共用方式為


Exchange Online 中的角色指派原則

角色指派原則是一或多個終端使用者角色的集合,這些角色可讓使用者在 Exchange Online 中管理其信箱設定和通訊群組。 終端使用者角色是 Exchange Online 中角色型存取控制 (Role Based Access Control,RBAC) 權限模型的一部分。 您可以將不同的角色指派原則指派給不同的使用者,以允許或阻止 Exchange Online 中特定的自我管理功能。

在 Exchange Online 中,在帳戶授權時指派給使用者的信箱方案會指定預設角色指派原則 (名為「預設角色指派原則」)。 如需信箱方案的詳細資訊,請參閱 Exchange Online 中的信箱方案

角色指派原則是使用者角色 (的方式,而非管理角色,) 指派給 Exchange Online 中的使用者。 您可以透過數種方式使用角色指派原則指派權限給使用者:

  • 新使用者

    • 將指派的終端使用者角色變更為預設的角色指派原則。
    • 建立自訂角色指派原則,然後將它設為預設值。 請注意,這個方法只會影響您建立的信箱,而不需指定角色指派原則或指派授權 (授權可指定信箱方案,信箱方案可指定角色指派原則)。
    • 在信箱方案中指定自訂角色指派原則。 如需詳細資訊,請參閱使用 Exchange Online PowerShell 修改信箱方案
  • 現有的使用者

    • 將不同的授權指派給使用者。 這會套用不同信箱方案的設定,其指定要套用的角色指派原則。
    • 將自訂角色指派原則手動指派給信箱。

角色、角色指派原則、信箱關聯性。

下表說明您可以指派給信箱方案的可用終端使用者角色:

角色 已根據預設指派給預設角色指派原則? 描述
我的自訂應用程式 安裝自訂應用程式。
My Marketplace Apps 安裝市集應用程式。
我的 ReadWriteMailbox 應用程式 以 ReadWriteMailbox 權限安裝應用程式。
MyBaseOptions 使用者從自己的信箱存取 Outlook 網頁版中的選項時所必要。
MyContactInformation 編輯其在全域通訊清單 (GAL) 中的地址和電話號碼。

此角色包含下列子角色:

  • MyAddressInformation:變更其郵件位址、公司電話號碼和傳真號碼的所有元素。
  • MyMobileInformation:變更其行動電話和呼叫器號碼。
  • MyPersonalInformation:變更其主電話號碼和網頁。

如果您覺得此角色給予使用者太多權限,可以從角色指派原則移除角色,並且指派其中一個或多個子角色。 如需相關指示,請參閱本主題中的在角色指派原則中新增或移除角色一節。

MyDistributionGroupMembership 加入或離開現有的通訊群組 (如果該群組已設為讓成員加入或離開群組)。
MyDistributionGroups 建立新的通訊群組、刪除其擁有的群組、修改其擁有的群組,以及管理其擁有群組的群組成員資格。
MyMailboxDelegation 允許使用者將傳送代理者權限授予其信箱上的其他使用者。 郵件會在 [寄件者] 欄位中清楚顯示寄件者 (<寄件者>代理者<信箱>),但回覆會傳遞到信箱,而不是寄件者。
MyMailSubscriptions 聯機的帳戶已在 2018 年 11 月從 Outlook 網頁版移除。 如需詳細資訊,請參閱 Outlook 網頁版不再支援已連線的帳戶
MyProfileInformation 編輯其在 GAL 中的名字、中間名、姓氏和顯示名稱。

此角色包含下列子角色:

  • MyDisplayName:變更其顯示名稱。
  • MyName:變更其名字、中間初始、姓氏和 Notes 屬性。

如果您覺得此角色給予使用者太多權限,可以從角色指派原則移除角色,並且指派其中一個子角色。 如需相關指示,請參閱本主題中的在角色指派原則中新增或移除角色一節。

MyRetentionPolicies 允許使用者新增不屬於其受派保留原則的個人標籤。*
MyTeamMailboxes 網站信箱已在 2017 年 9 月中止,改為 Microsoft 365 群組。 如需詳細資訊,請 參閱使用 Microsoft 365 群組,而不是網站信箱
MyTextMessaging 啟用會議和新電子郵件的簡訊通知。*
MyVoiceMail 更新其語音信箱設定。*

*並非所有區域或組織都可以使用此功能。

開始之前有哪些須知?

檢視已指派給角色指派原則的角色

使用 EAC 來檢視已指派給角色指派原則的角色

  1. 在 EAC 中,按兩下 [角色>管理員角色]。 組織中的所有角色群組都會列在這裡。

  2. 選取角色群組。 詳細數據窗格會顯示 [名稱]、[ 描述],並新增角色群組的 [許可權]。

使用 Exchange Online PowerShell 來檢視已指派給角色指派原則的角色

若要檢視已指派給角色指派原則的角色,請使用下列語法:

Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto

此範例會傳回已指派給原則 (名為「預設角色指派原則」)的角色。

Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto

如需詳細的語法和參數資訊,請參閱 Get-ManagementRoleAssignment

注意:若要傳回所有可用的終端使用者角色清單,請執行下列命令:

Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent

在角色指派原則中新增或移除角色

使用 EAC 在角色指派原則中新增或移除角色

  1. 在 EAC 中,按兩下 [角色>使用者角色],選取角色指派原則,然後按兩下 [編輯編輯] 按鈕。

  2. 在開啟的原則內容視窗中,請執行下列其中一個步驟:

    • 若要新增角色,請選取該角色旁的核取方塊。

    • 若要移除已經指派的角色,請清除核取方塊。

    如果選取含有子角色之角色的核取方塊,也會選取子角色的核取方塊。 如果您清除父角色的核取方塊,也會清除子角色的核取方塊。 清除父角色的核取方塊,然後選取個別的子角色,即可選取子角色。

  3. 完成後,請按一下 [儲存]

使用 Exchange Online PowerShell 將角色新增至角色指派原則

將角色新增至角色指派原則,就會建立具有唯一名稱的新角色指派,其是角色名稱和角色指派原則的組合。

若要將角色新增至角色指派原則,請使用下列語法:

New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"

此範例會將 MyMailboxDelegation 角色新增至名為「預設角色指派原則」的角色指派原則。

New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"

如需詳細的語法和參數資訊,請參閱 New-ManagementRoleAssignment

使用 Exchange Online PowerShell 從角色指派原則中移除角色

  1. 使用本主題稍早使用 Exchange Online PowerShell 來檢視已指派給角色指派原則的角色一節中的程序,尋找所要移除角色的角色指派名稱 (這是角色名稱與角色指派原則的組合)。

  2. 若要從角色指派原則移除角色,請使用以下語法:

    Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"
    

    此範例會從名為「預設角色指派原則」的角色指派原則中移除 MyDistributionGroups 角色。

    Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"
    

如需詳細的語法和參數資訊,請參閱 Remove-ManagementRoleAssignment

建立角色指派原則

使用 EAC 建立角色指派原則

  1. 在 EAC 中,移至 [角色>管理員角色 ],然後按兩下 [ 新增角色群組]

  2. 在 [ 新增角色群組 ] 視窗中,按兩下 [設定基本 概念] 區段,設定下列設定,然後按 [ 下一步]

    • 名稱:輸入角色群組的唯一名稱。

    • 描述:輸入角色群組的選擇性描述。

    • 選取要指派給原則的角色。

  3. 在 [ 新增許可權] 區段中 ,選取角色,然後按 [ 下一步]。 角色會定義指派給此角色群組的成員有權管理的工作範圍。

  4. 在 [ 指派系統管理員] 區段中 ,選取要指派給此角色群組的使用者,然後按 [ 下一步]。 他們將擁有管理您所指派角色的許可權。

  5. 在 [ 檢閱角色群組並完成] 區 段中,確認所有詳細數據,然後按兩下 [ 新增角色群組]

  6. 按一下 [完成]

使用 Exchange Online PowerShell 建立角色指派原則

若要建立角色指派原則,請使用下列語法:

New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]

此範例會建立名為 Contoso Contractors 的新角色指派原則,其中包含指定的使用者角色。

New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"

如需詳細的語法和參數資訊,請參閱 New-RoleAssignmentPolicy

修改角色指派原則

您可以使用 EAC 或 xchange PowerShell 在角色指派原則中新增或移除角色

您只能使用 Exchange Online PowerShell 來指定預設角色指派原則,該原則會套用至建立時未獲派授權或角色指派原則的新信箱。

否則,您可在 EAC 或 Exchange Online PowerShell 中進行的作業只有修改角色指派原則的名稱和描述。

使用 Exchange Online PowerShell 來指定預設角色指派原則

若要指定預設角色指派原則,請使用下列語法:

Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault

此範例會將 Contoso Users 設定為預設角色指派原則。

Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault

注意IsDefault 參數也適用於 New-RoleAssignmentPolicy Cmdlet。

如需詳細的語法及參數資訊,請參閱 Set-RoleAssignmentPolicy

移除角色指派原則

您無法移除目前已指定為預設值的角色指派原則。 您必須先將另一個角色指派原則指定為預設值,才能刪除原則。

您無法移除已指派給信箱的角色指派原則。 使用使用 Exchange Online PowerShell 來修改信箱的角色指派原則指派一節中所述的程序,取代已指派給信箱的角色指派原則。

使用 EAC 移除角色指派原則

  1. 在 EAC 中,移至 [角色>管理員角色]

  2. 選取角色群組,然後按兩下 [刪除]

  3. 按兩下確認視窗中的 [確認]。

使用 Exchange Online PowerShell 移除角色指派原則

若要移除角色指派原則,請使用下列語法:

Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"

此範例會移除名為 Contoso Managers 的角色指派原則。

Remove-RoleAssignmentPolicy -Identity "Contoso Managers"

如需詳細的語法及參數資訊,請參閱 Remove-RoleAssignmentPolicy

檢視信箱的角色指派原則指派

使用 EAC 來檢視信箱的角色指派原則指派

  1. 在 EAC 中,移至 [收件者>信箱],選取信箱,然後按兩下 [編輯編輯] 按鈕

  2. 在開啟的信箱內容視窗中,按一下 [信箱功能]。 角色指派原則會顯示在 [角色指派原則] 欄位中。

  3. 完成後,請按一下 [儲存]

使用 Exchange Online PowerShell 來檢視信箱的角色指派原則指派

若要查看特定信箱的角色指派原則指派,請使用以下語法:

Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy

此範例會針對名為 Pedro Pizarro 的信箱傳回角色指派原則。

Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy

若要傳回已指派特定角色指派原則的所有信箱,請使用下列語法:

$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}

此範例會傳回已指派角色指派原則 (名為 Contoso Managers) 的所有信箱。

$Mgrs = Get-Mailbox -ResultSize unlimited
$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}

修改信箱的角色指派原則指派

信箱只能有一個指派的角色指派原則。 您指派給給信箱的角色指派原則會取代已指派的現有角色指派原則。

使用 EAC 來修改信箱的角色指派原則指派

在 EAC 中,按兩下 列 [收件者>信箱],然後執行下列其中一個步驟:

  • 個別信箱:選取信箱>,按兩下 [編輯編輯] 按鈕。>按下開啟>之視窗中的 [信箱功能],按兩下 [角色指派>原則] 旁的下拉式清單,選取新的角色指派原則>,按兩下 [儲存]

  • 多個信箱:選取相同類型的多個信箱 (例如, 使用者) 選取信箱、按住 Shift 鍵,然後在清單中選取另一個信箱,或在您選取每個信箱時按住 Ctrl 鍵。 在詳細資料窗格中 (現在標題為 [大量編輯) :按兩下 [ 更多選項]> 按兩下 [ 更新]。 在 [ 角色指派原則 ] 區段中,選取出現 > 的視窗中的角色指派原則,然後按兩下 [ 儲存]

使用 Exchange Online PowerShell 來修改信箱的角色指派原則指派

若要變更特定信箱的角色指派原則指派,請使用以下語法:

Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"

此範例會將名為 Contoso Managers 的角色指派原則套用至名為 Pedro Pizarro 的信箱。

Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"

若要針對已指派特定角色指派原則的所有信箱變更指派,請使用下列語法:

$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'

此範例會針對目前已指派預設角色指派原則的所有信箱,將角色指派原則從預設角色指派原則變更為 Contoso Staff。

$Users = Get-Mailbox -ResultSize unlimited
$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'