在 Exchange Online 中管理角色群組

角色群組是特殊通用安全組， (Exchange Online 中角色型訪問控制 (RBAC) 許可權模型中的 USG) 。 角色群組的成員會獲指派相同的角色集，而您會將許可權新增至角色群組或從角色群組中移除，以新增和移除用戶的許可權。 如需 Exchange Online 中角色群組的詳細資訊，請參閱 Exchange Online 中的權限。

您可以在 Exchange 系統管理中心 (EAC) 和 Exchange Online PowerShell 中管理角色群組。

開始之前有哪些須知？

• EAC 可在 https://admin.exchange.microsoft.com取得。 如需 EAC 的詳細資訊，請參閱下列文章：

  • Exchange Online 中的 Exchange 系統管理中心
  • 獨立 EOP 中的 Exchange 系統管理中心。

• 若要開啟 Exchange Online PowerShell，請 參閱連線到 Exchange Online PowerShell。

• 您必須獲得指派許可權，才能執行本文中的程式。 特別是：

  • Exchange Online 許可權：您需要預設指派給組織管理角色群組的角色管理角色。

• 如需本文中可能套用至程序的鍵盤快捷方式相關信息，請參閱 Exchange Online 中 Exchange 系統管理中心的鍵盤快捷方式。

使用EAC來管理角色群組

在 的 EAC 中 https://admin.exchange.microsoft.com，移至 [ 許可權>管理員角色]。 或者，若要直接移至 [ 系統管理員角色 ] 頁面，請使用 https://admin.exchange.microsoft.com/#/adminRoles。

使用EAC來檢視角色群組和角色群組詳細數據

在 EAC https://admin.exchange.microsoft.com/#/adminRoles的 [系統管理員角色] 頁面上，會針對所有內建和客戶角色群組顯示下列資訊：

• 角色群組：角色群組的名稱。
• 描述

若要排序角色群組清單，請在資料列標頭上選取 。

若要將專案清單從一般變更為精簡間距，請選取 [ 變更檢視]，然後選取 [ 壓縮清單]。

使用 [ 搜尋] 方塊和對應的值來尋找特定的角色群組。

若要檢視角色群組的詳細數據，請單擊名稱，從清單中選取群組。 開啟的詳細資料飛出視窗包含下列索引標籤：

• 一般 索引標籤：此索引標籤包含角色的下列相關信息：

  • 名稱
  • 描述：選取 [編輯基本概念] 以變更 [名稱]。
  • 管理者
  • 寫入範圍

• 指派的 索引標籤：此索引標籤會顯示身為角色成員的使用者。 索引標籤具有與主要角色群組檢視相同的 [變更檢視] 和 [搜尋] 功能。

  若要修改群組成員資格，請參閱 區段。

使用 EAC 建立角色群組

1. 在 EAC https://admin.exchange.microsoft.com/#/adminRoles的 [系統管理員角色] 頁面上，執行下列其中一個步驟：

   • 建立新的角色群組：確認未選取任何角色群組，然後選取 [ 新增角色群組]。
   • 複製現有的角色群組：選取要複製的角色群組，方法是選取出現在角色組名數據行旁空白區域中的複選框，然後選取出現的 [複製角色群組 ] 動作**。

   其中一個步驟會啟動角色建立精靈，如其餘步驟中所述。

2. 在 [ 基本] 頁面上，設定下列設定：

   • 名稱：輸入角色群組的唯一名稱。
   • 描述：輸入角色群組的選擇性描述。
   • 寫入範圍：保留預設值 Default，或選取您先前在 PowerShell 中建立的現有寫入範圍物件。

   如果您要複製角色群組，預設的 [名稱] 值為 [角色組名>的<複本]，並複製現有的 [描述] 值，但您可以變更這些值。

   當您在 [ 基本概念 ] 頁面上完成時，請選取 [ 下一步]。

3. 在 [權 限 ] 頁面上，選取 [角色] 數據行旁邊的複選框，以選取要指派給角色群組 的角色 。

   若要排序角色，請在數據行標題上選取：

   • 角色
   • 描述
   • 默認收件者範圍
   • 默認設定範圍

   若要將專案清單從一般變更為精簡間距，請選取 [ 變更檢視]，然後選取 [ 壓縮清單]。

   使用 [ 搜尋] 方塊和對應的值來尋找特定的角色群組。

   如果您要複製角色群組，則已選取原始角色群組的許可權，但您可以變更這些許可權。

   當您在 [權 限 ] 頁面上完成時，請選取 [ 下一步]。

4. 在 [ 系統管理員] 頁面上，選取要新增至角色群組的使用者。

   按兩下方塊以查看要從中選取的所有合格帳戶和角色群組，或開始輸入名稱或顯示名稱來篩選結果。

   如果您要複製角色群組，則已選取原始角色群組中的成員，但您可以變更這些成員。

   若要從群組中移除使用者，請選取專案上的 [移除]。

   當您在 [ 系統管理員 ] 頁面上完成時，請選取 [ 下一步]

5. 在 [ 檢閱並完成] 頁面上，確認您的選擇。

   使用每個區段中的 [編輯 ] 鏈接來變更值，或使用 [上一頁] 按鈕。

   當您在 [ 檢閱並完成 ] 頁面上完成時，請選取 [ 新增角色群組 ] 或 [複製角色群組 ] 來建立角色群組。

使用EAC修改角色群組

提示

您無法變更內建角色群組的名稱或描述。

請勿變更指派給內建角色群組的角色。 複製現有的角色群組並修改複本，或改為建立自定義角色群組。

1. 在 EAC https://admin.exchange.microsoft.com/#/adminRoles的 [系統管理員角色] 頁面上，按兩下角色組名來選取角色群組。

2. 在開啟的詳細資料飛出視窗中，設定下列一或多個設定：

   • 一般 索引標籤：選取 [編輯基本概念 ] 以變更開啟之飛出視窗中群組的名稱或描述，然後選取 [ 儲存]。

   • 指派的 索引標籤：變更角色群組的成員資格：

     • 新增成員：選取 [ 新增]。 在開啟 的 [新增系統管理員 ] 飛出視窗中，按兩下方塊以查看要從中選取的所有合格帳戶和角色群組，或開始輸入名稱或顯示名稱來篩選結果。 按兩下方塊下方的項目來選取使用者，然後選取 [ 新增]。

     • 移除成員：選取清單中一或多個現有成員旁邊的複選框，然後選取出現的 [刪除] 動作，然後在確認對話框中選取 [是，移除]。

   • 許可權 索引標籤：選取 [角色] 數據行旁邊的複選框，以選取要指派給角色群組 的角色 。

     若要排序角色，請在數據行標題上選取：

     • 角色
     • 默認收件者範圍
     • 默認設定範圍

     若要將專案清單從一般變更為精簡間距，請選取 [ 變更檢視]，然後選取 [ 壓縮清單]。

     使用 [ 搜尋] 方塊和對應的值來尋找特定的角色群組。

     當您在索引標籤上完成時，請選取 [ 儲存]。

   提示

   使用者可能必須先登出再登入，才能在您於角色群組中新增或移除成員後，看到其系統管理權限的變更。

使用EAC 移除角色群組

您無法移除內建角色群組，但可以移除自定義角色群組。

1. 在 EAC https://admin.exchange.microsoft.com/#/adminRoles的 [系統管理員角色] 頁面上，選取您想要移除的角色群組，方法是選取出現在 [角色組名] 數據行旁空白區域中的 [四捨五入] 複選框，然後選取出現的 [刪除] 動作。

2. 在開啟的確認飛出視窗中，選取 [ 確認]。

使用 Exchange Online PowerShell 管理角色群組

若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。

使用 Exchange Online PowerShell 檢視角色群組

若要檢視角色群組，請使用下列語法：

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

此範例會傳回所有角色群組的摘要清單。

Get-RoleGroup

此範例會傳回名為收件者系統管理員之角色群組的詳細資訊。

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

此範例會傳回使用者 Julia 為成員的所有角色群組。 您必須使用 Julia 的 DistinguishedName (DN) 值，您可以執行下列命令來找到此值： Get-User -Identity Julia | Format-List DistinguishedName。

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

如需詳細的語法和參數資訊，請參閱 Get-RoleGroup。

使用 Exchange Online PowerShell 建立角色群組

若要建立新的角色群組，請使用下列語法：

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"

• Roles 參數會使用下列語"Role1","Role1",..."RoleN"法，指定要指派給角色群組的管理角色。 您可以使用 Get-ManagementRole Cmdlet 來查看可用的角色。
• Members 參數會使用下列語法來指定角色群組的成員："Member1","Member2",..."MemberN"。 您可以指定使用者、郵件萬用資訊安全群組 (USG) 或其他角色群組 (安全性主體)。
• ManagedBy 參數會指定可使用下列語法修改和移除角色群組的委派：。 "Delegate1","Delegate2",..."DelegateN" EAC 中無法使用此設定。
• CustomRecipientWriteScope 參數會指定要套用至角色群組的現有自定義收件者寫入範圍。 您可以使用 Get-ManagementScope Cmdlet 來查看可用的自訂收件者寫入範圍。

此範例會使用下列設定建立名為「受限收件者管理」的新角色群組：

• [郵件收件者] 和 [啟用郵件的公用資料夾] 角色會指派給角色群組。
• 使用者Kim和 Martin 會新增為成員。 因為未指定自定義收件者寫入範圍，所以Kim 和 Martin 可以管理組織中的任何收件者。

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

此範例使用自定義收件者寫入範圍，這表示Kimson 和 Martin 只能管理包含在西雅圖收件者範圍中的收件者， (將 City 屬性 設定為 Seattle) 值的收件者。

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

如需詳細的語法和參數資訊， 請參閱New-RoleGroup。

使用 Exchange Online PowerShell 複製角色群組

1. 使用下列語法將您要複製的角色群組儲存到變數中：

   $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
   

2. 使用下列語法建立新的角色群組：

   New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
   

   • Members 參數會使用下列語法來指定角色群組的成員："Member1","Member2",..."MemberN"。 您可以指定使用者、郵件萬用資訊安全群組 (USG) 或其他角色群組 (安全性主體)。
   • ManagedBy 參數會指定可使用下列語法修改和移除角色群組的委派：。 "Delegate1","Delegate2",..."DelegateN" EAC 中無法使用此設定。
   • CustomRecipientWriteScope 參數會指定要套用至角色群組的現有自定義收件者寫入範圍。 您可以使用 Get-ManagementScope Cmdlet 來查看可用的自訂收件者寫入範圍。

此範例會將組織管理角色群組複製到名為「受限組織管理」的新角色群組。角色群組成員是Isabelle、這是一個，而Lukas和角色群組委派是[Lin] 和 [Lin]。

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"

本範例會將組織管理角色群組複製到名為「管理組織管理」的新角色群組，其中包含「使用者」收件者自定義收件者寫入範圍。

$RoleGroup = Get-RoleGroup "Organization Management"

New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"

如需詳細的語法和參數資訊， 請參閱New-RoleGroup。

使用 Exchange Online PowerShell 修改角色群組中的成員清單

• Add-RoleGroupMember 和 Remove-RoleGroupMember Cmdlet 會一次新增或移除一個個別成員。 Update-RoleGroupMember Cmdlet 可以取代或修改現有的成員清單。
• 角色群組的成員可以是使用者、啟用郵件功能的通用安全組 (USG) ，或 (安全性主體) 的其他角色群組。

若要修改角色群組的成員，請使用下列語法：

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>

• 若要以您指定的值 取代 現有的成員清單，請使用下列語法： "Member1","Member2",..."MemberN"。
• 若 要選擇性地修改 現有的成員清單，請使用下列語法： @{Add="Member1","Member2"...; Remove="Member3","Member4"...}。

此範例會將技術支援中心角色群組的所有目前成員取代為指定的使用者。

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

本範例會新增 Daigoro Akai，並從技術支援中心角色群組的成員清單中移除 Valeria Barrio。

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

如需詳細的語法和參數資訊，請參閱 Update-RoleGroupMember。

使用 Exchange Online PowerShell 將角色新增至自定義角色群組， (建立角色指派)

若要在 Exchange Online PowerShell 中將角色新增至自定義角色群組，您可以使用下列語法建立 管理角色指派 ：

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]

• 如果您未指定角色指派名稱，則會自動建立角色指派名稱。
• 如果您未使用 RecipientRelativeWriteScope 參數，角色的隱含讀取範圍和隱含寫入範圍會套用至角色指派。
• 如果預先定義的範圍符合您的商務需求，您可以使用 RecipientRelativeWriteScope 參數將範圍套用至角色指派。
• 若要套用自定義收件者寫入範圍，請使用 CustomRecipientWriteScope 參數。

本範例將「傳輸規則」管理角色指派給「西雅圖規範」角色群組。

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

本範例將「郵件追蹤」角色指派給「企業支援」角色群組，並套用「組織」預先定義的範圍。

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

本範例將「郵件追蹤」角色指派給「西雅圖收件者管理員」角色群組，並套用「西雅圖收件者」範圍。

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

如需詳細的語法和參數資訊，請參閱 New-ManagementRoleAssignment。

使用 Exchange Online PowerShell 從自定義角色群組中移除角色， (移除角色指派)

若要從 Exchange Online PowerShell 中的自定義角色群組移除角色，您可以使用下列語法移除 管理角色指派 ：

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment

• 若要移除授與許可權給使用者的一般角色指派，請使用Delegating參數的值$false。
• 若要移除允許將角色指派給其他人的委派角色指派，請使用Delegating參數的值$true。

此範例會從西雅圖收件者系統管理員角色群組中移除「通訊群組」角色。

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

如需詳細的語法和參數資訊，請參閱 Remove-ManagementRoleAssignment。

使用 Exchange Online PowerShell 修改自定義角色群組中的角色指派範圍

角色群組中角色指派的寫入範圍會定義角色群組成員可在 (上操作的物件，例如，所有使用者，或只有 City 屬性具有值的使用者) 。 您可以將指派給自訂角色群組的角色寫入範圍修改為：

• 角色本身的隱含範圍。 這表示您在建立角色群組時未指定任何自訂範圍，或是將現有角色群組中所有角色指派的值設定為 值 $null。
• 所有角色指派的相同自定義範圍。
• 每個個別角色指派的不同自定義範圍。

若要同時設定角色群組上所有角色指派的範圍，請使用下列語法：

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

本範例會將銷售收件者管理角色群組上所有角色指派的收件者範圍變更為 Direct Sales Employees。

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

若要變更角色群組與管理角色之間個別角色指派的範圍，請執行下列步驟：

1. 將 [角色組名>] 取代<為角色群組的名稱，然後執行下列命令來尋找角色群組上所有角色指派的名稱：

   Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
   

2. 尋找您想要變更的角色指派名稱。 在下一個步驟中使用角色指派的名稱。

3. 若要設定個別角色指派的範圍，請使用下列語法：

   Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
   

   本範例會將名為Mail Recipients_Sales Recipient Management 的角色指派收件者範圍變更為 [所有銷售員工]。

   Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
   

如需詳細的語法及參數資訊，請參閱 Set-ManagementRoleAssignment。

使用 Exchange Online PowerShell 修改角色群組中的委派清單

角色群組委派會定義誰可以修改和刪除角色群組。 您無法在 EAC 中管理角色群組委派。

若要修改角色群組中的委派清單，請使用下列語法：

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>

• 若要以您指定的值 取代 現有的委派清單，請使用下列語法： "Delegate1","Delegate2",..."DelegateN"。

• 若 要選擇性地修改 現有的委派清單，請使用下列語法： @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}。

此範例會將技術支援中心角色群組的所有目前委派取代為指定的使用者。

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

本範例會新增 Daigoro Akai，並從技術支援中心角色群組的委派清單中移除 Valeria Barrio。

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

如需詳細的語法及參數資訊，請參閱 Set-RoleGroup。

使用 Exchange Online PowerShell 移除自定義角色群組

您無法移除內建角色群組，但可以移除自定義角色群組。

若要移除自定義角色群組，請使用下列語法：

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

本範例移除「訓練系統管理員」角色群組。

Remove-RoleGroup -Identity "Training Administrators"

如需詳細的語法及參數資訊，請參閱 Remove-RoleGroup。

如何知道這些程序是否正常運作？

若要確認您已成功建立、修改或移除角色群組，請執行下列其中一個步驟：

• 在 EAC 中，移至 的 https://admin.exchange.microsoft.com/#/adminRoles[系統管理員角色] 頁面，並確認角色群組已列 (或未列) 。 按兩下名稱並確認開啟之詳細資料飛出視窗中的設定，以選取角色群組。

• 在 Exchange Online PowerShell 中，將 [角色組名>] 取代<為角色群組的名稱，然後執行下列命令以確認角色群組存在 (或不存在) 並確認設定：

  Get-RoleGroup -Identity "<Role Group Name>" | Format-List