Partager via


Stratégies d’attribution de rôle dans Exchange Online

Une stratégie d’attribution de rôle est une collection d’un ou plusieurs rôles d’utilisateur final qui permettent aux utilisateurs de gérer leurs paramètres de boîte aux lettres et leurs groupes de distribution dans Exchange Online. Les rôles des utilisateurs finaux font partie du modèle d’autorisations de contrôle d’accès en fonction du rôle (RBAC) dans Exchange Online. Vous pouvez attribuer différentes stratégies d’attribution de rôle à différents utilisateurs pour autoriser ou empêcher des fonctionnalités d’autogestion spécifiques dans Exchange Online.

Dans Exchange Online, une stratégie d’attribution de rôle par défaut appelée stratégie d’attribution de rôle par défaut est spécifiée par la stratégie de boîte aux lettres qui est attribuée aux utilisateurs lorsque leur compte est concédé sous licence. Pour plus d’informations sur les plans de boîte aux lettres, consultez Plans de boîte aux lettres dans Exchange Online.

Les stratégies d’attribution de rôle sont la façon dont les rôles d’utilisateur final (par opposition aux rôles de gestion) sont attribués aux utilisateurs dans Exchange Online. Il existe différents moyens d'utiliser les stratégies d'attribution de rôle pour attribuer des autorisations aux utilisateurs :

  • Nouveaux utilisateurs :

    • Modifiez les rôles d'utilisateur final attribués à la stratégie d'attribution de rôle par défaut.
    • Créer une stratégie d'attribution de rôle personnalisée et la définir en tant que stratégie par défaut. Notez que cette méthode affecte uniquement les boîtes aux lettres que vous créez sans spécifier de stratégie d’attribution de rôle ni attribuer de licence (la licence spécifie le plan de boîte aux lettres, qui spécifie la stratégie d’attribution de rôle).
    • Spécifier une stratégie d’attribution de rôle personnalisée dans le plan de boîte aux lettres. Pour plus d’informations, consultez Utiliser Exchange Online PowerShell pour modifier les plans de boîte aux lettres.
  • Utilisateurs existants :

    • Attribuer une autre licence à l’utilisateur. Cela applique les paramètres du plan de boîte aux lettres différent, qui spécifie la stratégie d’attribution de rôle à appliquer.
    • Affecter manuellement une stratégie d’attribution de rôle personnalisée aux boîtes aux lettres.

Rôle, stratégie d’attribution de rôle, relation de boîte aux lettres.

Les rôles d’utilisateur final disponibles que vous pouvez attribuer aux plans de boîte aux lettres sont décrits dans le tableau suivant :

Role Affecté à la stratégie d’attribution de rôle par défaut par défaut ? Description
Mes applications personnalisées Oui Installez des applications personnalisées.
My Marketplace Apps Oui Installez des applications de la Place de marché.
Mes applications ReadWriteMailbox Oui Installez des applications avec les autorisations ReadWriteMailbox.
MyBaseOptions Oui Obligatoire pour que les utilisateurs accèdent aux options dans Outlook sur le web à partir de leur propre boîte aux lettres.
MyContactInformation Oui Modifiez leur adresse et leur numéro de téléphone dans la liste d’adresses globale (GAL).

Ce rôle contient les rôles enfants suivants :

  • MyAddressInformation : modifiez tous les éléments de leur adresse postale, numéro de téléphone professionnel et numéro de télécopie.
  • MyMobileInformation : modifiez leurs numéros de téléphone mobile et de radiomessagerie.
  • MyPersonalInformation : modifiez leur numéro de téléphone et leur page web.

Si vous pensez que ce rôle donne trop de pouvoir aux utilisateurs, vous pouvez supprimer le rôle de la stratégie d’attribution de rôle et attribuer un ou plusieurs rôles enfants. Pour obtenir des instructions, consultez la section Ajouter ou supprimer des rôles d’une stratégie d’attribution de rôle dans cette rubrique.

MyDistributionGroupMembership Oui Rejoindre ou quitter des groupes de distribution existants (si le groupe est configuré pour permettre aux membres de rejoindre ou de quitter le groupe).
MyDistributionGroups Oui Créez des groupes de distribution, supprimez les groupes dont ils sont propriétaires, modifiez les groupes dont ils sont propriétaires et gérez l’appartenance aux groupes dont ils sont propriétaires.
MyMailboxDelegation Non Permet aux utilisateurs d’accorder des autorisations d’envoi pour le compte d’autres utilisateurs sur leur boîte aux lettres. Les messages affichent clairement l’expéditeur dans le champ De (<Expéditeur> au nom de la <boîte aux lettres>), mais les réponses sont remises à la boîte aux lettres, et non à l’expéditeur.
MyMailSubscriptions Oui Les comptes connectés ont été supprimés d’Outlook sur le web en novembre 2018. Pour plus d’informations, voir Les comptes connectés ne sont plus pris en charge dans Outlook sur le web.
MyProfileInformation Oui Modifiez leur prénom, l’initiale du deuxième prénom, le nom et le nom d’affichage dans la liste d’adresses globale.

Ce rôle contient les rôles enfants suivants :

  • MyDisplayName : modifiez leur nom d’affichage.
  • MyName : modifiez leur prénom, l’initiale du deuxième prénom, le nom et la propriété Notes.

Si vous pensez que ce rôle donne trop de pouvoir aux utilisateurs, vous pouvez supprimer le rôle de la stratégie d’attribution de rôle et attribuer l’un des rôles enfants. Pour obtenir des instructions, consultez la section Ajouter ou supprimer des rôles d’une stratégie d’attribution de rôle dans cette rubrique.

MyRetentionPolicies Oui Permet aux utilisateurs d’ajouter des balises personnelles qui ne font pas partie de leur stratégie de rétention attribuée.*
MyTeamMailboxes Oui Les boîtes aux lettres de site ont été abandonnées en faveur des groupes Microsoft 365 en septembre 2017. Pour plus d’informations, consultez Utiliser des groupes Microsoft 365 au lieu de boîtes aux lettres de site.
MyTextMessaging Oui Activez les notifications par SMS pour les réunions et les nouveaux messages électroniques.*
MyVoiceMail Oui Mettez à jour leurs paramètres de messagerie vocale.*

*Cette fonctionnalité n’est pas disponible dans toutes les régions ou organisations.

Ce qu'il faut savoir avant de commencer

  • Durée d’exécution estimée de chaque procédure : moins de 5 minutes

  • Les procédures décrites dans cette rubrique nécessitent le rôle RBAC gestion des rôles dans Exchange Online. En règle générale, vous obtenez cette autorisation via l’appartenance au groupe de rôles Gestion de l’organisation. Pour plus d’informations, voir Gérer les groupes de rôles dans Exchange Online.

  • Pour ouvrir le Centre d’administration Exchange (EAC), consultez Centre d’administration Exchange dans Exchange Online. Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

  • Les modifications apportées aux autorisations prennent effet une fois que l’utilisateur s’est déconnecté et s’est reconnecté.

Afficher les rôles attribués à une stratégie d’attribution de rôle

Utiliser le Centre d’administration Exchange pour afficher les rôles attribués à une stratégie d’attribution de rôle

  1. Dans le CENTRE d’administration Exchange, cliquez sur Rôles>Rôles d’administrateur. Tous les groupes de rôles de votre organisation sont répertoriés ici.

  2. Sélectionnez un groupe de rôles. Le volet d’informations affiche le nom, la description et ajoutez les autorisations du groupe de rôles.

Utiliser Exchange Online PowerShell pour afficher les rôles attribués à une stratégie d’attribution de rôle

Pour afficher les rôles attribués à une stratégie d’attribution de rôle, utilisez la syntaxe suivante :

Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto

Cet exemple retourne les rôles attribués à la stratégie nommée Stratégie d’attribution de rôle par défaut.

Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ManagementRoleAssignment.

Remarque : pour renvoyer la liste de tous les rôles d’utilisateur final disponibles, exécutez la commande suivante :

Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent

Ajouter ou supprimer des rôles d’une stratégie d’attribution de rôle

Utiliser le Centre d’administration Exchange pour ajouter ou supprimer des rôles d’une stratégie d’attribution de rôle

  1. Dans le CENTRE d’administration Exchange, cliquez sur Rôles>Rôles d’utilisateur, sélectionnez la stratégie d’attribution de rôle, puis cliquez sur le bouton Modifier.

  2. Dans la fenêtre Propriétés de la stratégie qui s’ouvre, effectuez l’une des opérations suivantes :

    • Pour ajouter un rôle, cochez la case en regard du rôle.

    • Pour supprimer un rôle déjà attribué, désactivez la case à cocher.

    Si vous activez la case à cocher pour un rôle contenant des rôles enfants, les cases à cocher de ces derniers sont également activées. Si vous désactivez la case à cocher du rôle parent, les cases à cocher des rôles enfants sont également désactivées. Vous pouvez sélectionner un rôle enfant en désactivant la case à cocher du rôle parent, puis en sélectionnant le rôle enfant individuel.

  3. Lorsque vous avez terminé, cliquez sur Enregistrer.

Utiliser Exchange Online PowerShell pour ajouter des rôles à une stratégie d’attribution de rôle

L’ajout d’un rôle à une stratégie d’attribution de rôle crée une attribution de rôle avec un nom unique qui est une combinaison des noms du rôle et de la stratégie d’attribution de rôle.

Pour ajouter des rôles à une stratégie d’attribution de rôle, utilisez la syntaxe suivante :

New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"

Cet exemple ajoute le rôle MyMailboxDelegation à la stratégie d’attribution de rôle nommée Stratégie d’attribution de rôle par défaut.

New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-ManagementRoleAssignment.

Utiliser Exchange Online PowerShell pour supprimer des rôles d’une stratégie d’attribution de rôle

  1. Utilisez la procédure de la section Utiliser Exchange Online PowerShell pour afficher les rôles attribués à une stratégie d’attribution de rôle plus haut dans cette rubrique pour rechercher le nom de l’attribution de rôle pour le rôle que vous souhaitez supprimer (il s’agit d’une combinaison des noms du rôle et de la stratégie d’attribution de rôle).

  2. Pour supprimer le rôle de la stratégie d’attribution de rôle, utilisez la syntaxe suivante :

    Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"
    

    Cet exemple supprime le rôle MyDistributionGroups de la stratégie d’attribution de rôle nommée Stratégie d’attribution de rôle par défaut.

    Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"
    

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Remove-ManagementRoleAssignment.

Créer des stratégies d’attribution de rôle

Utiliser le Centre d’administration Exchange pour créer des stratégies d’attribution de rôle

  1. Dans le CAE, accédez à Rôles>Rôles d’administrateur , puis cliquez sur Ajouter un groupe de rôles.

  2. Dans la fenêtre Ajouter un groupe de rôles , cliquez sur la section Configurer les informations de base , configurez les paramètres suivants, puis cliquez sur Suivant :

    • Nom : entrez un nom unique pour le groupe de rôles.

    • Description : entrez une description facultative pour le groupe de rôles.

    • Sélectionnez les rôles que vous voulez attribuer à la stratégie.

  3. Dans la section Ajouter des autorisations , sélectionnez les rôles, puis cliquez sur Suivant. Les rôles définissent l’étendue des tâches que les membres affectés à ce groupe de rôles sont autorisés à gérer.

  4. Dans la section Affecter des administrateurs , sélectionnez les utilisateurs à attribuer à ce groupe de rôles, puis cliquez sur Suivant. Ils auront les autorisations nécessaires pour gérer les rôles que vous avez attribués.

  5. Dans la section Vérifier le groupe de rôles et terminer , vérifiez tous les détails, puis cliquez sur Ajouter un groupe de rôles.

  6. Cliquez sur Terminé.

Utiliser Exchange Online PowerShell pour créer des stratégies d’attribution de rôle

Pour créer une stratégie d’attribution de rôle, utilisez la syntaxe suivante :

New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]

Cet exemple crée une stratégie d’attribution de rôle nommée Contoso Contractors qui inclut les rôles d’utilisateur final spécifiés.

New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-RoleAssignmentPolicy.

Modifier les stratégies d’attribution de rôle

Vous pouvez utiliser le CAE ou Exchange PowerShell pour ajouter ou supprimer des rôles d’une stratégie d’attribution de rôle.

Vous pouvez uniquement utiliser Exchange Online PowerShell pour spécifier la stratégie d’attribution de rôle par défaut qui est appliquée aux nouvelles boîtes aux lettres auxquelles aucune licence ou stratégie d’attribution de rôle n’est affectée lorsqu’elles sont créées.

Sinon, tout ce que vous pouvez faire dans le CAE ou Exchange Online PowerShell est de modifier le nom et la description de la stratégie d’attribution de rôle.

Utiliser Exchange Online PowerShell pour spécifier la stratégie d’attribution de rôle par défaut

Pour spécifier la stratégie d’attribution de rôle par défaut, utilisez la syntaxe suivante :

Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault

Cet exemple configure Contoso Users comme stratégie d’attribution de rôle par défaut.

Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault

Remarque : le commutateur IsDefault est également disponible sur les applets de commande New-RoleAssignmentPolicy .

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Set-RoleAssignmentPolicy.

Supprimer les stratégies d’attribution de rôle

Vous ne pouvez pas supprimer la stratégie d’attribution de rôle actuellement spécifiée comme stratégie par défaut. Vous devez d’abord spécifier une autre stratégie d’attribution de rôle par défaut avant de pouvoir supprimer la stratégie.

Vous ne pouvez pas supprimer une stratégie d’attribution de rôle attribuée aux boîtes aux lettres. Utilisez les procédures décrites dans la section Utiliser Exchange Online PowerShell pour modifier les attributions de stratégie d’attribution de rôle sur les boîtes aux lettres pour remplacer la stratégie d’attribution de rôle affectée aux boîtes aux lettres.

Utiliser le Centre d’administration Exchange pour supprimer les stratégies d’attribution de rôle

  1. Dans le CAE, accédez à Rôles>Rôles d’administrateur.

  2. Sélectionnez le groupe de rôles, puis cliquez sur Supprimer.

  3. Cliquez sur Confirmer dans la fenêtre de confirmation.

Utiliser Exchange Online PowerShell pour supprimer des stratégies d’attribution de rôle

Pour supprimer une stratégie d’attribution de rôle, utilisez la syntaxe suivante :

Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"

Cet exemple supprime la stratégie d’attribution de rôle nommée Contoso Managers.

Remove-RoleAssignmentPolicy -Identity "Contoso Managers"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Remove-RoleAssignmentPolicy.

Afficher les attributions de stratégie d’attribution de rôle sur les boîtes aux lettres

Utiliser le Centre d’administration Exchange pour afficher les attributions de stratégie d’attribution de rôle sur les boîtes aux lettres

  1. Dans le Centre d’administration Exchange, accédez àBoîtes aux lettresdestinataires>, sélectionnez la boîte aux lettres, puis cliquez sur le boutonModifier.

  2. Dans la fenêtre propriétés de boîte aux lettres qui s’ouvre, cliquez sur Fonctionnalités de boîte aux lettres. La stratégie d’attribution de rôle est affichée dans le champ Stratégie d’attribution de rôle.

  3. Lorsque vous avez terminé, cliquez sur Enregistrer.

Utiliser Exchange Online PowerShell pour afficher les attributions de stratégie d’attribution de rôle sur les boîtes aux lettres

Pour afficher l’attribution de stratégie d’attribution de rôle sur une boîte aux lettres spécifique, utilisez la syntaxe suivante :

Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy

Cet exemple retourne la stratégie d’attribution de rôle pour la boîte aux lettres nommée Pedro Pizarro.

Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy

Pour retourner toutes les boîtes aux lettres auxquelles une stratégie d’attribution de rôle spécifique est affectée, utilisez la syntaxe suivante :

$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}

Cet exemple retourne toutes les boîtes aux lettres auxquelles la stratégie d’attribution de rôle nommée Contoso Managers est affectée.

$Mgrs = Get-Mailbox -ResultSize unlimited
$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}

Modifier les attributions de stratégie d’attribution de rôle sur les boîtes aux lettres

Une boîte aux lettres peut avoir uniquement une stratégie d'attribution de rôle attribuée. La stratégie d’attribution de rôle que vous affectez à la boîte aux lettres remplace la stratégie d’attribution de rôle existante qui est affectée.

Utiliser le Centre d’administration Exchange pour modifier les attributions de stratégie d’attribution de rôle sur les boîtes aux lettres

Dans le Centre d’administration Exchange, cliquez surBoîtes aux lettresdestinataires>, puis effectuez l’une des étapes suivantes :

  • Boîtes aux lettres individuelles : sélectionnez la boîte aux lettres>, cliquez sur le bouton Modifier.> Cliquez sur Fonctionnalités de boîte aux lettres dans la fenêtre qui s’ouvre>, cliquez sur la liste déroulante en regard de Stratégie> d’attribution de rôle, sélectionnez une nouvelle stratégie d’attribution de > rôle, cliquez sur Enregistrer.

  • Boîtes aux lettres multiples : sélectionnez plusieurs boîtes aux lettres du même type (par exemple, Utilisateur) en sélectionnant une boîte aux lettres, en maintenant la touche Maj enfoncée et en sélectionnant une autre boîte aux lettres plus bas dans la liste ou en maintenant la touche Ctrl enfoncée lorsque vous sélectionnez chaque boîte aux lettres. Dans le volet d’informations (qui est maintenant intitulé Modification en bloc) : cliquez sur Autres options> , cliquez sur Mettre à jour. Dans la section Stratégie d’attribution de rôle, sélectionnez la stratégie d’attribution de rôle dans la fenêtre qui s’affiche > , cliquez sur Enregistrer.

Utiliser Exchange Online PowerShell pour modifier les attributions de stratégie d’attribution de rôle sur les boîtes aux lettres

Pour modifier l’attribution de stratégie d’attribution de rôle sur une boîte aux lettres spécifique, utilisez la syntaxe suivante :

Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"

Cet exemple applique la stratégie d’attribution de rôle nommée Contoso Managers à la boîte aux lettres nommée Pedro Pizarro.

Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"

Pour modifier l’affectation de toutes les boîtes aux lettres auxquelles une stratégie d’attribution de rôle spécifique est affectée, utilisez la syntaxe suivante :

$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'

Cet exemple montre comment modifier la stratégie d’attribution de rôle de stratégie d’attribution de rôle par défaut pour le personnel de Contoso pour toutes les boîtes aux lettres auxquelles la stratégie d’attribution de rôle par défaut est actuellement affectée.

$Users = Get-Mailbox -ResultSize unlimited
$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'