Exchange Online 中的角色指派原則
角色指派原則是一或多個終端使用者角色的集合,這些角色可讓使用者在 Exchange Online 中管理其信箱設定和通訊群組。 終端使用者角色是 Exchange Online 中角色型存取控制 (Role Based Access Control,RBAC) 權限模型的一部分。 您可以將不同的角色指派原則指派給不同的使用者,以允許或阻止 Exchange Online 中特定的自我管理功能。
在 Exchange Online 中,在帳戶授權時指派給使用者的信箱方案會指定預設角色指派原則 (名為「預設角色指派原則」)。 如需信箱方案的詳細資訊,請參閱 Exchange Online 中的信箱方案。
角色指派原則是使用者角色 (的方式,而非管理角色,) 指派給 Exchange Online 中的使用者。 您可以透過數種方式使用角色指派原則指派權限給使用者:
新使用者:
- 將指派的終端使用者角色變更為預設的角色指派原則。
- 建立自訂角色指派原則,然後將它設為預設值。 請注意,這個方法只會影響您建立的信箱,而不需指定角色指派原則或指派授權 (授權可指定信箱方案,信箱方案可指定角色指派原則)。
- 在信箱方案中指定自訂角色指派原則。 如需詳細資訊,請參閱使用 Exchange Online PowerShell 修改信箱方案。
現有的使用者:
- 將不同的授權指派給使用者。 這會套用不同信箱方案的設定,其指定要套用的角色指派原則。
- 將自訂角色指派原則手動指派給信箱。
下表說明您可以指派給信箱方案的可用終端使用者角色:
角色 | 已根據預設指派給預設角色指派原則? | 描述 |
---|---|---|
我的自訂應用程式 | 是 | 安裝自訂應用程式。 |
My Marketplace Apps | 是 | 安裝市集應用程式。 |
我的 ReadWriteMailbox 應用程式 | 是 | 以 ReadWriteMailbox 權限安裝應用程式。 |
MyBaseOptions | 是 | 使用者從自己的信箱存取 Outlook 網頁版中的選項時所必要。 |
MyContactInformation | 是 | 編輯其在全域通訊清單 (GAL) 中的地址和電話號碼。 此角色包含下列子角色:
如果您覺得此角色給予使用者太多權限,可以從角色指派原則移除角色,並且指派其中一個或多個子角色。 如需相關指示,請參閱本主題中的在角色指派原則中新增或移除角色一節。 |
MyDistributionGroupMembership | 是 | 加入或離開現有的通訊群組 (如果該群組已設為讓成員加入或離開群組)。 |
MyDistributionGroups | 是 | 建立新的通訊群組、刪除其擁有的群組、修改其擁有的群組,以及管理其擁有群組的群組成員資格。 |
MyMailboxDelegation | 否 | 允許使用者將傳送代理者權限授予其信箱上的其他使用者。 郵件會在 [寄件者] 欄位中清楚顯示寄件者 (<寄件者>代理者<信箱>),但回覆會傳遞到信箱,而不是寄件者。 |
MyMailSubscriptions | 是 | 聯機的帳戶已在 2018 年 11 月從 Outlook 網頁版移除。 如需詳細資訊,請參閱 Outlook 網頁版不再支援已連線的帳戶。 |
MyProfileInformation | 是 | 編輯其在 GAL 中的名字、中間名、姓氏和顯示名稱。 此角色包含下列子角色:
如果您覺得此角色給予使用者太多權限,可以從角色指派原則移除角色,並且指派其中一個子角色。 如需相關指示,請參閱本主題中的在角色指派原則中新增或移除角色一節。 |
MyRetentionPolicies | 是 | 允許使用者新增不屬於其受派保留原則的個人標籤。* |
MyTeamMailboxes | 是 | 網站信箱已在 2017 年 9 月中止,改為 Microsoft 365 群組。 如需詳細資訊,請 參閱使用 Microsoft 365 群組,而不是網站信箱。 |
MyTextMessaging | 是 | 啟用會議和新電子郵件的簡訊通知。* |
MyVoiceMail | 是 | 更新其語音信箱設定。* |
*並非所有區域或組織都可以使用此功能。
開始之前有哪些須知?
每項程序的預估完成時間:不到 5 分鐘。
本主題中的程序需要 Exchange Online 中的角色管理 RBAC 角色。 一般而言,您會透過組織管理角色群組中的成員資格來取得此許可權。 如需詳細資訊,請參閱管理 Exchange Online 中的角色群組。
如需開啟 Exchange 系統管理中心 (EAC),請參閱 Exchange Online 中的 Exchange 系統管理中心。 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
權限變更會在使用者登出並再次登入後生效。
檢視已指派給角色指派原則的角色
使用 EAC 來檢視已指派給角色指派原則的角色
在 EAC 中,按兩下 [角色>管理員角色]。 組織中的所有角色群組都會列在這裡。
選取角色群組。 詳細數據窗格會顯示 [名稱]、[ 描述],並新增角色群組的 [許可權]。
使用 Exchange Online PowerShell 來檢視已指派給角色指派原則的角色
若要檢視已指派給角色指派原則的角色,請使用下列語法:
Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto
此範例會傳回已指派給原則 (名為「預設角色指派原則」)的角色。
Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto
如需詳細的語法和參數資訊,請參閱 Get-ManagementRoleAssignment。
注意:若要傳回所有可用的終端使用者角色清單,請執行下列命令:
Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent
在角色指派原則中新增或移除角色
使用 EAC 在角色指派原則中新增或移除角色
在 EAC 中,按兩下 [角色>使用者角色],選取角色指派原則,然後按兩下 [編輯編輯
在開啟的原則內容視窗中,請執行下列其中一個步驟:
若要新增角色,請選取該角色旁的核取方塊。
若要移除已經指派的角色,請清除核取方塊。
如果選取含有子角色之角色的核取方塊,也會選取子角色的核取方塊。 如果您清除父角色的核取方塊,也會清除子角色的核取方塊。 清除父角色的核取方塊,然後選取個別的子角色,即可選取子角色。
完成後,請按一下 [儲存]。
使用 Exchange Online PowerShell 將角色新增至角色指派原則
將角色新增至角色指派原則,就會建立具有唯一名稱的新角色指派,其是角色名稱和角色指派原則的組合。
若要將角色新增至角色指派原則,請使用下列語法:
New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"
此範例會將 MyMailboxDelegation 角色新增至名為「預設角色指派原則」的角色指派原則。
New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"
如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment。
使用 Exchange Online PowerShell 從角色指派原則中移除角色
使用本主題稍早使用 Exchange Online PowerShell 來檢視已指派給角色指派原則的角色一節中的程序,尋找所要移除角色的角色指派名稱 (這是角色名稱與角色指派原則的組合)。
若要從角色指派原則移除角色,請使用以下語法:
Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"
此範例會從名為「預設角色指派原則」的角色指派原則中移除 MyDistributionGroups 角色。
Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"
如需詳細的語法和參數資訊,請參閱 Remove-ManagementRoleAssignment。
建立角色指派原則
使用 EAC 建立角色指派原則
在 EAC 中,移至 [角色>管理員角色 ],然後按兩下 [ 新增角色群組]。
在 [ 新增角色群組 ] 視窗中,按兩下 [設定基本 概念] 區段,設定下列設定,然後按 [ 下一步]:
名稱:輸入角色群組的唯一名稱。
描述:輸入角色群組的選擇性描述。
選取要指派給原則的角色。
在 [ 新增許可權] 區段中 ,選取角色,然後按 [ 下一步]。 角色會定義指派給此角色群組的成員有權管理的工作範圍。
在 [ 指派系統管理員] 區段中 ,選取要指派給此角色群組的使用者,然後按 [ 下一步]。 他們將擁有管理您所指派角色的許可權。
在 [ 檢閱角色群組並完成] 區 段中,確認所有詳細數據,然後按兩下 [ 新增角色群組]。
按一下 [完成]。
使用 Exchange Online PowerShell 建立角色指派原則
若要建立角色指派原則,請使用下列語法:
New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]
此範例會建立名為 Contoso Contractors 的新角色指派原則,其中包含指定的使用者角色。
New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"
如需詳細的語法和參數資訊,請參閱 New-RoleAssignmentPolicy。
修改角色指派原則
您可以使用 EAC 或 xchange PowerShell 在角色指派原則中新增或移除角色。
您只能使用 Exchange Online PowerShell 來指定預設角色指派原則,該原則會套用至建立時未獲派授權或角色指派原則的新信箱。
否則,您可在 EAC 或 Exchange Online PowerShell 中進行的作業只有修改角色指派原則的名稱和描述。
使用 Exchange Online PowerShell 來指定預設角色指派原則
若要指定預設角色指派原則,請使用下列語法:
Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault
此範例會將 Contoso Users 設定為預設角色指派原則。
Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault
注意:IsDefault 參數也適用於 New-RoleAssignmentPolicy Cmdlet。
如需詳細的語法及參數資訊,請參閱 Set-RoleAssignmentPolicy。
移除角色指派原則
您無法移除目前已指定為預設值的角色指派原則。 您必須先將另一個角色指派原則指定為預設值,才能刪除原則。
您無法移除已指派給信箱的角色指派原則。 使用使用 Exchange Online PowerShell 來修改信箱的角色指派原則指派一節中所述的程序,取代已指派給信箱的角色指派原則。
使用 EAC 移除角色指派原則
在 EAC 中,移至 [角色>管理員角色]。
選取角色群組,然後按兩下 [刪除]。
按兩下確認視窗中的 [確認]。
使用 Exchange Online PowerShell 移除角色指派原則
若要移除角色指派原則,請使用下列語法:
Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"
此範例會移除名為 Contoso Managers 的角色指派原則。
Remove-RoleAssignmentPolicy -Identity "Contoso Managers"
如需詳細的語法及參數資訊,請參閱 Remove-RoleAssignmentPolicy。
檢視信箱的角色指派原則指派
使用 EAC 來檢視信箱的角色指派原則指派
在 EAC 中,移至 [收件者>信箱],選取信箱,然後按兩下 [編輯編輯。
在開啟的信箱內容視窗中,按一下 [信箱功能]。 角色指派原則會顯示在 [角色指派原則] 欄位中。
完成後,請按一下 [儲存]。
使用 Exchange Online PowerShell 來檢視信箱的角色指派原則指派
若要查看特定信箱的角色指派原則指派,請使用以下語法:
Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy
此範例會針對名為 Pedro Pizarro 的信箱傳回角色指派原則。
Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy
若要傳回已指派特定角色指派原則的所有信箱,請使用下列語法:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}
此範例會傳回已指派角色指派原則 (名為 Contoso Managers) 的所有信箱。
$Mgrs = Get-Mailbox -ResultSize unlimited
$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}
修改信箱的角色指派原則指派
信箱只能有一個指派的角色指派原則。 您指派給給信箱的角色指派原則會取代已指派的現有角色指派原則。
使用 EAC 來修改信箱的角色指派原則指派
在 EAC 中,按兩下 列 [收件者>信箱],然後執行下列其中一個步驟:
個別信箱:選取信箱>,按兩下 [編輯編輯] >按下開啟>之視窗中的 [信箱功能],按兩下 [角色指派>原則] 旁的下拉式清單,選取新的角色指派原則>,按兩下 [儲存]。
多個信箱:選取相同類型的多個信箱 (例如, 使用者) 選取信箱、按住 Shift 鍵,然後在清單中選取另一個信箱,或在您選取每個信箱時按住 Ctrl 鍵。 在詳細資料窗格中 (現在標題為 [大量編輯) :按兩下 [ 更多選項]> 按兩下 [ 更新]。 在 [ 角色指派原則 ] 區段中,選取出現 > 的視窗中的角色指派原則,然後按兩下 [ 儲存]。
使用 Exchange Online PowerShell 來修改信箱的角色指派原則指派
若要變更特定信箱的角色指派原則指派,請使用以下語法:
Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
此範例會將名為 Contoso Managers 的角色指派原則套用至名為 Pedro Pizarro 的信箱。
Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
若要針對已指派特定角色指派原則的所有信箱變更指派,請使用下列語法:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'
此範例會針對目前已指派預設角色指派原則的所有信箱,將角色指派原則從預設角色指派原則變更為 Contoso Staff。
$Users = Get-Mailbox -ResultSize unlimited
$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'