Разрешения в Exchange Online

Exchange Online
 

Применимо к:Exchange Online

Последнее изменение раздела:2016-12-09

Exchange Online в Office 365 включает множество предопределенных разрешений, основанных на модели разрешений управления доступом на основе ролей (RBAC). Поэтому разрешения можно сразу предоставить администраторам и пользователям. Функции разрешений в Exchange Online позволяют быстро ввести в действие новую организацию.

RBAC — это также модель разрешений, используемая в Microsoft Exchange Server 2013. Большинство ссылок в этом разделе относятся к разделам Exchange 2013. Понятия в этих разделах также относятся к Exchange Online.

Сведения о разрешениях в Office 365 см. в статье Разрешения в Office 365

ПримечаниеПримечание.
Некоторые возможности и принципы управления доступом на основе ролей не затрагиваются в этом разделе, поскольку относятся к расширенным функциям. Если функция, рассматриваемая в этом разделе, не отвечает вашим потребностям и требуется дальнейшая настройка модели разрешений, см. раздел Общие сведения об управлении доступом на основе ролей.

Содержание

Разрешения на основе ролей

Группы ролей и политики назначения ролей

Разрешения Office 365 в Exchange Online

Работа с группами ролей

Работа с политиками назначения ролей

В Exchange Online разрешения, которые предоставляются администраторам и пользователям, основаны на ролях управления. Роль управления определяет набор задач, которые может выполнять администратор или пользователь. Например, роль управления под названием Mail Recipients определяет задачи, которые можно выполнять над совокупностью почтовых ящиков, контактов и групп рассылки. Когда роль управления назначается администратору или пользователю, ему предоставляются разрешения в соответствии с этой ролью.

Административные роли и роли конечного пользователя — два типа ролей управления. Ниже приводится краткое описание каждого из них.

  • Административные роли. Эти роли предусматривают разрешения, которые можно назначить администраторам или опытным пользователям при помощи групп ролей, управляющих частью организации Exchange Online, например получателями, управлением соответствием требованиям или единой системой обмена сообщениями.

  • Роли конечных пользователей. Эти роли, назначаемые при помощи политик назначения ролей, позволяют пользователям управлять возможностями их собственных почтовых ящиков и группами рассылки. Роли конечных пользователей начинаются с префикса My.

Роли управления позволяют администраторам и пользователям выполнять задачи, предоставляя доступ к командлетам лицам с назначенными ролями. Поскольку для управления Exchange OnlineЦентр администрирования Exchange (EAC) и Командная консоль Exchange используют командлеты, предоставление доступа к командлету позволяет администратору или пользователю выполнять задачи в каждом из интерфейсов управления Exchange Online.

Exchange Online включает около 45 ролей, которые вы можете использовать для выдачи разрешений. Список ролей приведен в статье Встроенные роли управления.

ПримечаниеПримечание.
Некоторые роли управления могут быть доступными только для локальных установок Exchange Server и не будут доступными в Exchange Online.

К началу

Роли управления предоставляют разрешения на выполнение задач в Exchange Online, но требуется легкий способ их назначения администраторам и пользователям. Для этого в Exchange Online предусмотрены следующие возможности:

  • Группы ролей. Группы ролей позволяют предоставлять разрешения группам администраторов и специалистам.

  • Политики назначения ролей. Политики назначения ролей позволяют предоставлять разрешения конечным пользователям, позволяющие менять параметры их собственных почтовых ящиков и групп рассылки.

В следующих разделах представлены дополнительные сведения о группах ролей и политиках назначения ролей.

Каждому администратору, управляющему Exchange Online, должна быть назначена хотя бы одна роль. Администраторы могут иметь несколько ролей, поскольку они могут выполнять функции, охватывающие несколько областей в Exchange Online. Например, один администратор может управлять и получателями, и функциями единой системы обмена сообщениями в организации Exchange Online. В этом случае администратору могут быть назначены обе роли — Mail Recipients и Unified Messaging.

Чтобы упростить назначение администратору нескольких ролей, Exchange Online содержит группы ролей. Когда роль назначается группе ролей, разрешения, соответствующие этой роли, предоставляются всем участникам данной группы. Это позволяет назначить множество ролей сразу нескольким участникам группы ролей. Группы ролей обычно охватывают более широкие области управления, например управление получателями. Они используются только вместе с административными ролями, но не с ролями конечных пользователей. Члены группы ролей могут быть пользователями Exchange Online и других групп ролей.

ПримечаниеПримечание.
Можно назначить роль непосредственно пользователю, не используя группу ролей. Однако такой способ назначения ролей относится к расширенным процедурам и не затрагивается в данном разделе. Рекомендуется для управления разрешениями использовать группы ролей.

На приведенном ниже рисунке показана взаимосвязь между пользователями, группами ролей и ролями.

Роли, группы ролей и участники групп ролей

Роли, группы ролей и связи участников

Exchange Online содержит несколько встроенных групп ролей, каждая из которых предоставляет разрешения на управление определенными областями в Exchange Online. Некоторые группы ролей могут перекрываться с другими группами ролей. В приведенной ниже таблице перечислены группы ролей с описанием их использования.

Встроенные группы ролей

Группа ролей Описание

Администраторы организаций (TenantAdmins_<unique value>)

Группа ролей администраторов организации — специальная группа, которая связывает роль глобальных администраторов Office 365 и группу ролей управления организацией Exchange Online. Группа ролей администраторов организаций не имеет каких-либо назначенных ей ролей. Однако она входит в группу ролей управления организацией и наследует разрешение, предоставленное этой группой ролей.

Этой группой ролей нельзя управлять в Exchange Online. Чтобы добавить в нее членов, добавьте пользователей в роль глобальных администраторов Office 365.

Управление обнаружением

Администраторы или пользователи, являющиеся участниками группы ролей Управление обнаружением, могут выполнять поиск данных, которые соответствуют определенным критериям, в почтовых ящиках организации Exchange Online, а также настраивать хранение юридической информации в почтовых ящиках.

Служба поддержки

Группа ролей службы технической поддержки по умолчанию позволяет своим участникам просматривать и изменять параметры Microsoft Outlook Web App для любого пользователя в организации. В число изменяемых параметров пользователя могут входить отображаемое имя, адрес и номер телефона. К ним не относятся параметры, недоступные в параметрах Outlook Web App, такие как изменение размера почтового ящика или настройка базы данных почтовых ящиков, в которой находится почтовый ящик.

Администраторы службы технической поддержки (HelpdeskAdmins_<unique value>)

Группа ролей администраторов службы технической поддержки не имеет каких-либо назначенных ей ролей. Однако, состоя в группе ролей управления организациями с правами только для просмотра, она наследует разрешения, предоставленные этой группой ролей.

Этой группой ролей нельзя управлять в Exchange Online. В эту группу ролей можно добавить участников, добавив пользователей в роль администраторов паролей Office 365.

Управление организацией

Администраторы, являющиеся участниками группы ролей Управление организацией, имеют административный доступ ко всей организации Microsoft Exchange Online и могут выполнять практически любые задачи с любым объектом Exchange Online за некоторыми исключениями, такими как роль Discovery Management.

ВажноВажно!
Так как группа ролей Управление организацией — многофункциональная, участниками этой группы могут быть только пользователи, выполняющие административные задачи на уровне организации, которые могут влиять на всю организацию Exchange Online.

Управление получателями

Администраторы, являющиеся участниками группы ролей Управление получателями, имеют административный доступ для создания или изменения получателей Exchange Online в организации Exchange Online.

Управление записями

Пользователи, которые являются участниками группы ролей Управление записями, могут настраивать такие функции обеспечения соответствия требованиям, как теги политики хранения, классификации сообщений и правила транспорта.

Управление единой системой обмена сообщениями

Администраторы, состоящие в группе ролей управления единой системой обмена сообщениями, могут управлять компонентами в организации Exchange Online, такими как свойства единой системы обмена сообщениями для почтовых ящиков, приглашения единой системы обмена сообщениями и настройка автосекретаря единой системы обмена сообщениями.

Управление организацией только с правом на просмотр

Администраторы, являющиеся участниками группы ролей Управление организацией только с правом на просмотр, могут просматривать свойства любого объекта в организации Exchange Online.

В небольшой организации с малым количеством администраторов может потребоваться добавить администраторов только в группу ролей Управление организацией, а другие группы ролей могут никогда не понадобиться. В более крупной организации могут работать администраторы, выполняющие особые задачи в Exchange Online, такие как настройка получателей или единой системы обмена сообщениями по всей организации. В таких случаях можно добавить одного администратора в группу ролей Управление получателями, а другого — в группу ролей управления единой системы обмена сообщениями. Эти администраторы смогут управлять своими областями в exExchangeOnline, но не будут иметь разрешений на управление областями, за которые они не отвечают.

Если встроенные группы ролей в Exchange Online не соответствуют должностным обязанностям администраторов, можно создать новые группы ролей и добавить в них роли. Дополнительные сведения см. в разделе Работа с группами ролей далее в этой статье.

К началу

Exchange Online содержит политики назначения ролей, позволяющие контролировать параметры, которые могут настраивать пользователи для своих почтовых ящиков и групп рассылки. Эти параметры включают отображаемое имя, контактную информацию, настройки голосовой почты и членство в группах рассылки.

Организация Exchange Online может иметь несколько политик назначения ролей, предусматривающих разные уровни разрешений для разных типов пользователей. Некоторым пользователям может быть разрешено изменять свой адрес или создавать группы рассылки, а другим — нет, в зависимости от политики назначения ролей, связанной с их почтовыми ящиками. Политики назначения ролей добавляются непосредственно к почтовым ящикам, и с каждым почтовым ящиком может быть связана только одна политика.

Одна из политик назначения ролей в организации помечается как используемая по умолчанию. Политика назначения ролей по умолчанию связывается с новыми почтовыми ящиками, которым во время создания явным образом не была назначена определенная политика. Политика назначения ролей по умолчанию должна содержать разрешения, применяемые к большинству почтовых ящиков пользователя.

Разрешения добавляются в политики назначения ролей с использованием ролей конечных пользователей. Роли конечных пользователей начинаются с префикса My и предоставляют пользователям разрешения на управление их собственными почтовыми ящиками и группами рассылки. Они не могут использоваться для управления любыми другими почтовыми ящиками. Политикам назначения ролей могут быть назначены только роли конечных пользователей.

Когда роль конечного пользователя назначается политике назначения ролей, все почтовые ящики, связанные с этой политикой, получают разрешения, предусмотренные данной ролью. Это позволяет добавлять и удалять разрешения для групп пользователей без необходимости настройки отдельных почтовых ящиков. На приведенном ниже рисунке показано следующее.

  • Роли конечных пользователей назначаются политикам назначения ролей. Политикам назначения ролей могут соответствовать одни и те же роли конечных пользователей.

  • Политики назначения ролей связываются с почтовыми ящиками. С каждым почтовым ящиком может быть связана только одна политика назначения ролей.

  • После связывания почтового ящика с политикой назначения ролей роли конечных пользователей применяются к этому почтовому ящику. Разрешения, предусмотренные ролями, предоставляются пользователю этого почтового ящика.

Роли, политики назначения ролей и почтовые ящики

Роль, политика назначения ролей, связь почтовых ящиков

Политика назначения ролей под названием "Политика назначения ролей по умолчанию" включена в систему Exchange Online. Как и предполагает название, это политика назначения ролей по умолчанию. Сведения о том, как изменить разрешения, предусмотренные этой политикой назначения ролей, и как создавать политики назначения ролей, см. в разделе Работа с политиками назначения ролей ниже в данной статье.

Когда вы создаете пользователя в Office 365, ему можно назначить различные административные роли, такие как глобальный администратор, администратор служб, администратор паролей и так далее. Некоторые (не все) роли Office 365 предоставляют пользователю административные разрешения в Exchange Online.

ПримечаниеПримечание.
Учетной записи, которая использовалась для создания клиента Office 365, автоматически назначается роль глобального администратора Office 365.

В таблице ниже перечислены роли Office 365 и группа ролей Exchange Online, которой они соответствуют.

 

Роль Office 365 Группа ролей Exchange Online

Глобальный администратор

Управление организацией

ПримечаниеПримечание.
Роль глобального администратора и группа ролей управления организацией связаны между собой при помощи специальной группы ролей администраторов организации. Группа ролей администраторов организации управляется внутри службы Exchange Online и не может быть изменена напрямую.

Администратор выставления счетов

Соответствующая группа ролей Exchange Online отсутствует.

Администратор паролей

Администратор службы технической поддержки.

Администратор служб

Соответствующая группа ролей Exchange Online отсутствует.

Администратор управления пользователями

Соответствующая группа ролей Exchange Online отсутствует.

Описание групп ролей Exchange Online см. в таблице "Встроенные группы ролей" в статье Группы ролей.

При добавлении пользователя в роли глобального администратора или администратора паролей Office 365 ему предоставляются права, полученные от соответствующей группы ролей Exchange Online. Другие роли Office 365 не имеют соответствующей группы ролей Exchange Online и не предоставят административных разрешений в Exchange Online. Дополнительные сведения о назначении роли Office 365 пользователю см. в разделе Назначение ролей администратора.

Пользователям могут быть предоставлены административные права в Exchange Online без их добавления в роли Office 365. Это делается путем добавления пользователя в качестве участника группы ролей Exchange Online. При непосредственном добавлении пользователя в группу ролей Exchange Online он получает разрешения, предоставляемые этой группой ролей в Exchange Online. Однако ему не предоставляется никаких разрешений доступа к другим компонентам Office 365. У них будут только административные разрешения в Exchange Online. Пользователей можно добавлять в любую из групп ролей, перечисленных в "Таблице встроенных групп ролей" в статье Группы ролей. Исключение составляют группы ролей администраторов организаций и администраторов служб технической поддержки. Дополнительные сведения о добавлении пользователей в группы ролей см. в статье Работа с группами ролей.

К началу

Управлять разрешениями с использованием групп ролей в Exchange Online рекомендуется с помощью Центра администрирования Exchange. Используя Центр администрирования Exchange для управления группами ролей, можно добавлять и удалять роли и участников, создавать группы ролей и копировать их с помощью нескольких щелчков кнопкой мыши. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна (например, Создание группы ролей), показанные на рисунке ниже.

Диалоговое окно создания группы ролей в Центре администрирования Exchange

Диалоговое окно создания группы ролей в Центре администрирования Exchange

В системе Exchange Online есть несколько групп ролей, разделяющих разрешения на определенные административные области. Если эти группы ролей предоставляют разрешения, которые необходимы администраторам для управления организацией Exchange Online, то нужно только добавить администраторов в качестве участников соответствующих групп ролей. После этого администраторы смогут управлять функциями, которые относятся к данной группе ролей. Чтобы добавить или удалить участников группы ролей, откройте группу ролей в Центре администрирования Exchange и добавьте или удалите участников из списка. Список встроенных групп ролей см. в таблице "Встроенные группы ролей" в статье Группы ролей.

ВажноВажно!
Если администратор входит в несколько групп ролей, Exchange Online предоставляет ему все разрешения, предусмотренные группами ролей, участником которых он является.

Если ни одна из групп ролей в Exchange Online не содержит необходимых разрешений, вы можете при помощи Центра администрирования Exchange создать новую группу ролей и добавить в нее роли с нужными разрешениями. Для создания новой группы ролей выполните следующие действия.

  1. Выберите имя для группы ролей.

  2. Выберите роли, которые необходимо добавить в группу ролей.

  3. Добавьте участников в группу ролей.

  4. Сохраните группу ролей.

Создав группу ролей, ею можно управлять аналогично любой другой группе ролей.

Если существующая группа ролей имеет лишь некоторые из необходимых разрешений, ее можно скопировать и внести изменения, чтобы создать новую группу ролей. Можно скопировать существующую группу ролей и внести в нее изменения, не затрагивая исходную группу. В ходе копирования группы ролей можно добавить новое имя и описание, добавить или удалить роли из новой группы и добавить новых участников. Для создания или копирования группы ролей используется то же диалоговое окно, что показано на предыдущем рисунке.

Существующие группы ролей можно также изменять. Можно добавлять и удалять роли из существующих групп ролей, а также одновременно добавлять и удалять из них участников при помощи диалогового окна Центра администрирования Exchange, аналогичного показанному на предыдущем рисунке. Добавляя и удаляя роли из группы ролей, пользователь включает и выключает административные функции для участников этой группы.

ПримечаниеПримечание.
Хотя можно изменять состав ролей, назначаемых встроенным группам ролей, рекомендуется скопировать встроенную группу, изменить копию и затем добавить в нее участников.
Группы ролей администраторов организации и администраторов службы технической поддержки нельзя скопировать или изменить.

К началу

Для управления разрешениями, которые вы предоставляете конечным пользователям для управления их собственными почтовыми ящиками в Exchange Online, рекомендуется использовать Центр администрирования Exchange. Используя Центр администрирования Exchange для управления разрешениями конечных пользователей, можно добавлять и удалять роли, а также создавать политики назначения ролей с помощью нескольких щелчков кнопкой мыши. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна, такие как диалоговое окно Политика назначения ролей, показанное на рисунке ниже.

Диалоговое окно политики назначения ролей в Центре администрирования Exchange

Диалоговое окно политики назначения ролей в Центре администрирования Exchange

Exchange Online содержит политику назначения ролей по умолчанию. Эта политика позволяет пользователям, почтовые ящики которых связаны с ней, выполнять следующие задачи.

  • Вступать в группы рассылки, которые позволяют участникам управлять своим членством, или выходить из групп рассылки.

  • Просматривать и изменять основные параметры собственного почтового ящика, такие как правила папки "Входящие", поведение средства проверки орфографии, параметры нежелательной почты и устройства Microsoft ActiveSync.

  • Изменять свою контактную информацию, такую как рабочий адрес и номер телефона, номер мобильного телефона или пейджера.

  • Создавать, изменять и просматривать параметры текстовых сообщений.

  • Просматривать и изменять параметры голосовой почты.

  • Просматривать и изменять свои программы в marketplace.

  • Создавать групповые почтовые ящики и подключать их к спискам Microsoft SharePoint.

  • Создавать, изменять или просматривать настройки подписки на рассылку по электронной почте, такие как формат сообщений и значения для протокола по умолчанию.

Чтобы добавить или удалить разрешения из политики назначения ролей по умолчанию или какой-либо другой политики назначения ролей, можно использовать Центр администрирования Exchange. Соответствующее диалоговое окно аналогично показанному на предыдущем рисунке. Открыв политику назначения ролей в Центре администрирования Exchange, установите флажки рядом с ролями, которые вы хотите назначить этой политике, и снимите флажки рядом с ролями, которые необходимо удалить. Изменения, внесенные в политику назначения ролей, применяются к каждому связанному с ней почтовому ящику.

Чтобы назначить разные разрешения конечных пользователей разным типам пользователей организации, можно создать новые политики назначения ролей. Диалоговое окно для создания политики назначения ролей аналогично показанному на предыдущем рисунке. Можно указать новое имя для политики назначения ролей и затем выбрать роли, которые нужно назначить этой политике. Создав политику назначения ролей, вы можете связать ее с почтовыми ящиками при помощи Центра администрирования Exchange.

Чтобы изменить политику назначения ролей по умолчанию, используйте Командная консоль Exchange. После изменения все создаваемые почтовые ящики будут связываться с новой политикой назначения ролей по умолчанию, если таковая не была явно указана. Политика назначения ролей, связанная с существующими почтовыми ящиками, не изменяется при выборе новой политики назначения ролей по умолчанию.

ПримечаниеПримечание.
Если установить флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также устанавливаются. Если снять флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также снимаются.

К началу

В следующей таблице содержатся ссылки на темы, которые помогут вам больше узнать о разрешениях в Exchange Online и научиться управлять ими.

 

Раздел Описание

Общие сведения об управлении доступом на основе ролей

Сведения о каждом из компонентов RBAC и о том, как создать расширенные модели разрешений, когда групп ролей и ролей управления недостаточно.

Управление группами ролей

Настройка разрешений для администраторов и пользователей-специалистов Exchange Online с помощью групп ролей.

Управление участниками группы ролей

Добавление и удаление участников в группах ролей. Добавляя и удаляя участников в группах ролей, вы настраиваете полномочия для администрирования функций Exchange Online.

Управление политиками назначения ролей

Настройка доступа конечных пользователей к функциям их почтовых ящиков с использованием политик назначения ролей и выбор той из них, которая будет назначаться по умолчанию.

Изменение политики назначения для почтового ящика

Настройка применения политик назначения ролей к одному или нескольким почтовым ящикам.

Просмотр действующих разрешений

Сведения о пользователях, имеющих разрешения на администрирование функций Exchange Online.

Разрешения компонентов в Exchange Online

Дополнительные сведения о разрешениях, необходимых для управления функциями и службами Exchange Online.

 
Показ: