Управление группами ролей в Exchange Online

Группа ролей — это специальная универсальная группа безопасности (USG) в модели разрешений на основе ролей (RBAC) в Exchange Online. Членам группы ролей назначается один и тот же набор ролей, и вы добавляете и удаляете разрешения у пользователей, добавляя их в группу ролей или удаляя их из группы ролей. Дополнительные сведения о группах ролей в Exchange Online см. в разделе Разрешения в Exchange Online.

Вы можете управлять группами ролей в Центре администрирования Exchange (EAC) и в Exchange Online PowerShell.

Что нужно знать перед началом работы

• EAC доступен по адресу https://admin.exchange.microsoft.com. Дополнительные сведения о EAC см. в следующих статьях:

  • Центр администрирования Exchange в Exchange Online
  • Центр администрирования Exchange в автономном EOP.

• Чтобы открыть Exchange Online PowerShell, см. статью Подключение к Exchange Online PowerShell.

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Это означает следующее:

  • Разрешения Exchange Online. Вам нужна роль "Управление ролями ", которая назначается группе ролей "Управление организацией " по умолчанию.

• Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, см. в статье Сочетания клавиш для Центра администрирования Exchange в Exchange Online.

Использование EAC для управления группами ролей

В центре администрирования Центра администрирования по адресу https://admin.exchange.microsoft.comперейдите кразделу Роли администратораразрешений>. Или, чтобы перейти непосредственно на страницу Роли администратора , используйте https://admin.exchange.microsoft.com/#/adminRoles.

Использование EAC для просмотра групп ролей и сведений о группах ролей

На странице Роли администратора в Центре администрирования по адресу https://admin.exchange.microsoft.com/#/adminRolesотображается следующая информация для всех встроенных групп ролей и групп ролей клиентов:

• Группа ролей: имя группы ролей.
• Описание

Чтобы отсортировать список групп ролей, выберите заголовок столбца.

Чтобы изменить список записей с обычного на компактный, выберите Изменить представление, а затем — Компактный список.

Используйте поле Поиск и соответствующее значение для поиска определенных групп ролей.

Чтобы просмотреть сведения о группе ролей, выберите группу из списка, щелкнув имя. Открывающееся всплывающее окно сведений содержит следующие вкладки:

• Вкладка "Общие ": на этой вкладке содержатся следующие сведения о роли:

  • Название
  • Описание: выберите Изменить основные сведения, чтобы изменить имя.
  • Управляется
  • Область записи

• Вкладка Назначена : на этой вкладке отображаются пользователи, являющиеся членами роли. Вкладка имеет те же возможности изменения и поиска, что и представление главной группы ролей.

  Сведения об изменении членства в группах см. в разделе .

Создание групп ролей с помощью EAC

1. На странице Роли администратора в Центре администрирования По адресу https://admin.exchange.microsoft.com/#/adminRolesвыполните одно из следующих действий.

   • Создайте новую группу ролей. Убедитесь, что группы ролей не выбраны, а затем выберите Добавить группу ролей.
   • Скопируйте существующую группу ролей. Выберите группу ролей, которую вы хотите скопировать, установив круглый флажок, который появится в пустой области рядом со столбцом имя группы ролей, а затем выберите появилось действие Копировать группу ролей**.

   Один из этих шагов запускает мастер создания ролей, как описано в остальных шагах.

2. На странице Основные настройте следующие параметры:

   • Имя. Введите уникальное имя группы ролей.
   • Описание. Введите необязательное описание группы ролей.
   • Область записи. Оставьте значение по умолчанию По умолчанию или выберите существующий объект области записи, созданный ранее в PowerShell.

   Если вы копируете группу ролей, значение по умолчанию Имя — Копирование <имени> группы ролей, а существующее значение Description копируется, но эти значения можно изменить.

   Завершив работу на странице Основные сведения , нажмите кнопку Далее.

3. На странице Разрешение выберите роли для назначения группе ролей, установив флажок рядом со столбцом Роль .

   Чтобы отсортировать роли, выберите заголовок столбца:

   • Роль
   • Описание
   • Область получателя по умолчанию
   • Область конфигурации по умолчанию

   Чтобы изменить список записей с обычного на компактный, выберите Изменить представление, а затем — Компактный список.

   Используйте поле Поиск и соответствующее значение, чтобы найти определенную группу ролей.

   Если вы копируете группу ролей, разрешения из исходной группы ролей уже выбраны, но их можно изменить.

   Завершив работу на странице Разрешения , нажмите кнопку Далее.

4. На странице Администраторы выберите пользователей, которые нужно добавить в группу ролей.

   Щелкните поле, чтобы просмотреть все подходящие учетные записи и группы ролей, которые нужно выбрать, или начать вводить имя или отображаемое имя для фильтрации результатов.

   Если вы копируете группу ролей, члены из исходной группы ролей уже выбраны, но их можно изменить.

   Чтобы удалить пользователей из группы, нажмите кнопку Удалить в записи.

   Завершив работу на странице Администраторы, нажмите кнопку Далее.

5. На странице Проверка и завершение проверьте выбранные параметры.

   Используйте ссылки Изменить в каждом разделе, чтобы изменить значение, или нажмите кнопку Назад .

   По завершении на странице Проверка и завершение выберите Добавить группу ролей или Копировать группу ролей , чтобы создать группу ролей.

Использование EAC для изменения групп ролей

Совет

Вы не можете изменить имя или описание встроенной группы ролей.

Не изменяйте роли, назначенные встроенным группам ролей. Скопируйте существующую группу ролей и измените ее копию или создайте пользовательскую группу ролей.

1. На странице Роли администратора в Центре администрирования по адресу https://admin.exchange.microsoft.com/#/adminRolesвыберите группу ролей, щелкнув имя группы ролей.

2. В открывавшемся всплывающем окне сведений настройте один или несколько из следующих параметров:

   • Вкладка "Общие": выберите Изменить основные сведения, чтобы изменить имя или описание группы в открываемом всплывающем элементе, а затем нажмите кнопку Сохранить.

   • Вкладка Назначена : измените членство в группе ролей:

     • Добавить участников. Выберите Добавить. Во всплывающем окне Добавление администраторов щелкните поле, чтобы просмотреть все соответствующие учетные записи и группы ролей, которые нужно выбрать, или начать вводить имя или отображаемое имя для фильтрации результатов. Выберите пользователя, щелкнув запись под полем, а затем нажмите кнопку Добавить.

     • Удалить участников. Установите флажок рядом с одним или несколькими существующими участниками в списке, а затем выберите действие Удалить, а затем выберите Да, удалить в диалоговом окне подтверждения.

   • Вкладка Разрешения. Выберите роли для назначения группе ролей, установив флажок рядом со столбцом Роль.

     Чтобы отсортировать роли, выберите заголовок столбца:

     • Роль
     • Область получателя по умолчанию
     • Область конфигурации по умолчанию

     Чтобы изменить список записей с обычного на компактный, выберите Изменить представление, а затем — Компактный список.

     Используйте поле Поиск и соответствующее значение, чтобы найти определенную группу ролей.

     По завершении на вкладке нажмите кнопку Сохранить.

   Совет

   После добавления или удаления членов группы ролей данным пользователям необходимо выйти из системы, а затем снова войти в нее, чтобы изменить административные права.

Удаление групп ролей с помощью EAC

Вы не можете удалить встроенные группы ролей, но вы можете удалить настраиваемые группы ролей.

1. На странице Роли администратора в Центре администрирования по адресу https://admin.exchange.microsoft.com/#/adminRolesвыберите группу ролей, которую нужно удалить, установив круглый флажок, который появится в пустой области рядом со столбцом имя группы ролей, а затем выберите действие Удалить.

2. Во всплывающем окне подтверждения выберите Подтвердить.

Управление группами ролей с помощью Exchange Online PowerShell

Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

Использование Exchange Online PowerShell для просмотра групп ролей

Чтобы просмотреть группу ролей, используйте следующий синтаксис:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

В этом примере возвращается сводный список всех групп ролей.

Get-RoleGroup

В этом примере возвращаются подробные сведения о группе ролей с именем "Администраторы получателей".

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

В этом примере возвращаются все группы ролей, участником которых является пользователь Julia. Необходимо использовать значение Различающееся имя (DN) для Julia, которое можно найти, выполнив команду : Get-User -Identity Julia | Format-List DistinguishedName.

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-RoleGroup.

Создание групп ролей с помощью Exchange Online PowerShell

Чтобы создать новую группу ролей, используйте следующий синтаксис:

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"

• Параметр Roles указывает роли управления, назначаемые группе ролей, используя следующий синтаксис "Role1","Role1",..."RoleN". Доступные роли можно просмотреть с помощью командлета Get-ManagementRole.
• Параметр Members указывает члены группы ролей с помощью следующего синтаксиса: "Member1","Member2",..."MemberN". Вы можете указать пользователей, универсальные группы безопасности (USG) с поддержкой почты или другие группы ролей (участников безопасности).
• Параметр ManagedBy указывает делегатов, которые могут изменять и удалять группу ролей с помощью следующего синтаксиса: "Delegate1","Delegate2",..."DelegateN". Этот параметр недоступен в Центре администрирования Exchange.
• Параметр CustomRecipientWriteScope указывает существующую настраиваемую область записи получателя, применяемую к группе ролей. Доступные области записи внешних получателей можно просмотреть с помощью командлета Get-ManagementScope.

В этом примере создается новая группа ролей с именем "Ограниченное управление получателями" со следующими параметрами:

• Роли Получатели почты и Общедоступные папки с поддержкой почты назначаются группе ролей.
• Пользователи Ким и Мартин добавляются в качестве участников. Так как не указана настраиваемая область записи получателя, Ким и Мартин могут управлять любым получателем в организации.

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

В этом примере используется настраиваемая область записи получателей. Это означает, что Ким и Мартин могут управлять только получателями, включенными в область получателей Seattle (получателями, для которых свойству City присвоено значение Seattle).

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

Подробные сведения о синтаксисе и параметрах см. в статье New-RoleGroup.

Копирование групп ролей с помощью Exchange Online PowerShell

1. Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:

   $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
   

2. Создайте новую группу ролей, используя следующий синтаксис:

   New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
   

   • Параметр Members указывает члены группы ролей с помощью следующего синтаксиса: "Member1","Member2",..."MemberN". Вы можете указать пользователей, универсальные группы безопасности (USG) с поддержкой почты или другие группы ролей (участников безопасности).
   • Параметр ManagedBy указывает делегатов, которые могут изменять и удалять группу ролей с помощью следующего синтаксиса: "Delegate1","Delegate2",..."DelegateN". Этот параметр недоступен в Центре администрирования Exchange.
   • Параметр CustomRecipientWriteScope указывает существующую настраиваемую область записи получателя, применяемую к группе ролей. Доступные области записи внешних получателей можно просмотреть с помощью командлета Get-ManagementScope.

В этом примере группа ролей "Управление организацией" копируется в новую группу ролей с именем "Управление ограниченной организацией". Членами группы ролей являются Изабель, Картер и Лукас, а делегатами группы ролей являются Дженни и Кэти.

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"

В этом примере группа ролей "Управление организацией" копируется в новую группу ролей под названием "Управление организацией Ванкувера" с настраиваемой областью записи получателя "Пользователи Ванкувера".

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"

Подробные сведения о синтаксисе и параметрах см. в статье New-RoleGroup.

Использование Exchange Online PowerShell для изменения списка участников в группах ролей

• Командлеты Add-RoleGroupMember и Remove-RoleGroupMember добавляют или удаляют отдельных участников по одному. Командлет Update-RoleGroupMember может заменить или изменить существующий список участников.
• Членами группы ролей могут быть пользователи, универсальные группы безопасности с поддержкой почты (USG) или другие группы ролей (субъекты безопасности).

Чтобы изменить члены группы ролей, используйте следующий синтаксис:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>

• Чтобы заменить существующий список членов указанными значениями, используйте следующий синтаксис: "Member1","Member2",..."MemberN".
• Чтобы выборочно изменить существующий список элементов, используйте следующий синтаксис: @{Add="Member1","Member2"...; Remove="Member3","Member4"...}.

В этом примере все текущие члены группы ролей службы поддержки заменяются указанными пользователями.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

В этом примере добавляется Дайгоро Акай и удаляетСя Валерия Баррио из списка участников группы ролей службы поддержки.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Подробные сведения о синтаксисе и параметрах см. в разделе Update-RoleGroupMember.

Использование Exchange Online PowerShell для добавления ролей в пользовательские группы ролей (создание назначений ролей)

Чтобы добавить роли в пользовательские группы ролей в Exchange Online PowerShell, необходимо создать назначения ролей управления с помощью следующего синтаксиса:

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]

• Имя назначения роли создается автоматически, если оно не указано.
• Если параметр RecipientRelativeWriteScope не используется, к назначению роли применяются неявная область чтения и неявная область записи роли.
• Если предопределенная область соответствует бизнес-требованиям, можно использовать параметр RecipientRelativeWriteScope , чтобы применить область к назначению роли.
• Чтобы применить настраиваемую область записи получателя, используйте параметр CustomRecipientWriteScope .

В этом примере группе ролей Seattle Compliance назначается роль управления Transport Rules.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

В этом примере роль Message Tracking назначается группе ролей Enterprise Support, затем применяется предварительно определенная область Organization.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

В этом примере роль Message Tracking назначается группе ролей Seattle Recipient Admins, затем применяется область Seattle Recipients.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-ManagementRoleAssignment.

Использование Exchange Online PowerShell для удаления ролей из пользовательских групп ролей (удаление назначений ролей)

Чтобы удалить роли из пользовательских групп ролей в Exchange Online PowerShell, удалите назначения ролей управления с помощью следующего синтаксиса:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment

• Чтобы удалить обычные назначения ролей, которые предоставляют разрешения пользователям, используйте значение $false параметра Делегирование .
• Чтобы удалить делегированные назначения ролей, которые позволяют назначать роль другим пользователям, используйте значение $true параметра Delegating .

В этом примере удаляется роль Группы рассылки из группы ролей Администраторы получателей Сиэтла.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-ManagementRoleAssignment.

Использование Exchange Online PowerShell для изменения области назначения ролей в пользовательских группах ролей

Область записи назначения ролей в группе ролей определяет объекты, с которыми могут работать члены группы ролей (например, все пользователи или только пользователи, свойство City которых имеет значение Vancouver). Область записи ролей, назначенных настраиваемой группе ролей, можно изменить следующим образом:

• Неявная область из самих ролей. Это означает, что вы не указали пользовательские области при создании группы ролей или задали значение для всех назначений ролей в существующей группе ролей значение $null.
• Одна и та же настраиваемая область для всех назначений ролей.
• Различные настраиваемые области для каждого назначения отдельной роли.

Чтобы задать область для всех назначений ролей в группе ролей одновременно, используйте следующий синтаксис:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

В этом примере область получателя для всех назначений ролей в группе ролей Управление получателями продаж изменяется на Сотрудники по прямым продажам.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Чтобы изменить область назначения отдельной роли между группой ролей и ролью управления, выполните следующие действия.

1. Замените <имя> группы ролей именем группы ролей и выполните следующую команду, чтобы найти имена всех назначений ролей в группе ролей:

   Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
   

2. Поиск имени назначения роли, которое необходимо изменить. Используйте имя назначения роли на следующем шаге.

3. Чтобы задать область для назначения отдельной роли, используйте следующий синтаксис:

   Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
   

   В этом примере изменяется область получателя для назначения роли с именем Mail Recipients_Sales Recipient Management для всех сотрудников по продажам.

   Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
   

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-ManagementRoleAssignment.

Изменение списка делегатов в группах ролей с помощью Exchange Online PowerShell

Делегаты группы ролей определяют, кому разрешено изменять и удалять группу ролей. Вы не можете управлять делегатами групп ролей в EAC.

Чтобы изменить список делегатов в группе ролей, используйте следующий синтаксис:

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>

• Чтобы заменить существующий список делегатов указанными значениями, используйте следующий синтаксис: "Delegate1","Delegate2",..."DelegateN".

• Чтобы выборочно изменить существующий список делегатов, используйте следующий синтаксис: @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}.

В этом примере все текущие делегаты группы ролей службы поддержки заменяются указанными пользователями.

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

В этом примере добавляется Дайгоро Акай и Валерия Баррио из списка делегатов в группе ролей службы поддержки.

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Дополнительные сведения о синтаксисе и параметрах см. в разделе Set-RoleGroup.

Удаление пользовательских групп ролей с помощью Exchange Online PowerShell

Вы не можете удалить встроенные группы ролей, но вы можете удалить настраиваемые группы ролей.

Чтобы удалить настраиваемую группу ролей, используйте следующий синтаксис:

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

В этом примере удаляется группа ролей "Обучающие администраторы".

Remove-RoleGroup -Identity "Training Administrators"

Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-RoleGroup.

Как проверить, что эти процедуры выполнены?

Чтобы убедиться, что группа ролей успешно создана, изменена или удалена, выполните одно из следующих действий.

• В центре администрирования EAC перейдите на страницу Роли администратора по адресу https://admin.exchange.microsoft.com/#/adminRolesи убедитесь, что группа ролей указана (или не указана). Выберите группу ролей, щелкнув имя и проверив параметры во всплывающем всплывающем окне сведений.

• В Exchange Online PowerShell замените <имя> группы ролей именем группы ролей и выполните следующую команду, чтобы убедиться, что группа ролей существует (или не существует) и проверьте параметры:

  Get-RoleGroup -Identity "<Role Group Name>" | Format-List