管理 Exchange Online 中的角色群組

角色群組是 USG () 在 Exchange Online 中基於角色存取控制 (RBAC) 權限模型中的一種特殊通用安全群組。 角色群組的成員會被分配相同的角色集合，你可以透過新增或移除使用者來新增或移除他們的權限。 欲了解更多關於 Exchange Online 角色群組的資訊，請參閱 Exchange Online 中的權限。

你可以在 Exchange 管理中心 (EAC) 以及 PowerShell Exchange Online管理角色群組。

開始之前有哪些須知？

• EAC 可於 https://admin.exchange.microsoft.com。 欲了解更多關於EAC的資訊，請參閱以下文章：

  • Exchange Online 中的 Exchange 管理中心
  • Exchange管理中心，內建安全外掛，適用於本地郵箱。

• 要開啟 Exchange Online PowerShell，請參閱「連接至 Exchange Online PowerShell」。

• 您必須已獲派權限，才能進行本文中的程序。 特別是：

  • Exchange Online 權限：你需要角色管理角色，該角色預設會分配給組織管理角色群組。

• 關於可能適用於本文程序的鍵盤快捷鍵資訊，請參閱 Exchange Online 中 Exchange 管理中心的鍵盤快捷鍵。

使用 EAC 來管理角色群組

在 EAC 中https://admin.exchange.microsoft.com，請前往 Permissions>管理員角色。 或者，若要直接前往管理員角色頁面，請使用 https://admin.exchange.microsoft.com/#/adminRoles。

使用 EAC 查看角色群組及角色群組詳細資訊

在 EAC 的 https://admin.exchange.microsoft.com/#/adminRoles管理員 角色頁面上，顯示所有內建及客戶角色群組的以下資訊：

• 角色群組：角色群組的名稱。
• 描述

要排序角色群組清單，請在欄位標頭選擇。

要將條目列表從正常間距改為緊湊間距，請選擇 「變更視圖」，然後選擇 「壓縮清單」。

使用 搜尋 框及相應值來尋找特定的職務群組。

要查看角色群組的詳細資訊，請點擊名稱從列表中選擇該群組。 開啟的詳細說明視窗包含以下分頁：

• 一般 標籤：此標籤包含以下職務資訊：

  • 名稱
  • 說明：選擇編輯基本內容以更改名稱。
  • 管理人
  • 寫入範圍

• 指派 分頁：此分頁顯示該角色成員的使用者。 這個分頁擁有與主要角色群組檢視相同的 變更檢視 和 搜尋 功能。

  若要修改群組成員資格，請參閱該章節。

使用 EAC 建立角色群組

1. 在 EAC 的https://admin.exchange.microsoft.com/#/adminRoles管理員角色頁面，請執行以下步驟之一：

   • 建立新角色群組：確認沒有選擇角色群組，然後選擇 新增角色群組。
   • 複製現有的角色群組：透過在角色群組名稱欄旁空白區域中出現的輪選框，選擇你想複製的角色群組，然後選擇出現的複製角色群組動作**。

   這其中任一步驟都會啟動角色建立精靈，如後續步驟所述。

2. 在 基礎 頁面，請設定以下設定：

   • 姓名：輸入角色群組的唯一名稱。
   • 說明：輸入角色群組的可選描述。
   • 寫入作用域：保留預設值 Default，或選擇你之前在 PowerShell 中建立的寫入範圍物件。

   如果你複製角色群組，預設的名稱值是角色群組名稱>的複製<，現有的描述值會被複製，但你可以更改這些值。

   完成 基礎 頁面後，選擇 「下一頁」。

3. 在 權限 頁面，選擇要指派到角色群組的角色，並點選 角色欄位旁 的勾選框。

   要排序角色，請選擇欄位標題：

   • 角色
   • 描述
   • 預設接收範圍
   • 預設配置範圍

   要將條目列表從正常間距改為緊湊間距，請選擇 「變更視圖」，然後選擇 「壓縮清單」。

   使用 搜尋 框及相應值來尋找特定的角色群組。

   如果你複製角色群組，原本角色群組的權限已經被選取，但你可以更改它們。

   完成 權限 頁面後，選擇 「下一步」。

4. 在 管理員 頁面，選擇要加入角色群組的使用者。

   點擊方框查看所有符合資格的帳號和角色群組，或開始輸入名稱或顯示名稱來篩選結果。

   如果你複製角色群組，原本角色群組的成員已經被選取，但你可以更改。

   要移除群組中的使用者，請在條目中選擇 「移除 」。

   當你在管理員頁面完成後，選擇「下一頁」

5. 在 「檢視與完成 」頁面，請驗證你的選擇。

   使用每個區塊的 編輯 連結來更改數值，或使用 返回 按鈕。

   當你完成 檢視與完成 頁面後，選擇 新增角色群組 或 複製角色群組 來建立該角色群組。

使用 EAC 來修改角色群組

1. 在 EAC https://admin.exchange.microsoft.com/#/adminRoles的管理員角色頁面，點擊角色群組名稱，選擇角色群組。

2. 在開啟的詳細跳出視窗中，設定以下一項或多項：

   • 一般 標籤：選擇「 編輯基本」 以更改跳出視窗中群組名稱或描述，然後選擇 「儲存」。

   • 指派 標籤：更改角色群組成員：

     • 新增成員：選擇 新增。 在開啟的 新增管理員 跳板中，點擊該框查看所有符合資格的帳號和角色群組，或開始輸入名稱或顯示名稱來篩選結果。 點擊方塊下方的條目，然後選擇 新增。

     • 移除成員：在列表中勾選一個或多個現有成員旁的勾選框，然後選擇出現的刪除操作，接著在確認對話框中選擇「是，移除」。

   • 權限 標籤：選擇要指派到角色群組的角色，請在 角色欄位旁 勾選方塊。

     要排序角色，請選擇欄位標題：

     • 角色
     • 預設接收範圍
     • 預設配置範圍

     要將條目列表從正常間距改為緊湊間距，請選擇 「變更視圖」，然後選擇 「壓縮清單」。

     使用 搜尋 框及相應值來尋找特定的角色群組。

     完成分頁後，選擇 「儲存」。

   提示

   使用者可能必須先登出再登入，才能在您於角色群組中新增或移除成員後，看到其系統管理權限的變更。

使用 EAC 來移除角色群組

你無法移除內建的角色群組，但可以移除自訂的角色群組。

1. 在 EAC https://admin.exchange.microsoft.com/#/adminRoles的管理員角色頁面，選擇你想移除的角色群組，方法是選擇角色群組名稱欄旁空白區域的輪選框，然後選擇出現的刪除動作。

2. 在打開的確認跳板中，選擇 確認。

使用 Exchange Online PowerShell 來管理角色群組

若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。

使用 Exchange Online PowerShell 來查看角色群組

若要檢視角色群組，請使用下列語法：

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

此範例回傳了所有角色群組的摘要清單。

Get-RoleGroup

此範例回傳名為 Recipient Administrators 的角色群組詳細資訊。

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

此範例回傳所有 Julia 為成員的角色群組。 你需要使用 Julia 的 DistinguishedName (DN) 值，可以透過執行指令 Get-User -Identity Julia | Format-List DistinguishedName找到。

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

如需詳細語法與參數資訊，請參見 Get-RoleGroup。

使用 Exchange Online PowerShell 建立角色群組

要建立新的角色群組，請使用以下語法：

New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"

• 角色參數透過以下語法"Role1","Role1",..."RoleN"指定要指派給角色群組的管理角色。 您可以使用 Get-ManagementRole Cmdlet 來查看可用的角色。
• Members 參數透過以下語法指定角色群組的成員： "Member1","Member2",..."MemberN"。 您可以指定使用者、郵件萬用資訊安全群組 (USG) 或其他角色群組 (安全性主體)。
• ManagedBy 參數指定了代理人，他們可以透過以下語法"Delegate1","Delegate2",..."DelegateN"修改和移除角色群組： 。 EAC 中無法使用此設定。
• CustomRecipientWriteScope 參數指定現有的自訂接收者寫入範圍，以套用到角色群組。 您可以使用 Get-ManagementScope Cmdlet 來查看可用的自訂收件者寫入範圍。

此範例建立了一個名為「有限接收者管理」的新角色群組，並具備以下設定：

• 郵件收件人與郵件啟用公共資料夾角色被分配到角色群組。
• 用戶 Kim 和 Martin 被加入為會員。 由於未指定自訂收件人寫作範圍，Kim 和 Martin 可以管理組織內任何收件人。

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"

此範例使用自訂收件人寫入範圍，意即 Kim 和 Martin 只能管理包含在西雅圖收件人範圍中的收件人， (其 城市 財產設定為西雅圖) 值的收件人。

New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"

如需詳細語法與參數資訊，請 參考 New-RoleGroup。

使用 Exchange Online PowerShell 複製角色群組

1. 使用下列語法將您要複製的角色群組儲存到變數中：

   $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
   

2. 請使用以下語法建立新的角色群組：

   New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
   

   • Members 參數透過以下語法指定角色群組的成員： "Member1","Member2",..."MemberN"。 您可以指定使用者、郵件萬用資訊安全群組 (USG) 或其他角色群組 (安全性主體)。
   • ManagedBy 參數指定了代理人，他們可以透過以下語法"Delegate1","Delegate2",..."DelegateN"修改和移除角色群組： 。 EAC 中無法使用此設定。
   • CustomRecipientWriteScope 參數指定現有的自訂接收者寫入範圍，以套用到角色群組。 您可以使用 Get-ManagementScope Cmdlet 來查看可用的自訂收件者寫入範圍。

   此範例將組織管理角色群組複製至新角色群組「有限組織管理」。角色組成員為 Isabelle、Carter 和 Lukas，角色組代表為 Jenny 和 Katie。

   $RoleGroup = Get-RoleGroup "Organization Management"
   
   New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"
   

   此範例將組織管理角色群組複製到新的角色群組 Vancouver Organization Management，並以 Vancouver Users Recipient 自訂 Recipient 寫入範圍。

   $RoleGroup = Get-RoleGroup "Organization Management"
   
   New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"
   

如需詳細語法與參數資訊，請 參考 New-RoleGroup。

使用 Exchange Online PowerShell 修改角色群組中成員的清單

• Add-RoleGroupMember 與 Remove-RoleGroupMember 指令小說可依序新增或移除個別成員。 Update-RoleGroupMember 指令小子可以替換或修改現有的成員清單。
• 角色群組的成員可以是使用者、USGs) (郵件啟用的通用安全群組，或是其他 (安全主體) 的角色群組。

要修改角色群組的成員，請使用以下語法：

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>

• 若要將現有的成員清單 替換 為您指定的值，請使用以下語法： "Member1","Member2",..."MemberN"。
• 要 選擇性修改 現有成員清單，請使用以下語法： @{Add="Member1","Member2"...; Remove="Member3","Member4"...}。

此範例將服務台角色群組中所有現有成員替換為指定的使用者。

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

此範例新增了赤井大五郎，並將瓦萊莉亞·巴里奧從客服桌角色群組的成員名單中移除。

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

如需詳細語法與參數資訊，請參閱 Update-RoleGroupMember。

使用 PowerShell Exchange Online將角色加入自訂角色群組 (建立角色指派)

要在 Exchange Online PowerShell 中將角色加入自訂角色群組，您可以使用以下語法建立管理角色指派：

New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]

• 如果你沒指定角色指派名稱，角色分配名稱會自動建立。
• 如果你不使用 RecipientRelativeWriteScope 參數，角色的隱含讀取範圍和隱含寫入範圍會套用到角色指派上。
• 如果預先定義的範圍符合你的業務需求，你可以使用 RecipientRelativeWriteScope 參數將該範圍套用到角色指派上。
• 若要套用自訂的接收者寫入範圍，請使用 CustomRecipientWriteScope 參數。

本範例將「傳輸規則」管理角色指派給「西雅圖規範」角色群組。

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

本範例將「郵件追蹤」角色指派給「企業支援」角色群組，並套用「組織」預先定義的範圍。

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

本範例將「郵件追蹤」角色指派給「西雅圖收件者管理員」角色群組，並套用「西雅圖收件者」範圍。

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

如需詳細的語法和參數資訊，請參閱 New-ManagementRoleAssignment。

使用 PowerShell Exchange Online移除自訂角色群組中的角色 (移除角色指派)

要在 Exchange Online PowerShell 中移除自訂角色群組中的角色，請使用以下語法移除管理角色指派：

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment

• 要移除賦予使用者權限的常規角色指派，請使用委派參數的值$false。
• 若要移除允許將角色指派給他人的委派角色，請使用委派參數的值$true。

此範例移除了西雅圖收件人管理員角色群組中的分發群組角色。

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

如需詳細的語法和參數資訊，請參閱 Remove-ManagementRoleAssignment。

使用 Exchange Online PowerShell 修改自訂角色群組中角色指派的範圍

角色群組中角色指派的寫入範圍定義了角色群組成員可操作的物件 (例如所有使用者，或僅是其 City 屬性值為 Vancouver) 的使用者。 你可以修改指派給自訂角色群組的角色寫入範圍為：

• 這是角色本身所隱含的範圍。 這表示你在建立角色群組時沒有指定任何自訂範圍，或者你將現有角色群組中所有角色指派的值設為 $null。
• 所有角色分配都有相同的自訂範圍。
• 每個角色分配都有不同的自訂範圍。

要同時設定角色群組中所有角色指派的範圍，請使用以下語法：

Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]

此範例將銷售接收者管理角色群組中所有角色分配的接收者範圍改為直銷員工。

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

要在角色群組與管理角色間變更個別角色指派的範圍，請執行以下步驟：

1. 將角色群組名稱>替換<為角色群組名稱，並執行以下指令以查找該角色群組中所有角色分配的名稱：

   Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
   

2. 找出你想更改的角色名稱。 下一步使用角色分配名稱。

3. 要設定個別角色指派的範圍，請使用以下語法：

   Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
   

   此範例將名為「郵件Recipients_Sales收件人管理」的角色分配的收件人範圍改為「所有銷售員工」。

   Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
   

   如需詳細的語法及參數資訊，請參閱 Set-ManagementRoleAssignment。

使用 Exchange Online PowerShell 修改角色群組中代表的列表

角色群組代表會定義誰有權修改和刪除角色群組。 你無法在 EAC 中管理角色群組代表。

要修改角色群組中的代理列表，請使用以下語法：

Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>

• 若要將現有的代理清單 替換 為你指定的值，請使用以下語法： "Delegate1","Delegate2",..."DelegateN"。

• 要 有選擇性地修改 現有的代理清單，請使用以下語法： @{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}。

此範例將客服台角色群組中所有現有代表替換為指定的使用者。

Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

此範例新增了赤井大五郎，並將瓦萊莉亞·巴里奧從客服台角色群組的代表名單中移除。

Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

如需詳細的語法及參數資訊，請參閱 Set-RoleGroup。

使用 Exchange Online PowerShell 移除自訂角色群組

你無法移除內建的角色群組，但可以移除自訂的角色群組。

要移除自訂角色群組，請使用以下語法：

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

本範例移除「訓練系統管理員」角色群組。

Remove-RoleGroup -Identity "Training Administrators"

如需詳細的語法及參數資訊，請參閱 Remove-RoleGroup。

如何知道這些程序是否正常運作？

要確認你成功建立、修改或移除角色群組，請執行以下任一步驟：

• 在 EAC 中，前往 管理員 角色頁面https://admin.exchange.microsoft.com/#/adminRoles，確認該角色群組是否列 () 。 點擊名稱，並在開啟的詳細說明視窗中確認設定，選擇角色群組。

• 在 Exchange Online PowerShell 中，將角色群組名稱>替換<成角色群組名稱，並執行以下指令確認角色群組 (存在或不存在，) 並確認設定：

  Get-RoleGroup -Identity "<Role Group Name>" | Format-List