基于角色的访问控制
适用于: Office 365 for enterprises, Live@edu
上一次修改主题: 2010-06-02
可使用基于角色的访问控制 (RBAC) 为用户分配功能。所有权限和功能均由管理角色定义。管理角色也称为 RBAC 角色,或简称为角色,用于定义用户的权限及其可执行的任务*。*如果向某用户分配某角色,则该用户将能够执行由该角色定义的任务。
在本主题中,我们介绍了以下内容:
- 按用户类型划分的角色
- 如何为用户分配角色?
- 我是否可以自定义角色?
- 用户体验是如何受角色分配影响的?
按用户类型划分的角色
有两种不同类型的角色:
- 最终用户角色 这些角色为最终用户分配基本功能。例如,允许用户在共享通讯簿中编辑其联系信息和创建公用组的角色。
- 管理员角色 这些角色为管理员和其他专家(例如技术支持人员或法规事务主管)分配管理功能。例如,允许用户创建、修改和删除邮箱、邮件联系人及邮件用户,并重置用户密码的角色。
如何为用户分配角色?
可以通过角色分配**为用户分配角色。可以用不同的方法向用户分配角色:
- 分配给角色分配策略的最终用户角色 通常,这是为用户分配最终用户角色的方式。是否要从角色分配策略中删除一个角色,从而影响分配有该角色分配策略的所有用户?只需从角色分配策略中删除该角色即可。或者,您可以新建一个角色分配策略,并将其分配给需要更多或更少功能的大量用户。
注意 只有最终用户角色可以分配给角色分配策略。此外,在 Live@edu 组织中,一个角色分配策略会分配一个邮箱计划。您不能创建角色分配策略,也不能直接向用户分配角色分配策略。不过,您可以向用户分配邮箱计划。 - 分配给角色组的角色 角色组**是一个分配了管理权限的通用安全组。通常,这是为管理员和专家分配管理员角色的方式。只需向相应的角色组添加用户,或从相应的角色组删除用户即可。为角色组分配角色时,或从角色组删除角色分配时,角色组的所有成员都会受影响。
您还可以创建一个新角色组,并向该角色组添加用户。在这里您可以获取非常具体的信息。如果为内置角色组分配了会给予组织中某特定用户过多权限的多个不同角色,则可以创建一个新角色组,向该组分配所需的角色,然后向该组中添加用户。 - 直接分配给用户的角色 建议不要直接为用户分配角色,因为将角色分配给各个用户并跟踪每个用户都分配有哪些角色是非常困难的。而应创建一个新角色组,为该组分配角色,然后将用户添加该组中。
我是否可以自定义角色?
是的,但您没有必要这样做。默认情况下,有大约 30 个管理员角色和 14 个最终用户角色。您将会发现各角色所包含的特定功能在不同角色之间并不重复。如果您感觉现有角色组或角色分配策略给予用户过多权限,可以删除特定角色分配,而无需自定义基本角色。例如,请参阅下列主题:
用户体验是如何受角色分配影响的?
向某个用户分配角色时,该用户可以访问如下所示的其他功能:
- 在 Exchange 控制面板中 每个用户只能使用为其分配的角色所允许的选项卡和选项。例如,“发现”选项卡仅在将用户添加到“发现管理”角色组之后对该用户显示。
- 在 Windows PowerShell 中 用户使用 Windows 远程管理 (WinRM) 将 Windows PowerShell 连接到基于云的服务时,用户只能使用为其分配的角色所允许的 cmdlet 和参数。