Funções de gerenciamento internas

Aplica-se a: Exchange Server 2013

O Microsoft Exchange Server 2013 inclui muitas funções de gerenciamento por padrão. As seguintes funções são atribuídas a grupos de função de gerenciamento ou a diretivas de atribuição de função de gerenciamento em várias combinações que concedem permissões para gerenciar e usar os recursos oferecidos pelo Exchange 2013. Para obter mais informações sobre funções, confira Entender funções de gerenciamento.

Papel de permissões do diretório ativo

Função de listas de endereços

Função ApplicationImpersonation

Função ArchiveApplication

Função de Logs de auditoria

Função de agentes de extensão de cmdlet

Função de prevenção de perda de dados

Função de grupos de disponibilidade de banco de dados

Função de cópias de banco de dados

Função de bancos de dados

Função de recuperação de desastres

Função de grupos de distribuição

Função de inscrições de borda

Função de diretivas de endereço de email

Função de Conectores do Exchange

Função de certificados de servidor do Exchange

Função de servidores do Exchange

Função de diretórios virtuais do Exchange

Função de compartilhamento federada

Função de gerenciamento de direitos de informação

Função de registro no diário

Função de isenção legal

Função LegalHoldApplication

Função de pastas públicas habilitadas para email

Função de criação de destinatário do email

Função de destinatários de email

Função de dicas de email

Função Importar Exportar Caixa de Correio

Função de pesquisa de caixa de correio

Função MailboxSearchApplication

Função de controle de mensagem

Função de migração

Função de monitoramento

Mover caixas de correio função

Minha função personalizada Apps

Minha função de aplicativos do Marketplace

Função MyAddressInformation

Função MyBaseOptions

Função MyContactInformation

Função MyDiagnostics

Função MyDisplayName

Função MyDistributionGroupMembership

Função MyDistributionGroups

Função MyMobileInformation

Função MyName

Função minhas informações pessoais

Função MyProfileInformation

Função MyRetentionPolicies

Função MyTeamMailboxes

Função MyTextMessaging

Função MyVoiceMail

Função OfficeExtensionApplication

Função org personalizado Apps

Função de aplicativos do Marketplace org

Função de acesso para cliente da organização

Função de configuração de organização

Função de configurações de transporte da organização

Função de POP3 e IMAP4 protocolos

Função de Pastas Públicas

Função de conectores de recebimento

Função de políticas de destinatário

Remoto e a função de domínios aceitos

Redefinir senha função

Função de Gerenciamento de Retençãot

Função de gerenciamento de função

Criação de grupos de segurança e a associação de função

Função de conectores de envio

Função Diagnóstico de Suporte

Função de caixas de correio de equipe

Função TeamMailboxLifecycleApplication

Função de agentes de transporte

Função de higienização de transporte

Função de filas de transporte

Função de regras de transporte

Função de caixas de correio de Unificação de mensagens

Função de Prompts de UM

Função Unificação de mensagens

Função de gerenciamento de função sem escopo

Função de opções do usuário

Função UserApplication

Função de Logs de auditoria somente para exibição

Função de configuração de somente leitura

Função destinatários de somente leitura

Essas funções de gerenciamento são uma das várias funções internas no modelo de permissões RBAC (role based Controle de Acesso) no Microsoft Exchange Server 2013. As funções de gerenciamento, que são atribuídas a um ou mais grupos de função de gerenciamento, políticas de atribuição de função de gerenciamento, usuários ou grupos de segurança universal (USG), agem como um agrupamento lógico de cmdlets ou scripts que são combinados para permitir acesso para ver ou modificar a configuração de componentes do Exchange 2013, como bancos de dados de caixas de correio, regras de transporte e destinatários. Se um cmdlet ou um script e seus parâmetros, chamados em conjunto de entrada de função de gerenciamento, estiverem incluídos em uma função, o cmdlet ou o script e seus parâmetros podem ser executados por aqueles a quem a função foi atribuída. Para obter mais informações sobre funções de gerenciamento e entradas de função de gerenciamento, consulte Noções básicas sobre funções de gerenciamento.

A função de gerenciamento é uma das várias funções internas no modelo de permissões do Controle de Acesso Baseado na Função (RBAC) no Microsoft Exchange Server 2013. As funções de gerenciamento, que são atribuídas a um ou mais grupos de função de gerenciamento, políticas de atribuição de função de gerenciamento, usuários ou grupos de segurança universal (USG), agem como um agrupamento lógico de cmdlets ou scripts que são combinados para permitir acesso para ver ou modificar a configuração de componentes do Exchange 2013, como bancos de dados de caixas de correio, regras de transporte e destinatários. Se um cmdlet ou um script e seus parâmetros, chamados em conjunto de entrada de função de gerenciamento, estiverem incluídos em uma função, o cmdlet ou o script e seus parâmetros podem ser executados por aqueles a quem a função foi atribuída. Para mais informações sobre as funções de gerenciamento e entradas de função de gerenciamento, confira Entendendo as Funções de Gerenciamento.

Atribuições da função de gerenciamento

Para que essas funções concedam permissões, ela deve ser atribuída a um atribuídor de função, que pode ser um grupo de funções, usuário ou grupo de segurança universal (USG). Esta atribuição é feita usando atribuições de função de gerenciamento. Atribuições de função vinculam destinatários de função e funções juntos. Se mais de uma função for atribuída a um destinatário de função, a ele será concedida a combinação de todas as permissões concedidas por todas as funções atribuídas.

Além de vincular destinatários de função a funções, as atribuições de função podem também aplicar escopos de gerenciamento internos ou personalizados. Os escopos de gerenciamento controlam quais objetos de destinatário, servidor e banco de dados podem ser modificados por atribuições de função. Se essas funções forem atribuídas a um atribuídor de função, mas um escopo de gerenciamento permitir que o atribuídor de função apenas gerencie determinados objetos com base em um escopo definido, o atribuídor de função só poderá usar as permissões concedidas por essas funções nesses objetos específicos. As permissões fornecidas por essas funções não podem ser aplicadas a objetos fora do escopo definido na atribuição de função. Esta função destacada para o usuário tem escopos implícitos que não podem ser modificados. Portanto, você deve adicionar escopos personalizados a atribuições de função que atribuem esta função às diretivas de atribuição de função, grupos de função, USGs, ou usuários.

• Noções básicas sobre as atribuições de função de gerenciamento

• Noções básicas sobre escopos da função de gerenciamento

Essas funções são atribuídas a um ou mais grupos de funções por padrão. For more information, see the "Default Management Role Assignments" section later in this topic.

Se você quiser exibir uma lista de grupos de funções, usuários ou USGs atribuídos a essas funções, use o comando a seguir.

Get-ManagementRoleAssignment -Role "<role name>"

Regular and delegating role assignments

Essas funções podem ser atribuídas a atribuições de função usando atribuições de função regulares ou delegadas. As atribuições regulares de função concedem as permissões fornecidas pela função ao destinatário da função. As atribuições de função de delegação concedem a um destinatário de função a capacidade de atribuir a função a outros destinatários de função. Para saber mais sobre atribuições de função regulares e de delegação, consulte Noções básicas sobre as atribuições de função de gerenciamento.

Adicionar ou remover atribuições de função

Você pode alterar quais atribuições de função são atribuídas a essas funções. Ao alterar qual atribuidor de função é atribuído a essas funções, você altera quem recebe suas permissões. Você pode atribuir essas funções a outros grupos de funções internos ou criar grupos de funções e atribuir essas funções a elas. Você também pode atribuir essas funções a usuários ou USGs. Entretanto, recomendamos que você limite a atribuição de funções a usuários e USGs, pois essas atribuições podem aumentar muito a complexidade do seu modelo de permissões.

Para atribuir essas funções a atribuições de função, a função deve ser atribuída a um grupo de funções do qual você é membro, diretamente a você ou a um USG do qual você é membro, usando uma atribuição de função delegada. Para mais informações sobre delegar as atribuições de função, confira a seção "Atribuições de Funções Regulares e de Delegação".

Você também pode remover essas funções de grupos de funções internos, grupos de funções que você cria, usuários e USGs. No entanto, sempre deve haver pelo menos uma atribuição de função delegada entre essas funções e um grupo de funções ou USG. Não é possível excluir a última atribuição de função de delegação. Essa limitação ajuda a impedir que você mesmo bloqueie a sua entrada no sistema.

Para obter mais informações sobre como adicionar ou remover atribuições entre essas funções e grupos de funções, usuários e USGs, confira os seguintes tópicos:

• Gerenciar grupos de função

• Adicionar uma função a um usuário ou USG

• Remover uma função de um usuário ou USG

Alterar os escopos de gerenciamento para atribuições de função

Você também pode alterar os escopos de gerenciamento em atribuições de função existentes entre essas funções e atribuições de função. Alterando os escopos em atribuições de função, você controla quais objetos podem ser gerenciados usando as permissões fornecidas por essas funções. Você tem várias opções ao alterar o escopo de uma atribuição de função. Você pode selecionar uma destas opções:

• Add a new custom scope using the Set-ManagementRoleAssignment cmdlet. Para saber mais, confira os seguintes tópicos:

  • Adicione um novo escopo personalizado usando o cmdlet Set-ManagementRoleAssignment. Para saber mais, confira os seguintes tópicos:

  • Criar um escopo regular ou exclusivo

• Add or change an organizational unit scope using the Set-ManagementRoleAssignment cmdlet. Para saber mais, confira Alterar uma atribuição de função.

• Adicionar ou alterar um escopo de unidade organizacional usando o cmdlet Set-ManagementRoleAssignment. Para saber mais, confira Alterar uma atribuição de função.

• Adicionar ou alterar um escopo predefinido usando o cmdlet Set-ManagementRoleAssignment. Para saber mais, confira Alterar uma atribuição de função.

Habilitar ou desabilitar atribuições de função

Ao habilitar ou desabilitar uma atribuição de função, você controla se a atribuição de função deve entrar em vigor. Se a atribuição de função estiver desabilitada, as permissões concedidas pela função associada não serão aplicadas ao destinatário da função. Isso é conveniente se você quiser remover permissões temporariamente sem delegar uma atribuição de função. Para saber mais, confira Alterar uma atribuição de função.

Personalização da função de gerenciamento

Essas funções foram configuradas para fornecer um atribuídor de função com todos os cmdlets e parâmetros necessários para gerenciar os recursos e componentes listados no início deste tópico. Outras funções também foram fornecidas para habilitar o gerenciamento de outros recursos. Ao adicionar e remover funções de grupos de funções, você pode criar um modelo de permissões personalizadas sem a necessidade de personalizar funções de gerenciamento individuais. Para uma lista completa de funções, confira Funções de gerenciamento internas. Para mais informações sobre como personalizar grupos de funções, confira Gerenciar grupos de função.

Se você decidir que precisa criar uma versão personalizada dessas funções, deve criar uma função como filho dessas funções e personalizar a nova função.

As informações a seguir permitem que você execute o gerenciamento avançado de permissões. Personalizar funções de gerenciamento pode aumentar significativamente a complexidade do seu modelo de permissões. Você pode fazer com que determinados recursos parem de funcionar, se você substituir uma função de gerenciamento interna por uma função personalizada configurada incorretamente.

1. Crie uma cópia de uma função. Para saber mais, confira Criar uma função.

2. Alterar ou remover as entradas de função na nova função, usando os cmdlets Set-ManagementRoleEntry e Remove-ManagementRoleEntry. Você não pode adicionar entradas de função à nova função porque ela só pode conter as entradas internas da função-mãe. Para saber mais, confira os seguintes tópicos:

   • Alterar uma entrada de função

   • Remover uma entrada de função de uma função

3. Se você quiser substituir a função interna por essa nova função personalizada, remova quaisquer atribuições de função associadas à função interna. Para saber mais, confira os seguintes tópicos:

   • Seção "Adicionar ou remover uma função de um grupo de função" em Gerenciar grupos de função

   • Remover uma função de um usuário ou USG

4. Adicionar a nova função personalizada aos destinatários de função necessários. Para saber mais, confira os seguintes tópicos:

   • Seção "Adicionar ou remover uma função de um grupo de função" em Gerenciar grupos de função

   • Adicionar uma função a um usuário ou USG

     Importante

     Se você quiser que outros usuários, além daquele que criou a função, possa atribuir a nova função personalizada, certifique-se de adicionar uma atribuição de função de delegação para um destinatário de função, pelo menos. Para saber mais, confira Atribuições de função de representante.