在 Exchange Online 中管理角色组

角色组是 Exchange Online 中基于角色的访问控制 (RBAC) 权限模型中的 USG () 的特殊通用安全组。 为角色组的成员分配了同一组角色，可以通过将用户添加到角色组或从角色组中删除用户来添加和删除权限。 有关 Exchange Online 中的角色组的详细信息，请参阅 Exchange Online 中的权限。

可以在 Exchange 管理中心 (EAC) 和 Exchange Online PowerShell 中管理角色组。

开始前，有必要了解什么？

• EAC 在 中可用 https://admin.exchange.microsoft.com。 有关 EAC 的详细信息，请参阅以下文章：

  • Exchange Online 中的 Exchange 管理中心
  • 独立 EOP 中的 Exchange 管理中心。

• 若要打开 Exchange Online PowerShell，请参阅 连接到 Exchange Online PowerShell。

• 需要先分配权限，然后才能执行本文中的过程。 具体来说：

  • Exchange Online 权限：需要 角色管理 角色，该角色默认分配给 组织管理 角色组。

• 有关可能适用于本文中的过程的键盘快捷方式的信息，请参阅 Exchange Online 中 Exchange 管理中心的键盘快捷方式。

使用 EAC 管理角色组

在 的 EAC 中 https://admin.exchange.microsoft.com，转到 “权限>管理员角色”。 或者，若要直接转到 “管理员角色 ”页，请使用 https://admin.exchange.microsoft.com/#/adminRoles。

使用 EAC 查看角色组和角色组详细信息

在 EAC https://admin.exchange.microsoft.com/#/adminRoles的“管理员角色”页上，将显示所有内置角色组和客户角色组的以下信息：

• 角色组：角色组的名称。
• 说明

若要对角色组列表进行排序，请在列标题上选择。

若要将条目列表从普通间距更改为精简间距，请选择“更改视图”，然后选择“压缩列表”。

使用“ 搜索 ”框和相应的值查找特定角色组。

若要查看角色组的详细信息，请通过单击名称从列表中选择组。 打开的详细信息浮出控件包含以下选项卡：

• “常规”选项卡：此选项卡包含有关角色的以下信息：

  • 名称
  • 说明：选择 “编辑基本信息 ”以更改名称。
  • 托管者
  • 写入范围

• “分配 ”选项卡：此选项卡显示角色成员的用户。 该选项卡具有与主角色组视图相同的 “更改”视图 和 “搜索 ”功能。

  若要修改组成员身份，请参阅 部分。

使用 EAC 创建角色组

1. 在 EAC https://admin.exchange.microsoft.com/#/adminRoles的“管理员角色”页上，执行以下步骤之一：

   • 创建新的角色组：验证是否未选择任何角色组，然后选择“ 添加角色组”。
   • 复制现有角色组：通过选中角色组名称列旁空白区域中显示的圆形复选框来选择要复制的角色组，然后选择出现的“复制角色组”操作**。

   其中任一步骤将启动角色创建向导，如其余步骤中所述。

2. 在“基本信息”页上，配置下列设置:

   • 名称：输入角色组的唯一名称。
   • 说明：输入角色组的可选说明。
   • 写入范围：保留默认值 “默认值”，或选择之前在 PowerShell 中创建的现有写入范围对象。

   如果要复制角色组，则默认的“名称”值为“角色组名称>的副本<”，现有的“说明”值将复制，但可以更改这些值。

   完成 “基本信息 ”页后，选择“ 下一步”。

3. 在 “权限” 页上，通过选中“角色”列旁边的复选框，选择要分配给 角色组的角色 。

   若要对角色进行排序，请在列标题上选择：

   • 角色
   • 说明
   • 默认收件人范围
   • 默认配置范围

   若要将条目列表从普通间距更改为精简间距，请选择“更改视图”，然后选择“压缩列表”。

   使用“ 搜索 ”框和相应的值查找特定角色组。

   如果要复制角色组，则已选择原始角色组中的权限，但可以更改这些权限。

   完成“ 权限 ”页后，选择“ 下一步”。

4. 在 “管理员 ”页上，选择要添加到角色组的用户。

   单击该框可查看所有符合条件的帐户和角色组，或开始键入名称或显示名称以筛选结果。

   如果要复制角色组，则已选择原始角色组中的成员，但可以更改它们。

   若要从组中删除用户，请在条目上选择“删除”。

   完成“管理员”页后，选择“下一步”

5. 在“ 审阅和完成 ”页上，验证你的选择。

   使用每个部分中的 “编辑链接” 更改值，或使用“ 后退 ”按钮。

   在“ 查看和完成 ”页上完成操作后，选择“ 添加角色组 ”或“ 复制角色组 ”以创建角色组。

使用 EAC 修改角色组

提示

无法更改内置角色组的名称或说明。

不要更改分配给内置角色组的角色。 复制现有角色组并修改副本，或者改为创建自定义角色组。

1. 在 EAC https://admin.exchange.microsoft.com/#/adminRoles的“管理员角色”页上，单击角色组名称，选择角色组。

2. 在打开的详细信息浮出控件中，配置以下一个或多个设置：

   • “常规”选项卡：选择“编辑基本信息”以更改打开的浮出控件中组的名称或说明，然后选择“保存”。

   • “已分配 ”选项卡：更改角色组的成员身份：

     • 添加成员：选择“ 添加”。 在打开 的“添加管理员” 浮出控件中，单击框可查看所有符合条件的帐户和角色组，或开始键入名称或显示名称以筛选结果。 单击框下方的条目，选择用户，然后选择“ 添加”。

     • 删除成员：选中列表中的一个或多个现有成员旁边的复选框，然后选择出现的“删除”操作，然后在确认对话框中选择“是，删除”。

   • “权限 ”选项卡：通过选中“角色”列旁边的复选框来选择要分配给 角色组的角色 。

     若要对角色进行排序，请在列标题上选择：

     • 角色
     • 默认收件人范围
     • 默认配置范围

     若要将条目列表从普通间距更改为精简间距，请选择“更改视图”，然后选择“压缩列表”。

     使用“ 搜索 ”框和相应的值查找特定角色组。

     完成选项卡后，选择“ 保存”。

   提示

   在角色组中添加或删除成员后，用户可能必须先注销，然后重新登录才会看到其管理权限的更改。

使用 EAC 删除角色组

无法删除内置角色组，但可以删除自定义角色组。

1. 在 EAC https://admin.exchange.microsoft.com/#/adminRoles的“管理员角色”页上，通过选中“角色组名称”列旁空白区域中显示的圆形复选框来选择要删除的角色组，然后选择显示的“删除”操作。

2. 在打开的确认浮出控件中，选择“ 确认”。

使用 Exchange Online PowerShell 管理角色组

若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。

使用 Exchange Online PowerShell 查看角色组

若要查看角色组，请使用以下语法：

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

此示例返回所有角色组的摘要列表。

Get-RoleGroup

此示例返回名为“收件人管理员”的角色组的详细信息。

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

此示例返回用户 Julia 是成员的所有角色组。 需要使用 Julia 的 DistinguishedName (DN) 值，可以通过运行命令找到该值： Get-User -Identity Julia | Format-List DistinguishedName。

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

有关详细的语法和参数信息，请参阅 Get-RoleGroup。

使用 Exchange Online PowerShell 创建角色组

若要创建新角色组，请使用以下语法：

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"

• Roles 参数使用以下语法"Role1","Role1",..."RoleN"指定要分配给角色组的管理角色。 你可以使用 Get-ManagementRole cmdlet 来查看可用角色。
• Members 参数使用以下语法指定角色组的成员："Member1","Member2",..."MemberN"。 你可以指定用户、已启用邮件的通用安全组 (USG) 或其他角色组（安全主体）。
• ManagedBy 参数指定可使用以下语法修改和删除角色组的委托："Delegate1","Delegate2",..."DelegateN"。 此设置在 EAC 中不可用。
• CustomRecipientWriteScope 参数指定要应用于角色组的现有自定义收件人写入范围。 你可以使用 Get-ManagementScope cmdlet 查看可用的自定义收件人写入作用域。

此示例使用以下设置创建名为“受限收件人管理”的新角色组：

• 将“邮件收件人”和“已启用邮件的公用文件夹”角色分配给角色组。
• 将用户 Kim 和 Martin 添加为成员。 由于未指定自定义收件人写入范围，因此 Kim 和 Martin 可以管理组织中的任何收件人。

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

此示例使用自定义收件人写入范围，这意味着 Kim 和 Martin 只能管理包含在 Seattle Recipients 范围中的收件人 (其 City 属性设置为“Seattle) 值”的收件人。

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

有关详细语法和参数信息， 请参阅 New-RoleGroup。

使用 Exchange Online PowerShell 复制角色组

1. 请使用以下语法将想要复制的角色组存储在变量中：

   $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
   

2. 使用以下语法创建新角色组：

   New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
   

   • Members 参数使用以下语法指定角色组的成员："Member1","Member2",..."MemberN"。 你可以指定用户、已启用邮件的通用安全组 (USG) 或其他角色组（安全主体）。
   • ManagedBy 参数指定可使用以下语法修改和删除角色组的委托："Delegate1","Delegate2",..."DelegateN"。 此设置在 EAC 中不可用。
   • CustomRecipientWriteScope 参数指定要应用于角色组的现有自定义收件人写入范围。 你可以使用 Get-ManagementScope cmdlet 查看可用的自定义收件人写入作用域。

此示例将组织管理角色组复制到名为“受限组织管理”的新角色组。角色组成员是 Isabelle、Carter 和 Lukas，角色组代理人是 Jenny 和 Katie。

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"

此示例将“组织管理”角色组复制到名为“温哥华组织管理”的新角色组，该组具有“温哥华用户收件人”自定义收件人写入范围。

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"

有关详细语法和参数信息， 请参阅 New-RoleGroup。

使用 Exchange Online PowerShell 修改角色组中的成员列表

• Add-RoleGroupMember 和 Remove-RoleGroupMember cmdlet 一次添加或删除单个成员。 Update-RoleGroupMember cmdlet 可以替换或修改现有成员列表。
• 角色组的成员可以是用户、启用邮件的通用安全组 (USG) 或其他角色组 (安全主体) 。

若要修改角色组的成员，请使用以下语法：

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>

• 若要将现有成员列表 替换为 指定的值，请使用以下语法： "Member1","Member2",..."MemberN"。
• 若要 有选择地修改 现有成员列表，请使用以下语法： @{Add="Member1","Member2"...; Remove="Member3","Member4"...}。

此示例将技术支持角色组的所有当前成员替换为指定的用户。

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

本示例添加 Daigoro Akai，并从技术支持角色组的成员列表中删除 Valeria Barrio。

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

有关详细语法和参数信息，请参阅 Update-RoleGroupMember。

使用 Exchange Online PowerShell 将角色添加到自定义角色组 (创建角色分配)

若要将角色添加到 Exchange Online PowerShell 中的自定义角色组，请使用以下语法创建 管理角色分配 ：

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]

• 如果未指定角色分配名称，则会自动创建该名称。
• 如果不使用 RecipientRelativeWriteScope 参数，则角色的隐式读取范围和隐式写入范围将应用于角色分配。
• 如果预定义范围满足业务需求，则可以使用 RecipientRelativeWriteScope 参数将范围应用于角色分配。
• 若要应用自定义收件人写入范围，请使用 CustomRecipientWriteScope 参数。

此示例将 Transport Rules 管理角色分配给 Seattle Compliance 角色组。

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

此示例将 Message Tracking 角色分配给 Enterprise Support 角色组，并应用 Organization 预定义作用域。

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

此示例将 Message Tracking 角色分配给 Seattle Recipient Admins 角色组，并应用 Seattle Recipients 作用域。

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

有关语法和参数的详细信息，请参阅 New-ManagementRoleAssignment。

使用 Exchange Online PowerShell 从自定义角色组中删除角色 (删除角色分配)

若要从 Exchange Online PowerShell 中的自定义角色组中删除角色，请使用以下语法删除 管理角色分配 ：

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment

• 若要删除向用户授予权限的常规角色分配，请使用 Delegating 参数的值$false。
• 若要删除允许将角色分配给其他人的委派角色分配，请使用“委派”参数的值$true。

本示例从 Seattle 收件人管理员角色组中删除通讯组角色。

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

有关语法和参数的详细信息，请参阅 Remove-ManagementRoleAssignment。

使用 Exchange Online PowerShell 修改自定义角色组中的角色分配范围

角色组中角色分配的写入范围定义了角色组的成员可以对 (操作的对象，例如所有用户，或者仅其 City 属性具有温哥华) 值的用户。 可以将分配给自定义角色组的角色的写入范围修改为：

• 角色本身的隐式范围。 这意味着在创建角色组时未指定任何自定义范围，或者将现有角色组中所有角色分配的值设置为值 $null。
• 所有角色分配的相同自定义范围。
• 每个角色分配的不同自定义范围。

若要同时设置角色组上所有角色分配的范围，请使用以下语法：

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

本示例将“销售收件人管理”角色组上所有角色分配的收件人范围更改为“直接销售员工”。

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

若要更改角色组和管理角色之间单个角色分配的范围，请执行以下步骤：

1. 将“角色组名称”>替换为<角色组的名称，并运行以下命令以查找角色组上所有角色分配的名称：

   Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
   

2. 查找要更改的角色分配的名称。 请在下一步中使用该角色分配的名称。

3. 若要设置单个角色分配的范围，请使用以下语法：

   Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
   

   此示例将名为“邮件Recipients_Sales收件人管理”的角色分配的收件人范围更改为“所有销售员工”。

   Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
   

有关语法和参数的详细信息，请参阅 Set-ManagementRoleAssignment。

使用 Exchange Online PowerShell 修改角色组中的委托列表

角色组委托定义允许谁修改和删除角色组。 无法在 EAC 中管理角色组委托。

若要修改角色组中的委托列表，请使用以下语法：

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>

• 若要 将 现有的委托列表替换为指定的值，请使用以下语法： "Delegate1","Delegate2",..."DelegateN"。

• 若要 有选择地修改 现有委托列表，请使用以下语法： @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}。

此示例将技术支持角色组的所有当前代理人替换为指定的用户。

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

本示例添加 Daigoro Akai，并从技术支持角色组的代理人列表中删除 Valeria Barrio。

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

有关语法和参数的详细信息，请参阅 Set-RoleGroup。

使用 Exchange Online PowerShell 删除自定义角色组

无法删除内置角色组，但可以删除自定义角色组。

若要删除自定义角色组，请使用以下语法：

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

本示例将删除 Training Administrators 角色组。

Remove-RoleGroup -Identity "Training Administrators"

有关语法和参数的详细信息，请参阅 Remove-RoleGroup。

如何判断这些过程生效了？

若要验证是否已成功创建、修改或删除角色组，请执行以下步骤之一：

• 在 EAC 中，转到 处的https://admin.exchange.microsoft.com/#/adminRoles“管理员角色”页，并验证角色组是否 (列出) 。 通过单击名称并验证打开的详细信息浮出控件中的设置，选择角色组。

• 在 Exchange Online PowerShell 中，将角色组名称>替换为<角色组的名称，并运行以下命令，验证角色组是否存在 (或不存在) 并验证设置：

  Get-RoleGroup -Identity "<Role Group Name>" | Format-List