Разрешения в Exchange Online

Exchange Online в Microsoft 365 и Office 365 включает в себя большой набор предопределенных разрешений, основанных на модели разрешений контроль доступа на основе ролей (RBAC), которые можно использовать сразу, чтобы легко предоставлять разрешения администраторам и пользователям. Вы можете использовать функции разрешений в Exchange Online, чтобы быстро запустить новую организацию.

RBAC также является моделью разрешений, которая используется в Microsoft Exchange Server. Большинство ссылок в этом разделе относятся к разделам, которые ссылаются на Exchange Server. Понятия в этих разделах также относятся к Exchange Online.

Сведения о разрешениях в Microsoft 365 или Office 365 см. в разделе О ролях администратора.

Примечание.

Некоторые возможности и принципы управления доступом на основе ролей не затрагиваются в этом разделе, поскольку относятся к расширенным функциям. Если функция, рассматриваемая в этом разделе, не отвечает вашим потребностям и требуется дальнейшая настройка модели разрешений, см. раздел Understanding Role Based Access Control.

Разрешения на основе ролей

В Exchange Online разрешения, которые предоставляются администраторам и пользователям, основаны на ролях управления. Роль управления определяет набор задач, которые может выполнять администратор или пользователь. Например, роль Mail Recipients управления определяет задачи, которые кто-то может выполнять в наборе почтовых ящиков, контактов и групп рассылки. Когда роль управления назначается администратору или пользователю, ему предоставляются разрешения в соответствии с этой ролью.

Административные роли и роли конечного пользователя — два типа ролей управления. Ниже приводится краткое описание каждого из них.

  • Административные роли. Эти роли содержат разрешения, которые могут быть назначены администраторам или пользователям-специалистам с помощью групп ролей, управляющих частью Exchange Online организации, например получателям или управлению соответствием требованиям.

  • Роли конечных пользователей. Эти роли, назначенные с помощью политик назначения ролей, позволяют пользователям управлять аспектами их собственных почтовых ящиков и групп рассылки, которыми они владеют. Роли конечных пользователей начинаются с префикса My.

Роли управления позволяют администраторам и пользователям выполнять задачи, предоставляя доступ к командлетам лицам с назначенными ролями. Так как Центр администрирования Exchange (EAC) и Exchange Online PowerShell используют командлеты для управления Exchange Online, предоставление доступа к командлету дает администратору или пользователю разрешение на выполнение задачи в каждом из интерфейсов управления Exchange Online.

Exchange Online включает группы ролей, которые можно использовать для предоставления разрешений. Подробнее см. в следующем разделе.

Примечание.

Некоторые роли управления могут быть доступными только для локальных установок Exchange Server и не будут доступными в Exchange Online.

Группы ролей и политики назначения ролей

Роли управления предоставляют разрешения на выполнение задач в Exchange Online, но требуется легкий способ их назначения администраторам и пользователям. Для этого в Exchange Online предусмотрены следующие возможности:

  • Группы ролей. Группы ролей позволяют предоставлять разрешения администраторам и специализированным пользователям.

  • Политики назначения ролей. Политики назначения ролей позволяют предоставлять конечным пользователям разрешения на изменение параметров в собственных почтовых ящиках или группах рассылки, которыми они владеют.

В следующих разделах представлены дополнительные сведения о группах ролей и политиках назначения ролей.

Группы ролей

Каждому администратору, управляющему Exchange Online, должна быть назначена хотя бы одна роль. Администраторы могут иметь несколько ролей, поскольку они могут выполнять функции, охватывающие несколько областей в Exchange Online.

Чтобы упростить назначение администратору нескольких ролей, Exchange Online содержит группы ролей. Когда роль назначается группе ролей, разрешения, соответствующие этой роли, предоставляются всем участникам данной группы. Это позволяет назначить множество ролей сразу нескольким участникам группы ролей. Группы ролей обычно охватывают более широкие области управления, например управление получателями. Они используются только вместе с административными ролями, но не с ролями конечных пользователей. Члены группы ролей могут быть пользователями Exchange Online и других групп ролей.

Примечание.

Можно назначить роль непосредственно пользователю, не используя группу ролей. Однако такой способ назначения ролей относится к расширенным процедурам и не затрагивается в данном разделе. Рекомендуется для управления разрешениями использовать группы ролей.

На приведенном ниже рисунке показана взаимосвязь между пользователями, группами ролей и ролями.

Роль, группа ролей и связь участников.

Exchange Online содержит несколько встроенных групп ролей, каждая из которых предоставляет разрешения на управление определенными областями в Exchange Online. Некоторые группы ролей могут перекрываться с другими группами ролей. В приведенной ниже таблице перечислены группы ролей с описанием их использования.

Группа ролей Описание Назначенные роли по умолчанию
Управление соответствием требованиям Участники могут настраивать параметры соответствия и управлять ими в Exchange в соответствии со своими политиками. Журналы аудита

Администратор соответствия требованиям

Защита от потери данных

Управление правами на доступ к данным

Ведение журнала

Отслеживание сообщений

Управление хранением

Правила транспорта

Журналы аудита только для просмотра

Конфигурация только для чтения

Получатели только для чтения

Управление обнаружением Участники могут выполнять поиск данных в почтовых ящиках в организации Exchange Online, которые соответствуют определенным критериям, а также могут настраивать удержание почтовых ящиков по юридическим причинам. Юридическое удержание

Поиск в почтовом ящике

уникальное< значение ExchangeServiceAdmins_> Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Этой группе ролей не назначены роли. Однако он входит в группу ролей "Управление организацией" (в качестве администратора службы Exchange) и наследует разрешения, предоставляемые этой группой ролей.

Вы можете добавить участников в эту группу ролей, добавив пользователей в роль администратора Exchange Microsoft Entra ID в Центр администрирования Microsoft 365.

н/д
Служба технической поддержки Участники могут просматривать конфигурацию отдельных получателей и просматривать получателей в организации Exchange и управлять ими. Члены этой группы ролей могут управлять только конфигурацией, которыми каждый пользователь может управлять в своем почтовом ящике. Сброс пароля

Параметры пользователя

Получатели только для чтения

<HelpdeskAdmins_уникальное значение> Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Этой группе ролей не назначены роли. Однако она является членом группы ролей управления View-Only организацией (в качестве администратора службы технической поддержки) и наследует разрешения, предоставляемые этой группой ролей.

Вы можете добавить участников в эту группу ролей, добавив пользователей в роль администратора Microsoft Entra службы технической поддержки в Центр администрирования Microsoft 365.

н/д
Управление санацией Участники могут управлять функциями защиты от нежелательной почты в Exchange, предоставлять антивирусным продуктам разрешения на интеграцию с Exchange и управлять правилами потока обработки почты. Транспортная гигиена

Конфигурация только для чтения

Получатели только для чтения

Управление организацией Участники имеют административный доступ ко всей Exchange Online организации и могут выполнять практически любую задачу в Exchange Online.

По умолчанию следующие роли управления не назначаются ни одной группе ролей, включая управление организацией:

  • Списки адресов
  • Импорт и экспорт почтовых ящиков.

По умолчанию роль "Поиск почтовых ящиков" назначается только группе ролей "Управление обнаружением".

Важно! Так как группа ролей "Управление организацией" является мощной ролью, в нее должны вступить только пользователи, которые выполняют административные задачи на уровне организации, которые потенциально могут повлиять на всю Exchange Online организацию.

Журналы аудита

Администратор соответствия требованиям

Защита от потери данных

Динамические группы рассылки

Политики адресов электронной почты

Федеративный доступ

Управление правами на доступ к данным

Ведение журнала

Юридическое удержание

Общие папки с включенной поддержкой почты

Создание получателей почты

Получатели почты

Советы по почте

Отслеживание сообщений

Миграция

Перемещение почтовых ящиков

Пользовательские приложения в организации.

Приложения Marketplace в организации.

Доступ к клиенту организации

Конфигурация организации

Параметры транспорта организации

Общедоступные папки

Политики получателей

Удаленные и принятые домены

Сброс пароля

Управление хранением

Управление ролями

Администратор безопасности

Создание группы безопасности и членство в ней

Читатель сведений о безопасности

Почтовые ящики группы

Транспортная гигиена

Правила транспорта

Почтовые ящики единой системы обмена сообщениями.

Приглашения единой системы обмена сообщениями.

Единая система обмена сообщениями

Параметры пользователя

Журналы аудита только для просмотра

Конфигурация только для чтения

Получатели только для чтения

Управление получателями Участники имеют административный доступ для создания или изменения Exchange Online получателей в Exchange Online организации. Динамические группы рассылки

Создание получателей почты

Получатели почты

Отслеживание сообщений

Миграция

Перемещение почтовых ящиков

Политики получателей

Сброс пароля

Почтовые ящики группы

Управление записями Участники могут настраивать функции соответствия, такие как теги политики хранения, классификации сообщений и правила потока обработки почты (также известные как правила транспорта). Журналы аудита

Ведение журнала

Отслеживание сообщений

Управление хранением

Правила транспорта

Администратор безопасности Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Вы можете добавить участников в эту группу ролей, добавив пользователей в роль администратора безопасности Microsoft Entra в Центр администрирования Microsoft 365.

Администратор безопасности
Читатель сведений о безопасности Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Вы можете добавить участников в эту группу ролей, добавив пользователей в роль читателя Microsoft Entra Security в Центр администрирования Microsoft 365.

Читатель сведений о безопасности
уникальное< значение TenantAdmins_> Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online.

Этой группе ролей не назначены роли. Однако он входит в группу ролей "Управление организацией" (в качестве администратора компании) и наследует разрешения, предоставляемые этой группой ролей.

Вы можете добавить участников в эту группу ролей, добавив пользователей в роль глобального администратора Microsoft Entra ID в Центр администрирования Microsoft 365.

н/д
Управление единой системой обмена сообщениями Участники могут управлять параметрами и функциями единой системы обмена сообщениями Exchange. Почтовые ящики единой системы обмена сообщениями.

Приглашения единой системы обмена сообщениями.

Единая система обмена сообщениями

Управление организацией только с правом на просмотр Члены могут просматривать свойства любого объекта в Exchange Online организации. Конфигурация только для чтения

Получатели только для чтения

В небольшой организации с малым количеством администраторов может потребоваться добавить администраторов только в группу ролей Управление организацией, а другие группы ролей могут никогда не понадобиться. Если вы работаете в более крупной организации, у вас могут быть администраторы, которые выполняют определенные задачи по администрированию Exchange Online, например настройку получателей. В таких случаях можно добавить одного администратора в группу ролей Управление получателями, а другого администратора в группу ролей Управление организацией. Затем эти администраторы могут управлять определенными областями Exchange Online, но у них не будет разрешений на управление областями, за которые они не отвечают.

Если встроенные группы ролей в Exchange Online не соответствуют функции заданий администраторов, можно создавать группы ролей и добавлять в них роли. Дополнительные сведения см. в разделе Работа с группами ролей далее в этом разделе.

Политики назначения ролей

Exchange Online содержит политики назначения ролей, позволяющие контролировать параметры, которые могут настраивать пользователи для своих почтовых ящиков и групп рассылки. Эти параметры включают отображаемое имя, контактную информацию, настройки голосовой почты и членство в группах рассылки.

Организация Exchange Online может иметь несколько политик назначения ролей, предусматривающих разные уровни разрешений для разных типов пользователей. Некоторым пользователям может быть разрешено изменять свой адрес или создавать группы рассылки, а другим — нет, в зависимости от политики назначения ролей, связанной с их почтовыми ящиками. Политики назначения ролей добавляются непосредственно к почтовым ящикам, и с каждым почтовым ящиком может быть связана только одна политика.

Одна из политик назначения ролей в организации помечается как используемая по умолчанию. Политика назначения ролей по умолчанию связывается с новыми почтовыми ящиками, которым во время создания явным образом не была назначена определенная политика. Политика назначения ролей по умолчанию должна содержать разрешения, применяемые к большинству почтовых ящиков пользователя.

Разрешения добавляются в политики назначения ролей с использованием ролей конечных пользователей. Роли конечных пользователей начинаются с My и предоставляют пользователям разрешения на управление только своими почтовыми ящиками или группами рассылки, которыми они владеют. Они не могут использоваться для управления любыми другими почтовыми ящиками. Политикам назначения ролей могут быть назначены только роли конечных пользователей.

Когда роль конечного пользователя назначается политике назначения ролей, все почтовые ящики, связанные с этой политикой, получают разрешения, предусмотренные данной ролью. Это позволяет добавлять и удалять разрешения для групп пользователей без необходимости настройки отдельных почтовых ящиков. На приведенном ниже рисунке показано следующее.

  • Роли конечных пользователей назначаются политикам назначения ролей. Политикам назначения ролей могут соответствовать одни и те же роли конечных пользователей. Дополнительные сведения о ролях конечных пользователей, доступных в Exchange Online, см. в статье Политики назначения ролей в Exchange Online.

  • Политики назначения ролей связываются с почтовыми ящиками. С каждым почтовым ящиком может быть связана только одна политика назначения ролей.

  • После связывания почтового ящика с политикой назначения ролей роли конечных пользователей применяются к этому почтовому ящику. Разрешения, предусмотренные ролями, предоставляются пользователю этого почтового ящика.

Роль, политика назначения ролей, связь с почтовым ящиком.

Политика назначения ролей по умолчанию включена в Exchange Online. Как и предполагает название, это политика назначения ролей по умолчанию. Если вы хотите изменить разрешения, предоставляемые этой политикой назначения ролей, или хотите создать политики назначения ролей, см. статью Работа с политиками назначения ролей далее в этом разделе.

Разрешения Microsoft 365 или Office 365 в Exchange Online

При создании пользователя в Microsoft 365 или Office 365 вы можете выбрать, следует ли назначать пользователю различные административные роли, такие как глобальный администратор, администратор служб, администратор паролей и т. д. Некоторые, но не все роли Microsoft 365 и Office 365 предоставляют пользователю административные разрешения в Exchange Online.

Примечание.

Пользователю, который использовался для создания организации Microsoft 365 или Office 365, автоматически назначается роль глобальный администратор Microsoft 365 или Office 365.

В следующей таблице перечислены роли Microsoft 365 или Office 365 и Exchange Online группа ролей, которым они соответствуют.

Роль Microsoft 365 или Office 365 Группа ролей Exchange Online
Глобальный администратор Управление организацией

Примечание. Роль глобальный администратор и группа ролей "Управление организацией" связаны друг с другом с помощью специальной группы ролей "Администратор компании". Группа ролей администраторов компании управляется внутри службы Exchange Online и не может быть изменена напрямую.

Администратор выставления счетов Соответствующая группа ролей Exchange Online отсутствует.
Администратор паролей Администратор службы технической поддержки.
Администратор служб Соответствующая группа ролей Exchange Online отсутствует.
Администратор управления пользователями Соответствующая группа ролей Exchange Online отсутствует.

Описание групп ролей Exchange Online см. в таблице "Встроенные группы ролей" в статье Группы ролей.

В Microsoft 365 или Office 365 при добавлении пользователя в роли администратора глобальный администратор или пароля ему предоставляются права, предоставляемые соответствующей группой ролей Exchange Online. Другие роли Microsoft 365 или Office 365 не имеют соответствующей группы ролей Exchange Online и не предоставляют разрешения администратора в Exchange Online. Дополнительные сведения о назначении роли Microsoft 365 или Office 365 пользователю см. в разделе Назначение ролей администратора.

Пользователям могут быть предоставлены права администратора в Exchange Online, не добавляя их в Microsoft 365 или Office 365 роли. Это делается путем добавления пользователя в качестве члена Exchange Online группы ролей. При добавлении пользователя непосредственно в группу ролей Exchange Online он получит разрешения, предоставленные этой группой ролей в Exchange Online. Однако им не будут предоставлены разрешения на другие компоненты Microsoft 365 или Office 365. Они будут иметь разрешения администратора только в Exchange Online. Пользователи могут быть добавлены в любую из групп ролей, перечисленных в таблице "Встроенные группы ролей" в разделе Группы ролей , за исключением групп ролей "Администраторы компании" и "Администраторы службы поддержки". Дополнительные сведения о добавлении пользователя непосредственно в группу ролей Exchange Online см. в статье Работа с группами ролей.

Работа с группами ролей

Управлять разрешениями с использованием групп ролей в Exchange Online рекомендуется с помощью Центра администрирования Exchange. Используя Центр администрирования Exchange для управления группами ролей, можно добавлять и удалять роли и участников, создавать группы ролей и копировать их с помощью нескольких щелчков кнопкой мыши. EAC предоставляет простые диалоговые окна, такие как диалоговое окно Добавление группы ролей , как показано на следующем рисунке, для выполнения этих задач.

Диалоговое окно

Exchange Online включает несколько групп ролей, которые разделяют разрешения на определенные административные области. Если эти существующие группы ролей предоставляют разрешения, необходимые администраторам для управления Exchange Online организации, необходимо только добавить администраторов в качестве членов соответствующих групп ролей. После этого администраторы смогут управлять функциями, которые относятся к данной группе ролей. Чтобы добавить или удалить участников группы ролей, откройте группу ролей в Центре администрирования Exchange и добавьте или удалите участников из списка. Список встроенных групп ролей см. в таблице "Встроенные группы ролей" раздела Группы ролей.

Важно!

Если администратор входит в несколько групп ролей, Exchange Online предоставляет ему все разрешения, предусмотренные группами ролей, участником которых он является.

Если ни одна из групп ролей в Exchange Online не содержит необходимых разрешений, вы можете при помощи Центра администрирования Exchange создать новую группу ролей и добавить в нее роли с нужными разрешениями. Для создания новой группы ролей выполните следующие действия.

  1. Выберите имя для группы ролей.

  2. Выберите роли, которые необходимо добавить в группу ролей.

  3. Добавьте участников в группу ролей.

  4. Сохраните группу ролей.

Создав группу ролей, ею можно управлять аналогично любой другой группе ролей.

Если существующая группа ролей имеет лишь некоторые из необходимых разрешений, ее можно скопировать и внести изменения, чтобы создать новую группу ролей. Можно скопировать существующую группу ролей и внести в нее изменения, не затрагивая исходную группу. В ходе копирования группы ролей можно добавить новое имя и описание, добавить или удалить роли из новой группы и добавить новых участников. Для создания или копирования группы ролей используется то же диалоговое окно, что показано на предыдущем рисунке.

Существующие группы ролей можно также изменять. Можно добавлять и удалять роли из существующих групп ролей, а также одновременно добавлять и удалять из них участников при помощи диалогового окна Центра администрирования Exchange, аналогичного показанному на предыдущем рисунке. Добавляя и удаляя роли из группы ролей, пользователь включает и выключает административные функции для участников этой группы.

Примечание.

Хотя можно изменять состав ролей, назначаемых встроенным группам ролей, рекомендуется скопировать встроенную группу, изменить копию и затем добавить в нее участников. > Группы ролей "Администратор компании" и "Администратор службы поддержки" невозможно скопировать или изменить.

Работа с политиками назначения ролей

Для управления разрешениями, которые вы предоставляете конечным пользователям для управления их собственными почтовыми ящиками в Exchange Online, рекомендуется использовать Центр администрирования Exchange. Используя Центр администрирования Exchange для управления разрешениями конечных пользователей, можно добавлять и удалять роли, а также создавать политики назначения ролей с помощью нескольких щелчков кнопкой мыши. Для выполнения этих задач в Центре администрирования Exchange предусмотрены простые диалоговые окна, такие как диалоговое окно Политика назначения ролей, показанное на рисунке ниже.

Диалоговое окно политики назначения ролей в EAC.

Exchange Online содержит политику назначения ролей по умолчанию. Эта политика позволяет пользователям, почтовые ящики которых связаны с ней, выполнять следующие задачи.

  • Вступать в группы рассылки, которые позволяют участникам управлять своим членством, или выходить из групп рассылки.
  • Просматривать и изменять основные параметры собственного почтового ящика, такие как правила папки "Входящие", поведение средства проверки орфографии, параметры нежелательной почты и устройства Microsoft ActiveSync.
  • Изменять свою контактную информацию, такую как рабочий адрес и номер телефона, номер мобильного телефона или пейджера.
  • Создавать, изменять и просматривать параметры текстовых сообщений.
  • Просматривать и изменять параметры голосовой почты.
  • Просматривать и изменять свои программы в marketplace.
  • Создавать групповые почтовые ящики и подключать их к спискам Microsoft SharePoint.
  • Создавать, изменять или просматривать настройки подписки на рассылку по электронной почте, такие как формат сообщений и значения для протокола по умолчанию.

Чтобы добавить или удалить разрешения из политики назначения ролей по умолчанию или какой-либо другой политики назначения ролей, можно использовать Центр администрирования Exchange. Соответствующее диалоговое окно аналогично показанному на предыдущем рисунке. Открыв политику назначения ролей в Центре администрирования Exchange, установите флажки рядом с ролями, которые вы хотите назначить этой политике, и снимите флажки рядом с ролями, которые необходимо удалить. Изменения, внесенные в политику назначения ролей, применяются к каждому связанному с ней почтовому ящику.

Чтобы назначить разные разрешения конечных пользователей разным типам пользователей организации, можно создать новые политики назначения ролей. Диалоговое окно для создания политики назначения ролей аналогично показанному на предыдущем рисунке. Можно указать новое имя для политики назначения ролей и затем выбрать роли, которые нужно назначить этой политике. Создав политику назначения ролей, вы можете связать ее с почтовыми ящиками при помощи Центра администрирования Exchange.

Если вы хотите изменить политику назначения ролей по умолчанию, необходимо использовать Exchange Online PowerShell. После изменения все создаваемые почтовые ящики будут связываться с новой политикой назначения ролей по умолчанию, если таковая не была явно указана. Политика назначения ролей, связанная с существующими почтовыми ящиками, не изменяется при выборе новой политики назначения ролей по умолчанию.

Примечание.

Если установить флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также устанавливаются. Если снять флажок для роли, у которой есть дочерние роли, флажки для этих дочерних ролей также снимаются.

Подробные процедуры политики назначения ролей см. в статье Политики назначения ролей в Exchange Online.

Документация по разрешениям

В следующей таблице содержатся ссылки на темы, которые помогут вам больше узнать о разрешениях в Exchange Online и научиться управлять ими.

Статья Описание
Understanding Role Based Access Control Сведения о каждом из компонентов RBAC и о том, как создать расширенные модели разрешений, когда групп ролей и ролей управления недостаточно.
Управление группами ролей в Exchange Online Настройте разрешения для администраторов Exchange Online и специализированных пользователей с помощью групп ролей, включая добавление и удаление участников в группах ролей и из них.
Политики назначения ролей в Exchange Online Настройте, к каким функциям пользователи имеют доступ в своих почтовых ящиках с помощью политик назначения ролей, просмотрите, создайте, измените и удалите политики назначения ролей, укажите политику назначения ролей по умолчанию и примените политики назначения ролей к почтовым ящикам.
Разрешения компонентов в Exchange Online Дополнительные сведения о разрешениях, необходимых для управления функциями и службами Exchange Online.