Permissões no Exchange Online
Exchange Online no Microsoft 365 e Office 365 inclui um grande conjunto de permissões predefinidas, com base no modelo de permissões RBAC (role based Controle de Acesso), que você pode usar imediatamente para conceder permissões facilmente aos seus administradores e usuários. Você pode usar os recursos de permissões no Exchange Online para colocar sua nova organização em funcionamento rapidamente.
RBAC também é o modelo de permissões usado em Microsoft Exchange Server. A maioria dos links neste tópico refere-se a tópicos que fazem referência a Exchange Server. Os conceitos desses tópicos também se aplicam ao Exchange Online.
Para obter informações sobre permissões no Microsoft 365 ou Office 365, consulte Sobre funções de administrador
Observação
Diversos recursos e conceitos de RBAC não são discutidos neste tópico porque são recursos avançados. Caso a funcionalidade discutida neste tópico não atenda às suas necessidades e você queira personalizar mais seu modelo de permissões, consulte Understanding Role Based Access Control.
Permissões baseadas em função
No Exchange Online, as permissões concedidas a administradores e usuários são baseadas em funções de gerenciamento. Uma função de gerenciamento define o conjunto de tarefas que um administrador ou usuário pode realizar. Por exemplo, uma função de gerenciamento chamada Mail Recipients define as tarefas que alguém pode executar em um conjunto de caixas de correio, contatos e grupos de distribuição. Quando uma função é atribuída a um administrador ou usuário, essa pessoa recebe as permissões fornecidas pela função de gerenciamento.
Existem dois tipos de funções de gerenciamento, funções administrativas e de usuário final. A seguir, uma breve descrição de cada tipo:
Funções administrativas: essas funções contêm permissões que podem ser atribuídas a administradores ou usuários especializados usando grupos de funções que gerenciam uma parte da organização Exchange Online, como destinatários ou gerenciamento de conformidade.
Funções de usuário final: essas funções, atribuídas usando políticas de atribuição de função, permitem que os usuários gerenciem aspectos de sua própria caixa de correio e grupos de distribuição que possuem. As funções de usuário final começam com o prefixo
My.
As funções de gerenciamento atribuem permissões aos administradores e usuários para executar tarefas por meio da disponibilização de cmdlets. Como o Centro de Administração do Exchange (EAC) e Exchange Online PowerShell usam cmdlets para gerenciar Exchange Online, conceder acesso a um cmdlet dá ao administrador ou ao usuário permissão para executar a tarefa em cada uma das interfaces de gerenciamento Exchange Online.
Exchange Online inclui grupos de funções que você pode usar para conceder permissões. Para obter mais informações, confira a próxima seção.
Observação
Algumas funções de gerenciamento podem estar disponíveis somente para instalações locais do Exchange Server e não estarão disponíveis no Exchange Online.
grupos de função e políticas de atribuição de função
As funções de gerenciamento concedem permissões para a execução de tarefas no Exchange Online, mas você precisa de uma forma fácil de atribuí-las a administradores e usuários. O Exchange Online oferece os seguintes recursos para ajudar você a fazer atribuições:
Grupos de funções: os grupos de funções permitem que você conceda permissões a administradores e usuários especializados.
Políticas de atribuição de função: as políticas de atribuição de função permitem que você conceda permissões aos usuários finais para alterar as configurações em sua própria caixa de correio ou grupos de distribuição que eles possuem.
As seções a seguir oferecem mais informações sobre grupos de função e políticas de atribuição de função.
Grupos de função
Cada administrador que gerencia o Exchange Online deve receber pelo menos uma ou mais funções. Os administradores podem ter mais de uma função porque podem realizar funções de trabalho que abrangem diversas áreas no Exchange Online.
Para facilitar a atribuição de diversas funções a um administrador, o Exchange Online inclui grupos de função. Quando uma função é atribuída a um grupo de função, as permissões concedidas pela função são concedidas a todos os membros do grupo de função. Isso permite atribuir muitas funções a muitos membros de grupos de função de uma só vez. Os grupos de função normalmente abrangem áreas mais amplas de gerenciamento, como o gerenciamento de destinatários. São usados apenas para funções administrativas e não para funções de usuário final. Membros de grupo de função podem ser usuários e outros grupos de função do Exchange Online.
Observação
É possível atribuir uma função diretamente a um usuário sem usar um grupo de função. Entretanto, esse método de atribuição de função é um procedimento avançado e não é discutido neste tópico. Recomendamos que você use grupos de função para gerenciar permissões.
A figura a seguir mostra a relação entre usuários, grupos de função e funções.
O Exchange Online inclui vários grupos de função internos, cada um fornecendo permissões para gerenciar áreas específicas no Exchange Online. Alguns grupos de função podem se sobrepor a outros. As tabelas a seguir relacionam cada grupo de função com a descrição do seu uso.
| Grupo de função | Descrição | Funções padrão atribuídas |
|---|---|---|
| Gerenciamento de Conformidade | Os membros podem configurar e gerenciar configurações de conformidade no Exchange de acordo com suas políticas. | Logs de auditoria Administração de conformidade Prevenção contra Perda de Dados Gerenciamento de Direitos de Informação Registro no diário Rastreamento de Mensagem Gerenciamento de Retenção Regras de Transporte Logs de Auditoria Somente para Exibição Configuração Somente para Exibição Destinatários Somente para Exibição |
| Gerenciamento de Descobertas | Os membros podem realizar pesquisas de caixas de correio na organização Exchange Online para obter dados que atendam a critérios específicos e também podem configurar retenções legais em caixas de correio. | Guarda Legal Pesquisa de Caixa de Correio |
| <ExchangeServiceAdmins_ valor exclusivo> | A associação a esse grupo de funções é sincronizada entre serviços e é gerenciada centralmente. Você não pode gerenciar esse grupo de funções no Exchange Online. Esse grupo de funções não tem funções atribuídas a ele. No entanto, ele é membro do grupo de funções de Gerenciamento de Organização (como Administrador do Exchange Service) e herda as permissões fornecidas por esse grupo de funções. Você pode adicionar membros a esse grupo de funções adicionando usuários à função de administrador do Exchange de ID Microsoft Entra no Centro de administração do Microsoft 365. |
n/d |
| Suporte Técnico | Os membros podem exibir e gerenciar a configuração para destinatários individuais e exibir destinatários em uma organização do Exchange. Os membros desse grupo de funções só podem gerenciar a configuração que cada usuário pode gerenciar em sua própria caixa de correio. | Redefinir senha Opções de usuário Destinatários Somente para Exibição |
| <valor HelpdeskAdmins_unique> | A associação a esse grupo de funções é sincronizada entre serviços e é gerenciada centralmente. Você não pode gerenciar esse grupo de funções no Exchange Online. Esse grupo de funções não tem funções atribuídas a ele. No entanto, ele é membro do grupo de funções View-Only Gerenciamento de Organizações (como Administrador do Helpdesk) e herda as permissões fornecidas por esse grupo de funções. Você pode adicionar membros a esse grupo de funções adicionando usuários à função de administrador do Helpdesk Microsoft Entra no Centro de administração do Microsoft 365. |
n/d |
| Gerenciamento de Higienização | Os membros podem gerenciar recursos anti-spam do Exchange, conceder permissões para produtos antivírus se integrarem ao Exchange e gerenciar regras de fluxo de email. | Higiene do Transporte Configuração Somente para Exibição Destinatários Somente para Exibição |
| Gerenciamento de Organização | Os membros têm acesso administrativo a toda a organização Exchange Online e podem executar quase qualquer tarefa em Exchange Online. Por padrão, as seguintes funções de gerenciamento não são atribuídas a nenhum grupo de funções, incluindo o Gerenciamento de Organizações:
Por padrão, a função Pesquisa de Caixa de Correio é atribuída apenas ao grupo de funções do Gerenciamento de Descobertas Importante: como o grupo de funções gerenciamento de organização é uma função poderosa, somente os usuários que executam tarefas administrativas de nível organizacional que podem potencialmente afetar todo o Exchange Online organização devem ser membros desse grupo de funções. |
Logs de auditoria Administração de conformidade Prevenção contra Perda de Dados Grupos dinâmicos de distribuição Políticas de endereço de email Compartilhamento Federado Gerenciamento de Direitos de Informação Registro no diário Guarda Legal Pastas públicas habilitadas para email Criação de Destinatário de Email Destinatários de Email Dicas de email Controle de Mensagens Migração Mudança de Caixas de Correio Aplicativos Personalizados da Organização Aplicativos do Org Marketplace Acesso ao cliente da organização Configuração da Organização Configurações de transporte da organização Pastas Públicas Diretivas de Destinatário Domínios remotos e aceitos Redefinir senha Gerenciamento de Retenção Gerenciamento de funções Administrador de Segurança Criação e associação de grupo de segurança Leitor de Segurança Caixas de correio da equipe Higiene do Transporte Regras de Transporte Caixas de Correio de UM Prompts de UM Unificação de Mensagens Opções de usuário Logs de Auditoria Somente para Exibição Configuração Somente para Exibição Destinatários Somente para Exibição |
| Gerenciamento de Destinatários | Os membros têm acesso administrativo para criar ou modificar destinatários Exchange Online na organização Exchange Online. | Grupos dinâmicos de distribuição Criação de Destinatário de Email Destinatários de Email Controle de Mensagens Migração Mudança de Caixas de Correio Diretivas de Destinatário Redefinir senha Caixas de correio da equipe |
| Gerenciamento de Registros | Os membros podem configurar recursos de conformidade, como marcas de política de retenção, classificações de mensagens e regras de fluxo de email (também conhecidas como regras de transporte). | Logs de auditoria Registro no diário Rastreamento de Mensagem Gerenciamento de Retenção Regras de Transporte |
| Administrador de Segurança | A associação a esse grupo de funções é sincronizada entre serviços e é gerenciada centralmente. Você não pode gerenciar esse grupo de funções no Exchange Online. Você pode adicionar membros a esse grupo de funções adicionando usuários à função de administrador de segurança Microsoft Entra no Centro de administração do Microsoft 365. |
Administrador de Segurança |
| Leitor de Segurança | A associação a esse grupo de funções é sincronizada entre serviços e é gerenciada centralmente. Você não pode gerenciar esse grupo de funções no Exchange Online. Você pode adicionar membros a esse grupo de funções adicionando usuários à função de leitor de segurança Microsoft Entra no Centro de administração do Microsoft 365. |
Leitor de Segurança |
| valor exclusivo TenantAdmins_<> | A associação a esse grupo de funções é sincronizada entre serviços e é gerenciada centralmente. Você não pode gerenciar esse grupo de funções no Exchange Online. Esse grupo de funções não tem funções atribuídas a ele. No entanto, ele é membro do grupo de funções gerenciamento de organização (como Administrador da Empresa) e herda as permissões fornecidas por esse grupo de funções. Você pode adicionar membros a esse grupo de funções adicionando usuários à função de administrador global da ID Microsoft Entra no Centro de administração do Microsoft 365. |
n/d |
| Gerenciamento de Unificação de Mensagens | Os membros podem gerenciar as configurações e os recursos do UM (Exchange Unified Messaging). | Caixas de Correio de UM Prompts de UM Unificação de Mensagens |
| Gerenciamento da Organização Somente para Exibição | Os membros podem exibir as propriedades de qualquer objeto na organização Exchange Online. | Configuração Somente para Exibição Destinatários Somente para Exibição |
Se você trabalha em uma organização pequena que tem somente alguns administradores, será preciso adicionar esses administradores apenas ao grupo de função do Gerenciamento da Organização, e provavelmente você não precisará nunca usar os outros grupos de função. Se você trabalhar em uma organização maior, poderá ter administradores que executam tarefas específicas administrando Exchange Online, como a configuração do destinatário. Nesses casos, você pode adicionar um administrador ao grupo de funções gerenciamento de destinatários e outro administrador ao grupo de funções gerenciamento de organização. Esses administradores podem então gerenciar suas áreas específicas de Exchange Online, mas não terão permissões para gerenciar áreas pelas quais não são responsáveis.
Se is grupos de função internos no Exchange Online não corresponderem à função de trabalho de seus administradores, você poderá criar grupos de função e adicionar funções a eles. Para obter mais informações, confira a seção Trabalhar com grupos de funções mais adiante neste tópico.
Diretivas de atribuição de função
O Exchange Online fornece políticas de atribuição de função para que você possa controlar quais configurações os usuários podem configurar em suas caixas de correio e grupos de distribuição. Essas configurações incluem seus nomes para exibição, informações de contato, configurações de caixa postal e associação a grupos de distribuição.
Sua organização do Exchange Online pode ter várias políticas de atribuição de função que fornecem diferentes níveis de permissões para diferentes tipos de usuários em suas organizações. Alguns usuários podem ter permissão para mudar seus endereços ou criar grupos de distribuição, enquanto outros não, dependendo da diretiva de atribuição de função associada às suas caixas de correio. As diretivas de atribuição de função são adicionadas diretamente às caixas de correio, e cada caixa de correio pode ser associada somente a uma diretiva de atribuição de função por vez.
Entre as diretivas de atribuição de função em sua organização, uma é identificada como padrão. A diretiva de atribuição de função padrão é associada a novas caixas de correio que não tenham uma diretiva de atribuição de função específica explicitamente atribuída ao serem criadas. A diretiva de atribuição de função padrão deve conter as permissões que serão aplicadas à maioria de suas caixas de correio.
As permissões são adicionadas às diretivas de atribuição de função por meio de funções de usuário final. As funções de usuário final começam com My e concedem permissões para que os usuários gerenciem apenas suas caixas de correio ou grupos de distribuição que possuem. Elas não podem ser usadas para gerenciar qualquer outra caixa de correio. Somente funções de usuário final podem ser atribuídas às diretivas de atribuição de função.
Quando uma função de usuário final é atribuída a uma diretiva de atribuição de função, todas as caixas de correio associadas a essa diretiva recebem as permissões concedidas pela função. Isso permite adicionar ou remover permissões de conjuntos de usuários sem ter de configurar as caixas de correio individuais. A figura a seguir mostra:
Funções de usuário final são atribuídas a diretivas de atribuição de função. Diretivas de atribuição de função podem compartilhar as mesmas funções de usuário final. Para obter detalhes sobre as funções de usuário final disponíveis no Exchange Online, consulte Políticas de atribuição de função no Exchange Online.
Diretivas de atribuição de função são associadas a caixas de correio. Cada caixa de correio só pode ser associada a uma diretiva de atribuição de função.
Quando uma caixa de correio é associada a uma política de atribuição de função, as funções de usuário final são aplicadas a essa caixa de correio. As permissões concedidas pelas funções são concedidas ao usuário da caixa de correio.
A Política de Atribuição de Função Padrão é incluída com o Exchange Online. Como o nome indica, essa é a diretiva de atribuição de função padrão. Caso queira alterar as permissões fornecidas por esta diretiva de atribuição de função ou criar diretivas de atribuição de função, consulte Trabalhar com políticas de atribuição de função mais adiante neste tópico.
Permissões do Microsoft 365 ou Office 365 no Exchange Online
Ao criar um usuário no Microsoft 365 ou Office 365, você pode escolher se deseja atribuir várias funções administrativas, como Administrador global, administrador de serviço, administrador de senha e assim por diante, ao usuário. Algumas, mas não todas, funções do Microsoft 365 e Office 365 concedem permissões administrativas ao usuário em Exchange Online.
Observação
O usuário usado para criar sua organização do Microsoft 365 ou Office 365 é atribuído automaticamente à função Administrador global Microsoft 365 ou Office 365.
A tabela a seguir lista as funções microsoft 365 ou Office 365 e o grupo de funções Exchange Online ao qual correspondem.
| Função microsoft 365 ou Office 365 | Grupo de função do Exchange Online |
|---|---|
| Administrador global | Gerenciamento de Organização Observação: a função Administrador global e o grupo de funções gerenciamento de organização estão vinculados usando um grupo de funções de administrador de empresa especial. O grupo de função Administrador da Empresa é gerenciado internamente pelo Exchange Online e não pode ser modificado de forma direta. |
| Administrador de cobrança | Nenhum grupo de função do Exchange Online correspondente. |
| Administrador de senha | Administrador de Suporte Técnico. |
| Administrador de serviço | Nenhum grupo de função do Exchange Online correspondente. |
| Administrador de gerenciamento de usuários | Nenhum grupo de função do Exchange Online correspondente. |
Para obter uma descrição dos grupos de função do Exchange Online, consulte a tabela "Grupos de função internos" em Grupos de função.
No Microsoft 365 ou Office 365, quando você adiciona um usuário às funções de administrador de Administrador global ou senha, o usuário recebe os direitos fornecidos pelo respectivo grupo de funções Exchange Online. Outras funções do Microsoft 365 ou Office 365 não têm um grupo de funções Exchange Online correspondente e não concedem permissões administrativas em Exchange Online. Para obter mais informações sobre como atribuir uma função do Microsoft 365 ou Office 365 a um usuário, consulte Atribuir funções de administrador.
Os usuários podem receber direitos administrativos em Exchange Online sem adicioná-los às funções do Microsoft 365 ou Office 365. Isso é feito pela adição do usuário como membro de um grupo de função do Exchange Online. Quando um usuário é adicionado diretamente a um grupo de função do Exchange Online, recebe as permissões concedidas pelo grupo de função no Exchange Online. No entanto, eles não receberão permissões para outros componentes do Microsoft 365 ou Office 365. Eles só terão permissões administrativas no Exchange Online. Os usuários podem ser adicionados a qualquer grupo de função listado na "Tabela de grupos de função internos" em Grupos de função, com a exceção dos grupos de função Administrador da Empresa e Administradores de Suporte Técnico. Para obter mais informações sobre a adição direta de um usuário a um grupo de função do Exchange Online, consulte Trabalhar com grupos de funções.
Trabalhar com grupos de funções
Para gerenciar suas permissões usando grupos de função no Exchange Online, recomendamos que você use o EAC. Usando o EAC para gerenciar grupos de funções, você pode adicionar e remover funções e membros, criar grupos de funções e copiar grupos de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a caixa de diálogo Adicionar grupo de função , mostrada na figura a seguir, para executar essas tarefas.
O Exchange Online inclui vários grupos de função que separam as permissões em áreas administrativas específicas. Caso esses grupos de função existentes forneçam as permissões de que seus administradores precisam para gerenciar sua organização do Exchange Online, será necessário apenas adicionar seus administradores como membros dos grupos de função apropriados. Depois que você adicionar administradores a um grupo de funções, eles poderão administrar os recursos relacionados a esse grupo. Para adicionar ou remover membros de um grupo de função, abra o grupo de função no EAC e adicione ou remova os membros da lista de associação. Para obter uma lista de grupos de função, consulte a tabela "Grupos de função internos" em Grupos de função.
Importante
Se um administrador for um membro de mais de um grupo de função, o Exchange Online concederá ao administrador todos as permissões fornecidas pelos grupos de função de que é um membro.
Se nenhum dos grupos de função incluídos no Exchange Online tiver as permissões de que você precisa, você poderá usar o EAC para criar um grupo de função e adicionar as funções que tenham as permissões necessárias. Para o seu novo grupo de função, você irá:
Escolher um nome para o grupo de função.
Selecionar as funções que deseja adicionar ao grupo de função.
Adicionar membros ao grupo de funções.
Salvar o grupo de função.
Depois de ter criado o grupo de funções, você o gerencia como qualquer outro grupo de funções.
Caso exista um grupo de função contendo algumas, mas não todas, das permissões necessárias, você poderá copiá-lo e fazer alterações para criar um grupo de função. É possível copiar um grupo de funções existente e fazer alterações nele sem afetar o grupo de funções original. Como parte da cópia do grupo de função, é possível atribuir um novo nome e descrição, adicionar e remover funções desse novo grupo de função e adicionar novos membros. Para criar ou copiar um grupo de funções, é usada a mesma caixa de diálogo mostrada na figura anterior.
Os grupos de função existentes também podem ser modificados. Você pode adicionar e remover funções dos grupos de funções existentes e adicionar e remover membros desses grupos ao mesmo tempo usando uma caixa de diálogo do EAC, semelhante à da figura anterior. Ao adicionar e remover funções de grupos de função, você ativa e desativa recursos administrativos para os membros desses grupos de função.
Observação
Embora seja possível alterar as funções atribuídas aos grupos de função internos, recomendamos copiar esses grupos de função, alterar a cópia e então adicionar os membros ao grupo de função copiado. > Os grupos de funções de administrador do Administrador da Empresa e do Help Desk não podem ser copiados ou alterados.
Trabalhar com políticas de atribuição de função
Para gerenciar as permissões concedidas aos usuários finais para gerenciar suas próprias caixas de correio no Exchange Online, recomendamos usar o EAC. Usando o EAC para gerenciar as permissões de usuários finais, você pode adicionar e remover funções e criar políticas de atribuição de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a política de atribuição de funções, mostrada na figura a seguir, para realizar essas tarefas.
O Exchange Online inclui uma política de atribuição de função chamada Política de Atribuição de Função Padrão. Essa diretiva de atribuição de função permite aos usuários cujas caixas de correio estejam associadas à diretiva fazer o seguinte:
- Associar-se ou sair de grupos de distribuição que permitam aos membros gerenciar suas próprias associações.
- Exibir e modificar configurações básicas de suas caixas de correio, como regras da Caixa de Entrada, comportamento da correção ortográfica, configurações de lixo eletrônico, e dispositivos do Microsoft ActiveSync.
- Modificar suas informações de contato, como endereço comercial e número de telefone, número de telefone celular e número de pager.
- Criar, modificar ou exibir configurações de mensagens de texto.
- Exibir ou modificar as configurações de caixa postal.
- Exibir e modificar seus aplicativos do marketplace.
- Criar caixas de correio de equipe e conectá-las às listas do Microsoft SharePoint.
- Crie, modifique ou exiba configurações de assinatura de email, como o formato da mensagem e os padrões de protocolo.
Se quiser adicionar ou remover permissões da Política de Atribuição de Função Padrão ou de qualquer outra política de atribuição de função, você pode usar o EAC. A caixa de diálogo usada é semelhante à da figura anterior. Ao abrir a política de atribuição de função no EAC, marque a caixa de seleção ao lado das funções que você deseja atribuir e desmarque a caixa de seleção das funções que você deseja remover. A alteração feita na diretiva de atribuição de função é aplicada a todas as caixas de correio associadas a ela.
Caso queira atribuir diferentes permissões de usuário final aos vários tipos de usuários em sua organização, você pode criar diretivas de atribuição de função. Ao criar uma política de atribuição de função, será exibida uma caixa de diálogo semelhante à da figura anterior. Você pode especificar um novo nome para a política de atribuição de função e então selecionar as funções que deseja atribuir à política de atribuição de função. Depois de criar uma política de atribuição de função, você poderá associá-la a caixas de correio usando o EAC.
Se você quiser alterar qual política de atribuição de função é o padrão, você deve usar Exchange Online PowerShell. Quando a política de atribuição de função padrão é alterada, todas as caixas de correio criadas serão associadas à nova política de atribuição de função se nenhuma política for explicitamente especificada. A diretiva de atribuição de função associada às caixas de correio existentes não muda quando é selecionada uma nova diretiva de atribuição de função padrão.
Observação
Se você marcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão marcadas. Se você desmarcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão desmarcadas.
Para obter procedimentos detalhados de política de atribuição de função, consulte Políticas de atribuição de função em Exchange Online.
Documentação de permissões
A tabela a seguir contém links para tópicos que irão ajudar você a aprender sobre e gerenciar permissões no Exchange Online.
| Tópico | Descrição |
|---|---|
| Controle de acesso baseado em função de compreensão | Saiba mais sobre cada um dos componentes que compõem o RBAC e como você pode criar modelos de permissões avançadas se grupos de funções e funções de gerenciamento não forem suficientes. |
| Gerenciar grupos de funções no Exchange Online | Configure permissões para administradores Exchange Online e usuários especializados usando grupos de funções, incluindo adicionar e remover membros de e para grupos de funções. |
| Políticas de atribuição de função no Exchange Online | Configure quais recursos os usuários finais têm acesso em suas caixas de correio usando políticas de atribuição de função, exibir, criar, modificar e remover políticas de atribuição de função, especificar a política de atribuição de função padrão e aplicar políticas de atribuição de função às caixas de correio. |
| Permissões de recursos no Exchange Online | Saiba mais sobre as permissões necessárias para gerenciar Exchange Online recursos e serviços. |