Nedávno jsem zaregistrovali dotaz, zda je možné definovat rozsah působnosti administrátorských rolí v rámci Exchange Online a jeho role-based access control (RBAC) a zabezpečit tak scénáře globálních Office 365 tenantů, kde je toto třeba často řešit.

Ano, tuto potřeba můžeme vyřešit a tím klíčovým příkazem je New-ManagementScope s parametrem RecipientRestrictionFilter, který zajistí zacílení na uživatele. V případě požadavku níže, musíme být schopni specifikovat filtr tak, aby obsahoval české uživatele a použít Exchange Online PowerShell modul:

New-ManagementScope "CZ Department" -RecipientRestrictionFilter {Department -eq "CZ"}

V případě použití příkazu New-ManagementScope můžeme dostat zprávu, že je potřeba povolit úpravy organizace (Enable-OrganizationCustomization). V tomto případě Office 365 tenant stále sdílí obecné nastavení a vyžadovaný příkaz pouze zkopíruje nastavení do tenantu a zajistí nám následnou možnost úprav.

V rámci jedné organizace nemůžeme vytvářet ManagementScope se stejným filtrem, který již existuje, ale filtr může obsahovat různé typy atributů. Například country, department, title nebo custom.

Pokud jsme zajistili správné zacílení, je načase jeho využití. Pro náš příklad vytvoříme novou roli Recipient Management CZ, které přiřadíme vytvořený ManagementScope a následně členy v podobě českých administrátorů, ať už jednotlivě nebo přes skupiny a máme hotovo 😉.

$RoleGroup = Get-RoleGroup "Recipient Management"

New-RoleGroup -Name "Recipient Management CZ" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "CZ Department"