役割ベースのアクセス制御について

  • [アーティクル]

製品: Exchange Server 2013

Role Based Access Control (RBAC) は、Microsoft Exchange Server 2013 で使用されるアクセス許可モデルです。 RBAC を使用すると、Exchange Server 2007 で行っていたようなアクセス制御リスト (ACL) の変更や管理を行う必要はありません。 Exchange 2007 では、ACL には、予期しない結果が発生しないように ACL を変更する、アップグレード中に ACL の変更を維持する、標準的以外の方法で ACL を使用したため発生した問題をトラブルシューティングするといった課題がありました。

RBAC を使用すると、管理者およびエンド ユーザーが実行できる操作を、広範なレベルと詳細なレベルの両方で制御できます。 また、RBAC を使用すると、ユーザーと管理者に割り当てる役割を、組織内で保持する実際の役割に合わせることができます。 Exchange 2007 では、サーバー アクセス許可モデルは、Exchange 2007 インフラストラクチャを管理する管理者のみに適用されていました。 Exchange 2013 では、RBAC によって、実行可能な管理タスクとユーザーが自分のメールボックスと配布グループを管理できる範囲の両方を管理できるようになりました。

RBAC では、管理役割グループおよび管理役割割り当てポリシーの 2 つの主要な方法を使用して、ユーザーが管理者、専門家ユーザー、またはエンドユーザーであるかに応じて、組織内のユーザーにアクセス許可を割り当てます。 各方法により、ユーザーは、ジョブの実行に必要なアクセス許可に関連付けられます。 3 つ目として、直接ユーザー役割を割り当てるという、さらに高度な方法も使用することができます。 このトピックの以下のセクションでは、RBAC を説明し、使用方法の例を示します。

注:

ここでは、RBAC の高度な機能について説明します。 基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。

管理役割グループ

管理役割グループ は、管理役割を管理者または専門家ユーザーのグループに関連付けます。 管理者は、広範な Exchange 組織または受信者の構成を管理します。 専門家ユーザーは、コンプライアンスなど Exchange の特定機能を管理します。 あるいは、ヘルプ デスク メンバーなど制限された管理機能を持つ場合がありますが、広範な管理権限は付与されません。 役割グループは、通常、管理者の管理役割を関連付けて管理者および専門家ユーザーが組織や受信者の構成を管理できるようにします。 たとえば、管理者が受信者を管理できるかどうか、またはメールボックス検出機能を使用できるかどうかは、役割グループを使用して制御します。

役割グループへのユーザーの追加、または役割グループからのユーザーの削除は、管理者または専門家ユーザーにアクセス許可を割り当てる場合に最も頻繁に使用する方法です。 詳細については、「管理役割グループについて」を参照してください。

役割グループは、管理者と専門家ユーザーが実行できる操作を定義する次のコンポーネントから構成されます。

  • 管理役割グループ: 管理役割グループ は、メールボックス、ユーザー、USG、および役割グループのメンバーである他の役割グループを含む特殊なユニバーサル セキュリティ グループ (USG) です。 メンバーの追加や削除を行う場所であり、管理役割もここに割り当てられます。 役割グループにおけるすべての役割の組み合わせによって、役割グループに追加されたメンバーが Exchange 組織で管理できるすべての要素を定義します。

  • 管理ロール: 管理ロールは、管理ロール エントリをグループ化するためのコンテナーです。 役割は、役割を割り当てられた役割グループのメンバーが実行できる特定のタスクを定義するために使用されます。 管理ロール エントリは、ロール内の特定の各タスクを実行できるようにするコマンドレット、スクリプト、または特別なアクセス許可です。 詳細については、「管理の役割について」を参照してください。

  • 管理ロールの割り当て: 管理ロールの割り当ては 、ロールとロール グループをリンクします。 役割を役割グループに割り当てると、役割グループのメンバーに、役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。 役割の割り当てでは、割り当てを使用できる場所を制御するため管理スコープを使用できます。 詳細については、「管理役割の割り当てについて」を参照してください。

  • 管理ロールスコープ: 管理ロールスコープ は、ロールの割り当てに対する影響または影響の範囲です。 役割をスコープ付きで役割グループに割り当てた場合、割り当てで管理できるオブジェクトが管理スコープの対象となります。 割り当ておよびそのスコープが役割グループのメンバーに適用され、これによってメンバーが管理できるものが制限されます。 スコープは、サーバーまたはデータベース、組織単位 (OU)、あるいはサーバー、データベース、または受信者オブジェクトに対するフィルターで構成できます。 詳細については、「管理役割スコープについて」を参照してください。

ユーザーを役割グループに追加すると、ユーザーには、役割グループに割り当てられたすべての役割が与えられます。 スコープが、役割グループと役割間でいずれかの役割の割り当てに適用されている場合、これらのスコープは、ユーザーが管理可能なサーバーの構成または受信者を制御できます。

役割グループに割り当てられている役割を変更する場合、役割グループと役割を関連付けている役割の割り当てを変更する必要があります。 Exchange 2013 に組み込まれている割り当てがニーズに合わない場合以外は、これらの割り当てを変更する必要はありません。 詳細については、「管理役割の割り当てについて」を参照してください。

役割グループの詳細については、「管理役割グループについて」を参照してください。

管理役割の割り当てポリシー

管理役割の割り当てポリシーは、エンドユーザーの管理役割をユーザーに関連付けます。 役割の割り当てポリシーは、ユーザーが自分のメールボックスまたは配布グループでできることを制御する役割で構成されます。 これらの役割は、ユーザーと直接関連付けられた機能を管理することを許可しません。 役割の割り当てポリシーを作成するときに、ユーザーが自分のメールボックスに対して行える操作をすべて定義できます。 たとえば、役割の割り当てポリシーを使用すれば、ユーザーに表示名の設定、ボイス メールの設定、および受信トレイ ルールの構成を許可することができます。 別の役割の割り当てポリシーでは、ユーザーにアドレスの変更、テキスト メッセージングの使用、および配布グループの設定を許可する場合があります。 管理者を含む Exchange 2013 メールボックスを持つすべてのユーザーには、既定で役割の割り当てポリシーが与えられています。 既定で割り当てるべき役割の割り当てポリシーを決定したり、既定の役割の割り当てポリシーに含むべきものを選択したり、特定のメールボックスに既定値を上書きしたり、既定で役割の割り当てポリシーを一切割り当てないようにしたりすることができます。

割り当てポリシーにユーザーを割り当てることは、自分のメールボックスや配布グループのオプションを管理するのにユーザーが必要とするアクセス許可を管理する場合に最も頻繁に使用する方法です。 詳細については、「管理役割の割り当てポリシーについて」を参照してください。

役割の割り当てポリシーは、ユーザーが自分のメールボックスに対して実行できる操作を定義する次のコンポーネントから構成されます。 同じコンポーネントの一部も役割グループに適用されることに注意してください。 役割の割り当てポリシーと共に使用する場合、これらのコンポーネントは制限され、ユーザーは自分のメールボックスのみを管理できます。

  • 管理ロールの割り当てポリシー: 管理ロールの割り当てポリシー は、Exchange 2013 の特別なオブジェクトです。 ユーザーのメールボックスが作成されたとき、またはメールボックスの役割の割り当てポリシーを変更した場合に、ユーザーが役割の割り当てポリシーに関連付けられます。 エンドユーザーの管理役割もこれに割り当てられます。 役割の割り当てポリシーのすべての役割の組み合わせによって、ユーザーがメールボックスまたは配布グループで管理できるものがすべて定義されます。

  • 管理ロール: 管理ロールは、管理ロール エントリをグループ化するためのコンテナーです。 役割は、ユーザーがメールボックスまたは配布グループを使用して実行できる特定のタスクを定義するために使用されます。 管理ロール エントリは、管理ロール内の特定の各タスクを実行できるようにするコマンドレット、スクリプト、または特別なアクセス許可です。 エンドユーザー管理役割は、役割の割り当てポリシーでのみ使用できます。 詳細については、「管理の役割について」を参照してください。

  • 管理ロールの割り当て: 管理ロールの割り当ては 、ロールとロール割り当てポリシーの間のリンクです。 役割を役割の割り当てポリシーに割り当てると、役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。 役割の割り当てポリシーと役割間の役割の割り当てを作成する場合、スコープを指定することはできません。 割り当てによって適用されるスコープは、 または のいずれかMyGALですSelf。 すべての役割の割り当ては、ユーザーのメールボックスまたは配布グループにスコープが設定されます。 詳細については、「 管理役割の割り当てについて」を参照してください。

役割の割り当てポリシーに割り当てられている役割を変更する場合、役割の割り当てポリシーと役割を関連付けている役割の割り当てを変更する必要があります。 Exchange 2013 に組み込まれている割り当てがニーズに合わない場合以外は、これらの割り当てを変更する必要はありません。 詳細については、「管理役割の割り当てについて」を参照してください。

詳細については、「管理役割の割り当てポリシーについて」を参照してください。

直接のユーザー役割の割り当て

直接の役割の割り当ては、役割グループまたは役割の割り当てポリシーを使用しないで、管理役割を直接ユーザーまたは USG に割り当てる高度な方法です。 直接の役割の割り当ては、特定のユーザーだけに詳細なアクセス許可のセットを与える必要がある場合に役立ちます。 ただし、直接の役割の割り当てを行うと、アクセス許可モデルが極めて複雑になる可能性があります。 ユーザーの職務が変更されたり、またはユーザーが退社したりした場合、手動で割り当てを削除してから、新しい従業員に割り当てを追加する必要があります。 管理者と専門家ユーザーにアクセス許可を割り当てるには役割グループを使用し、アクセス許可をユーザーに割り当てるには役割の割り当てポリシーを使用することをお勧めします。

直接ユーザーを割り当てる方法の詳細については、「管理役割の割り当てについて」を参照してください。

概要および例

以下の図は、RBAC のコンポーネントと、これらのコンポーネントがどのように関連しているかを示しています。

  • 役割グループ:

    • 1 人または複数の管理者が役割グループのメンバーになることができます。 これらの管理者は 1 つ以上の役割グループのメンバーになることもできます。

    • 役割グループには、1 つまたは複数の役割の割り当てが割り当てられます。 これらによって、役割グループが、実行可能なタスクを定義する 1 つまたは複数の管理役割に関連付けられます。

    • 役割の割り当てには、役割グループのユーザーが操作を実行できる場所を定義する管理スコープを含むことができます。 このスコープによって、役割グループのユーザーが構成を変更できる場所を決定できます。

  • 役割割り当てポリシー:

    • 1 人または複数のユーザーを役割割り当てポリシーに関連付けることができます。

    • 役割割り当てポリシーには、1 つまたは複数の役割の割り当てが割り当てられます。 これらによって、役割割り当てポリシーが 1 つまたは複数のエンド ユーザー役割に関連付けられます。 エンド ユーザー役割は、ユーザーが自分のメールボックスに構成可能なものを定義します。

    • 役割の割り当てポリシーと役割間の役割の割り当てには、割り当てのスコープをユーザー自身のメールボックスまたは配布グループに制限する組み込みのスコープが用意されています。

  • 直接の役割の割り当て (詳細)

    • 役割の割り当ては、ユーザーまたは USG と 1 つ以上の役割との間に直接作成できます。 役割は、ユーザーまたは USG が実行できるタスクを定義します。

    • 役割の割り当てには、ユーザーまたは USG が操作を実行できる場所を定義する管理スコープを含むことができます。 スコープは、ユーザーまたは USG が構成を変更できる場所を決定します。

RBAC 概要

RBAC コンポーネントのリレーションシップ。

上の図に示すように、RBAC の多くのコンポーネントは相互に関連しています。 各コンポーネントの組み合わせ方法によって、各管理者またはユーザーに適用されるアクセス許可が定義されます。 次の例では、この他にいくつかの状況を示し、組織内での役割グループと役割の割り当てポリシーの使用方法について説明します。

管理者 Jane

Jane は、中規模企業 Contoso の管理者です。 彼女はバンクーバーオフィスで会社の受信者を管理する責任があります。 Contoso のアクセス許可モデルが作成されると、Jane は Recipient Management - Vancouver カスタム ロール グループのメンバーになりました。 Recipient Management - Vancouver カスタム 役割グループは、メールボックスや連絡先などの受信者の作成と削除、配布グループのメンバーシップとメールボックスのプロパティの管理、同様のタスクなど、ジョブの職務と最も密接に一致します。

Recipient Management - Vancouver カスタム役割グループに加えて、Jane には、自分のメールボックスの構成設定を管理するための役割の割り当てポリシーも必要です。 組織の管理者は、上級管理職を除くすべてのユーザーが、自分のメールボックスを管理する場合に、同じアクセス許可を持つようにすることを決定しています。 ユーザーは、ボイス メールの構成、アイテム保持ポリシーの設定、およびアドレス情報の変更を行うことができます。 Exchange 2013 で指定された既定の役割の割り当てポリシーは、これらの要件を反映しています。

注:

既にお気づきかもしれませんが、Jane は Recipient Management - Vancouver カスタム役割グループのメンバーなので、このようにすると、Jane には彼女自身のメールボックスを管理するアクセス許可が与えられるはずです。 確かにそのとおりですが、この役割グループでは、Jane のメールボックスの全機能を管理するためのアクセス許可がすべて与えられるわけではありません。 ボイス メールとアイテム保持ポリシーの設定を管理するためのアクセス許可は、この役割グループには含まれていません。 このアクセス許可は、既定の役割の割り当てポリシーを彼女に割り当てることでのみ与えられます。

このことを実現するには、次のように、Vancouver の受信者に対する Jane の管理アクセス許可を含む役割グループを検討します。

  1. Recipient Management - Vancouver と呼ばれるカスタム役割グループが作成されました。 このカスタム役割グループが作成されたときに次のことが発生しました。

    1. 役割グループに、Recipient Management 組み込み役割グループにも割り当てられている同じ管理役割がすべて割り当てられました。 このため、Recipient Management - Vancouver 役割グループに追加されたユーザーに、Recipient Management 役割グループに追加されたユーザーと同じアクセス許可が与えられます。 ただし、次の手順によりこれらのアクセス許可を使用できる場所が制限されます。

    2. Vancouver に勤務する受信者のみが該当する Vancouver 受信者カスタム管理スコープが作成されました。 ユーザーの市区町村またはその他の一意の情報でフィルターして、この操作を行いました。

    3. 役割グループは、Vancouver 受信者カスタム管理スコープによって作成されました。 これは、Recipient Management - Vancouver カスタム役割グループに追加された管理者は、受信者管理の完全なアクセス許可を持ち、Vancouver に勤務する受信者に対してのみこのアクセス許可を使用できるということを意味します。

    カスタム役割グループの作成の詳細については、「役割グループの管理」を参照してください。

  2. Jane は、Recipient Management - Vancouver カスタム役割グループのメンバーとして追加されます。

    役割グループへのメンバー追加の詳細については、「役割グループのメンバーの管理」を参照してください。

Jane が自分のメールボックス設定を管理できるようにするには、ロールの割り当てポリシーを必要なアクセス許可で構成する必要があります。 既定のロール割り当てポリシーは、ユーザーが自分のメールボックスを構成するために必要なアクセス許可をユーザーに提供するために使用されます。 、、および MyRetentionPoliciesを除くすべてのエンド ユーザー ロールは、既定のMyVoicemailMyBaseOptionsMyContactInformationロール割り当てポリシーから削除されます。 MyBaseOptionsこの管理ロールは、受信トレイ ルール、予定表の構成、その他のタスクなど、Outlook Web Appの基本的なユーザー機能を提供するためです。

Jane には既定の役割の割り当てポリシーが既に割り当てられているため、他に必要な操作はありません。 これは、その役割の割り当てポリシーへの変更が、直ちに彼女のメールボックスに適用され、既定の役割の割り当てポリシーに割り当てられているその他のすべてのメールボックスにも適用されることを意味します。

既定の役割の割り当てポリシーのカスタマイズの詳細については、「役割の割り当てポリシーの管理」を参照してください。

スペシャリスト Joe

Joe は、Jane と同じ会社 Contoso に勤務しています。 彼は、組織全体に対して、法的な情報開示の実施、保持ポリシーの設定、およびトランスポート ルールとジャーナルの構成を担当しています。 Jane と同様に、Contoso のアクセス許可モデルが作成されたとき、Joe は彼の職務に合った役割グループに追加されました。 Records Management 役割グループは、Joe に保持ポリシー、ジャーナル、およびトランスポート ルールを構成するためのアクセス許可を与えます。 Discovery Management 役割グループにより、Joe はメールボックス検索を実行することができます。

Jane と同様に、Joe には自分のメールボックスを管理するためのアクセス許可も必要です。 Jane と同じアクセス許可が与えられます。ボイス メールとアイテム保持ポリシーを設定し、アドレス情報を変更できます。

Joe に職務を実行するアクセス許可を与えるために、Joe はレコード管理および検出管理の役割グループに追加されます。 ロール グループは、必要なアクセス許可を既に提供しており、それらに適用される管理スコープは組織全体を網羅しているため、何らかの方法で変更する必要はありません。

ユーザーを役割グループに追加する方法の詳細については、「役割グループのメンバーの管理」を参照してください。

Joe のメールボックスにも、Jane のメールボックスに適用されているのと同じ既定の役割の割り当てポリシーが割り当てられています。 彼は自分のメールボックスの管理を許可されていますが、このことによって、自分のメールボックスの機能の管理に必要なアクセス許可もすべて彼に与えられます。

Isabel 担当副社長

Isabel は、Contoso のマーケティング担当副社長です。 Isabel は、Contoso のシニア リーダーシップ チームの一員として、平均的なユーザーよりも多くのアクセス許可を与えられます。 これには、メールボックスを管理するために提供されるアクセス許可が含まれますが、1 つの例外として、Isabel は法的コンプライアンス上の理由から独自のアイテム保持ポリシーを管理することはできません。 Isabel は、ボイス メールの構成、連絡先情報の変更、プロファイル情報の変更、独自の配布グループの作成と管理、および他のユーザーが所有する既存の配布グループの追加または削除を行うことができます。

そのため、Isabel には、自分自身のメールボックス上で別のアクセス許可が与えられます。 Contoso 社のユーザーの大部分は、既定の役割の割り当てポリシーに割り当てられます。 ただし、上級管理職は上級管理職の役割の割り当てポリシーに割り当てられます。 カスタムの役割の割り当てポリシーを作成するには次の操作を実行します。

  1. 上級管理職と呼ばれるカスタムの役割の割り当てポリシーが作成されます。 ロール割り当てポリシーには、、MyContactInformationMyVoicemailMyProfileInformationMyDistributionGroupMembershipおよび MyDistributionGroups ロールが割り当てられます。MyBaseOptions MyBaseOptions が含まれているのは、この役割では、受信トレイ ルール、予定表の構成、その他のタスクなどの Outlook Web App の基本のユーザー機能が提供されるためです。

  2. Isabel は手動で上級管理職の役割の割り当てポリシーを割り当てられます。

これで、Isabel のメールボックスには、「上級管理職チーム」役割の割り当てポリシーによって、アクセス許可が与えられています。 この役割の割り当てポリシーへのすべての変更が自動的に彼女のメールボックスに適用され、既定の役割の割り当てポリシーに割り当てられているその他のすべてのメールボックスにも適用されます。

詳細情報

役割の割り当てポリシーの管理

メールボックスの割り当てポリシーを変更する