Présentation des stratégies d’attribution de rôles de gestion

S’applique à : Exchange Server 2013

Une stratégie d’attribution de rôle de gestion est une collection d’un ou plusieurs rôles de gestion des utilisateurs finaux qui permettent aux utilisateurs finaux de gérer leurs propres Microsoft Exchange Server configuration de boîte aux lettres et de groupe de distribution 2013. Les stratégies d'attributions de rôle, qui font partie du modèle d'autorisation du contrôle d'accès basé sur un rôle dans Exchange 2013 vous permettent de contrôler quels paramètres de configuration de groupe de distribution et de boîte aux lettres spécifique peuvent être modifiés par vos utilisateurs finals. Différents groupes d'utilisateurs peuvent bénéficier de stratégies d'attribution de rôle spécialisées.

Remarque

Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.

Pour plus d'informations sur le contrôle d'accès basé sur un rôle, voir Présentation du contrôle d'accès basé sur un rôle.

Couches de stratégie d’attribution de rôle

Les différentes couches qui permettent de créer le modèle de stratégie d’attribution de rôle sont décrites dans la liste suivante :

  • Boîte aux lettres : une seule stratégie d’attribution de rôle est affectée aux boîtes aux lettres. Lorsqu'une stratégie d'attribution de rôle est affectée à une boîte aux lettres, les affectations entre les rôles de gestion et la stratégie d'attribution de rôle s'appliquent à la boîte aux lettres. Cette action permet d'accorder à la messagerie toutes les autorisations fournies par les rôles de gestion.

  • Stratégie d’attribution de rôle de gestion : la stratégie d’attribution de rôle de gestion est un objet spécial dans Exchange 2013. Une stratégie d'attribution de rôle est associée aux utilisateurs lorsque leur boîte aux lettres est créée ou si vous modifiez la stratégie d'attribution de rôle sur une boîte aux lettres. C'est également ce que vous attribuez pour les rôles de gestion des utilisateurs finals. L'association de tous les rôles sur une stratégie d'attribution de rôle définit tout ce que l'utilisateur peut gérer dans sa boîte aux lettres ou ses groupes de distribution.

  • Attribution de rôle de gestion : une attribution de rôle de gestion est le lien entre un rôle de gestion et une stratégie d’attribution de rôle. L'attribution d'un rôle de gestion à une stratégie d'attribution de rôle permet l'utilisation des cmdlets et des paramètres définis dans le rôle de gestion. Lorsque vous créez une attribution de rôle entre une stratégie d'attribution de rôle et un rôle de gestion, vous ne pouvez spécifier aucune étendue. L’étendue appliquée par l’affectation est basée sur le rôle de gestion et est ou SelfMyGAL. Pour plus d'informations, voir Présentation des attributions de rôles de gestion.

  • Rôle de gestion : un rôle de gestion est un conteneur pour un regroupement d’entrées de rôle de gestion. Les rôles sont utilisés pour définir les tâches spécifiques qu’un utilisateur peut effectuer avec sa boîte aux lettres ou les groupes de distribution. Une entrée de rôle de gestion est une cmdlet, un script ou une autorisation spéciale qui permet d’effectuer chaque tâche spécifique dans un rôle de gestion. Vous pouvez uniquement utiliser des rôles de gestion des utilisateurs finals avec les stratégies d'attribution de rôle. Pour plus d'informations, voir Présentation des rôles de gestion.

  • Entrée de rôle de gestion : les entrées de rôle de gestion sont les entrées individuelles d’un rôle de gestion qui déterminent les applets de commande et les paramètres disponibles pour le rôle de gestion et le groupe de rôles. Chaque entrée de rôle est constituée d'une cmdlet unique et des paramètres accessibles par le rôle de gestion.

La figure suivante affiche chacune des couches de stratégie de rôle dans la liste précédente et la manière dont les couches sont associées.

Relations du modèle d’attribution de rôle.

Pour plus d'informations sur les rôles de gestion, les attributions de rôle et les étendues, voir Présentation du contrôle d'accès basé sur un rôle.

Stratégies d’attribution de rôle explicite et par défaut

Les sections suivantes décrivent les deux types de stratégies d'attribution de rôle dans Exchange 2013.

Stratégie d’attribution de rôles par défaut

Une stratégie d’attribution de rôle par défaut est une stratégie affectée à une boîte aux lettres lorsque la boîte aux lettres est créée ou déplacée vers un serveur exécutant Exchange 2013, et aucune stratégie d’attribution de rôle n’a été fournie à l’aide du paramètre RoleAssignmentPolicy sur les applets de commande New-Mailbox ou Enable-Mailbox .

Exchange 2013 inclut une stratégie d'attribution de rôle par défaut qui fournit aux utilisateurs finals les autorisations utilisées le plus souvent. Vous pouvez modifier les autorisations par défaut sur la stratégie d'attribution de rôle par défaut en ajoutant ou en supprimant des rôles de gestion dans cette stratégie ou à partir de cette dernière.

Si vous souhaitez remplacer la stratégie d'attribution de rôle intégrée par défaut par votre propre stratégie d'attribution de rôle par défaut, vous pouvez utiliser la cmdlet Set-RoleAssignmentPolicy pour sélectionner une nouvelle stratégie par défaut. Si vous n'indiquez pas spécifiquement une stratégie d'attribution de rôle lorsque vous effectuez cette opération, la stratégie d'attribution de rôle que vous avez spécifiée par défaut est affectée aux nouvelles boîtes aux lettres.

Lorsque vous modifiez la stratégie d'attribution de rôle par défaut, les boîtes aux lettres pour lesquelles la stratégie d'attribution de rôle est fournie par défaut ne recevront pas automatiquement l'obtention de la nouvelle stratégie d'attribution de rôle par défaut. Si vous souhaitez mettre à jour les boîtes aux lettres préalablement créées pour utiliser la stratégie d'attribution de rôle que vous avez définie par défaut, vous devez utiliser la cmdlet Set-Mailbox.

Stratégie d’attribution de rôle explicite

Une stratégie d’attribution de rôle explicite est une stratégie que vous affectez manuellement à une boîte aux lettres en utilisant le paramètre RoleAssignmentPolicy sur la cmdlet New-Mailbox, Set-Mailbox ou Enable-Mailbox. Lorsque vous affectez une stratégie d’attribution de rôle explicite, la nouvelle stratégie prend effet immédiatement et remplace celle préalablement attribuée.

Utilisation de stratégies d’attribution de rôle

Les stratégies d’attribution de rôle vous permettent d’adapter les autorisations en fonction des besoins métier que vos utilisateurs doivent configurer. Si la stratégie d'attribution de rôle par défaut répond à vos besoins, vous n'avez pas besoin d'effectuer une personnalisation. Cependant, si vous disposez de nombreux groupes d'utilisateurs avec des besoins spécialisés, vous pouvez créer des stratégies d'attribution de rôle pour chacune d'entre eux.

La stratégie d'attribution de rôle par défaut que vous utilisez devrait contenir les autorisations qui s'appliquent à votre groupe d'utilisateurs le plus large. Puis, créez des stratégies d'attribution de rôle pour chacun de vos groupes d'utilisateurs spécialisés et adaptez ces stratégies d'attribution de rôle pour accorder plus ou moins d'autorisations à ces groupes. Lorsque vous organisez vos stratégies d'attribution de rôle de cette manière, vous réduisez la complexité en attribuant explicitement des stratégies d'attribution de rôle uniquement aux utilisateurs spécialisés tandis que la majorité de vos utilisateurs reçoivent les autorisations utilisées le plus souvent par la stratégie d'attribution de rôle par défaut.

Une boîte aux lettres peut avoir uniquement une stratégie d'attribution de rôle. Une stratégie d'attribution de rôle est affectée à tous les utilisateurs, y compris les administrateurs et les utilisateurs spécialisés. Si vous souhaitez qu'un utilisateur bénéficie d'un ensemble d'autorisations différent, vous devez attribuer à la boîte aux lettres de cet utilisateur une autre stratégie d'attribution de rôle avec les autorisations requises.

Gestion de stratégie d’attribution de rôle

Pour ajouter une stratégie d’attribution de rôle, vous devez d’abord en créer une et décider s’il doit s’agir de la stratégie d’attribution de rôle par défaut. Après avoir créé une stratégie d’attribution de rôle, vous attribuez des rôles de gestion à la stratégie d’attribution de rôle, puis vous affectez la stratégie d’attribution de rôle aux boîtes aux lettres. Vous pouvez ultérieurement choisir d’ajouter ou de supprimer des rôles de gestion ou choisir une stratégie d’attribution de rôle différente pour qu’elle devienne la stratégie par défaut.

Le tableau suivant répertorie la couche de stratégie d’attribution de rôle et les rubriques relatives à la procédure que vous pouvez utiliser pour gérer chaque couche.

Rubriques de gestion de stratégie d’attribution de rôle

Couche de modèle de stratégie d’attribution de rôle Rubriques de gestion
Boîte aux lettres Gestion des boîtes aux lettres utilisateur

Modifier la stratégie d'attribution sur une boîte aux lettres
Stratégie d'attribution de rôle Gérer les stratégies d'attribution des rôles
Rôles de gestion et attributions Gérer les stratégies d'attribution des rôles
Entrées de rôles de gestion Ajouter une entrée de rôle à un rôle

Modifier une entrée de rôle

Supprimer une entrée de rôle d'un rôle

Remarque : La modification des entrées de rôle de gestion dans les rôles de gestion dans une stratégie d’attribution de rôle est une tâche avancée et n’est généralement pas nécessaire dans la plupart des cas. Vous pouvez à la place utiliser un rôle de gestion préexistant qui convienne à vos besoins. Pour plus d'informations, voir Groupes de rôles intégrés.