Exchange Online 中的角色分配策略
角色分配策略是一个或多个最终用户角色的集合,使用户能够在 Exchange Online 中管理其邮箱设置和通讯组。 最终用户角色是 Exchange Online 中基于角色的访问控制 (RBAC) 权限模型的一部分。 可以将不同的角色分配策略分配给不同的用户,以允许或阻止 Exchange Online 中的特定自我管理功能。
在 Exchange Online 中,当用户帐户已被授权时,分配给用户的邮箱计划会指定一个名为“默认角色分配策略”的默认角色分配策略。 有关邮箱计划的详细信息,请参阅 Exchange Online 中的邮箱计划。
角色分配策略是如何将最终用户角色 (而不是管理角色) 分配给 Exchange Online 中的用户。 您可采用多种方式来使用角色分配策略为用户分配权限:
新用户:
- 更改分配给默认角色分配策略的最终用户角色。
- 新建一个自定义角色分配策略,并将其设置为默认策略。 请注意,此方法仅影响您创建的邮箱,而不指定角色分配策略或分配许可证 (许可证指定邮箱计划,该计划指定角色分配策略) 。
- 在邮箱计划中指定自定义角色分配策略。 有关详细信息,请参阅 使用 Exchange Online PowerShell 修改邮箱计划。
现有用户:
- 向用户分配另外的许可证。 这将应用不同邮箱计划的设置,指定要应用的角色分配策略。
- 手动将自定义角色分配策略分配到邮箱。
下表描述了可分配给邮箱计划的可用最终用户角色:
| Role | 默认情况下,是否已分配到默认角色分配策略? | 说明 |
|---|---|---|
| 我的自定义应用程序 | 是 | 安装自定义应用。 |
| 我的市场应用程序 | 是 | 安装市场应用。 |
| 我的 ReadWriteMailbox 应用程序 | 是 | 安装具有 ReadWriteMailbox 权限的应用。 |
| MyBaseOptions | 是 | 用户必须从自己的邮箱访问 Outlook 网页版中的选项。 |
| MyContactInformation | 是 | 编辑全局地址列表中的地址和电话号码, (GAL) 。 此角色包含以下子角色:
如果你认为此角色为用户提供了太多权限,可以从角色分配策略中删除该角色,并分配一个或多个子角色。 有关说明,请参阅本主题中的 从角色分配策略添加或删除角色 部分。 |
| MyDistributionGroupMembership | 是 | 如果组配置为允许成员加入或离开组) ,则加入或离开现有通讯组 (。 |
| MyDistributionGroups | 是 | 创建新的通讯组,删除他们拥有的组,修改他们拥有的组,以及管理他们拥有的组的组成员身份。 |
| MyMailboxDelegation | 否 | 允许用户向其邮箱上的其他用户授予代表发送的权限。 邮件在“发件人”字段中清楚地显示发件人 (<> 代表<邮箱>) 发件人,但答复将传递到邮箱,而不是发件人。 |
| MyMailSubscriptions | 是 | 已连接的帐户已于 2018 年 11 月从 Outlook 网页版中删除。 有关详细信息,请参阅 Outlook 网页版中不再支持已连接的帐户。 |
| MyProfileInformation | 是 | 在 GAL 中编辑其名字、中间名字、姓氏和显示名称。 此角色包含以下子角色:
如果你认为此角色为用户提供了太多权限,则可以从角色分配策略中删除该角色,并分配其中一个子角色。 有关说明,请参阅本主题中的 从角色分配策略添加或删除角色 部分。 |
| MyRetentionPolicies | 是 | 允许用户添加不属于其分配的保留策略的个人标记。* |
| MyTeamMailboxes | 是 | 网站邮箱已于 2017 年 9 月停用,支持 Microsoft 365 个组。 有关详细信息,请参阅 使用 Microsoft 365 组而不是网站邮箱。 |
| MyTextMessaging | 是 | 为会议和新电子邮件启用短信通知。* |
| MyVoiceMail | 是 | 更新其语音邮件设置。* |
*此功能并非在所有区域或组织中都可用。
开始前,有必要了解什么?
估计完成每个过程的时间:少于 5 分钟。
本主题中的过程需要 Exchange Online 中的角色管理 RBAC 角色。 通常,可以通过组织管理角色组中的成员身份获得此权限。 有关详细信息,请参阅在 Exchange Online 中管理角色组。
若要 (EAC) 打开 Exchange 管理中心,请参阅 Exchange Online 中的 Exchange 管理中心。 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
对权限的更改在用户注销并再次登录后生效。
查看分配给角色分配策略的角色
使用 EAC 查看分配给角色分配策略的角色
在 EAC 中,单击“ 角色>管理员角色”。 这里列出了你组织中的所有角色组。
选择角色组。 详细信息窗格显示 “名称”、“ 说明”,并添加角色组的权限。
使用 Exchange Online PowerShell 查看分配给角色分配策略的角色
若要查看分配给角色分配策略的角色,请使用以下语法:
Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto
此示例返回分配给名为“默认角色分配策略”的策略的角色。
Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto
有关语法和参数的详细信息,请参阅 Get-ManagementRoleAssignment。
注意:若要返回所有可用最终用户角色的列表,请运行以下命令:
Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent
在角色分配策略中添加或删除角色
使用 EAC 在角色分配策略中添加或删除角色
在 EAC 中,单击“ 角色>用户角色”,选择角色分配策略,然后单击“ 编辑
。在打开的策略属性窗口中,执行下列步骤之一:
若要添加角色,请选中该角色旁边的复选框。
若要删除已分配的角色,请清除复选框。
如果选中具有子角色的角色对应的复选框,则同时还会选中其子角色对应的复选框。 如果清除父角色的复选框,也会清除子角色的复选框。 可以通过清除父角色的复选框,然后选择单个子角色来选择子角色。
完成后,单击“保存”。
使用 Exchange Online PowerShell 将角色添加到角色分配策略
向角色分配策略添加角色会创建具有唯一名称的新角色分配,该名称是角色名称和角色分配策略的组合。
若要向角色分配策略添加角色,请使用以下语法:
New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"
本示例将角色 MyMailboxDelegation 添加到名为“默认角色分配策略”的角色分配策略。
New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"
有关语法和参数的详细信息,请参阅 New-ManagementRoleAssignment。
使用 Exchange Online PowerShell 从角色分配策略中删除角色
使用本主题前面 “使用 Exchange Online PowerShell 查看分配给角色分配策略的角色 ”部分中的过程,查找要删除的角色的角色 分配 的名称, (该角色分配是角色名称和角色分配策略) 的组合。
若要从角色分配策略中删除角色,请使用以下语法:
Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"此示例从名为“默认角色分配策略”的角色分配策略中删除 MyDistributionGroups 角色。
Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"
有关语法和参数的详细信息,请参阅 Remove-ManagementRoleAssignment。
创建角色分配策略
使用 EAC 创建角色分配策略
在 EAC 中,转到 “角色>管理员角色” ,然后单击“ 添加角色组”。
在 “添加角色组 ”窗口中,单击“ 设置基础知识 ”部分,配置以下设置,然后单击“ 下一步”:
名称:输入角色组的唯一名称。
说明:输入角色组的可选说明。
选择要分配给策略的角色。
在 “添加权限 ”部分中,选择角色并单击“ 下一步”。 角色定义分配给此角色组的成员有权管理的任务范围。
在 “分配管理员 ”部分中,选择要分配给此角色组的用户,然后单击“ 下一步”。 他们将有权管理你分配的角色。
在 “查看角色组和完成 ”部分中,验证所有详细信息,然后单击“ 添加角色组”。
单击“完成”。
使用 Exchange Online PowerShell 创建角色分配策略
若要创建角色分配策略,请使用以下语法:
New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]
此示例创建一个名为 Contoso Contractors 的新角色分配策略,其中包含指定的最终用户角色。
New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"
有关语法和参数的详细信息,请参阅 New-RoleAssignmentPolicy。
修改角色分配策略
可以使用 EAC 或 Exchange PowerShell 在角色分配策略中添加或删除角色。
只能使用 Exchange Online PowerShell 指定默认角色分配策略 ,该策略应用于创建时未分配许可证或角色分配策略的新邮箱。
否则,可以在 EAC 或 Exchange Online PowerShell 中执行的所有操作就是修改角色分配策略的名称和说明。
使用 Exchange Online PowerShell 指定默认角色分配策略
若要指定默认角色分配策略,请使用以下语法:
Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault
此示例将 Contoso 用户配置为默认角色分配策略。
Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault
注意:New-RoleAssignmentPolicy cmdlet 上也提供了 IsDefault 开关。
有关语法和参数的详细信息,请参阅 Set-RoleAssignmentPolicy。
删除角色分配策略
不能删除当前指定为默认值的角色分配策略。 首先需要 将另一个角色分配策略指定为默认值, 然后才能删除该策略。
不能删除分配给邮箱的角色分配策略。 使用 “使用 Exchange Online PowerShell 修改邮箱上的角色分配策略分配 ”部分中所述的过程来替换分配给邮箱的角色分配策略。
使用 EAC 删除角色分配策略
在 EAC 中,转到 “角色>管理员角色”。
选择角色组,然后单击“ 删除”。
在 确认 窗口中单击“确认”。
使用 Exchange Online PowerShell 删除角色分配策略
若要删除角色分配策略,请使用以下语法:
Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"
此示例删除名为 Contoso Manager 的角色分配策略。
Remove-RoleAssignmentPolicy -Identity "Contoso Managers"
有关语法和参数的详细信息,请参阅 Remove-RoleAssignmentPolicy。
查看邮箱上的角色分配策略分配
使用 EAC 查看邮箱上的角色分配策略分配
在 EAC 中,转到 “收件人>邮箱”,选择邮箱,然后单击“ 编辑
。在打开的邮箱属性窗口中,单击“ 邮箱功能”。 角色分配策略显示在 “角色分配策略 ”字段中。
完成后,单击“保存”。
使用 Exchange Online PowerShell 查看邮箱上的角色分配策略分配
若要查看特定邮箱上的角色分配策略,请使用以下语法:
Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy
此示例返回名为“佩德罗·皮扎罗”的邮箱的角色分配策略。
Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy
若要返回分配有特定角色分配策略的所有邮箱,请使用以下语法:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}
此示例返回分配了名为 Contoso Manager 的角色分配策略的所有邮箱。
$Mgrs = Get-Mailbox -ResultSize unlimited
$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}
修改邮箱上的角色分配策略分配
一个邮箱只能拥有一个角色分配策略。 分配给邮箱的角色分配策略将替换分配的现有角色分配策略。
使用 EAC 修改邮箱上的角色分配策略分配
在 EAC 中,单击“ 收件人>邮箱”,然后执行以下步骤之一:
单个邮箱:选择邮箱>,单击“编辑
>在打开>的窗口中单击“邮箱功能”,单击“角色分配策略>”旁边的下拉列表,选择新的角色分配策略>,单击“保存”。多个邮箱:选择同一类型的多个邮箱 (例如,通过选择邮箱、按住 Shift 键、在列表中选择另一个邮箱,或者在选择每个邮箱时按住 Ctrl 键来选择“ 用户) ”。 在详细信息窗格中,现在标题为 “批量编辑) ”的 (:单击“ 更多选项> ”,单击“ 更新”。 在 “角色分配策略 ”部分,在出现的 > 窗口中选择角色分配策略,单击“ 保存”。
使用 Exchange Online PowerShell 修改邮箱上的角色分配策略分配
若要更改特定邮箱上的角色分配策略分配,请使用以下语法:
Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
此示例将名为 Contoso Managers 的角色分配策略应用于名为 Pedro Pizarro 的邮箱。
Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
若要更改分配有特定角色分配策略的所有邮箱的分配,请使用以下语法:
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'
本示例将当前分配有默认角色分配策略的所有邮箱的角色分配策略从“默认角色分配策略”更改为“Contoso Staff”。
$Users = Get-Mailbox -ResultSize unlimited
$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'