Поделиться через


Разрешения в Exchange Online

Глобальные роли в Идентификаторе Microsoft Entra позволяют управлять разрешениями и доступом к возможностям во всех службах Microsoft 365, включая Exchange Online. Дополнительные сведения см. в разделе Разрешения Microsoft Entra.

Но если вам нужно ограничить разрешения и возможности для функций Exchange Online, вы можете назначить разрешения Exchange Online в Центре администрирования Exchange (EAC) и в Exchange Online PowerShell.

Чтобы управлять разрешениями Exchange Online в Центре администрирования Exchange, перейдите в раздел Роли>администратора или перейдите непосредственно на страницу Роли администратора по адресу https://admin.exchange.microsoft.com/#/adminRoles.

Необходимо быть членом группы ролей "Управление организацией" в Exchange Online. В частности, роль "Управление ролями" в Exchange Online позволяет пользователям просматривать, создавать и изменять группы ролей Exchange Online. По умолчанию эта роль назначается только группе ролей Управление организацией .

Exchange Online включает в себя большой набор предопределенных разрешений на основе модели разрешений на основе ролей (RBAC), которую можно использовать сразу, чтобы легко предоставлять разрешения администраторам и пользователям. Вы можете использовать функции разрешений в Exchange Online, чтобы быстро запустить новую организацию.

Совет

Управление разрешениями в Exchange Online предоставляет пользователям доступ к функциям в EAC и Exchange Online PowerShell. Чтобы предоставить разрешения другим функциям, таким как функции соответствия на портале соответствия требованиям Microsoft Purview или функции безопасности на портале Microsoft Defender, см. следующие статьи:

Несколько расширенных функций и концепций RBAC не рассматриваются в этой статье. Если функциональные возможности, описанные в этой статье, не соответствуют вашим потребностям и вы хотите дополнительно настроить модель разрешений, см. раздел Общие сведения об управлении доступом на основе ролей.

Разрешения на основе ролей

Разрешения Exchange Online основаны на модели разрешений управления доступом на основе ролей (RBAC). RBAC — это та же модель разрешений, которая используется большинством служб Microsoft 365 и Exchange Server, поэтому, если вы знакомы со структурой разрешений в этих службах, предоставление разрешений в Exchange Online должно быть знакомым.

  • Роль или роль управления предоставляет разрешения на выполнение набора задач. Разрешения Exchange Online используют следующие типы ролей:

    • Роли администратора. Определяет набор задач, которые может выполнять администратор. Если роль администратора назначается группе ролей, а администратор или пользователь является членом этой группы ролей, ему предоставляются разрешения, предоставляемые этой ролью. Эти роли перечислены и описаны в этой статье.
    • Роли конечных пользователей. Эти роли, назначенные с помощью политик назначения ролей, позволяют пользователям управлять аспектами их собственных почтовых ящиков и групп рассылки, которыми они владеют. Роли конечных пользователей начинаются с префикса My. Дополнительные сведения см. в разделе далее в этой статье.
    • Роли приложений. Эти имена ролей, начинающиеся или заканчивающиеся на "Приложение", являются частью RBAC для приложений в Exchange Online. Дополнительные сведения см. в статье Управление доступом на основе ролей для приложений в Exchange Online.

    Роли предоставляют пользователям разрешения на выполнение задач, делая командлеты Exchange Online доступными пользователям. Так как EAC и Exchange Online PowerShell используют командлеты для управления Exchange Online, предоставление доступа к командлету дает администратору или пользователю разрешение на выполнение задачи в любом из интерфейсов управления Exchange Online.

  • Группа ролей упрощает назначение ролей администраторам. Когда роль назначается группе ролей, разрешения, соответствующие этой роли, предоставляются всем участникам данной группы. Разрешения Exchange Online включают группы ролей по умолчанию для наиболее распространенных задач и функций, которые необходимо назначить. Вы также можете создать настраиваемую группу ролей. Мы рекомендуем добавлять отдельных пользователей в качестве участников в группы ролей по умолчанию или пользовательские группы ролей, а не назначать роли непосредственно пользователям. Члены группы ролей могут быть пользователями Exchange Online и других групп ролей.

    Добавление пользователей в группы ролей Exchange Online предоставляет права администратора пользователям в Exchange Online, не добавляя их в роли Microsoft Entra. Пользователи получают разрешения, предоставленные группой ролей в Exchange Online, только без разрешения на другие функции или рабочую нагрузку Microsoft 365.

Роль, группа ролей и связь участников.

В оставшейся части этой статьи описаны роли администратора и группы ролей в Exchange Online.

Совет

Политика назначения ролей — это тип группы ролей, которая используется для назначения пользователям ролей конечных пользователей. Дополнительные сведения см. в статье Политики назначения ролей в Exchange Online.

Группы ролей в Exchange Online

В таблице этого раздела перечислены группы ролей администратора по умолчанию, доступные в Exchange Online, и роли, назначенные группам ролей по умолчанию. Чтобы предоставить пользователю разрешения на выполнение задач в Exchange Online, добавьте их в соответствующую группу ролей.

Если вы работаете в небольшой организации с несколькими администраторами, может потребоваться добавить этих администраторов только в группу ролей "Управление организацией", и вам, возможно, никогда не потребуется использовать другие группы ролей. Если вы работаете в более крупной организации, у вас могут быть администраторы, которые выполняют определенные задачи администрирования Exchange Online, например настройку получателей. В таких случаях можно добавить одного администратора в группу ролей Управление получателями, а другого администратора в группу ролей Управление организацией. Эти администраторы могут управлять определенными областями Exchange Online, но у них нет разрешений на управление областями, за которые они не отвечают.

Если встроенные группы ролей в Exchange Online не соответствуют функции заданий администраторов, можно создать группы ролей и добавить в них роли. Дополнительные сведения см. в статье Управление группами ролей в Exchange Online.

Совет

Если не указано иное, одни и те же группы ролей и назначения ролей используются в автономной службе Exchange Online Protection.

Группа ролей Описание Назначенные роли по умолчанию
Соответствие требованиям к обмену данными Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. Администратор соответствия требованиям к обмену данными

Исследование соответствия требованиям к обмену данными
Администраторы соответствия требованиям к обмену данными Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. Администратор соответствия требованиям к обмену данными
Администратор соответствия требованиям Управление параметрами управления устройствами, защиты от потери данных, отчетов и сохранения. Администратор соответствия требованиям к обмену данными

Администратор управления внутренними рисками
Управление соответствием требованиям Участники могут настраивать параметры соответствия и управлять ими в Exchange в соответствии со своими политиками. Журналы аудита

Администратор соответствия требованиям

Защита от потери данных

Управление правами на доступ к данным

Ведение журнала

Отслеживание сообщений

Управление хранением

Правила транспорта

Журналы аудита только для просмотра

Конфигурация только для чтения

Получатели только для чтения
Управление обнаружением Участники могут выполнять поиск данных, соответствующих определенным критериям, в почтовых ящиках в организации Exchange Online, а также настраивать удержание почтовых ящиков по юридическим причинам. Юридическое удержание

Поиск в почтовом ящике
уникальное< значение> ExchangeServiceAdmins_¹ Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Этой группе ролей не назначены роли. Однако он входит в группу ролей "Управление организацией" (в качестве администратора службы Exchange) и наследует разрешения, предоставляемые этой группой ролей.

Вы можете добавить участников в эту группу ролей, добавив пользователей в роль администратора Exchange Microsoft Entra ID в Центре администрирования Microsoft 365.
н/д
Служба технической поддержки Участники могут просматривать конфигурацию отдельных получателей и просматривать получателей в организации Exchange и управлять ими. Члены этой группы ролей могут управлять только конфигурацией, которыми каждый пользователь может управлять в своем почтовом ящике. Сброс пароля

Параметры пользователя

Получатели только для чтения
Управление санацией Участники могут управлять функциями защиты от нежелательной почты в Exchange, предоставлять антивирусным продуктам разрешения на интеграцию с Exchange и управлять правилами потока обработки почты. Транспортная гигиена

Конфигурация только для чтения

Получатели только для чтения
Защита информации Полный контроль над всеми функциями защиты информации, включая метки конфиденциальности и их политики, защиту от потери данных, все типы классификаторов, обозревателей действий и содержимого, а также все связанные отчеты. Администратор Information Protection

Аналитик информационной защиты 2

Исследователь Information Protection

Читатель Information Protection
Администраторы Information Protection Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. Администратор Information Protection
Аналитики Information Protection Назначения ролей в этой группе ролей предоставляют доступ к командлету Search-UnifiedAuditLog в Exchange Online. Аналитик информационной защиты 2
Исследователи Information Protection Поиск в едином журнале аудита Исследователь Information Protection
Читатели Information Protection Выполните поиск в едином журнале аудита и просмотрите отчеты о трафике почты и сводке трафика почты. Читатель Information Protection
Управление внутренними рисками Управление доступом для управления внутренними рисками. Администратор управления внутренними рисками

Исследование управления внутренними рисками
Администраторы управления внутренними рисками Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. Администратор управления внутренними рисками
Исследователи управления внутренними рисками Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. Исследование управления внутренними рисками
Управление организацией Участники имеют административный доступ ко всей организации Exchange Online и могут выполнять практически любую задачу в Exchange Online.

Важно! Так как группа ролей "Управление организацией" является мощной ролью, в нее должны вступить только пользователи, которые выполняют административные задачи на уровне организации, которые могут повлиять на всю организацию Exchange Online.
Журналы аудита

Администратор соответствия требованиям к обмену данными

Исследование соответствия требованиям к обмену данными

Администратор соответствия требованиям

Защита от потери данных

Динамические группы рассылки

Политики адресов электронной почты

Федеративный доступ

Администратор Information Protection

Аналитик информационной защиты 2

Исследователь Information Protection

Читатель Information Protection

Управление правами на доступ к данным

Администратор управления внутренними рисками

Исследование управления внутренними рисками

Ведение журнала

Юридическое удержание

Общие папки с включенной поддержкой почты

Создание получателей почты

Получатели почты

Советы по почте

Отслеживание сообщений

Миграция

Перемещение почтовых ящиков

Пользовательские приложения в организации.

Приложения Marketplace в организации.

Доступ к клиенту организации

Конфигурация организации

Параметры транспорта организации

Администратор управления конфиденциальностью

Исследование управления конфиденциальностью

Общедоступные папки

Политики получателей

Удаленные и принятые домены

Сброс пароля

Управление хранением

Управление ролями

Администратор безопасности

Создание группы безопасности и членство в ней

Читатель сведений о безопасности

TenantPlacesManagement

Транспортная гигиена

Правила транспорта

Параметры пользователя

Журналы аудита только для просмотра

Конфигурация только для чтения

Получатели только для чтения
Управление конфиденциальностью Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. Администратор управления конфиденциальностью

Исследование управления конфиденциальностью
Администраторы управления конфиденциальностью Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. Администратор управления конфиденциальностью
Следователи по управлению конфиденциальностью Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. Исследование управления конфиденциальностью
Управление получателями Участники имеют административный доступ к созданию или изменению получателей Exchange Online в организации Exchange Online. Динамические группы рассылки

Создание получателей почты

Получатели почты

Отслеживание сообщений

Миграция

Перемещение почтовых ящиков

Политики получателей

Сброс пароля
Управление записями Участники могут настраивать функции соответствия, такие как теги политики хранения, классификации сообщений и правила потока обработки почты (также известные как правила транспорта). Журналы аудита

Ведение журнала

Отслеживание сообщений

Управление хранением

Правила транспорта
RIM-MailboxAdmins<GUID> Не используется ApplicationImpersonation
Администратор безопасности Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Вы можете добавить участников в эту группу ролей, добавив пользователей в роль администратора Microsoft Entra Security в Центре администрирования Microsoft 365.
Администратор безопасности

SensitivityLabelAdministrator
Оператор безопасности Управление оповещениями системы безопасности, а также просмотр отчетов и параметров функций безопасности.

Члены роли "Оператор безопасности" в Идентификаторе Microsoft Entra автоматически получают разрешения этой группы ролей.
Клиент AllowBlockList Manager
Читатель сведений о безопасности Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Вы можете добавить участников в эту группу ролей, добавив пользователей в роль читателя Microsoft Entra Security в Центре администрирования Microsoft 365.
Читатель сведений о безопасности
уникальное< значение TenantAdmins_> Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Этой группе ролей не назначены роли. Однако он входит в группу ролей "Управление организацией" (в качестве администратора компании) и наследует разрешения, предоставляемые этой группой ролей.

Вы можете добавить участников в эту группу ролей, добавив пользователей в роль глобального администратора Microsoft Entra ID в Центре администрирования Microsoft 365.
н/д
Управление организацией только с правом на просмотр Участники могут просматривать свойства любого объекта в организации Exchange Online. Конфигурация только для чтения

Получатели только для чтения

¹ Эта группа ролей недоступна в автономной службе Exchange Online Protection.

2 По умолчанию этой роли не назначается ни одной группе ролей в автономной службе Exchange Online Protection.

Роли в Exchange Online

В таблице этого раздела перечислены доступные роли администратора и группы ролей, которым они назначены по умолчанию.

Роли, которые по умолчанию не назначены группе ролей "Управление организацией", помечаются как *

Совет

  • Имена ролей, начинающиеся с префикса My (например, MyContactInformation), являются ролями конечных пользователей. Роли конечных пользователей назначаются пользователям в политиках назначения ролей, которые позволяют пользователям работать с принадлежащими им объектами (например, с их собственной учетной записью или группами рассылки, которые они создали). Дополнительные сведения см. в статье Политики назначения ролей в Exchange Online.
  • Имена ролей, которые начинаются или заканчиваются на "Приложение", являются частью RBAC для приложений в Exchange Online. Дополнительные сведения см. в статье Управление доступом на основе ролей для приложений в Exchange Online.
  • Многие из ролей, связанных с соответствием требованиям, которые также доступны в Microsoft Purview и Microsoft Entra, сами по себе не предоставляют много возможностей в Exchange Online.
  • Если не указано иное, одни и те же роли и назначения групп ролей используются в автономной службе Exchange Online Protection.
Role Описание Назначения групп ролей по умолчанию
Списки адресов* Позволяет администраторам управлять списками адресов, глобальными списками адресов и автономными списками адресов в организации. Нет
Журналы аудита Выполните поиск в журнале аудита администратора и просмотрите результаты. Управление соответствием требованиям

Управление организацией

Управление записями
Администратор соответствия требованиям к обмену данными Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. Соответствие требованиям к обмену данными

Администраторы соответствия требованиям к обмену данными

Администратор соответствия требованиям

Управление организацией
Исследование соответствия требованиям к обмену данными Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. Соответствие требованиям к обмену данными

Управление организацией
Администратор соответствия требованиям Позволяет пользователям просматривать и изменять параметры и отчеты для функций соответствия требованиям. Управление соответствием требованиям

Управление организацией
Защита от потери данных Эта роль была связана со старыми параметрами защиты от потери данных (DLP) в организации. Эта роль предоставляет доступ к управлению отчетами и правилами потока обработки почты в Exchange Online. Управление соответствием требованиям

Управление организацией
Динамические группы рассылки Создание и управление всеми группами рассылки, группами безопасности с поддержкой почты и участниками. Управление организацией

Управление получателями
Политики адресов электронной почты Позволяет администраторам управлять политиками адресов электронной почты в организации. Управление организацией
Федеративный доступ Позволяет администраторам управлять общим доступом между лесами и организациями в организации. Управление организацией
Администратор Information Protection Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. Защита информации

Администраторы Information Protection

Управление организацией
Аналитик Information Protection Эта роль предоставляет доступ к командлету Search-UnifiedAuditLog в Exchange Online. Защита информации

Аналитики Information Protection¹

Управление организацией
Исследователь Information Protection Выполните поиск по единому журналу аудита. Защита информации

Исследователи Information Protection

Управление организацией
Читатель Information Protection Выполните поиск в едином журнале аудита и просмотрите отчеты о трафике почты и сводке трафика почты. Защита информации

Читатели Information Protection

Управление организацией
Управление правами на доступ к данным Управление функциями управления правами на доступ к данным (IRM) в Exchange в организации. Управление соответствием требованиям

Управление организацией
Администратор управления внутренними рисками Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. Администратор соответствия требованиям

Управление внутренними рисками

Администраторы управления внутренними рисками

Управление организацией
Исследование управления внутренними рисками Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. Управление внутренними рисками

Исследователи управления внутренними рисками

Управление организацией
Ведение журнала Позволяет администраторам управлять конфигурацией журналов в организации. Управление соответствием требованиям

Управление организацией

Управление записями
Юридическое удержание Позволяет администраторам настраивать, следует ли хранить данные в почтовом ящике в целях судебного разбирательства в организации. Управление обнаружением

Управление организацией
Общие папки с включенной поддержкой почты Позволяет администраторам настраивать, включены ли отдельные общедоступные папки в почте или отключены в организации. Управление организацией
Создание получателей почты Создание и удаление почтовых пользователей и почтовых контактов. Управление организацией

Управление получателями
Получатели почты Изменение существующих почтовых пользователей и почтовых контактов. Управление организацией

Управление получателями
Советы по почте Позволяет администраторам управлять параметрами подсказки в организации. Управление организацией
Экспорт импорта почтовых ящиков* Позволяет администраторам импортировать и экспортировать содержимое почтовых ящиков. Нет
Поиск в почтовом ящике* Позволяет администраторам выполнять поиск по содержимому одного или нескольких почтовых ящиков в организации. Управление обнаружением
Отслеживание сообщений Позволяет администраторам отслеживать сообщения в организации. Управление соответствием требованиям

Управление организацией

Управление получателями

Управление записями
Миграция Позволяет администраторам переносить почтовые ящики и содержимое почтовых ящиков в организацию или из нее. Управление организацией

Управление получателями
Перемещение почтовых ящиков Позволяет администраторам перемещать почтовые ящики. Управление организацией

Управление получателями
O365SupportViewConfig* Не используется Нет
Пользовательские приложения в организации. Позволяет пользователям просматривать и изменять пользовательские приложения организации. Управление организацией
Приложения Marketplace в организации. Позволяет пользователям просматривать и изменять приложения организации Marketplace. Управление организацией
Доступ к клиенту организации Позволяет администраторам управлять параметрами клиентского доступа в организации. Управление организацией
Конфигурация организации Позволяет администраторам управлять параметрами всей организации. Управление организацией
Параметры транспорта организации Позволяет администраторам управлять гибридными и корпоративными параметрами транспорта почты. Управление организацией
Администратор управления конфиденциальностью Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. Управление организацией

Управление конфиденциальностью

Администраторы управления конфиденциальностью
Исследование управления конфиденциальностью Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. Управление организацией

Управление конфиденциальностью

Следователи по управлению конфиденциальностью
Общедоступные папки Позволяет администраторам управлять общедоступными папками в организации. Управление организацией
Политики получателей Позволяет администраторам управлять политиками получателей (политиками проверки подлинности, политиками шифрования данных, политиками почтовых ящиков мобильных устройств и политиками outlook в веб-почтовых ящиках) в организации. Управление организацией

Управление получателями
Удаленные и принятые домены Управление удаленными доменами, обслуживаемых доменами и соединителями. Управление организацией
Сброс пароля Позволяет администраторам задавать пароли почтовых ящиков комнаты. Служба технической поддержки

Управление организацией

Управление получателями
Управление хранением Позволяет пользователям управлять политиками хранения. Управление соответствием требованиям

Управление организацией

Управление записями
Управление ролями Позволяет администраторам управлять группами ролей управления, политиками назначения ролей, ролями управления, записями ролей, назначениями и областями в организации. Управление организацией
Администратор безопасности Управление конфигурацией и отчетами для всех функций безопасности и защиты. Управление организацией

Администратор безопасности
Создание группы безопасности и членство в ней Создание групп безопасности с поддержкой почты и управление ими. Управление организацией
Читатель сведений о безопасности Просмотрите конфигурацию и отчеты о функциях безопасности и защиты. Управление организацией

Читатель сведений о безопасности
SensitivityLabelAdministrator* Позволяет пользователям изменять свойства меток конфиденциальности. Администратор безопасности
Клиент AllowBlockList Manager* Позволяет пользователям управлять списком разрешенных и заблокированных клиентов. Оператор безопасности
TenantPlacesManagement Позволяет пользователям управлять параметрами для Microsoft Places. Управление организацией
Транспортная гигиена Управление функциями защиты от вредоносных программ, спамом и функциями защиты от спуфингов. Управление санацией

Управление организацией
Правила транспорта Создание правил потока обработки почты и управление ими (также известные как правила транспорта). Управление соответствием требованиям

Управление организацией

Управление записями
Параметры пользователя Позволяет администраторам просматривать параметры Outlook в Интернете для пользователей в организации. Служба технической поддержки

Управление организацией
Журналы аудита только для просмотра Выполните поиск в журнале аудита администратора и просмотрите результаты. Управление соответствием требованиям

Управление организацией
Конфигурация только для чтения Просмотрите все параметры организации и потока обработки почты (не получателя) в организации. Управление соответствием требованиям

Управление санацией

Управление организацией

Управление организацией только с правом на просмотр
Получатели только для чтения Просмотр свойств получателя и выполнение трассировки сообщений. Управление соответствием требованиям

Служба технической поддержки

Управление санацией

Управление организацией

Управление организацией только с правом на просмотр

¹ По умолчанию эта роль не назначается группам ролей в автономной службе Exchange Online Protection.

Разрешения Microsoft 365 в Exchange Online

При создании пользователя в Центре администрирования Microsoft 365 можно выбрать, следует ли назначать ему различные роли Microsoft Entra (например, администратор Exchange или глобальный читатель). Большинство ролей Microsoft Entra предоставляют разрешения администратора пользователю в Exchange Online.

Примечание.

Учетная запись, используемая для создания организации Exchange Online, автоматически назначается роли глобального администратора.

В следующей таблице перечислены роли Microsoft Entra и группы ролей Exchange Online, которым они соответствуют. Дополнительные сведения об этих ролях см. в разделе Разрешения Microsoft Entra.

Роль Microsoft Entra Группа ролей Exchange Online
Глобальный администратор Управление организацией

Примечание. Роль глобального администратора и группа ролей "Управление организацией" связаны друг с другом с помощью специальной группы ролей администраторов компании. Группа ролей "Администратор компании" управляется внутри организации и не может быть изменена напрямую.
Администратор Exchange Управление организацией
Глобальный читатель Управление организацией только с правом на просмотр
Администратор службы поддержки Служба технической поддержки
Администратор поддержки служб Нет
Администратор SharePoint Нет
Администратор Teams Нет
Администратор пользователей Управление получателями
Диспетчер успешных операций с пользовательским интерфейсом Нет

Пользователям можно предоставить права администратора в Exchange Online, не добавляя их в роли Microsoft Entra, добавив пользователя в качестве члена группы ролей Exchange Online. Пользователь получает разрешения в Exchange Online, но не в других рабочих нагрузках Microsoft 365.

См. также