Exchange Online 中的角色指派原則

發行項
04/09/2024

角色指派原則是一或多個終端使用者角色的集合，這些角色可讓使用者在 Exchange Online 中管理其信箱設定和通訊群組。終端使用者角色是 Exchange Online 中角色型存取控制 (Role Based Access Control，RBAC) 權限模型的一部分。您可以將不同的角色指派原則指派給不同的使用者，以允許或阻止 Exchange Online 中特定的自我管理功能。如需詳細資訊，請參閱角色指派原則。

在 Exchange Online 中，在帳戶授權時指派給使用者的信箱方案會指定預設角色指派原則 (名為「預設角色指派原則」)。如需信箱方案的詳細資訊，請參閱 Exchange Online 中的信箱方案。

注意事項

使用者角色和 Outlook Web App 原則現在可在 Exchange 系統管理中心取得。

角色指派原則是使用者角色 (的方式，而不是將管理角色) 指派給 Exchange Online 中的使用者。您可以透過數種方式使用角色指派原則指派權限給使用者：

新使用者：
- 將指派的終端使用者角色變更為預設的角色指派原則。
- 建立自訂角色指派原則，然後將它設為預設值。請注意，這個方法只會影響您建立的信箱，而不需指定角色指派原則或指派授權 (授權可指定信箱方案，信箱方案可指定角色指派原則)。
- 在信箱方案中指定自訂角色指派原則。如需詳細資訊，請參閱使用 Exchange Online PowerShell 修改信箱方案。
現有的使用者：
- 將不同的授權指派給使用者。這會套用不同信箱方案的設定，其指定要套用的角色指派原則。
- 將自訂角色指派原則手動指派給信箱。

下表說明您可以指派給信箱方案的可用終端使用者角色：

角色	已根據預設指派給預設角色指派原則？	描述
我的自訂應用程式	是	安裝自訂應用程式。
My Marketplace Apps	是	安裝市集應用程式。
我的 ReadWriteMailbox 應用程式	是	以 ReadWriteMailbox 權限安裝應用程式。
MyBaseOptions	是	使用者從自己的信箱存取 Outlook 網頁版中的選項時所必要。
MyContactInformation	是	編輯其在全域通訊清單 (GAL) 中的地址和電話號碼。此角色包含下列子角色： MyAddressInformation：變更其郵件位址、公司電話號碼和傳真號碼的所有元素。 MyMobileInformation：變更其行動電話和呼叫器號碼。 MyPersonalInformation：變更其主電話號碼和網頁。如果您覺得此角色給予使用者太多權限，可以從角色指派原則移除角色，並且指派其中一個或多個子角色。如需相關指示，請參閱本主題中的在角色指派原則中新增或移除角色一節。
MyDistributionGroupMembership	是	加入或離開現有的通訊群組 (如果該群組已設為讓成員加入或離開群組)。
MyDistributionGroups	是	建立新的通訊群組、刪除其擁有的群組、修改其擁有的群組，以及管理其擁有群組的群組成員資格。
MyMailboxDelegation	否	允許使用者將傳送代理者權限授予其信箱上的其他使用者。郵件會在 [寄件者] 欄位中清楚顯示寄件者 (<寄件者>代理者<信箱>)，但回覆會傳遞到信箱，而不是寄件者。
MyMailSubscriptions	是	連線的帳戶已在 2018 年 11 月從 Outlook 網頁版移除。如需詳細資訊，請參閱 Outlook 網頁版不再支援已連線的帳戶。
MyProfileInformation	是	編輯其在 GAL 中的名字、中間名、姓氏和顯示名稱。此角色包含下列子角色： MyDisplayName：變更其顯示名稱。 MyName：變更其名字、中間初始、姓氏和 Notes 屬性。如果您覺得此角色給予使用者太多權限，可以從角色指派原則移除角色，並且指派其中一個子角色。如需相關指示，請參閱本主題中的在角色指派原則中新增或移除角色一節。
MyRetentionPolicies	是	允許使用者新增不屬於其受派保留原則的個人標籤。^*
MyTeamMailboxes	是	網站信箱已在 2017 年 9 月中止，改用 Microsoft 365 群組。如需詳細資訊，請參閱使用 Microsoft 365 群組而非網站信箱。
MyTextMessaging	是	啟用會議和新電子郵件的簡訊通知。^*
MyVoiceMail	是	更新其語音信箱設定。^*

^*並非所有區域或組織都可以使用此功能。

開始之前有哪些須知？

每項程序的預估完成時間：不到 5 分鐘。
本主題中的程序需要 Exchange Online 中的角色管理 RBAC 角色。一般而言，您會透過 Microsoft 365 或 Office 365 全域管理員角色) (組織管理角色群組的成員資格來取得此許可權。如需詳細資訊，請參閱管理 Exchange Online 中的角色群組。
如需開啟 Exchange 系統管理中心 (EAC)，請參閱 Exchange Online 中的 Exchange 系統管理中心。若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。
權限變更會在使用者登出並再次登入後生效。

檢視已指派給角色指派原則的角色

使用 EAC 來檢視已指派給角色指派原則的角色

在 EAC 中，按兩下 [角色>管理員角色]。組織中的所有角色群組都會列在這裡。
選取角色群組。詳細數據窗格會顯示 [名稱]、[ 描述]，並新增角色群組的 [許可權]。

使用 Exchange Online PowerShell 來檢視已指派給角色指派原則的角色

若要檢視已指派給角色指派原則的角色，請使用下列語法：

Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto

此範例會傳回已指派給原則 (名為「預設角色指派原則」)的角色。

Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto

如需詳細的語法和參數資訊，請參閱 Get-ManagementRoleAssignment。

注意：若要傳回所有可用的終端使用者角色清單，請執行下列命令：

Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent

在角色指派原則中新增或移除角色

使用 EAC 在角色指派原則中新增或移除角色

在 EAC 中，按兩下 [角色>使用者角色]，選取角色指派原則，然後按兩下 [編輯編輯
在開啟的原則內容視窗中，請執行下列其中一個步驟：
- 若要新增角色，請選取該角色旁的核取方塊。
- 若要移除已經指派的角色，請清除核取方塊。
如果選取含有子角色之角色的核取方塊，也會選取子角色的核取方塊。如果您清除父角色的核取方塊，也會清除子角色的核取方塊。清除父角色的核取方塊，然後選取個別的子角色，即可選取子角色。
完成後，請按一下 [儲存]。

使用 Exchange Online PowerShell 將角色新增至角色指派原則

將角色新增至角色指派原則，就會建立具有唯一名稱的新角色指派，其是角色名稱和角色指派原則的組合。

若要將角色新增至角色指派原則，請使用下列語法：

New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"

此範例會將 MyMailboxDelegation 角色新增至名為「預設角色指派原則」的角色指派原則。

New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"

如需詳細的語法和參數資訊，請參閱 New-ManagementRoleAssignment。

使用 Exchange Online PowerShell 從角色指派原則中移除角色

使用本主題稍早使用 Exchange Online PowerShell 來檢視已指派給角色指派原則的角色一節中的程序，尋找所要移除角色的角色指派名稱 (這是角色名稱與角色指派原則的組合)。
若要從角色指派原則移除角色，請使用以下語法：
```
Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"
```
此範例會從名為「預設角色指派原則」的角色指派原則中移除 MyDistributionGroups 角色。
```
Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"
```

如需詳細的語法和參數資訊，請參閱 Remove-ManagementRoleAssignment。

建立角色指派原則

使用 EAC 建立角色指派原則

在 EAC 中，移至 [角色>管理員角色]，然後按兩下 [新增角色群組]。
在 [ 新增角色群組 ] 視窗中，按兩下 [設定基本 概念] 區段，設定下列設定，然後按 [ 下一步]：
- 名稱：輸入角色群組的唯一名稱。
- 描述：輸入角色群組的選擇性描述。
- 選取要指派給原則的角色。
在 [ 新增許可權] 區段中 ，選取角色，然後按 [ 下一步]。角色會定義指派給此角色群組的成員有權管理的工作範圍。
在 [ 指派系統管理員] 區段中 ，選取要指派給此角色群組的使用者，然後按 [ 下一步]。他們將擁有管理您所指派角色的許可權。
在 [ 檢閱角色群組並完成] 區 段中，確認所有詳細數據，然後按兩下 [ 新增角色群組]。
按一下 [完成]。

使用 Exchange Online PowerShell 建立角色指派原則

若要建立角色指派原則，請使用下列語法：

New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]

此範例會建立名為 Contoso Contractors 的新角色指派原則，其中包含指定的使用者角色。

New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"

如需詳細的語法和參數資訊，請參閱 New-RoleAssignmentPolicy。

修改角色指派原則

您可以使用 EAC 或 xchange PowerShell 在角色指派原則中新增或移除角色。

您只能使用 Exchange Online PowerShell 來指定預設角色指派原則，該原則會套用至建立時未獲派授權或角色指派原則的新信箱。

否則，您可在 EAC 或 Exchange Online PowerShell 中進行的作業只有修改角色指派原則的名稱和描述。

使用 Exchange Online PowerShell 來指定預設角色指派原則

若要指定預設角色指派原則，請使用下列語法：

Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault

此範例會將 Contoso Users 設定為預設角色指派原則。

Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault

注意：IsDefault 參數也適用於 New-RoleAssignmentPolicy Cmdlet。

如需詳細的語法及參數資訊，請參閱 Set-RoleAssignmentPolicy。

移除角色指派原則

您無法移除目前已指定為預設值的角色指派原則。您必須先將另一個角色指派原則指定為預設值，才能刪除原則。

您無法移除已指派給信箱的角色指派原則。使用使用 Exchange Online PowerShell 來修改信箱的角色指派原則指派一節中所述的程序，取代已指派給信箱的角色指派原則。

使用 EAC 移除角色指派原則

在 EAC 中，移至 [角色>管理員角色]。
選取角色群組，然後按兩下 [刪除]。
按兩下確認視窗中的 [確認]。

使用 Exchange Online PowerShell 移除角色指派原則

若要移除角色指派原則，請使用下列語法：

Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"

此範例會移除名為 Contoso Managers 的角色指派原則。

Remove-RoleAssignmentPolicy -Identity "Contoso Managers"

如需詳細的語法及參數資訊，請參閱 Remove-RoleAssignmentPolicy。

檢視信箱的角色指派原則指派

使用 EAC 來檢視信箱的角色指派原則指派

在 EAC 中，移至 [收件者>信箱]，選取信箱，然後按兩下 [編輯編輯。
在開啟的信箱內容視窗中，按一下 [信箱功能]。角色指派原則會顯示在 [角色指派原則] 欄位中。
完成後，請按一下 [儲存]。

使用 Exchange Online PowerShell 來檢視信箱的角色指派原則指派

若要查看特定信箱的角色指派原則指派，請使用以下語法：

Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy

此範例會針對名為 Pedro Pizarro 的信箱傳回角色指派原則。

Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy

若要傳回已指派特定角色指派原則的所有信箱，請使用下列語法：

$<VariableName> = Get-Mailbox -ResultSize unlimited

$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}

此範例會傳回已指派角色指派原則 (名為 Contoso Managers) 的所有信箱。

$Mgrs = Get-Mailbox -ResultSize unlimited

$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}

修改信箱的角色指派原則指派

信箱只能有一個指派的角色指派原則。您指派給給信箱的角色指派原則會取代已指派的現有角色指派原則。

使用 EAC 來修改信箱的角色指派原則指派

在 EAC 中，按兩下 列 [收件者>信箱]，然後執行下列其中一個步驟：

個別信箱：選取信箱>，按兩下 [編輯編輯] >按下開啟>之視窗中的 [信箱功能]，按兩下 [角色指派>原則] 旁的下拉式清單，選取新的角色指派原則>，按兩下 [儲存]。
多個信箱：選取相同類型的多個信箱 (例如， 使用者) 選取信箱、按住 Shift 鍵，然後在清單中選取另一個信箱，或在您選取每個信箱時按住 Ctrl 鍵。在詳細資料窗格中 (現在標題為 [大量編輯) ：按兩下 [ 更多選項]> 按兩下 [ 更新]。在 [ 角色指派原則 ] 區段中，選取出現 > 的視窗中的角色指派原則，然後按兩下 [ 儲存]。

使用 Exchange Online PowerShell 來修改信箱的角色指派原則指派

若要變更特定信箱的角色指派原則指派，請使用以下語法：

Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"

此範例會將名為 Contoso Managers 的角色指派原則套用至名為 Pedro Pizarro 的信箱。

Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"

若要針對已指派特定角色指派原則的所有信箱變更指派，請使用下列語法：

$<VariableName> = Get-Mailbox -ResultSize unlimited

$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'

此範例會針對目前已指派預設角色指派原則的所有信箱，將角色指派原則從預設角色指派原則變更為 Contoso Staff。

$Users = Get-Mailbox -ResultSize unlimited

$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'