Verwalten von Rollengruppen in EOP als eigenständige Lösung

In eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer können Sie das Exchange Admin Center (EAC) verwenden, um Benutzer zu Rollengruppen hinzuzufügen. Durch das Hinzufügen eines Benutzers zu einer Rollengruppe erhält der Benutzer Berechtigungen zum Ausführen bestimmter Administratoraufgaben. Sie können auch Benutzer aus Rollengruppen entfernen.

Weitere Informationen zu Rollen und Rollengruppen finden Sie unter Berechtigungen in eigenständigem EOP.

Was sollten Sie wissen, bevor Sie beginnen?

• Informationen zum Öffnen des Exchange Admin Centers (EAC) finden Sie unter Exchange Admin Center in eigenständigem EOP.

• Informationen zum Öffnen der eigenständigen EOP PowerShell finden Sie unter Herstellen einer Verbindung mit Exchange Online Protection PowerShell.

• Ihnen müssen Berechtigungen in Exchange Online Protection zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Insbesondere benötigen Sie die Rolle "Rollenverwaltung" , die standardmäßig der Rollengruppe "Organisationsverwaltung " zugewiesen ist. Weitere Informationen finden Sie unter Berechtigungen in eigenständigem EOP und Verwenden des EAC ändern der Liste der Mitglieder in Rollengruppen.

• Informationen zu Tastenkombinationen, die für die Verfahren in diesem Artikel gelten können, finden Sie unter Tastenkombinationen für das Exchange Admin Center in Exchange Online.

Tipp

Liegt ein Problem vor? Bitten Sie im Exchange Online Protection-Forum um Hilfe.

Verwenden des EAC zum Verwalten von Rollengruppen

Verwenden des Exchange-Verwaltungskonsoles zum Anzeigen von Rollengruppen

1. Wechseln Sie im EAC zu Berechtigungen>Admin Rollen. Alle Rollengruppen in Ihrer Organisation werden hier aufgelistet.

2. Wählen Sie eine Rollengruppe aus. Im Detailbereich werden der Name, die Beschreibung, die zugewiesenen Rollen und die Verwaltet von der Rollengruppe angezeigt. Sie können diese Informationen auch anzeigen, indem Sie auf klicken.

Verwenden des Exchange-Verwaltungskonsoles zum Erstellen von Rollengruppen

Wenn Sie eine neue Rollengruppe erstellen, können Sie alle Einstellungen selbst konfigurieren (während der Erstellung der Gruppe oder danach). Alternativ können Sie eine vorhandene Rollengruppe kopieren und ändern.

1. Wechseln Sie im EAC zu Berechtigungen>Admin Rollen, und führen Sie dann einen der folgenden Schritte aus:

   • Manuelles Erstellen einer neuen Rollengruppe: Klicken Sie auf .

   • Kopieren einer vorhandenen Rollengruppe: Wählen Sie die Rollengruppe aus, die Sie kopieren möchten, und klicken Sie dann auf

2. Konfigurieren Sie im angezeigten Fenster Neue Rollengruppe die folgenden Einstellungen:

   • Name: Geben Sie einen eindeutigen Namen für die Rollengruppe ein.

   • Beschreibung: Geben Sie eine optionale Beschreibung für die Rollengruppe ein.

   • Rollen: Klicken Sie auf Auf Entfernen Um die Rollen auszuwählen oder zu ändern, die der Rollengruppe zugewiesen sind.

   • Mitglieder: Klicken Sie auf oder, um die Rollengruppenmitgliedschaft zu ändern.

3. Wenn Sie fertig sind, klicken Sie auf Speichern , um die Rollengruppe zu erstellen.

Verwenden des Exchange-Verwaltungskonsoles zum Ändern von Rollengruppen

Wechseln Sie im Exchange-Verwaltungskonsole zu Berechtigungen>Admin Rollen, wählen Sie die Rollengruppe aus, die Sie ändern möchten, und klicken Sie dann auf

Die gleichen Optionen sind verfügbar, wenn Sie Rollengruppen ändern, wie beim Erstellen von Rollengruppen. Sie haben folgende Möglichkeiten:

• Ändern Sie den Namen und die Beschreibung.

• Hinzufügen und Entfernen von Verwaltungsrollen (Erstellen oder Entfernen von Rollenzuweisungen).

• Fallbenutzer hinzufügen und entfernen

Hinweis: Einige Rollengruppen (z. B. Organisationsverwaltung) schränken die Rollen ein, die Sie aus der Gruppe entfernen können.

Ändern der Liste der Mitglieder in Rollengruppen mithilfe des EAC

1. Wechseln Sie im Exchange-Verwaltungskonsole zu Berechtigungen>Admin Rollen, wählen Sie die Rollengruppe aus, die Sie ändern möchten, und klicken Sie dann auf .

2. Führen Sie auf der daraufhin geöffneten Eigenschaftenseite der Rollengruppe im Abschnitt Mitglieder einen der folgenden Schritte aus:

   • Klicken Sie auf Symbol hinzufügen. Suchen Sie auf der angezeigten Seite den Benutzer, den wou hinzufügen möchte, und klicken Sie dann auf hinzufügen ->. Wählen Sie Benutzer aus, und klicken Sie auf Hinzufügen –> oft nach Bedarf. Klicken Sie nach Abschluss des Vorgangs auf OK.

   • Wählen Sie die Benutzer aus, die Sie entfernen möchten, und klicken Sie dann auf .

3. Klicken Sie nach Abschluss des Vorgangs auf Speichern.

   Hinweis

   Nachdem Sie Mitglieder hinzugefügt oder aus der Rollengruppe entfernt haben, müssen sich die betroffenen Benutzer möglicherweise abmelden und dann erneut anmelden, um die Änderung ihrer Administratorrechten zu sehen.

Verwenden des EAC zum Entfernen von Rollengruppen

Sie können integrierte Rollengruppen nicht entfernen, aber Sie können benutzerdefinierte Rollengruppen entfernen, die Sie erstellt haben.

1. Wechseln Sie im EAC zu Berechtigungen>Admin Rollen.

2. Wählen Sie die Rollengruppe aus, die Sie entfernen möchten, und klicken Sie dann auf .

3. Klicken Sie im angezeigten Bestätigungsfenster auf Ja .

Verwenden von PowerShell zum Verwalten von Rollengruppen

Verwenden von eigenständiger EOP PowerShell zum Anzeigen von Rollengruppen

Verwenden Sie die folgende Syntax, um eine Rollengruppe anzuzeigen:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

In diesem Beispiel wird eine Zusammenfassungsliste aller Rollengruppen zurückgegeben.

Get-RoleGroup

In diesem Beispiel werden ausführliche Informationen für die Rollengruppe empfängeradministratoren zurückgegeben.

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

In diesem Beispiel werden alle Rollengruppen zurückgegeben, in denen der Benutzer Julia Mitglied ist. Sie müssen den DistinguishedName -Wert (DN) für Julia verwenden, den Sie finden, indem Sie den Befehl ausführen: Get-User -Identity Julia | Format-List DistinguishedName.

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-RoleGroup.

Verwenden von eigenständiger EOP PowerShell zum Erstellen von Rollengruppen

Wenn Sie eine neue Rollengruppe erstellen, können Sie alle Einstellungen manuell konfigurieren (während der Erstellung der Gruppe oder danach). Alternativ können Sie eine vorhandene Rollengruppe kopieren und ändern.

• Verwenden Sie die folgende Syntax, um manuell eine neue Rollengruppe zu erstellen:

  New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...>
  

  • Der Roles-Parameter gibt die Verwaltungsrollen an, die der Rollengruppe zugewiesen werden sollen, indem die folgende Syntax verwendet wird "Role1","Role1",..."RoleN". Sie können die verfügbaren Rollen mit dem Cmdlet Get-ManagementRole anzeigen.

  • Der Members-Parameter gibt die Mitglieder der Rollengruppe mithilfe der folgenden Syntax an: "Member1","Member2",..."MemberN". Sie können Benutzer, Mail-aktivierte universelle Sicherheitsgruppen (USGs) oder andere Rollengruppen (Sicherheitsprinzipale) angeben.

  In diesem Beispiel wird eine neue Rollengruppe mit dem Namen "Eingeschränkte Empfängerverwaltung" mit den folgenden Einstellungen erstellt:

  • Der Rollengruppe wird die Rolle "Mail Recipients" zugewiesen.

  • Die Benutzer Kim und Martin werden als Mitglieder hinzugefügt.

  New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients" -Members "Kim","Martin"
  

• Führen Sie die folgenden Schritte aus, um eine vorhandene Rollengruppe zu kopieren:

  1. Speichern Sie die Rollengruppe, die Sie kopieren wollen, mithilfe der folgenden Syntax in einer Variablen:

     $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
     

  2. Erstellen Sie die neue Rollengruppe mit der folgenden Syntax:

     New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>]
     

     Der Members-Parameter gibt die Mitglieder der Rollengruppe mithilfe der folgenden Syntax an: "Member1","Member2",..."MemberN". Sie können Benutzer, Mail-aktivierte universelle Sicherheitsgruppen (USGs) oder andere Rollengruppen (Sicherheitsprinzipale) angeben.

     In diesem Beispiel wird die Rollengruppe "Organisationsverwaltung" in die neue Rollengruppe mit dem Namen "Eingeschränkte Organisationsverwaltung" kopiert. Mitglieder der Rollengruppe sind Isabelle, Carter und Lukas.

     $RoleGroup = Get-RoleGroup "Organization Management"
     New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas"
     

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-RoleGroup.

Verwenden von eigenständigem EOP PowerShell: Ändern der Liste der Mitglieder in Rollengruppen

• Mit den Cmdlets Add-RoleGroupMember und Remove-RoleGroupMember werden einzelne Mitglieder einzeln hinzugefügt oder entfernt. Das Cmdlet Update-RoleGroupMember kann die vorhandene Liste der Mitglieder ersetzen oder ändern.

• Die Mitglieder einer Rollengruppe können Benutzer, E-Mail-aktivierte universelle Sicherheitsgruppen (USGs) oder andere Rollengruppen (Sicherheitsprinzipale) sein.

Verwenden Sie die folgende Syntax, um die Mitglieder einer Rollengruppe zu ändern:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>

• Verwenden Sie die folgende Syntax, um die vorhandene Liste der Member durch die von Ihnen angegebenen Werte zu ersetzen : "Member1","Member2",..."MemberN".

• Verwenden Sie die folgende Syntax, um die vorhandene Liste von Membern selektiv zu ändern : @{Add="Member1","Member2"...; Remove="Member3","Member4"...}.

In diesem Beispiel werden alle aktuellen Mitglieder der Helpdesk-Rollengruppe durch die angegebenen Benutzer ersetzt.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

In diesem Beispiel wird Daigoro Akai hinzugefügt und Valeria Barrio aus der Liste der Mitglieder der Helpdesk-Rollengruppe entfernt.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Update-RoleGroupMember.

Verwenden von eigenständiger EOP PowerShell zum Entfernen von Rollengruppen

Sie können integrierte Rollengruppen nicht entfernen, aber Sie können benutzerdefinierte Rollengruppen entfernen, die Sie erstellt haben.

Verwenden Sie die folgende Syntax, um eine benutzerdefinierte Rollengruppe zu entfernen:

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

In diesem Beispiel wird die Rollengruppe Trainingsadministratoren entfernt.

Remove-RoleGroup -Identity "Training Administrators"

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-RoleGroup.

Wie können Sie feststellen, dass diese Verfahren erfolgreich waren?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie eine Rollengruppe erfolgreich kopiert haben:

• Wechseln Sie im Exchange-Verwaltungskonsole zu Berechtigungen>Admin Rollen, und überprüfen Sie, ob die Rollengruppe aufgelistet (oder nicht aufgeführt) ist. Wählen Sie die Rollengruppe aus, und überprüfen Sie die Einstellungen im Detailbereich, oder klicken Sie auf um die Einstellungen zu überprüfen.

• Ersetzen Sie <in Exchange Online PowerShell den Rollengruppennamen> durch den Namen der Rollengruppe, und führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Rollengruppe vorhanden ist (oder nicht vorhanden ist), und überprüfen Sie die Einstellungen:

  Get-RoleGroup -Identity "<Role Group Name>" | Format-List