Autorisations dans EOP autonome
Les organization Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online utilisent le modèle d’autorisations RBAC (Role Based Access Control) pour accorder facilement des autorisations aux administrateurs. Vous pouvez utiliser les fonctionnalités d’autorisation dans EOP autonome pour que votre nouvelle organization soit opérationnelle rapidement.
Pour accorder des autorisations aux utilisateurs, consultez Gérer les groupes de rôles d’administrateur dans EOP.
Pour plus d’informations sur les autorisations dans Microsoft 365, consultez À propos des rôles d’administrateur.
Autorisations basées sur des rôles
Les autorisations d’administrateur que vous accordez aux utilisateurs sont basées sur les rôles de gestion. Un rôle de gestion définit les applets de commande disponibles pour un ensemble de tâches données. Le Centre d’administration Exchange (EAC) et EOP PowerShell autonome utilisent des applets de commande. Par conséquent, l’octroi de l’accès à une applet de commande donne aux utilisateurs l’autorisation d’effectuer des tâches dans le CAE ou dans EOP PowerShell autonome. Par exemple, le rôle Destinataires du courrier définit les applets de commande requises pour modifier les utilisateurs de messagerie.
Groupes de rôles
Pour faciliter l’attribution de rôles aux utilisateurs, EOP autonome utilise des groupes de rôles. Les rôles de gestion sont attribués à des groupes de rôles, et les membres du groupe de rôles obtiennent les autorisations associées aux rôles. En d’autres termes, les rôles de gestion ne sont pas directement attribués aux utilisateurs ; ils sont affectés au groupe de rôles. Ce modèle vous permet d’attribuer de nombreux rôles à de nombreux membres du groupe de rôles à la fois. Les membres du groupe de rôles peuvent être des utilisateurs de messagerie, des groupes de sécurité à extension messagerie, des utilisateurs du Centre d'administration Microsoft 365 et d’autres groupes de rôles.
La figure suivante montre la relation entre les utilisateurs, les groupes de rôles et les rôles.
Les groupes de rôles disponibles dans EOP autonome sont décrits dans le tableau suivant.
| Groupe de rôles | Description | Rôles attribués par défaut |
|---|---|---|
| Conformité des communications | Bien que ce groupe de rôles soit disponible, il ne fait rien d’utile dans EOP autonome. | Administrateur de conformité des communications Examen de conformité des communications |
| Administrateurs de conformité des communications | Bien que ce groupe de rôles soit disponible, il ne fait rien d’utile dans EOP autonome. | Administrateur de conformité des communications |
| Administrateur de conformité | Gérez les paramètres de gestion des appareils, de protection contre la perte de données, de rapports et de préservation. | Administrateur de conformité des communications Administration de gestion des risques internes |
| Gestion de la conformité | Configurez et gérez les paramètres de conformité dans le organization, y compris la protection contre la perte de données (DLP) si votre abonnement dispose de fonctionnalités DLP. Les membres du rôle Administrateur de conformité dans Microsoft Entra ID obtiennent automatiquement les autorisations de ce groupe de rôles. |
Journaux d’audit Administration de conformité Protection contre la perte de données Gestion des droits relatifs à l’information Journalisation Suivi de messages Gestion de la rétention Règles de transport Journaux d'audit en affichage seul Afficher uniquement la configuration Afficher uniquement les destinataires |
| Gestion de la découverte | effectuer des recherches de boîtes aux lettres dans le organization Exchange pour rechercher des données qui répondent à des critères spécifiques. | Conservation légale Recherche de boîte aux lettres |
| Support technique | Afficher et gérer les utilisateurs de messagerie. | Réinitialiser le mot de passe Options utilisateur Afficher uniquement les destinataires |
| Gestion de l’hygiène | Gérer les fonctionnalités de protection (anti-courrier indésirable, anti-programme malveillant, etc.). | Hygiène du transport Afficher uniquement la configuration Afficher uniquement les destinataires |
| Protection des informations | Contrôle total sur toutes les fonctionnalités de protection des informations, y compris les étiquettes de confidentialité et leurs stratégies, DLP, tous les types de classifieurs, les explorateurs d’activités et de contenu, ainsi que tous les rapports associés. | Administrateur Information Protection Enquêteur Information Protection Lecteur Information Protection |
| Administrateurs Information Protection | Bien que ce groupe de rôles soit disponible, il ne fait rien d’utile dans EOP autonome. | Administrateur Information Protection |
| Analystes Information Protection | Bien que ce groupe de rôles soit disponible, il ne fait rien d’utile dans EOP autonome. | Aucun |
| Enquêteurs Information Protection | Rechercher dans le journal d’audit unifié | Enquêteur Information Protection |
| Lecteurs Information Protection | Recherchez dans le journal d’audit unifié et affichez les rapports Trafic de courrier et Résumé du trafic de courrier. | Lecteur Information Protection |
| Gestion des risques internes | Gérer le contrôle d’accès pour la gestion des risques internes. | Administration de gestion des risques internes Enquête sur la gestion des risques internes |
| Administrateurs de gestion des risques internes | Bien que ce groupe de rôles soit disponible, il ne fait rien d’utile dans EOP autonome. | Administration de gestion des risques internes |
| Enquêteurs de la gestion des risque internes. | Bien que ce groupe de rôles soit disponible, il ne fait rien d’utile dans EOP autonome. | Enquête sur la gestion des risques internes |
| Gestion de l’organisation | Administration l’accès à l’ensemble du organization et la possibilité d’effectuer presque n’importe quelle tâche. Les membres du rôle Administrateur général dans Microsoft Entra ID obtiennent automatiquement les autorisations de ce groupe de rôles. Important : Étant donné que le groupe de rôles Gestion de l’organisation est un rôle puissant, seuls les utilisateurs qui effectuent des tâches d’administration au niveau de l’organisation doivent être membres de ce groupe de rôles. |
Journaux d’audit Administrateur de conformité des communications Examen de conformité des communications Administration de conformité Protection contre la perte de données Groupes de distribution dynamique Stratégies d’adresse de messagerie Partage fédéré Administrateur Information Protection Enquêteur Information Protection Lecteur Information Protection Gestion des droits relatifs à l’information Administration de gestion des risques internes Enquête sur la gestion des risques internes Journalisation Conservation légale Dossiers publics à extension messagerie Création de destinataires de message Destinataires de message Info-bulles Suivi de messages Migration Déplacement de boîtes aux lettres Applications personnalisées d’organisation Applications de la Place de marché d’organisation Accès au client de l’organisation Configuration de l’organisation Paramètres de transport de l’organisation Administration de gestion de la confidentialité Enquête sur la gestion de la confidentialité Dossiers publics Stratégies de destinataire Domaines distants et acceptés Réinitialiser le mot de passe Gestion de la rétention Gestion des rôles Administrateur de la sécurité Création et appartenance à un groupe de sécurité Lecteur de sécurité TenantPlacesManagement Hygiène du transport Règles de transport Options utilisateur Journaux d'audit en affichage seul Afficher uniquement la configuration Afficher uniquement les destinataires |
| Gestion de la confidentialité | Bien que ce groupe de rôles soit disponible, il ne fait rien d’utile dans EOP autonome. | Administration de gestion de la confidentialité Enquête sur la gestion de la confidentialité |
| Administrateurs de la gestion de la confidentialité | Bien que ce groupe de rôles soit disponible, il ne fait rien d’utile dans EOP autonome. | Administration de gestion de la confidentialité |
| Enquêteurs de gestion de la confidentialité | Bien que ce groupe de rôles soit disponible, il ne fait rien d’utile dans EOP autonome. | Enquête sur la gestion de la confidentialité |
| Gestion des destinataires | Créez, gérez et supprimez des objets destinataires dans le organization. | Groupes de distribution dynamique Création de destinataires de message Destinataires de message Suivi de messages Migration Déplacement de boîtes aux lettres Stratégies de destinataire Réinitialiser le mot de passe |
| Gestion des enregistrements | Configurez les fonctionnalités de conformité, telles que les balises de stratégie de rétention, les classifications de messages et les règles de flux de courrier (également appelées règles de transport). | Journaux d’audit Journalisation Suivi de messages Gestion de la rétention Règles de transport |
| GUID RIM-MailboxAdmins<> | Inutilisé | ApplicationImpersonation |
| Administrateur de sécurité | Configurez tous les aspects de la protection dans le organization (anti-courrier indésirable, anti-programme malveillant, anti-usurpation d’identité, quarantaine, etc.). Les membres du rôle Administrateur de la sécurité dans Microsoft Entra ID obtiennent automatiquement les autorisations de ce groupe de rôles. |
Administrateur de la sécurité SensitivityLabelAdministrator |
| Opérateur de sécurité | Gérez les alertes de sécurité et affichez également les rapports et les paramètres des fonctionnalités de sécurité. Les membres du rôle Opérateur de sécurité dans Microsoft Entra ID obtenir automatiquement les autorisations de ce groupe de rôles. |
Gestionnaire AllowBlockList du locataire |
| SecurityReader | Accès en affichage seul à tous les aspects de la protection dans le organization (anti-courrier indésirable, anti-programme malveillant, anti-usurpation d’identité, quarantaine, etc.). Les membres du rôle Lecteur de sécurité dans Microsoft Entra ID obtiennent automatiquement les autorisations de ce groupe de rôles. |
Lecteur de sécurité |
| <TenantAdmins_Number> | L’appartenance à ce groupe de rôles est synchronisée entre les services et gérée de manière centralisée. Aucun rôle n’est attribué à ce groupe de rôles, mais il est membre du groupe de rôles Gestion de l’organisation et hérite de ces autorisations. | Aucun |
| Gestion de l'organisation en affichage seul | Affichez les objets destinataire, de protection et de configuration et leurs propriétés dans le organization. | Afficher uniquement la configuration Afficher uniquement les destinataires |
Si vous travaillez dans une petite organization, vous pouvez utiliser uniquement le groupe de rôles Gestion de l’organisation. Dans les grandes organisations avec des administrateurs responsables de tâches spécifiques (par exemple, la configuration des destinataires uniquement), vous pouvez également utiliser le groupe de rôles Gestion des destinataires. Les administrateurs peuvent ensuite gérer leurs zones spécifiques sans autorisations dans des zones dont ils ne sont pas responsables.
Si les groupes de rôles intégrés dans Exchange Online ne correspondent pas à la fonction de travail de vos administrateurs, vous pouvez créer des groupes de rôles et y ajouter des rôles. Pour plus d’informations, consultez Gérer les groupes de rôles dans EOP autonome.
Rôles
Les rôles intégrés disponibles dans EOP autonome sont décrits dans le tableau suivant.
| Role | Description | Attributions de groupes de rôles par défaut |
|---|---|---|
| Listes d'adresses | Permet aux administrateurs de gérer les listes d’adresses, les listes d’adresses globales et les listes d’adresses hors connexion dans un organization. | Aucun |
| Journaux d’audit | Effectuez une recherche dans le journal d’audit de l’administrateur et affichez les résultats. | Gestion de la conformité Gestion de l’organisation Gestion des enregistrements |
| Administrateur de conformité des communications | Bien que ce rôle soit disponible, il n’a rien d’utile dans EOP autonome. | Conformité des communications Administrateurs de conformité des communications Administrateur de conformité Gestion de l’organisation |
| Examen de conformité des communications | Bien que ce rôle soit disponible, il n’a rien d’utile dans EOP autonome. | Gestion de l’organisation |
| Administration de conformité | Permet aux utilisateurs d’afficher et de modifier les paramètres et les rapports pour les fonctionnalités de conformité. | Gestion de la conformité Gestion de l’organisation |
| Protection contre la perte de données | Permet aux administrateurs de gérer les paramètres de protection contre la perte de données (DLP) dans le organization. | Gestion de la conformité Gestion de l’organisation |
| Groupes de distribution dynamique | Créez et gérez tous les groupes de distribution, les groupes de sécurité à extension messagerie et les membres. | Gestion de l’organisation Gestion des destinataires |
| Stratégies d’adresse de messagerie | Permet aux administrateurs de gérer les stratégies d’adresse e-mail dans un organization. | Gestion de l’organisation |
| Partage fédéré | Permet aux administrateurs de gérer le partage entre forêts et organization dans un organization. | Gestion de l’organisation |
| Administrateur Information Protection | Bien que ce rôle soit disponible, il n’a rien d’utile dans EOP autonome. | Protection des informations Administrateurs Information Protection Gestion de l’organisation |
| Enquêteur Information Protection | Recherchez dans le journal d’audit unifié. | Protection des informations Enquêteurs Information Protection Gestion de l’organisation |
| Lecteur Information Protection | Recherchez dans le journal d’audit unifié et affichez les rapports Trafic de courrier et Résumé du trafic de courrier. | Protection des informations Lecteurs Information Protection Gestion de l’organisation |
| Gestion des droits relatifs à l’information | Gérez les fonctionnalités de gestion des droits relatifs à l’information (IRM) d’Exchange dans un organization. | Gestion de la conformité Gestion de l’organisation |
| Administration de gestion des risques internes | Bien que ce rôle soit disponible, il n’a rien d’utile dans EOP autonome. | Administrateur de conformité Gestion des risques internes Administrateurs de gestion des risques internes Gestion de l’organisation |
| Enquête sur la gestion des risques internes | Bien que ce rôle soit disponible, il n’a rien d’utile dans EOP autonome. | Gestion des risques internes Enquêteurs de la gestion des risque internes. Gestion de l’organisation |
| Journalisation | Permet aux administrateurs de gérer la configuration de la journalisation dans un organization. | Gestion de la conformité Gestion de l’organisation Gestion des enregistrements |
| Conservation légale | Permet aux administrateurs de configurer si les données d’une boîte aux lettres doivent être conservées à des fins de litige dans un organization. | Gestion de la découverte Gestion de l’organisation |
| Dossiers publics à extension messagerie | Permet aux administrateurs de configurer si les dossiers publics individuels sont à extension messagerie ou désactivés dans un organization. | Gestion de l’organisation |
| Création de destinataires de message | Créer et supprimer des utilisateurs de messagerie et des contacts de messagerie. | Gestion de l’organisation Gestion des destinataires |
| Destinataires de message | Modifier les utilisateurs de messagerie et les contacts de messagerie existants. | Gestion de l’organisation Gestion des destinataires |
| Info-bulles | Permet aux administrateurs de gérer les paramètres d’info-courrier dans un organization. | Gestion de l’organisation |
| Exportation d’importation de boîte aux lettres | Permet aux administrateurs d’importer et d’exporter le contenu de la boîte aux lettres. | Gestion de l’organisation |
| Recherche de boîte aux lettres | Permet aux administrateurs de rechercher le contenu d’une ou de plusieurs boîtes aux lettres dans une organization. | Gestion de la découverte |
| Suivi des messages | Permet aux administrateurs de suivre les messages dans un organization. | Gestion de la conformité Gestion de l’organisation Gestion des destinataires Gestion des enregistrements |
| Migration | Permet aux administrateurs de migrer des boîtes aux lettres et du contenu de boîtes aux lettres vers ou hors d’une organization. | Gestion de l’organisation Gestion des destinataires |
| Déplacement de boîtes aux lettres | Permet aux administrateurs de déplacer des boîtes aux lettres. | Gestion de l’organisation Gestion des destinataires |
| Accès au client de l’organisation | Permet aux administrateurs de gérer les paramètres d’accès au client dans un organization. | Gestion de l’organisation |
| Configuration de l’organisation | Permet aux administrateurs de gérer les paramètres à l’échelle de organization. | Gestion de l’organisation |
| Paramètres de transport de l’organisation | Permet aux administrateurs de gérer les paramètres de transport de courrier hybride et organization. | Gestion de l’organisation |
| Administration de gestion de la confidentialité | Bien que ce rôle soit disponible, il n’a rien d’utile dans EOP autonome. | Gestion de l’organisation Gestion de la confidentialité Administrateurs de la gestion de la confidentialité |
| Enquête sur la gestion de la confidentialité | Bien que ce rôle soit disponible, il n’a rien d’utile dans EOP autonome. | Gestion de l’organisation Gestion de la confidentialité Enquêteurs de gestion de la confidentialité |
| Dossiers publics | Permet aux administrateurs de gérer les dossiers publics dans un organization. | Gestion de l’organisation |
| Stratégies de destinataire | Permet aux administrateurs de gérer les stratégies de destinataire (stratégies d’authentification, stratégies de chiffrement des données stratégies de boîte aux lettres d’appareil mobile et stratégies de boîte aux lettres Outlook sur le web) dans un organization. | Gestion de l’organisation Gestion des destinataires |
| Domaines distants et acceptés | Gérer les domaines distants, les domaines acceptés et les connecteurs. | Gestion de l’organisation |
| Réinitialiser le mot de passe | Permet aux administrateurs de définir des mots de passe de boîte aux lettres de salle. | Support technique Gestion de l’organisation Gestion des destinataires |
| Gestion de la rétention | Permet aux utilisateurs de gérer les stratégies de rétention. | Gestion de la conformité Gestion de l’organisation Gestion des enregistrements |
| Gestion des rôles | Permet aux administrateurs de gérer les groupes de rôles de gestion, les stratégies d’attribution de rôle, les rôles de gestion, les entrées de rôle, les affectations et les étendues dans un organization. | Gestion de l’organisation |
| Administrateur de la sécurité | Gérez la configuration et les rapports pour toutes les fonctionnalités de sécurité et de protection. | Gestion de l’organisation Administrateur de sécurité |
| Création et appartenance à un groupe de sécurité | Créer et gérer des groupes de sécurité à extension messagerie. | Gestion de l’organisation |
| Lecteur de sécurité | Affichez la configuration et les rapports pour les fonctionnalités de sécurité et de protection. | Gestion de l’organisation Lecteur de sécurité |
| SensitivityLabelAdministrator | Permet aux utilisateurs de modifier les propriétés d’étiquette de confidentialité. | Gestion de l’organisation Administrateur de sécurité |
| Gestionnaire AllowBlockList du locataire | Permet aux utilisateurs de gérer la liste verte/bloquée du locataire. | Gestion de l’organisation Opérateur de sécurité |
| TenantPlacesManagement | Bien que ce rôle soit disponible, il n’a rien d’utile dans EOP autonome. | Gestion de l’organisation |
| Hygiène du transport | Gérer les fonctionnalités anti-programme malveillant, anti-courrier indésirable et anti-usurpation d’identité. | Gestion de l’hygiène Gestion de l’organisation |
| Règles de transport | Créer et gérer des règles de flux de courrier (également appelées règles de transport). | Gestion de la conformité Gestion de l’organisation Gestion des enregistrements |
| Options utilisateur | Permet aux administrateurs d’afficher les options de Outlook sur le web des utilisateurs dans le organization. | Support technique Gestion de l’organisation |
| Journaux d'audit en affichage seul | Effectuez une recherche dans le journal d’audit de l’administrateur et affichez les résultats. | Gestion de la conformité Gestion de l’organisation |
| Afficher uniquement la configuration | Affichez tous les paramètres organization et de flux de messagerie (non-destinataire) dans le organization. | Gestion de la conformité Gestion de l’hygiène Gestion de l’organisation Gestion de l'organisation en affichage seul |
| Afficher uniquement les destinataires | Affichez les propriétés du destinataire et exécutez le suivi des messages. | Gestion de la conformité Support technique Gestion de l’hygiène Gestion de l’organisation Gestion de l'organisation en affichage seul |
Remarque
- Les noms de rôle qui commencent par le préfixe « My » (par exemple, MyContactInformation) sont des rôles d’utilisateur final. Les rôles d’utilisateur final sont attribués aux utilisateurs dans les stratégies d’attribution de rôle, qui permettent aux utilisateurs d’opérer sur l’objet qu’ils possèdent (par exemple, leur propre compte ou les groupes de distribution qu’ils ont créés). Pour plus d’informations, consultez Stratégies d’attribution de rôle dans Exchange Online.
- Les noms de rôle qui commencent ou se terminent par « Application » font partie du contrôle d’accès en fonction du rôle pour les applications dans Exchange Online. Pour plus d’informations, consultez Access Control basée sur les rôles pour les applications dans Exchange Online.
Autorisations Microsoft 365 dans EOP autonome
Lorsque vous créez un utilisateur dans le Centre d'administration Microsoft 365, vous pouvez choisir d’attribuer différents rôles Microsoft Entra (par exemple, Administrateur général, Administrateur Exchange et Lecteur général) à l’utilisateur. La plupart des rôles Microsoft Entra accordent des autorisations d’administration dans EOP à l’utilisateur.
Remarque
Le compte que vous avez utilisé pour créer votre organization EOP autonome est automatiquement attribué au rôle Administrateur général.
Le tableau suivant répertorie les rôles Microsoft Entra et les groupes de rôles EOP autonomes auxquels ils correspondent. Pour plus d’informations sur ces rôles, consultez À propos des rôles d’administrateur.
| Microsoft Entra rôle | Groupe de rôles EOP |
|---|---|
| Administrateur général | Gestion de l’organisation Remarque : Le rôle Administrateur général et le groupe de rôles Gestion de l’organisation sont liés à l’aide d’un groupe de rôles Administrateur d’entreprise spécial. Le groupe de rôles Administrateur d’entreprise est géré en interne et ne peut pas être modifié directement. |
| Administrateur Exchange | Gestion de l’organisation |
| Lecteur général | ViewOnlyOrganization Management |
| Administrateur du support technique | Support technique |
| Administrateur du service de prise en charge | Aucun |
| Administrateur SharePoint | Aucun |
| Administrateur Teams | Aucun |
| Administrateur d’utilisateurs | Gestion des destinataires |
| Gestionnaire de réussite de l'expérience utilisateur | Aucun |
Les utilisateurs peuvent se voir accorder des droits d’administration dans EOP sans les ajouter à Microsoft Entra rôles en ajoutant l’utilisateur en tant que membre d’un groupe de rôles EOP. L’utilisateur obtient des autorisations dans EOP, mais il n’obtient pas d’autorisations dans d’autres charges de travail Microsoft 365. Pour obtenir des instructions, consultez Utiliser le CAE pour gérer les groupes de rôles.