Autorizzazioni in Exchange Online
I ruoli globali in Microsoft Entra ID consentono di gestire le autorizzazioni e l'accesso alle funzionalità in tutte le funzionalità di Microsoft 365, che include anche Exchange Online. Per altre informazioni, vedere autorizzazioni Microsoft Entra.
Tuttavia, se è necessario limitare le autorizzazioni e le funzionalità alle funzionalità in Exchange Online, è possibile assegnare autorizzazioni Exchange Online nell'interfaccia di amministrazione di Exchange e in Exchange Online PowerShell.
Per gestire le autorizzazioni Exchange Online nell'interfaccia di amministrazione di Exchange, passare a Ruoli>Amministrazione ruoli o passare direttamente alla pagina Amministrazione ruoli in https://admin.exchange.microsoft.com/#/adminRoles.
È necessario essere membri del gruppo di ruoli Gestione organizzazione in Exchange Online. In particolare, il ruolo Gestione ruoli in Exchange Online consente agli utenti di visualizzare, creare e modificare Exchange Online gruppi di ruoli. Per impostazione predefinita, tale ruolo viene assegnato solo al gruppo di ruoli Gestione organizzazione .
Exchange Online include un ampio set di autorizzazioni predefinite, in base al modello di autorizzazioni RBAC (Role Based Controllo di accesso), che è possibile usare immediatamente per concedere facilmente le autorizzazioni agli amministratori e agli utenti. È possibile usare le funzionalità di autorizzazioni in Exchange Online per rendere operativa la nuova organizzazione rapidamente.
Consiglio
La gestione delle autorizzazioni in Exchange Online consente agli utenti di accedere alle funzionalità di EAC e Exchange Online PowerShell. Per concedere autorizzazioni ad altre funzionalità, ad esempio le funzionalità di conformità nel Portale di conformità di Microsoft Purview o le funzionalità di sicurezza nel portale di Microsoft Defender, vedere gli articoli seguenti:
- Autorizzazioni nel portale di conformità di Microsoft Purview
- Microsoft Defender per Office 365 autorizzazioni nel portale di Microsoft Defender
Diverse funzionalità e concetti avanzati relativi al controllo degli accessi in base al ruolo non sono illustrati in questo articolo. Se la funzionalità descritta in questo articolo non soddisfa le proprie esigenze e si vuole personalizzare ulteriormente il modello di autorizzazioni, vedere Informazioni sui Controllo di accesso basati sui ruoli.
Autorizzazioni basate sui ruoli
Exchange Online autorizzazioni si basano sul modello di autorizzazioni del controllo degli accessi in base al ruolo. Il controllo degli accessi in base al ruolo è lo stesso modello di autorizzazioni usato dalla maggior parte dei servizi e dei Exchange Server di Microsoft 365, quindi se si ha familiarità con la struttura delle autorizzazioni in questi servizi, la concessione delle autorizzazioni in Exchange Online dovrebbe essere familiare.
Un ruolo o un ruolo di gestione concede le autorizzazioni per eseguire un set di attività. Exchange Online autorizzazioni usano i tipi di ruoli seguenti:
- Ruoli di amministratore: definisce il set di attività che un amministratore può eseguire. Quando un ruolo di amministratore viene assegnato a un gruppo di ruoli e un amministratore o un utente è membro di tale gruppo di ruoli, a tale persona vengono concesse le autorizzazioni fornite dal ruolo. Questi ruoli sono elencati e descritti in questo articolo.
-
Ruoli dell'utente finale: questi ruoli, assegnati tramite criteri di assegnazione di ruolo, consentono agli utenti di gestire gli aspetti delle proprie cassette postali e dei gruppi di distribuzione di cui sono proprietari. I ruoli dell'utente finale iniziano con il prefisso
My. Per altre informazioni, vedere la sezione più avanti in questo articolo. - Ruoli dell'applicazione: questi nomi di ruolo che iniziano o terminano con "Application" fanno parte del controllo degli accessi in base al ruolo per le applicazioni in Exchange Online. Per altre informazioni, vedere Role Based Controllo di accesso for Applications in Exchange Online.For more information, see Role Based Controllo di accesso for Applications in Exchange Online.
I ruoli consentono agli utenti di eseguire attività rendendo disponibili Exchange Online cmdlet. Poiché EAC e Exchange Online PowerShell usano i cmdlet per gestire Exchange Online, la concessione dell'accesso a un cmdlet consente all'amministratore o all'utente di eseguire l'attività in una delle interfacce di gestione Exchange Online.
Un gruppo di ruoli semplifica l'assegnazione dei ruoli agli amministratori. Quando viene assegnato un ruolo a un gruppo di ruoli, le autorizzazioni concesse dal ruolo vengono estese a tutti i membri del gruppo di ruoli. Exchange Online autorizzazioni includono gruppi di ruoli predefiniti per le attività e le funzioni più comuni che è necessario assegnare. È anche possibile creare un gruppo di ruoli personalizzato. È consigliabile aggiungere singoli utenti come membri ai gruppi di ruoli predefiniti o ai gruppi di ruoli personalizzati anziché assegnare i ruoli direttamente agli utenti. I membri dei gruppi di ruoli possono essere utenti di Exchange Online e di altri gruppi di ruoli.
L'aggiunta di utenti ai gruppi di ruoli Exchange Online concede diritti amministrativi agli utenti in Exchange Online senza aggiungerli ai ruoli Microsoft Entra. Gli utenti ricevono le autorizzazioni concesse dal gruppo di ruoli in Exchange Online solo senza autorizzazioni per altre funzionalità o carichi di lavoro di Microsoft 365.
Il resto di questo articolo descrive i ruoli di amministratore e i gruppi di ruoli in Exchange Online.
Consiglio
Un criterio di assegnazione di ruolo è un tipo di gruppo di ruoli usato per assegnare ruoli dell'utente finale agli utenti. Per altre informazioni, vedere Criteri di assegnazione di ruolo in Exchange Online.
Gruppi di ruoli in Exchange Online
Nella tabella di questa sezione sono elencati i gruppi di ruoli di amministratore predefiniti disponibili in Exchange Online e i ruoli assegnati ai gruppi di ruoli per impostazione predefinita. Per concedere le autorizzazioni a un utente per eseguire attività in Exchange Online, aggiungerle al gruppo di ruoli appropriato.
Se si lavora in una piccola organizzazione con solo pochi amministratori, potrebbe essere necessario aggiungere tali amministratori solo al gruppo di ruoli Gestione organizzazione e potrebbe non essere mai necessario usare gli altri gruppi di ruoli. Se si lavora in un'organizzazione di dimensioni maggiori, potrebbero essere presenti amministratori che eseguono attività specifiche che amministrano Exchange Online, ad esempio la configurazione del destinatario. In questi casi, è possibile aggiungere un amministratore al gruppo di ruoli Gestione destinatari e un altro amministratore al gruppo di ruoli Gestione organizzazione. Questi amministratori possono quindi gestire le aree specifiche di Exchange Online, ma non hanno le autorizzazioni per gestire le aree di cui non sono responsabili.
Se i gruppi di ruoli predefiniti in Exchange Online non corrispondono alla funzione del processo degli amministratori, è possibile creare gruppi di ruoli e aggiungervi ruoli. Per altre informazioni, vedere Gestire i gruppi di ruoli in Exchange Online.
Consiglio
Se non diversamente specificato, gli stessi gruppi di ruoli e le stesse assegnazioni di ruolo vengono usati in Exchange Online Protection autonomi.
| Gruppo di ruolo | Descrizione | Ruoli predefiniti assegnati |
|---|---|---|
| Conformità delle comunicazioni | Le assegnazioni di ruolo in questo gruppo di ruoli consentono l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Amministratore per la conformità delle comunicazioni Indagine per la conformità delle comunicazioni |
| Amministratori della conformità delle comunicazioni | Le assegnazioni di ruolo in questo gruppo di ruoli consentono l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Amministratore per la conformità delle comunicazioni |
| Amministratore di conformità | Gestire le impostazioni per la gestione dei dispositivi, la prevenzione della perdita dei dati, i report e la conservazione. | Amministratore per la conformità delle comunicazioni Insider Risk Management Amministrazione |
| Gestione della conformità | I membri possono configurare e gestire le impostazioni di conformità all'interno di Exchange in base ai criteri. | Log di audit Amministrazione di conformità Prevenzione della perdita di dati Information Rights Management Inserimento nel journal Verifica dei messaggi Gestione conservazione Regole di trasporto Log di audit di sola visualizzazione Configurazione solo visualizzazione Destinatari solo visualizzazione |
| Gestione individuazione | I membri possono eseguire ricerche nelle cassette postali nell'organizzazione Exchange Online per i dati che soddisfano criteri specifici e possono anche configurare blocchi legali nelle cassette postali. | Conservazione a fini giudiziari Ricerca cassetta postale |
| ExchangeServiceAdmins_ valore> univoco<¹ | L'appartenenza a questo gruppo di ruoli viene sincronizzata tra i servizi e gestita centralmente. Non è possibile gestire questo gruppo di ruoli in Exchange Online. A questo gruppo di ruoli non sono assegnati ruoli. Tuttavia, è un membro del gruppo di ruoli Gestione organizzazione (come amministratore del servizio Exchange) e eredita le autorizzazioni fornite da tale gruppo di ruoli. È possibile aggiungere membri a questo gruppo di ruoli aggiungendo utenti al ruolo di amministratore di Exchange Microsoft Entra ID nel interfaccia di amministrazione di Microsoft 365. |
n/d |
| Help Desk | I membri possono visualizzare e gestire la configurazione per i singoli destinatari e visualizzare i destinatari in un'organizzazione di Exchange. I membri di questo gruppo di ruoli possono gestire solo la configurazione che ogni utente può gestire nella propria cassetta postale. | Reimpostare la password Opzioni utente Destinatari solo visualizzazione |
| Gestione igiene | I membri possono gestire le funzionalità di protezione dalla posta indesiderata di Exchange, concedere autorizzazioni per l'integrazione dei prodotti antivirus con Exchange e gestire le regole del flusso di posta. | Igiene dei trasporti Configurazione solo visualizzazione Destinatari solo visualizzazione |
| Azure Information Protection | Controllo completo su tutte le funzionalità di protezione delle informazioni, incluse le etichette di riservatezza e i relativi criteri, la prevenzione della perdita dei dati, tutti i tipi di classificatori, gli esploramenti attività e contenuto e tutti i report correlati. | Amministratore di Information Protection Information Protection Analyst² Investigatore di Information Protection Lettore di Information Protection |
| Amministratori di Information Protection | Le assegnazioni di ruolo in questo gruppo di ruoli consentono l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Amministratore di Information Protection |
| Analisti di Information Protection | Le assegnazioni di ruolo in questo gruppo di ruoli consentono l'accesso al cmdlet Search-UnifiedAuditLog in Exchange Online. | Information Protection Analyst² |
| Investigatori di Information Protection | Eseguire una ricerca nel log di controllo unificato | Investigatore di Information Protection |
| Lettori di Information Protection | Cercare nel log di controllo unificato e visualizzare i report Di riepilogo traffico posta e Traffico di posta. | Lettore di Information Protection |
| Gestione dei rischi Insider | Gestire il controllo di accesso per la gestione dei rischi Insider. | Insider Risk Management Amministrazione Indagine sulla gestione dei rischi Insider |
| Amministratori della gestione dei rischi Insider | Le assegnazioni di ruolo in questo gruppo di ruoli consentono l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Insider Risk Management Amministrazione |
| Investigatori gestione dei rischi Insider | Le assegnazioni di ruolo in questo gruppo di ruoli consentono l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Indagine sulla gestione dei rischi Insider |
| Gestione organizzazione | I membri hanno accesso amministrativo all'intera organizzazione Exchange Online e possono eseguire quasi tutte le attività in Exchange Online. Importante: poiché il gruppo di ruoli Gestione organizzazione è un ruolo potente, solo gli utenti che eseguono attività amministrative a livello di organizzazione che possono potenzialmente influire sull'intera organizzazione Exchange Online devono essere membri di questo gruppo di ruoli. |
Log di audit Amministratore per la conformità delle comunicazioni Indagine per la conformità delle comunicazioni Amministrazione di conformità Prevenzione della perdita di dati Gruppi di distribuzione Criteri degli indirizzi di posta elettronica Condivisione federata Amministratore di Information Protection Information Protection Analyst² Investigatore di Information Protection Lettore di Information Protection Information Rights Management Insider Risk Management Amministrazione Indagine sulla gestione dei rischi Insider Inserimento nel journal Conservazione a fini giudiziari Cartelle pubbliche abilitate alla posta Creazione destinatario di posta Destinatari di posta Suggerimenti per la posta Verifica dei messaggi Migrazione Spostamento delle cassette postali App personalizzate per l'org App Marketplace per l'org Accesso client dell'organizzazione Configurazione dell'organizzazione Impostazioni trasporto organizzazione Amministrazione gestione della privacy Indagine sulla gestione della privacy Cartelle pubbliche Criteri del destinatario Domini remoti e accettati Reimpostare la password Gestione conservazione Gestione dei ruoli Amministratore della sicurezza Creazione e appartenenza di gruppi di sicurezza Ruolo con autorizzazioni di lettura per la sicurezza TenantPlacesManagement Igiene dei trasporti Regole di trasporto Opzioni utente Log di audit di sola visualizzazione Configurazione solo visualizzazione Destinatari solo visualizzazione |
| Gestione della privacy | Le assegnazioni di ruolo in questo gruppo di ruoli consentono l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Amministrazione gestione della privacy Indagine sulla gestione della privacy |
| Amministratori della gestione della privacy | Le assegnazioni di ruolo in questo gruppo di ruoli consentono l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Amministrazione gestione della privacy |
| Investigatori di gestione della privacy | Le assegnazioni di ruolo in questo gruppo di ruoli consentono l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Indagine sulla gestione della privacy |
| Gestione destinatari | I membri hanno accesso amministrativo per creare o modificare i destinatari Exchange Online all'interno dell'organizzazione Exchange Online. | Gruppi di distribuzione Creazione destinatario di posta Destinatari di posta Verifica dei messaggi Migrazione Spostamento delle cassette postali Criteri del destinatario Reimpostare la password |
| Gestione record | I membri possono configurare le funzionalità di conformità, ad esempio i tag dei criteri di conservazione, le classificazioni dei messaggi e le regole del flusso di posta (note anche come regole di trasporto). | Log di audit Inserimento nel journal Verifica dei messaggi Gestione conservazione Regole di trasporto |
| GUID RIM-MailboxAdmins<> | Non utilizzato | ApplicationImpersonation |
| Amministratore della sicurezza | L'appartenenza a questo gruppo di ruoli viene sincronizzata tra i servizi e gestita centralmente. Non è possibile gestire questo gruppo di ruoli in Exchange Online. È possibile aggiungere membri a questo gruppo di ruoli aggiungendo utenti al ruolo di amministratore della sicurezza Microsoft Entra nel interfaccia di amministrazione di Microsoft 365. |
Amministratore della sicurezza SensitivityLabelAdministrator |
| Operatore della sicurezza | Gestire gli avvisi di sicurezza e visualizzare anche i report e le impostazioni delle funzionalità di sicurezza. | Gestione tenant AllowBlockList |
| Ruolo con autorizzazioni di lettura per la sicurezza | L'appartenenza a questo gruppo di ruoli viene sincronizzata tra i servizi e gestita centralmente. Non è possibile gestire questo gruppo di ruoli in Exchange Online. È possibile aggiungere membri a questo gruppo di ruoli aggiungendo utenti al ruolo lettore di sicurezza Microsoft Entra nel interfaccia di amministrazione di Microsoft 365. |
Ruolo con autorizzazioni di lettura per la sicurezza |
| TenantAdmins_ valore univoco<> | L'appartenenza a questo gruppo di ruoli viene sincronizzata tra i servizi e gestita centralmente. Non è possibile gestire questo gruppo di ruoli in Exchange Online. A questo gruppo di ruoli non sono assegnati ruoli. Tuttavia, è un membro del gruppo di ruoli Gestione organizzazione (come amministratore aziendale) e eredita le autorizzazioni fornite da tale gruppo di ruoli. È possibile aggiungere membri a questo gruppo di ruoli aggiungendo utenti al ruolo amministratore globale Microsoft Entra ID nel interfaccia di amministrazione di Microsoft 365. Importante: Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente. |
n/d |
| Gestione organizzazione sola visualizzazione | I membri possono visualizzare le proprietà di qualsiasi oggetto nell'organizzazione Exchange Online. | Configurazione solo visualizzazione Destinatari solo visualizzazione |
¹ Questo gruppo di ruoli non è disponibile in Exchange Online Protection autonomi.
² Per impostazione predefinita, a questo ruolo non viene assegnato alcun gruppo di ruoli in Exchange Online Protection autonomi.
Ruoli in Exchange Online
La tabella in questa sezione elenca i ruoli di amministratore disponibili e i gruppi di ruoli a cui sono assegnati per impostazione predefinita.
I ruoli non assegnati al gruppo di ruoli Gestione organizzazione per impostazione predefinita sono contrassegnati con *
Consiglio
- I nomi di ruolo che iniziano con il prefisso "My", ad esempio MyContactInformation, sono ruoli dell'utente finale. I ruoli dell'utente finale vengono assegnati agli utenti nei criteri di assegnazione di ruolo, che consentono agli utenti di operare su oggetti di loro proprietà (ad esempio, il proprio account o gruppi di distribuzione creati). Per altre informazioni, vedere Criteri di assegnazione di ruolo in Exchange Online.
- I nomi di ruolo che iniziano o terminano con "Application" fanno parte del controllo degli accessi in base al ruolo per le applicazioni in Exchange Online. Per altre informazioni, vedere Role Based Controllo di accesso for Applications in Exchange Online.For more information, see Role Based Controllo di accesso for Applications in Exchange Online.
- Molti dei ruoli correlati alla conformità disponibili anche nella conformità di Microsoft Purview e Microsoft Entra non offrono molte funzionalità in Exchange Online da soli.
- Se non diversamente specificato, gli stessi ruoli e le stesse assegnazioni di gruppo di ruoli vengono usati in Exchange Online Protection autonomi.
| Ruolo | Descrizione | Assegnazioni predefinite di gruppi di ruoli |
|---|---|---|
| Indirizzo Elenchi* | Consente agli amministratori di gestire elenchi di indirizzi, elenchi di indirizzi globali ed elenchi di indirizzi offline in un'organizzazione. | Nessuno |
| Log di audit | Cercare nel log di controllo dell'amministratore e visualizzare i risultati. | Gestione della conformità Gestione organizzazione Gestione record |
| Amministratore per la conformità delle comunicazioni | Questo ruolo consente l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Conformità delle comunicazioni Amministratori della conformità delle comunicazioni Amministratore di conformità Gestione organizzazione |
| Indagine per la conformità delle comunicazioni | Questo ruolo consente l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Conformità delle comunicazioni Gestione organizzazione |
| Amministrazione di conformità | Consente agli utenti di visualizzare e modificare le impostazioni e i report per le funzionalità di conformità. | Gestione della conformità Gestione organizzazione |
| Prevenzione della perdita di dati | Questo ruolo era correlato alle impostazioni di prevenzione della perdita dei dati (DLP) correlate alla regola del flusso di posta precedente (regola di trasporto) nell'organizzazione. Questo ruolo consente l'accesso alla gestione delle regole dei report e del flusso di posta in Exchange Online. | Gestione della conformità Gestione organizzazione |
| Gruppi di distribuzione | Creare e gestire tutti i gruppi di distribuzione, i gruppi di sicurezza abilitati alla posta elettronica e i membri. | Gestione organizzazione Gestione destinatari |
| Criteri degli indirizzi di posta elettronica | Consente agli amministratori di gestire i criteri degli indirizzi di posta elettronica in un'organizzazione. | Gestione organizzazione |
| Condivisione federata | Consente agli amministratori di gestire la condivisione tra foreste e tra organizzazioni in un'organizzazione. | Gestione organizzazione |
| Amministratore di Information Protection | Questo ruolo consente l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Azure Information Protection Amministratori di Information Protection Gestione organizzazione |
| Analista di Information Protection | Questo ruolo consente l'accesso al cmdlet Search-UnifiedAuditLog in Exchange Online. | Azure Information Protection Analisti Information Protection¹ Gestione organizzazione |
| Investigatore di Information Protection | Eseguire una ricerca nel log di controllo unificato. | Azure Information Protection Investigatori di Information Protection Gestione organizzazione |
| Lettore di Information Protection | Cercare nel log di controllo unificato e visualizzare i report Di riepilogo traffico posta e Traffico di posta. | Azure Information Protection Lettori di Information Protection Gestione organizzazione |
| Information Rights Management | Gestire le funzionalità di Information Rights Management (IRM) di Exchange in un'organizzazione. | Gestione della conformità Gestione organizzazione |
| Insider Risk Management Amministrazione | Questo ruolo consente l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Amministratore di conformità Gestione dei rischi Insider Amministratori della gestione dei rischi Insider Gestione organizzazione |
| Indagine sulla gestione dei rischi Insider | Questo ruolo consente l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Gestione dei rischi Insider Investigatori gestione dei rischi Insider Gestione organizzazione |
| Inserimento nel journal | Consente agli amministratori di gestire la configurazione del journaling in un'organizzazione. | Gestione della conformità Gestione organizzazione Gestione record |
| Conservazione a fini giudiziari | Consente agli amministratori di configurare se i dati all'interno di una cassetta postale devono essere conservati a scopo di controversia legale in un'organizzazione. | Gestione individuazione Gestione organizzazione |
| Cartelle pubbliche abilitate alla posta | Consente agli amministratori di configurare se le singole cartelle pubbliche sono abilitate alla posta elettronica o disabilitate per la posta elettronica in un'organizzazione. | Gestione organizzazione |
| Creazione destinatario di posta | Creare e rimuovere utenti di posta elettronica e contatti di posta elettronica. | Gestione organizzazione Gestione destinatari |
| Mail Recipients | Modificare gli utenti di posta elettronica e i contatti di posta elettronica esistenti. | Gestione organizzazione Gestione destinatari |
| Suggerimenti per la posta | Consente agli amministratori di gestire le impostazioni dei suggerimenti messaggio in un'organizzazione. | Gestione organizzazione |
| Esportazione importazione cassette postali* | Consente agli amministratori di importare ed esportare il contenuto della cassetta postale. | Nessuno |
| Ricerca cassette postali* | Consente agli amministratori di eseguire ricerche nel contenuto di una o più cassette postali in un'organizzazione. | Gestione individuazione |
| Verifica dei messaggi | Consente agli amministratori di tenere traccia dei messaggi in un'organizzazione. | Gestione della conformità Gestione organizzazione Gestione destinatari Gestione record |
| Migrazione | Consente agli amministratori di eseguire la migrazione del contenuto delle cassette postali e delle cassette postali all'esterno o all'esterno di un'organizzazione. | Gestione organizzazione Gestione destinatari |
| Spostamento delle cassette postali | Consente agli amministratori di spostare le cassette postali. | Gestione organizzazione Gestione destinatari |
| O365SupportViewConfig* | Non utilizzato | Nessuno |
| App personalizzate per l'org | Consente agli utenti di visualizzare e modificare le app personalizzate dell'organizzazione. | Gestione organizzazione |
| App Marketplace per l'org | Consente agli utenti di visualizzare e modificare le app del marketplace dell'organizzazione. | Gestione organizzazione |
| Accesso client dell'organizzazione | Consente agli amministratori di gestire le impostazioni di Accesso client in un'organizzazione. | Gestione organizzazione |
| Configurazione dell'organizzazione | Consente agli amministratori di gestire le impostazioni a livello di organizzazione. | Gestione organizzazione |
| Impostazioni trasporto organizzazione | Consente agli amministratori di gestire le impostazioni di trasporto della posta ibrida e a livello di organizzazione. | Gestione organizzazione |
| Amministrazione gestione della privacy | Questo ruolo consente l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Gestione organizzazione Gestione della privacy Amministratori della gestione della privacy |
| Indagine sulla gestione della privacy | Questo ruolo consente l'accesso al cmdlet Test-TextExtraction in Exchange Online. | Gestione organizzazione Gestione della privacy Investigatori di gestione della privacy |
| Cartelle pubbliche | Consente agli amministratori di gestire le cartelle pubbliche in un'organizzazione. | Gestione organizzazione |
| Criteri del destinatario | Consente agli amministratori di gestire i criteri dei destinatari (criteri di autenticazione, criteri di crittografia dei dati criteri cassetta postale per dispositivi mobili e criteri cassetta postale Outlook sul web) in un'organizzazione. | Gestione organizzazione Gestione destinatari |
| Domini remoti e accettati | Gestire domini remoti, domini accettati e connettori. | Gestione organizzazione |
| Reimpostare la password | Consente agli amministratori di impostare le password delle cassette postali della sala. | Help Desk Gestione organizzazione Gestione destinatari |
| Gestione conservazione | Consente agli utenti di gestire i criteri di conservazione. | Gestione della conformità Gestione organizzazione Gestione record |
| Gestione dei ruoli | Consente agli amministratori di gestire gruppi di ruoli di gestione, criteri di assegnazione di ruolo, ruoli di gestione, voci di ruolo, assegnazioni e ambiti in un'organizzazione. | Gestione organizzazione |
| Amministratore della sicurezza | Gestire la configurazione e i report per tutte le funzionalità di sicurezza e protezione. | Gestione organizzazione Amministratore della sicurezza |
| Creazione e appartenenza di gruppi di sicurezza | Creare e gestire gruppi di sicurezza abilitati alla posta elettronica. | Gestione organizzazione |
| Ruolo con autorizzazioni di lettura per la sicurezza | Visualizzare la configurazione e i report per le funzionalità di sicurezza e protezione. | Gestione organizzazione Ruolo con autorizzazioni di lettura per la sicurezza |
| SensitivityLabelAdministrator* | Consente agli utenti di modificare le proprietà delle etichette di riservatezza. | Amministratore della sicurezza |
| Gestione tenant AllowBlockList* | Consente agli utenti di gestire l'elenco tenant consentiti/bloccati. | Operatore della sicurezza |
| TenantPlacesManagement | Consente agli utenti di gestire le impostazioni per Microsoft Places. | Gestione organizzazione |
| Igiene dei trasporti | Gestire le funzionalità antimalware, anti-spam e anti-spoofing. | Gestione igiene Gestione organizzazione |
| Regole di trasporto | Creare e gestire le regole del flusso di posta (note anche come regole di trasporto). | Gestione della conformità Gestione organizzazione Gestione record |
| Opzioni utente | Consente agli amministratori di visualizzare le opzioni di Outlook sul web degli utenti dell'organizzazione. | Help Desk Gestione organizzazione |
| Log di audit di sola visualizzazione | Cercare nel log di controllo dell'amministratore e visualizzare i risultati. | Gestione della conformità Gestione organizzazione |
| Configurazione solo visualizzazione | Visualizzare tutte le impostazioni dell'organizzazione e del flusso di posta (non destinatario) nell'organizzazione. | Gestione della conformità Gestione igiene Gestione organizzazione Gestione organizzazione sola visualizzazione |
| Destinatari solo visualizzazione | Visualizzare le proprietà del destinatario ed eseguire la traccia dei messaggi. | Gestione della conformità Help Desk Gestione di Hygiene Gestione organizzazione Gestione organizzazione sola visualizzazione |
¹ Per impostazione predefinita, questo ruolo non è assegnato ad alcun gruppo di ruoli in Exchange Online Protection autonomi.
Autorizzazioni di Microsoft 365 in Exchange Online
Quando si crea un utente nel interfaccia di amministrazione di Microsoft 365, è possibile scegliere se assegnare all'utente diversi ruoli di Microsoft Entra, ad esempio Amministratore di Exchange o Lettore globale. La maggior parte dei ruoli Microsoft Entra concede autorizzazioni amministrative all'utente in Exchange Online.
Nota
L'account usato per creare l'organizzazione Exchange Online viene assegnato automaticamente al ruolo Amministratore globale.
Nella tabella seguente sono elencati i ruoli Microsoft Entra e i gruppi di ruoli Exchange Online a cui corrispondono. Per altre informazioni su questi ruoli, vedere autorizzazioni Microsoft Entra.
| ruolo Microsoft Entra | Gruppo di ruoli in Exchange Online |
|---|---|
| Amministratore globale | Gestione organizzazione Nota: il ruolo Amministratore globale e il gruppo di ruoli Gestione organizzazione sono associati usando un gruppo di ruoli Amministratore aziendale speciale. Il gruppo di ruoli Amministratore aziendale viene gestito internamente e non può essere modificato direttamente. |
| Amministratore di Exchange | Gestione organizzazione |
| Lettore globale | Gestione organizzazione sola visualizzazione |
| Amministratore supporto tecnico | Help Desk |
| Amministratore del supporto del servizio | Nessuno |
| Amministratore SharePoint | Nessuno |
| Amministratore di Teams | Nessuno |
| Amministratore destinatario di Exchange | Gestione destinatari |
| Responsabile del successo dell'esperienza utente | Nessuno |
Agli utenti possono essere concessi diritti amministrativi in Exchange Online senza aggiungerli ai ruoli Microsoft Entra aggiungendo l'utente come membro di un gruppo di ruoli Exchange Online. L'utente ottiene le autorizzazioni in Exchange Online, ma non ottiene le autorizzazioni in altri carichi di lavoro di Microsoft 365.
Importante
Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.