Permissões no EOP autônomo
A organização EOP (Proteção do Exchange Online autônoma) sem caixas de correio Exchange Online usa o modelo de permissões RBAC (role based Controle de Acesso) para conceder facilmente permissões aos administradores. Você pode usar os recursos de permissão no EOP autônomo para colocar sua nova organização em funcionamento rapidamente.
Para conceder permissões aos usuários, consulte Gerenciar grupos de funções de administrador no EOP.
Para obter mais informações sobre permissões no Microsoft 365, consulte Sobre funções de administrador.
Permissões baseadas em função
As permissões de administrador concedidas aos usuários são baseadas em funções de gerenciamento. Uma função de gerenciamento define os cmdlets que estão disponíveis para um conjunto de tarefas determinadas. O Centro de Administração do Exchange (EAC) e o PowerShell EOP autônomo usam cmdlets. Portanto, conceder acesso a um cmdlet dá aos usuários permissão para fazer tarefas no EAC ou no PowerShell do EOP autônomo. Por exemplo, a função Destinatários de Email define os cmdlets necessários para modificar usuários de email.
Grupos de função
Para facilitar a atribuição de funções aos usuários, o EOP autônomo usa grupos de funções. As funções de gerenciamento são atribuídas a grupos de funções e os membros do grupo de funções obtêm as permissões associadas às funções. Em outras palavras, as funções de gerenciamento não são atribuídas diretamente aos usuários; eles são atribuídos ao grupo de funções. Esse modelo permite atribuir muitas funções a muitos membros do grupo de funções ao mesmo tempo. Os membros do grupo de funções podem ser usuários de email, grupos de segurança habilitados para email, usuários do Centro de administração do Microsoft 365 e outros grupos de funções.
A figura a seguir mostra a relação entre usuários, grupos de função e funções.
Os grupos de função disponíveis no EOP autônomo são descritos na tabela a seguir.
Grupo de função | Descrição | Funções padrão atribuídas |
---|---|---|
Conformidade em comunicações | Embora esse grupo de funções esteja disponível, ele não faz nada útil no EOP autônomo. | Administrador de Conformidade de Comunicação Investigação de Conformidade de Comunicação |
Administradores de Conformidade de Comunicação | Embora esse grupo de funções esteja disponível, ele não faz nada útil no EOP autônomo. | Administrador de Conformidade de Comunicação |
Administrador de Conformidade | Gerenciar configurações para gerenciamento de dispositivos, prevenção de perda de dados, relatórios e preservação. | Administrador de Conformidade de Comunicação Administração de Gerenciamento de Riscos Internos |
Gerenciamento de Conformidade | Configure e gerencie as configurações de conformidade dentro da organização, incluindo a DLP (prevenção contra perda de dados) se sua assinatura tiver recursos DLP. Os membros da função administrador de conformidade no Microsoft Entra ID obter automaticamente as permissões desse grupo de funções. |
Logs de auditoria Administração de conformidade Prevenção contra Perda de Dados Gerenciamento de Direitos de Informação Registro no diário Rastreamento de Mensagem Gerenciamento de Retenção Regras de Transporte Logs de Auditoria Somente para Exibição Configuração Somente para Exibição Destinatários Somente para Exibição |
Gerenciamento de Descobertas | execute pesquisas de caixas de correio na organização exchange para obter dados que atendam a critérios específicos. | Guarda Legal Pesquisa de Caixa de Correio |
Suporte Técnico | Exibir e gerenciar usuários de email. | Redefinir senha Opções de usuário Destinatários Somente para Exibição |
Gerenciamento de Higienização | Gerenciar recursos de proteção (anti-spam, anti-malware etc.). | Higiene do Transporte Configuração Somente para Exibição Destinatários Somente para Exibição |
Proteção de Informações | Controle total sobre todos os recursos de proteção de informações, incluindo rótulos de confidencialidade e suas políticas, DLP, todos os tipos de classificador, exploradores de atividades e conteúdo e todos os relatórios relacionados. | Administrador de Proteção de Informações Investigador de Proteção de Informações Leitor de Proteção de Informações |
Administradores de Proteção de Informações | Embora esse grupo de funções esteja disponível, ele não faz nada útil no EOP autônomo. | Administrador de Proteção de Informações |
Analistas de Proteção de Informações | Embora esse grupo de funções esteja disponível, ele não faz nada útil no EOP autônomo. | Nenhum |
Investigadores de Proteção de Informações | Pesquisar o log de auditoria unificado | Investigador de Proteção de Informações |
Leitores de Proteção de Informações | Pesquise o log de auditoria unificado e exiba os relatórios resumos de tráfego de email e de email. | Leitor de Proteção de Informações |
Gerenciamento de riscos internos | Gerenciar o controle de acesso para gerenciamento de risco do Insider. | Administração de Gerenciamento de Riscos Internos Investigação de Gerenciamento de Riscos Internos |
Administradores de Gerenciamento de Riscos Internos | Embora esse grupo de funções esteja disponível, ele não faz nada útil no EOP autônomo. | Administração de Gerenciamento de Riscos Internos |
Investigadores do Gerenciamento de Risco Interno | Embora esse grupo de funções esteja disponível, ele não faz nada útil no EOP autônomo. | Investigação de Gerenciamento de Riscos Internos |
Gerenciamento de Organização | Administração acesso a toda a organização e a capacidade de executar quase qualquer tarefa. Os membros da função administrador global no Microsoft Entra ID obter automaticamente as permissões desse grupo de funções. Importante: como o grupo de funções gerenciamento de organização é uma função poderosa, somente os usuários que executam tarefas administrativas de nível organizacional devem ser membros desse grupo de funções. |
Logs de auditoria Administrador de Conformidade de Comunicação Investigação de Conformidade de Comunicação Administração de conformidade Prevenção contra Perda de Dados Grupos dinâmicos de distribuição Políticas de endereço de email Compartilhamento Federado Administrador de Proteção de Informações Investigador de Proteção de Informações Leitor de Proteção de Informações Gerenciamento de Direitos de Informação Administração de Gerenciamento de Riscos Internos Investigação de Gerenciamento de Riscos Internos Registro no diário Guarda Legal Pastas públicas habilitadas para email Criação de Destinatário de Email Destinatários de Email Dicas de email Controle de Mensagens Migração Mudança de Caixas de Correio Aplicativos Personalizados da Organização Aplicativos do Org Marketplace Acesso ao cliente da organização Configuração da Organização Configurações de transporte da organização Administração de Gerenciamento de Privacidade Investigação de Gerenciamento de Privacidade Pastas Públicas Diretivas de Destinatário Domínios remotos e aceitos Redefinir senha Gerenciamento de Retenção Gerenciamento de funções Administrador de Segurança Criação e associação de grupo de segurança Leitor de Segurança TenantPlacesManagement Higiene do Transporte Regras de Transporte Opções de usuário Logs de Auditoria Somente para Exibição Configuração Somente para Exibição Destinatários Somente para Exibição |
Gerenciamento de Privacidade | Embora esse grupo de funções esteja disponível, ele não faz nada útil no EOP autônomo. | Administração de Gerenciamento de Privacidade Investigação de Gerenciamento de Privacidade |
Administradores de Gerenciamento de Privacidade | Embora esse grupo de funções esteja disponível, ele não faz nada útil no EOP autônomo. | Administração de Gerenciamento de Privacidade |
Investigadores de Gerenciamento de Privacidade | Embora esse grupo de funções esteja disponível, ele não faz nada útil no EOP autônomo. | Investigação de Gerenciamento de Privacidade |
Gerenciamento de Destinatários | Crie, gerencie e remova objetos destinatários na organização. | Grupos dinâmicos de distribuição Criação de Destinatário de Email Destinatários de Email Controle de Mensagens Migração Mudança de Caixas de Correio Diretivas de Destinatário Redefinir senha |
Gerenciamento de Registros | Configure recursos de conformidade, como marcas de política de retenção, classificações de mensagens e regras de fluxo de email (também conhecidas como regras de transporte). | Logs de auditoria Registro no diário Rastreamento de Mensagem Gerenciamento de Retenção Regras de Transporte |
GUID RIM-MailboxAdmins<> | Não usado | ApplicationImpersonation |
Administrador de Segurança | Configure todos os aspectos de proteção na organização (anti-spam, anti-malware, anti-falsificação, quarentena etc.). Os membros da função administrador de segurança no Microsoft Entra ID obter automaticamente as permissões desse grupo de funções. |
Administrador de Segurança SensitivityLabelAdministrator |
Operador de Segurança | Gerencie alertas de segurança e também exiba relatórios e configurações de recursos de segurança. Os membros da função Operador de Segurança no Microsoft Entra ID obter automaticamente as permissões desse grupo de funções. |
Gerenciador AllowBlockList do Locatário |
SecurityReader | Acesso somente exibição a todos os aspectos de proteção na organização (anti-spam, anti-malware, anti-falsificação, quarentena etc.). Os membros da função Leitor de Segurança no Microsoft Entra ID obter automaticamente as permissões desse grupo de funções. |
Leitor de Segurança |
<TenantAdmins_Number> | A associação com esse grupo de função é sincronizada entre serviços e gerenciada centralmente. Esse grupo de funções não tem funções atribuídas, mas é membro do grupo de funções gerenciamento de organização e herda essas permissões. | Nenhum |
Gerenciamento da Organização Somente para Exibição | Exibir objetos de destinatário, proteção e configuração e suas propriedades na organização. | Configuração Somente para Exibição Destinatários Somente para Exibição |
Se você trabalhar em uma organização pequena, poderá usar apenas o grupo de funções gerenciamento de organização. Em organizações maiores com administradores responsáveis por tarefas específicas (por exemplo, somente configuração do destinatário), você também pode usar o grupo de funções gerenciamento de destinatários. Em seguida, os administradores podem gerenciar suas áreas específicas sem permissões em áreas pelas quais não são responsáveis.
Se os grupos de funções internos no Exchange Online não corresponderem à função de trabalho de seus administradores, você poderá criar grupos de funções e adicionar funções a eles. Para obter mais informações, consulte Gerenciar grupos de funções no EOP autônomo.
Funções
As funções internas que estão disponíveis no EOP autônomo são descritas na tabela a seguir.
Função | Descrição | Atribuições de grupo de função padrão |
---|---|---|
Address Lists | Permite que os administradores gerenciem listas de endereços, listas de endereços globais e listas de endereços offline em uma organização. | Nenhum |
Logs de auditoria | Pesquise o log de auditoria do administrador e exiba os resultados. | Gerenciamento de Conformidade Gerenciamento de Organização Gerenciamento de Registros |
Administrador de Conformidade de Comunicação | Embora essa função esteja disponível, ela não faz nada útil no EOP autônomo. | Conformidade em comunicações Administradores de Conformidade de Comunicação Administrador de Conformidade Gerenciamento de Organização |
Investigação de Conformidade de Comunicação | Embora essa função esteja disponível, ela não faz nada útil no EOP autônomo. | Gerenciamento de Organização |
Administração de conformidade | Permite que as pessoas exibam e editem configurações e relatórios para recursos de conformidade. | Gerenciamento de Conformidade Gerenciamento de Organização |
Prevenção contra Perda de Dados | Permite que os administradores gerenciem as configurações de DLP (Prevenção contra Perda de Dados) na organização. | Gerenciamento de Conformidade Gerenciamento de Organização |
Grupos dinâmicos de distribuição | Crie e gerencie todos os grupos de distribuição, grupos de segurança habilitados para email e membros. | Gerenciamento da Organização Gerenciamento de Destinatários |
Políticas de endereço de email | Permite que os administradores gerenciem políticas de endereço de email em uma organização. | Gerenciamento de Organização |
Compartilhamento Federado | Permite que os administradores gerenciem o compartilhamento entre florestas e organizações em uma organização. | Gerenciamento de Organização |
Administrador de Proteção de Informações | Embora essa função esteja disponível, ela não faz nada útil no EOP autônomo. | Proteção de Informações Administradores de Proteção de Informações Gerenciamento de Organização |
Investigador de Proteção de Informações | Pesquise o log de auditoria unificado. | Proteção de Informações Investigadores de Proteção de Informações Gerenciamento de Organização |
Leitor de Proteção de Informações | Pesquise o log de auditoria unificado e exiba os relatórios resumos de tráfego de email e de email. | Proteção de Informações Leitores de Proteção de Informações Gerenciamento de Organização |
Gerenciamento de Direitos de Informação | Gerencie os recursos do IRM (Gerenciamento de Direitos de Informação) do Exchange em uma organização. | Gerenciamento de Conformidade Gerenciamento de Organização |
Administração de Gerenciamento de Riscos Internos | Embora essa função esteja disponível, ela não faz nada útil no EOP autônomo. | Administrador de Conformidade Gerenciamento de riscos internos Administradores de Gerenciamento de Riscos Internos Gerenciamento de Organização |
Investigação de Gerenciamento de Riscos Internos | Embora essa função esteja disponível, ela não faz nada útil no EOP autônomo. | Gerenciamento de riscos internos Investigadores do Gerenciamento de Risco Interno Gerenciamento de Organização |
Registro no diário | Permite que os administradores gerenciem a configuração de diário em uma organização. | Gerenciamento de Conformidade Gerenciamento de Organização Gerenciamento de Registros |
Guarda Legal | Permite que os administradores configurem se os dados dentro de uma caixa de correio devem ser mantidos para fins de litígio em uma organização. | Gerenciamento de Descobertas Gerenciamento de Organização |
Pastas públicas habilitadas para email | Permite que os administradores configurem se as pastas públicas individuais estão habilitadas para email ou desabilitadas por email em uma organização. | Gerenciamento de Organização |
Criação de Destinatário de Email | Crie e remova usuários de email e contatos de email. | Gerenciamento da Organização Gerenciamento de Destinatários |
Destinatários de Email | Modifique os usuários de email existentes e os contatos de email. | Gerenciamento da Organização Gerenciamento de Destinatários |
Dicas de email | Permite que os administradores gerenciem as configurações do MailTip em uma organização. | Gerenciamento de Organização |
Exportação de importação de caixa de correio | Permite que os administradores importem e exportem conteúdo de caixa de correio. | Gerenciamento de Organização |
Pesquisa de Caixa de Correio | Permite que os administradores pesquisem o conteúdo de uma ou mais caixas de correio em uma organização. | Gerenciamento de Descobertas |
Rastreamento de Mensagens | Permite que os administradores acompanhem mensagens em uma organização. | Gerenciamento de Conformidade Gerenciamento da Organização Gerenciamento de Destinatários Gerenciamento de Registros |
Migração | Permite que os administradores migrem as caixas de correio e o conteúdo da caixa de correio para ou para fora de uma organização. | Gerenciamento da Organização Gerenciamento de Destinatários |
Mudança de Caixas de Correio | Permite que os administradores movam caixas de correio. | Gerenciamento da Organização Gerenciamento de Destinatários |
Acesso ao cliente da organização | Permite que os administradores gerenciem as configurações de Acesso ao Cliente em uma organização. | Gerenciamento de Organização |
Configuração da Organização | Permite que os administradores gerenciem as configurações em toda a organização. | Gerenciamento de Organização |
Configurações de transporte da organização | Permite que os administradores gerenciem configurações híbridas e de transporte de email em toda a organização. | Gerenciamento de Organização |
Administração de Gerenciamento de Privacidade | Embora essa função esteja disponível, ela não faz nada útil no EOP autônomo. | Gerenciamento de Organização Gerenciamento de Privacidade Administradores de Gerenciamento de Privacidade |
Investigação de Gerenciamento de Privacidade | Embora essa função esteja disponível, ela não faz nada útil no EOP autônomo. | Gerenciamento de Organização Gerenciamento de Privacidade Investigadores de Gerenciamento de Privacidade |
Pastas Públicas | Permite que os administradores gerenciem pastas públicas em uma organização. | Gerenciamento de Organização |
Diretivas de Destinatário | Permite que os administradores gerenciem políticas de destinatário (políticas de autenticação, políticas de criptografia de dados políticas de caixa de correio de dispositivo móvel e políticas de caixa de correio Outlook na Web) em uma organização. | Gerenciamento da Organização Gerenciamento de Destinatários |
Domínios remotos e aceitos | Gerenciar domínios remotos, domínios aceitos e conectores. | Gerenciamento de Organização |
Redefinir senha | Permite que os administradores definam senhas da caixa de correio da sala. | Suporte Técnico Gerenciamento da Organização Gerenciamento de Destinatários |
Gerenciamento de Retenção | Permite que as pessoas gerenciem políticas de retenção. | Gerenciamento de Conformidade Gerenciamento de Organização Gerenciamento de Registros |
Gerenciamento de funções | Permite que os administradores gerenciem grupos de funções de gerenciamento, políticas de atribuição de função, funções de gerenciamento, entradas de função, atribuições e escopos em uma organização. | Gerenciamento de Organização |
Administrador de Segurança | Gerencie a configuração e os relatórios para todos os recursos de segurança e proteção. | Gerenciamento de Organização Administrador de Segurança |
Criação e associação de grupo de segurança | Crie e gerencie grupos de segurança habilitados para email. | Gerenciamento de Organização |
Leitor de Segurança | Exiba a configuração e os relatórios para recursos de segurança e proteção. | Gerenciamento de Organização Leitor de Segurança |
SensitivityLabelAdministrator | Permite que as pessoas editem propriedades de rótulo de confidencialidade. | Gerenciamento de Organização Administrador de Segurança |
Gerenciador AllowBlockList do Locatário | Permite que as pessoas gerenciem a Lista de Permissões/Blocos do Locatário. | Gerenciamento de Organização Operador de Segurança |
TenantPlacesManagement | Embora essa função esteja disponível, ela não faz nada útil no EOP autônomo. | Gerenciamento de Organização |
Higiene do Transporte | Gerenciar recursos anti-malware, anti-spam e anti-falsificação. | Gerenciamento de Higienização Gerenciamento de Organização |
Regras de Transporte | Crie e gerencie regras de fluxo de email (também conhecidas como regras de transporte). | Gerenciamento de Conformidade Gerenciamento de Organização Gerenciamento de Registros |
Opções de usuário | Permite que os administradores exibam as opções Outlook na Web de usuários na organização. | Suporte Técnico Gerenciamento de Organização |
Logs de Auditoria Somente para Exibição | Pesquise o log de auditoria do administrador e exiba os resultados. | Gerenciamento de Conformidade Gerenciamento de Organização |
Configuração Somente para Exibição | Exiba todas as configurações de fluxo de email e organização (não destinatário) na organização. | Gerenciamento de Conformidade Gerenciamento de Higienização Gerenciamento de Organização Gerenciamento da Organização Somente para Exibição |
Destinatários Somente para Exibição | Exiba as propriedades do destinatário e execute o rastreamento de mensagens. | Gerenciamento de Conformidade Suporte Técnico Gerenciamento de Higienização Gerenciamento de Organização Gerenciamento da Organização Somente para Exibição |
Observação
- Nomes de função que começam com o prefixo 'My' (por exemplo, MyContactInformation) são funções de usuário final. As funções de usuário final são atribuídas aos usuários em políticas de atribuição de função, que permitem que os usuários operem no objeto que possuem (por exemplo, sua própria conta ou grupos de distribuição que criaram). Para obter mais informações, consulte Políticas de atribuição de função no Exchange Online.
- Os nomes de função que começam ou terminam com 'Application' fazem parte do RBAC para Aplicativos em Exchange Online. Para obter mais informações, consulte Controle de Acesso baseada em função para aplicativos em Exchange Online.
Permissões do Microsoft 365 no EOP autônomo
Ao criar um usuário no Centro de administração do Microsoft 365, você pode escolher se deve atribuir várias funções de Microsoft Entra (por exemplo, Administrador Global, Administrador do Exchange e Leitor Global) ao usuário. A maioria das funções Microsoft Entra concede permissões administrativas no EOP ao usuário.
Observação
A conta usada para criar sua organização EOP autônoma é atribuída automaticamente à função de Administrador Global.
A tabela a seguir lista as funções Microsoft Entra e os grupos de função EOP autônomos aos quais correspondem. Para obter mais informações sobre essas funções, consulte Sobre funções de administrador.
Microsoft Entra função | Grupo de funções EOP |
---|---|
Administrador Global | Gerenciamento de Organização Observação: a função administrador global e o grupo de funções gerenciamento de organização estão vinculados usando um grupo de funções de administrador da empresa especial. O grupo de funções administrador da empresa é gerenciado internamente e não pode ser modificado diretamente. |
Administrador do Exchange | Gerenciamento de Organização |
Leitor Global | Gerenciamento viewOnlyOrganization |
Administrador da Assistência Técnica | Suporte Técnico |
Administrador do Suporte de Serviços | Nenhum |
Administrador do SharePoint | Nenhum |
Administrador do Teams | Nenhum |
Administrador do usuário | Gerenciamento de Destinatários |
Gerenciador de Sucesso da Experiência do Usuário | Nenhum |
Os usuários podem receber direitos administrativos no EOP sem adicioná-los a funções Microsoft Entra adicionando o usuário como membro de um grupo de funções EOP. O usuário obtém permissões no EOP, mas não obtém permissões em outras cargas de trabalho do Microsoft 365. Para obter instruções, consulte Usar o EAC para gerenciar grupos de funções.