Noções básicas sobre controle de acesso baseado em função
Aplica-se a: Exchange Server 2013
RBAC (Controle de Acesso baseado em função) é o modelo de permissões usado no Microsoft Exchange Server 2013. Com o RBAC, você não precisa modificar e gerenciar as ACLs (listas de controle de acesso), o que foi feito em Exchange Server 2007. As ACLs criaram vários desafios no Exchange 2007, como modificar ACLs sem causar consequências não intencionais, manter modificações de ACL por meio de atualizações e solucionar problemas que ocorreram devido ao uso de ACLs de forma não padrão.
O RBAC permite controlar, em níveis amplos e granulares, o que administradores e usuários finais podem fazer. O RBAC também permite que você alinhe mais de perto as funções que você atribui aos usuários e administradores às funções reais que eles possuem em sua organização. No Exchange 2007, o modelo de permissões de servidor se aplicava apenas aos administradores que gerenciavam a infraestrutura do Exchange 2007. No Exchange 2013, o RBAC agora controla as tarefas administrativas que podem ser executadas e até que ponto os usuários agora podem administrar sua própria caixa de correio e grupos de distribuição.
O RBAC possui duas formas principais para associar permissões a usuários em sua organização, dependendo do tipo de usuário; administrador ou usuário especialista, ou usuário final: grupos de função de gerenciamento e diretivas de atribuição de função de gerenciamento. Cada método associa usuários com as permissões de que precisam para executar suas tarefas. Um terceiro método mais avançado, atribuição direta de função de usuário, também pode ser usado. As seções a seguir neste tópico explicam o RBAC e fornecem exemplos de seu uso.
Observação
Este tópico concentra-se na funcionalidade avançada de RBAC. Se você quiser gerenciar permissões básicas do Exchange 2013, como usar o Centro de Administração do Exchange (EAC) para adicionar e remover membros de e para grupos de funções, criar e modificar grupos de funções ou criar e modificar políticas de atribuição de função, consulte Permissões.
Grupos de funções de gerenciamento
Grupos de funções de Gerenciamento associam papéis de gerenciamento a um grupo de administradores ou usuários especialistas. Os administradores gerenciam uma ampla configuração de organização ou destinatário do Exchange. Usuários especializados gerenciam os recursos específicos do Exchange, como conformidade. Ou eles podem ter habilidades de gerenciamento limitadas, como membros do help desk, mas não recebem amplos direitos administrativos. Os grupos de função geralmente associam funções de gerenciamento administrativas que permitem a administradores e usuários especialistas gerenciarem a configuração de sua organização e destinatários. Por exemplo, se os administradores podem gerenciar destinatários ou usar recursos de descoberta de caixa de correio é controlado usando grupos de funções.
Geralmente as permissões são atribuídas a administradores ou usuários especialistas adicionando ou removendo usuários para ou de grupos de função. Para obter mais informações, confira Entender grupos de funções de gerenciamento.
Os grupos de função são constituídos dos seguintes componentes que definem o que administradores e usuários especialistas podem fazer:
Grupo de funções degerenciamento: o grupo de funções de gerenciamento é um USG (grupo de segurança universal especial) que contém caixas de correio, usuários, USGs e outros grupos de funções que são membros do grupo de funções. É nele que os adiciona e remove membros, e as funções de gerenciamento também são atribuídas a ele. A combinação de todas as funções em um grupo de funções define tudo o que os usuários adicionados a um grupo de funções podem gerenciar na organização do Exchange.
Função de gerenciamento: uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento. As funções são usadas para definir as tarefas específicas que podem ser executadas pelos membros de um grupo de funções atribuído à função. Uma entrada de função de gerenciamento é um cmdlet, script ou permissão especial que permite que cada tarefa específica em uma função seja executada. Para obter mais informações, confira Noções básicas sobre funções de gerenciamento.
Atribuição de função degerenciamento: uma atribuição de função de gerenciamento vincula uma função e um grupo de funções. Atribuir uma função a um grupo de função concede aos membros do grupo a capacidade de usar cmdlets e parâmetros definidos na função. As atribuições de função podem usar escopos de gerenciamento para controlar onde a atribuição pode ser usada. Para obter mais informações, consulte Noções básicas sobre as atribuições de função de gerenciamento.
Escopo da função de gerenciamento: um escopo de função de gerenciamento é o escopo de influência ou impacto em uma atribuição de função. Quando uma função é atribuída com um escopo a um grupo de função, o escopo de gerenciamento é direcionado especificamente aos objetos que essa atribuição tem permissão para gerenciar. A atribuição e seu escopo são então dados aos membros do grupo de funções e restringem o que esses membros podem gerenciar. Um escopo pode consistir em uma lista de servidores ou bancos de dados, OUs (unidades organizacionais) ou filtros em objetos de servidor, banco de dados ou destinatário. Para obter mais informações, consulte Noções básicas sobre escopos da função de gerenciamento.
Quando você adiciona um usuário a um grupo de funções, o usuário recebe todas as funções atribuídas ao grupo de funções. Se os escopos forem aplicados a alguma das atribuições de função entre o grupo de funções e as funções, esses escopos controlam qual configuração de servidor ou destinatários o usuário pode gerenciar.
Se quiser modificar quais funções são atribuídas a grupos de funções, é necessário modificar as atribuições de função que vinculam os grupos de funções às funções. A menos que as atribuições incorporadas ao Exchange 2013 não atendam às suas necessidades, você não precisará alterar essas atribuições. Para obter mais informações, consulte Noções básicas sobre as atribuições de função de gerenciamento.
Para saber mais sobre grupos de função, confira o artigo Noções básicas sobre grupos de funções de gerenciamento.
Políticas de atribuição de função de gerenciamento
Diretivas de atribuição de função de gerenciamento associam funções de gerenciamento de usuários finais a usuários. As políticas de atribuição de função consistem em funções que controlam o que um usuário pode fazer com sua caixa de correio ou grupos de distribuição. Estas funções não permitem o gerenciamento de recursos que não estejam associados diretamente ao usuário. Quando uma diretiva de atribuição de função é criada, tudo que o usuário pode fazer com sua caixa de correio é definido. Por exemplo, uma política de atribuição de função pode permitir que um usuário defina o nome de exibição, configure a caixa de correio de voz e configure as regras da caixa de entrada. Outra diretiva de atribuição de função poderia permitir que um usuário modificasse o endereço, usasse a transmissão de mensagens de texto e definisse grupos de distribuição. Cada usuário com uma caixa de correio do Exchange 2013, incluindo administradores, recebe uma política de atribuição de função por padrão. Você pode decidir qual política de atribuição de função deve ser atribuída por padrão, escolher qual política de atribuição de função padrão deve incluir, substituir o padrão para determinadas caixas de correio ou não atribuir políticas de atribuição de função por padrão.
Atribuir um usuário a uma política de atribuição é como você mais frequentemente gerencia permissões para que os usuários gerenciem suas próprias opções de caixa de correio e grupo de distribuição. Para obter mais informações, confira Noções básicas sobre políticas de atribuição de função de gerenciamento.
As políticas de atribuição de função consistem nos seguintes componentes que definem o que os usuários podem fazer com suas próprias caixas de correio. Observe que alguns dos mesmos componentes também se aplicam a grupos de funções. Quando usados com políticas de atribuição de função, esses componentes são limitados para permitir que os usuários gerenciem apenas sua própria caixa de correio:
Política de atribuição de função de gerenciamento: a política de atribuição de função de gerenciamento é um objeto especial no Exchange 2013. Os usuários são associados à política de atribuição de função quando suas caixas de correio são criadas ou se você alterar a política de atribuição de função em uma caixa de correio. Também é a ela que você atribui funções de gerenciamento de usuário final. A combinação de todas as funções em uma diretiva de atribuição de função define tudo o que o usuário pode gerenciar em sua caixa de correio ou em seus grupos de distribuição.
Função de gerenciamento: uma função de gerenciamento é um contêiner para um agrupamento de entradas de função de gerenciamento. As funções são usadas para definir as tarefas específicas que um usuário pode realizar em sua caixa de correio ou em seus grupos de distribuição. Uma entrada de função de gerenciamento é um cmdlet, script ou permissão especial que permite que cada tarefa específica em uma função de gerenciamento seja executada. Você só pode usar funções de usuário final com políticas de atribuição de função. Para obter mais informações, confira Noções básicas sobre funções de gerenciamento.
Atribuição de função de gerenciamento: uma atribuição de função de gerenciamento é o vínculo entre uma função e uma política de atribuição de função. Atribuir uma função a uma política de atribuição de função concede a capacidade de usar os cmdlets e parâmetros definidos na função. Quando você cria uma atribuição de função entre uma política de atribuição de função e uma função, não é possível especificar nenhum escopo. O escopo aplicado pela atribuição é
Self
ouMyGAL
. Todas as atribuições de função são escopo para a caixa de correio ou grupos de distribuição do usuário. Para obter mais informações, consulte Noções básicas sobre as atribuições de função de gerenciamento.
Se você quiser alterar quais funções são atribuídas às políticas de atribuição de função, você precisará alterar as atribuições de função que vinculam as políticas de atribuição de função às funções. A menos que as atribuições incorporadas ao Exchange 2013 não atendam às suas necessidades, você não precisará alterar essas atribuições. Para obter mais informações, consulte Noções básicas sobre as atribuições de função de gerenciamento.
Para obter mais informações, confira Noções básicas sobre políticas de atribuição de função de gerenciamento.
Atribuição direta de função de usuário
A atribuição de função direta é um método avançado para atribuir funções de gerenciamento diretamente a um usuário ou USG sem usar um grupo de funções ou uma política de atribuição de função. Atribuições de função direta podem ser úteis quando você precisa fornecer um conjunto granular de permissões para um usuário específico e nenhum outro. No entanto, o uso de atribuições de função direta pode aumentar significativamente a complexidade do modelo de permissões. Se um usuário alterar trabalhos ou deixar a empresa, você precisará remover manualmente as atribuições e adicioná-las ao novo funcionário. Recomendamos que você use grupos de funções para atribuir permissões a administradores e usuários especializados e políticas de atribuição de função para atribuir permissões aos usuários.
Para obter mais informações sobre a atribuição direta do usuário, consulte Noções básicas sobre atribuições de função de gerenciamento.
Resumo e exemplos
A figura a seguir mostra os componentes no RBAC e como eles se encaixam:
Grupos de função:
Um ou mais administradores podem ser membros de um grupo de funções. Eles também podem ser membros de mais de um grupo de funções.
O grupo de funções recebe uma ou mais atribuições de função. Elas vinculam o grupo de funções a uma ou mais funções administrativas que definem quais tarefas podem ser executadas.
As atribuições de função podem conter escopos de gerenciamento que definem onde os usuários do grupo de funções podem executar ações. Os escopos determinam onde os usuários do grupo de funções podem modificar a configuração.
Diretivas de atribuição de função:
Um ou mais usuários podem ser associados a uma política de atribuição de função.
A política de atribuição de função é atribuída a uma ou mais atribuições de função. Eles vinculam a política de atribuição de função a uma ou mais funções de usuário final. As funções de usuário final definem o que o usuário pode configurar em sua caixa de correio.
As atribuições de função entre políticas de atribuição de função e funções têm escopos internos que restringem o escopo das atribuições à própria caixa de correio ou grupos de distribuição do usuário.
Atribuição de função direta (avançada):
Uma atribuição de função pode ser criada diretamente entre um usuário ou USG e uma ou mais funções. A função define quais tarefas o usuário ou USG pode executar.
As atribuições de função podem conter escopos de gerenciamento que definem onde o usuário ou o USG podem executar ações. Os escopos determinam onde o usuário ou o USG podem modificar a configuração.
Visão geral do RBAC
Conforme mostrado na figura anterior, muitos componentes no RBAC estão relacionados uns aos outros. É como cada componente é montado que define as permissões aplicadas a cada administrador ou usuário. Os exemplos a seguir fornecem algum contexto adicional sobre como grupos de funções e políticas de atribuição de função são usados em uma organização.
Jane, a Administradora
Jane é administradora da empresa de médio porte, Contoso. Ela é responsável por gerenciar os destinatários da empresa em seu escritório em Vancouver. Quando o modelo de permissões para Contoso foi criado, Jane foi formada como membro do grupo de funções personalizadas Gerenciamento de Destinatários – Vancouver. O grupo de funções personalizadas Gerenciamento de Destinatários – Vancouver corresponde mais de perto às funções de seu trabalho, que incluem a criação e remoção de destinatários, como caixas de correio e contatos, gerenciamento de associação de grupo de distribuição e propriedades de caixa de correio e tarefas semelhantes.
Além do grupo de funções personalizadas Gerenciamento de Destinatários – Vancouver, Jane também precisa de uma política de atribuição de função para gerenciar as configurações de sua própria caixa de correio. Os administradores da organização decidiram que todos os usuários, exceto o gerenciamento sênior, recebem as mesmas permissões quando gerenciam suas próprias caixas de correio. Eles podem configurar a caixa postal, configurar políticas de retenção e alterar as informações de endereço. A política de atribuição de função padrão fornecida com o Exchange 2013 agora reflete esses requisitos.
Observação
Você deve ter notado que, como Jane é membro do grupo de funções personalizadas Gerenciamento de Destinatários - Vancouver, isso deve dar a ela permissões para gerenciar sua própria caixa de correio. Isso é verdade; no entanto, o grupo de funções não fornece todas as permissões necessárias para gerenciar todos os recursos de sua caixa de correio. As permissões necessárias para gerenciar configurações de política de retenção e email de voz não estão incluídas em seu grupo de funções. Elas são fornecidas apenas pela política de atribuição de função padrão atribuída a ela.
Para permitir isso, considere o grupo de funções, que fornece as permissões administrativas de Jane sobre os destinatários em Vancouver:
Um grupo de funções personalizado chamado Gerenciamento de Destinatários – Vancouver foi criado. Quando foi criado, ocorreu o seguinte:
O grupo de funções recebeu todas as mesmas funções de gerenciamento que também são atribuídas ao grupo de funções internas gerenciamento de destinatários. Isso fornece aos usuários adicionados ao grupo de funções personalizadas Gerenciamento de Destinatários – Vancouver as mesmas permissões que os usuários adicionados ao grupo de funções gerenciamento de destinatários. No entanto, as etapas a seguir limitam onde podem usar essas permissões.
O escopo de gerenciamento personalizado dos Destinatários de Vancouver foi criado, que corresponde apenas aos destinatários localizados em Vancouver. Isso foi feito criando um escopo que filtra a cidade de um usuário ou outras informações exclusivas.
O grupo de funções foi criado com o escopo de gerenciamento personalizado dos Destinatários de Vancouver. Isso significa que, embora os administradores adicionados ao grupo de funções personalizadas de Gerenciamento de Destinatários - Vancouver tenham permissões completas de gerenciamento de destinatários, eles só podem usar essas permissões contra destinatários com sede em Vancouver.
Para obter mais informações sobre como criar um grupo de funções personalizado, consulte Gerenciar grupos de funções.
Jane é então adicionada como membro do grupo de funções personalizadas Gerenciamento de Destinatários – Vancouver.
Para obter mais informações sobre como adicionar membros a um grupo de funções, consulte Gerenciar membros do grupo de funções.
Para dar a Jane a capacidade de gerenciar suas próprias configurações de caixa de correio, uma política de atribuição de função precisa ser configurada com as permissões necessárias. A política de atribuição de função padrão é usada para fornecer aos usuários as permissões necessárias para configurar sua própria caixa de correio. Todas as funções de usuário final são removidas da política de atribuição de função padrão, exceto para: MyBaseOptions
, MyContactInformation
, MyVoicemail
e MyRetentionPolicies
.
MyBaseOptions
é incluída porque essa função de gerenciamento fornece a funcionalidade básica do usuário em Outlook Web App, como regras de caixa de entrada, configuração de calendário e outras tarefas.
Nada mais precisa ser feito porque Jane já está atribuída à política de atribuição de função padrão. Isso significa que as alterações feitas nessa política de atribuição de função são imediatamente aplicadas à sua caixa de correio e quaisquer outras caixas de correio também atribuídas à política de atribuição de função padrão.
Para obter mais informações sobre como personalizar a política de atribuição de função padrão, consulte Gerenciar políticas de atribuição de função.
Joe, o Especialista
Joe trabalha para a Contoso, a mesma empresa para a qual Jane trabalha. Ele é responsável por executar a descoberta legal, definir as políticas de retenção e configurar regras de transporte e diários para toda a organização. Assim como com Jane, quando o modelo de permissões para Contoso foi criado, Joe foi adicionado aos grupos de função que correspondem aos seus deveres de trabalho. O grupo de funções Gerenciamento de Registros fornece a Joe as permissões para configurar políticas de retenção, diários e regras de transporte. O grupo de funções Do Gerenciamento de Descobertas fornece a ele a capacidade de executar pesquisas de caixa de correio.
Assim como com Jane, Joe também precisa de permissões para gerenciar sua própria caixa de correio. Ele recebe as mesmas permissões que Jane: ele pode configurar suas políticas de correio de voz e retenção, e alterar suas informações de endereço.
Para dar a Joe as permissões para executar suas funções de trabalho, Joe é adicionado aos grupos de funções Gerenciamento de Registros e Gerenciamento de Descobertas. Os grupos de funções não precisam ser alterados de forma alguma porque eles já fornecem a ele as permissões necessárias, e os escopos de gerenciamento aplicados a eles abrangem toda a organização.
Para obter mais informações sobre como adicionar um usuário a um grupo de funções, consulte Gerenciar membros do grupo de funções.
A caixa de correio de Joe também recebe a mesma política de atribuição de função padrão aplicada à caixa de correio de Jane. Isso lhe dá todas as permissões que ele precisa para gerenciar os recursos de sua caixa de correio que ele tem permissão para gerenciar.
Isabel, a vice-presidente
Isabel é vice-presidente de marketing da Contoso. Isabel, como parte da equipe de liderança sênior da Contoso, recebe mais permissões do que o usuário médio. Isso inclui as permissões que ela forneceu para gerenciar sua caixa de correio, com uma exceção: Isabel não tem permissão para gerenciar suas próprias políticas de retenção por razões de conformidade legal. Isabel pode configurar sua caixa postal, alterar suas informações de contato, alterar suas informações de perfil, criar e gerenciar seus próprios grupos de distribuição e adicionar ou remover-se de grupos de distribuição existentes pertencentes a outras pessoas.
Então, Isabel recebe permissões diferentes em sua própria caixa de correio. A maioria dos usuários da Contoso é atribuída à política de atribuição de função padrão. No entanto, a liderança sênior é atribuída à política de atribuição de função de Liderança Sênior. O seguinte é feito para criar a política de atribuição de função personalizada:
Uma política de atribuição de função personalizada chamada Liderança Sênior é criada. A política de atribuição de função é atribuída às
MyBaseOptions
funções ,MyContactInformation
,MyVoicemail
,MyProfileInformation
,MyDistributionGroupMembership
eMyDistributionGroups
.MyBaseOptions
é incluída porque essa função fornece a funcionalidade básica do usuário em Outlook Web App, como regras de caixa de entrada, configuração de calendário e outras tarefas.Em seguida, Isabel recebe manualmente a política de atribuição de função de Liderança Sênior.
A caixa de correio de Isabel agora tem as permissões fornecidas pela política de atribuição de função de Liderança Sênior. Todas as alterações feitas nessa política de atribuição de função são aplicadas automaticamente à caixa de correio dela e outras caixas de correio também atribuídas à mesma política de atribuição de função.