Rollenzuweisungsrichtlinien in Exchange Online
Eine Rollenzuweisungsrichtlinie ist eine Sammlung von einer oder mehreren Endbenutzerrollen, mit denen Benutzer ihre Postfacheinstellungen und Verteilergruppen in Exchange Online verwalten können. Endbenutzerrollen sind Teil des RBAC-Berechtigungsmodells (Role Based Access Control, rollenbasierte Zugriffssteuerung) in Exchange Online. Sie können verschiedenen Benutzern unterschiedliche Rollenzuweisungsrichtlinien zuweisen, um bestimmte Funktionen für die Selbstverwaltung in Exchange Online zuzulassen oder zu verhindern.
In Exchange Online ist eine standardmäßige Rollenzuweisungsrichtlinie namens "Standard-Rollenzuweisungsrichtlinie" durch den Postfachplan angegeben, der Benutzern zugewiesen wird, wenn deren Konto lizenziert ist. Weitere Informationen zu Postfachplänen finden Sie unter Postfachpläne in Exchange Online.
Rollenzuweisungsrichtlinien geben an, wie Endbenutzerrollen (im Gegensatz zu Verwaltungsrollen) Benutzern in Exchange Online zugewiesen werden. Berechtigungen können Benutzern mithilfe von Rollenzuweisungsrichtlinien auf unterschiedliche Weise zugewiesen werden:
Neue Benutzer:
- Ändern Sie die Endbenutzerrollen, die der Standard-Rollenzuweisungsrichtlinie zugewiesen sind.
- Erstellen Sie eine benutzerdefinierte Rollenzuweisungsrichtlinie, und legen Sie sie als Standardrichtlinie fest. Beachten Sie, dass diese Methode nur Postfächer betrifft, die Sie erstellen, ohne eine Rollenzuweisungsrichtlinie anzugeben oder eine Lizenz zuzuweisen (die Lizenz gibt den Postfachplan an, der die Rollenzuweisungsrichtlinie angibt).
- Geben Sie eine benutzerdefinierte Rollenzuweisungsrichtlinie im Postfachplan an. Weitere Informationen finden Sie unter Verwenden von Exchange Online PowerShell zum Ändern von Postfachplänen.
Vorhandene Benutzer:
- Weisen Sie dem Benutzer eine andere Lizenz zu. Dadurch werden die Einstellungen des unterschiedlichen Postfachplans angewendet, der die anzuwendende Rollenzuweisungsrichtlinie angibt.
- Postfächern eine benutzerdefinierte Rollenzuweisungsrichtlinie manuell zuweisen
Die verfügbaren Endbenutzerrollen, die Sie Postfachplänen zuweisen können, werden in der folgenden Tabelle beschrieben:
Rolle | Standardmäßig der Standard-Rollenzuweisungsrichtlinie zugewiesen? | Beschreibung |
---|---|---|
Eigene benutzerdefinierte Apps | Ja | Installieren Sie benutzerdefinierte Apps. |
Eigene Marketplace-Apps | Ja | Installieren Sie Marketplace-Apps. |
Eigene ReadWriteMailbox-Apps | Ja | Installieren Sie Apps mit ReadWriteMailbox-Berechtigungen. |
MyBaseOptions | Ja | Erforderlich, damit Benutzer über ihr eigenes Postfach auf Optionen in Outlook im Web zugreifen können. |
MyContactInformation | Ja | Bearbeiten Sie ihre Adresse und Telefonnummer in der globalen Adressliste (GAL). Diese Rolle enthält die folgenden untergeordneten Rollen:
Wenn Sie der Meinung sind, dass benutzer mit dieser Rolle zu viel Leistung erhalten, können Sie die Rolle aus der Rollenzuweisungsrichtlinie entfernen und eine oder mehrere der untergeordneten Rollen zuweisen. Anweisungen finden Sie im Abschnitt Hinzufügen oder Entfernen von Rollen aus einer Rollenzuweisungsrichtlinie in diesem Thema. |
MyDistributionGroupMembership | Ja | Beitreten oder Verlassen vorhandener Verteilergruppen (wenn die Gruppe so konfiguriert ist, dass Mitglieder der Gruppe beitreten oder diese verlassen können). |
MyDistributionGroups | Ja | Erstellen Sie neue Verteilergruppen, löschen Sie Gruppen, die sie besitzen, ändern Sie die Gruppen, die sie besitzen, und verwalten Sie die Gruppenmitgliedschaft für Gruppen, die sie besitzen. |
MyMailboxDelegation | Nein | Ermöglicht Benutzern das Erteilen von Sendeberechtigungen im Namen von anderen Benutzern für ihr Postfach. Nachrichten zeigen eindeutig den Absender im Feld Von (<Absender> im Namen von <Postfach>), aber die Antworten werden an das Postfach und nicht an den Absender übermittelt. |
MyMailSubscriptions | Ja | Verbundene Konten wurden im November 2018 aus Outlook im Web entfernt. Weitere Informationen finden Sie unter Verbundene Konten werden in Outlook im Web nicht mehr unterstützt. |
MyProfileInformation | Ja | Bearbeiten Sie den Vornamen, den zweiten Vornamen, den Nachnamen und den Anzeigenamen in der GAL. Diese Rolle enthält die folgenden untergeordneten Rollen:
Wenn Sie der Meinung sind, dass diese Rolle Benutzern zu viel Macht bietet, können Sie die Rolle aus der Rollenzuweisungsrichtlinie entfernen und eine der untergeordneten Rollen zuweisen. Anweisungen finden Sie im Abschnitt Hinzufügen oder Entfernen von Rollen aus einer Rollenzuweisungsrichtlinie in diesem Thema. |
MyRetentionPolicies | Ja | Ermöglicht Benutzern das Hinzufügen persönlicher Tags, die nicht Teil ihrer zugewiesenen Aufbewahrungsrichtlinie sind.* |
MyTeamMailboxes | Ja | Websitepostfächer wurden im September 2017 zugunsten von Microsoft 365-Gruppen eingestellt. Weitere Informationen finden Sie unter Verwenden von Microsoft 365-Gruppen anstelle von Websitepostfächern. |
MyTextMessaging | Ja | Aktivieren Sie SMS-Benachrichtigungen für Besprechungen und neue E-Mail-Nachrichten.* |
MyVoiceMail | Ja | Aktualisieren Sie ihre Voicemaileinstellungen.* |
*Dieses Feature ist nicht in allen Regionen oder Organisationen verfügbar.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit zum Abschließen der einzelnen Verfahren: Weniger als 5 Minuten
Die Verfahren in diesem Thema erfordern die Rollenverwaltungs-RBAC-Rolle in Exchange Online. In der Regel erhalten Sie diese Berechtigung über die Mitgliedschaft in der Rollengruppe Organisationsverwaltung. Weitere Informationen finden Sie unter Verwalten von Rollengruppen in Exchange Online.
Informationen zum Öffnen des Exchange Admin Centers (EAC) finden Sie unter Exchange Admin Center in Exchange Online. Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.
Änderungen an Berechtigungen werden wirksam, nachdem sich der Benutzer abgemeldet und sich erneut anmeldet.
Anzeigen von Rollen, die einer Rollenzuweisungsrichtlinie zugewiesen sind
Anzeigen von Rollen, die einer Rollenzuweisungsrichtlinie zugewiesen sind, mithilfe der Exchange-Verwaltungskonsole
Klicken Sie im EAC aufRollenadministratorrollen>. Alle Rollengruppen in Ihrer Organisation werden hier aufgelistet.
Wählen Sie eine Rollengruppe aus. Im Detailbereich werden der Name und die Beschreibung angezeigt, und fügen Sie die Berechtigungen der Rollengruppe hinzu.
Verwenden von Exchange Online PowerShell zum Anzeigen von Rollen, die einer Rollenzuweisungsrichtlinie zugewiesen sind
Verwenden Sie die folgende Syntax, um die Rollen anzuzeigen, die einer Rollenzuweisungsrichtlinie zugewiesen sind:
Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto
In diesem Beispiel werden die Rollen zurückgegeben, die der Richtlinie mit dem Namen Standardrollenzuweisungsrichtlinie zugewiesen sind.
Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ManagementRoleAssignment.
Hinweis: Führen Sie den folgenden Befehl aus, um eine Liste aller verfügbaren Endbenutzerrollen zurückzugeben:
Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent
Hinzufügen oder Entfernen von Rollen zu einer Rollenzuweisungsrichtlinie
Verwenden des Exchange-Verwaltungskonsoles zum Hinzufügen oder Entfernen von Rollen zu einer Rollenzuweisungsrichtlinie
Klicken Sie im Exchange-Verwaltungskonsole auf Rollen>Benutzerrollen, wählen Sie die Rollenzuweisungsrichtlinie aus, und klicken Sie dann auf die
Führen Sie im daraufhin geöffneten Fenster "Richtlinieneigenschaften" einen der folgenden Schritte aus:
Um eine Rolle hinzuzufügen, aktivieren Sie das Kontrollkästchen neben der Rolle.
Deaktivieren Sie das Kontrollkästchen, um eine bereits zugewiesene Rolle zu entfernen.
Wenn Sie ein Kontrollkästchen für eine Rolle mit untergeordneten Rollen aktivieren, werden auch die Kontrollkästchen der untergeordneten Rollen aktiviert. Wenn Sie das Kontrollkästchen der übergeordneten Rolle deaktivieren, werden auch die Kontrollkästchen für die untergeordneten Rollen deaktiviert. Sie können eine untergeordnete Rolle auswählen, indem Sie das Kontrollkästchen der übergeordneten Rolle deaktivieren und dann die einzelne untergeordnete Rolle auswählen.
Klicken Sie nach Abschluss des Vorgangs auf Speichern.
Verwenden von Exchange Online PowerShell zum Hinzufügen von Rollen zu einer Rollenzuweisungsrichtlinie
Durch das Hinzufügen einer Rolle zu einer Rollenzuweisungsrichtlinie wird eine neue Rollenzuweisung mit einem eindeutigen Namen erstellt, der eine Kombination aus den Namen der Rolle und der Rollenzuweisungsrichtlinie ist.
Verwenden Sie die folgende Syntax, um einer Rollenzuweisungsrichtlinie Rollen hinzuzufügen:
New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"
In diesem Beispiel wird die Rolle MyMailboxDelegation der Rollenzuweisungsrichtlinie namens Standardrollenzuweisungsrichtlinie hinzugefügt.
New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ManagementRoleAssignment.
Verwenden von Exchange Online PowerShell zum Entfernen von Rollen aus einer Rollenzuweisungsrichtlinie
Verwenden Sie das Verfahren im Abschnitt Exchange Online PowerShell zum Anzeigen von Rollen, die einer Rollenzuweisungsrichtlinie zugewiesen sind , weiter oben in diesem Thema, um den Namen der Rollenzuweisung für die Rolle zu finden, die Sie entfernen möchten (dies ist eine Kombination aus den Namen der Rolle und der Rollenzuweisungsrichtlinie).
Verwenden Sie die folgende Syntax, um die Rolle aus der Rollenzuweisungsrichtlinie zu entfernen:
Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"
In diesem Beispiel wird die Rolle MyDistributionGroups aus der Rollenzuweisungsrichtlinie namens Standardrollenzuweisungsrichtlinie entfernt.
Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-ManagementRoleAssignment.
Erstellen von Rollenzuweisungsrichtlinien
Verwenden des EAC zum Erstellen von Rollenzuweisungsrichtlinien
Wechseln Sie im Exchange-Verwaltungskonsole zuRollenadministratorrollen>, und klicken Sie dann auf Rollengruppe hinzufügen.
Klicken Sie im Fenster Rollengruppe hinzufügen auf Den Abschnitt Grundlagen einrichten , konfigurieren Sie die folgenden Einstellungen, und klicken Sie auf Weiter:
Name: Geben Sie einen eindeutigen Namen für die Rollengruppe ein.
Beschreibung: Geben Sie eine optionale Beschreibung für die Rollengruppe ein.
Wählen Sie die Rollen aus, die Sie der Richtlinie zuordnen möchten.
Wählen Sie im Abschnitt Berechtigungen hinzufügen die Rollen aus, und klicken Sie auf Weiter. Rollen definieren den Bereich der Aufgaben, für die die Mitglieder, die dieser Rollengruppe zugewiesen sind, die Berechtigung haben.
Wählen Sie im Abschnitt Administratoren zuweisen die Benutzer aus, die dieser Rollengruppe zugewiesen werden sollen, und klicken Sie auf Weiter. Sie verfügen über Berechtigungen zum Verwalten der rollen, die Sie zugewiesen haben.
Überprüfen Sie im Abschnitt Rollengruppe überprüfen und fertig stellen alle Details, und klicken Sie dann auf Rollengruppe hinzufügen.
Klicken Sie auf Fertig.
Verwenden von Exchange Online PowerShell zum Erstellen von Rollenzuweisungsrichtlinien
Verwenden Sie die folgende Syntax, um eine Rollenzuweisungsrichtlinie zu erstellen:
New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]
In diesem Beispiel wird eine neue Rollenzuweisungsrichtlinie namens Contoso Contractors erstellt, die die angegebenen Endbenutzerrollen enthält.
New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-RoleAssignmentPolicy.
Ändern von Rollenzuweisungsrichtlinien
Sie können das EAC oder Exchange PowerShell verwenden, um Rollen einer Rollenzuweisungsrichtlinie hinzuzufügen oder daraus zu entfernen.
Sie können exchange Online PowerShell nur verwenden, um die Standardrichtlinie für die Rollenzuweisung anzugeben , die auf neue Postfächer angewendet wird, denen beim Erstellen keine Lizenz oder Rollenzuweisungsrichtlinie zugewiesen ist.
Andernfalls können Sie im EAC oder in Exchange Online PowerShell nur den Namen und die Beschreibung der Rollenzuweisungsrichtlinie ändern.
Verwenden von Exchange Online PowerShell zum Angeben der Standardrichtlinie für die Rollenzuweisung
Verwenden Sie die folgende Syntax, um die Standardrichtlinie für die Rollenzuweisung anzugeben:
Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault
In diesem Beispiel wird Contoso-Benutzer als Standardrichtlinie für die Rollenzuweisung konfiguriert.
Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault
Hinweis: Der IsDefault-Schalter ist auch für die Cmdlets New-RoleAssignmentPolicy verfügbar.
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-RoleAssignmentPolicy.
Entfernen von Rollenzuweisungsrichtlinien
Sie können die aktuell als Standard zugewiesene Rollenzuweisungsrichtlinie nicht entfernen. Sie müssen zunächst eine andere Rollenzuweisungsrichtlinie als Standard angeben , bevor Sie die Richtlinie löschen können.
Sie können eine Postfächern zugewiesene Rollenzuweisungsrichtlinie nicht entfernen. Verwenden Sie die im Abschnitt Verwenden von Exchange Online PowerShell zum Ändern von Rollenzuweisungsrichtlinienzuweisungen für Postfächer beschriebenen Verfahren, um die Rollenzuweisungsrichtlinie zu ersetzen, die Postfächern zugewiesen ist.
Verwenden des EAC zum Entfernen von Rollenzuweisungsrichtlinien
Wechseln Sie im EAC zu Rollen>Administratorrollen.
Wählen Sie die Rollengruppe aus, und klicken Sie auf Löschen.
Klicken Sie im Bestätigungsfenster auf Bestätigen .
Verwenden von Exchange Online PowerShell zum Entfernen von Rollenzuweisungsrichtlinien
Verwenden Sie die folgende Syntax, um eine Rollenzuweisungsrichtlinie zu entfernen:
Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"
In diesem Beispiel wird die Rollenzuweisungsrichtlinie mit dem Namen Contoso Managers entfernt.
Remove-RoleAssignmentPolicy -Identity "Contoso Managers"
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-RoleAssignmentPolicy.
Anzeigen von Richtlinienzuweisungen für Rollenzuweisungen für Postfächer
Verwenden des Exchange-Verwaltungskonsoles zum Anzeigen von Rollenzuweisungsrichtlinienzuweisungen für Postfächer
Wechseln Sie im EAC zu Empfänger Postfächer>, wählen Sie das Postfach aus, und klicken Sie auf die.
Klicken Sie im daraufhin geöffneten Fenster mit den Postfacheigenschaften auf Postfachfeatures. Die Rollenzuweisungsrichtlinie wird im Feld Rollenzuweisungsrichtlinie angezeigt.
Klicken Sie nach Abschluss des Vorgangs auf Speichern.
Verwenden von Exchange Online PowerShell zum Anzeigen von Rollenzuweisungsrichtlinienzuweisungen für Postfächer
Verwenden Sie die folgende Syntax, um die Rollenzuweisungsrichtlinien für ein bestimmtes Postfach anzuzeigen:
Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy
In diesem Beispiel wird die Rollenzuweisungsrichtlinie für das Postfach namens Pedro Pizarro zurückgegeben.
Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy
Verwenden Sie die folgende Syntax, um alle Postfächer zurückzugeben, denen eine bestimmte Rollenzuweisungsrichtlinie zugewiesen ist:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}
In diesem Beispiel werden alle Postfächer zurückgegeben, denen die Rollenzuweisungsrichtlinie "Contoso Managers" zugewiesen ist.
$Mgrs = Get-Mailbox -ResultSize unlimited
$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}
Ändern von Richtlinienzuweisungen für Rollenzuweisungen in Postfächern
Einem Postfach kann nur eine Rollenzuweisungsrichtlinie zugewiesen werden. Die Rollenzuweisungsrichtlinie, die Sie dem Postfach zuweisen, ersetzt die vorhandene zugewiesene Rollenzuweisungsrichtlinie.
Verwenden des Exchange-Verwaltungskonsoles zum Ändern von Rollenzuweisungsrichtlinienzuweisungen für Postfächer
Klicken Sie im EAC aufEmpfängerpostfächer>, und führen Sie einen der folgenden Schritte aus:
Einzelne Postfächer: Wählen Sie das Postfach > aus, klicken Sie auf die > Klicken Sie im geöffneten > Fenster auf Postfachfeatures auf das Dropdownmenü neben Rollenzuweisungsrichtlinie> wählen Sie eine neue Rollenzuweisungsrichtlinie > aus, klicken Sie auf Speichern.
Mehrere Postfächer: Wählen Sie mehrere Postfächer desselben Typs (z. B. Benutzer) aus, indem Sie ein Postfach auswählen, die UMSCHALTTASTE gedrückt halten und ein anderes Postfach weiter unten in der Liste auswählen, oder indem Sie die STRG-TASTE gedrückt halten, während Sie jedes Postfach auswählen. Klicken Sie im Detailbereich (jetzt mit dem Titel Massenbearbeitung) auf Weitere Optionen> auf Aktualisieren. Wählen Sie im Abschnitt Rollenzuweisungsrichtlinie die Rollenzuweisungsrichtlinie im daraufhin angezeigten > Fenster aus, und klicken Sie auf Speichern.
Verwenden von Exchange Online PowerShell zum Ändern von Rollenzuweisungsrichtlinienzuweisungen für Postfächer
Verwenden Sie die folgende Syntax, um die Rollenzuweisungsrichtlinienzuweisung für ein bestimmtes Postfach zu ändern:
Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
In diesem Beispiel wird die Rollenzuweisungsrichtlinie Contoso Managers auf das Postfach mit dem Namen Pedro Pizarro angewendet.
Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
Verwenden Sie die folgende Syntax, um die Zuweisung für alle Postfächer zu ändern, denen eine bestimmte Rollenzuweisungsrichtlinie zugewiesen ist:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'
In diesem Beispiel wird die Rollenzuweisungsrichtlinie für alle Postfächer, denen derzeit die Standardrollenzuweisungsrichtlinie zugewiesen ist, von Standardrollenzuweisungsrichtlinie in Contoso Staff geändert.
$Users = Get-Mailbox -ResultSize unlimited
$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'