在 Exchange Online 中管理角色群組
角色群組是一種特殊的通用安全性群組, (USG) ,用於 Exchange Online 中的角色型存取控制 (RBAC) 許可權模型。 管理角色群組可簡化指派和維護Exchange Online中使用者的許可權。 角色群組的成員會獲指派相同的角色集,而您會將許可權新增至角色群組或從角色群組中移除,以新增和移除使用者的許可權。 如需Exchange Online中角色群組的詳細資訊,請參閱Exchange Online中的許可權。
開始之前有哪些須知?
每個程式的預估完成時間:5 到 10 分鐘
如需開啟 Exchange 系統管理中心 (EAC),請參閱 Exchange Online 中的 Exchange 系統管理中心。 若要開啟 Exchange Online PowerShell,請參閱連線到 Exchange Online PowerShell。
本主題中的程序需要 Exchange Online 中的角色管理 RBAC 角色。 一般而言,您可以透過 Microsoft 365 或Office 365 全域管理員角色) (組織管理角色群組的成員資格來取得此許可權。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 請造訪論壇,網址:Exchange Online 或 Exchange Online Protection。
檢視角色群組
使用新的 EAC 來檢視角色群組
在新的 EAC 中,移至[角色>管理員角色]。 組織中的所有角色群組都會列在這裡。
選取角色群組。 詳細資料窗格會顯示角色群組的 [名稱]、 [描述]、[ 管理者]、 [寫入範圍]、[ 指派] 和 [權 限 ]。
使用傳統 EAC 來檢視角色群組
在傳統 EAC 中,移至 [權限>管理員角色]。 組織中的所有角色群組都會列在這裡。
選取角色群組。 詳細資料窗格會顯示角色群組的 [名稱]、[ 描述]、[ 指派的角色]、[ 成員]、[ 受管理者] 和 [ 寫入] 範圍 。 您也可以按一下[編輯編輯]來查看這項資訊。
使用 Exchange Online PowerShell 來檢視角色群組
若要檢視角色群組,請使用下列語法:
Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]
此範例會傳回所有角色群組的摘要清單。
Get-RoleGroup
此範例會傳回名為收件者系統管理員之角色群組的詳細資訊。
Get-RoleGroup -Identity "Recipient Administrators" | Format-List
此範例會傳回使用者 Julia 為成員的所有角色群組。 您必須使用 Julia 的 DistinguishedName (DN) 值,您可以執行下列命令來找到此值: Get-User -Identity Julia | Format-List DistinguishedName
。
Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"
如需詳細的語法和參數資訊,請參閱 Get-RoleGroup。
建立角色群組
當您建立新的角色群組時,您必須在建立群組期間或) 之後自行設定 (的所有設定。 若要從現有角色群組的組態開始並加以修改,請參閱 複製現有的角色群組。
使用新的 EAC 建立角色群組
在新的 EAC 中,移至 [角色>管理員角色],然後按一下 [新增角色群組]。
在 [ 新增角色群組 ] 視窗的 [ 設定基本 概念] 區段下,設定下列設定,然後按 [ 下一步]:
名稱:輸入角色群組的唯一名稱。
描述:輸入角色群組的選擇性描述。
寫入範圍:預設值為 預設值,但您也可以從下拉式清單中選取自訂收件者寫入範圍。
在 [新增許可權] 區段中 ,選取角色,然後按 [ 下一步]。 角色會定義指派給此角色群組的成員有權管理的工作範圍。
在 [ 指派系統管理員] 區段中 ,選取要指派給此角色群組的使用者,然後按 [ 下一步]。 他們將擁有管理您所指派角色的許可權。
在 [檢閱角色群組並完成] 區段中 ,確認所有詳細資料,然後按一下 [ 新增角色群組]。
按一下 [完成]。
使用傳統 EAC 建立角色群組
在傳統 EAC 中,移至 [權限>管理員角色],然後按一下 [新增新增
在出現的 [ 新增角色群組 ] 視窗中,設定下列設定:
名稱:輸入角色群組的唯一名稱。
描述:輸入角色群組的選擇性描述。
寫入範圍:預設值為 預設值,但您也可以選取您已建立的自訂收件者寫入範圍。
角色:按一下 [新增 在出現的新視窗中選取您要指派給角色群組的角色。
成員:按一下 [新增 在出現的新視窗中選取您要新增至角色群組的成員。 您可以選取使用者、啟用郵件功能的通用安全性群組 (USG) ,或 (安全性主體) 的其他角色群組。
當您完成時,按一下 [ 儲存 ] 以建立角色群組。
使用 Exchange Online PowerShell 建立角色群組
若要建立新的角色群組,請使用下列語法:
New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"
- Roles 參數會使用下列語
"Role1","Role1",..."RoleN"
法,指定要指派給角色群組的管理角色。 您可以使用 Get-ManagementRole Cmdlet 來查看可用的角色。 - Members參數會使用下列語法來指定角色群組的成員:
"Member1","Member2",..."MemberN"
。 您可以指定使用者、郵件萬用資訊安全群組 (USG) 或其他角色群組 (安全性主體)。 - ManagedBy參數會指定可使用下列語法來修改和移除角色群組的委派:。
"Delegate1","Delegate2",..."DelegateN"
請注意,EAC 中無法使用此設定。 - CustomRecipientWriteScope參數會指定要套用至角色群組的現有自訂收件者寫入範圍。 您可以使用 Get-ManagementScope Cmdlet 來查看可用的自訂收件者寫入範圍。
此範例會使用下列設定建立名為「受限收件者管理」的新角色群組:
- [郵件收件者] 和 [啟用郵件的公用資料夾] 角色會指派給角色群組。
- 使用者Kim 和 Martin 會新增為成員。 因為未指定自訂收件者寫入範圍,所以Kim 和 Martin 可以管理組織中的任何收件者。
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"
這是具有自訂收件者寫入範圍的相同範例,這表示Kimson 和 Martin 只能管理包含在西雅圖收件者範圍中的收件者, (將 City 屬性 設定為 Seattle) 值的收件者。
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"
如需詳細的語法和參數資訊, 請參閱 New-RoleGroup。
複製現有的角色群組
如果現有角色群組在您想要指派給使用者的許可權和設定方面很接近,您可以複製現有的角色群組,並修改複本以符合您的需求。
使用新的 EAC 來複製角色群組
注意:如果您已使用 Exchange Online PowerShell 在角色群組上設定多個範圍或專屬範圍,則無法使用新的 EAC 來複製角色群組。 若要複製具有這些設定的角色群組,您必須使用 Exchange Online PowerShell。
在新的 EAC 中,移至[角色>管理員角色]。
選取您要複製的角色群組,然後按一下 [ 複製角色群組]。
在 [ 複製角色群組 ] 視窗的 [ 設定基本 概念] 區段下,設定下列設定,然後按 [ 下一步]:
- 名稱:預設值為 「角色組名 > 的 <複本,但您可以輸入角色群組的唯一名稱。
- 描述:現有的描述存在,但您可以加以變更。
- 寫入範圍:已選取現有的寫入範圍,但您可以從下拉式清單中選取 [預設 ] 或 [自訂收件者寫入範圍]。
在 [ 編輯許可權] 區 段中,修改角色,然後按 [ 下一步]。 角色會定義指派給此角色群組的成員有權管理的工作範圍。
在 [ 指派系統管理員] 區 段中,修改角色群組成員資格,然後按 [ 下一步]。 他們將擁有管理您所指派角色的許可權。
在 [檢閱角色群組並完成] 區段中 ,確認所有詳細資料,然後按一下 [ 複製角色群組]。
按一下 [完成]。
使用傳統 EAC 來複製角色群組
注意:如果您已使用 Exchange Online PowerShell 在角色群組上設定多個範圍或專屬範圍,則無法使用傳統 EAC 來複製角色群組。 若要複製具有這些設定的角色群組,您必須使用 Exchange Online PowerShell。
在傳統 EAC 中,移至 [權限>管理員角色]。
選取您想要複製的角色群組,然後按一下 [複製]。
在出現的 [ 新增角色群組 ] 視窗中,設定下列設定:
名稱:預設值為 「角色組名 > 的 <複本,但您可以輸入角色群組的唯一名稱。
描述:現有的描述存在,但您可以加以變更。
寫入範圍:已選取現有的寫入範圍,但您可以選取 [ 預設 ] 或您已建立的另一個自訂收件者寫入範圍。
角色:按一下 [ 或 [移除移除 以修改指派給角色群組的角色。
成員:按一下 [新增 或 [移除] 以修改角色群組成員資格。
當您完成時,按一下 [ 儲存 ] 以建立角色群組。
使用 Exchange Online PowerShell 複製角色群組
使用下列語法將您要複製的角色群組儲存到變數中:
$RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
使用下列語法建立新的角色群組:
New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
- Members參數會使用下列語法來指定角色群組的成員:
"Member1","Member2",..."MemberN"
。 您可以指定使用者、郵件萬用資訊安全群組 (USG) 或其他角色群組 (安全性主體)。 - ManagedBy參數會指定可使用下列語法來修改和移除角色群組的委派:。
"Delegate1","Delegate2",..."DelegateN"
請注意,EAC 中無法使用此設定。 - CustomRecipientWriteScope參數會指定要套用至角色群組的現有自訂收件者寫入範圍。 您可以使用 Get-ManagementScope Cmdlet 來查看可用的自訂收件者寫入範圍。
- Members參數會使用下列語法來指定角色群組的成員:
本範例會將組織管理角色群組複製到名為「受限組織管理」的新角色群組。 角色群組成員是 Isabelle、這是一個,而 Lukas 和角色群組委派是[Lin] 和 [Lin]。
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"
本範例會將組織管理角色群組複製到名為「管理組織管理」的新角色群組,其中包含「使用者」收件者自訂收件者寫入範圍。
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"
如需詳細的語法和參數資訊, 請參閱 New-RoleGroup。
修改角色群組
使用新的 EAC 來修改角色群組
在新的 EAC 中,移至 [角色>管理員角色],選取您要修改的角色群組,然後在詳細資料窗格中編輯下列內容:
- 在 [ 一般 ] 區段中,按一下 [編輯基本概念] 以變更名稱和描述。
- 在 [ 指派] 區段中,新增/刪除此角色群組中的使用者。
- 在 [ 許可權] 區段中 ,新增/移除指派給角色群組的角色。
完成後,按一下 [儲存]。
使用傳統 EAC 修改角色群組
- 在傳統 EAC 中,移至 [權限>管理員角色],選取您要修改的角色群組,然後按一下[編輯編輯
當您修改角色群組時,可以 使用與使用傳統 EAC 建立角色群組相同的選項。 您可以:
- 變更名稱和描述。
- 如果您已建立自訂收件者寫入範圍) ,請變更寫入範圍 (。
- 新增和移除管理角色 (建立或移除角色指派) 。
- 新增和移除成員。
附註:
- 如果您已使用 Exchange Online PowerShell 在角色群組上設定多個範圍或專屬範圍,則無法使用傳統 EAC 來修改角色群組的寫入範圍、角色和成員。 若要修改這些角色群組的設定,您必須使用 Exchange Online PowerShell。
- 例如,某些角色群組 (組織管理角色群組) 限制您可以從群組移除的角色。
- 您可以在傳統 EAC 中新增或移除角色群組的委派。 您只能使用 Exchange Online PowerShell。
使用 Exchange Online PowerShell 將角色新增至角色群組, (建立角色指派)
若要將角色新增至 Exchange Online PowerShell 中的角色群組,您可以使用下列語法建立管理角色指派:
New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]
- 如果您未指定角色指派名稱,則會自動建立角色指派名稱。
- 如果您未使用 RecipientRelativeWriteScope 參數,角色的隱含讀取範圍和隱含寫入範圍會套用至角色指派。
- 如果預先定義的範圍符合您的商務需求,您可以使用 RecipientRelativeWriteScope 參數將範圍套用至角色指派。
- 若要套用自訂收件者寫入範圍,請使用 CustomRecipientWriteScope 參數。
本範例將「傳輸規則」管理角色指派給「西雅圖規範」角色群組。
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
本範例將「郵件追蹤」角色指派給「企業支援」角色群組,並套用「組織」預先定義的範圍。
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
本範例將「郵件追蹤」角色指派給「西雅圖收件者管理員」角色群組,並套用「西雅圖收件者」範圍。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment。
使用 Exchange Online PowerShell 從角色群組中移除角色, (移除角色指派)
若要從 PowerShell Exchange Online角色群組中移除角色,您可以使用下列語法移除管理角色指派:
Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment
- 若要移除授與許可權給使用者的一般角色指派,請使用Delegating 參數的值
$false
。 - 若要移除允許將角色指派給其他人的委派角色指派,請使用Delegating參數的值
$true
。
此範例會從西雅圖收件者系統管理員角色群組中移除「通訊群組」角色。
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
如需詳細的語法和參數資訊,請參閱 Remove-ManagementRoleAssignment。
使用 Exchange Online PowerShell 修改角色群組中的角色指派範圍
角色群組中角色指派的寫入範圍會定義角色群組成員可在 (上操作的物件,例如,所有使用者,或只有 City 屬性值為[) ] 的使用者。 您可以將指派給角色群組的角色寫入範圍修改為:
- 角色本身的隱含範圍。 這表示您在建立角色群組時未指定任何自訂範圍,或是將現有角色群組中所有角色指派的值設定為 值
$null
。 - 所有角色指派的相同自訂範圍。
- 每個個別角色指派的不同自訂範圍。
若要同時設定角色群組上所有角色指派的範圍,請使用下列語法:
Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
本範例會將銷售收件者管理角色群組上所有角色指派的收件者範圍變更為 Direct Sales Employees。
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
若要變更角色群組與管理角色之間個別角色指派的範圍,請執行下列步驟:
將 [角色組名 > ] 取代 < 為角色群組的名稱,然後執行下列命令來尋找角色群組上所有角色指派的名稱:
Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
尋找您想要變更的角色指派名稱。 在下一個步驟中使用角色指派的名稱。
若要設定個別角色指派的範圍,請使用下列語法:
Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
本範例會將名為 Mail Recipients_Sales Recipient Management 的角色指派收件者範圍變更為 [所有銷售員工]。
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
如需詳細的語法及參數資訊,請參閱 Set-ManagementRoleAssignment。
使用 Exchange Online PowerShell 修改角色群組中的委派清單
角色群組委派會定義誰可以修改和刪除角色群組。 您無法在 EAC 中管理角色群組委派。
若要修改角色群組中的委派清單,請使用下列語法:
Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>
若要以您指定的值 取代 現有的委派清單,請使用下列語法:
"Delegate1","Delegate2",..."DelegateN"
。若 要選擇性地修改 現有的委派清單,請使用下列語法:
@{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}
。
此範例會將技術支援中心角色群組的所有目前委派取代為指定的使用者。
Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"
本範例會新增 Daigoro Akai,並從技術支援中心角色群組的委派清單中移除 Valeria Barrio。
Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}
如需詳細的語法及參數資訊,請參閱 Set-RoleGroup。
使用 Exchange Online PowerShell 修改角色群組中的成員清單
Add-RoleGroupMember和Remove-RoleGroupMember Cmdlet 會一次新增或移除一個個別成員。 Update-RoleGroupMember Cmdlet 可以取代或修改現有的成員清單。
角色群組的成員可以是使用者、啟用郵件功能的萬用安全性群組 (USG) ,或 (安全性主體) 的其他角色群組。
若要修改角色群組的成員,請使用下列語法:
Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members> [-BypassSecurityGroupManagerCheck]
- 若要以您指定的值 取代 現有的成員清單,請使用下列語法:
"Member1","Member2",..."MemberN"
。 - 若 要選擇性地修改 現有的成員清單,請使用下列語法:
@{Add="Member1","Member2"...; Remove="Member3","Member4"...}
。
此範例會將技術支援中心角色群組的所有目前成員取代為指定的使用者。
Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"
本範例會新增 Daigoro Akai,並從技術支援中心角色群組的成員清單中移除 Valeria Barrio。
Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}
如需詳細的語法和參數資訊,請參閱 Update-RoleGroupMember。
移除角色群組
您無法移除內建角色群組,但可以移除您已建立的自訂角色群組。
附註:
- 移除角色群組時,也會刪除角色群組和管理角色之間的管理角色指派。 指派給角色群組的任何管理角色皆不會刪除。
- 如果使用者依賴角色群組來存取功能,則在您刪除角色群組之後,使用者將無法再存取該功能。
使用新的 EAC 移除角色群組
- 在新的 EAC 中,移至[角色>管理員角色]。
- 選取角色群組,然後按一下 [刪除]。
- 按一下確認視窗中的 [確認]。
使用 EAC 移除角色群組
- 在 EAC 中,移至 [權限>管理員角色]。
- 選取您想要移除的角色群組,然後按一下[刪除
- 在出現的確認視窗中,按一下 [ 是 ]。
使用 Exchange Online PowerShell 移除角色群組
若要移除自訂角色群組,請使用下列語法:
Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]
本範例移除「訓練系統管理員」角色群組。
Remove-RoleGroup -Identity "Training Administrators"
本範例移除「溫哥華收件者系統管理員」角色群組。 因為執行命令的使用者未定義在角色群組的 ManagedBy 屬性中,所以命令中需要 BypassSecurityGroupManagerCheck 參數。 執行命令的使用者會獲指派角色管理角色,讓使用者略過安全性群組管理員檢查。
Remove-RoleGroup - Identity "Vancouver Recipient Administrators" -BypassSecurityGroupManagerCheck
如需詳細的語法及參數資訊,請參閱 Remove-RoleGroup。