Informacje o kontroli dostępu wykorzystującej role

Aby poprawnie zaimplementować program Cloud Extender ® na potrzeby integracji z produktem Exchange, konto usługi Cloud Extender musi mieć uprawnienia administratora organizacji (2007), zarządzania organizacją (2010, 2013, 2016) i administratora globalnego (Office 365) (role najwyższego poziomu dostępne dla domeny Exchange).

Role Organization Administrator, Organization Management i Global Administrator mogą zawierać dodatkowe prawa dostępu, które nie są wymagane przez program Cloud Extender. Można ograniczyć dostęp programu Cloud Extender do tych dodatkowych praw. Firma Microsoft udostępnia funkcję kontroli dostępu opartej na rolach (RBAC), aby rozwiązać ten problem.

W produkcie Exchange 2010 i nowszych należy użyć kontroli RBAC do utworzenia niestandardowej grupy ról w usłudze Active Directory , która jest ograniczona do wymagań usługi Cloud Extender . Tę rolę można przypisać do konta usługi Cloud Extender zamiast korzystania z praw administratora organizacji w celu umożliwienia poprawnego działania programu Cloud Extender . Kontrola dostępu wykorzystująca role ma zastosowanie do programu Exchange 2010 i nowszych jego wersji.

Wymagania

Użytkownik może utworzyć niestandardową grupę ról w produkcie Exchange 2010, 2013, 2016 lub Office 365. Aby utworzyć niestandardową grupę ról, wykonaj następujące kroki:
  1. Określ prawa, które są niezbędne dla roli.
    Program Cloud Extender używa następujących komend PowerShell do komunikacji z serwerem Exchange:
    Tabela 1. Komendy PowerShell używane przez program Cloud Extender
    Komenda powłoki PowerShell Opis
    Get-PSSnapin Określa dostępne przystawki PowerShell dla protokołu Exchange ActiveSync.
    Add-PSSnapin Dodaje dostępną przystawkę protokołu Exchange ActiveSync.
    Get-CASMailbox Zbiera listę skrzynek pocztowych i wyświetla ich atrybuty.
    Set-CASMailbox Zmienia ustawienia skrzynek pocztowych użytkowników.
    Get-ActiveSyncDeviceStatistics Zbiera listę urządzeń i wyświetla ich atrybuty.
    Get-MobileDeviceStatistics Wersja komendy Get-ActiveSyncDeviceStatistics dla produktów Exchange 2013 i Office 365 Wave 15.
    Get-ActiveSyncMailboxPolicy Zbiera listę zasad i wyświetla ich atrybuty.
    Get-MobileDeviceMailboxPolicy Wersja komendy Get-ActiveSyncMailboxPolicy dla produktów Exchange 2013 i Office Wave 15.
    New-ActivesyncMailboxPolicy Tworzy zasadę skrzynki pocztowej.
    New-MobileDeviceMailboxPolicy Wersja komendy New-ActiveSyncMailboxPolicy dla produktów Exchange 2013 i Office 365 Wave 15.
    Remove-ActiveSyncMailboxPolicy Usuwa zasadę skrzynki pocztowej.
    Remove-MobileDeviceMailboxPolicy Wersja komendy Remove-ActiveSyncMailboxPolicy dla produktów Exchange 2013 i Office 365 Wave 15.
    Set-ActiveSyncMailboxPolicy Wiąże zasady ze skrzynką pocztową użytkownika.
    Set-MobileDeviceMailboxPolicy Wersja komendy Set-ActiveSyncMailboxPolicy dla produktów Exchange 2013 i Office 365 Wave 15.
    Clear-ActiveSyncDevice Czyści urządzenie lub anuluje żądanie czyszczenia.
    Clear-MobileDevice Wersja komendy Clear-ActiveSyncDevice dla produktów Exchange 2013 i Office 365 Wave 15.
    Remove-ActiveSyncDevice Usuwa powiązanie urządzenia ze skrzynką pocztową.
    Remove-MobileDevice Wersja komendy Remove-MobileDevice dla produktów Exchange 2013 i Office 365 Wave 15.
    Get-ActiveSyncOrganizationSettings Exchange 2010, 2013, Office 365: określa stan automatycznej kwarantanny.
    Set-ActiveSyncOrganizationSettings Exchange 2010, 2013, Office 365: ustawia nowy domyślny poziom dostępu automatycznej kwarantanny.
    Get-ExchangeServer Pobiera listę serwerów Exchange, a ponadto zgłasza rolę i wersję każdego serwera.
    Get-Recipient Określa liczbę skrzynek pocztowych.
  2. Zidentyfikuj wstępnie zdefiniowane role na serwerze Exchange, które mają dostęp do komend powłoki PowerShell używanych przez program Cloud Extender.

    Aby utworzyć nową rolę na serwerze Exchange, należy uzyskać nową rolę na podstawie jednej lub wielu ról istniejących na serwerze Exchange. Ponieważ każda predefiniowana rola zawiera inny zestaw praw dostępu, należy utworzyć wiele ról niestandardowych, aby objąć pełną listę komend powłoki PowerShell wymaganych przez program Cloud Extender.

  3. Należy utworzyć role niestandardowe na serwerze Exchange, które dziedziczą ze wskazanych istniejących ról.

    Każda rola pochodzi z konkretnej istniejącej roli.

  4. Z nowych ról niestandardowych należy usunąć zbędne komendy powłoki PowerShell.

    Administrator może ograniczyć dostęp do komend PowerShell , które nie są wymagane przez program Cloud Extender.

  5. Należy utworzyć grupę ról, która łączy wszystkie nowe role niestandardowe.

    Przypisz tę ostatnią grupę ról do konta usługi Cloud Extender .

Role podstawowe

Użyj jednej z następujących pięciu ról podstawowych jako szablonu do utworzenia ról niestandardowych:
  • Organization Client Access
  • Mail-Recipients
  • View-Only Configuration
  • Recipient Policies
  • User Options

W połączeniu te pięć grup ról zapewnia dostęp do wszystkich komend powłoki PowerShell wymaganych do działania programu Cloud Extender . Jednak najlepszym rozwiązaniem jest utworzenie nowej roli niestandardowej, która obejmuje wszystkie prawa dostępu do komend PowerShell używanych przez program Cloud Extender. Więcej informacji na ten temat zawiera sekcja Tworzenie ról niestandardowych w produkcie Office 365 .