独立 EOP 中的权限
没有Exchange Online邮箱的独立Exchange Online Protection (EOP) 组织使用基于角色访问控制 (RBAC) 权限模型轻松向管理员授予权限。 可以使用独立 EOP 中的权限功能快速启动和运行新组织。
若要向用户授予权限,请参阅 在 EOP 中管理管理员角色组。
有关跨 Microsoft 365 的权限的详细信息,请参阅 关于管理员角色。
基于角色的权限
授予用户的管理员权限基于管理角色。 管理角色定义可用于一组给定任务的 cmdlet。 Exchange 管理中心 (EAC) 和独立的 EOP PowerShell 都使用 cmdlet。 因此,授予对 cmdlet 的访问权限可让用户在 EAC 或独立 EOP PowerShell 中执行任务。 例如,“邮件收件人”角色定义修改邮件用户所需的 cmdlet。
角色组
为了更轻松地向用户分配角色,独立 EOP 使用角色组。 管理角色分配给角色组,角色组成员获取与角色关联的权限。 换句话说,管理角色不直接分配给用户;它们被分配到角色组。 此模型允许同时向多个角色组成员分配多个角色。 角色组成员可以是邮件用户、启用邮件的安全组、Microsoft 365 管理中心用户和其他角色组。
下图显示了用户、角色组和角色之间的关系。
下表介绍了独立 EOP 中的可用角色组。
| 角色组 | 说明 | 分配的默认角色 |
|---|---|---|
| 通信合规性 | 尽管此角色组可用,但它在独立 EOP 中没有任何用处。 | 通信合规性管理员 通信合规性调查员 |
| 通信合规性管理员 | 尽管此角色组可用,但它在独立 EOP 中没有任何用处。 | 通信合规性管理员 |
| 合规性管理员 | 管理设备管理、数据丢失防护、报告和保留的设置。 | 通信合规性管理员 内部风险管理管理员 |
| 合规性管理 | 配置和管理组织中的合规性设置,包括数据丢失防护 (DLP) (如果订阅具有 DLP 功能)。 Microsoft Entra ID中合规性管理员角色的成员会自动获取此角色组的权限。 |
审核日志 合规性管理员 数据丢失防护 信息权限管理 日记功能 邮件跟踪 保留管理 传输规则 仅供查看审核日志 仅查看配置 仅查看收件人 |
| 发现管理 | 对 Exchange 组织中的邮箱执行搜索,以查找符合特定条件的数据。 | 合法保留 邮箱搜索 |
| 技术支持 | 查看和管理邮件用户。 | 重置密码 用户选项 仅查看收件人 |
| 安全管理 | 管理 (反垃圾邮件、反恶意软件等 ) 保护功能。 | 运输卫生 仅查看配置 仅查看收件人 |
| 信息保护 | 完全控制所有信息保护功能,包括敏感度标签及其策略、DLP、所有分类器类型、活动和内容资源管理器,以及所有相关报表。 | 信息保护管理员 信息保护调查员 信息保护读者 |
| 信息保护管理员 | 尽管此角色组可用,但它在独立 EOP 中没有任何用处。 | 信息保护管理员 |
| 信息保护分析师 | 尽管此角色组可用,但它在独立 EOP 中没有任何用处。 | 无 |
| 信息保护调查员 | 搜索统一审核日志 | 信息保护调查员 |
| 信息保护读者 | 搜索统一的审核日志并查看“邮件流量”和“邮件流量摘要”报告。 | 信息保护读者 |
| 内部风险管理 | 管理内部风险管理的访问控制。 | 内部风险管理管理员 内部风险管理调查 |
| 内部风险管理管理员 | 尽管此角色组可用,但它在独立 EOP 中没有任何用处。 | 内部风险管理管理员 |
| 预览体验计划风险管理调查员 | 尽管此角色组可用,但它在独立 EOP 中没有任何用处。 | 内部风险管理调查 |
| 组织管理 | 管理员访问整个组织以及执行几乎任何任务的能力。 Microsoft Entra ID中全局管理员角色的成员会自动获取此角色组的权限。 重要说明:由于组织管理角色组是一个强大的角色,因此只有执行组织级管理任务的用户才应是此角色组的成员。 |
审核日志 通信合规性管理员 通信合规性调查员 合规性管理员 数据丢失防护 动态通讯组 电子邮件地址策略 联合共享 信息保护管理员 信息保护调查员 信息保护读者 信息权限管理 内部风险管理管理员 内部风险管理调查 日记功能 合法保留 启用了邮件的公用文件夹 邮件收件人创建 邮件收件人 邮件提示 邮件跟踪 迁移 移动邮箱 组织自定义应用程序 组织市场应用程序 组织客户端访问 组织配置 组织传输设置 隐私管理管理员 隐私管理调查 公用文件夹 收件人策略 远程域和接受域 重置密码 保留管理 角色管理 安全管理员 安全组创建和成员身份 安全信息读取者 TenantPlacesManagement 运输卫生 传输规则 用户选项 仅供查看审核日志 仅查看配置 仅查看收件人 |
| 隐私管理 | 尽管此角色组可用,但它在独立 EOP 中没有任何用处。 | 隐私管理管理员 隐私管理调查 |
| 隐私管理管理员 | 尽管此角色组可用,但它在独立 EOP 中没有任何用处。 | 隐私管理管理员 |
| 隐私管理调查员 | 尽管此角色组可用,但它在独立 EOP 中没有任何用处。 | 隐私管理调查 |
| 收件人管理 | 在组织中创建、管理和删除收件人对象。 | 动态通讯组 邮件收件人创建 邮件收件人 邮件跟踪 迁移 移动邮箱 收件人策略 重置密码 |
| 记录管理 | 配置合规性功能,例如保留策略标记、邮件分类和邮件流规则 (也称为传输规则) 。 | 审核日志 日记功能 邮件跟踪 保留管理 传输规则 |
| RIM-MailboxAdmins<GUID> | 未使用 | ApplicationImpersonation |
| 安全管理员 | 在组织中配置保护的所有方面, (反垃圾邮件、反恶意软件、反欺骗、隔离等 ) 。 Microsoft Entra ID中安全管理员角色的成员会自动获取此角色组的权限。 |
安全管理员 SensitivityLabelAdministrator |
| 安全操作员 | 管理安全警报,并查看安全功能的报告和设置。 Microsoft Entra ID中安全操作员角色的成员会自动获取此角色组的权限。 |
Tenant AllowBlockList 管理器 |
| SecurityReader | 仅查看对组织中保护的所有方面的访问, (反垃圾邮件、反恶意软件、反欺骗、隔离等 ) 。 Microsoft Entra ID中安全读取者角色的成员自动获取此角色组的权限。 |
安全信息读取者 |
| <TenantAdmins_Number> | 此角色组中的成员资格跨服务同步并集中管理。 此角色组未分配任何角色,但它是组织管理角色组的成员,并继承这些权限。 | 无 |
| 仅查看组织管理 | 查看组织中的收件人、保护和配置对象及其属性。 | 仅查看配置 仅查看收件人 |
如果你在小型组织中工作,则只能使用“组织管理”角色组。 例如,在具有负责特定任务的管理员的大型组织中, (仅) 收件人配置,还可以使用“收件人管理”角色组。 然后,管理员可以在没有权限的情况下在他们不负责的区域中管理其特定区域。
如果Exchange Online中的内置角色组与管理员的工作功能不匹配,则可以创建角色组并向其添加角色。 有关详细信息,请参阅 在独立 EOP 中管理角色组。
角色
下表介绍了独立 EOP 中可用的内置角色。
| Role | 说明 | 默认角色组分配 |
|---|---|---|
| 地址列表 | 使管理员能够管理组织中的地址列表、全局地址列表和脱机地址列表。 | 无 |
| 审核日志 | 搜索管理员审核日志并查看结果。 | 合规性管理 组织管理 记录管理 |
| 通信合规性管理员 | 尽管此角色可用,但它在独立 EOP 中没有任何用处。 | 通信合规性 通信合规性管理员 合规性管理员 组织管理 |
| 通信合规性调查员 | 尽管此角色可用,但它在独立 EOP 中没有任何用处。 | 组织管理 |
| 合规性管理员 | 允许用户查看和编辑符合性功能的设置和报告。 | 合规性管理 组织管理 |
| 数据丢失防护 | 使管理员能够管理数据丢失防护 (DLP) 组织中的设置。 | 合规性管理 组织管理 |
| 动态通讯组 | 创建和管理所有通讯组、启用邮件的安全组和成员。 | 组织管理 收件人管理 |
| 电子邮件地址策略 | 使管理员能够管理组织中的电子邮件地址策略。 | 组织管理 |
| 联合共享 | 使管理员能够管理组织中的跨林和跨组织共享。 | 组织管理 |
| 信息保护管理员 | 尽管此角色可用,但它在独立 EOP 中没有任何用处。 | 信息保护 信息保护管理员 组织管理 |
| 信息保护调查员 | 搜索统一审核日志。 | 信息保护 信息保护调查员 组织管理 |
| 信息保护读者 | 搜索统一的审核日志并查看“邮件流量”和“邮件流量摘要”报告。 | 信息保护 信息保护读者 组织管理 |
| 信息权限管理 | 管理信息权限管理 (IRM) 组织中的 Exchange 功能。 | 合规性管理 组织管理 |
| 内部风险管理管理员 | 尽管此角色可用,但它在独立 EOP 中没有任何用处。 | 合规性管理员 内部风险管理 内部风险管理管理员 组织管理 |
| 内部风险管理调查 | 尽管此角色可用,但它在独立 EOP 中没有任何用处。 | 内部风险管理 预览体验计划风险管理调查员 组织管理 |
| 日记功能 | 使管理员能够管理组织中的日记配置。 | 合规性管理 组织管理 记录管理 |
| 合法保留 | 使管理员能够配置是否应出于组织中的诉讼目的保留邮箱中的数据。 | 发现管理 组织管理 |
| 启用了邮件的公用文件夹 | 使管理员能够配置单个公用文件夹在组织中是启用邮件还是禁用邮件。 | 组织管理 |
| 邮件收件人创建 | 创建和删除邮件用户和邮件联系人。 | 组织管理 收件人管理 |
| 邮件收件人 | 修改现有邮件用户和邮件联系人。 | 组织管理 收件人管理 |
| 邮件提示 | 使管理员能够管理组织中的邮件提示设置。 | 组织管理 |
| 邮箱导入导出 | 使管理员能够导入和导出邮箱内容。 | 组织管理 |
| 邮箱搜索 | 使管理员能够搜索组织中的一个或多个邮箱的内容。 | 发现管理 |
| 邮件跟踪 | 使管理员能够跟踪组织中的邮件。 | 合规性管理 组织管理 收件人管理 记录管理 |
| 迁移 | 使管理员能够将邮箱和邮箱内容迁移到或移出组织。 | 组织管理 收件人管理 |
| 移动邮箱 | 使管理员能够移动邮箱。 | 组织管理 收件人管理 |
| 组织客户端访问 | 使管理员能够管理组织中的客户端访问设置。 | 组织管理 |
| 组织配置 | 使管理员能够管理组织范围的设置。 | 组织管理 |
| 组织传输设置 | 使管理员能够管理混合和组织范围的邮件传输设置。 | 组织管理 |
| 隐私管理管理员 | 尽管此角色可用,但它在独立 EOP 中没有任何用处。 | 组织管理 隐私管理 隐私管理管理员 |
| 隐私管理调查 | 尽管此角色可用,但它在独立 EOP 中没有任何用处。 | 组织管理 隐私管理 隐私管理调查员 |
| 公用文件夹 | 使管理员能够管理组织中的公用文件夹。 | 组织管理 |
| 收件人策略 | 使管理员能够管理收件人策略 (身份验证策略、数据加密策略移动设备邮箱策略,以及组织中) Outlook 网页版邮箱策略。 | 组织管理 收件人管理 |
| 远程域和接受域 | 管理远程域、接受的域和连接器。 | 组织管理 |
| 重置密码 | 使管理员能够设置会议室邮箱密码。 | 技术支持 组织管理 收件人管理 |
| 保留管理 | 允许用户管理保留策略。 | 合规性管理 组织管理 记录管理 |
| 角色管理 | 使管理员能够管理组织中的管理角色组、角色分配策略、管理角色、角色条目、分配和范围。 | 组织管理 |
| 安全管理员 | 管理所有安全和保护功能的配置和报告。 | 组织管理 安全管理员 |
| 安全组创建和成员身份 | 创建和管理已启用邮件的安全组。 | 组织管理 |
| 安全信息读取者 | 查看安全和保护功能的配置和报告。 | 组织管理 安全信息读取者 |
| SensitivityLabelAdministrator | 允许用户编辑敏感度标签属性。 | 组织管理 安全管理员 |
| Tenant AllowBlockList 管理器 | 允许用户管理租户允许/阻止列表。 | 组织管理 安全操作员 |
| TenantPlacesManagement | 尽管此角色可用,但它在独立 EOP 中没有任何用处。 | 组织管理 |
| 运输卫生 | 管理反恶意软件、反垃圾邮件功能和反欺骗功能。 | 安全管理 组织管理 |
| 传输规则 | 创建和管理邮件流规则 (也称为) 传输规则。 | 合规性管理 组织管理 记录管理 |
| 用户选项 | 使管理员能够查看组织中用户的Outlook 网页版选项。 | 技术支持 组织管理 |
| 仅供查看审核日志 | 搜索管理员审核日志并查看结果。 | 合规性管理 组织管理 |
| 仅查看配置 | 查看组织中的所有组织和邮件流 (非收件人) 设置。 | 合规性管理 安全管理 组织管理 仅查看组织管理 |
| 仅查看收件人 | 查看收件人属性并运行邮件跟踪。 | 合规性管理 技术支持 安全管理 组织管理 仅查看组织管理 |
注意
- 以前缀“My”开头的角色名称 (例如 MyContactInformation) 是最终用户角色。 最终用户角色分配给角色分配策略中的用户,这些策略允许用户对其拥有 (的对象进行操作,例如,他们自己的帐户或他们) 创建的通讯组。 有关详细信息,请参阅 Exchange Online 中的角色分配策略。
- 以“Application”开头或结尾的角色名称是 Exchange Online 中 RBAC for Applications 的一部分。 有关详细信息,请参阅 Exchange Online 中应用程序的基于角色访问控制。
独立 EOP 中的 Microsoft 365 权限
在Microsoft 365 管理中心中创建用户时,可以选择是否向用户分配各种Microsoft Entra角色 (,例如全局管理员、Exchange 管理员和全局读取者) 。 大多数Microsoft Entra角色向用户授予 EOP 中的管理权限。
注意
用于创建独立 EOP 组织的帐户会自动分配到全局管理员角色。
下表列出了Microsoft Entra角色及其对应的独立 EOP 角色组。 有关这些角色的详细信息,请参阅 关于管理员角色。
| Microsoft Entra角色 | EOP 角色组 |
|---|---|
| 全局管理员 | 组织管理 注意:全局管理员角色和组织管理角色组使用特殊的公司管理员角色组绑定在一起。 公司管理员角色组在内部管理,无法直接修改。 |
| Exchange 管理员 | 组织管理 |
| 全局读取者 | ViewOnlyOrganization Management |
| 帮助台管理员 | 技术支持 |
| 服务支持管理员 | 无 |
| SharePoint 管理员 | 无 |
| Teams 管理员 | 无 |
| 用户管理员 | 收件人管理 |
| 用户体验成功管理器 | 无 |
通过将用户添加为 EOP 角色组的成员,可以在 EOP 中向用户授予管理权限,而无需将其添加到Microsoft Entra角色。 用户在 EOP 中获取权限,但不会在其他 Microsoft 365 工作负载中获取权限。 有关说明,请参阅 使用 EAC 管理角色组。