Разрешения в Exchange Online
Глобальные роли в Microsoft Entra ID позволяют управлять разрешениями и доступом к возможностям во всех службах Microsoft 365, которые также включают Exchange Online. Дополнительные сведения см. в разделе разрешения Microsoft Entra.
Но если вам нужно ограничить разрешения и возможности функциями в Exchange Online, вы можете назначить Exchange Online разрешения в Центре администрирования Exchange (EAC) и в Exchange Online PowerShell.
Чтобы управлять разрешениями Exchange Online в центре администрирования EAC, перейдите в раздел Роли>Администратор роли или перейдите непосредственно на страницу Администратор роли по адресу https://admin.exchange.microsoft.com/#/adminRoles.
Необходимо быть членом группы ролей "Управление организацией" в Exchange Online. В частности, роль "Управление ролями" в Exchange Online позволяет пользователям просматривать, создавать и изменять Exchange Online группы ролей. По умолчанию эта роль назначается только группе ролей Управление организацией .
Exchange Online включает в себя большой набор предопределенных разрешений, основанных на модели разрешений на основе ролей контроль доступа (RBAC), которые можно использовать сразу, чтобы легко предоставлять разрешения администраторам и пользователям. Вы можете использовать функции разрешений в Exchange Online, чтобы быстро запустить новую организацию.
Совет
Управление разрешениями в Exchange Online предоставляет пользователям доступ к функциям в EAC и Exchange Online PowerShell. Чтобы предоставить разрешения другим функциям, таким как функции соответствия требованиям в Портал соответствия требованиям Microsoft Purview или функции безопасности на портале Microsoft Defender, см. следующие статьи:
- Разрешения на портале соответствия требованиям Microsoft Purview
- Microsoft Defender для Office 365 разрешения на портале Microsoft Defender
Несколько расширенных функций и концепций RBAC не рассматриваются в этой статье. Если функциональные возможности, описанные в этой статье, не соответствуют вашим потребностям и вы хотите дополнительно настроить модель разрешений, см. статью Общие сведения о контроль доступа на основе ролей.
Разрешения на основе ролей
Exchange Online разрешения основаны на модели разрешений управления доступом на основе ролей (RBAC). RBAC — это та же модель разрешений, которая используется большинством служб Microsoft 365 и Exchange Server, поэтому, если вы знакомы со структурой разрешений в этих службах, предоставление разрешений в Exchange Online должно быть знакомым.
Роль или роль управления предоставляет разрешения на выполнение набора задач. Exchange Online разрешения используют следующие типы ролей:
- Роли администратора. Определяет набор задач, которые может выполнять администратор. Если роль администратора назначается группе ролей, а администратор или пользователь является членом этой группы ролей, ему предоставляются разрешения, предоставляемые этой ролью. Эти роли перечислены и описаны в этой статье.
-
Роли конечных пользователей. Эти роли, назначенные с помощью политик назначения ролей, позволяют пользователям управлять аспектами их собственных почтовых ящиков и групп рассылки, которыми они владеют. Роли конечных пользователей начинаются с префикса
My. Дополнительные сведения см. в разделе далее в этой статье. - Роли приложения. Эти имена ролей, начинающиеся или заканчивающиеся на "Приложение", являются частью RBAC для приложений в Exchange Online. Дополнительные сведения см. в разделе Контроль доступа на основе ролей для приложений в Exchange Online.
Роли предоставляют пользователям разрешения на выполнение задач, делая Exchange Online командлеты доступными пользователям. Так как EAC и Exchange Online PowerShell используют командлеты для управления Exchange Online, предоставление доступа к командлету дает администратору или пользователю разрешение на выполнение задачи в любом из интерфейсов управления Exchange Online.
Группа ролей упрощает назначение ролей администраторам. Когда роль назначается группе ролей, разрешения, соответствующие этой роли, предоставляются всем участникам данной группы. Exchange Online разрешения включают группы ролей по умолчанию для наиболее распространенных задач и функций, которые необходимо назначить. Вы также можете создать настраиваемую группу ролей. Мы рекомендуем добавлять отдельных пользователей в качестве участников в группы ролей по умолчанию или пользовательские группы ролей, а не назначать роли непосредственно пользователям. Члены группы ролей могут быть пользователями Exchange Online и других групп ролей.
Добавление пользователей в группы ролей Exchange Online предоставляет права администратора пользователям в Exchange Online, не добавляя их к Microsoft Entra ролям. Пользователи получают разрешения, предоставленные группой ролей в Exchange Online только без разрешения на другие функции или рабочую нагрузку Microsoft 365.
В оставшейся части этой статьи описаны роли администратора и группы ролей в Exchange Online.
Совет
Политика назначения ролей — это тип группы ролей, которая используется для назначения пользователям ролей конечных пользователей. Дополнительные сведения см. в разделе Политики назначения ролей в Exchange Online.
Группы ролей в Exchange Online
В таблице этого раздела перечислены группы ролей администратора по умолчанию, доступные в Exchange Online, и роли, назначенные группам ролей по умолчанию. Чтобы предоставить пользователю разрешения на выполнение задач в Exchange Online, добавьте их в соответствующую группу ролей.
Если вы работаете в небольшой организации с несколькими администраторами, может потребоваться добавить этих администраторов только в группу ролей "Управление организацией", и вам, возможно, никогда не потребуется использовать другие группы ролей. Если вы работаете в более крупной организации, у вас могут быть администраторы, которые выполняют определенные задачи по администрированию Exchange Online, например настройку получателей. В таких случаях можно добавить одного администратора в группу ролей Управление получателями, а другого администратора в группу ролей Управление организацией. Затем эти администраторы могут управлять своими конкретными областями Exchange Online, но у них нет разрешений на управление областями, за которые они не отвечают.
Если встроенные группы ролей в Exchange Online не соответствуют функции заданий администраторов, можно создать группы ролей и добавить в них роли. Дополнительные сведения см. в статье Управление группами ролей в Exchange Online.
Совет
Если не указано иное, в автономных Exchange Online Protection используются одни и те же группы ролей и назначения ролей.
| Группа ролей | Описание | Назначенные роли по умолчанию |
|---|---|---|
| Соответствие требованиям к обмену данными | Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. | Администратор соответствия требованиям к обмену данными Исследование соответствия требованиям к обмену данными |
| Администраторы соответствия требованиям к обмену данными | Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. | Администратор соответствия требованиям к обмену данными |
| Администратор соответствия требованиям | Управление параметрами управления устройствами, защиты от потери данных, отчетов и сохранения. | Администратор соответствия требованиям к обмену данными Управление внутренними рисками Администратор |
| Управление соответствием требованиям | Участники могут настраивать параметры соответствия и управлять ими в Exchange в соответствии со своими политиками. | Журналы аудита Администратор соответствия требованиям Защита от потери данных Управление правами на доступ к данным Ведение журнала Отслеживание сообщений Управление хранением Правила транспорта Журналы аудита только для просмотра Конфигурация только для чтения Получатели только для чтения |
| Управление обнаружением | Участники могут выполнять поиск данных в почтовых ящиках в организации Exchange Online, которые соответствуют определенным критериям, а также могут настраивать удержание почтовых ящиков по юридическим причинам. | Юридическое удержание Поиск в почтовом ящике |
| уникальное< значение> ExchangeServiceAdmins_¹ | Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online. Этой группе ролей не назначены роли. Однако он входит в группу ролей "Управление организацией" (в качестве администратора службы Exchange) и наследует разрешения, предоставляемые этой группой ролей. Вы можете добавить участников в эту группу ролей, добавив пользователей в роль администратора Microsoft Entra ID Exchange в Центр администрирования Microsoft 365. |
н/д |
| Служба технической поддержки | Участники могут просматривать конфигурацию отдельных получателей и просматривать получателей в организации Exchange и управлять ими. Члены этой группы ролей могут управлять только конфигурацией, которыми каждый пользователь может управлять в своем почтовом ящике. | Сброс пароля Параметры пользователя Получатели только для чтения |
| Управление санацией | Участники могут управлять функциями защиты от нежелательной почты в Exchange, предоставлять антивирусным продуктам разрешения на интеграцию с Exchange и управлять правилами потока обработки почты. | Транспортная гигиена Конфигурация только для чтения Получатели только для чтения |
| Защита информации | Полный контроль над всеми функциями защиты информации, включая метки конфиденциальности и их политики, защиту от потери данных, все типы классификаторов, обозревателей действий и содержимого, а также все связанные отчеты. | Администратор Information Protection Аналитик Information Protection 2 Исследователь Information Protection Читатель Information Protection |
| Администраторы Information Protection | Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. | Администратор Information Protection |
| Аналитики Information Protection | Назначения ролей в этой группе ролей предоставляют доступ к командлету Search-UnifiedAuditLog в Exchange Online. | Аналитик Information Protection 2 |
| Исследователи Information Protection | Поиск в едином журнале аудита | Исследователь Information Protection |
| Читатели Information Protection | Выполните поиск в едином журнале аудита и просмотрите отчеты о трафике почты и сводке трафика почты. | Читатель Information Protection |
| Управление внутренними рисками | Управление доступом для управления внутренними рисками. | Управление внутренними рисками Администратор Исследование управления внутренними рисками |
| Администраторы управления внутренними рисками | Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. | Управление внутренними рисками Администратор |
| Исследователи управления внутренними рисками | Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. | Исследование управления внутренними рисками |
| Управление организацией | Участники имеют административный доступ ко всей Exchange Online организации и могут выполнять практически любую задачу в Exchange Online. Важно! Так как группа ролей "Управление организацией" является мощной ролью, в нее должны вступить только пользователи, которые выполняют административные задачи на уровне организации, которые потенциально могут повлиять на всю Exchange Online организацию. |
Журналы аудита Администратор соответствия требованиям к обмену данными Исследование соответствия требованиям к обмену данными Администратор соответствия требованиям Защита от потери данных Динамические группы рассылки Политики адресов электронной почты Федеративный доступ Администратор Information Protection Аналитик Information Protection 2 Исследователь Information Protection Читатель Information Protection Управление правами на доступ к данным Управление внутренними рисками Администратор Исследование управления внутренними рисками Ведение журнала Юридическое удержание Общие папки с включенной поддержкой почты Создание получателей почты Получатели почты Советы по почте Отслеживание сообщений Миграция Перемещение почтовых ящиков Пользовательские приложения в организации. Приложения Marketplace в организации. Доступ к клиенту организации Конфигурация организации Параметры транспорта организации Управление конфиденциальностью Администратор Исследование управления конфиденциальностью Общедоступные папки Политики получателей Удаленные и принятые домены Сброс пароля Управление хранением Управление ролями Администратор безопасности Создание группы безопасности и членство в ней Читатель сведений о безопасности TenantPlacesManagement Транспортная гигиена Правила транспорта Параметры пользователя Журналы аудита только для просмотра Конфигурация только для чтения Получатели только для чтения |
| Управление конфиденциальностью | Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. | Управление конфиденциальностью Администратор Исследование управления конфиденциальностью |
| Администраторы управления конфиденциальностью | Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. | Управление конфиденциальностью Администратор |
| Следователи по управлению конфиденциальностью | Назначения ролей в этой группе ролей предоставляют доступ к командлету Test-TextExtraction в Exchange Online. | Исследование управления конфиденциальностью |
| Управление получателями | Участники имеют административный доступ для создания или изменения Exchange Online получателей в Exchange Online организации. | Динамические группы рассылки Создание получателей почты Получатели почты Отслеживание сообщений Миграция Перемещение почтовых ящиков Политики получателей Сброс пароля |
| Управление записями | Участники могут настраивать функции соответствия, такие как теги политики хранения, классификации сообщений и правила потока обработки почты (также известные как правила транспорта). | Журналы аудита Ведение журнала Отслеживание сообщений Управление хранением Правила транспорта |
| RIM-MailboxAdmins<GUID> | Не используется | ApplicationImpersonation |
| Администратор безопасности | Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online. Вы можете добавить участников в эту группу ролей, добавив пользователей в роль администратора безопасности Microsoft Entra в Центр администрирования Microsoft 365. |
Администратор безопасности SensitivityLabelAdministrator |
| Оператор безопасности | Управление оповещениями системы безопасности, а также просмотр отчетов и параметров функций безопасности. | Клиент AllowBlockList Manager |
| Читатель сведений о безопасности | Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online. Вы можете добавить участников в эту группу ролей, добавив пользователей в роль читателя Microsoft Entra Security в Центр администрирования Microsoft 365. |
Читатель сведений о безопасности |
| уникальное< значение TenantAdmins_> | Членство в этой группе ролей синхронизируется между службами и управляется централизованно. Вы не можете управлять этой группой ролей в Exchange Online. Этой группе ролей не назначены роли. Однако он входит в группу ролей "Управление организацией" (в качестве администратора компании) и наследует разрешения, предоставляемые этой группой ролей. Вы можете добавить участников в эту группу ролей, добавив пользователей в роль глобального администратора Microsoft Entra ID в Центр администрирования Microsoft 365. Важно! Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль. |
н/д |
| Управление организацией только с правом на просмотр | Члены могут просматривать свойства любого объекта в Exchange Online организации. | Конфигурация только для чтения Получатели только для чтения |
¹ Эта группа ролей недоступна в автономном Exchange Online Protection.
2 По умолчанию этой роли не назначается ни одной группе ролей в автономном Exchange Online Protection.
Роли в Exchange Online
В таблице этого раздела перечислены доступные роли администратора и группы ролей, которым они назначены по умолчанию.
Роли, которые по умолчанию не назначены группе ролей "Управление организацией", помечаются как *
Совет
- Имена ролей, начинающиеся с префикса My (например, MyContactInformation), являются ролями конечных пользователей. Роли конечных пользователей назначаются пользователям в политиках назначения ролей, которые позволяют пользователям работать с принадлежащими им объектами (например, с их собственной учетной записью или группами рассылки, которые они создали). Дополнительные сведения см. в разделе Политики назначения ролей в Exchange Online.
- Имена ролей, начинающиеся или заканчивающиеся на "Приложение", являются частью RBAC для приложений в Exchange Online. Дополнительные сведения см. в разделе Контроль доступа на основе ролей для приложений в Exchange Online.
- Многие из ролей, связанных с соответствием требованиям, которые также доступны в Microsoft Purview и Microsoft Entra, не предоставляют много возможностей в Exchange Online сами по себе.
- Если не указано иное, одни и те же роли и назначения групп ролей используются в автономных Exchange Online Protection.
| Role | Описание | Назначения групп ролей по умолчанию |
|---|---|---|
| Адресная Списки* | Позволяет администраторам управлять списками адресов, глобальными списками адресов и автономными списками адресов в организации. | Нет |
| Журналы аудита | Выполните поиск в журнале аудита администратора и просмотрите результаты. | Управление соответствием требованиям Управление организацией Управление записями |
| Администратор соответствия требованиям к обмену данными | Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. | Соответствие требованиям к обмену данными Администраторы соответствия требованиям к обмену данными Администратор соответствия требованиям Управление организацией |
| Исследование соответствия требованиям к обмену данными | Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. | Соответствие требованиям к обмену данными Управление организацией |
| Администратор соответствия требованиям | Позволяет пользователям просматривать и изменять параметры и отчеты для функций соответствия требованиям. | Управление соответствием требованиям Управление организацией |
| Защита от потери данных | Эта роль была связана со старыми параметрами защиты от потери данных (DLP) в организации. Эта роль предоставляет доступ к управлению правилами потока обработки отчетов и обработки почты в Exchange Online. | Управление соответствием требованиям Управление организацией |
| Динамические группы рассылки | Создание и управление всеми группами рассылки, группами безопасности с поддержкой почты и участниками. | Управление организацией Управление получателями |
| Политики адресов электронной почты | Позволяет администраторам управлять политиками адресов электронной почты в организации. | Управление организацией |
| Федеративный доступ | Позволяет администраторам управлять общим доступом между лесами и организациями в организации. | Управление организацией |
| Администратор Information Protection | Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. | Защита информации Администраторы Information Protection Управление организацией |
| Аналитик Information Protection | Эта роль предоставляет доступ к командлету Search-UnifiedAuditLog в Exchange Online. | Защита информации Аналитики Information Protection¹ Управление организацией |
| Исследователь Information Protection | Выполните поиск по единому журналу аудита. | Защита информации Исследователи Information Protection Управление организацией |
| Читатель Information Protection | Выполните поиск в едином журнале аудита и просмотрите отчеты о трафике почты и сводке трафика почты. | Защита информации Читатели Information Protection Управление организацией |
| Управление правами на доступ к данным | Управление функциями управления правами на доступ к данным (IRM) в Exchange в организации. | Управление соответствием требованиям Управление организацией |
| Управление внутренними рисками Администратор | Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. | Администратор соответствия требованиям Управление внутренними рисками Администраторы управления внутренними рисками Управление организацией |
| Исследование управления внутренними рисками | Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. | Управление внутренними рисками Исследователи управления внутренними рисками Управление организацией |
| Ведение журнала | Позволяет администраторам управлять конфигурацией журналов в организации. | Управление соответствием требованиям Управление организацией Управление записями |
| Юридическое удержание | Позволяет администраторам настраивать, следует ли хранить данные в почтовом ящике в целях судебного разбирательства в организации. | Управление обнаружением Управление организацией |
| Общие папки с включенной поддержкой почты | Позволяет администраторам настраивать, включены ли отдельные общедоступные папки в почте или отключены в организации. | Управление организацией |
| Создание получателей почты | Создание и удаление почтовых пользователей и почтовых контактов. | Управление организацией Управление получателями |
| Получатели почты | Изменение существующих почтовых пользователей и почтовых контактов. | Управление организацией Управление получателями |
| Советы по почте | Позволяет администраторам управлять параметрами подсказки в организации. | Управление организацией |
| Экспорт импорта почтовых ящиков* | Позволяет администраторам импортировать и экспортировать содержимое почтовых ящиков. | Нет |
| Поиск в почтовом ящике* | Позволяет администраторам выполнять поиск по содержимому одного или нескольких почтовых ящиков в организации. | Управление обнаружением |
| Отслеживание сообщений | Позволяет администраторам отслеживать сообщения в организации. | Управление соответствием требованиям Управление организацией Управление получателями Управление записями |
| Миграция | Позволяет администраторам переносить почтовые ящики и содержимое почтовых ящиков в организацию или из нее. | Управление организацией Управление получателями |
| Перемещение почтовых ящиков | Позволяет администраторам перемещать почтовые ящики. | Управление организацией Управление получателями |
| O365SupportViewConfig* | Не используется | Нет |
| Пользовательские приложения в организации. | Позволяет пользователям просматривать и изменять пользовательские приложения организации. | Управление организацией |
| Приложения Marketplace в организации. | Позволяет пользователям просматривать и изменять приложения организации Marketplace. | Управление организацией |
| Доступ к клиенту организации | Позволяет администраторам управлять параметрами клиентского доступа в организации. | Управление организацией |
| Конфигурация организации | Позволяет администраторам управлять параметрами всей организации. | Управление организацией |
| Параметры транспорта организации | Позволяет администраторам управлять гибридными и корпоративными параметрами транспорта почты. | Управление организацией |
| Управление конфиденциальностью Администратор | Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. | Управление организацией Управление конфиденциальностью Администраторы управления конфиденциальностью |
| Исследование управления конфиденциальностью | Эта роль предоставляет доступ к командлету Test-TextExtraction в Exchange Online. | Управление организацией Управление конфиденциальностью Следователи по управлению конфиденциальностью |
| Общедоступные папки | Позволяет администраторам управлять общедоступными папками в организации. | Управление организацией |
| Политики получателей | Позволяет администраторам управлять политиками получателей (политики проверки подлинности, политики шифрования данных политики почтовых ящиков мобильных устройств и политики Outlook в Интернете почтовых ящиков) в организации. | Управление организацией Управление получателями |
| Удаленные и принятые домены | Управление удаленными доменами, обслуживаемых доменами и соединителями. | Управление организацией |
| Сброс пароля | Позволяет администраторам задавать пароли почтовых ящиков комнаты. | Служба технической поддержки Управление организацией Управление получателями |
| Управление хранением | Позволяет пользователям управлять политиками хранения. | Управление соответствием требованиям Управление организацией Управление записями |
| Управление ролями | Позволяет администраторам управлять группами ролей управления, политиками назначения ролей, ролями управления, записями ролей, назначениями и областями в организации. | Управление организацией |
| Администратор безопасности | Управление конфигурацией и отчетами для всех функций безопасности и защиты. | Управление организацией Администратор безопасности |
| Создание группы безопасности и членство в ней | Создание групп безопасности с поддержкой почты и управление ими. | Управление организацией |
| Читатель сведений о безопасности | Просмотрите конфигурацию и отчеты о функциях безопасности и защиты. | Управление организацией Читатель сведений о безопасности |
| SensitivityLabelAdministrator* | Позволяет пользователям изменять свойства меток конфиденциальности. | Администратор безопасности |
| Клиент AllowBlockList Manager* | Позволяет пользователям управлять списком разрешенных и заблокированных клиентов. | Оператор безопасности |
| TenantPlacesManagement | Позволяет пользователям управлять параметрами для Microsoft Places. | Управление организацией |
| Транспортная гигиена | Управление функциями защиты от вредоносных программ, спамом и функциями защиты от спуфингов. | Управление санацией Управление организацией |
| Правила транспорта | Создание правил потока обработки почты и управление ими (также известные как правила транспорта). | Управление соответствием требованиям Управление организацией Управление записями |
| Параметры пользователя | Позволяет администраторам просматривать Outlook в Интернете параметры пользователей в организации. | Служба технической поддержки Управление организацией |
| Журналы аудита только для просмотра | Выполните поиск в журнале аудита администратора и просмотрите результаты. | Управление соответствием требованиям Управление организацией |
| Конфигурация только для чтения | Просмотрите все параметры организации и потока обработки почты (не получателя) в организации. | Управление соответствием требованиям Управление санацией Управление организацией Управление организацией только с правом на просмотр |
| Получатели только для чтения | Просмотр свойств получателя и выполнение трассировки сообщений. | Управление соответствием требованиям Служба технической поддержки Управление санацией Управление организацией Управление организацией только с правом на просмотр |
¹ По умолчанию эта роль не назначается группам ролей в автономных Exchange Online Protection.
Разрешения Microsoft 365 в Exchange Online
При создании пользователя в Центр администрирования Microsoft 365 можно выбрать, следует ли назначать ему различные роли Microsoft Entra (например, администратор Exchange или глобальный читатель). Большинство ролей Microsoft Entra предоставляют разрешения администратора пользователю в Exchange Online.
Примечание.
Учетная запись, используемая для создания Exchange Online организации, автоматически назначается роли глобального администратора.
В следующей таблице перечислены Microsoft Entra роли и Exchange Online группы ролей, которым они соответствуют. Дополнительные сведения об этих ролях см. в разделе разрешения Microsoft Entra.
| роль Microsoft Entra | Группа ролей Exchange Online |
|---|---|
| Глобальный администратор | Управление организацией Примечание. Роль глобального администратора и группа ролей "Управление организацией" связаны друг с другом с помощью специальной группы ролей администраторов компании. Группа ролей "Администратор компании" управляется внутри организации и не может быть изменена напрямую. |
| Администратор Exchange | Управление организацией |
| Глобальный читатель | Управление организацией только с правом на просмотр |
| Администратор службы поддержки | Служба технической поддержки |
| Администратор поддержки служб | Нет |
| Администратор SharePoint | Нет |
| Администратор Teams | Нет |
| Администратор получателей Exchange | Управление получателями |
| Диспетчер успешных операций с пользовательским интерфейсом | Нет |
Пользователям можно предоставить права администратора в Exchange Online, не добавляя их в Microsoft Entra роли, добавив пользователя в качестве члена группы ролей Exchange Online. Пользователь получает разрешения в Exchange Online, но не получает разрешения в других рабочих нагрузках Microsoft 365.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.