IT çalışanları için Office 365 platformunda, yönetimsel hiyerarşilerin kullanılmak istendiğinde Office 365’de yer alan yönetici rollerinden yararlanılacaktır. Organizasyonda yer alan ve IT çalışanlarının kendi sorumlu oldukları alanlarda işlemler yapabilmeleri için Office 365 portalının Admin Center’ındaki yönetici rolleri kullanılacaktır. Bu roller “Billing administrator”, “Global administrator”, ”Password administrator”, “Service administrator” ve “User management administrator” olarak adlandırılır.
Office 365 platformundaki izin modelleri Role-Based Access Control(RBAC)’dir. Bu rollerin herbirine atanmış çeşitli izinler vardır ve ilgili kullanıcılara bu roller atanarak Office 365 yönetimine sahip olunacaktır. Ancak unutulmamalıdır ki Online servislerin kendilerine özel izin modelleri vardır. Mesela Exchange Online modeli RBAC modelini kullanırken, SharePoint Online kendine özel ayrı yönetimsel rollere sahiptir. Bu özellik SharePoint Online servisini Office 365 admin yönetimsel izinlerden ayırmak ile beraber SharePoint Online’de yer alan collections, sites ve dokümanlar yani kaynaklar üzerinde izin seviyelerinin belirlenmesine imkan sağlamaktadır.
Office 365 yönetici rolleri ve izinleri aşağıda yer almaktadır;
Billing administrator: Office 365’e ait fatular ile ilgili detayları inceleyip yönetebilen, subscriptionların yönetiminden sorumlu olan, Microsoft’a destek kayıtları açıp onları yönetebilen ve online servisleri monitor edebilen yönetici rolüdür.
Global administrator: Office 365 Admin Center’da bütün yönetisi görevlerini gerçekleştirebilen full yetkili yönetici rolüdür. Diğer kullanıcılara yönetici rollerini atayan ve birden fazla kullanıcıya atanabilen Office 365 yönetimindeki en yetkin roldür.
Password administrator: Bu rol parolalarda değişiklik yapabilen, parolaları resetleyen, servis taleplerini yöneten ve servislerin sağlık durumlarını gözlemleyebilen roldür. Bu yönetici rolüne sahip olan kullanıcılar standart kullanıcıların ve password administrator rolüne sahip yöneticilerin parolalarını yönetebilmektedir. Ancak diğer yönetici rollerini değiştirememektedir.
Service administrator: Microsoft’a açılan servis taleplerini yöneten ve Office 365 servislerini (Exchange Online,SharePoint Online gibi) monitor edebilen yönetici rolüdür.
User management administrator: User management administrator yönetici rolü atanan kullanıcılar Office 365’deki kullanıcıları ve grupları oluşturma, silme ve parolaları resetleme yetkilerine sahip olacaklardır. Aynı zamanda Microsoft’a açılan servis taleplerini ve online servislerini monitör edebilir. Kullanıcıları yöneten bu rolünde bazı kısıtlamaları vardır. Kullanıcılara yönetici rolü atayamamak, global administrator olan kullanıcıları silememek ve billing administrators, global administrators veya service administrators yöneticilerinin parolalarını resetleyememek gibi işlemler user management administrators yönetici rolü ile gerçekleştirilemez.
Yönetici rolleri Office 365 Admin Center portalından kullanıcılara atanabileceği gibi powershell komutları ile de kullanıcılara atanabilir. Ancak burada bilinmelidir ki yetkileri aynı olmak ile beraber yönetici rolleri GUI arayüzünde ayrı powershell komutlarında ayrı adlandırılacaktır. Aşağıda Office 365 Admin portalındaki yönetici rollerinin powershell komutlarında hangi isime denk geldiğine dair bilgi yer almaktadır.
Global Administrator(Admin Center Role Name) = Company Administrator (Powershell)
Billing Administrator(Admin Center Role Name) = Billing Administrator (Powershell)
Password Administrator(Admin Center Role Name) = Helpdesk Administrator (Powershell)
Service Administrator(Admin Center Role Name) = Service Administrator (Powershell)
User Management Administrator(Admin Center Role Name) = User Account Administrator (Powershell)
Windows Azure Active Directory Module for Powershell modülü ile Office 365 portalında yer alan yönetici rollerini listelemek için “Get-MsolRole” komutunun kullanılması gerekmektedir.
Windows Azure Active Directory Module for Powershell ile Yönetici Rollerinin Atanması
Office 365 Admin Center’da kullanıcılara yönetici rolleri atanabileceği gibi powershell komutları ile de aynı işlem gerçekleştirilebilecektir. Bunun için “Add-MsolRoleMember” komutu kullanılmalıdır. İlgili komuta dair şablon aşağıda yer almaktadır;
Add-MsolRoleMember -RoleName “nameofrole” –RoleMemberEmailAddress “useremailaddress”
Bu komutta “RoleName” parametresine yönetici rol bilgisi yazılırken, “RoleMEmeberEmailAddress” parametresine yönetici rolü atanacak kullanıcı bilgisi girilmelidir. Bu komuta ait örnek aşağıda yer almaktadır.
IT çalışanları tarafından karşılaşılan bir diğer durum ise hangi kullanıcının hangi yetkilere sahip olduğu ile ilgili bilgiye nasıl ulaşabileceğidir. Office 365 Admin Center’da “Users” bölümünden bu veriye ulaşılabilinirken, aynı veriye powershell’de yer alan “Get-MsolUserRole” komutu ile de ulaşılabilinmektedir. Şekildeki arayüzde “melissa@ecec0.onmicrosoft.com” kullanıcısının hangi yönetici rollerine sahip olduğu ile ilgili powershell komutu çalıştırılmış ve “Name” başlığı altında “Helpdesk administrators” rolüne sahip olduğu gözlemlenmiştir.
Kullanıcıların sahip oldukları yönetici rollerinin powershell ile kaldırılma işlemi için “Remove-MsolRoleMember” komutu kullanılmalıdır. Bu komut ile ilgili kullanıcının elinden ilgili yönetici rolü alınmış olacaktır. Aşağıda bu komutun nasıl kullanıldığına dair şablon bilgi ve örnek yer almaktadır.
Add-MsolRoleMember -RoleName “nameofrole” –RoleMemberEmailAddress “useremailaddress”
