Autorizzazioni

Si applica a: Exchange Server 2013

Microsoft Exchange Server 2013 include un ampio set di autorizzazioni predefinite, in base al modello di autorizzazioni RBAC (Role Based Controllo di accesso), che è possibile usare immediatamente per concedere facilmente le autorizzazioni agli amministratori e agli utenti. È possibile usare le funzionalità di autorizzazione in Exchange 2013 in modo da poter attivare e gestire rapidamente la nuova organizzazione.

Nota

Alcune funzionalità e nozioni relative al controllo di accesso basato sui ruoli non vengono illustrati nel presente argomento perché rientrano nelle funzionalità avanzate. Se la funzionalità descritta in questo argomento non soddisfa le proprie esigenze e si desidera personalizzare ulteriormente il modello delle autorizzazioni, vedere Understanding Role Based Access Control.

Autorizzazioni basate sui ruoli

In Exchange 2013 le autorizzazioni concesse agli amministratori e agli utenti si basano sui ruoli di gestione. Un ruolo definisce l'insieme di attività che un amministratore o un utente sono in grado di eseguire. Ad esempio, un ruolo di gestione denominato Mail Recipients definisce le attività che un utente può eseguire in un set di cassette postali, contatti e gruppi di distribuzione. Quando viene assegnato un ruolo a un amministratore o a un utente, alla persona vengono concesse le autorizzazioni fornite dal ruolo.

Esistono due tipi di ruoli, ruoli amministrativi e ruoli dell'utente finale:

  • Ruoli amministrativi: questi ruoli contengono autorizzazioni che possono essere assegnate agli amministratori o agli utenti specializzati usando gruppi di ruoli che gestiscono una parte dell'organizzazione di Exchange, ad esempio destinatari, server o database.
  • Ruoli dell'utente finale: questi ruoli, assegnati usando i criteri di assegnazione dei ruoli, consentono agli utenti di gestire gli aspetti delle proprie cassette postali e dei gruppi di distribuzione di cui sono proprietari. I ruoli dell'utente finale iniziano con il prefisso My.

I ruoli concedono le autorizzazioni che consentono l'esecuzione di attività per amministratori e utenti, rendendo disponibili i cmdlet a coloro a cui sono stati assegnati i ruoli. Poiché l'interfaccia di amministrazione di Exchange (EAC) e Exchange Management Shell usano i cmdlet per gestire Exchange, concedere l'accesso a un cmdlet concede all'amministratore o all'utente l'autorizzazione per eseguire l'attività in ognuna delle interfacce di gestione di Exchange.

Exchange 2013 include circa 86 ruoli che è possibile usare per concedere le autorizzazioni. Per un elenco dei ruoli inclusi in Exchange 2013, vedere Ruoli di gestione predefiniti.

Gruppi di ruoli e criteri dell'assegnazione di ruoli

I ruoli concedono le autorizzazioni per eseguire attività in Exchange 2013, ma è necessario un modo semplice per assegnarle ad amministratori e utenti. Exchange 2013 offre quanto segue per semplificare questa operazione:

  • Gruppi di ruoli: i gruppi di ruoli consentono di concedere autorizzazioni agli amministratori e agli utenti specializzati.
  • Criteri di assegnazione di ruolo: i criteri di assegnazione di ruolo consentono di concedere agli utenti finali le autorizzazioni per modificare le impostazioni della propria cassetta postale o dei gruppi di distribuzione di cui sono proprietari.

Per ulteriori informazioni sui gruppi di ruoli e sui criteri di assegnazione dei ruoli, vedere le seguenti sezioni.

Gruppi di ruoli

A ogni amministratore che gestisce Exchange 2013 devono essere assegnati almeno uno o più ruoli. Gli amministratori possono avere più di un ruolo perché possono eseguire funzioni di processo che si estendono su più aree in Exchange. Ad esempio, un amministratore potrebbe gestire sia i destinatari che i server Exchange. In questo caso, a tale amministratore potrebbero essere assegnati entrambi i Mail Recipients ruoli e Exchange Servers .

Per semplificare l'assegnazione di più ruoli a un amministratore, Exchange 2013 include gruppi di ruoli. I gruppi di ruoli sono gruppi di sicurezza universali speciali usati da Exchange 2013 che possono contenere utenti di Active Directory, gruppi di sicurezza dell'utente e altri gruppi di ruoli. Quando viene assegnato un ruolo a un gruppo di ruoli, le autorizzazioni concesse dal ruolo vengono estese a tutti i membri del gruppo di ruoli. In questo modo è possibile assegnare contemporaneamente molti ruoli a vari membri del gruppo di ruoli. I gruppi di ruoli riguardano in genere aree di gestione più ampie, ad esempio la gestione dei destinatari. Vengono utilizzati solo con i ruoli amministrativi e non con i ruoli dell'utente finale.

Nota

È possibile assegnare un ruolo direttamente a un utente o a un gruppo di protezione universale (USG) senza utilizzare un gruppo di ruolo. Questo metodo di assegnazione di ruolo, tuttavia, è una procedura avanzata che non viene affrontata in questo argomento. Si consiglia di utilizzare i gruppi di ruoli per gestire le autorizzazioni.

Nella figura che segue viene mostrata la relazione tra utenti, gruppi di ruoli e ruoli.

Relazione tra ruoli, gruppi di ruoli e membri.

Exchange 2013 include diversi gruppi di ruoli predefiniti, ognuno dei quali fornisce le autorizzazioni per gestire aree specifiche in Exchange 2013. Alcuni gruppi di ruolo possono sovrapporsi ad altri. Nella tabella seguente i gruppi di ruolo vengono elencati singolarmente con relativa descrizione dell'utilizzo. Per visualizzare i ruoli assegnati a ciascun gruppo di ruoli, fare clic sul nome del gruppo di ruoli nella colonna "Gruppo di ruoli" e aprire la sezione "Ruoli di gestione assegnati a questo gruppo di ruoli".

Gruppo di ruolo Descrizione
Gestione organizzazione Gli amministratori membri del gruppo di ruoli Gestione organizzazione hanno accesso amministrativo all'intera organizzazione di Exchange 2013 e possono eseguire quasi tutte le attività su qualsiasi oggetto di Exchange 2013, con alcune eccezioni, ad esempio il Discovery Management ruolo.

Importante: poiché il gruppo di ruoli Gestione organizzazione è un ruolo potente, solo gli utenti o gli USG che eseguono attività amministrative a livello di organizzazione che possono potenzialmente influire sull'intera organizzazione di Exchange devono essere membri di questo gruppo di ruoli.
Gestione organizzazione sola visualizzazione Gli amministratori membri del gruppo di ruolo Gestione organizzazione sola visualizzazione possono visualizzare le proprietà di qualsiasi oggetto nell'organizzazione di Exchange.
Gestione destinatari Gli amministratori membri del gruppo di ruolo Gestione destinatari dispongono dell'accesso amministrativo per creare o modificare i destinatari di Exchange 2013 all'interno dell'organizzazione di Exchange 2013.
UM Management Gli amministratori membri del gruppo di ruolo Gestione messaggistica unificata possono gestire le funzionalità nell'organizzazione di Exchange, ad esempio la configurazione del servizio Messaggistica unificata, le proprietà di messaggistica unificata sulle cassette postali, i prompt di messaggistica unificata e la configurazione dell'operatore automatico di messaggistica unificata.
Assistenza Per impostazione predefinita, il gruppo di ruoli help desk consente ai membri di visualizzare e modificare le opzioni di Microsoft Office Outlook Web App di qualsiasi utente dell'organizzazione. Queste opzioni potrebbero includere la modifica del nome visualizzato, dell'indirizzo e del numero telefonico. Non comprendono le opzioni che non sono disponibili in Outlook Web App, ad esempio la modifica delle dimensioni di una cassetta postale o la configurazione del database delle cassette postali in cui si trova una cassetta postale.
Gestione di Hygiene Gli amministratori membri del gruppo di ruoli Gestione igiene possono configurare le funzionalità antivirus e di protezione dalla posta indesiderata di Exchange 2013. È possibile aggiungere account di servizio a questo gruppo per consentire ai programmi di terzi integrabili con Exchange 2013 di accedere ai cmdlet necessari per recuperare e impostare la configurazione di Exchange.
Gestione record Gli utenti membri del gruppo di ruolo°Gestione record possono configurare le funzionalità di conformità, come le tag dei criteri di conservazione, le classificazioni dei messaggi e le regole di trasporto.
Gestione individuazione Gli amministratori o gli utenti membri del gruppo di ruoli Gestione individuazione possono eseguire ricerche di dati nelle cassette postali nell'organizzazione di Exchange per i dati che soddisfano criteri specifici e possono anche configurare blocchi legali nelle cassette postali.
Gestione cartelle pubbliche Gli amministratori membri del gruppo di ruolo Gestione di cartelle pubbliche possono gestire le cartelle pubbliche sui server con Exchange 2013.
Gestione server Gli amministartori membri del gruppo di ruolo Gestione server possono eseguire la configurazione specifica del server delle funzionalità relative al trasporto, alla messaggistica unificata, all'accesso client e alle cassette postali come, ad esempio, copie del database, certificati, code di trasporto, connettori di invio, directory virtuali e protocolli per l'accesso client.
Installazione delegata Gli amministratori membri del gruppo di ruolo Configurazione delegata possono distribuire i server Exchange 2013 precedentemente sottoposti a provisioning da un membro del gruppo di ruolo Gestione organizzazione.
Gestione della conformità Gli utenti membri del gruppo di ruoli Gestione conformità possono configurare e gestire le impostazioni di conformità di Exchange in base ai criteri dell'organizzazione.

Se si lavora in un'organizzazione di piccole dimensioni con pochi amministratori, potrebbe essere necessario aggiungere tali amministratori solo al gruppo di ruoli Gestione organizzazione e probabilmente non sarà necessario in alcun caso utilizzare gli altri gruppi di ruoli. Se si lavora in un'organizzazione di dimensioni maggiori, è possibile che siano presenti amministratori che eseguono attività specifiche che amministrano Exchange, ad esempio la gestione dei destinatari o del server. In questi casi, è possibile aggiungere un amministratore al gruppo di ruoli Gestione destinatari e un altro amministratore al gruppo di ruoli Gestione server. Questi amministratori possono quindi gestire le aree specifiche di Exchange 2013, ma non avranno le autorizzazioni per gestire le aree di cui non sono responsabili.

Se i gruppi di ruoli predefiniti in Exchange 2013 non corrispondono alla funzione del processo degli amministratori, è possibile creare gruppi di ruoli e aggiungervi ruoli. Per altre informazioni, vedere Usare i gruppi di ruoli più avanti in questo argomento.

Criteri di assegnazione dei ruoli

Exchange 2013 fornisce criteri di assegnazione dei ruoli in modo da poter controllare le impostazioni che gli utenti possono configurare nelle proprie cassette postali e nei gruppi di distribuzione di cui sono proprietari. Tali impostazioni includono il nome visualizzato, le informazioni di contatto, le impostazioni del sistema di caselle vocali e l'appartenenza a gruppi di distribuzione.

L'organizzazione di Exchange 2013 può avere più criteri di assegnazione di ruolo che forniscono livelli diversi di autorizzazioni per i diversi tipi di utenti nelle organizzazioni. Ad alcuni utenti può essere consentito modificare il proprio indirizzo o creare gruppi di distribuzione, diversamente da altri, in base al criterio di assegnazione dei ruoli associato alla propria cassetta postale. I criteri dell'assegnazione di ruolo vengono aggiunti direttamente alle cassette postali e ogni cassetta postale può essere associata solo a un criterio dell'assegnazione di ruolo alla volta.

Tra i criteri dell'assegnazione di ruolo dell'organizzazione, uno è contrassegnato come predefinito. Il criterio dell'assegnazione di ruolo predefinito è associato a nuove cassette postali a cui non è stato assegnato esplicitamente un criterio specifico di assegnazione del ruolo al momento della creazione. Il criterio dell'assegnazione di ruolo predefinito deve contenere le autorizzazioni da applicare alla maggior parte delle cassette postali.

Le autorizzazioni vengono aggiunte ai criteri dell'assegnazione di ruolo utilizzando i ruoli dell'utente finale. I ruoli dell'utente finale iniziano con My e concedono agli utenti le autorizzazioni per gestire solo le cassette postali o i gruppi di distribuzione di cui sono proprietari. Non possono essere utilizzati per gestire altre cassette postali. Solo i ruoli dell'utente finale possono essere assegnati ai criteri dell'assegnazione di ruolo.

Quando a un utente finale viene assegnato un criterio dell'assegnazione di ruolo, tutte le cassette postali associate a quel ruolo ricevono le autorizzazioni concesse dal ruolo. In questo modo è possibile aggiungere o rimuovere le autorizzazioni a gruppi di utenti senza dover configurare le singole cassette postali. Nella figura successiva viene illustrato quanto segue:

  • I ruoli dell'utente finale vengono assegnati ai criteri dell'assegnazione di ruolo. I criteri dell'assegnazione di ruolo possono condividere gli stessi ruoli dell'utente finale.

  • I criteri dell'assegnazione di ruolo sono associati alle cassette postali. Ogni cassetta postale può essere associata a un solo criterio dell'assegnazione di ruolo.

  • Una volta associata una cassetta postale a un criterio dell'assegnazione di ruolo, i ruoli dell'utente finale vengono applicati alla cassetta postale. Le autorizzazioni concesse dai ruoli vengono concesse all'utente della cassetta postale.

Ruolo, criteri di assegnazione dei ruoli, relazione con le cassette postali.

I criteri di assegnazione del ruolo Default Role Assignment Policy sono inclusi in Exchange 2013. Come suggerisce il nome, si tratta del criterio di assegnazione dei ruoli predefinito. Per modificare le autorizzazioni fornite da questo criterio dell'assegnazione di ruolo o per creare criteri dell'assegnazione di ruolo, vedere Work with Role Assignment Policies più avanti in questo argomento.

Utilizzo dei gruppi di ruoli

Per gestire le autorizzazioni usando i gruppi di ruoli in Exchange 2013, è consigliabile usare l'interfaccia di amministrazione di Exchange. Quando si utilizza EAC per gestire i gruppi di ruoli, è possibile aggiungere e rimuovere ruoli e membri, creare gruppi di ruoli e copiare gruppi di ruoli con poche operazioni del mouse. EAC offre finestre di dialogo semplici, come la finestra di dialogo nuovo gruppo di ruoli, mostrata nella figura seguente, per eseguire tali attività.

Finestra di dialogo Nuovo gruppo di ruoli nell'interfaccia di amministrazione di Exchange.

Exchange 2013 include diversi gruppi di ruoli che separano le autorizzazioni in aree amministrative specifiche. Se questi gruppi di ruoli esistenti forniscono le autorizzazioni necessarie agli amministratori per gestire l'organizzazione di Exchange 2013, è sufficiente aggiungere gli amministratori come membri dei gruppi di ruoli appropriati. Una volta aggiunti a un gruppo di ruoli, gli amministratori saranno in grado di gestire le funzionalità legate a quel gruppo di ruoli. Per aggiungere o rimuovere membri da un gruppo di ruoli, aprire il gruppo di ruoli in Interfaccia di amministrazione di Exchange (EAC) e aggiungere o rimuovere i membri dall'elenco di appartenenza. Per un elenco dei gruppi di ruoli incorporati, vedere Gruppi di ruoli incorporati.

Importante

Se un amministratore è membro di più gruppi di ruoli, Exchange 2013 concede all'amministratore tutte le autorizzazioni fornite dai gruppi di ruoli di cui è membro.

Se nessuno dei gruppi di ruoli inclusi in Exchange 2013 dispone delle autorizzazioni necessarie, è possibile usare EAC per creare un gruppo di ruoli e aggiungere i ruoli con le autorizzazioni necessarie. Per il nuovo gruppo di ruoli è necessario procedere come segue:

  1. Scegliere un nome per il gruppo di ruoli.
  2. Selezionare i ruoli che si desidera assegnare al gruppo di ruoli.
  3. Aggiungere i membri al gruppo di ruoli.
  4. Salvare il gruppo di ruoli.

Una volta creato il gruppo di ruoli, è possibile gestirlo come qualsiasi altro gruppo.

Se è presente un gruppo di ruolo che dispone di alcune, ma non di tutte le autorizzazioni necessarie, è possibile copiarlo e modificarlo per creare un gruppo di ruolo. È possibile copiare un gruppo di ruolo esistente e modificarlo, senza coinvolgere il gruppo di ruolo originale. Durante la copia del gruppo di ruoli, è possibile aggiungere un nuovo nome e la descrizione, aggiungere e rimuovere ruoli dal nuovo gruppo di ruoli e aggiungere nuovi membri. Quando si crea o si copia un gruppo di ruoli, viene utilizzata la stessa finestra di dialogo visualizzata nella figura precedente.

È possibile modificare anche gruppi di ruoli esistenti. È possibile aggiungere e rimuovere ruoli da gruppi di ruoli esistenti e aggiungere e rimuovere membri contemporaneamente, utilizzando una finestra di dialogo di EAC simile a quella riportata nella figura precedente. Aggiungendo o rimuovendo ruoli da gruppi di ruoli, vengono attivate e disattivate le funzionalità amministrative dei membri del gruppo di ruoli. Per un elenco dei ruoli che è possibile aggiungere a un gruppo di ruoli, vedere Ruoli di gestione predefiniti.

Nota

Sebbene sia possibile scegliere i ruoli da assegnare ai gruppi di ruoli incorporati, è consigliabile copiare i gruppi di ruoli incorporati, modificare la copia del gruppo di ruoli e aggiungere i membri alla copia del gruppo di ruoli.

Utilizzo dei criteri di assegnazione dei ruoli

Per gestire le autorizzazioni concesse agli utenti finali per gestire la propria cassetta postale in Exchange 2013, è consigliabile usare EAC. Quando si utilizza EAC per la gestione delle autorizzazioni degli utenti finali, è possibile aggiungere, rimuovere i ruoli e creare criteri di assegnazione dei ruoli con poche operazioni del mouse. L'Interfaccia di amministrazione di Exchange offre finestre di dialogo semplici, come la finestra di dialogo criterio di assegnazione dei ruoli, mostrata nella figura seguente, per eseguire tali attività.

Finestra di dialogo Criteri di assegnazione di ruolo nell'interfaccia di amministrazione di Exchange.

Exchange 2013 include un criterio di assegnazione di ruolo denominato Default Role Assignment Policy.Exchange 2013 include un criterio di assegnazione di ruolo denominato Default Role Assignment Policy. Questo criterio di assegnazione del ruolo consente agli utenti con cassette postali associate al criterio di effettuare le seguenti operazioni:

  • Unirsi ai gruppi di distribuzione che consentono ai membri di gestire la propria appartenenza o abbandonarli.
  • Visualizzare e modificare le impostazioni di base della propria cassetta postale, ad esempio le regole di Posta in arrivo, il comportamento ortografico, le impostazioni della posta indesiderata e i dispositivi Microsoft ActiveSync.
  • Modificare le informazioni di contatto, quali indirizzo e numero di telefono dell'ufficio, numero di cellulare e del cercapersone.
  • Creare, modificare o visualizzare le impostazioni dei messaggi di testo.
  • Visualizzare o modificare le impostazioni della casella vocale.
  • Visualizzare e modificare le applicazioni del marketplace.
  • Creare cassette postali di team e collegarle agli elenchi di Microsoft SharePoint.

Per aggiungere o rimuovere le autorizzazioni dal Criterio predefinito di assegnazione dei ruoli o da un qualsiasi altro criterio di assegnazione del ruolo, è possibile utilizzare EAC. La finestra di dialogo utilizzata è simile alla finestra visualizzata nella figura precedente. Quando viene visualizzato il criterio di assegnazione del ruolo in EAC, selezionare la casella di controllo accanto ai ruoli da assegnare o deselezionare la casella di controllo accanto ai ruoli da rimuovere. Le modifiche apportate al criterio di assegnazione del ruolo vengono applicate a ogni cassetta postale associata.

Per assegnare autorizzazioni dell'utente finale diverse ai vari tipi di utenti dell'organizzazione, è possibile creare criteri di assegnazione dei ruoli. Quando si crea un criterio di assegnazione del ruolo, viene visualizzata una finestra di dialogo simile alla finestra mostrata nella figura precedente. È possibile specificare un nuovo nome per il criterio di assegnazione del ruolo, quindi selezionare i ruoli da assegnare al criterio. Una volta creato un criterio di assegnazione del ruolo, è possibile associarlo alle cassette postali utilizzando EAC.

Per scegliere un criterio di assegnazione del ruolo predefinito diverso, è necessario utilizzare la Shell. Quando viene cambiato il criterio di assegnazione del ruolo predefinito, le cassette postali che vengono create saranno associate al nuovo criterio di assegnazione del ruolo predefinito, se esplicitamente specificato. Il criterio di assegnazione del ruolo associato alle cassette postali esistenti non viene modificato quando si seleziona un nuovo criterio di assegnazione del ruolo predefinito.

Nota

Se si seleziona la casella di controllo di un ruolo che include ruoli figlio, verranno selezionate anche le caselle di controllo dei ruoli figlio. Se si deseleziona la casella di controllo di un ruolo con ruoli figlio, verranno deselezionate anche le caselle di controllo dei ruoli figlio.

Per la procedura dettagliata relativa alla creazione dei criteri di assegnazione del ruolo o alla modifica dei criteri di assegnazione del ruolo esistente, vedere gli argomenti indicati di seguito:

Documentazione sulle autorizzazioni

La tabella seguente contiene collegamenti ad argomenti che consentono di apprendere e gestire le autorizzazioni in Exchange 2013.

Argomento Descrizione
Controllo di accesso basato sui ruoli Informazioni su ognuno dei componenti che costituiscono il controllo degli accessi in base al ruolo e su come creare modelli di autorizzazioni avanzati se i gruppi di ruoli e i ruoli di gestione non sono sufficienti.
Informazioni sulle autorizzazioni di più foreste Sono disponibili le informazioni sull'implementazione delle autorizzazioni di RBAC nelle organizzazioni con foreste di account e risorse.
Informazioni sulle autorizzazioni diviso Sono disponibili le informazioni sulla suddivisione di Exchange e la gestione per le entità di sicurezza utilizzando RBAC e le autorizzazioni di suddivisione in Active Directory.
Informazioni sulle autorizzazioni di coesistenza con Exchange 2007 e Exchange 2010 Configurare le autorizzazioni per abilitare l'amministrazione di Exchange 2013 nelle organizzazioni Exchange 2007 ed Exchange 2010 esistenti.
Gestire gruppi di ruoli Configurare le autorizzazioni per gli amministratori di Exchange e gli utenti esperti utilizzando gruppi di ruoli.
Gestire i membri del gruppo di ruolo Aggiungere i membri ai gruppi di ruoli. Aggiungendo e rimuovendo membri da e verso gruppi di ruoli, si configura chi è in grado di amministrare le funzionalità di Exchange.
Gestire i gruppi di ruoli collegato Configurare le autorizzazioni per gli amministratori di Exchange e gli utenti esperti nelle distribuzioni di Exchange con più foreste.
Gestire i criteri di assegnazione dei ruoli Configurare le funzionalità a cui gli utenti finali possono accedere dalle cassette postali utilizzando i criteri di assegnazione dei ruoli.
Modificare il criterio di assegnazione di una cassetta postale Configurare quale criterio di assegnazione del ruolo viene applicato a una o più cassette postali.
Creare gruppi di ruoli collegato il mirroring di gruppi di ruoli incorporati Ricreare i gruppi di ruoli incorporati come gruppi di ruoli collegati nelle distribuzioni di Exchange con più foreste.
Visualizzazione delle autorizzazioni valide Visualizzare gli utenti con le autorizzazioni per gestire le funzionalità di Exchange.
Autorizzazioni delle funzionalità Sono disponibili ulteriori informazioni sulle autorizzazioni necessarie per gestire i servizi e le funzionalità di Exchange.
Autorizzazioni avanzate Utilizzare le funzionalità RBAC avanzate per creare i modelli di autorizzazioni altamente personalizzati per adattare le esigenze di qualsiasi organizzazione.