Exchange Online y control de acceso basado en roles (Role Based Access Control)

By: Caio Ribeiro Cesar, Rodolfo Lima, Jesús Santaella

En este artículo discutiremos cómo funciona el RBAC (Role Based Access Control) para los planes de Exchange Online (O365).

En el día a día de soporte, diversos casos son creados con la siguiente duda: “¿Cuál es el motivo de un comando existir en Exchange 2010/2013 pero no estar disponible en PowerShell de O365?"

El modelo de permisos de la nube es diferente del modelo de permisos locales. Esto significa que no todos los comandos disponibles en Exchange local están disponibles para Exchange Online.

¿Es esto una limitación? No - Microsoft gestiona varias funciones de Exchange en el ambiente de fondo, haciendo que los comandos de gestión no se encuentren disponibles para los administradores de O365.

En este modelo conseguimos efectuar tareas administrativas (como generar stores, DAGs) y hacer que el mantenimiento del administrador de O365 sea menor cuando comparamos con el ambiente local. Conseguimos entonces crear una estructura de permisos totalmente personalizada para los clientes de la nube en uno de los mayores Datacenters del mundo con la función de RBAC.

Esto significa también que existen políticas y roles personalizables en la nube para que el administrador consiga gestionar permisos vs. funciones de cada administrador. ¡Vamos entonces a las demostraciones de que puede ser realizado en la nube con esta tecnología!

Inicialmente, entramos en el Centro de Administración de Exchange: Admin > Exchange. Al lado izquierdo, seleccionamos permisos > roles de administrador. Tenemos entonces un listado de grupos y roles pre creados en Exchange Online.

image

En este ejemplo, el grupo Compliance Management posee los roles de “Data Loss Prevention, Information Rights Management, Retention Management, View-Only Audit Logs, View Only Configuration, View-Only Recipients”.

Cuando abrimos las propiedades del grupo "Compliance Management", podemos validar los roles y miembros de grupo:

image

Hasta ahora, sabemos solamente que existe un grupo pre creado de Compliance que posee algunos roles asignados.

Cómo conseguimos confirmar lo que significa cada rol? Ejecutando el siguiente comando de PowerShell, conseguimos obtener cada Rol Pre Creado para este grupo:

Get-RoleGroup "Compliance management" | Select-Object -ExpandProperties Roles

image

Entonces podemos confirmar lo que cada rol posee de permisos asignados por las Funciones Integradas de Administración o por el comando "Get-ManagementRoleAssignment" siguiendo el ejemplo de abajo:

image

Para una descripción de cada Rol, utilice el comando "Get-ManagementRole -Identity "Data Loss Prevention" | Select -Expand Description":

image

Otro ejemplo sería el grupo de Administración de Office 365 (Organization Management):

Get-RoleGroup "Organization Management" | Select -Expand Roles

View-Only Audit Logs

MyContactInformation

Mail Tips

UserApplication

Journaling

Transport Hygiene

My Custom Apps

Message Tracking

Unified Messaging

Team Mailboxes

Transport Rules

UM Prompts

Legal Hold

Org Marketplace Apps

MyDistributionGroupMembership

Reset Password

Mailbox Search

Information Rights Management

ArchiveApplication

Migration

UM Mailboxes

Recipient Policies

Federated Sharing

MyTeamMailboxes

Role Management

Audit Logs

Distribution Groups

View-Only Configuration

Mail Recipients

Mail Enabled Public Folders

Mailbox Import Export

Security Group Creation and Membership

Organization Client Access

Mail Recipient Creation

My Marketplace Apps

MyMailSubscriptions

User Options

Organization Configuration

Organization Transport Settings

View-Only Recipients

MyVoiceMail

MyProfileInformation

OfficeExtensionApplication

Retention Management

Org Custom Apps

MyDistributionGroups

MyBaseOptions

Public Folders

LegalHoldApplication

MailboxSearchApplication

MyTextMessaging

Remote and Accepted Domains

Move Mailboxes

Data Loss Prevention

MyRetentionPolicies

TeamMailboxLifecycleApplication

ApplicationImpersonation

Address Lists

Tan pronto como confirmamos que este grupo posee básicamente todos los roles de administración disponibles en O365, validamos los miembros del grupo:

image

Esto significa que los miembros de Organization Management poseen acceso como gestión al DLP, aplicación de etiquetas de Archivo, búsqueda en buzones entre otros permisos.

Creamos entonces un escenario específico - un nuevo funcionario "Steve Silva" fue recientemente contratado por el equipo de compliance para efectuar una auditoría de buzones.

Una vez creamos el usuario, esta información no fue dada por el equipo de RH y fue creado sin permisos específicos:

image

Debemos entonces asignar permisos específicos para que el usuario pueda trabajar con la función de auditoría de correos.

Una de las opciones es adiciona en un grupo pre creado llamado "Records Management", donde la función de Audit Logs está asignada:

image

Sin embargo este usuario no debe poseer permisos de Transport, Journaling, Message Tracking o Retention Management. Él fue contratado para la única función de auditoría de correos electrónicos.

La mejor solución sería asignar un rol específico de Audit Logs para el usuario y no adicionarlo al grupo de Records Management.

image

Podemos también crear Grupos personalizados con roles específicos, en este último ejemplo para la migración de buzones:

image image

Links útiles:

Permisos https://technet.microsoft.com/es-us/library/exchange-online-permissions.aspx

Descripción del control de acceso basado en funciones (RBAC) https://technet.microsoft.com/es-es/library/dd298183.aspx

Descripción de las funciones de administración https://technet.microsoft.com/es-es/library/dd298116.aspx