Exchange Online 中的权限
Microsoft Entra ID 中的全局角色允许你管理所有 Microsoft 365 中的权限和对功能的访问权限,其中还包括Exchange Online。 有关详细信息,请参阅Microsoft Entra权限。
但是,如果需要将权限和功能限制为 Exchange Online 中的功能,则可以在 Exchange 管理中心 (EAC) 和 Exchange Online PowerShell 中分配Exchange Online权限。
若要在 EAC 中管理Exchange Online权限,请转到“角色>管理员角色”或直接转到 位于 https://admin.exchange.microsoft.com/#/adminRoles的“管理员角色”页。
你需要是 Exchange Online 中的组织管理角色组的成员。 具体而言,Exchange Online 中的角色管理角色允许用户查看、创建和修改Exchange Online角色组。 默认情况下,该角色仅分配给 组织管理 角色组。
Exchange Online包括基于角色访问控制 (RBAC) 权限模型的大量预定义权限,你可以使用这些权限立即轻松向管理员和用户授予权限。 可以使用 Exchange Online 中的权限功能快速启动并运行新组织。
提示
在 Exchange Online 中管理权限允许用户访问 EAC 和 powerShell Exchange Online 中的功能。 若要向其他功能(例如Microsoft Purview 合规门户中的合规性功能或Microsoft Defender门户中的安全功能)授予权限,请参阅以下文章:
本文未讨论几个高级 RBAC 功能和概念。 如果本文中所述的功能不能满足你的需求,并且你想要进一步自定义权限模型,请参阅了解基于角色的访问控制。
基于角色的权限
Exchange Online权限基于基于角色的访问控制 (RBAC) 权限模型。 RBAC 是大多数 Microsoft 365 服务和Exchange Server使用的权限模型,因此,如果熟悉这些服务中的权限结构,则应熟悉在 Exchange Online 中授予权限。
角色或管理角色授予执行一组任务的权限。 Exchange Online权限使用以下类型的角色:
- 管理员角色:定义管理员可以执行的任务集。 将管理员角色分配给 角色组,并且管理员或用户是该角色组的成员时,该人员将被授予该角色提供的权限。 本文列出了这些角色并介绍了这些角色。
-
最终用户角色:这些角色使用 角色分配策略进行分配,使用户能够管理其自己的邮箱和他们拥有的通讯组的各个方面。 最终用户角色以前缀
My开头。 有关详细信息,请参阅本文后面的 部分。 - 应用程序角色:以“Application”开头或结尾的这些角色名称是 Exchange Online 中 RBAC for Applications 的一部分。 有关详细信息,请参阅 Exchange Online 中应用程序的基于角色访问控制。
角色通过将Exchange Online cmdlet 提供给用户执行任务的权限。 由于 EAC 和 Exchange Online PowerShell 使用 cmdlet 来管理Exchange Online,因此授予对 cmdlet 的访问权限可授予管理员或用户在任一Exchange Online管理界面中执行任务的权限。
使用角色组可以更轻松地向管理员分配角色。 将一个角色分配给角色组时,会将该角色授予的权限授予该角色组的所有成员。 Exchange Online权限包括用于需要分配的最常见任务和函数的默认角色组。 还可以创建自定义角色组。 建议将单个用户作为 成员 添加到默认角色组或自定义角色组,而不是直接向用户分配角色。 角色组成员可以是 Exchange Online 用户和其他角色组。
将用户添加到Exchange Online角色组可向Exchange Online中的用户授予管理权限,而无需将用户添加到Microsoft Entra角色。 用户只能在 Exchange Online 中接收角色组授予的权限,而无权访问其他 Microsoft 365 功能或工作负荷。
本文的其余部分介绍 Exchange Online 中的管理员角色和角色组。
提示
角色分配策略是一种角色组,用于向用户分配最终用户角色。 有关详细信息,请参阅 Exchange Online 中的角色分配策略。
Exchange Online中的角色组
本部分中的表列出了 Exchange Online 中可用的默认管理员角色组,以及默认情况下分配给角色组的角色。 若要向用户授予在 Exchange Online 中执行任务的权限,请将他们添加到相应的角色组。
如果你在只有少数管理员的小型组织中工作,则可能只需要将这些管理员添加到“组织管理”角色组,并且可能永远不需要使用其他角色组。 如果你在较大的组织中工作,则你可能有管理员执行管理Exchange Online的特定任务,例如收件人配置。 在这些情况下,可以将一名管理员添加到“收件人管理”角色组,将另一名管理员添加到“组织管理”角色组。 然后,这些管理员可以管理其Exchange Online的特定区域,但他们无权管理他们不负责的区域。
如果Exchange Online中的内置角色组与管理员的工作功能不匹配,则可以创建角色组并向其添加角色。 有关详细信息,请参阅在 Exchange Online 中管理角色组。
提示
除非另有说明,否则在独立Exchange Online Protection使用相同的角色组和角色分配。
| 角色组 | 说明 | 分配的默认角色 |
|---|---|---|
| 通信合规性 | 此角色组中的角色分配授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 通信合规性管理员 通信合规性调查员 |
| 通信合规性管理员 | 此角色组中的角色分配授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 通信合规性管理员 |
| 合规性管理员 | 管理设备管理、数据丢失防护、报告和保留的设置。 | 通信合规性管理员 内部风险管理管理员 |
| 合规性管理 | 成员可以根据自己的策略在 Exchange 中配置和管理合规性设置。 | 审核日志 合规性管理员 数据丢失防护 信息权限管理 日记功能 邮件跟踪 保留管理 传输规则 仅供查看审核日志 仅查看配置 仅查看收件人 |
| 发现管理 | 成员可以对Exchange Online组织中的邮箱执行搜索,以查找符合特定条件的数据,还可以在邮箱上配置法定保留。 | 合法保留 邮箱搜索 |
| ExchangeServiceAdmins_唯<一值>¹ | 此角色组中的成员身份跨服务同步,并集中管理。 无法在 Exchange Online 中管理此角色组。 此角色组未分配任何角色。 但是,它是组织管理角色组的成员, (Exchange 服务管理员) 并继承该角色组提供的权限。 可以通过将用户添加到 Microsoft 365 管理中心 中的 Microsoft Entra ID Exchange 管理员角色,将成员添加到此角色组。 |
不适用 |
| 技术支持 | 成员可以查看和管理单个收件人的配置,以及查看 Exchange 组织中的收件人。 此角色组的成员只能管理每个用户可以在自己的邮箱上管理的配置。 | 重置密码 用户选项 仅查看收件人 |
| 安全管理 | 成员可以管理 Exchange 反垃圾邮件功能,授予防病毒产品与 Exchange 集成的权限,以及管理邮件流规则。 | 运输卫生 仅查看配置 仅查看收件人 |
| 信息保护 | 完全控制所有信息保护功能,包括敏感度标签及其策略、DLP、所有分类器类型、活动和内容资源管理器,以及所有相关报表。 | 信息保护管理员 信息保护分析师² 信息保护调查员 信息保护读者 |
| 信息保护管理员 | 此角色组中的角色分配授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 信息保护管理员 |
| 信息保护分析师 | 此角色组中的角色分配授予对 Exchange Online 中的 Search-UnifiedAuditLog cmdlet 的访问权限。 | 信息保护分析师² |
| 信息保护调查员 | 搜索统一审核日志 | 信息保护调查员 |
| 信息保护读者 | 搜索统一的审核日志并查看“邮件流量”和“邮件流量摘要”报告。 | 信息保护读者 |
| 内部风险管理 | 管理内部风险管理的访问控制。 | 内部风险管理管理员 内部风险管理调查 |
| 内部风险管理管理员 | 此角色组中的角色分配授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 内部风险管理管理员 |
| 预览体验计划风险管理调查员 | 此角色组中的角色分配授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 内部风险管理调查 |
| 组织管理 | 成员对整个Exchange Online组织具有管理访问权限,并且可以在Exchange Online中执行几乎任何任务。 重要提示:由于组织管理角色组是一个强大的角色,因此只有执行组织级管理任务、可能影响整个Exchange Online组织的用户才应是此角色组的成员。 |
审核日志 通信合规性管理员 通信合规性调查员 合规性管理员 数据丢失防护 动态通讯组 电子邮件地址策略 联合共享 信息保护管理员 信息保护分析师² 信息保护调查员 信息保护读者 信息权限管理 内部风险管理管理员 内部风险管理调查 日记功能 合法保留 启用了邮件的公用文件夹 邮件收件人创建 邮件收件人 邮件提示 邮件跟踪 迁移 移动邮箱 组织自定义应用程序 组织市场应用程序 组织客户端访问 组织配置 组织传输设置 隐私管理管理员 隐私管理调查 公用文件夹 收件人策略 远程域和接受域 重置密码 保留管理 角色管理 安全管理员 安全组创建和成员身份 安全信息读取者 TenantPlacesManagement 运输卫生 传输规则 用户选项 仅供查看审核日志 仅查看配置 仅查看收件人 |
| 隐私管理 | 此角色组中的角色分配授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 隐私管理管理员 隐私管理调查 |
| 隐私管理管理员 | 此角色组中的角色分配授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 隐私管理管理员 |
| 隐私管理调查员 | 此角色组中的角色分配授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 隐私管理调查 |
| 收件人管理 | 成员具有管理访问权限,可在Exchange Online组织中创建或修改Exchange Online收件人。 | 动态通讯组 邮件收件人创建 邮件收件人 邮件跟踪 迁移 移动邮箱 收件人策略 重置密码 |
| 记录管理 | 成员可以配置合规性功能,例如保留策略标记、邮件分类和邮件流规则 (也称为传输规则) 。 | 审核日志 日记功能 邮件跟踪 保留管理 传输规则 |
| RIM-MailboxAdmins<GUID> | 未使用 | ApplicationImpersonation |
| 安全管理员 | 此角色组中的成员身份跨服务同步,并集中管理。 无法在 Exchange Online 中管理此角色组。 可以通过将用户添加到Microsoft 365 管理中心中的Microsoft Entra安全管理员角色,将成员添加到此角色组。 |
安全管理员 SensitivityLabelAdministrator |
| 安全操作员 | 管理安全警报,并查看安全功能的报告和设置。 Microsoft Entra ID中安全操作员角色的成员会自动获取此角色组的权限。 |
Tenant AllowBlockList 管理器 |
| 安全信息读取者 | 此角色组中的成员身份跨服务同步,并集中管理。 无法在 Exchange Online 中管理此角色组。 可以通过将用户添加到 Microsoft 365 管理中心 中的 Microsoft Entra 安全读取者角色,将成员添加到此角色组。 |
安全信息读取者 |
| TenantAdmins_唯一<值> | 此角色组中的成员身份跨服务同步,并集中管理。 无法在 Exchange Online 中管理此角色组。 此角色组未分配任何角色。 但是,它是组织管理角色组的成员, (作为公司管理员) 并继承该角色组提供的权限。 可以通过将用户添加到Microsoft 365 管理中心中的“Microsoft Entra ID全局管理员”角色,将成员添加到此角色组。 重要提示:Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。 |
不适用 |
| 仅查看组织管理 | 成员可以查看Exchange Online组织中任何对象的属性。 | 仅查看配置 仅查看收件人 |
¹ 此角色组在独立Exchange Online Protection中不可用。
² 默认情况下,不会在独立Exchange Online Protection中为此角色分配任何角色组。
Exchange Online中的角色
本部分中的表列出了可用的管理员角色及其默认分配到的角色组。
默认情况下, 未 分配给组织管理角色组的角色标记为 *
提示
- 以前缀“My”开头的角色名称 (例如 MyContactInformation) 是最终用户角色。 最终用户角色分配给角色分配策略中的用户,这些策略允许用户对其拥有 (的对象进行操作,例如,他们自己的帐户或他们) 创建的通讯组。 有关详细信息,请参阅 Exchange Online 中的角色分配策略。
- 以“Application”开头或结尾的角色名称是 Exchange Online 中 RBAC for Applications 的一部分。 有关详细信息,请参阅 Exchange Online 中应用程序的基于角色访问控制。
- Microsoft Purview 合规性和Microsoft Entra中也提供了许多与合规性相关的角色,它们本身在Exchange Online方面没有提供太多功能。
- 除非另有说明,否则在独立Exchange Online Protection中使用相同的角色和角色组分配。
| Role | 说明 | 默认角色组分配 |
|---|---|---|
| 地址Lists* | 使管理员能够管理组织中的地址列表、全局地址列表和脱机地址列表。 | None |
| 审核日志 | 搜索管理员审核日志并查看结果。 | 合规性管理 组织管理 记录管理 |
| 通信合规性管理员 | 此角色授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 通信合规性 通信合规性管理员 合规性管理员 组织管理 |
| 通信合规性调查员 | 此角色授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 通信合规性 组织管理 |
| 合规性管理员 | 允许用户查看和编辑符合性功能的设置和报告。 | 合规性管理 组织管理 |
| 数据丢失防护 | 此角色与组织中的旧邮件流规则 (传输规则) 相关的数据丢失防护 (DLP) 设置相关。 此角色授予对 Exchange Online 中的报表和邮件流规则管理的访问权限。 | 合规性管理 组织管理 |
| 动态通讯组 | 创建和管理所有通讯组、启用邮件的安全组和成员。 | 组织管理 收件人管理 |
| 电子邮件地址策略 | 使管理员能够管理组织中的电子邮件地址策略。 | 组织管理 |
| 联合共享 | 使管理员能够管理组织中的跨林和跨组织共享。 | 组织管理 |
| 信息保护管理员 | 此角色授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 信息保护 信息保护管理员 组织管理 |
| 信息保护分析师 | 此角色授予对 Exchange Online 中的 Search-UnifiedAuditLog cmdlet 的访问权限。 | 信息保护 信息保护分析师¹ 组织管理 |
| 信息保护调查员 | 搜索统一审核日志。 | 信息保护 信息保护调查员 组织管理 |
| 信息保护读者 | 搜索统一的审核日志并查看“邮件流量”和“邮件流量摘要”报告。 | 信息保护 信息保护读者 组织管理 |
| 信息权限管理 | 管理信息权限管理 (IRM) 组织中的 Exchange 功能。 | 合规性管理 组织管理 |
| 内部风险管理管理员 | 此角色授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 合规性管理员 内部风险管理 内部风险管理管理员 组织管理 |
| 内部风险管理调查 | 此角色授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 内部风险管理 预览体验计划风险管理调查员 组织管理 |
| 日记功能 | 使管理员能够管理组织中的日记配置。 | 合规性管理 组织管理 记录管理 |
| 合法保留 | 使管理员能够配置是否应出于组织中的诉讼目的保留邮箱中的数据。 | 发现管理 组织管理 |
| 启用了邮件的公用文件夹 | 使管理员能够配置单个公用文件夹在组织中是启用邮件还是禁用邮件。 | 组织管理 |
| 邮件收件人创建 | 创建和删除邮件用户和邮件联系人。 | 组织管理 收件人管理 |
| 邮件收件人 | 修改现有邮件用户和邮件联系人。 | 组织管理 收件人管理 |
| 邮件提示 | 使管理员能够管理组织中的邮件提示设置。 | 组织管理 |
| 邮箱导入导出* | 使管理员能够导入和导出邮箱内容。 | None |
| 邮箱搜索* | 使管理员能够搜索组织中的一个或多个邮箱的内容。 | 发现管理 |
| 邮件跟踪 | 使管理员能够跟踪组织中的邮件。 | 合规性管理 组织管理 收件人管理 记录管理 |
| 迁移 | 使管理员能够将邮箱和邮箱内容迁移到或移出组织。 | 组织管理 收件人管理 |
| 移动邮箱 | 使管理员能够移动邮箱。 | 组织管理 收件人管理 |
| O365SupportViewConfig* | 未使用 | None |
| 组织自定义应用程序 | 使用户能够查看和修改其组织自定义应用。 | 组织管理 |
| 组织市场应用程序 | 使用户能够查看和修改其组织市场应用。 | 组织管理 |
| 组织客户端访问 | 使管理员能够管理组织中的客户端访问设置。 | 组织管理 |
| 组织配置 | 使管理员能够管理组织范围的设置。 | 组织管理 |
| 组织传输设置 | 使管理员能够管理混合和组织范围的邮件传输设置。 | 组织管理 |
| 隐私管理管理员 | 此角色授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 组织管理 隐私管理 隐私管理管理员 |
| 隐私管理调查 | 此角色授予对 Exchange Online 中的 Test-TextExtraction cmdlet 的访问权限。 | 组织管理 隐私管理 隐私管理调查员 |
| 公用文件夹 | 使管理员能够管理组织中的公用文件夹。 | 组织管理 |
| 收件人策略 | 使管理员能够管理收件人策略 (身份验证策略、数据加密策略移动设备邮箱策略,以及组织中) Outlook 网页版邮箱策略。 | 组织管理 收件人管理 |
| 远程域和接受域 | 管理远程域、接受的域和连接器。 | 组织管理 |
| 重置密码 | 使管理员能够设置会议室邮箱密码。 | 技术支持 组织管理 收件人管理 |
| 保留管理 | 允许用户管理保留策略。 | 合规性管理 组织管理 记录管理 |
| 角色管理 | 使管理员能够管理组织中的管理角色组、角色分配策略、管理角色、角色条目、分配和范围。 | 组织管理 |
| 安全管理员 | 管理所有安全和保护功能的配置和报告。 | 组织管理 安全管理员 |
| 安全组创建和成员身份 | 创建和管理已启用邮件的安全组。 | 组织管理 |
| 安全信息读取者 | 查看安全和保护功能的配置和报告。 | 组织管理 安全信息读取者 |
| SensitivityLabelAdministrator* | 允许用户编辑敏感度标签属性。 | 安全管理员 |
| Tenant AllowBlockList 管理器* | 允许用户管理租户允许/阻止列表。 | 安全操作员 |
| TenantPlacesManagement | 允许用户管理Microsoft Places的设置。 | 组织管理 |
| 运输卫生 | 管理反恶意软件、反垃圾邮件功能和反欺骗功能。 | 安全管理 组织管理 |
| 传输规则 | 创建和管理邮件流规则 (也称为) 传输规则。 | 合规性管理 组织管理 记录管理 |
| 用户选项 | 使管理员能够查看组织中用户的Outlook 网页版选项。 | 技术支持 组织管理 |
| 仅供查看审核日志 | 搜索管理员审核日志并查看结果。 | 合规性管理 组织管理 |
| 仅查看配置 | 查看组织中的所有组织和邮件流 (非收件人) 设置。 | 合规性管理 安全管理 组织管理 仅查看组织管理 |
| 仅查看收件人 | 查看收件人属性并运行邮件跟踪。 | 合规性管理 技术支持 安全管理 组织管理 仅查看组织管理 |
¹ 默认情况下,此角色不会分配给独立Exchange Online Protection中的任何角色组。
Exchange Online 中的 Microsoft 365 权限
在Microsoft 365 管理中心中创建用户时,可以选择是向用户分配各种Microsoft Entra角色 (,例如 Exchange 管理员或全局读者) 。 大多数Microsoft Entra角色在 Exchange Online 中向用户授予管理权限。
注意
用于创建Exchange Online组织的帐户会自动分配到全局管理员角色。
下表列出了Microsoft Entra角色及其所对应的Exchange Online角色组。 有关这些角色的详细信息,请参阅Microsoft Entra权限。
| Microsoft Entra角色 | Exchange Online 角色组 |
|---|---|
| 全局管理员 | 组织管理 注意:全局管理员角色和组织管理角色组使用特殊的公司管理员角色组绑定在一起。 公司管理员角色组在内部管理,无法直接修改。 |
| Exchange 管理员 | 组织管理 |
| 全局读取者 | 仅查看组织管理 |
| 帮助台管理员 | 技术支持 |
| 服务支持管理员 | None |
| SharePoint 管理员 | None |
| Teams 管理员 | None |
| Exchange 收件人管理员 | 收件人管理 |
| 用户体验成功管理器 | None |
通过将用户添加为Exchange Online角色组的成员,可以在 Exchange Online 中向用户授予管理权限,而无需将其添加到Microsoft Entra角色。 用户获取Exchange Online的权限,但不会在其他Microsoft 365 工作负载中获取权限。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。