Владельцев небольшого количества подписок на Office 365 всегда мало беспокоило такое понятие, как детализированное управление приложениями. Однако эта тема сильно интересует их более «крупных» собратьев, поскольку она является частью той дисциплины ИТ, на которой они выросли в эпоху локального программного обеспечения. И вот спустя четыре года после выхода Office 365 может наконец предоставить своим подписчикам возможность детализированного управления для уровня приложений Office 365, правда, пока только для некоторых из них, «традиционных», таких, например, как Exchange и SharePoint. Все «новомодные штучки» вроде Delve по-прежнему управляются на уровне подписки (клиента).

Одним из базовых принципов функционирования Office 365 всегда было то, что администраторы подписки управляют на стороне клиента абсолютно всем. Если у вашей учетной записи есть права администратора, то вы можете сделать все, что угодно, в том числе получить доступ к информации, относящейся к различным приложениям. Однако если это вполне приемлемо для небольших компаний, то для крупных корпораций, особенно для тех, которые планируют перенос основной рабочей нагрузки с локальных серверов, где администрирование осуществляется в соответствии с четко разграниченными правами доступа, в «облако», это реальная проблема.

Введение детализированных административных ролей призвано предоставить подписчикам Office 365 методику для делегирования отдельным пользователям прав на управление различными составляющими Office 365. При этом администраторы подписки все так же остаются «всемогущими», но теперь у них, по крайней мере, есть шанс поделиться своей «силой» с другими.

Надо сказать, что компания Microsoft уже совершила фальстарт в этом «забеге» в 2014 году, однако сумела быстро вернуть все назад. Скорее всего, тогда разработчики компании еще не были готовы довести до конца внедрение данной технологии. Но, так или иначе, в ее основе лежат следующие принципы.

Источник полномочий для ролей детализированного управления сосредоточен в специальных группах, которые хранятся в Azure Active Directory (AAD). Эти группы не видны в консоли управления AAD, и для того, чтобы с ними можно было работать, необходимо задействовать консоль администратора Office 365 либо PowerShell. Для того чтобы увидеть все доступные роли, нужно запустить команду Get-MsOlRole. Эта команда показывает список доступных ролей — обратите внимание, что значение в поле ObjectId является очень важным, поскольку именно его вы будете использовать в дальнейшем при работе с ролями (см. рисунок 1).

 

Список доступных ролей
Рисунок 1. Список доступных ролей

Мы не будем сейчас подробно разбирать, что именно делают все эти роли. Я хочу сосредоточиться на ролях, которые предназначены для того, чтобы дать пользователям возможность управлять такими приложениями, как SharePoint Online и Exchange Online.

Чтобы назначить учетной записи пользователя одну из таких ролей, зайдите в Центр администрирования Office 365, выберите учетную запись в разделе для пользователей Users и отредактируйте ее свойства следующим образом. Откройте раздел ролей Roles и выберите «Ограниченный административный доступ» (Limited admin access), как показано на экране 1. Далее вы можете назначить этому пользователю одну или несколько ролей. Обратите внимание на то, что, если вы назначаете роль учетной записи пользователя, требуется указать для него дополнительный адрес электронной почты. Это необходимо для того, чтобы была гарантированная возможность восстановления пароля для данной учетной записи, если он будет утерян.

 

Редактирование свойств учетной записи
Экран 2. Редактирование свойств учетной записи

Кроме того, имейте в виду, что эта схема пригодна для управления только чисто «облачными» решениями. В гибридных средах локальная служба Active Directory является первичной (master) и синхронизация производится с первичной службы на AAD. Кончено, вы можете создать чисто «облачные» пользовательские учетные записи и назначить административные роли им, однако помните, что такие учетные записи не смогут управлять гибридными объектами.

Чтобы добавить пользовательские учетные записи в административные роли, можно воспользоваться и PowerShell. Например, добавить нового администратора Exchange Online можно следующим образом:

Add-MsOlRoleMember -RoleName
   ‘Exchange Service Administrator’
   -RoleMemberEmailAddress
   ‘Kim.Akers@Office365 ExchangeBook.com’

Участники службы MSO Service Principals тоже могут быть добавлены в детализированные роли. Но этот сам по себе примечательный факт может на деле оказаться не так интересен подавляющему большинству пользователей Office 365.

Еще я хочу поделиться секретом о том, что в группы ролей AAD добавляются дополнительные детали доступа, который был предоставлен, и в дальнейшем эта информация реплицируется в службы каталогов, которые поддерживают различные приложения, например в EXODS для Exchange Online и SPODS для SharePoint Online. Если запустить команду Get-MsOlRoleMember, то можно увидеть список пользователей, которым был назначен доступ к какой-либо роли, и здесь как раз пригодятся те самые ObjectId, о которых мы говорили выше. Например, как можно узнать, кому именно назначен административный доступ к управлению Exchange Online, показано на рисунке 2.

 

Владельцы административного доступа к управлению Exchange Online
Рисунок 2. Владельцы административного доступа к управлению Exchange Online

После завершения синхронизации (она занимает несколько минут) у пользователей, которым был назначен административный доступ, должна появиться возможность после авторизации в системе ознакомиться с административным интерфейсом. В их панели запуска приложений Office 365 (Office 365 App Launcher) появится раздел администратора Admin и, если они могут управлять Exchange, для доступа к центру администрирования Exchange Administration Center (EAC), им можно будет использовать прямую ссылку https://outlook.office365.com/ecp/. В центре администрирования Office 365 Admin Center таким пользователям будет доступен ограниченный набор функций (например, они не смогут создавать новые учетные записи). Это в целом закономерно, поскольку их первичная роль — управление определенными приложениями, а не всей подпиской.

Администратор Exchange имеет полный доступ ко всем функциям EAC. И если мы заглянем в раздел разрешений, желая ознакомиться со списком существующих в подписке административных ролей, то увидим там новую группу ролей управления RBAC ExchangeServiceAdmins_53 add (см. экран 2). Эта группа не может быть отредактирована администраторами, поскольку она находится под управлением Office 365. Она используется в качестве точки синхронизации с AAD и здесь, соответственно, будут находиться все учетные записи, которым назначен административный доступ к Exchange Online. Эта группа является членом группы ролей «Управление организацией» (Organization Management) и, соответственно, имеет полный административный контроль над Exchange Online.

 

Новая группа ролей управления
Экран 2. Новая группа ролей управления

Аналогичные настройки существуют и в PowerPoint Online и Skype для бизнеса. Другие приложения, такие как Office Delve и Office 365 Video Portal, управляются только на уровне подписки. У этих приложений просто не существует локальных версий, и поэтому для них потребность в детализированном управлении не так актуальна, как для тех приложений, которые в мире локального программного обеспечения имеют длительную предысторию.

В самом деле даже удивительно, что для внедрения детализированного управления на уровне приложений в Office 365 потребовалось так много времени. Но, с другой стороны, это всего лишь отражение того факта, что подавляющее большинство подписчиков Office 365 — небольшие компании, которые не испытывают нужды в подобном уровне детализации управления. А еще, по прошествии четырех лет, это еще может быть признаком того, что миграция в «облако» крупных клиентов постепенно набирает темп.