Partilhar via


Gerir grupos de funções no Exchange Online

Um grupo de funções é um grupo de segurança universal especial (USG) no modelo de permissões Controlo de Acesso Baseado em Funções (RBAC) no Exchange Online. São atribuídas aos membros do grupo de funções o mesmo conjunto de funções e pode adicionar e remover permissões dos utilizadores ao adicioná-las ou removê-las do grupo de funções. Para obter mais informações sobre grupos de funções no Exchange Online, consulte Permissões no Exchange Online.

Pode gerir grupos de funções no Centro de administração do Exchange (EAC) e no PowerShell do Exchange Online.

Do que você precisa saber para começar?

Utilizar o EAC para gerir grupos de funções

No EAC em https://admin.exchange.microsoft.com, aceda a Permissões>Funções de administrador. Em alternativa, para aceder diretamente à página Funções de administrador , utilize https://admin.exchange.microsoft.com/#/adminRoles.

Utilizar o EAC para ver os grupos de funções e os detalhes do grupo de funções

Na página Funções de administrador no EAC em https://admin.exchange.microsoft.com/#/adminRoles, são apresentadas as seguintes informações para todos os grupos de funções incorporadas e de clientes:

  • Grupo de funções: o nome do grupo de funções.
  • Descrição

Para ordenar a lista de grupos de funções, selecione num cabeçalho de coluna.

Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar vista e, em seguida, selecione Compactar lista.

Utilize a caixa Procurar e um valor correspondente para localizar grupos de funções específicos.

Para ver os detalhes de um grupo de funções, selecione o grupo na lista ao clicar no nome. A lista de opções de detalhes que é aberta contém os seguintes separadores:

  • Separador Geral : este separador contém as seguintes informações sobre a função:

    • Nome
    • Descrição: selecione Editar noções básicas para alterar o Nome.
    • Gerido por
    • Escopo de gravação
  • Separador Atribuído : este separador mostra os utilizadores que são membros da função. O separador tem as mesmas capacidades de Vista de alteração e Pesquisa que a vista de grupo de funções principal.

    Para modificar a associação a grupos, consulte a secção .

Utilizar o EAC para criar grupos de funções

  1. Na página Funções de administrador no EAC em https://admin.exchange.microsoft.com/#/adminRoles, siga um dos seguintes passos:

    • Criar um novo grupo de funções: verifique se não estão selecionados grupos de funções e, em seguida, selecione Adicionar grupo de funções.
    • Copiar um grupo de funções existente: selecione o grupo de funções que pretende copiar ao selecionar a caixa de verificação redonda que aparece na área em branco junto à coluna nome do grupo de funções e, em seguida, selecione a ação Copiar grupo de funções que é apresentada**.

    Qualquer um destes passos inicia o assistente de criação de funções, conforme descrito nos passos restantes.

  2. Na página Noções básicas, defina as seguintes configurações:

    • Nome: introduza um nome exclusivo para o grupo de funções.
    • Descrição: introduza uma descrição opcional para o grupo de funções.
    • Âmbito de escrita: deixe o valor predefinido Predefinido ou selecione um objeto de âmbito de escrita existente que criou anteriormente no PowerShell.

    Se estiver a copiar um grupo de funções, o valor nome predefinido é Cópia do nome> do grupo Função < e o valor descrição existente é copiado, mas pode alterar estes valores.

    Quando terminar na página Noções básicas , selecione Seguinte.

  3. Na página Permissão , selecione as funções a atribuir ao grupo de funções ao selecionar a caixa de verificação junto à coluna Função .

    Para ordenar as funções, selecione num cabeçalho de coluna:

    • Função
    • Descrição
    • Âmbito do destinatário predefinido
    • Âmbito de configuração predefinido

    Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar vista e, em seguida, selecione Compactar lista.

    Utilize a caixa Procurar e um valor correspondente para localizar um grupo de funções específico.

    Se estiver a copiar um grupo de funções, as permissões do grupo de funções original já estão selecionadas, mas pode alterá-las.

    Quando terminar na página Permissão , selecione Seguinte.

  4. Na página Administradores , selecione os utilizadores a adicionar ao grupo de funções.

    Clique na caixa para ver todas as contas e grupos de funções elegíveis para selecionar ou comece a escrever um nome ou nome a apresentar para filtrar os resultados.

    Se estiver a copiar um grupo de funções, os membros do grupo de funções original já estão selecionados, mas pode alterá-los.

    Para remover utilizadores do grupo, selecione Remover na entrada.

    Quando tiver terminado na página Administradores , selecione Seguinte

  5. Na página Rever e concluir , verifique as suas seleções.

    Utilize as ligações Editar em cada secção para alterar o valor ou utilize o botão Anterior .

    Quando tiver terminado na página Rever e terminar , selecione Adicionar grupo de funções ou Copiar grupo de funções para criar o grupo de funções.

Utilizar o EAC para modificar grupos de funções

Dica

Não pode alterar o nome ou a descrição de um grupo de funções incorporado.

Não altere as funções atribuídas a grupos de funções incorporados. Copie o grupo de funções existente e modifique a cópia ou crie um grupo de funções personalizado.

  1. Na página Funções de administrador no EAC em https://admin.exchange.microsoft.com/#/adminRoles, selecione um grupo de funções ao clicar no nome do grupo de funções.

  2. Na lista de opções de detalhes que é aberta, configure uma ou mais das seguintes definições:

    • Separador Geral : selecione Editar noções básicas para alterar o nome ou descrição do grupo na lista de opções que é aberta e, em seguida, selecione Guardar.

    • Separador Atribuído : altere a associação do grupo de funções:

      • Adicionar membros: selecione Adicionar. Na lista de opções Adicionar administradores que é aberta, clique na caixa para ver todas as contas e grupos de funções elegíveis para selecionar ou comece a escrever um nome ou nome a apresentar para filtrar os resultados. Selecione o utilizador ao clicar na entrada abaixo da caixa e, em seguida, selecione Adicionar.

      • Remover membros: selecione a caixa de verificação junto a um ou mais membros existentes na lista e, em seguida, selecione a ação Eliminar apresentada e, em seguida, selecione Sim, remover na caixa de diálogo de confirmação.

    • Separador Permissão : selecione as funções a atribuir ao grupo de funções ao selecionar a caixa de verificação junto à coluna Função .

      Para ordenar as funções, selecione num cabeçalho de coluna:

      • Função
      • Âmbito do destinatário predefinido
      • Âmbito de configuração predefinido

      Para alterar a lista de entradas de espaçamento normal para compacto, selecione Alterar vista e, em seguida, selecione Compactar lista.

      Utilize a caixa Procurar e um valor correspondente para localizar um grupo de funções específico.

      Quando tiver terminado no separador, selecione Guardar.

    Dica

    Os usuários precisam sair e entrar novamente para ver a alteração em seus diretos administrativos após a adição ou remoção de membros do grupo de funções.

Utilizar o EAC para remover grupos de funções

Não pode remover grupos de funções incorporados, mas pode remover grupos de funções personalizados.

  1. Na página Funções de administrador no EAC em https://admin.exchange.microsoft.com/#/adminRoles, selecione o grupo de funções que pretende remover ao selecionar a caixa de verificação arredondada que aparece na área em branco junto à coluna nome do grupo de funções e, em seguida, selecione a ação Eliminar que é apresentada.

  2. Na lista de opções de confirmação que é aberta, selecione Confirmar.

Utilizar o PowerShell do Exchange Online para gerir grupos de funções

Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.

Utilizar o PowerShell do Exchange Online para ver grupos de funções

Para exibir um grupo de função, use a seguinte sintaxe:

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

Este exemplo devolve uma lista de resumo de todos os grupos de funções.

Get-RoleGroup

Este exemplo devolve informações detalhadas para o grupo de funções denominado Administradores de Destinatários.

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

Este exemplo devolve todos os grupos de funções em que o utilizador Júlia é membro. Tem de utilizar o valor DistinguishedName (DN) para Júlia, que pode encontrar ao executar o comando: Get-User -Identity Julia | Format-List DistinguishedName.

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

Para obter informações detalhadas sobre sintaxe e parâmetros, veja Get-RoleGroup.

Utilizar o PowerShell do Exchange Online para criar grupos de funções

Para criar um novo grupo de funções, utilize a seguinte sintaxe:

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"
  • O parâmetro Funções especifica as funções de gestão a atribuir ao grupo de funções com a seguinte sintaxe "Role1","Role1",..."RoleN". Você pode ver as funções disponíveis usando o cmdlet Get-ManagementRole disponível.
  • O parâmetro Members especifica os membros do grupo de funções com a seguinte sintaxe: "Member1","Member2",..."MemberN". Você pode especificar usuários, grupos de segurança universais habilitados para email (USGs) ou outros grupos de função (entidades de segurança).
  • O parâmetro ManagedBy especifica os delegados que podem modificar e remover o grupo de funções com a seguinte sintaxe: "Delegate1","Delegate2",..."DelegateN". Essa configuração não está disponível no EAC.
  • O parâmetro CustomRecipientWriteScope especifica o âmbito de escrita do destinatário personalizado existente a aplicar ao grupo de funções. Você pode ver os escopos de escrita personalizados de destinatários disponíveis usando o cmdlet Get-Management Também tema.

Este exemplo cria um novo grupo de funções com o nome "Gestão Limitada de Destinatários" com as seguintes definições:

  • As funções Destinatários de Correio e Pastas Públicas Com Capacidade de Correio são atribuídas ao grupo de funções.
  • Os utilizadores Kim e Martin são adicionados como membros. Uma vez que não foi especificado nenhum âmbito de escrita de destinatário personalizado, a Kim e o Martin podem gerir qualquer destinatário na organização.
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

Este exemplo utiliza um âmbito de escrita de destinatário personalizado, o que significa que Kim e Martin só podem gerir destinatários incluídos no âmbito Destinatários de Seattle (destinatários que tenham a respetiva propriedade Cidade definida como o valor Seattle).

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

Para obter informações detalhadas sobre sintaxe e parâmetros, New-RoleGroup.

Utilizar o PowerShell do Exchange Online para copiar grupos de funções

  1. Armazene o grupo de funções que deseja copiar em uma variável usando a seguinte sintaxe:

    $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
    
  2. Crie o novo grupo de funções com a seguinte sintaxe:

    New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
    
    • O parâmetro Members especifica os membros do grupo de funções com a seguinte sintaxe: "Member1","Member2",..."MemberN". Você pode especificar usuários, grupos de segurança universais habilitados para email (USGs) ou outros grupos de função (entidades de segurança).
    • O parâmetro ManagedBy especifica os delegados que podem modificar e remover o grupo de funções com a seguinte sintaxe: "Delegate1","Delegate2",..."DelegateN". Essa configuração não está disponível no EAC.
    • O parâmetro CustomRecipientWriteScope especifica o âmbito de escrita do destinatário personalizado existente a aplicar ao grupo de funções. Você pode ver os escopos de escrita personalizados de destinatários disponíveis usando o cmdlet Get-Management Também tema.

Este exemplo copia o grupo de funções Gestão da Organização para o novo grupo de funções denominado "Gestão Limitada da Organização". Os membros do grupo são Isabel, Carter e Lukas e os delegados do grupo são Jenny e Katie.

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"

Este exemplo copia o grupo de funções Gestão da Organização para o novo grupo de funções denominado Gestão da Organização de Vancouver com o âmbito de escrita de destinatários personalizados dos Utilizadores de Vancouver.

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"

Para obter informações detalhadas sobre sintaxe e parâmetros, New-RoleGroup.

Utilizar o PowerShell do Exchange Online para modificar a lista de membros em grupos de funções

  • Os cmdlets Add-RoleGroupMember e Remove-RoleGroupMember adicionam ou removem membros individuais um de cada vez. O cmdlet Update-RoleGroupMember pode substituir ou modificar a lista de membros existente.
  • Os membros de um grupo de funções podem ser utilizadores, grupos de segurança universal (USGs) com capacidade de correio ou outros grupos de funções (principais de segurança).

Para modificar os membros de um grupo de funções, utilize a seguinte sintaxe:

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>
  • Para substituir a lista de membros existente pelos valores que especificar, utilize a seguinte sintaxe: "Member1","Member2",..."MemberN".
  • Para modificar seletivamente a lista de membros existente, utilize a seguinte sintaxe: @{Add="Member1","Member2"...; Remove="Member3","Member4"...}.

Este exemplo substitui todos os membros atuais do grupo de funções suporte técnico pelos utilizadores especificados.

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

Este exemplo adiciona Daigoro Akai e remove Valeria Barrio da lista de membros no grupo de funções Suporte Técnico.

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Update-RoleGroupMember.

Utilizar o PowerShell do Exchange Online para adicionar funções a grupos de funções personalizados (criar atribuições de funções)

Para adicionar funções a grupos de funções personalizados no PowerShell do Exchange Online, crie atribuições de funções de gestão com a seguinte sintaxe:

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]
  • O nome da atribuição de função é criado automaticamente se não especificar um.
  • Se não utilizar o parâmetro RecipientRelativeWriteScope , o âmbito de leitura implícito e o âmbito de escrita implícito da função serão aplicados à atribuição de função.
  • Se um âmbito predefinido cumprir os seus requisitos empresariais, pode utilizar o parâmetro RecipientRelativeWriteScope para aplicar o âmbito à atribuição de função.
  • Para aplicar um âmbito de escrita de destinatário personalizado, utilize o parâmetro CustomRecipientWriteScope .

Este exemplo atribui a função de gestão Regras de Transporte ao grupo de funções Conformidade de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

Este exemplo atribui a função Controlo de Mensagens ao grupo de funções de Suporte empresarial e aplica o âmbito predefinido da Organização.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

Este exemplo atribui a função Controlo de Mensagens ao grupo de funções Admins do Destinatário de Seattle e aplica o âmbito Destinatários de Seattle.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

Para informações detalhadas de sintaxes e de parâmetros, consulte New-ManagementRoleAssignment.

Utilizar o PowerShell do Exchange Online para remover funções de grupos de funções personalizados (remover atribuições de funções)

Para remover funções de grupos de funções personalizados no PowerShell do Exchange Online, remova as atribuições de funções de gestão com a seguinte sintaxe:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment
  • Para remover atribuições de funções regulares que concedem permissões aos utilizadores, utilize o valor $false para o parâmetro Delegating .
  • Para remover atribuições de funções delegadas que permitem atribuir a função a outras pessoas, utilize o valor $true para o parâmetro Delegar .

Este exemplo remove a função Grupos de Distribuição do grupo de funções Administradores Destinatários de Seattle.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

Para obter informações detalhadas sobre a sintaxe e os parâmetros, veja Remove-ManagementRoleAssignment.

Utilizar o PowerShell do Exchange Online para modificar o âmbito das atribuições de funções em grupos de funções personalizados

O âmbito de escrita de uma atribuição de função num grupo de funções define os objetos nos quais os membros do grupo de funções podem operar (por exemplo, todos os utilizadores ou apenas os utilizadores cuja propriedade Cidade tem o valor Vancouver). Pode modificar o âmbito de escrita das funções atribuídas a um grupo de funções personalizado para:

  • O âmbito implícito das próprias funções. Isto significa que não especificou quaisquer âmbitos personalizados quando criou o grupo de funções ou definiu o valor de todas as atribuições de funções num grupo de funções existente para o valor $null.
  • O mesmo âmbito personalizado para todas as atribuições de funções.
  • Âmbitos personalizados diferentes para cada atribuição de função individual.

Para definir o âmbito em todas as atribuições de funções num grupo de funções ao mesmo tempo, utilize a seguinte sintaxe:

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

Este exemplo altera o âmbito do destinatário de todas as atribuições de funções no grupo de funções Gestão de Destinatários de Vendas para Funcionários de Vendas Diretas.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

Para alterar o âmbito de uma atribuição de função individual entre um grupo de funções e uma função de gestão, siga os seguintes passos:

  1. Substitua <Nome> do Grupo de Funções pelo nome do grupo de funções e execute o seguinte comando para localizar os nomes de todas as atribuições de funções no grupo de funções:

    Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
    
  2. Localize o nome de atribuição de função que deseja alterar. Utilize o nome da atribuição de função no passo seguinte.

  3. Para definir o âmbito na atribuição de função individual, utilize a seguinte sintaxe:

    Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
    

    Este exemplo altera o âmbito do destinatário da atribuição de função denominada Gestão de Destinatários Recipients_Sales correio para Todos os Colaboradores de Vendas.

    Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
    

Para informações detalhadas de sintaxes e de parâmetros, consulte Set-ManagementRoleAssignment.

Utilizar o PowerShell do Exchange Online para modificar a lista de delegados em grupos de funções

Os delegados do grupo de funções definem quem tem permissão para modificar e eliminar o grupo de funções. Não pode gerir delegados de grupos de funções no EAC.

Para modificar a lista de delegados num grupo de funções, utilize a seguinte sintaxe:

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>
  • Para substituir a lista existente de delegados pelos valores que especificar, utilize a seguinte sintaxe: "Delegate1","Delegate2",..."DelegateN".

  • Para modificar seletivamente a lista de delegados existente, utilize a seguinte sintaxe: @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}.

Este exemplo substitui todos os delegados atuais do grupo de funções suporte técnico pelos utilizadores especificados.

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

Este exemplo adiciona Daigoro Akai e remove Valeria Barrio da lista de delegados no grupo de funções Suporte Técnico.

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

Para obter informações detalhadas sobre sintaxe e parâmetros, veja Set-RoleGroup.

Utilizar o PowerShell do Exchange Online para remover grupos de funções personalizados

Não pode remover grupos de funções incorporados, mas pode remover grupos de funções personalizados.

Para remover um grupo de funções personalizado, utilize a seguinte sintaxe:

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

Este exemplo remove o grupo de funções Training Administrators.

Remove-RoleGroup -Identity "Training Administrators"

Para informações detalhadas de sintaxes e de parâmetros, consulte Remove-RoleGroup.

Como saber se esses procedimentos funcionaram?

Para verificar se criou, modificou ou removeu um grupo de funções com êxito, siga um dos seguintes passos:

  • No EAC, aceda à página Funções de administrador em https://admin.exchange.microsoft.com/#/adminRolese verifique se o grupo de funções está listado (ou não listado). Selecione o grupo de funções clicando no nome e verificando as definições na lista de opções de detalhes que é aberta.

  • No PowerShell do Exchange Online, substitua <Nome> do Grupo de Funções pelo nome do grupo de funções e execute o seguinte comando para verificar se o grupo de funções existe (ou não existe) e verifique as definições:

    Get-RoleGroup -Identity "<Role Group Name>" | Format-List