角色分配策略
适用于: Office 365 for enterprises, Live@edu
上一次修改主题: 2010-05-24
角色分配策略**是一个或多个最终用户管理角色的集合,利用这些角色,用户可以管理其帐户的设置和通讯组的设置。管理角色(也称作“RBAC 角色”或简称“角色”)是基于角色的访问控制 (RBAC) **权限模型的一部分。管理角色指定 Windows PowerShell cmdlet、脚本和允许用户执行特定自我管理任务的其他特殊权限。
通过对分配给角色分配策略的所有角色进行组合,可定义与以下内容相关的用户能够配置和管理的所有事项:帐户、Outlook Web App 选项、其拥有的组以及加入或退出组的能力。
在基于云的服务中,默认角色分配策略是在创建用户邮箱时分配给用户的邮箱计划**的一部分。您可采用多种方式来使用角色分配策略来为用户分配权限:
- 更改分配给默认角色分配策略的最终用户角色。此更改将影响分配了角色分配策略的所有现有邮箱。
- 新建一个自定义角色分配策略,并将其设置为默认策略。
注意 当您将现有默认角色分配策略替换为一个新策略时,将不会自动更新那些分配了旧的默认角色分配策略的邮箱。若要更新现有邮箱,则必须将新的默认角色分配策略手动分配给这些邮箱。 - 创建一个自定义角色分配策略,并直接将其分配给用户的邮箱。您可将其分配给现有用户,或者,在您创建新用户时,将其分配给新用户。
注意 在 Microsoft Live@edu 组织中,您无法创建或删除角色分配策略,也无法替换那些与邮箱计划关联的默认角色分配策略,并且,您无法将某个角色分配策略直接分配给用户。相反,您应将邮箱计划分配给邮箱,然后将与邮箱计划关联的角色分配策略分配给用户。有关详细信息,请参阅 Outlook Live 的邮箱计划。
若要查看组织的角色分配策略,请在 Exchange 控制面板中,选择“管理我的组织”>“角色和审核”>“用户角色”。有关详细信息,请参阅“用户角色”选项卡。
何时使用角色分配策略?
利用角色分配策略,可以通过调整每个组可以管理的帐户特定的设置,赋予特定用户组执行特定的自我管理任务的能力。
例如,假设您想要阻止普通员工更改其显示名称,但允许经理更改其显示名称。为此,您可将默认的收件人访问策略与员工的邮箱关联,并将一个自定义的收件人访问策略与经理的邮箱关联。然后,您配置自定义角色分配策略以允许经理更改其显示名称;同时,配置与员工邮箱关联的默认角色分配策略以阻止他们更改其显示名称。
注意 在 Live@edu 组织中,示例以类似的方式工作。不过,您将为用户分配不同的邮箱计划,而不是分配不同的角色分配策略。您仍需在邮箱计划中配置收件人访问策略。
角色分配策略
在大多数基于云的组织中,仅存在一个名为“默认角色分配策略”的内置角色分配策略。默认情况下,将此内置角色分配策略分配给所有的邮箱计划。
在 Live@edu 组织中,存在两个内置角色分配策略:RoleAssignmentPolicy-DefaultMailboxPlan 和 RoleAssignmentPolicy-GalDisabledMailboxPlan。角色分配策略的名称与关联的邮箱计划的名称相对应。
下面了解一下默认情况下分配给每个角色的最终用户管理角色。
注意 在 Live@edu 组织中,角色分配策略中使用的角色名称与包含角色分配策略的邮箱计划相对应。例如,存在两个 MyDistributionGroups 角色:MyDistributionGroups_DefaultMailboxPlan 和 MyDistributionGroups_GalDisabledMailboxPlan。
| 角色 | 用户可以执行的操作 | 是否分配给默认角色分配策略? | 是否分配给 Live@edu RoleAssignmentPolicy-DefaultMailboxPlan? | 是否分配给 Live@edu RoleAssignmentPolicyGalDisabledMailboxPlan? |
|---|---|---|---|---|
MyBaseOptions |
用户需要此角色来从其邮箱中访问“Outlook Web App”>“选项”。 |
是 |
是 |
是 |
MyContactInformation |
在“Outlook Web App”>“选项”>“帐户” >“我的帐户”中,编辑用户在共享通讯簿中的地址和电话号码。 MyContactInformation 具有以下子角色:
如果您认为 MyContactInformation 角色授予用户太多权力,则可以从角色分配策略中删除该角色,然后分配一个或多个子角色。有关详细信息,请参阅更改角色分配策略。 |
是 |
是 |
是 |
MyDistributionGroupMembership |
在“Outlook Web App”>“选项”>“组”中,加入或退出现有通讯组。 |
是 |
是 |
否 |
MyDistributionGroups |
在“Outlook Web App”>“选项”>“组”中创建新的通讯组,删除和修改用户拥有的通讯组以及管理用户拥有的通讯组的组成员关系。 |
是 |
是 |
否 |
MyMailSubscriptions |
在“Outlook Web App”>“选项”>“帐户”>“连接的帐户”中,创建针对外部邮箱的 POP 或 IMAP 或 Hotmail 订阅。 |
是 |
是 |
是 |
MyProfileInformation |
在“Outlook Web App”>“选项”>“帐户” > “我的帐户”中,编辑用户在共享通讯簿中的名、中间名首字母、姓和显示名称。 MyProfileInformation 具有以下子角色:
如果您认为 MyProfileInformation 角色授予用户太多权力,则可以从删除角色分配策略中删除该角色,然后分配一个子角色。有关详细信息,请参阅更改角色分配策略。 |
是 |
是 |
是 |
MyRetentionPolicies |
在“Outlook Web App”>“选项”>“组织电子邮件”>“保留策略”中管理用户的保留策略。 注意 并非所有组织均可使用此功能。 |
是 |
是 |
是 |
MyTextMessaging |
在“Outlook Web App”>“电话”>“短信”中配置用户的短信设置。 注意 并非所有组织均可使用此功能。 |
是 |
是 |
是 |
MyVoiceMail |
在“Outlook Web App”>“选项”>“电话”>“语音邮件”中更新用户的语音邮件设置。 注意 并非所有组织均可使用此功能。 |
是 |
是 |
是 |