Управление ролевыми группами в автономной службе EOP
В автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков можно использовать Центр администрирования Exchange (EAC) для добавления пользователей в группы ролей. Добавление пользователей в группу ролей дает пользователю разрешения на выполнение определенных задач администрирования. Вы также можете удалить пользователей из групп ролей.
Дополнительные сведения о ролях и группах ролей см. в разделе Разрешения в автономном EOP.
Что нужно знать перед началом работы
Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в автономном EOP.
Сведения об открытии автономного EOP PowerShell см. в статье Подключение к Exchange Online Protection PowerShell.
Вам необходимо назначить разрешения в Exchange Online Protection, прежде чем выполнять процедуры, описанные в этой статье. В частности, требуется роль "Управление ролями ", которая назначается группе ролей "Управление организацией " по умолчанию. Дополнительные сведения см. в разделах Разрешения в автономном EOP и Использование EAC, изменение списка участников в группах ролей.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, см. в разделе Сочетания клавиш для Центра администрирования Exchange в Exchange Online.
Совет
Возникли проблемы? Обратитесь за помощью на форум по Exchange Online Protection.
Использование EAC для управления группами ролей
Использование EAC для просмотра групп ролей
В EAC выберите Разрешения>Администратор роли. Здесь перечислены все группы ролей в организации.
Выберите группу ролей. На панели Сведения отображаются имена, описание, назначенные роли и управляемые группы ролей. Эти сведения также можно просмотреть, щелкнув
Создание групп ролей с помощью EAC
При создании новой группы ролей все параметры можно настроить самостоятельно (во время создания группы или после нее). Кроме того, можно скопировать существующую группу ролей и изменить ее.
В EAC перейдите в раздел Разрешения>Администратор роли, а затем выполните одно из следующих действий.
Создайте группу ролей вручную. Щелкните Добавить
Скопируйте существующую группу ролей. Выберите группу ролей, которую нужно скопировать, а затем щелкните
В появившемся окне Новая группа ролей настройте следующие параметры:
Имя. Введите уникальное имя группы ролей.
Описание. Введите необязательное описание группы ролей.
Роли: щелкните или Удалить чтобы выбрать или изменить роли, назначенные группе ролей.
Участники. Щелкните Добавить или Удалить , чтобы изменить членство в группе ролей.
По завершении нажмите кнопку Сохранить , чтобы создать группу ролей.
Использование EAC для изменения групп ролей
В EAC перейдите в раздел Разрешения>Администратор роли, выберите группу ролей, которую требуется изменить, и нажмите кнопку Изменить
Те же параметры доступны при изменении групп ролей, что и при создании групп ролей. Варианты действий:
Измените имя и описание.
Добавление и удаление ролей управления (создание или удаление назначений ролей).
Добавлять и удалять участников.
Примечание. Некоторые группы ролей (например, Управление организацией) ограничивают роли, которые можно удалить из группы.
Использование EAC для изменения списка участников в группах ролей
В EAC перейдите в раздел Разрешения>Администратор роли, выберите группу ролей, которую требуется изменить, и нажмите кнопку Изменить
На открывающейся странице свойств группы ролей в разделе Члены выполните одно из следующих действий.
Щелкните Добавить На появиющейся странице найдите пользователя, которого нужно добавить, и нажмите кнопку Добавить ->. Выберите пользователей и нажмите кнопку Добавить ( при необходимости).> После этого нажмите кнопку ОК.
Выберите пользователей, которые нужно удалить, и нажмите кнопку Удалить.
По завершении нажмите кнопку Сохранить.
Примечание.
После добавления или удаления членов группы ролей данным пользователям необходимо выйти из системы, а затем снова войти в нее, чтобы изменить административные права.
Удаление групп ролей с помощью EAC
Вы не можете удалить встроенные группы ролей, но вы можете удалить созданные настраиваемые группы ролей.
В EAC выберите Разрешения>Администратор роли.
Выберите группу ролей, которую нужно удалить, и нажмите кнопку Удалить
Нажмите кнопку Да в появившемся окне подтверждения.
Использование PowerShell для управления группами ролей
Использование автономного EOP PowerShell для просмотра групп ролей
Чтобы просмотреть группу ролей, используйте следующий синтаксис:
Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]
В этом примере возвращается сводный список всех групп ролей.
Get-RoleGroup
В этом примере возвращаются подробные сведения о группе ролей с именем "Администраторы получателей".
Get-RoleGroup -Identity "Recipient Administrators" | Format-List
В этом примере возвращаются все группы ролей, участником которых является пользователь Julia. Необходимо использовать значение Различающееся имя (DN) для Julia, которое можно найти, выполнив команду : Get-User -Identity Julia | Format-List DistinguishedName
.
Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"
Дополнительные сведения о синтаксисе и параметрах см. в разделе Get-RoleGroup.
Создание групп ролей с помощью автономного EOP PowerShell
При создании новой группы ролей все параметры можно настроить вручную (во время создания группы или после нее). Кроме того, можно скопировать существующую группу ролей и изменить ее.
Чтобы вручную создать новую группу ролей, используйте следующий синтаксис:
New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...>
Параметр Roles указывает роли управления, назначаемые группе ролей, используя следующий синтаксис
"Role1","Role1",..."RoleN"
. Доступные роли можно просмотреть с помощью командлета Get-ManagementRole.Параметр Members указывает члены группы ролей с помощью следующего синтаксиса:
"Member1","Member2",..."MemberN"
. Вы можете указать пользователей, универсальные группы безопасности (USG) с поддержкой почты или другие группы ролей (участников безопасности).
В этом примере создается новая группа ролей с именем "Ограниченное управление получателями" со следующими параметрами:
Группе ролей назначается роль Получатели почты.
Пользователи Ким и Мартин добавляются в качестве участников.
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients" -Members "Kim","Martin"
Чтобы скопировать существующую группу ролей, сделайте следующее:
Сохраните группу ролей, которую необходимо копировать, в переменной с помощью следующей синтаксической конструкции:
$RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
Создайте новую группу ролей, используя следующий синтаксис:
New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>]
Параметр Members указывает члены группы ролей с помощью следующего синтаксиса:
"Member1","Member2",..."MemberN"
. Вы можете указать пользователей, универсальные группы безопасности (USG) с поддержкой почты или другие группы ролей (участников безопасности).В этом примере группа ролей "Управление организацией" копируется в новую группу ролей с именем "Управление ограниченной организацией". Членами группы ролей являются Изабель, Картер и Лукас.
$RoleGroup = Get-RoleGroup "Organization Management" New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas"
Подробные сведения о синтаксисе и параметрах см. в статье New-RoleGroup.
Использование автономного EOP PowerShell для изменения списка участников в группах ролей
Командлеты Add-RoleGroupMember и Remove-RoleGroupMember добавляют или удаляют отдельных участников по одному. Командлет Update-RoleGroupMember может заменить или изменить существующий список участников.
Членами группы ролей могут быть пользователи, универсальные группы безопасности с поддержкой почты (USG) или другие группы ролей (субъекты безопасности).
Чтобы изменить члены группы ролей, используйте следующий синтаксис:
Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>
Чтобы заменить существующий список членов указанными значениями, используйте следующий синтаксис:
"Member1","Member2",..."MemberN"
.Чтобы выборочно изменить существующий список элементов, используйте следующий синтаксис:
@{Add="Member1","Member2"...; Remove="Member3","Member4"...}
.
В этом примере все текущие члены группы ролей службы поддержки заменяются указанными пользователями.
Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"
В этом примере добавляется Дайгоро Акай и удаляетСя Валерия Баррио из списка участников группы ролей службы поддержки.
Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}
Подробные сведения о синтаксисе и параметрах см. в разделе Update-RoleGroupMember.
Удаление групп ролей с помощью автономного EOP PowerShell
Вы не можете удалить встроенные группы ролей, но вы можете удалить созданные настраиваемые группы ролей.
Чтобы удалить настраиваемую группу ролей, используйте следующий синтаксис:
Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]
В этом примере удаляется группа ролей "Обучающие администраторы".
Remove-RoleGroup -Identity "Training Administrators"
Дополнительные сведения о синтаксисе и параметрах см. в разделе Remove-RoleGroup.
Как проверить, что эти процедуры выполнены?
Чтобы убедиться, что группа ролей успешно скопирована, выполните одно из следующих действий.
В EAC перейдите в раздел Разрешения>Администратор роли и убедитесь, что группа ролей указана (или не указана). Выберите группу ролей и проверьте параметры в области Сведения или щелкните чтобы проверить параметры.
В Exchange Online PowerShell замените <имя> группы ролей именем группы ролей и выполните следующую команду, чтобы убедиться, что группа ролей существует (или не существует) и проверьте параметры:
Get-RoleGroup -Identity "<Role Group Name>" | Format-List