Partager via


Présentation des rôles de gestion

S’applique à : Exchange Server 2013

Les rôles de gestion font partie du modèle d'autorisations de contrôle d'accès basé sur les rôles (Role Based Access Control ou RBAC) utilisé dans Microsoft Exchange Server 2013. Les rôles agissent en tant que regroupement logique de cmdlets qui sont associées pour fournir un accès afin d'afficher ou de modifier la configuration des composants Exchange 2013, comme les boîtes aux lettres, les règles de transport et les destinataires. Les rôles de gestion peuvent ensuite être associés à un niveau supérieur pour former des regroupements plus importants, appelés groupes de rôles de gestion et stratégies d'attribution de rôle de gestion, lesquels permettent de gérer des zones de fonctionnalités et la configuration des destinataires. Les groupes de rôles et les stratégies d'attribution de rôle accordent respectivement des autorisations aux administrateurs et aux utilisateurs finals. Pour plus d'informations sur les groupes de rôles de gestion et les stratégies d'attribution de rôle de gestion, consultez la rubrique Présentation du contrôle d'accès basé sur un rôle.

Remarque

Cette rubrique traite de la fonctionnalité RBAC avancée. Si vous souhaitez gérer des autorisations Exchange 2013 de base, comme l'utilisation du centre d'administration Exchange pour ajouter et supprimer des membres dans les groupes de rôles, créer et modifier des groupes de rôles ou créer et modifier des stratégies d'attribution de rôles, consultez la rubrique Autorisations.

Les étendues de rôles de gestion et les attributions de rôles de gestion constituent des composants essentiels au fonctionnement des rôles de gestion. Pour plus d'informations sur ces composants, consultez les rubriques suivantes :

Souhaitez-vous rechercher les tâches de gestion liées aux rôles de gestion ? Consultez la rubrique Autorisations.

Rôles de gestion intégrés

Exchange 2013 propose de nombreux rôles de gestion intégrés que vous pouvez utiliser pour administrer votre organisation. Chaque rôle comprend les cmdlets et les paramètres dont les utilisateurs ont besoin pour gérer des composants Exchange spécifiques. Voici des exemples de rôles de gestion intégrés :

  • Destinataires de messagerie : permet aux administrateurs de gérer les boîtes aux lettres, les contacts et les utilisateurs de messagerie.
  • Règles de transport : permet aux administrateurs ou aux utilisateurs spécialisés auxquels le rôle est attribué de gérer la fonctionnalité des règles de transport.
  • Groupes de distribution : permet aux administrateurs ou aux utilisateurs spécialisés auxquels le rôle est attribué de gérer les groupes de distribution et les membres du groupe de distribution.
  • MyPersonalInformation : permet aux utilisateurs finaux de modifier leur propre numéro de téléphone personnel et leur propre adresse de site Web.

Pour obtenir une liste complète des rôles de gestion inclus dans Exchange 2013, consultez Rôles de gestion intégrés.

Vous pouvez associer les rôles intégrés fournis avec Exchange 2013 afin de créer un modèle d'autorisations adapté à votre activité professionnelle. Par exemple, si vous souhaitez que les membres d'un groupe de rôles gèrent les destinataires et les dossiers publics, vous attribuez les rôles Destinataires de messagerie et Dossiers publics au groupe de rôles. Dans la plupart des cas, vous attribuez des rôles aux groupes de rôles ou des stratégies d'attribution de rôles. Vous pouvez également attribuer des rôles de gestion d'attribution directement aux utilisateurs si vous souhaitez contrôler les autorisations à un niveau détaillé. Pour simplifier votre modèle d'autorisations, nous vous conseillons d'utiliser des groupes de rôles et des stratégies d'attribution de rôles plutôt que des attributions directes de rôles d'utilisateur.

Remarque

Vous pouvez uniquement attribuer des rôles de gestion d'utilisateur final aux stratégies d'attribution de rôles.

Les rôles de gestion intégrés ne sont pas modifiables. Toutefois, vous pouvez créer des rôles de gestion calqués sur les rôles de gestion intégrés, puis attribuer ces nouveaux rôles à des groupes de rôles ou à des stratégies d'attribution de rôles. Vous pouvez ensuite modifier les nouveaux rôles de gestion pour les adapter à vos besoins. Il est très rare d'avoir à réaliser cette tâche, d'ailleurs réservée aux utilisateurs avancés.

Pour plus d’informations sur la création de rôles personnalisés basés sur les rôles Exchange intégrés, consultez Rôles de gestion personnalisés plus loin dans cette rubrique.

Vous devez attribuer des rôles de gestion pour qu’ils prennent effet. Le plus souvent, vous attribuez des rôles de gestion à des groupes de rôles et des stratégies d’attribution de rôles. Dans certaines circonstances, vous pouvez également attribuer des rôles directement aux utilisateurs, bien qu’il s’agisse d’une tâche avancée que vous devez rarement, voire jamais, effectuer.

Pour plus d'informations sur l'attribution de rôle de gestion, consultez les rubriques suivantes :

Pour plus d'informations sur les attributions des rôles de gestion, consultez la rubrique Présentation des attributions de rôles de gestion.

Rôles de gestion de niveau supérieur non délimités

Les rôles de gestion de niveau supérieur non délimités sont un type spécial de rôles de gestion qui vous permettent d'autoriser les utilisateurs RBAC d'accéder à des scripts personnalisés et à des cmdlets non Exchange. Les rôles de gestion standard permettent uniquement d'accéder aux cmdlets Exchange. Si vous devez donner accès à des cmdlets non Exchange à exécuter sur un serveur Exchange, ou si vous souhaitez publier un script exécutable par d'autres utilisateurs, vous devez les ajouter à un rôle non délimité. Ces rôles sont dits de niveau supérieur car si un rôle non délimité est créé sans qu'il soit dérivé d'un rôle parent, il ne dispose d'aucun parent et présente le même niveau que les rôles de gestion intégrés fournis avec Exchange 2013. Pour indiquer que vous souhaitez créer une entrée de rôle de niveau supérieur non étendue, vous devez utiliser le commutateur UnscopedTopLevel avec l’applet de commande New-ManagementRole .

Les rôles non délimités sont nommés en tant que tels, car, contrairement aux rôles de gestion standard, ils ne peuvent pas être étendus à une cible spécifique. Les rôles non étendus sont toujours à l’échelle de l’organisation. Cela signifie qu’une personne affectée à un rôle non étendue peut modifier n’importe quel objet dans l’organisation Exchange 2013. Pour cette raison, vous devez veiller à ce que les scripts et les applets de commande mis à disposition par le biais d’un rôle non délimité soient soigneusement testés afin que vous sachiez ce qu’ils vont modifier et que vous affectiez soigneusement des rôles non délimités.

Des éléments tels que des groupes de rôles, des rôles de gestion, des utilisateurs et des groupes de sécurité universelle (USG) peuvent être attribués aux rôles non délimités. Ils ne peuvent pas être attribués à des stratégies d'attribution de rôles de gestion.

Même si les cmdlets Exchange ne peuvent pas être ajoutées sous la forme d'entrées de rôle de gestion dans un rôle non délimité, vous pouvez toutefois les inclure à des scripts que vous ajoutez ensuite comme entrées de rôle. Cela vous permet de créer des scripts personnalisés effectuant des tâches Exchange que vous pouvez attribuer aux utilisateurs. Cela s'avère utile, par exemple, lorsqu'un utilisateur doit effectuer une tâche nécessitant des privilèges très élevés et dépassant normalement son niveau administratif, et que la création d'un nouveau rôle de gestion ou d'un groupe de rôles pose certains problèmes. Vous pouvez créer un script réalisant la fonction spécifique, l'ajouter à un rôle non délimité, puis attribuer ce rôle à l'utilisateur. L'utilisateur peur alors réaliser uniquement la fonction spécifique fournie par le script.

Une entrée de rôle que vous ajoutez à un rôle non délimité doit également être désignée comme une entrée de rôle de niveau supérieur non délimité. Pour plus d’informations sur les entrées de rôle de niveau supérieur non étendues, consultez Entrées de rôle non étendues Top-Level plus loin dans cette rubrique.

Le groupe de rôles Gestion de l'organisation, par défaut, ne dispose pas d'autorisations pour créer ou gérer des groupes de rôles non délimités. Cette caractéristique évite ainsi la création ou la modification accidentelle de groupes de rôles non délimités. Le groupe de rôles Gestion de l'organisation peut déléguer le rôle de gestion Gestion de rôles non délimités à lui-même ainsi qu'aux autres bénéficiaires de rôles. Pour plus d'informations sur la création d'un rôle de gestion de niveau supérieur non délimité, consultez la rubrique Créer un rôle non délimité.

Rôles de gestion personnalisés

Vous pouvez créer des rôles de gestion personnalisés calqués sur les rôles intégrés Exchange lorsque les rôles de gestion intégrés ne répondent pas aux besoins de vos utilisateurs. Lorsque vous créez un rôle de gestion personnalisé, le nouveau rôle enfant hérite de toutes les entrées du rôle de gestion du rôle parent. Vous pouvez alors choisir les entrées du rôle de gestion que vous souhaitez conserver dans le rôle de gestion personnalisé, puis supprimer toutes les entrées non désirées.

Les rôles personnalisés deviennent des enfants du rôle utilisé pour créer le rôle. Vous pouvez uniquement utiliser des entrées existant dans le rôle parent avec le nouveau rôle enfant. Pour plus d'informations, consultez les sections suivantes présentées ci-après dans cette rubrique :

  • Management Role Hierarchy
  • Management Role Entries

La création de rôles de gestion personnalisés nécessite plusieurs étapes et est une tâche avancée que vous devez rarement, voire jamais, effectuer. Avant de créer un rôle de gestion personnalisé, assurez-vous que l’un des rôles de gestion intégrés existants ne fournit pas les autorisations dont vous avez besoin. Pour plus d’informations sur les rôles de gestion intégrés, ou si vous souhaitez créer des rôles de gestion personnalisés, consultez les rubriques suivantes :

Pour plus d'informations sur la création d'un rôle de gestion, consultez la rubrique Créer un rôle.

Hiérarchie des rôles de gestion

Les rôles de gestion sont régis par une hiérarchie parent - enfant. Les rôles de gestion intégrés, fournis par défaut avec Exchange 2013, occupent le haut de la hiérarchie. Lorsque vous créez un rôle, une copie du rôle parent est générée. Le nouveau rôle est un enfant du rôle que vous avez copié. Vous pouvez alors personnaliser le nouveau rôle pour l'adapter aux besoins des administrateurs ou des utilisateurs auxquels vous souhaitez l'attribuer.

Les rôles personnalisés peuvent être utilisés pour créer d'autres rôles. Lorsque vous créez un rôle à partir d'un rôle personnalisé existant, ce dernier reste un enfant de son rôle parent, mais devient également parent du nouveau rôle. Chaque fois qu'un rôle est copié, le nouveau rôle enfant ne peut contenir que les entrées de rôle présentes dans le rôle parent.

Chaque rôle de gestion bénéficie d'un type de rôle non modifiable. Le type définit le contexte sommaire d'utilisation du rôle. Le type de rôle est copié à partir du rôle parent à la création du rôle enfant.

Diagramme hiérarchique du rôle de gestion RBAC.

La figure précédente illustre la relation hiérarchique entre plusieurs rôles de gestion. Les rôles Destinataires de messagerie et Support technique sont des rôles intégrés. Tous les rôles enfants dérivés de ces rôles héritent du type de rôle de chaque rôle intégré. Par exemple, tous les rôles enfants dérivés directement ou indirectement du rôle Destinataires du courrier héritent du type de MailRecipients rôle.

Le rôle personnalisé Administrateurs des destinataires Seattle est enfant du rôle intégré Destinataires de messagerie, mais également parent des rôles personnalisés Administrateurs des destinataires Ventes Seattle et Administrateurs des destinataires Section juridique Seattle. Le rôle personnalisé Administrateurs des destinataires Seattle peut uniquement contenir un sous-ensemble de cmdlets qui sont disponibles dans le rôle Destinataires de messagerie. Les rôles enfants du rôle personnalisé Administrateurs des destinataires Seattle peuvent uniquement contenir les cmdlets également présentes dans ce rôle. Par exemple, si une cmdlet existe dans le rôle Destinataires de messagerie, mais qu'elle ne se trouve pas dans le rôle personnalisé Administrateurs des destinataires Seattle, la cmdlet ne peut pas être ajoutée au rôle personnalisé Administrateurs des destinataires Ventes Seattle.

Le modèle de fonctionnement des rôles présentés ci-dessus s'applique à tous les rôles personnalisés. Pour plus d’informations sur la façon dont l’accès aux applets de commande est contrôlé sur les rôles de gestion, consultez Entrées de rôle de gestion suivantes dans cette rubrique.

Entrées de rôles de gestion

Chaque rôle de gestion, qu'il s'agisse d'un rôle Exchange personnalisé ou non délimité, doit disposer au moins d'une entrée de rôle de gestion. Une entrée se compose d'une seule cmdlet et de ses paramètres, d'un script ou d'une autorisation spéciale que vous souhaitez rendre disponible. Si une cmdlet ou un script ne se présente pas comme une entrée sur un rôle de gestion, cette cmdlet ou ce script n'est pas accessible via le rôle. De même, si un paramètre n'existe pas dans une entrée, le paramètre de cette cmdlet ou de ce script n'est pas accessible via ce rôle.

Exchange 2013 vous permet de gérer des entrées de rôles de gestion d'après les rôles Exchange intégrés de niveau supérieur et les entrées de rôles en fonction des rôles de gestion de niveau supérieur non délimités. Les rôles Exchange intégrés de niveau supérieur peuvent uniquement contenir des entrées de rôles qui sont des cmdlets Exchange 2013. Pour ajouter des scripts personnalisés ou des cmdlets non Exchange pour les mettre à disposition des utilisateurs, vous devez les ajouter sous la forme d'entrées de rôles non délimités dans un rôle de niveau supérieur non délimité. Pour plus d’informations sur les entrées de rôle non étendues, consultez Entrées de rôle non étendues Top-Level plus loin dans cette rubrique.

Toutes les entrées de rôle, qu'il s'agisse d'une entrée de rôle basée sur les cmdlets Exchange ou d'une entrée de rôle non délimité, sont sujettes à des principes communs décrits dans les sections suivantes.

Pour plus d'informations sur la gestion des entrées de rôles, consultez Les entrées de rôle et les rôles de gestion.

Relation entre les rôles de gestion parents et enfants

Comme indiqué plus haut, une entrée de rôle de gestion (comprenant la cmdlet et ses paramètres) doit se trouver dans le rôle parent immédiat pour permettre son ajout au rôle enfant. Par exemple, si le rôle parent ne dispose d'aucune entrée pour New-Mailbox, le rôle enfant ne peut pas hériter de cette cmdlet. En outre, si Set-Mailbox se trouve sur le rôle parent, mais que le paramètre Database a été supprimé de l’entrée, le paramètre Database de l’applet de commande Set-Mailbox ne peut pas être ajouté à l’entrée sur le rôle enfant.

Comme vous ne pouvez pas ajouter des entrées de rôle de gestion aux rôles enfants si les entrées ne figurent pas dans les rôles parents, et comme le rôle est basé sur un type spécifique, vous devez choisir soigneusement le rôle parent à copier lorsque vous souhaitez créer un rôle personnalisé.

Noms des entrées de rôle de gestion

Les noms des entrées de rôle de gestion sont une combinaison du rôle de gestion auquel ils sont associés et du nom de cmdlet ou du script. Le nom de rôle et la cmdlet ou le script sont séparés par une barre oblique inverse (\). Par exemple, le nom d’entrée de rôle pour l’applet de commande Set-Mailbox sur le rôle Destinataires du courrier est Mail Recipients\Set-Mailbox. Si le nom d'une entrée de rôle contient des espaces, placez le nom complet entre guillemets (").

Le caractère générique (*) peut être utilisé dans le nom d'une entrée de rôle pour renvoyer toutes les entrées de rôle correspondant à votre saisie. Le caractère générique peut être utilisé librement des deux côtés de la barre oblique inverse. Le tableau suivant contient quelques variations sur le mode d'utilisation du caractère générique dans le nom d'une entrée de rôle.

Exemple Description
*\* Retourne une liste de toutes les entrées de rôle pour tous les rôles.
*\Set-Mailbox Retourne une liste de toutes les entrées de rôle contenant la cmdlet Set-Mailbox.
Mail Recipients\* Renvoie une liste de toutes les entrées de rôle sur le rôle Destinataires de messagerie.
Mail Recipients\*Mailbox Renvoie une liste de toutes les entrées de rôle sur le rôle Destinataires de messagerie qui contiennent des cmdlets se terminant par Mailbox.
My*\*Group* Renvoie une liste de toutes les entrées de rôle dont le nom de cmdlet contient la chaîne Group pour tous les rôles commençant par My.

Entrées de rôle de niveau supérieur non délimité

Les entrées de rôle de niveau supérieur non délimité sont utilisées avec les rôles de gestion de niveau supérieur non délimité pour créer des rôles basés sur des scripts personnalisés ou des cmdlets non Exchange. Chaque entrée de rôle non délimité est associée à un script personnalisé ou à une cmdlet non Exchange. Pour indiquer que vous souhaitez créer une entrée de rôle non étendue sur un rôle sans étendue, vous devez spécifier le paramètre UnscopedTopLevel sur l’applet de commande Add-ManagementRoleEntry .

Lorsque vous ajoutez l'entrée de rôle non délimité, vous devez spécifier tous les paramètres pouvant être utilisés avec le script ou la cmdlet non Exchange. Exchange tente de vérifier les paramètres que vous fournissez lors de l'ajout de l'entrée de rôle. Seuls les paramètres que vous ajoutez à l'entrée de rôle lors de sa création seront mis à disposition des utilisateurs affectés au rôle non délimité. Si vous ajoutez des paramètres au script ou à la cmdlet non Exchange, ou si les paramètres sont renommés, vous devez mettre à jour l'entrée de rôle manuellement. Exchange ne vérifie pas si les paramètres d'une entrée de rôle non délimité sont modifiés. Si le paramètre d'une entrée de rôle change dans un script et que vous essayez d'utiliser ce paramètre, la commande échoue.

Les scripts que vous ajoutez à une entrée de rôle non délimité doivent résider dans le répertoire des scripts Exchange 2013 sur tous les serveurs auxquels les administrateurs et les utilisateurs se connectent à l'aide de l'environnement de ligne de commande Exchange Management Shell. Si vous essayez d'ajouter une entrée de rôle non délimité à un script qui n'existe pas dans le répertoire des scripts Exchange 2013 sur le serveur que vous utilisez pour ajouter l'entrée de rôle, une erreur se produit. L’emplacement d’installation par défaut du répertoire des scripts Exchange 2013 est C:\Program Files\Microsoft\Exchange Server\V15\RemoteScripts ou %ExchangeInstallPath%RemoteScripts.

Les cmdlets non Exchange que vous ajoutez à une entrée de rôle non délimité doivent être installées sur tous les serveurs Exchange 2013 auxquels les administrateurs et les utilisateurs se connectent à l'aide du Shell pour utiliser ces cmdlets. Si vous essayez d'ajouter une entrée de rôle non délimité à une cmdlet Exchange qui n'est pas installée sur le serveur Exchange 2013 que vous utilisez pour ajouter l'entrée de rôle, une erreur se produit. Lorsque vous ajoutez une cmdlet non Exchange, vous devez spécifier le nom du composant logiciel enfichable Windows PowerShell contenant la cmdlet non Exchange.

Pour plus d'informations sur l'ajout d'une entrée de rôle de gestion non délimité, consultez la rubrique Ajouter une entrée de rôle à un rôle.

Types de rôle de gestion

Les types de rôle de gestion sont le fondement de tous les rôles de gestion. Les types définissent les étendues implicites définies sur tous les rôles de gestion d'un type de rôle donné et permettent également de regrouper les rôles connexes. Tous les rôles de gestion dérivant du rôle de gestion intégré parent disposent du même type de rôle. Consultez la figure relative à la hiérarchie des rôles de gestion plus haut dans cette rubrique pour obtenir une illustration de cette relation. Les types de rôle de gestion représentent également le nombre maximum de cmdlets (et de leurs paramètres) pouvant être ajouté à un rôle associé à un type de rôle.

Les types de rôle de gestion sont répartis en plusieurs catégories :

  • Administratif ou spécialiste : les rôles associés à des types de rôles d’administrateur ou de spécialiste ont un impact plus large dans l’organisation Exchange. Les rôles de ce type permettent de réaliser des tâches telles que la gestion des destinataires ou des serveurs, la configuration de l'organisation, l'administration de la conformité, les audits, etc.

  • Axé sur l’utilisateur : les rôles associés à un type de rôle axé sur l’utilisateur ont une étendue d’impact étroitement liée à un utilisateur individuel. Les rôles de ce type permettent de réaliser des tâches telles que la configuration des profils utilisateur et autogestion, gestion des groupes de distribution dont les utilisateurs sont propriétaires, etc.

    Les noms des rôles associés aux types de rôle centré sur l'utilisateur et des rôles centrés sur l'utilisateur commencent par Ma, Mon ou Mes.

  • Spécialité : les rôles associés aux types de rôles de spécialité activent des tâches qui ne sont pas des types de rôles administratifs ou axés sur l’utilisateur. Les rôles de ce type permettent de réaliser des tâches telles que l'emprunt d'identité d'application et l'utilisation de scripts ou de cmdlets non Exchange.

Le tableau suivant répertorie tous les types de rôle de gestion administratif présents dans Exchange 2013 et indique si la configuration autorisée par le type de rôle s'applique à l'intégralité de l'organisation Exchange ou uniquement à un serveur individuel. Pour plus d'informations sur chacun des rôles de gestion associés à ces types de rôle, comprenant une description de chaque rôle, les bénéficiaires éventuels des rôles ainsi que d'autres informations, consultez Rôles de gestion intégrés.

Type de rôle de gestion Rôle de gestion intégré Description Organisation ou serveur
ActiveDirectoryPermissions Rôle des autorisations Active Directory Ce type de rôle est associé à des rôles permettant aux administrateurs de configurer les autorisations Active Directory au sein d'une organisation. Certaines fonctionnalités reposant sur les autorisations Active Directory ou sur une liste de contrôle d'accès (ACL) comprennent les connecteurs de réception et d'envoi de transport, ainsi que les autorisations de boîtes aux lettres Envoyer en tant que et Envoyer de la part de.

Remarque : Les autorisations définies directement sur les objets Active Directory peuvent ne pas être appliquées via RBAC.
Organisation
AddressLists Rôle des listes d'adresses Ce type de rôle est associé aux rôles permettant aux administrateurs de gérer les listes d'adresses, les listes d'adresses globales et les listes d'adresses en mode hors connexion au sein d'une organisation. Organisation
ApplicationImpersonation Rôle ApplicationImpersonation Ce type de rôle est associé aux rôles qui permettent aux applications d'assumer l'identité des utilisateurs dans une organisation pour effectuer des tâches pour leur compte. Organisation
ArchiveApplication Rôle ArchiveApplication Ce type de rôle est associé à des rôles permettant à des applications partenaires d'archiver des éléments dans des boîtes aux lettres utilisateur d'une organisation. Organisation
AuditLogs Rôle Journaux d'audit Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration de l'enregistrement d'audit d'administrateur au sein d'une organisation. Organisation
CmdletExtensionAgents Rôle des agents d'extension de cmdlet Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les agents d'extension de cmdlets au sein d'une organisation. Organisation
DataLossPrevention Rôle de protection contre la perte de données Ce type de rôle est associé à des rôles qui créent et gèrent des stratégies de protection contre la perte de données (DLP) et les règles au sein de celles-ci dans une organisation. Organisation
DatabaseAvailabilityGroups Rôle des groupes de disponibilité de base de données Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les groupes de disponibilité de base de données (DAG) au sein d'une organisation. Les administrateurs pour lesquels ce rôle est attribué directement ou indirectement sont les administrateurs au plus haut niveau responsables de la configuration haute disponibilité d'une organisation. Organisation
DatabaseCopies Rôle des copies de base de données Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les copies de base de données sur des serveurs individuels. Serveur
Databases Rôle des bases de données Ce type de rôle est associé à des rôles permettant aux administrateurs de créer, gérer, monter et démonter des bases de données de boîtes aux lettres sur des serveurs individuels. Serveur
DisasterRecovery Rôle de récupération d'urgence Ce type de rôle est associé à des rôles permettant aux administrateurs de restaurer des boîtes aux lettres et des bases de données de boîtes aux lettres, de créer des bases de données de boîtes aux lettres et d'exécuter des basculements et des commutations pour des groupes de disponibilité de base de données au sein d'une organisation. Organisation
DistributionGroups Rôle des groupes de distribution Ce type de rôle est associé aux rôles permettant aux administrateurs de créer et de gérer des groupes de distribution et leurs membres au sein d'une organisation. Organisation
EdgeSubscriptions Rôle des abonnements Edge Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la synchronisation et l'abonnement Edge entre des serveurs de transport Edge Exchange 2010 et des serveurs de boîtes aux lettres Exchange 2013 au sein d'une organisation. Organisation
EmailAddressPolicies Rôle des stratégies d'adresses de messagerie Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer des stratégies d'adresse de messagerie au sein d'une organisation. Organisation
ExchangeConnectors Rôle des connecteurs Exchange Ce type de rôle est associé à des rôles qui permettent aux administrateurs de créer, de modifier, d'afficher et de supprimer des connecteurs d'agent de remise. Organisation
ExchangeServerCertificates Rôle des certificats d'Exchange Server Ce type de rôle est associé à des rôles permettant aux administrateurs de créer, importer, exporter et gérer des certificats de serveur Exchange sur des serveurs individuels. Serveur
ExchangeServers Rôle des serveurs Exchange Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration du serveur Exchange sur des serveurs individuels. Serveur
ExchangeVirtualDirectories Rôle des répertoires virtuels Exchange Ce type de rôle est associé à des rôles qui permettent aux administrateurs de gérer les répertoires virtuels outlook Web App, Microsoft ActiveSync, carnet d’adresses hors connexion (OAB), découverte automatique, Windows PowerShell et centre d’administration Exchange sur des serveurs individuels. Serveur
FederatedSharing Rôle de partage fédéré Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer le partage entre les forêts et les organisations au sein d'une organisation. Organisation
InformationRightsManagement Rôle de gestion des droits relatifs à l'information Ce type de rôle est associé aux rôles permettant aux administrateurs de gérer les fonctionnalités de gestion des droits relatifs à l'information d'Exchange au sein d'une organisation. Organisation
Journaling Rôle de journalisation Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration de journalisation au sein d'une organisation. Organisation
LegalHold Rôle de conservation légale Ce type de rôle est associé à des rôles permettant aux administrateurs de configurer les données d'une boîte aux lettres pour déterminer si elles doivent être conservées pour l'arbitrage de litiges au sein d'une organisation. Organisation
MailboxImportExport Rôle d'importation et d'exportation de boîtes aux lettres Ce type de rôle est associé aux rôles qui permettent aux administrateurs d'importer et d'exporter le contenu d'une boîte aux lettres et d'en supprimer le contenu inutile. Organisation
MailboxSearch Rôle de recherche de boîte aux lettres Ce type de rôle est associé à des rôles permettant aux administrateurs d'effectuer des recherches dans le contenu d'une ou plusieurs boîtes aux lettres au sein d'une organisation. Organisation
MailboxSearchApplication Rôle MailboxSearchApplication Ce type de rôle est associé à des rôles permettant à des applications partenaires de définir et d'afficher l'état de la suspension légale d'une boîte aux lettres au sein d'une organisation. Organisation
MailEnabledPublicFolders Rôle des dossiers publics à extension messagerie Ce type de rôle est associé à des rôles permettant aux administrateurs de configurer les dossiers publics individuels avec ou sans extension de messagerie dans une organisation.

Ce type de rôle vous permet de gérer uniquement les propriétés de messagerie des dossiers publics. Il ne vous permet pas de gérer les propriétés des dossiers publics qui ne sont pas des propriétés de la messagerie. Pour gérer les propriétés des dossiers publics qui ne sont pas des propriétés d’e-mail, vous devez disposer d’un rôle associé au type de PublicFolders rôle.
Organisation
MailRecipientCreation Rôle Création de destinataires de message Ce type de rôle est associé à des rôles permettant aux administrateurs de créer des boîtes aux lettres, des utilisateurs de messagerie, des contacts de messagerie, des groupes de distribution et des groupes de distribution dynamiques au sein d'une organisation. Les rôles associés à ce type de rôle peuvent être combinés avec des rôles associés au MailRecipients type de rôle pour permettre la création et la gestion des destinataires.

Ce type de rôle ne vous permet d'attribuer une extension de messagerie aux dossiers publics. Pour activer la messagerie des dossiers publics, un rôle associé au type de MailEnabledPublicFolders rôle doit vous être attribué.

Si votre organisation maintient un modèle d’autorisations fractionnées où la création de destinataires est effectuée par un groupe différent du groupe qui effectue la gestion des destinataires, attribuez le MailRecipientCreation rôle au groupe qui effectue la création des destinataires et le MailRecipients rôle au groupe qui effectue la gestion des destinataires.
Organisation
MailRecipients Rôle des destinataires de messagerie Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les boîtes aux lettres, les utilisateurs de messagerie, les contacts de messagerie, les groupes de distribution et les groupes de distribution dynamiques au sein d'une organisation. Les rôles associés à ce type de rôle ne peuvent pas créer ces destinataires, mais peuvent être combinés avec des rôles associés au MailRecipientCreation type de rôle pour permettre la création et la gestion des destinataires.

Ce type de rôle ne vous permet pas de gérer des dossiers publics à extension messagerie ou des groupes de distribution. Pour gérer les dossiers publics à extension messagerie, un rôle associé au type de MailEnabledPublicFolders rôle doit vous être attribué. Pour gérer les groupes de distribution, un rôle associé au type de DistributionGroups rôle doit vous être attribué.

Si votre organisation maintient un modèle d’autorisations fractionnées où la création de destinataires est effectuée par un groupe différent du groupe qui effectue la gestion des destinataires, attribuez le MailRecipientCreation rôle au groupe qui effectue la création des destinataires et le MailRecipients rôle au groupe qui effectue la gestion des destinataires.
Organisation
MailTips Rôle des conseils de messagerie Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les conseils de messagerie au sein d'une organisation. Organisation
MessageTracking Rôle de suivi des messages Ce type de rôle est associé à des rôles permettant aux administrateurs d'effectuer le suivi des messages au sein d'une organisation. Organisation
Migration Rôle de migration Ce rôle type est associé à des rôles permettant aux administrateurs de migrer des boîtes aux lettres et leur contenu vers ou depuis un serveur. Serveur
Monitoring Rôle d'analyse Ce type de rôle est associé à des rôles permettant aux administrateurs d'analyser les services Microsoft Exchange et la disponibilité des composants au sein d'une organisation. En plus des administrateurs, les rôles associés à ce type de rôle peuvent être utilisés avec le compte de service employé par les applications d'analyse pour collecter des informations relatives à l'état des serveurs Exchange. Organisation
MoveMailboxes Rôle Déplacer des boîtes aux lettres Ce type de rôle est associé à des rôles permettant aux administrateurs de déplacer des boîtes aux lettres entre les serveurs d'une organisation et entre les serveurs de l'organisation et locale et d'une autre organisation. Organisation
OfficeExtensionApplication Rôle OfficeExtensionApplication Ce type de rôle est associé à des rôles permettant à des applications d'extension Microsoft Office d'accéder aux boîtes aux lettres utilisateur au sein d'une organisation. Organisation
OrgCustomApps Rôle Org Custom Apps Ce type de rôle est associé à des rôles permettant aux administrateurs d'afficher et de modifier des applications personnalisées de leur organisation au sein d'une organisation. Organisation
OrgMarketplaceApps Rôle Org Marketplace Apps Ce type de rôle est associé à des rôles permettant aux administrateurs d'afficher et de modifier des applications Marketplace de leur organisation au sein d'une organisation. Organisation
OrganizationClientAccess Rôle d'accès au client de l'organisation Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les paramètres du serveur d'accès au client au sein d'une organisation. Organisation
OrganizationConfiguration Rôle de configuration de l'organisation Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les paramètres applicables à toute l'organisation au sein d'une organisation. Ce type de rôle permet de contrôler notamment les éléments de configuration d'organisation suivants :
  • Activation ou désactivation de la fonctionnalité Infos-courrier pour l'organisation.
  • L'URL de la page d'accueil des dossiers gérés.
  • L'adresse SMTP des destinataires Microsoft Exchange et les adresses de messagerie de secours.
  • La configuration du schéma de propriétés de la boîte aux lettres de ressources.
  • URL d’aide pour le Centre d’administration Exchange et Outlook Web App.

Ce type de rôle n’inclut pas les autorisations incluses dans les types de OrganizationClientAccess rôle ou OrganizationTransportSettings .

Organisation
OrganizationTransportSettings Rôle des paramètres de transport de l'organisation Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les paramètres de transport au niveau de toute l'organisation, tels que les messages système, la configuration des sites Active Directory et d'autres paramètres de transport applicables globalement à l'organisation.

Ce rôle ne vous permet pas de créer ou de gérer des connecteurs de réception ou d'envoi de transport, des files d'attente, l'hygiène, les agents, les domaines distants et acceptés ou les règles. Pour créer ou gérer chacune des fonctionnalités de transport, vous devez disposer des rôles associés aux types de rôle suivants :
  • Connecteurs de réception : ReceiveConnectors
  • Envoyer des connecteurs : SendConnectors
  • Files d’attente de transport : TransportQueues
  • Hygiène du transport : TransportHygiene
  • Agents de transport : TransportAgents
  • Domaines distants et acceptés : RemoteAndAcceptedDomains
  • Règles de transport : TransportRules
Organisation
POP3AndIMAP4Protocols Rôle des protocoles POP3 et IMAP4 Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration POP3 et IMAP (paramètres d'authentification et de connexion, par exemple) sur des serveurs individuels. Serveur
PublicFolders Rôle Dossiers publics Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les dossiers publics au sein d'une organisation.

Ce type de rôle ne permet pas de gérer si des dossiers publics sont à extension messagerie. Pour activer ou désactiver un dossier public, un rôle associé au type de MailEnabledPublicFolders rôle doit vous être attribué.
Organisation
ReceiveConnectors Rôle des connecteurs de réception Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration des connecteurs de réception (notamment les limites de taille) sur un serveur individuel. Serveur
RecipientPolicies Rôle des stratégies de destinataire Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer des stratégies de destinataire, comme des stratégies de mise en service et d'appareil mobile, au sein d'une organisation. Organisation
RemoteAndAcceptedDomains Rôle des domaines acceptés et distants Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les domaines acceptés et distants au sein d'une organisation. Organisation
ResetPassword Rôle de réinitialisation de mot de passe Ce type de rôle est associé à des rôles permettant aux utilisateurs de réinitialiser leurs mots de passe et aux administrateurs de réinitialiser les mots de passe des utilisateurs au sein d'une organisation. Organisation
RetentionManagement Rôle de gestion de la rétention Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les stratégies de rétention au sein d'une organisation. Organisation
RoleManagement Rôle de gestion des rôles Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les groupes de rôles de gestion, les stratégies d'attribution de rôle, les rôles de gestion, les entrées de rôle, les attributions et les étendues au sein d'une organisation.

Les rôles attribués aux utilisateurs et associés à ce type de rôle peuvent remplacer la propriété Groupe de rôles géré par, configurer n'importe quel groupe de rôles et ajouter ou supprimer des membres dans n'importe quel groupe de rôles.
Organisation
SecurityGroupCreationAndMembership Création du groupe de sécurité et rôle de membre Ce type de rôle est associé aux rôles permettant aux administrateurs de créer et de gérer des groupes universels de sécurité et leurs membres au sein d'une organisation.

Si votre organisation utilise un modèle d'autorisations divisées dans lequel la création et la gestion des groupes universels de sécurité sont réalisées par un groupe différent de celui qui gère les serveurs Exchange, attribuez à ce groupe les rôles associés à ce type de rôle.
Organisation
SendConnectors Rôle Connecteurs d'envoi Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les connecteurs d'envoi de transport au sein d'une organisation. Organisation
SupportDiagnostics Prise en charge du rôle de diagnostics Ce type de rôle est associé avec des rôles permettant aux administrateurs de réaliser des diagnostics avancés sous la direction des services de Support Microsoft au sein d'une organisation.

Remarque : Les rôles associés à ce type de rôle accordent des autorisations aux applets de commande et aux scripts qui doivent être utilisés uniquement sous la direction du service clientèle et du support technique Microsoft.
Organisation
TeamMailboxes Rôle de boîtes aux lettres d'équipe Ce type de rôle est associé à des rôles permettant aux administrateurs de définir une ou plusieurs stratégies de mise en service de boîtes aux lettres de site et de gérer des boîtes aux lettres de site au sein d'une organisation. Les rôles attribués aux administrateurs associés à ce type de rôle peuvent gérer des boîtes aux lettres de site qui ne leur appartiennent pas. Organisation
TeamMailboxLifecycleApplication Rôle TeamMailboxLifecycleApplication Ce type de rôle est associé à des rôles permettant à des applications partenaires de mettre à jour des états de cycle de vie de boîtes aux lettres de site au sein d'une organisation. Organisation
TransportAgents Rôle des agents de transport Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les agents de transport au sein d'une organisation. Organisation
TransportHygiene Rôle d'hygiène de transport Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer des fonctionnalités anti-courrier indésirable et anti-programme malveillant au sein d'une organisation. Organisation
TransportQueues Rôle des files d'attente de transport Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les files d'attente de transport sur des serveurs individuels. Serveur
TransportRules Rôle des règles de transport Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer les règles de transport au sein d'une organisation. Organisation
UMMailboxes Rôle des boîtes aux lettres de messagerie unifiée Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer la configuration de message unifiée des boîtes aux lettres et des autres destinataires au sein d'une organisation. Organisation
UMPrompts Rôle Messages de messagerie unifiée Ce type de rôle est associé aux rôles permettant aux administrateurs de créer et de gérer les invites vocales personnalisées de messagerie unifiée au sein d'une organisation. Organisation
UnifiedMessaging Rôle de messagerie unifiée Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer des services de messagerie unifiée au sein d'une organisation.

Ce rôle ne vous permet pas de gérer une configuration de boîte aux lettres spécifique à la messagerie unifiée ou des invites de messagerie unifiée. Pour gérer la configuration de boîte aux lettres spécifique à la messagerie unifiée, utilisez les rôles associés au type de UMMailboxes rôle. Pour gérer les invites de messagerie unifiée, utilisez les rôles associés au type de UMPrompts rôle.
Organisation
UnScopedRoleManagement Rôle de gestion de rôle non délimité Ce type de rôle est associé aux rôles permettant aux administrateurs de créer et de gérer les rôles de gestion de niveau supérieur non délimités au sein d'une organisation. Organisation
UserOptions Rôle des options de l'utilisateur Ce type de rôle est associé à des rôles permettant aux administrateurs d'afficher les options Outlook Web App d'un utilisateur au sein d'une organisation. Les rôles associés à ce type de rôle peuvent être utilisés pour aider un utilisateur à diagnostiquer des problèmes avec sa configuration. Organisation
UserApplication Rôle UserApplication Ce type de rôle est associé à des rôles permettant à des applications partenaires d'agir pour le compte d'utilisateurs finaux au sein d'une organisation. Organisation
ViewOnlyAuditLogs Rôle Journaux d'audit en affichage seul Ce type de rôle est associé à des rôles permettant aux administrateurs d'effectuer des recherches dans le journal d'audit d'administrateur au sein d'une organisation. Organisation
ViewOnlyConfiguration Rôle de configuration en affichage seul Ce type de rôle est associé à des rôles permettant aux administrateurs d'afficher tous les paramètres (ne concernant pas les destinataires) de configuration d'Exchange au sein d'une organisation. Les exemples de configuration qui sont affichables sont la configuration du serveur, la configuration du transport, la configuration de la base de données et la configuration à l'échelle de l'organisation.

Les rôles associés à ce type de rôle peuvent être combinés avec les rôles associés au type de ViewOnlyRecipients rôle pour créer un rôle qui peut afficher chaque objet dans une organisation.
Organisation
ViewOnlyRecipients Rôle Destinataires en affichage uniquement Ce type de rôle est associé à des rôles permettant aux administrateurs d'afficher la configuration des destinataires, comme les boîtes aux lettres, les utilisateurs de messagerie, les contacts de messagerie, les groupes de distribution et les groupes de distribution dynamique.

Les rôles associés à ce type de rôle peuvent être combinés avec les rôles associés au type de ViewOnlyConfiguration rôle pour créer un rôle qui peut afficher chaque objet dans l’organisation.
Organisation
WorkloadManagement Rôle WorkloadManagement Ce type de rôle est associé à des rôles permettant aux administrateurs de gérer des stratégies de gestion de la charge de travail au sein d'une organisation. Les administrateurs peuvent configurer des définitions de l'intégralité de la ressource, des classifications de la charge de travail et activer ou désactiver la gestion de la charge de travail. Organisation

Le tableau suivant répertorie tous les types de rôle de gestion centré sur l'utilisateur dans Exchange 2013.

Type de rôle de gestion Rôles intégrés centrés sur l'utilisateur Description
MyBaseOptions Rôle MyBaseOptions Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d'afficher et de modifier la configuration de base de leurs boîtes aux lettres et des paramètres associés.
MyContactInformation Rôle de MyAddressInformation

Rôle MyContactInformation

Rôle de MyMobileInformation

Rôle de MyPersonalInformation
Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels de modifier leurs informations de contact. Ces informations comprennent leurs numéros de téléphone et adresse.
MyCustomApps Rôle My Custom Apps Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d'afficher et de modifier leurs applications personnalisées.
MyDiagnostics Rôle MyDiagnostics Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d'effectuer des diagnostics de base sur leur boîte aux lettres comme, par exemple, la récupération des informations de diagnostic de calendrier.
MyDistributionGroupMembership Rôle MyDistributionGroupMembership Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d'afficher et de modifier leur appartenance aux groupes de distribution d'une organisation, à condition que ces groupes de distribution permettent la modification de l'appartenance.
MyDistributionGroups Rôle MyDistributionGroups Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels de créer, de modifier et d'afficher les groupes de distribution, et de modifier, d'afficher, de supprimer et d'ajouter des membres dans les groupes de distribution qu'ils possèdent.
MyProfileInformation Rôle de MyDisplayName

Rôle de MyName

Rôle MyProfileInformation
Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels de modifier leur nom.
MyMarketplaceApps Rôle My Marketplace Apps Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d'afficher et de modifier leurs applications Marketplace.
MyRetentionPolicies Rôle MyRetentionPolicies Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d'afficher leurs balises de rétention, et d'afficher et de modifier leurs paramètres de balises de rétention et leurs valeurs par défaut.
MyTeamMailboxes Rôle MyTeamMailboxes Ce type de rôle est associé à des rôles permettant à des utilisateurs individuels de créer des boîtes aux lettres de site et de les connecter à des sites Microsoft SharePoint.
MyTextMessaging Rôle MyTextMessaging Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels de créer, d'afficher et de modifier leurs paramètres de messagerie texte.
MyVoiceMail Rôle MyVoiceMail Ce type de rôle est associé à des rôles permettant aux utilisateurs individuels d'afficher et de modifier leurs paramètres de messagerie vocale.

Pour plus d'informations

New-ManagementRole

New-ManagementRoleAssignment

Set-ManagementRoleAssignment

New-ManagementScope

Set-ManagementScope

New-ManagementRoleAssignment

Set-ManagementRoleAssignment