Office 365. Администрирование Exchange Online – роли и аудит. Часть 2

Office 365. Администрирование Exchange Online – роли и аудит.

Итак, приступим к дальнейшему рассмотрению возможностей администрирования Exchange Online – в секции роли и аудит.

Рисунок 13. Значения ролей пользователей по умолчанию Часть 2.

Выберете роли пользователей, которые подходят под ваши цели и нажмите на кнопку «Сохранить», для создания новой политики назначения пользователей. Кнопка «Отмена», уничтожает попытку создать новую политику назначения ролей пользователя.

Первая операция в рабочей области «Роли пользователей» успешно выполнена.

Выпущен момент, что область управления порталом администрирования сервиса Exchange Online может быть различная:

1. Самостоятельно – все установки будут действовать на пользователя, который вошел на портал

2. Моя организация – область управления по умолчанию.

3. Другой пользователь – предоставляется возможность выбрать в области управления другого пользователя (рисунок 14).

Рисунок 14. Выбор области управления порталом администрирования сервиса Exchange Online.

Итак, после создания новой политики назначения ролей пользователя, следующая операция доступная в рабочей области «Роли пользователей» — «Посмотреть подробности о политике назначения ролей». Для этого в списке политик выберете нужную, и нажмите на кнопку «Подробности». В открывшемся окне редактирования политики назначения ролей, выберете нужные роли (рисунок 15, 16).

Рисунок 15. Значения ролей пользователей выбранной политики назначения Часть 1.

Рисунок 16. Значения ролей пользователей выбранной политики назначения Часть 2.

Для того чтобы выбрать роли правильно, нужно понимать что они значат, для это приводится краткая справочная информация о встроенных ролях:

Контактная информация:

1. MyContactInformation — эта роль позволяет отдельным пользователям изменять свои контактные сведения, включая адреса и номера телефонов.

2. MyAddressInformation — Эта роль позволяет отдельным пользователям просматривать и изменять свой адрес, а также рабочий телефон и факс. Это настраиваемая роль, созданная из родительской роли "MyContactInformation".

3. MyMobileInformation — Эта роль позволяет отдельным пользователям просматривать и изменять свой телефон и пейджер. Это настраиваемая роль, созданная из родительской роли "MyContactInformation".

4. MyPersonalInformation — Эта роль позволяет отдельным пользователям просматривать и изменять адрес своего веб-сайта и домашний телефонный номер. Это настраиваемая роль, созданная из родительской роли "MyContactInformation".

Сведения о профиле:

5. MyProfileInformation — Эта роль позволяет пользователям изменять свое имя.

6. MyDisplayName — Эта роль позволяет отдельным пользователям просматривать и изменять свое отображаемое имя. Это настраиваемая роль, созданная из родительской роли "MyProfileInformation".

7. MyName — Эта роль позволяет отдельным пользователям просматривать и изменять свое полное имя и поле примечаний. Это настраиваемая роль, созданная из родительской роли "MyProfileInformation".

Группы рассылки:

8. MyDistributionGroups — Эта роль позволяет отдельным пользователям создавать, изменять и просматривать группы рассылки, а также изменять, просматривать, удалять и добавлять членов групп рассылки, владельцами которых они являются.

Членство в группах рассылки:

9. MyDistributionGroupMembership — Эта роль позволяет пользователям организации просматривать и изменять параметры членства в группах рассылки при условии того, что в группах разрешено изменять эти параметры.

Другие роли:

10. MyBaseOptions — Эта роль позволяет пользователям просматривать и изменять базовую конфигурацию своего почтового ящика и связанные с ней параметры.

11. MyMailSubscriptions — Эта роль позволяет пользователям просматривать и изменять параметры подписки на рассылки электронной почты, такие как формат сообщений и протоколы по умолчанию.

12. MyRetentionPolicies — Эта роль позволяет отдельным пользователям просматривать свои теги сохранения, а также просматривать и изменять параметры и заданные по умолчанию значения своих тегов сохранения.

13. MyTextMessaging — Эта роль позволяет пользователям создавать, просматривать и изменять собственные параметры форматирования текстовых сообщений.

14. MyVoiceMail — Эта роль позволяет пользователям просматривать и изменять параметры голосовой почты. Дополнительные сведения – отсутствуют.

Итак, Выберете роли пользователей, которые подходят под ваши цели и нажмите на кнопку «Сохранить», для создания новой политики назначения пользователей. Кнопка «Отмена», оставляет политику назначения ролей пользователя без изменений. Операция успешно завершена.

Перейдите к третьей операции доступной в разделе «Роли и аудит», а именно, удаление политики назначения ролей, для выполнения данной операции, нажмите кнопку «Удалить» (рисунок 10).

Рисунок 17. Удаление выбранной политики назначения ролей.

Выдается предупреждение, при удалении – «Изменение этой политики могут повлиять на многих пользователей. Внести это изменение?». Перед нажатием кнопки «Да», нужно еще раз подумать о корректности совершаемой операции. В случае, если есть сомнения, в как правило если сомнения есть, значит сомнений нет, нажмите кнопку «Нет», чтобы оставить все как было. Если полностью уверены в необходимости удаления выбранной политики назначения ролей – нажмите кнопку «Да». Операция успешно завершена.

Осталась последняя операция, доступная в рабочей области «Роли пользователей» — «Обновить список доступных политик назначения ролей». Выполнить операцию можно традиционным способом, нажав на кнопку F5, или можно нажать на крайнюю правую кнопку.

Остается еще одна рабочая область – а именно «Аудит» (рисунок 18).

Рисунок 18. Рабочая область «Аудит».

В данной рабочей области доступны отчеты, используя которые, можно найти изменения в почтовых ящиках пользователя и параметрах конфигурации. Также, можно искать типы изменений по определениям, делать экспорт во внешний файл, отправлять его себе или другим пользователям по электронной почте.

Следующие отчеты представлены в рабочей области «Аудит»:

1. Отчет о доступе к чужим почтовым ящикам – очень полезный отчет, ищется информация в журналах аудита тех почтовых ящиков, которые изменялись и открывались не от имени владельца.

2. Отчет судебного удержания — осуществляется поиск в журнале административного аудита пользователей, в почтовых ящиках которых включено или отключено судебное удержание.

3. Отчет о группе ролей администрирования – осуществляется поиск в журнале административного аудита изменений, внесенных в группы ролей, которые используются для назначения пользователям административных разрешений.

Также есть два варианта экспортируемой информации:

1. Экспорт журналов аудита почтовых ящиков – предназначен для экспорта и поиска сведений о доступе к почтовому ящику лицу, не являющихся его владельцами, в течение указанного периода времени.

2. Экспорт журнала административного аудита — Поиск и экспорт сведений об изменениях конфигурации, выполненных в организации.

Первый отчет — Отчет о доступе к чужим почтовым ящикам. Нажмите на соответствующую ссылку в рабочей области «Аудит» (рисунок 19).

Рисунок 19. Отчет о доступе к чужим почтовым ящикам.

Для составления отчета о доступе к чужим почтовым ящикам необходимо указать диапазон поиска по датам, почтовым ящикам. Далее выбирается поиск доступа любыми, не являющимся владельцами ящика пользователями, внутри и вне организации (рисунок 20). Почтовых ящиков можно выбрать несколько, кнопка «Добавить», в случае если почтовый ящик был выбран ошибочно, можно по ссылке «Удалить», отменить выбор. Можно также набрав имя почтового ящика вручную осуществить проверку на существование ящика, нажав на кнопку «Проверить имена». Подтвердить выбор почтовых ящиков, можно кнопкой «Ок», отказаться от выбора почтовых ящиков можно по кнопке «Отмена».

Рисунок 20. Категории поиска по сторонним пользователям.

При осуществлении поиска записей о доступе со стороны есть следующие варианты выбора:

1. Все пользователи, не являющиеся владельцами.

2. Внешние пользователи.

3. Администраторы и пользователи-делегаты.

4. Администраторы.

Нажмите кнопку «Поиск» и посмотрите полученные результаты. Кнопкой «Очистить» можно сбросить выбранные критерии поиска. Нажмите кнопку «Закрыть» для выхода с отчета.

По служебному удержанию нужно остановится подробней. При включении режима судебного (юридического) удержания для почтового ящика пользователь по-прежнему может удалять элементы в своем почтовом ящике, но они будут сохраняться на серверах центра обработки данных Microsoft Exchange. Судебное удержание позволяет сохранить сообщения электронной почты, элементы календаря, задачи и другие элементы почтовых ящиков. Если пользователь меняет отдельные свойства элементов в почтовом ящике, находящемся на судебном удержании, сохраняется копия элемента до его изменения.

Если организация участвует в судебном расследовании, может потребоваться предпринять определенные меры, чтобы сохранить такие данные, как сообщения электронной почты, на случай использования в качестве доказательства. В подобных ситуациях, может потребоваться сохранять все сообщения, отправляемые и получаемые определенными пользователями, или всю электронную почту, отправленную и полученную в организации за определенный период времени. Судебное удержание почтовых ящиков — первый шаг на пути к выполнению подобных требований.

Если судебное удержание снимается с почтового ящика, Microsoft Exchange перестает хранить удаленные элементы и копии элементов с измененными свойствами. Элементы, хранившиеся из-за судебного удержания, не удаляются из папки элементов для восстановления сразу же; вместо этого они будут удалены, когда Microsoft Exchange проверит папку на наличие элементов старее 14 дней. Конечно же, лучше в такие ситуации не попадать. Но в случае изменения законодательства, и введения понятия судебного удержания, данная информация будет очень актуальна.

Следующий отчет — отчет судебного удержания. Нажмите на соответствующую ссылку в рабочей области «Аудит» (рисунок 21).

Рисунок 21. Отчет о судебном удержании.

Для составления отчета о доступе по судебным удержаниям необходимо указать диапазон поиска по датам, и по почтовым ящикам. Далее по кнопке в «Выбрать пользователей» осуществляется одноименное действие (рисунок 21).

Нажмите кнопку «Поиск» и посмотрите полученные результаты. Кнопкой «Очистить» можно сбросить выбранные критерии поиска. Нажмите кнопку «Закрыть» для выхода с отчета.

Давайте вспомним, что такое судебное удержание. По закон многих стран (пока в России такого нет), суд может потребовать переписку пользователя, являющегося работником организации на n-ное количество лет (максимальное число n-зависит от страны). Поэтому нужно обязательно хранить все сообщения. Поэтому и вводится понятие судебного удержания. После введения технической возможности, пользователя предупреждают, что его ящик находится на судебном удержании. Все письма будут сохранены. Даже если пользователь удалит почтовое сообщение, оно уйдет из его области видимости, но не удалится с сервера до тех пор, пока судебное удержание включено. Устанавливается функция судебного удержания на уровне ящика пользователя (рисунок 22).

Рисунок 22. Установка функции судебного удержания на пользователе Test04.

Если организация участвует в судебном расследовании, может потребоваться предпринять определенные меры, чтобы сохранить такие данные, как сообщения электронной почты, на случай использования в качестве доказательства. В подобных ситуациях, может потребоваться сохранять все сообщения, отправляемые и получаемые определенными пользователями, или всю электронную почту, отправленную и полученную в организации за определенный период времени. Судебное удержание почтовых ящиков — первый шаг на пути к выполнению подобных требований.

Продолжение данной статьи выйдет в ближайшее время.

Полезные ссылки:

1. Ограничения, накладываемые лицензированием на Office 365 http://onlinehelp.microsoft.com/ru-ru/office365-enterprises/a31b2eb2-4883-4fad-8f7d-4f0507156283

2. Создание нового внешнего контакта http://help.outlook.com/ru-ru/140/ms.exch.ecp.newcontact.aspx

3. Настройка синхронизации Active Directory и управление ею https://portal.microsoftonline.com/DirSync/DirectorySynchronization.aspx

4. Портал Офис 365 https://portal.microsoftonline.com/

5. Управление организацией — бета-версия BPOS Standard http://help.outlook.com/ru-ru/140/ff657678.aspx

6. Office 365 for midsize businesses and enterprises http://www.microsoft.com/en-us/office365/enterprise-solutions/enterprise-plans.aspx#fbid=g_sY900-UYl

7. Ограничения для сообщений, почтовых ящиков и получателей http://help.outlook.com/ru-ru/140/dd630704.aspx

8. Ограничения суточного потока получателей и общего объема почты http://help.outlook.com/ru-ru/140/ff381292.aspx

9. Отправка широковещательных сообщений всем пользователям http://help.outlook.com/ru-ru/140/dd439355.aspx

10. Создание политики назначения ролей http://help.outlook.com/ru-RU/140/ms.exch.ecp.NewRoleAssignmentPolicy.aspx

11. Запуск отчета об обращениях к почтовым ящика от пользователей, не являющихся их владельцами http://help.outlook.com/ru-RU/140/ms.exch.ecp.NonOwnerAccessLearnMore.aspx

12. Запуск отчета судебного удержания http://help.outlook.com/ru-RU/140/ms.exch.ecp.LitigationHoldChangesLearnMore.aspx

13. Запуск отчета группы ролей администраторов http://help.outlook.com/ru-RU/140/ms.exch.ecp.RoleGroupChangesLearnMore.aspx

14. Экспорт журналов аудита почтовых ящиков http://help.outlook.com/ru-RU/140/ms.exch.ecp.ExportMailboxChangesLearnMore.aspx

15. Экспорт журнала аудита администратора http://help.outlook.com/ru-RU/140/ms.exch.ecp.ExportConfigurationChangesLearnMore.aspx

16. Использование отчетов аудита в Exchange Online http://help.outlook.com/ru-RU/140/ms.exch.ecp.AuditingReportsHomeLearnMore.aspx

17. Создание групп ролей http://help.outlook.com/ru-RU/140/ms.exch.ecp.NewRoleGroup.aspx

18. Изменение свойств группы ролей http://help.outlook.com/ru-RU/140/ms.exch.ecp.EditRoleGroup.aspx