Управление группами ролей в Exchange Online

Группа ролей — это особый тип универсальной группы безопасности (USG), которая используется в модели разрешений на основе ролей контроль доступа (RBAC) в Exchange Online. Группы ролей управления упрощают назначение и обслуживание разрешений пользователям в Exchange Online. Членам группы ролей назначается один и тот же набор ролей, и вы добавляете и удаляете разрешения у пользователей, добавляя их в группу ролей или удаляя их из группы ролей. Дополнительные сведения о группах ролей в Exchange Online см. в разделе Разрешения в Exchange Online.

Что нужно знать перед началом работы

• Предполагаемое время для завершения каждой процедуры: от 5 до 10 минут

• Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online. Чтобы открыть Exchange Online PowerShell, см. статью Подключение к Exchange Online PowerShell.

• Для процедур, описанных в этом разделе, требуется роль RBAC управления ролями в Exchange Online. Как правило, это разрешение можно получить через членство в группе ролей "Управление организацией" (роль Microsoft 365 или Office 365 глобальный администратор).

• Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по Exchange Online или Exchange Online Protection.

Просмотр групп ролей

Использование нового EAC для просмотра групп ролей

1. В новом EAC выберите Роли>Администратор роли. Здесь перечислены все группы ролей в организации.

2. Выберите группу ролей. В области сведений отображаются имя, описание, управляемое, область записи, назначенные и разрешения группы ролей.

Использование классического EAC для просмотра групп ролей

1. В классическом EAC выберите Разрешения>Администратор Роли. Здесь перечислены все группы ролей в организации.

2. Выберите группу ролей. В области сведений отображаются области Имя, Описание, Назначенные роли, Участники, Управляемые и Запись группы ролей. Эти сведения также можно просмотреть, щелкнув

Использование Exchange Online PowerShell для просмотра групп ролей

Чтобы просмотреть группу ролей, используйте следующий синтаксис:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

В этом примере возвращается сводный список всех групп ролей.

Get-RoleGroup

В этом примере возвращаются подробные сведения о группе ролей с именем "Администраторы получателей".

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

В этом примере возвращаются все группы ролей, участником которых является пользователь Julia. Необходимо использовать значение Различающееся имя (DN) для Julia, которое можно найти, выполнив команду : Get-User -Identity Julia | Format-List DistinguishedName.

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-RoleGroup.

Создание групп ролей

При создании новой группы ролей необходимо настроить все параметры самостоятельно (во время создания группы или после нее). Чтобы начать с конфигурации существующей группы ролей и изменить ее, см. статью Копирование существующих групп ролей.

Создание групп ролей с помощью нового EAC

1. В новом EAC перейдите в раздел Роли>Администратор роли и щелкните Добавить группу ролей.

2. В окне Добавление группы ролей в разделе Настройка основ настройте следующие параметры и нажмите кнопку Далее:

   • Имя. Введите уникальное имя группы ролей.

   • Описание. Введите необязательное описание группы ролей.

   • Область записи. Значение по умолчанию — Default, но вы также можете выбрать пользовательскую область записи получателя из раскрывающегося списка.

3. В разделе Добавление разрешений выберите роли и нажмите кнопку Далее. Роли определяют область задач, которыми члены, назначенные этой группе ролей, имеют разрешение на управление.

4. В разделе Назначение администраторов выберите пользователей для назначения этой группе ролей и нажмите кнопку Далее. У них будут разрешения на управление назначенными ролями.

5. В разделе Просмотр группы ролей и завершение проверьте все сведения и нажмите кнопку Добавить группу ролей.

6. Нажмите кнопку Готово.

Использование классического EAC для создания групп ролей

1. В классическом EAC перейдите в раздел Разрешения>Администратор Роли и щелкните Добавить

2. В появившемся окне Новая группа ролей настройте следующие параметры:

   • Имя. Введите уникальное имя группы ролей.

   • Описание. Введите необязательное описание группы ролей.

   • Область записи. Значение по умолчанию — Default, но вы также можете выбрать пользовательскую область записи получателя, которую вы уже создали.

   • Роли: щелкните Чтобы выбрать роли, которые нужно назначить группе ролей, в появившемся новом окне.

   • Участники: щелкните Чтобы выбрать участников, которые нужно добавить в группу ролей, в появившемся новом окне. Вы можете выбрать пользователей, универсальные группы безопасности с поддержкой почты (USG) или другие группы ролей (субъекты безопасности).

   По завершении нажмите кнопку Сохранить , чтобы создать группу ролей.

Создание группы ролей с помощью Exchange Online PowerShell

Чтобы создать новую группу ролей, используйте следующий синтаксис:

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"

• Параметр Roles указывает роли управления, назначаемые группе ролей, используя следующий синтаксис "Role1","Role1",..."RoleN". Доступные роли можно просмотреть с помощью командлета Get-ManagementRole.
• Параметр Members указывает члены группы ролей с помощью следующего синтаксиса: "Member1","Member2",..."MemberN". Вы можете указать пользователей, универсальные группы безопасности (USG) с поддержкой почты или другие группы ролей (участников безопасности).
• Параметр ManagedBy указывает делегатов, которые могут изменять и удалять группу ролей с помощью следующего синтаксиса: "Delegate1","Delegate2",..."DelegateN". Обратите внимание, что этот параметр недоступен в EAC.
• Параметр CustomRecipientWriteScope указывает существующую настраиваемую область записи получателя, применяемую к группе ролей. Доступные области записи внешних получателей можно просмотреть с помощью командлета Get-ManagementScope.

В этом примере создается новая группа ролей с именем "Ограниченное управление получателями" со следующими параметрами:

• Роли Получатели почты и Общедоступные папки с поддержкой почты назначаются группе ролей.
• Пользователи Ким и Мартин добавляются в качестве участников. Так как не указана настраиваемая область записи получателя, Ким и Мартин могут управлять любым получателем в организации.

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

Это тот же пример с настраиваемой областью записи получателя. Это означает, что Ким и Мартин могут управлять только получателями, включенными в область Получателей Сиэтла (получатели, для которых свойству City присвоено значение Seattle).

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

Подробные сведения о синтаксисе и параметрах см. в статье New-RoleGroup.

Копирование существующих групп ролей

Если существующая группа ролей близка с точки зрения разрешений и параметров, которые вы хотите назначить пользователям, можно скопировать существующую группу ролей и изменить копию в соответствии со своими потребностями.

Использование нового EAC для копирования группы ролей

Примечание. Вы не можете использовать новый EAC для копирования группы ролей, если вы использовали Exchange Online PowerShell для настройки нескольких областей или монопольных областей в группе ролей. Чтобы скопировать группы ролей с этими параметрами, необходимо использовать Exchange Online PowerShell.

1. В новом EAC выберите Роли>Администратор роли.

2. Выберите группу ролей, которую нужно скопировать, и нажмите кнопку Копировать группу ролей.

3. В окне Копирование группы ролей в разделе Настройка основ настройте следующие параметры и нажмите кнопку Далее:

   • Имя: по умолчанию используется значение "Copy of <Role Group Name>, но вы можете ввести уникальное имя для группы ролей.
   • Описание. Существующее описание присутствует, но его можно изменить.
   • Область записи. Выбрана существующая область записи, но в раскрывающемся списке можно выбрать область записи по умолчанию или пользовательскую область записи получателя.

4. В разделе Изменение разрешений измените роли и нажмите кнопку Далее. Роли определяют область задач, которыми члены, назначенные этой группе ролей, имеют разрешение на управление.

5. В разделе Назначение администраторов измените членство в группе ролей и нажмите кнопку Далее. У них будут разрешения на управление назначенными ролями.

6. В разделе Просмотр группы ролей и завершения проверьте все сведения и щелкните Копировать группу ролей.

7. Нажмите кнопку Готово.

Использование классического EAC для копирования группы ролей

Примечание. Вы не можете использовать классический EAC для копирования группы ролей, если вы использовали Exchange Online PowerShell для настройки нескольких областей или монопольных областей в группе ролей. Чтобы скопировать группы ролей с этими параметрами, необходимо использовать Exchange Online PowerShell.

1. В классическом EAC выберите Разрешения>Администратор Роли.

2. Выберите группу ролей, которую нужно скопировать, и нажмите кнопку

3. В появившемся окне Новая группа ролей настройте следующие параметры:

   • Имя: по умолчанию используется значение "Copy of <Role Group Name>, но вы можете ввести уникальное имя для группы ролей.

   • Описание. Существующее описание присутствует, но его можно изменить.

   • Область записи. Выбрана существующая область записи, но можно выбрать значение По умолчанию или другую пользовательскую область записи получателя, которую вы уже создали.

   • Роли. Щелкните Добавить или Удалить , чтобы изменить роли, назначенные группе ролей.

   • Участники. Щелкните Добавить или Удалить , чтобы изменить членство в группе ролей.

   По завершении нажмите кнопку Сохранить , чтобы создать группу ролей.

Копирование группы ролей с помощью Exchange Online PowerShell

1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

   $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
   

2. Создайте новую группу ролей, используя следующий синтаксис:

   New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
   

   • Параметр Members указывает члены группы ролей с помощью следующего синтаксиса: "Member1","Member2",..."MemberN". Вы можете указать пользователей, универсальные группы безопасности (USG) с поддержкой почты или другие группы ролей (участников безопасности).
   • Параметр ManagedBy указывает делегатов, которые могут изменять и удалять группу ролей с помощью следующего синтаксиса: "Delegate1","Delegate2",..."DelegateN". Обратите внимание, что этот параметр недоступен в EAC.
   • Параметр CustomRecipientWriteScope указывает существующую настраиваемую область записи получателя, применяемую к группе ролей. Доступные области записи внешних получателей можно просмотреть с помощью командлета Get-ManagementScope.

В этом примере группа ролей "Управление организацией" копируется в новую группу ролей с именем "Управление ограниченной организацией". Членами группы ролей являются Изабель, Картер и Лукас, а делегатами группы ролей являются Дженни и Кэти.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"

В этом примере группа ролей "Управление организацией" копируется в новую группу ролей под названием "Управление организацией Ванкувера" с настраиваемой областью записи получателя "Пользователи Ванкувера".

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"

Подробные сведения о синтаксисе и параметрах см. в статье New-RoleGroup.

Изменение групп ролей

Использование нового EAC для изменения групп ролей

1. В новом EAC перейдите в раздел Роли>Администратор роли, выберите группу ролей, которую нужно изменить, а затем измените следующее в области сведений:

   • В разделе Общие щелкните Изменить основные сведения , чтобы изменить имя и описание.
   • В разделе Назначено добавьте или удалите пользователей из этой группы ролей.
   • В разделе Разрешения добавьте или удалите роли, назначенные группе ролей.

2. По завершении нажмите кнопку Сохранить.

Использование классического EAC для изменения групп ролей

1. В классическом EAC перейдите в раздел Разрешения>Администратор Роли, выберите группу ролей, которую требуется изменить, и нажмите кнопку Изменить

Те же параметры доступны при изменении групп ролей, что и при использовании классического ААЦ для создания групп ролей. Варианты действий:

• Измените имя и описание.
• Измените область записи (если вы создали настраиваемые области записи получателей).
• Добавление и удаление ролей управления (создание или удаление назначений ролей).
• Добавлять и удалять участников.

Примечания.

• Вы не можете использовать классический EAC для изменения области записи, ролей и членов группы ролей, если вы использовали Exchange Online PowerShell для настройки нескольких областей или монопольных областей в группе ролей. Чтобы изменить параметры этих групп ролей, необходимо использовать Exchange Online PowerShell.
• Некоторые группы ролей (например, группа ролей "Управление организацией") ограничивают роли, которые можно удалить из группы.
• Вы можете добавлять или удалять делегатов в группу ролей в классическом EAC. Можно использовать только Exchange Online PowerShell.

Добавление ролей в группы ролей Exchange Online PowerShell (создание назначений ролей)

Чтобы добавить роли в группы ролей в Exchange Online PowerShell, создайте назначения ролей управления с помощью следующего синтаксиса:

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]

• Имя назначения роли создается автоматически, если оно не указано.
• Если параметр RecipientRelativeWriteScope не используется, к назначению роли применяются неявная область чтения и неявная область записи роли.
• Если предопределенная область соответствует бизнес-требованиям, можно использовать параметр RecipientRelativeWriteScope , чтобы применить область к назначению роли.
• Чтобы применить настраиваемую область записи получателя, используйте параметр CustomRecipientWriteScope .

В этом примере группе ролей Seattle Compliance назначается роль управления Transport Rules.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

В этом примере роль Message Tracking назначается группе ролей Enterprise Support, затем применяется предварительно определенная область Organization.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

В этом примере роль Message Tracking назначается группе ролей Seattle Recipient Admins, затем применяется область Seattle Recipients.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Использование Exchange Online PowerShell для удаления ролей из групп ролей (удаление назначений ролей)

Чтобы удалить роли из групп ролей в Exchange Online PowerShell, удалите назначения ролей управления с помощью следующего синтаксиса:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment

• Чтобы удалить обычные назначения ролей, которые предоставляют разрешения пользователям, используйте значение $false параметра Делегирование .
• Чтобы удалить делегированные назначения ролей, которые позволяют назначать роль другим пользователям, используйте значение $true параметра Delegating .

В этом примере удаляется роль Группы рассылки из группы ролей Администраторы получателей Сиэтла.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-ManagementRoleAssignment.

Изменение области назначения ролей в группах ролей с помощью Exchange Online PowerShell

Область записи назначения ролей в группе ролей определяет объекты, с которыми могут работать члены группы ролей (например, все пользователи или только пользователи, свойство City которых имеет значение Vancouver). Область записи ролей, назначенных группе ролей, можно изменить следующим образом:

• Неявная область из самих ролей. Это означает, что вы не указали пользовательские области при создании группы ролей или задали значение для всех назначений ролей в существующей группе ролей значение $null.
• Одна и та же настраиваемая область для всех назначений ролей.
• Различные настраиваемые области для каждого назначения отдельной роли.

Чтобы задать область для всех назначений ролей в группе ролей одновременно, используйте следующий синтаксис:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

В этом примере область получателя для всех назначений ролей в группе ролей Управление получателями продаж изменяется на Сотрудники по прямым продажам.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Чтобы изменить область назначения отдельной роли между группой ролей и ролью управления, выполните следующие действия.

1. Замените <имя> группы ролей именем группы ролей и выполните следующую команду, чтобы найти имена всех назначений ролей в группе ролей:

   Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
   

2. Поиск имени назначения роли, которое необходимо изменить. Используйте имя назначения роли на следующем шаге.

3. Чтобы задать область для назначения отдельной роли, используйте следующий синтаксис:

   Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
   

   В этом примере изменяется область получателя для назначения роли с именем Mail Recipients_Sales Recipient Management для всех сотрудников по продажам.

   Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
   

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.

Изменение списка делегатов в группах ролей с помощью Exchange Online PowerShell

Делегаты группы ролей определяют, кому разрешено изменять и удалять группу ролей. Вы не можете управлять делегатами групп ролей в EAC.

Чтобы изменить список делегатов в группе ролей, используйте следующий синтаксис:

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>

• Чтобы заменить существующий список делегатов указанными значениями, используйте следующий синтаксис: "Delegate1","Delegate2",..."DelegateN".

• Чтобы выборочно изменить существующий список делегатов, используйте следующий синтаксис: @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}.

В этом примере все текущие делегаты группы ролей службы поддержки заменяются указанными пользователями.

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

В этом примере добавляется Дайгоро Акай и Валерия Баррио из списка делегатов в группе ролей службы поддержки.

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.

Изменение списка участников в группах ролей с помощью Exchange Online PowerShell

• Командлеты Add-RoleGroupMember и Remove-RoleGroupMember добавляют или удаляют отдельных участников по одному. Командлет Update-RoleGroupMember может заменить или изменить существующий список участников.

• Членами группы ролей могут быть пользователи, универсальные группы безопасности с поддержкой почты (USG) или другие группы ролей (субъекты безопасности).

Чтобы изменить члены группы ролей, используйте следующий синтаксис:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members> [-BypassSecurityGroupManagerCheck]

• Чтобы заменить существующий список членов указанными значениями, используйте следующий синтаксис: "Member1","Member2",..."MemberN".
• Чтобы выборочно изменить существующий список элементов, используйте следующий синтаксис: @{Add="Member1","Member2"...; Remove="Member3","Member4"...}.

В этом примере все текущие члены группы ролей службы поддержки заменяются указанными пользователями.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

В этом примере добавляется Дайгоро Акай и удаляетСя Валерия Баррио из списка участников группы ролей службы поддержки.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Подробные сведения о синтаксисе и параметрах см. в разделе Update-RoleGroupMember.

Удаление групп ролей

Вы не можете удалить встроенные группы ролей, но вы можете удалить созданные настраиваемые группы ролей.

Примечания.

• При удалении группы ролей также удаляются и назначения управления ролями между группой ролей и ролями управления. Все роли управления, назначенные группе ролей, не удаляются.
• Если пользователь зависит от группы ролей для доступа к компоненту, у него больше не будет доступа к этой функции после удаления группы ролей.

Удаление группы ролей с помощью нового EAC

1. В новом EAC выберите Роли>Администратор роли.
2. Выберите группу ролей и нажмите кнопку Удалить.
3. Нажмите кнопку Подтвердить в окне подтверждения.

Использование Центра администрирования Exchange для удаления группы ролей

1. В EAC выберите Разрешения>Администратор Роли.
2. Выберите группу ролей, которую нужно удалить, и нажмите кнопку Удалить
3. Нажмите кнопку Да в появившемся окне подтверждения.

Удаление группы ролей с помощью Exchange Online PowerShell

Чтобы удалить настраиваемую группу ролей, используйте следующий синтаксис:

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

В этом примере удаляется группа ролей "Обучающие администраторы".

Remove-RoleGroup -Identity "Training Administrators"

В этом примере удаляется группа ролей "Администраторы получателей Ванкувера". Так как пользователь, выполняя команду, не определен в свойстве ManagedBy группы ролей, в команде требуется параметр BypassSecurityGroupManagerCheck . Пользователю, выполняющему команду, назначается роль "Управление ролями", которая позволяет пользователю обходить проверку диспетчера группы безопасности.

Remove-RoleGroup - Identity "Vancouver Recipient Administrators" -BypassSecurityGroupManagerCheck

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-RoleGroup.