Permissões

Aplica-se a: Exchange Server 2013

Microsoft Exchange Server 2013 inclui um grande conjunto de permissões predefinidas, com base no modelo de permissões RBAC (Role Based Controle de Acesso), que você pode usar imediatamente para conceder permissões facilmente aos seus administradores e usuários. Você pode usar os recursos de permissões no Exchange 2013 para que você possa colocar sua nova organização em funcionamento rapidamente.

Observação

Diversos recursos e conceitos de RBAC não são discutidos neste tópico porque são recursos avançados. Caso a funcionalidade discutida neste tópico não atenda às suas necessidades e você queira personalizar mais seu modelo de permissões, consulte Understanding Role Based Access Control.

Permissões baseadas em função

No Exchange 2013, as permissões concedidas a administradores e usuários são baseadas em funções de gerenciamento. Uma função define o conjunto de tarefas que um administrador ou usuário pode realizar. Por exemplo, uma função de gerenciamento chamada Mail Recipients define as tarefas que alguém pode executar em um conjunto de caixas de correio, contatos e grupos de distribuição. Quando uma função é atribuída a um administrador ou usuário, essa pessoa recebe as permissões fornecidas pela função.

Existem dois tipos de funções, funções administrativas e de usuário final:

  • Funções administrativas: essas funções contêm permissões que podem ser atribuídas a administradores ou usuários especializados usando grupos de funções que gerenciam uma parte da organização do Exchange, como destinatários, servidores ou bancos de dados.
  • Funções de usuário final: essas funções, atribuídas usando políticas de atribuição de função, permitem que os usuários gerenciem aspectos de sua própria caixa de correio e grupos de distribuição que possuem. As funções de usuário final começam com o prefixo My.

As funções atribuem permissões aos administradores e usuários para executar tarefas por meio da disponibilização de cmdlets. Como o Centro de Administração do Exchange (EAC) e o Shell de Gerenciamento do Exchange usam cmdlets para gerenciar o Exchange, conceder acesso a um cmdlet dá ao administrador ou ao usuário permissão para executar a tarefa em cada uma das interfaces de gerenciamento do Exchange.

O Exchange 2013 inclui aproximadamente 86 funções que você pode usar para conceder permissões. Para obter uma lista de funções incluídas no Exchange 2013, confira funções de gerenciamento internas.

grupos de função e políticas de atribuição de função

As funções concedem permissões para executar tarefas no Exchange 2013, mas você precisa de uma maneira fácil de atribuí-las a administradores e usuários. O Exchange 2013 fornece o seguinte para ajudá-lo a fazer isso:

  • Grupos de funções: os grupos de funções permitem que você conceda permissões a administradores e usuários especializados.
  • Políticas de atribuição de função: as políticas de atribuição de função permitem que você conceda permissões aos usuários finais para alterar as configurações em sua própria caixa de correio ou grupos de distribuição que eles possuem.

Para obter mais informações sobre grupos de funções e diretivas de atribuição de função, consulte as próximas seções.

Grupos de função

Cada administrador que gerencia o Exchange 2013 deve receber pelo menos uma ou mais funções. Os administradores podem ter mais de uma função porque podem executar funções de trabalho que abrangem várias áreas no Exchange. Por exemplo, um administrador pode gerenciar destinatários e servidores do Exchange. Nesse caso, esse administrador pode receber as Mail Recipients funções e Exchange Servers .

Para facilitar a atribuição de várias funções a um administrador, o Exchange 2013 inclui grupos de funções. Os grupos de funções são USGs (grupos de segurança universal) especiais usados pelo Exchange 2013 que podem conter usuários do Active Directory, USGs e outros grupos de funções. Quando uma função é atribuída a um grupo de função, as permissões concedidas pela função são concedidas a todos os membros do grupo de função. Isso permite atribuir muitas funções a muitos membros de grupos de função de uma só vez. Os grupos de função normalmente abrangem áreas mais amplas de gerenciamento, como o gerenciamento de destinatários. São usados apenas para funções administrativas e não para funções de usuário final.

Observação

É possível atribuir uma função diretamente a um usuário ou USG sem usar um grupo de funções. Entretanto, esse método de atribuição de função é um procedimento avançado e não é discutido neste tópico. Recomendamos que você use grupos de função para gerenciar permissões.

A figura a seguir mostra a relação entre usuários, grupos de função e funções.

Função, grupo de funções e relação de membro.

O Exchange 2013 inclui vários grupos de funções internos, cada um fornecendo permissões para gerenciar áreas específicas no Exchange 2013. Alguns grupos de funções podem se sobrepor a outros. As tabelas a seguir relacionam cada grupo de funções com a descrição do seu uso. Se você quiser ver as funções atribuídas a cada grupo de funções, clique no nome do grupo de funções na coluna "Grupo de Funções" e abra a seção "Funções de gerenciamento atribuídas a esse grupo de funções".

Grupo de função Descrição
Organization Management Os administradores que são membros do grupo de funções gerenciamento de organização têm acesso administrativo a toda a organização do Exchange 2013 e podem executar quase qualquer tarefa em relação a qualquer objeto do Exchange 2013, com algumas exceções, como a Discovery Management função.

Importante: como o grupo de funções gerenciamento de organização é uma função poderosa, apenas usuários ou USGs que executam tarefas administrativas de nível organizacional que podem afetar potencialmente toda a organização do Exchange devem ser membros desse grupo de funções.
Gerenciamento da organização somente exibição Os administradores que são membros do grupo de função Exibir Somente Gerenciamento da Organização podem exibir as propriedades de qualquer objeto na organização do Exchange.
Gerenciamento de Destinatários Administradores que sejam membros do grupo de função Gerenciamento de Destinatários têm acesso administrativo para criar ou modificar destinatários do Exchange 2013 dentro da organização do Exchange 2013.
Gerenciamento de UM Os administradores que são membros do grupo de funções de Gerenciamento de UM podem gerenciar recursos na organização do Exchange, como configuração de serviço de UM (Mensagens Unificadas), propriedades um em caixas de correio, prompts um e configuração de atendimento automático um.
Suporte Técnico O grupo de funções do Help Desk, por padrão, permite que os membros exibam e modifiquem as opções de Outlook Web App do Microsoft Office de qualquer usuário da organização. Essas opções podem incluir a modificação do nome para exibição, endereço e número de telefone do usuário. Elas não incluem opções disponíveis nas opções do Outlook Web App, como a modificação do tamanho de uma caixa de correio ou a configuração do banco de dados de caixa de correio no qual a caixa de correio está localizada.
Gerenciamento de Higienização Os administradores que são membros do grupo de funções de Gerenciamento de Higiene podem configurar os recursos antivírus e anti-spam do Exchange 2013. Programas de terceiros que se integram ao Exchange 2013 podem adicionar contas de serviço a esse grupo de funções para conceder a esses programas acesso aos cmdlets necessários para recuperar e configurar a configuração do Exchange.
Gerenciamento de Registros Os usuários que forem membros do grupo de função Gerenciamento de Registros podem configurar recursos de conformidade, como marcas de diretivas de retenção, classificações de mensagens e regras de transporte.
Gerenciamento de Descobertas Administradores ou usuários que são membros do grupo de funções Do Gerenciamento de Descobertas podem realizar pesquisas de caixas de correio na organização exchange para obter dados que atendam a critérios específicos e também podem configurar retenções legais em caixas de correio.
Gerenciamento de Pasta Pública Os administradores que são membros do grupo de funções gerenciamento de pastas públicas podem gerenciar pastas públicas em servidores que executam o Exchange 2013.
Gerenciamento do Servidor Administradores que sejam membros do grupo de funções de Gerenciamento de Servidor podem definir configurações específicas de recursos de servidor de transporte, Unificação de Mensagens, acesso para cliente e caixa de correio, como cópias de bancos de dados, certificados, filas de transporte e conectores de Envio, diretórios virtuais e protocolos de acesso para cliente.
Configuração Delegada Os administradores que são membros do grupo de funções da instalação delegada podem implantar servidores executando o Exchange 2013 que tenham sido previamente configurados por um membro do grupo de funções Gerenciamento da Organização.
Gerenciamento de Conformidade Os usuários que são membros do grupo de funções de Gerenciamento de Conformidade podem configurar e gerenciar as configurações de conformidade do Exchange de acordo com a política de sua organização.

Se você trabalha em uma organização pequena que tem somente alguns administradores, será preciso adicionar esses administradores apenas ao grupo de função do Gerenciamento da Organização, e provavelmente você não precisará nunca usar os outros grupos de função. Se você trabalhar em uma organização maior, poderá ter administradores que executam tarefas específicas administrando o Exchange, como o gerenciamento de destinatários ou servidores. Nesses casos, você pode adicionar um administrador ao grupo de funções gerenciamento de destinatários e outro administrador ao grupo de funções de Gerenciamento de Servidor. Esses administradores podem então gerenciar suas áreas específicas do Exchange 2013, mas não terão permissões para gerenciar áreas pelas quais não são responsáveis.

Se os grupos de funções internos no Exchange 2013 não corresponderem à função de trabalho de seus administradores, você poderá criar grupos de funções e adicionar funções a eles. Para obter mais informações, confira Trabalhar com Grupos de Funções mais adiante neste tópico.

Diretivas de atribuição de função

O Exchange 2013 fornece políticas de atribuição de função para que você possa controlar quais configurações seus usuários podem configurar em suas próprias caixas de correio e em grupos de distribuição que possuem. Essas configurações incluem seus nomes para exibição, informações de contato, configurações de caixa postal e associação a grupos de distribuição.

Sua organização do Exchange 2013 pode ter várias políticas de atribuição de função que fornecem diferentes níveis de permissões para os diferentes tipos de usuários em suas organizações. Alguns usuários podem ter permissão para mudar seus endereços ou criar grupos de distribuição, enquanto outros não, dependendo da diretiva de atribuição de função associada às suas caixas de correio. As diretivas de atribuição de função são adicionadas diretamente às caixas de correio, e cada caixa de correio pode ser associada somente a uma diretiva de atribuição de função por vez.

Entre as diretivas de atribuição de função em sua organização, uma é identificada como padrão. A diretiva de atribuição de função padrão é associada a novas caixas de correio que não tenham uma diretiva de atribuição de função específica explicitamente atribuída ao serem criadas. A diretiva de atribuição de função padrão deve conter as permissões que serão aplicadas à maioria de suas caixas de correio.

As permissões são adicionadas às diretivas de atribuição de função por meio de funções de usuário final. As funções de usuário final começam com My e concedem permissões para que os usuários gerenciem apenas suas caixas de correio ou grupos de distribuição que possuem. Elas não podem ser usadas para gerenciar qualquer outra caixa de correio. Somente funções de usuário final podem ser atribuídas às diretivas de atribuição de função.

Quando uma função de usuário final é atribuída a uma diretiva de atribuição de função, todas as caixas de correio associadas a essa diretiva recebem as permissões concedidas pela função. Isso permite adicionar ou remover permissões de conjuntos de usuários sem ter de configurar as caixas de correio individuais. A figura a seguir mostra:

  • Funções de usuário final são atribuídas a diretivas de atribuição de função. Diretivas de atribuição de função podem compartilhar as mesmas funções de usuário final.

  • Diretivas de atribuição de função são associadas a caixas de correio. Cada caixa de correio só pode ser associada a uma diretiva de atribuição de função.

  • Quando uma caixa de correio é associada a uma política de atribuição de função, as funções de usuário final são aplicadas a essa caixa de correio. As permissões concedidas pelas funções são concedidas ao usuário da caixa de correio.

Função, política de atribuição de função, relação de caixa de correio.

A política de atribuição de função da Política de Atribuição de Função Padrão está incluída no Exchange 2013. Como o nome indica, essa é a diretiva de atribuição de função padrão. Se você quiser alterar as permissões fornecidas por essa política de atribuição de função ou se quiser criar políticas de atribuição de função, consulte Trabalhar com Políticas de Atribuição de Função mais adiante neste tópico.

Trabalhar com grupos de funções

Para gerenciar suas permissões usando grupos de funções no Exchange 2013, recomendamos que você use o centro de administração do Exchange. Usando o EAC para gerenciar grupos de funções, você pode adicionar e remover funções e membros, criar grupos de funções e copiar grupos de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a novo grupo de função, mostrada na figura a seguir, para realizar essas tarefas.

Caixa de diálogo novo grupo de funções no EAC.

O Exchange 2013 inclui vários grupos de funções que separam permissões em áreas administrativas específicas. Se esses grupos de funções existentes fornecerem as permissões que seus administradores precisam para gerenciar sua organização do Exchange 2013, você precisará adicionar apenas seus administradores como membros dos grupos de funções apropriados. Depois que você adicionar administradores a um grupo de funções, eles poderão administrar os recursos relacionados a esse grupo. Para adicionar ou remover membros de um grupo de função, abra o grupo de função no EAC e adicione ou remova os membros da lista de associação. Para obter uma lista de grupos de funções internos, consulte Grupos de funções internos.

Importante

Se um administrador for membro de mais de um grupo de funções, o Exchange 2013 concederá ao administrador todas as permissões fornecidas pelos grupos de funções dos quais ele ou ela é membro.

Se nenhum dos grupos de funções incluídos no Exchange 2013 tiver as permissões necessárias, você poderá usar o EAC para criar um grupo de funções e adicionar as funções que têm as permissões necessárias. Para o seu novo grupo de função, você irá:

  1. Escolher um nome para o grupo de função.
  2. Selecionar as funções que deseja adicionar ao grupo de função.
  3. Adicionar membros ao grupo de funções.
  4. Salvar o grupo de função.

Depois de ter criado o grupo de funções, você o gerencia como qualquer outro grupo de funções.

Se houver um grupo de funções existente que tenha algumas, mas não todas as permissões necessárias, você poderá copiá-la e fazer alterações para criar um grupo de funções. É possível copiar um grupo de funções existente e fazer alterações nele sem afetar o grupo de funções original. Como parte da cópia do grupo de função, é possível atribuir um novo nome e descrição, adicionar e remover funções desse novo grupo de função e adicionar novos membros. Para criar ou copiar um grupo de funções, é usada a mesma caixa de diálogo mostrada na figura anterior.

Os grupos de função existentes também podem ser modificados. Você pode adicionar e remover funções dos grupos de funções existentes e adicionar e remover membros desses grupos ao mesmo tempo usando uma caixa de diálogo do EAC, semelhante à da figura anterior. Ao adicionar e remover funções de grupos de função, você ativa e desativa recursos administrativos para os membros desses grupos de função. Para obter uma lista de funções que você pode adicionar a um grupo de funções, consulte funções de gerenciamento internas.

Observação

Embora seja possível alterar as funções atribuídas aos grupos de função internos, recomendamos copiar esses grupos de função, alterar a cópia e então adicionar os membros ao grupo de função copiado.

Trabalhar com políticas de atribuição de função

Para gerenciar as permissões que você concede aos usuários finais para gerenciar sua própria caixa de correio no Exchange 2013, recomendamos que você use o EAC. Usando o EAC para gerenciar as permissões de usuários finais, você pode adicionar e remover funções e criar políticas de atribuição de função com poucos cliques do mouse. O EAC fornece caixas de diálogo simples, como a política de atribuição de funções, mostrada na figura a seguir, para realizar essas tarefas.

Caixa de diálogo política de atribuição de função no EAC.

O Exchange 2013 inclui uma política de atribuição de função chamada Política de Atribuição de Função Padrão. Essa diretiva de atribuição de função permite aos usuários cujas caixas de correio estejam associadas à diretiva fazer o seguinte:

  • Associar-se ou sair de grupos de distribuição que permitam aos membros gerenciar suas próprias associações.
  • Exibir e modificar configurações básicas de suas caixas de correio, como regras da Caixa de Entrada, comportamento da correção ortográfica, configurações de lixo eletrônico, e dispositivos do Microsoft ActiveSync.
  • Modificar suas informações de contato, como endereço comercial e número de telefone, número de telefone celular e número de pager.
  • Criar, modificar ou exibir configurações de mensagens de texto.
  • Exibir ou modificar as configurações de caixa postal.
  • Exibir e modificar seus aplicativos do marketplace.
  • Criar caixas de correio de equipe e conectá-las às listas do Microsoft SharePoint.

Se quiser adicionar ou remover permissões da Política de Atribuição de Função Padrão ou de qualquer outra política de atribuição de função, você pode usar o EAC. A caixa de diálogo usada é semelhante à da figura anterior. Ao abrir a política de atribuição de função no EAC, marque a caixa de seleção ao lado das funções que você deseja atribuir e desmarque a caixa de seleção das funções que você deseja remover. A alteração feita na diretiva de atribuição de função é aplicada a todas as caixas de correio associadas a ela.

Caso queira atribuir diferentes permissões de usuário final aos vários tipos de usuários em sua organização, você pode criar diretivas de atribuição de função. Ao criar uma política de atribuição de função, será exibida uma caixa de diálogo semelhante à da figura anterior. Você pode especificar um novo nome para a política de atribuição de função e então selecionar as funções que deseja atribuir à política de atribuição de função. Depois de criar uma política de atribuição de função, você poderá associá-la a caixas de correio usando o EAC.

Se quiser alterar a diretiva de atribuição de função padrão, você terá que usar o Shell. Quando a política de atribuição de função padrão é alterada, todas as caixas de correio criadas serão associadas à nova política de atribuição de função se nenhuma política for explicitamente especificada. A diretiva de atribuição de função associada às caixas de correio existentes não muda quando é selecionada uma nova diretiva de atribuição de função padrão.

Observação

Se você marcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão marcadas. Se você desmarcar a caixa de seleção de uma função com funções filhas, as caixas de seleção das funções filhas também serão desmarcadas.

Para obter uma descrição detalhada de como criar diretivas de atribuição de função ou fazer alterações nas diretivas de atribuição de função existentes, consulte os seguintes tópicos:

Documentação de permissões

A tabela a seguir contém links para tópicos que ajudarão você a aprender e gerenciar permissões no Exchange 2013.

Tópico Descrição
Controle de acesso baseado em função de compreensão Saiba mais sobre cada um dos componentes que compõem o RBAC e como você pode criar modelos de permissões avançadas se grupos de funções e funções de gerenciamento não forem suficientes.
Noções básicas sobre permissões de várias florestas Saiba mais sobre como implementar permissões RBAC em organizações com florestas de conta e recursos.
Noções básicas sobre permissão de divisão Saiba mais sobre como dividir o gerenciamento de entidades de segurança e exchange usando permissões de divisão do RBAC e do Active Directory.
Noções básicas sobre coexistência de permissões no Exchange 2007 e no Exchange 2010 Configure permissões para habilitar a administração do Exchange 2013 nas organizações existentes do Exchange 2007 e do Exchange 2010.
Gerenciar grupos de função Configure permissões para administradores do Exchange e usuários especializados usando grupos de funções.
Gerenciar membros do grupo de função Adicione membros a e de grupos de funções. Ao adicionar e remover membros de e para grupos de funções, você configura quem é capaz de administrar recursos do Exchange.
Gerenciar grupos de função vinculado Configure permissões para administradores do Exchange e usuários especializados em implantações do Exchange de várias florestas.
Gerenciar políticas de atribuição de função Configure quais recursos os usuários finais têm acesso em suas caixas de correio usando políticas de atribuição de função.
Alterar a política de atribuição de uma caixa de correio Configure qual política de atribuição de função é aplicada a uma ou mais caixas de correio.
Criar grupos de função vinculado que espelham grupos de função internos Crie novamente os grupos de funções internos como grupos de funções vinculados em implantações do Exchange de várias florestas.
Exibir permissões efetivas Exibir quem tem permissões para administrar recursos do Exchange.
Permissões de recurso Saiba mais sobre as permissões necessárias para gerenciar recursos e serviços do Exchange.
Permissões avançadas Use recursos avançados do RBAC para criar modelos de permissão altamente personalizados para atender às necessidades de qualquer organização.