Políticas de atribuição de função no Exchange Online
Uma política de atribuição de função é uma coleção de uma ou mais funções de usuário final que permitem que os usuários gerenciem suas configurações de caixa de correio e grupos de distribuição em Exchange Online. As funções de usuários finais fazem parte do modelo de permissões RBAC (controle de acesso baseado em função) no Exchange Online. Você pode atribuir políticas de atribuição de função diferentes a diferentes usuários para permitir ou impedir recursos específicos de autogerenciamento em Exchange Online. Para obter mais informações, consulte Políticas de atribuição de função.
No Exchange Online, uma política de atribuição de função padrão denominada Política de Atribuição de Função Padrão é especificada pelo plano de caixa de correio que é atribuído aos usuários quando sua conta é licenciada. Para obter mais informações sobre planos de caixa de correio, consulte Planos de caixa de correio em Exchange Online.
Observação
As funções de usuário e as políticas de Outlook Web App agora estão disponíveis no centro de administração do Exchange.
As políticas de atribuição de função são como as funções de usuário final (em oposição às funções de gerenciamento) são atribuídas aos usuários em Exchange Online. Há varias maneiras de usar as diretivas de atribuição de função para atribuir permissões a usuários:
Novos usuários:
Altere as funções de usuário final que são atribuídas à política de atribuição de função padrão.
Criar uma política de atribuição de função personalizada e defini-la como padrão. Observe que esse método afeta apenas as caixas de correio que você cria sem especificar uma política de atribuição de função ou atribuir uma licença (a licença especifica o plano de caixa de correio, que especifica a política de atribuição de função).
Especifique uma política de atribuição de função personalizada no plano de caixa de correio. Para obter mais informações, consulte Usar Exchange Online PowerShell para modificar planos de caixa de correio.
Usuários existentes:
Atribua uma licença diferente ao usuário. Isso aplicará as configurações do plano de caixa de correio diferente, que especifica a política de atribuição de função a ser aplicada.
Atribua manualmente uma política de atribuição de função personalizada a caixas de correio.
As funções de usuário final disponíveis que você pode atribuir aos planos de caixa de correio são descritas na tabela a seguir:
| Função | Atribuído à Política de Atribuição de Função Padrão por padrão? | Descrição |
|---|---|---|
| Meus Aplicativos personalizados | Sim | Instale aplicativos personalizados. |
| Meus Aplicativos do Marketplace | Sim | Instale aplicativos do marketplace. |
| Meus aplicativos ReadWriteMailbox | Sim | Instale aplicativos com permissões ReadWriteMailbox. |
| MyBaseOptions | Sim | Necessário para que os usuários acessem opções em Outlook na Web de sua própria caixa de correio. |
| MyContactInformation | Sim | Edite seu endereço e número de telefone na GAL (lista de endereços global). Essa função contém as seguintes funções filho:
Se você acha que essa função dá muito poder aos usuários, você pode remover a função da política de atribuição de função e atribuir uma ou mais funções filho. Para obter instruções, consulte a seção Adicionar ou remover funções de uma política de atribuição de função neste tópico. |
| MyDistributionGroupMembership | Sim | Junte ou deixe grupos de distribuição existentes (se o grupo estiver configurado para permitir que os membros entrem ou saiam do grupo). |
| MyDistributionGroups | Sim | Crie novos grupos de distribuição, exclua grupos que eles possuem, modifique grupos que possuem e gerencie a associação de grupo para grupos que possuem. |
| MyMailboxDelegation | Não | Permite que os usuários concedam o envio em nome de permissões para outros usuários em sua caixa de correio. As mensagens mostram claramente o remetente no campo De (<Remetente> em nome da caixa de <correio>), mas as respostas são entregues na caixa de correio, não no remetente. |
| MyMailSubscriptions | Sim | As contas conectadas foram removidas do Outlook na Web em novembro de 2018. Para obter mais informações, consulte Contas conectadas não têm mais suporte em Outlook na Web. |
| MyProfileInformation | Sim | Edite seu nome, inicial do meio, sobrenome e nome de exibição na GAL. Essa função contém as seguintes funções filho:
Se você acha que essa função dá muito poder aos usuários, você pode remover a função da política de atribuição de função e atribuir uma das funções filho. Para obter instruções, consulte a seção Adicionar ou remover funções de uma política de atribuição de função neste tópico. |
| MyRetentionPolicies | Sim | Permite que os usuários adicionem marcas pessoais que não fazem parte de sua política de retenção atribuída.* |
| MyTeamMailboxes | Sim | As caixas de correio do site foram descontinuadas em favor dos grupos do Microsoft 365 em setembro de 2017. Para obter mais informações, consulte Usar Grupos do Microsoft 365 em vez de Caixas de Correio do Site. |
| MyTextMessaging | Sim | Habilitar notificações de mensagem de texto para reuniões e novas mensagens de email.* |
| MyVoiceMail | Sim | Atualize suas configurações de email de voz.* |
*Esse recurso não está disponível em todas as regiões ou organizações.
Do que você precisa saber para começar?
Tempo estimado para concluir cada procedimento: menos de 5 minutos.
Os procedimentos neste tópico exigem a função RBAC de Gerenciamento de Funções no Exchange Online. Normalmente, você obtém essa permissão por meio da associação ao grupo de funções gerenciamento de organização (a função Microsoft 365 ou Office 365 Administrador global). Para saber mais, confira Gerenciar Grupos de Funções do Exchange Online.
Para abrir o Centro de administração do Exchange (EAC), consulte Centro de administração do Exchange em Exchange Online. Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.
As alterações nas permissões entrarão em vigor depois que o usuário faz logon e faz logon novamente.
Exibir funções atribuídas a uma política de atribuição de função
Usar o EAC para exibir funções atribuídas a uma política de atribuição de função
No EAC, clique em Funções>Administração funções. Todos os grupos de funções em sua organização são listadas aqui.
Selecione um grupo de funções. O painel de detalhes mostra o nome, a descrição e a adição das permissões do grupo de funções.
Use Exchange Online PowerShell para exibir funções atribuídas a uma política de atribuição de função
Para exibir as funções atribuídas a uma política de atribuição de função, use a seguinte sintaxe:
Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto
Este exemplo retorna as funções atribuídas à política chamada Política de Atribuição de Função Padrão.
Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto
Para informações detalhadas de sintaxes e de parâmetros, consulte Get-ManagementRoleAssignment.
Observação: para retornar uma lista de todas as funções de usuário final disponíveis, execute o seguinte comando:
Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent
Adicionar ou remover funções de uma política de atribuição de função
Usar o EAC para adicionar ou remover funções de uma política de atribuição de função
No EAC, clique em funções>De usuário, selecione a política de atribuição de função e clique no
.Na janela de propriedades da política que é aberta, faça o seguinte:
Para adicionar uma função, selecione a caixa marcar ao lado da função.
Para remover uma função que já está atribuída, desmarque a caixa marcar.
Se você marcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão marcadas. Se você limpar a caixa marcar da função pai, as caixas de marcar para as funções filho também serão limpas. Você pode selecionar uma função filho desmarcando a caixa marcar da função pai e selecionando a função filho individual.
Quando concluir, clique em Salvar.
Use Exchange Online PowerShell para adicionar funções a uma política de atribuição de função
Adicionar uma função a uma política de atribuição de função cria uma nova atribuição de função com um nome exclusivo que é uma combinação dos nomes da função e da política de atribuição de função.
Para adicionar funções a uma política de atribuição de função, use a seguinte sintaxe:
New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"
Este exemplo adiciona a função MyMailboxDelegation à política de atribuição de função chamada Política de Atribuição de Função Padrão.
New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"
Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.
Use Exchange Online PowerShell para remover funções de uma política de atribuição de função
Use o procedimento do Use Exchange Online PowerShell para exibir funções atribuídas a uma seção de política de atribuição de função anteriormente neste tópico para encontrar o nome da atribuição de função para a função que você deseja remover (é uma combinação dos nomes da função e da política de atribuição de função).
Para remover a função da política de atribuição de função, use esta sintaxe:
Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"Este exemplo remove a função MyDistributionGroups da política de atribuição de função chamada Política de Atribuição de Função Padrão.
Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-ManagementRoleAssignment.
Criar políticas de atribuição de função
Usar o EAC para criar políticas de atribuição de função
No EAC, vá para funções Administração funções> e clique em Adicionar grupo de funções.
Na janela Adicionar grupo de funções , clique em Configurar a seção básica , configure as seguintes configurações e clique em Avançar:
Nome: insira um nome exclusivo para o grupo de função.
Descrição: insira uma descrição opcional para o grupo de funções.
Selecione as funções que você deseja atribuir à política.
Na seção Adicionar permissões , selecione as funções e clique em Avançar. As funções definem o escopo das tarefas que os membros atribuídos a esse grupo de funções têm permissão para gerenciar.
Na seção Atribuir administradores , selecione os usuários para atribuir a esse grupo de funções e clique em Avançar. Eles terão permissões para gerenciar as funções atribuídas.
Na seção Revisar função e concluir , verifique todos os detalhes e clique em Adicionar grupo de funções.
Clique em Concluído.
Usar Exchange Online PowerShell para criar políticas de atribuição de função
Para criar uma política de atribuição de função, use a seguinte sintaxe:
New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]
Este exemplo cria uma nova política de atribuição de função chamada Contoso Contractors que incluem as funções de usuário final especificadas.
New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-RoleAssignmentPolicy.
Modificar políticas de atribuição de função
Você pode usar o EAC ou o Exchange PowerShell para adicionar ou remover funções de uma política de atribuição de função.
Você só pode usar Exchange Online PowerShell para especificar a política de atribuição de função padrão aplicada a novas caixas de correio que não recebem uma licença ou uma política de atribuição de função quando elas são criadas.
Caso contrário, tudo o que você pode fazer no EAC ou Exchange Online PowerShell é modificar o nome e a descrição da política de atribuição de função.
Use Exchange Online PowerShell para especificar a política de atribuição de função padrão
Para especificar a política de atribuição de função padrão, use a seguinte sintaxe:
Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault
Este exemplo configura os Usuários da Contoso como a política de atribuição de função padrão.
Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault
Observação: a opção IsDefault também está disponível nos cmdlets New-RoleAssignmentPolicy .
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-RoleAssignmentPolicy.
Remover políticas de atribuição de função
Não é possível remover a política de atribuição de função que está especificada atualmente como padrão. Primeiro, você precisa especificar outra política de atribuição de função como o padrão antes de poder excluir a política.
Não é possível remover uma política de atribuição de função que está atribuída a caixas de correio. Use os procedimentos descritos na seção Usar Exchange Online PowerShell para modificar atribuições de política de atribuição de função na seção caixas de correio para substituir a política de atribuição de função atribuída às caixas de correio.
Usar o EAC para remover políticas de atribuição de função
No EAC, acesse funções Administração funções>.
Selecione o grupo de funções e clique em Excluir.
Clique em Confirmar na janela de confirmação.
Use Exchange Online PowerShell para remover políticas de atribuição de função
Para remover uma política de atribuição de função, use a seguinte sintaxe:
Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"
Este exemplo remove a política de atribuição de função chamada Contoso Managers.
Remove-RoleAssignmentPolicy -Identity "Contoso Managers"
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-RoleAssignmentPolicy.
Exibir atribuições de política de atribuição de função em caixas de correio
Usar o EAC para exibir atribuições de política de atribuição de função em caixas de correio
No EAC, acesseCaixas de correiodestinatários>, selecione a caixa de correio e clique no
.Na janela propriedades da caixa de correio que é aberta, clique em Recursos da caixa de correio. A política de atribuição de função é mostrada no campo Política de atribuição de função.
Quando concluir, clique em Salvar.
Use Exchange Online PowerShell para exibir atribuições de política de atribuição de função em caixas de correio
Para ver a atribuição da política de atribuição de função em uma caixa de correio específica, use a seguinte sintaxe:
Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy
Este exemplo retorna a política de atribuição de função para a caixa de correio chamada Pedro Pizarro.
Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy
Para retornar todas as caixas de correio que têm uma política de atribuição de função específica atribuída, use a seguinte sintaxe:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}
Este exemplo retorna todas as caixas de correio que têm a política de atribuição de função chamada Contoso Managers atribuída.
$Mgrs = Get-Mailbox -ResultSize unlimited
$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}
Modificar atribuições de política de atribuição de função em caixas de correio
Uma caixa de correio pode ter apenas uma política de atribuição de função atribuída. A política de atribuição de função atribuída à caixa de correio substituirá a política de atribuição de função existente atribuída.
Usar o EAC para modificar atribuições de política de atribuição de função em caixas de correio
No EAC, clique em Caixasde Correiode Destinatários> e faça uma das seguintes etapas:
Caixas de correio individuais: selecione a caixa > de correio clique no
> clique em Recursos de caixa de correio na janela que abre > clique na lista suspensa ao lado da política > de atribuição de função selecione uma nova política > de atribuição de função clique em Salvar.Várias caixas de correio: selecione várias caixas de correio do mesmo tipo (por exemplo, Usuário) selecionando uma caixa de correio, segurando a tecla Shift e selecione outra caixa de correio mais para baixo na lista ou segurando a tecla Ctrl enquanto seleciona cada caixa de correio. No painel de detalhes (que agora é intitulado Edição em Massa): clique em Mais opções> clique em Atualizar. Na seção Política de Atribuição de Função , selecione a política de atribuição de função na janela que aparece > clique em Salvar.
Use Exchange Online PowerShell para modificar atribuições de política de atribuição de função em caixas de correio
Para alterar a atribuição da política de atribuição de função em uma caixa de correio específica, use esta sintaxe:
Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
Este exemplo aplica a política de atribuição de função chamada Contoso Managers à caixa de correio chamada Pedro Pizarro.
Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
Para alterar a atribuição de todas as caixas de correio que têm uma política de atribuição de função específica atribuída, use a seguinte sintaxe:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'
Este exemplo altera a política de atribuição de função da Política de Atribuição de Função Padrão para a Equipe da Contoso para todas as caixas de correio que atualmente têm a Política de Atribuição de Função Padrão atribuída.
$Users = Get-Mailbox -ResultSize unlimited
$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'