |
|||
Les administrateurs qui sont membres du groupe de rôles de gestion des dossiers publics peuvent gérer les dossiers publics et les bases de données sur les serveurs exécutant Exchange 2010. |
|||
Les administrateurs membres du groupe de rôles Gestion du serveur peuvent se charger de la configuration propre au serveur pour les fonctionnalités de transport, de messagerie unifiée, d’accès client et de boîte aux lettres, telles que les copies de bases de données, les certificats, les files d’attente de transport, les connecteurs d’envoi, les répertoires virtuels et les protocoles d’accès client. |
|||
Les administrateurs membres du groupe de rôles Installation déléguée peuvent déployer des serveurs exécutant Exchange 2010 qui ont précédemment été mis en service par un membre du groupe de rôles Gestion de l’organisation. Pour plus d’informations sur l’installation déléguée, consultez la rubrique Configurer un serveur Exchange 2010 et déléguer l'installation. |
Si vous travaillez dans une petite organisation ne comptant que quelques administrateurs, vous souhaiterez peut-être ajouter ces administrateurs au groupe de rôles Gestion de l’organisation uniquement ; il se peut que vous n’ayez jamais besoin d’utiliser les autres groupes de rôles. Si vous travaillez dans une organisation plus grande, il se peut que vos administrateurs s’occupent de tâches spécifiques dans Exchange, comme la gestion des destinataires ou des serveurs. Dans ces cas, vous pouvez ajouter un administrateur au groupe de rôles Gestion des destinataires, et un autre administrateur au groupe de rôles Gestion du serveur. Ces administrateurs peuvent alors gérer leurs domaines spécifiques de Exchange 2010, mais ne disposeront pas des autorisations pour gérer d’autres domaines en dehors de leurs responsabilités.
Si les groupes de rôles intégrés à Exchange 2010 ne correspondent pas à la fonction de vos administrateurs, il vous est possible de créer des groupes de rôles et d’y ajouter des rôles. Pour plus d’informations, consultez la section Work with Role Groups plus loin dans cette rubrique.
Stratégies d’attribution de rôle
Exchange 2010 propose des stratégies d’attribution de rôle de façon à vous permettre de contrôler les paramètres que vos utilisateurs peuvent configurer dans leurs propres boîtes aux lettres et groupes de distribution. Ces paramètres comprennent leur nom complet, coordonnées, paramètres de messagerie vocale et appartenance au groupe de distribution.
Votre organisation Exchange 2010 peut disposer de multiples stratégies d’attribution de rôle, offrant différents niveaux d’autorisations pour les différents types d’utilisateurs de vos organisations. Certains utilisateurs sont autorisés à modifier leur adresse ou à créer des groupes de distribution, alors que d’autres ne peuvent pas, en fonction de la stratégie d’attribution de rôle associée à leur boîte aux lettres. Les stratégies d’attribution de rôle sont ajoutées directement aux boîtes aux lettres, et chaque boîte aux lettres ne peut être associée qu’à une stratégie d’attribution de rôle à la fois.
Parmi les stratégies d’attribution de rôle de votre organisation, une est marquée comme la stratégie par défaut. La stratégie d’attribution de rôle par défaut est associée à de nouvelles boîtes aux lettres auxquelles aucune stratégie d’attribution de rôle spécifique n’a été attribuée lors de leur création. La stratégie d’attribution de rôle par défaut doit contenir les autorisations s’appliquant à la majorité de vos boîtes aux lettres.
Les autorisations sont ajoutées aux stratégies d’attribution des rôles à l’aide de rôles d’utilisateur final. Les rôles d’utilisateur final commencent par My et accordent les autorisations aux utilisateurs pour gérer leurs propres boîtes aux lettres et groupes de distribution. Ils ne peuvent pas être utilisés pour gérer une autre boîte aux lettres. Seuls les rôles d’utilisateur final peuvent être attribués aux stratégies d’attribution de rôle.
Lorsqu’un rôle d’utilisateur final est attribué à une stratégie d’attribution de rôle, toutes les boîtes aux lettres associées à cette stratégie d’attribution de rôle reçoivent les autorisations accordées à ce rôle. Cela vous permet d’ajouter ou de supprimer des autorisations à des ensembles d’utilisateurs sans devoir configurer de boîtes aux lettres individuelles. La figure suivante présente les éléments suivants :
Les rôles d’utilisateur final peuvent être attribués aux stratégies d’attribution de rôle. Les stratégies d’attribution de rôle peuvent partager les mêmes rôles d’utilisateur final.
Les stratégies d’attribution de rôle sont associées à des boîtes aux lettres. Chaque boîte aux lettres ne peut être associée qu’à une seule stratégie d’attribution de rôle.
Lorsqu’une boîte aux lettres est associée à une stratégie d’attribution de rôle, les rôles d’utilisateur final s’appliquent à cette boîte aux lettres. Les autorisations accordées par les rôles sont accordées à l’utilisateur de la boîte aux lettres.
Rôles, stratégies d’attribution de rôle et boîtes aux lettres
.gif "Rôle, stratégie d’attribution de rôle, relation de boîte aux lettres")
La stratégie d’attribution de rôle Stratégie d’attribution de rôle par défaut est comprise dans Exchange 2010. Comme son nom l’indique, il s’agit de la stratégie d’attribution de rôle par défaut. Si vous souhaitez modifier les autorisations accordées par cette stratégie d’attribution de rôle, ou bien si vous souhaitez créer des stratégies d’attribution de rôle, voir Work with Role Assignment Policies plus loin dans cette rubrique.
Utiliser les groupes de rôles
Pour gérer vos autorisations à l’aide des groupes de rôles dans Exchange 2010 Service Pack 1 (SP1), nous vous recommandons d’utiliser le Panneau de configuration Exchange (ECP). Lorsque vous utilisez le Panneau de configuration Exchange pour gérer les groupes de rôles, vous pouvez ajouter et supprimer des rôles et des membres, créer des groupes de rôles et copier des groupes de rôles en quelques clics de souris. Le Panneau de configuration Exchange propose des boîtes de dialogue simples pour réaliser ces tâches, comme la boîte de dialogue Nouveau groupe de rôles indiquée dans la figure suivante.
Boîte de dialogue Nouveau groupe de rôles du Panneau de configuration Exchange
.gif "Boîte de dialogue Nouveau groupe de rôles du répertoire virtuel ECP")
Comme indiqué plus haut dans cette rubrique, Exchange 2010 comprend plusieurs groupes de rôles qui divisent les autorisations en divers domaines d’administration spécifiques. Si ces groupes de rôles existants accordent les autorisations dont ont besoin vos administrateurs pour gérer votre organisation Exchange 2010, il vous suffit d’ajouter vos administrateurs comme membres des groupes de rôles adéquats. Après avoir ajouté des administrateurs à un groupe de rôles, ils peuvent gérer les fonctionnalités associées à ce groupe de rôles. Pour ajouter ou supprimer des membres d’un groupe de rôles, ouvrez le groupe de rôles dans le Panneau de configuration Exchange, puis ajoutez ou supprimez les membres de la liste des membres. Pour obtenir une liste des groupes de rôles intégrés, consultez la rubrique Groupes de rôles intégrés.
.gif "Important") Important : |
|---|
| Si un administrateur est membre de plus d’un groupe de rôles, Exchange 2010 accorde à l’administrateur toutes les permissions accordées par les groupes de rôles dont il ou elle est membre. |
Si aucun des groupes de rôles compris dans Exchange 2010 ne dispose des autorisations dont vous avez besoin, vous pouvez utiliser le Panneau de configuration Exchange pour créer un groupe de rôles et ajouter les rôles possédant les autorisations dont vous avez besoin. Pour votre nouveau groupe de rôles :
Vous lui choisissez un nom.
Vous sélectionnez les rôles que vous voulez ajouter au groupe de rôles.
Vous ajoutez des membres au groupe de rôles.
Vous enregistrez le groupe de rôles.
Après la création de votre groupe de rôles, vous le gérez comme n’importe quel groupe de rôles.
S’il existe un groupe de rôles existant qui dispose de certaines mais non pas toutes les autorisations dont vous avez besoin, vous pouvez le copier et apporter des modifications pour créer un groupe de rôles. Vous pouvez copier un groupe de rôles existant puis y apporter des modifications sans affecter le groupe de rôles initial. Dans ce processus de copie, vous pouvez ajouter un nouveau nom et une description, ajouter et supprimer des rôles au sein du nouveau groupe de rôles et ajouter de nouveaux membres. Lorsque vous créez ou copiez un groupe de rôles, vous utilisez la même boîte de dialogue que celle indiquée sur la figure précédente.
Les groupes de rôles existants peuvent également être modifiés. Vous pouvez ajouter et supprimer des rôles au sein de groupes de rôles existants, et y ajouter et supprimer des membres dans le même temps, à l’aide d’une boîte de dialogue du Panneau de configuration Exchange semblable à celle indiquée sur la figure précédente. En ajoutant et en supprimant des rôles au sein des groupes de rôles, vous activez et désactivez des fonctionnalités administratives pour les membres de ce groupe de rôles. Pour une liste de rôles que vous pouvez ajouter à un groupe de rôles, voir Rôles de gestion intégrés.
| Remarque : |
|---|
| Bien que vous puissiez modifier les rôles assignés aux groupes de rôles intégrés, nous vous recommandons de copier des groupes de rôles intégrés, de modifier la copie du groupe de rôles, puis d’ajouter des membres à la copie du groupe de rôles. |
Pour obtenir des informations détaillées sur les étapes de la création et de la copie des groupes de rôles, ou bien pour effectuer des modifications aux rôles et membres des groupes de rôles existants, voir les rubriques suivantes :
Utiliser les stratégies d’attribution des rôles
Pour gérer les autorisations que vous accordez aux utilisateurs finaux pour gérer leur propre boîte aux lettres dans Exchange 2010 SP1, nous vous recommandons d’utiliser le Panneau de configuration Exchange (ECP). Lorsque vous utilisez le Panneau de configuration Exchange pour gérer les autorisations des utilisateurs finaux, vous pouvez ajouter et supprimer des rôles, et créer des stratégies d’attribution des rôles en quelques clics de souris. Le Panneau de configuration Exchange propose des boîtes de dialogue simples pour réaliser ces tâches, comme la boîte de dialogue Stratégie d’attribution de rôle indiquée dans la figure suivante. Pour appliquer une stratégie d’attribution de rôle à une boîte aux lettres, vous pouvez utiliser soit la console de gestion Exchange (EMC), soit le Panneau de configuration Exchange (ECP).
Boîte de dialogue Stratégie d’attribution de rôle dans l’ECP
.gif "Boîte de dialogue Stratégie d’attribution de rôle du répertoire virtuel ECP")
Exchange 2010 comprend une stratégie d’attribution de rôle appelée Stratégie d’attribution de rôle par défaut. Cette stratégie d’attribution de rôle permet aux utilisateurs dont les boîtes aux lettres y sont associées de :
Rejoindre ou quitter des groupes de distribution permettant aux groupes de gérer leur propre appartenance.
Visualiser et modifier des paramètres de boîtes aux lettres basiques de leur propre boîte aux lettres, comme les règles de boîte de réception, le comportement du vérificateur d’orthographe, les paramètres relatifs au courrier indésirable et les périphériques Microsoft ActiveSync.
Modifier leurs coordonnées, comme leur adresse et numéro de téléphone.
Créer, modifier ou visualiser les paramètres des messages texte.
Visualiser ou modifier les paramètres de la messagerie vocale.
Si vous souhaitez ajouter ou supprimer des autorisations au sein de la stratégie d’attribution de rôle par défaut, ou bien de toute autre stratégie d’attribution de rôle, vous pouvez utiliser le Panneau de configuration Exchange (ECP). La boîte de dialogue que vous utilisez est semblable à celle de la figure précédente. Lorsque vous ouvrez la stratégie d’attribution de rôle dans le Panneau de configuration Exchange, activez la case à cocher en regard des rôles que vous souhaitez assigner ou désactivez la case à cocher en regard des rôles que vous souhaitez supprimer. La modification que vous apportez à la stratégie d’attribution de rôle s’applique à toutes les boîtes aux lettres qui y sont associées.
Si vous souhaitez assigner différentes autorisations d’utilisateur final aux différents types d’utilisateurs de votre organisation, vous pouvez créer des stratégies d’attribution de rôle. Lorsque vous créez une stratégie d’attribution de rôle, vous voyez une boîte de dialogue semblable à celle indiquée dans la figure précédente. Vous pouvez indiquer un nouveau nom pour la stratégie d’attribution de rôle, puis sélectionnez les rôles que vous souhaitez assigner à la stratégie d’attribution de rôle. Après avoir créé une stratégie d’attribution de rôle, vous pouvez l’associer aux boîtes aux lettres à l’aide de la console de gestion Exchange (EMC), soit le Panneau de configuration Exchange (ECP).
Si vous souhaitez modifier la stratégie d’attribution de rôle par défaut, il vous faut utiliser l’environnement de ligne de commande Exchange Management Shell. Lorsque vous modifiez la stratégie d’attribution de rôle par défaut, toutes les boîtes aux lettres créées seront associées à la nouvelle stratégie d’attribution de rôle si aucune n’a été spécifiquement indiquée. La stratégie d’attribution de rôle associée aux boîtes aux lettres existantes ne change pas lorsque vous sélectionnez une nouvelle stratégie d’attribution de rôle par défaut.
| Remarque : |
|---|
| Si vous activez la case à cocher pour un rôle contenant des rôles enfants, les cases à cocher de ces derniers sont également activées. Si vous désactivez la case à cocher pour un rôle contenant des rôles enfants, les cases à cocher de ces derniers sont également désactivées. |
Pour obtenir des informations détaillées sur les étapes de la création de stratégies d’attribution de rôle, ou bien pour effectuer des modifications aux stratégies d’attribution de rôle existantes, voir les rubriques suivantes :
Autorisations de transport Edge
Le rôle serveur de transport Edge est déployé dans le réseau de périmètre d'une organisation, également appelé « réseau de délimitation » ou « sous-réseau filtré ». Vous pouvez déployer un serveur de transport Edge en tant que serveur autonome ou en tant que membre d'un domaine de périmètre Active Directory.
Sur les serveurs de transport Edge, le contrôle d'accès basé sur les rôles n'est pas employé pour contrôler les autorisations. Le groupe Administrateurs local est utilisé pour contrôler les utilisateurs pouvant configurer les fonctionnalités Exchange sur le serveur local. Si vous disposez de plusieurs serveurs de transport Edge, vous devez ajouter l'utilisateur qui va gérer ces serveurs au groupe Administrateurs local sur chaque serveur.
Pour plus d'informations sur les autorisations sur les serveurs de transport Edge, voir Définition d'autorisations Administrateur pour le rôle serveur de transport Edge.
Pour plus d'informations
Présentation du contrôle d'accès basé sur un rôle
Présentation des autorisations fractionnées
Présentation de la coexistence des autorisations avec Exchange 2007
Présentation de la coexistence des autorisations avec Exchange 2003
Présentation des autorisations sur plusieurs forêts
Autorisations des fonctionnalités
© 2010 Microsoft Corporation. Tous droits réservés.