Autorisations

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

Sapplique à :Exchange Server 2016

En savoir plus sur le contrôle d’accès basé sur les rôles dans Exchange Server 2016.

Microsoft Exchange Server 2016 comprend un large éventail d’autorisations prédéfinies, basées sur le modèle des autorisations du contrôle d’accès basé sur un rôle (RBAC), que vous pouvez utiliser de manière immédiate pour donner facilement des autorisations à vos administrateurs et utilisateurs. Vous pouvez utiliser les fonctions d’autorisation proposées par Exchange 2016 afin que votre nouvelle organisation soit opérationnelle rapidement.

Contenu de cette rubrique

Autorisations basées sur des rôles

Groupes de rôles et stratégies d'attribution de rôle

Utilisation de groupes de rôles

Utilisation de stratégies d'attribution de rôle

Dans Exchange 2016, les autorisations que vous concédez aux administrateurs et aux utilisateurs sont basées sur les rôles de gestion. Un rôle définit un ensemble de tâches qu’un administrateur ou un utilisateur peut réaliser. Par exemple, un rôle de gestion appelé Mail Recipients définit les tâches qu’une personne peut réaliser sur un ensemble de boîtes aux lettres, contacts et groupes de distribution. Lorsqu’un rôle est assigné à un administrateur ou à un utilisateur, il obtient les autorisations associées à ce rôle.

Il existe deux types de rôles : les rôles administratifs et les rôles d'utilisateur final :

  • Rôles administratifs   Ces rôles comportent des autorisations qu'il est possible d'assigner à des administrateurs ou des utilisateurs spécialistes utilisant des groupes de rôles qui ont une fonction de gestion dans l'organisation Exchange comme des destinataires, des serveurs ou des bases de données.

  • Rôles d'utilisateur final   Ces rôles, assignés à l'aide de stratégies d'attribution de rôle, permettent aux utilisateurs de gérer des aspects de leurs propres boîtes aux lettres et groupes de distribution. Les rôles d'utilisateur final commencent par le préfixe My.

Les rôles concèdent aux administrateurs et utilisateurs auxquels ils sont attribués des autorisations pour réaliser des tâches en mettant à leur disposition des cmdlets. Du fait que le Centre d’Administration Exchange et l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell utilisent des cmdlets pour gérer Exchange, l’accès à une cmdlet donne à l’administrateur ou à l’utilisateur l’autorisation de réaliser des tâches dans chacune des interfaces de gestion Exchange.

Autorisations basées sur des rôles

Les rôles donnent l'autorisation de réaliser des tâches dans Exchange 2016, mais vous devez pouvoir les attribuer facilement aux administrateurs et aux utilisateurs. Voici ce que vous propose Exchange 2016 :

  • Groupes de rôles   Les groupes de rôles vous permettent d'accorder des autorisations à des administrateurs et à des utilisateurs spécialistes.

  • Stratégies d'attribution de rôle   Les stratégies d'attribution de rôle vous permettent d'accorder aux utilisateurs finaux les autorisations de modifier les paramètres de leurs propres boîtes aux lettres ou groupes de distribution.

Pour plus d'informations sur les groupes de rôles et les stratégies d'attribution de rôles, consultez les sections suivantes.

Il faut attribuer au moins un rôle à chacun des administrateurs gérant Exchange 2016. Il est possible que les administrateurs disposent de plusieurs rôles car leur travail englobe plusieurs facettes de Exchange. Par exemple, un administrateur peut gérer à la fois les destinataires et les serveurs Exchange. Dans ce cas, l’administrateur peut se voir attribuer les rôles Mail Recipients et Exchange Servers.

De façon à faciliter l'attribution de plusieurs rôles à un administrateur, Exchange 2016 comprend les groupes de rôles. Les groupes de rôles sont des groupes universels de sécurité (USG) spéciaux utilisés par Exchange 2016. Ils peuvent contenir des utilisateurs Active Directory, des groupes universels de sécurité et d'autres groupes de rôles. Lorsqu'un rôle est assigné à un groupe de rôles, les autorisations accordées par ce rôle s'étendent à tous les membres du groupe de rôles. Cela vous permet d'assigner de multiples rôles à de nombreux membres de groupes de rôles à la fois. Les groupes de rôles englobent généralement des domaines de gestion plus larges, comme par exemple la gestion des destinataires. Ils sont uniquement utilisés par les rôles administratifs, non par les rôles d'utilisateur final.

noteRemarque :
Il est possible d'attribuer un rôle directement à un utilisateur ou un groupe universel de sécurité sans utiliser de groupe de rôle. Cependant, cette méthode d'attribution de rôle est une procédure avancée qui n'est pas abordée dans cette rubrique. Nous vous recommandons d'utiliser les groupes de rôles pour gérer les autorisations.

La figure suivante montre la relation entre les utilisateurs, les groupes de rôles et les rôles.

Rôles, groupes de rôles et membres de groupes de rôles

Relations des rôles, des groupes de rôles et des membres

Exchange 2016 comprend plusieurs groupes de rôles intégrés, chacun accordant des autorisations pour gérer des domaines différents de Exchange 2016. Certains groupes de rôles peuvent se chevaucher. Le tableau suivant répertorie chaque groupe de rôles avec une description de son utilisation. Si vous souhaitez voir les rôles attribués à chaque groupe de rôles, cliquez sur le nom du groupe de rôles dans la colonne « Groupe de rôles », puis ouvrez la section « Rôles de gestion attribués à ce groupe de rôles ».

importantImportant :
Si un administrateur est membre de plus d'un groupe de rôles, Exchange 2016 lui attribue toutes les autorisations octroyées aux groupes de rôles dont il est membre.

Groupes de rôles intégrés

Groupe de rôles Description

Gestion de l’organisation

Les administrateurs membres du groupe de rôles Gestion de l’organisation disposent d'un accès administratif sur toute l'organisation Exchange 2016 et peuvent réaliser pratiquement n'importe quelle tâche relative à un objet Exchange 2016, à quelques exceptions près, comme le rôle Discovery Management.

importantImportant :
Du fait que le groupe de rôles Gestion de l’organisation est un rôle très puissant, seuls des utilisateurs ou des groupes universels de sécurité qui exécutent des tâches administratives au niveau organisationnel peuvent affecter l'intégralité de l'organisation Exchange s'ils sont membres de ce groupe de rôles.

Gestion de l’organisation en affichage seul

Les administrateurs membres du groupe de rôles Afficher uniquement la gestion de l’organisation peuvent afficher les propriétés de n'importe quel objet de l'organisation Exchange.

Gestion des destinataires

Les administrateurs membres du groupe de rôles Gestion des destinataires disposent d'un accès administratif pour créer ou modifier des destinataires Exchange 2016 au sein de l'organisation Exchange 2016.

Gestion de messagerie unifiée

Les administrateurs membres du groupe de rôles de gestion de messagerie unifiée peuvent gérer des fonctionnalités dans l'organisation Exchange comme la configuration du service de messagerie unifiée, les propriétés de messagerie unifiée des boîtes aux lettres, les invites de messagerie unifiée et la configuration du standard automatique de messagerie unifiée.

Support technique

Par défaut, le groupe de rôles Support technique permet à ses membres d'afficher et de modifier les options Microsoft OfficeOutlook Web App des utilisateurs de l'organisation. notamment le nom complet, l'adresse et le numéro de téléphone de l'utilisateur. les options non disponibles dans Outlook Web App, par exemple, les options permettant de modifier la taille d'une boîte aux lettres ou de configurer la base de données de boîtes aux lettres dans laquelle une boîte aux lettres se trouve.

Gestion de l’hygiène

Les utilisateurs membres du groupe de rôles Gestion de l'hygiène peuvent configurer les fonctionnalités d'antivirus et de blocage du courrier indésirable de Exchange 2016. Les programmes tiers intégrés à Exchange 2016 peuvent ajouter des comptes de service à ce groupe de rôles afin de permettre à ces programmes d'accéder aux cmdlets requises pour extraire et configurer Exchange.

Gestion des enregistrements

Les utilisateurs membres du groupe de rôles Gestion des enregistrements peuvent configurer les fonctionnalités de conformité, comme les balises de stratégie de rétention, les classifications de message et les règles de transport.

Gestion de la détection

Les administrateurs ou les utilisateurs membres du groupe de rôles Gestion de la découverte peuvent effectuer des recherches de boîtes aux lettres dans l'organisation Exchange pour des données répondant à des critères spécifiques et peuvent également configurer des suspensions pour litige de boîtes aux lettres.

Gestion des dossiers publics

Les administrateurs qui sont membres du groupe de rôles de gestion des dossiers publics peuvent gérer des dossiers publics sur des serveurs exécutant Exchange 2016.

Gestion du serveur

Les administrateurs membres du groupe de rôles Gestion du serveur peuvent se charger de la configuration propre au serveur pour les fonctionnalités de transport, de messagerie unifiée, d'accès client et de boîte aux lettres, telles que les copies de bases de données, les certificats, les files d'attente de transport, les connecteurs d'envoi, les répertoires virtuels et les protocoles d'accès client.

Installation déléguée

Les administrateurs membres du groupe de rôles Installation déléguée peuvent déployer des serveurs exécutant Exchange 2016 qui ont été précédemment mis en service par un membre du groupe de rôles Gestion de l’organisation.

Gestion de la conformité

Les utilisateurs membres du groupe de rôles Gestion de la conformité peuvent configurer et gérer les paramètres de conformité Exchange conformément à la stratégie de leur organisation.

Si vous travaillez dans une petite organisation ne comptant que quelques administrateurs, vous souhaiterez peut-être utiliser uniquement le groupe de rôles Gestion de l’organisation. Si vous travaillez dans une organisation plus grande, il se peut que vos administrateurs s’occupent de tâches spécifiques dans Exchange, comme la gestion des destinataires ou des serveurs. Dans ces cas, vous pouvez ajouter un administrateur au groupe de rôles Gestion des destinataires, et un autre administrateur au groupe de rôles Gestion du serveur. Ces administrateurs peuvent ensuite gérer leurs domaines spécifiques d’Exchange 2016, mais ne disposeront pas d’autorisations pour gérer d’autres domaines en dehors de leurs responsabilités.

Si vous ne trouvez pas de groupe de rôles intégré correspondant aux travaux de vos administrateurs, vous pouvez créer des groupes de rôles et y ajouter des rôles. Pour plus d’informations, reportez-vous à la section Utilisation de groupes de rôles plus loin dans cette rubrique.

Autorisations basées sur des rôles

Exchange 2016 propose des stratégies d'attribution de rôle vous permettant de contrôler les paramètres que vos utilisateurs peuvent configurer pour leurs propres boîtes aux lettres et groupes de distribution. Ces paramètres sont leur nom complet, leurs informations de contact, leurs paramètres de messagerie vocale et leur appartenance au groupe de distribution.

Votre organisation Exchange 2016 peut disposer de plusieurs stratégies d’attribution de rôle, offrant différents niveaux d’autorisations pour les différents types d’utilisateurs. Certains utilisateurs peuvent être autorisés à modifier leur adresse ou à créer des groupes de distribution, tandis que d’autres non, en fonction de la stratégie d’attribution de rôle associée à leur boîte aux lettres. Les stratégies d’attribution de rôle sont ajoutées directement aux boîtes aux lettres, et chacune d’elles peut être associée uniquement à une stratégie d’attribution de rôle à la fois.

Parmi les stratégies d'attribution de rôle de votre organisation, une est marquée comme la stratégie par défaut. La stratégie d'attribution de rôle par défaut est associée à de nouvelles boîtes aux lettres auxquelles aucune stratégie d'attribution de rôle spécifique n'a été attribuée lors de leur création. La stratégie d'attribution de rôle par défaut doit contenir les autorisations s'appliquant à la majorité de vos boîtes aux lettres.

Les autorisations sont ajoutées aux stratégies d'attribution de rôle à l'aide de rôles d'utilisateur final. Les rôles d'utilisateur final commencent par My et accordent les autorisations aux utilisateurs pour gérer leurs propres boîtes aux lettres et groupes de distribution. Ils ne peuvent pas être utilisés pour gérer une autre boîte aux lettres. Seuls les rôles d'utilisateur final peuvent être attribués aux stratégies d'attribution de rôle.

Lorsqu'un rôle d'utilisateur final est attribué à une stratégie d'attribution de rôle, toutes les boîtes aux lettres associées à cette stratégie d'attribution de rôle reçoivent les autorisations accordées à ce rôle. Cela vous permet d'ajouter ou de supprimer des autorisations à des ensembles d'utilisateurs sans devoir configurer de boîtes aux lettres individuelles. La figure suivante présente les éléments suivants :

  • Les rôles d'utilisateur final peuvent être attribués aux stratégies d'attribution de rôle. Les stratégies d'attribution de rôle peuvent partager les mêmes rôles d'utilisateur final.

  • Les stratégies d'attribution de rôle sont associées à des boîtes aux lettres. Chaque boîte aux lettres ne peut être associée qu'à une seule stratégie d'attribution de rôle.

  • Lorsqu'une boîte aux lettres est associée à une stratégie d'attribution de rôle, les rôles d'utilisateur final s'appliquent à cette boîte aux lettres. Les autorisations accordées par les rôles sont accordées à l'utilisateur de la boîte aux lettres.

Rôles, stratégies d'attribution de rôle et boîtes aux lettres

Rôle, stratégie d’attribution de rôle, relation de boîte aux lettres

La stratégie d'attribution de rôle Stratégie d'attribution de rôle par défaut est incluse dans Exchange 2016. Comme son nom l'indique, c'est la stratégie d'attribution de rôle par défaut. Si vous souhaitez modifier les autorisations accordées par cette stratégie d'attribution de rôle, ou bien si vous souhaitez créer des stratégies d'attribution de rôle, consultez la section Utilisation de stratégies d'attribution de rôle plus loin dans cette rubrique.

Pour gérer vos autorisations à l’aide de groupes de rôles dans Exchange 2016, nous vous recommandons d’utiliser le Centre d’administration Exchange (CAE). Lorsque vous utilisez le CAE pour gérer des groupes de rôles, vous pouvez ajouter et supprimer des rôles et des membres, créer des groupes de rôles et copier des groupes de rôles en quelques clics. Pour réaliser ces tâches, le CAE présente des boîtes de dialogue simples, comme la boîte de dialogue Nouveau groupe de rôles illustrée dans la figure suivante.

Boîte de dialogue Nouveau groupe de rôles dans le CAE

Boîte de dialogue Nouveau groupe de rôle dans le CAE

Si aucun des groupes de rôles compris dans Exchange 2016 ne dispose des autorisations dont vous avez besoin, vous pouvez utiliser le CAE afin de créer un groupe de rôles et d’ajouter les rôles bénéficiant des autorisations dont vous avez besoin. Pour votre nouveau groupe de rôles, procédez comme suit :

  1. Vous lui choisissez un nom.

  2. Vous sélectionnez les rôles que vous voulez ajouter au groupe de rôles.

  3. Vous ajoutez des membres au groupe de rôles.

  4. Vous enregistrez le groupe de rôles.

Après avoir créé le groupe de rôles, vous le gérez comme n'importe quel autre groupe de rôles.

S’il existe un groupe de rôles disposant de certaines mais pas de toutes les autorisations nécessaires, vous pouvez le copier et y apporter des modifications pour créer un groupe de rôles. Copier un groupe de rôles existant vous permet d’y apporter des modifications sans affecter le groupe de rôles d’origine. Durant ce processus de copie, vous pouvez ajouter un nouveau nom et une description, ajouter et supprimer des rôles au sein du nouveau groupe de rôles, et ajouter de nouveaux membres. Lorsque vous créez ou copiez un groupe de rôles, vous utilisez la même boîte de dialogue que celle indiquée dans la figure précédente.

Vous pouvez également modifier des groupes de rôles existants. Vous pouvez ajouter et supprimer des rôles dans des groupes de rôles, ainsi qu'y ajouter et en supprimer simultanément des membres à l'aide d'une boîte de dialogue de CAE semblable à celle illustrée dans la figure précédente. En ajoutant et supprimant des rôles au sein d'un groupe de rôles, vous activez et désactivez des fonctionnalités d'administration pour ses membres.

noteRemarque :
Bien que vous puissiez modifier les rôles attribués aux groupes de rôles intégrés, nous vous recommandons de copier ces derniers, de modifier leur copie, puis d'ajouter des membres à celle-ci.

Autorisations basées sur des rôles

Pour gérer les autorisations que vous accordez aux utilisateurs finaux pour gérer leur propre boîte aux lettres dans Exchange 2016, nous vous recommandons d'utiliser le CAE. Lorsque vous utilisez le CAE pour gérer les autorisations des utilisateurs finaux, vous pouvez ajouter et supprimer des rôles, et créer des stratégies d'attribution de rôle en quelques clics de souris. Pour réaliser ces tâches, le CAE offre des boîtes de dialogue simples, comme la boîte de dialogue Stratégie d'attribution de rôle illustrée dans la figure suivante.

Boîte de dialogue Stratégie d'attribution de rôle dans le CAE

Boîte de dialogue Stratégie d’attribution de rôle dans le CAE

Exchange 2016 inclut une stratégie d'attribution de rôle appelée Stratégie d'attribution de rôle par défaut. Cette stratégie d'attribution de rôle permet aux utilisateurs dont les boîtes aux lettres y sont associées d'effectuer les tâches suivantes :

  • Rejoindre ou quitter des groupes de distribution permettant aux groupes de gérer leur propre appartenance.

  • Visualiser et modifier des paramètres de boîtes aux lettres basiques de leur propre boîte aux lettres, comme les règles de boîte de réception, le comportement du vérificateur d'orthographe, les paramètres relatifs au courrier indésirable et les périphériques Microsoft ActiveSync.

  • Modifiez leurs informations de contact, telles que l'adresse et le numéro de téléphone professionnels, le numéro de téléphone mobile et le numéro de récepteur de radiomessagerie.

  • Créer, modifier ou visualiser les paramètres des messages texte.

  • Visualiser ou modifier les paramètres de la messagerie vocale.

  • Afficher et modifier leurs applications de place de marché.

  • Créer des boîtes aux lettres d'équipe et les connecter aux listes Microsoft SharePoint.

Si vous souhaitez ajouter ou supprimer des autorisations au sein de la stratégie d’attribution de rôle par défaut, ou de toute autre stratégie d’attribution de rôle, vous pouvez utiliser le CAE. Lorsque vous ouvrez la stratégie d’attribution de rôle dans le CAE, cochez les cases en regard des rôles que vous souhaitez attribuer ou décochez-les pour supprimer les rôles. Les modifications que vous apportez à la stratégie d’attribution de rôle s’appliquent à toutes les boîtes aux lettres qui y sont associées.

Si vous souhaitez attribuer différentes autorisations d’utilisateur final aux différents types d’utilisateurs de votre organisation, vous pouvez créer des stratégies d’attribution de rôle. Vous pouvez spécifier un nouveau nom pour la stratégie d’attribution de rôle, puis sélectionner les rôles que vous voulez attribuer à la stratégie d’attribution de rôle. Après avoir créé une stratégie d’attribution de rôle, vous pouvez l’associer à des boîtes aux lettres à l’aide du CAE.

Si vous souhaitez modifier la stratégie d’attribution de rôle par défaut, vous devez utiliser l’Environnement de ligne de commande Exchange Management Shell. Lorsque vous modifiez la stratégie d’attribution de rôle par défaut, toutes les boîtes aux lettres créées seront associées à la nouvelle stratégie d’attribution de rôle par défaut si aucune stratégie n’a été explicitement indiquée. La stratégie d’attribution de rôle associée aux boîtes aux lettres existantes ne change pas lorsque vous sélectionnez une nouvelle stratégie d’attribution de rôle par défaut.

noteRemarque :
Si vous activez la case à cocher pour un rôle contenant des rôles enfants, les cases à cocher de ces derniers sont également activées. Si vous désactivez la case à cocher pour un rôle contenant des rôles enfants, les cases à cocher de ces derniers sont également désactivées.
Pour obtenir des informations détaillées sur les étapes de la création de stratégies d'attribution de rôles, ou apporter des modifications aux stratégies d'attribution de rôles existantes, consultez les rubriques suivantes :

Autorisations basées sur des rôles

 
Afficher: