Role Assignment Policies individuell anpassen

Wer mit Verteilerlisten in Exchange Online arbeitet, wird schnell feststellen, dass die von Microsoft zur Verfügung gestellten Bordmittel nicht unbedingt ausreichend sind, um spezielle Berechtigungsvorgaben zu erfüllen. Mit den Role-Assignments lassen sich zwar diverse Szenarien abbilden, aber es ist zum Beispiel nicht möglich, im Standard festzulegen, dass ein Verteilerlisten-Besitzer keine neuen Verteilerlisten erstellen darf.

In den Role Assignments gibt es lediglich die Rolle „MyDistributionGroups“, die das Managen meiner Verteilerlisten erlaubt, von denen ich der Besitzer bin. Es verhindert aber nicht, dass ich als Besitzer nicht auch noch weitere Verteilergruppen erstellen darf. Wenn dies die Anforderung ist, so bin ich als Administrator, nur mit der GUI, aufgeschmissen, denn hier muss tatsächlich die Powershell her, um die im Backend befindliche Konfiguration anzupassen.

Wir werden uns im Nachgang anschauen, wie im Exchange Online eine Einstellung hinzugefügt werden kann, damit ich zum Beispiel auch für Verteilerlistenbesitzer das Erstellen von neuen Verteilerlisten verbieten kann.

Das Problem im Exchange Online

Zunächst müssen wir auf den Exchange Online zugreifen und dort unter „Rollen“ -> „Benutzerrollen“, „Default Role Assignment Policy“ (Ohne eine andere Role Assignment Policy) auswählen. Dann haben wir die Möglichkeit, auf „Berechtigung verwalten“ zu klicken, um das im Screenshot sichtbare Menü aufzurufen.

Und dort ist auch die Berechtigung „MyDistiributionGroups“. Wenn wir über das Info-Symbol hoovern, sehen wir auch schon das angesprochene Problem, denn dort steht: „This role enables individual users to create, modify and view distribution groups and modify, view, remove, and add members to distribution groups they own.“ (dt.: Diese Rolle ermöglicht es einzelnen Benutzern, Verteilergruppen zu erstellen, zu ändern und anzuzeigen und Mitglieder zu Verteilergruppen, die sie besitzen, zu ändern, anzuzeigen, zu entfernen und hinzuzufügen). Und genau dieses „….to create,…“, ergo das Erstellen, wollen wir weg haben. Denn wenn ich als Administrator die Übersicht behalten möchte, ist es am sinnvollsten, zu verhindern, dass mir Anwender Objekte in meinen Verwaltungseinheiten erstellen. In diesem Fall im Exchange Online.

Auslesen der Berechtigung

Gehen wir es also an und starten zunächst die PowerShell und verbinden uns mit unserem Exchange Online, davon ausgehend, dass die notwendigen Module bereits installiert sind.

Connect-ExchangeOnline

Für den Überblick schauen wir uns nun einmal alle Rollen an, unter der auch die Rolle „MyDistributionGroup“ aufgeführt ist.

Get-ManagementRole

Wenn wir nun nach unserer Rolle filtern, erhalten wir so einige nützliche Infos, vor allem die der „RoleEntries“

Get-ManagementRole -Identity MyDistributionGroups | fl

Diese Role Entries geben effektiv an, welche Berechtigungen mit dieser ManagementRole verbunden sind, beziehungsweise welche Befehle auch mit der Powershell abgesetzt werden dürfen. Wir sehen aber, dass mit diesem Befehl nicht alle Einträge sichtbar sind, somit filtern wir explizit nach den Role Entries und lassen uns alle anzeigen.

(Get-ManagementRole myDistributionGroups).RoleEntries

Nun sehen wir eine wirklich lange Liste mit Berechtigungen und dort ist auch der Role Entry „New-DistributionGroup“. Dieser erlaubt schlussendlich, dass bei der Aktivierung von MyDistributionGroup auch neue Gruppen erstellt werden dürfen. Natürlich können wir hier auch direkt prüfen, ob noch weitere Einträge in Frage kommen, die man nicht verwenden möchte und notieren. Wir bleiben aber erst einmal bei „New-DistributionGroup“.

Erstellen einer eigenen Richtlinie

Nachdem wir nun wissen, welchen Eintrag wir entfernen wollen, können wir uns an das Erstellen einer eigenen Richtlinie machen. Der schnellste Weg dazu ist, indem wir lediglich eine bestehende ManagementRole kopieren und dann die RoleEntries entfernen, die wir nicht haben wollen. Wir können natürlich auch den Weg des Hinzufügens wählen, was aber hier bei der schieren Masse an Berechtigungen nicht zielführend wäre.

In diesem Fall verwenden wir die zuvor gesuchte Management Rolle „MyDistiributionGroups“ und verwenden diese als Parent. Somit bekommt unsere neue Management Rolle den Namen „Costum_MyDistributionGroups“. Welcher Name verwendet wird, ist irrelevant, aber er sollte natürlich eindeutig sein und wenn mehr als ein RoleEntry angepasst wird, sollte dies gleichzeitig dokumentiert werden und der Name allgemeiner gehalten werden.

New-ManagementRole Custom_MyDistirbutionGroups -Parent MyDistributionGroups

Nun ist unsere neue benutzerdefinierte Management Rolle erstellt und wir können mit dem bereits zuvor benutzten Befehl sehen, dass die Einstellungen übernommen wurden.

Get-ManagementRole -Identity Custom_MyDistirbutionGroups | fl

Nun können wir einzelne oder mehrere RoleEntries entfernen. Wie bereits festgelegt, entfernen wir erst einmal nur „New-DistributionGroup“ (HINWEIS: Bei New-DistribtionGroup ist kein „s“ am Ende 😉 ).

 

Remove-ManagementRoleEntry „Custom_MyDistirbutionGroups\New-DistributionGroup“

Nun erhalten wir eine Warnung, ob wir wirklich das entsprechende RoleEntry entfernen wollen. Hier sehen wir auch, dass alle abhängigen RoleEntries ebenfalls entfernt werden, die im Zusammenhang mit New-DistributionGroup stehen.

Nachdem wir dies bestätigt haben, sind wir auch schon fertig.

Prüfen des Ergebnisses

Jetzt kommt eine tolle Sache von Microsoft. Denn entgegen der Vermutung, dass nun im Hintergrund eine weitere Policy angelegt ist, die aber auch nur per PowerShell verteilt werden kann, geht Microsoft tatsächlich hin und erstellt uns netterweise sogar einen vollständig integrierten Button, den wir im Exchange auswählen können.

Somit haben wir jetzt die Möglichkeit, unsere benutzerdefinierte Management Rolle an- und abzuwählen und auf unterschiedliche Rollenzuweisungsrichtlinien zu verteilen.

Und nachdem man das jetzt weiß, kann man natürlich auch weitere Rollen individuell seinen Bedürfnissen anpassen.

Und damit bleibt mir nur noch zu sagen: Viel Spaß beim Ausprobieren!

 

Hierzu noch weiteres Infomaterial von Microsoft zu den einzelnen Commands:

 

Bei Fragen oder Anregungen zum Thema New Work, zur Microsoft Welt oder zu Collaboration Tools stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

Weitere Blogartikel aus Bereichen, die von New Work, über Microsoft 365 bis hin zu Sustainable IT reichen, finden Sie auf unserer Blogseite.

Können wir Ihnen helfen?

Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.

Mehr Informationen

Können wir Ihnen helfen?

Daniel Dreeser

Beitrag teilen:

Mehr Informationen, einen Austausch oder konkrete Unterstützung im Projekt?

Anfrage senden

Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.

Mehr Informationen
Nach oben scrollen