管理役割の割り当てについて

  • [アーティクル]

製品: Exchange Server 2013

Microsoft Exchange Server 2013 のロール ベースのAccess Control (RBAC) アクセス許可モデルの一部である管理ロールの割り当ては、管理ロールとロール割り当て先の間のリンクです。 ロールの割り当て先は、ロール グループ、ロール割り当てポリシー、ユーザー、またはユニバーサル セキュリティ グループ (USG) です。 役割を有効にするには、役割を被割り当て者に割り当てる必要があります。 RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。

注:

ここでは、RBAC の高度な機能について説明します。 基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。

このトピックでは、ロール グループとロール割り当てポリシーへのロールの割り当てと、ユーザーと USG への直接ロールの割り当てについて説明します。 ロール グループまたはロール割り当てポリシーのユーザーへの割り当てについては説明しません。 ユーザーにアクセス許可を割り当てる推奨される方法であるロール グループとロール割り当てポリシーの詳細については、次のトピックを参照してください。

次の役割の割り当ての種類を作成できます。この役割の割り当ての種類については、後で詳しく説明します。

  • Regular and delegating role assignments

  • Exclusive role assignments

役割割り当ての管理

役割の割り当てを変更する場合、その変更はおそらく役割グループと役割割り当てポリシーのどちらかになります。 これらの役割の被割り当て者に役割の割り当てを追加、削除、または変更することで、管理者とユーザーにどのアクセス許可を与えるかを制御できます (実際には関連する機能の管理をオンまたはオフにします)。

また、ユーザーまたは USG にロールを直接割り当てることもできます。 これは、ユーザーに与えられるアクセス許可を詳細なレベルで定義できる、より高度なタスクです。 これにより柔軟性が提供されますが、アクセス許可モデルの複雑さも増します。 たとえば、ユーザーがジョブを変更した場合、そのユーザーに割り当てられたロールを別のユーザーに手動で再割り当てする必要がある場合があります。 そのため、ロール グループとロール割り当てポリシーを使用して、ユーザーにアクセス許可を付与することをお勧めします。 ロールをロール グループまたはロール割り当てポリシーに割り当てた後、必要に応じてロール グループのメンバーを追加または削除するか、ロールの割り当てポリシーを変更できます。

ロールの割り当ての追加、削除、有効化、既存のロールの割り当ての管理スコープの変更、ロールの割り当てを他のロールの担当者に移動できます。 ロール グループ、ロール割り当てポリシー、ユーザー、および USG にロールを割り当てるプロセスは、ロールの担当者ごとにほとんど同じです。 唯一の例外は次のとおりです。

  • 役割割り当てポリシーは、エンドユーザー管理役割にしか割り当てることができません。

  • 役割割り当てポリシーは、委任の役割割り当てに割り当てることはできません。

  • 役割割り当てポリシーに役割の割り当てを作成する場合、管理スコープを指定することはできません。

役割の割り当ての管理の詳細については、以下のトピックを参照してください。

Regular and delegating role assignments

正規の役割の割り当てを使用すると、役割の被割り当て者は、関連付けられている管理役割によって利用可能になる管理役割エントリにアクセスできます。 役割の被割り当て者に複数の管理役割が割り当てられると、各管理役割からの管理役割エントリが集約され適用されます。 つまり、ロールの割り当て先にトランスポート ルールとジャーナリング ロールが割り当てられている場合、ロールが組み合わされ、関連付けられているすべての管理ロール エントリがロールの割り当て先に付与されます。 ロールの割り当て先がロール グループまたはロール割り当てポリシーである場合、ロールによって提供されるアクセス許可は、ロール グループまたはロール割り当てポリシーに割り当てられたユーザーに付与されます。 管理ロールとロール エントリの詳細については、「 管理ロールについて」を参照してください。

ロールの割り当てを委任しても、機能を管理するためのアクセス権は付与されません。 ロールの割り当てを委任すると、ロールの担当者は、指定したロールを他のロールの担当者に割り当てることができます。 ロールの割り当て先が役割グループの場合、役割グループの任意のメンバーは、ロールを別のロールの割り当て先に割り当てることができます。 既定では、組織の管理役割グループのみが、他のロールの割り当て先にロールを割り当てることができます。 既定では、Exchange 2013 をインストールしたユーザーのみが組織管理役割グループのメンバーです。 ただし、必要に応じて他のユーザーをこの役割グループに追加したり、他の役割グループを作成してそれらのグループに委任ロールの割り当てを割り当てたりすることはできます。

注:

ロールの割り当てを委任すると、ロールの担当者は、管理ロールを他のロールの担当者に委任できます。 これにより、ユーザーはロール グループを委任できません。 役割グループの委任の詳細については、「 管理役割グループについて」を参照してください。

ユーザーが機能を管理し、機能を使用するアクセス許可を与える役割を他のユーザーに与える場合は、以下の割り当てを行います。

  1. 管理に必要な機能へのアクセスを与える各管理役割に対して、正規の役割の割り当てを行います。

  2. 他の役割の被割り当て者に割り当てられるようにする各管理役割に対して、委任の役割の割り当てを行います。

ロールの割り当て先の通常のロールの割り当てと委任は、同一である必要はありません。 たとえば、ユーザーは、通常のロールの割り当てを使用してトランスポート ルール ロールを割り当てられたロール グループのメンバーです。 これにより、ユーザーはトランスポート ルール機能を管理できます。 ただし、ユーザーにはトランスポート ルール ロールの委任ロールの割り当てが割り当てられないため、ユーザーはこのロールを他のユーザーに割り当てることはできません。 ただし、ユーザーは、委任ロールの割り当てを使用してジャーナリング管理ロールを割り当てられたロール グループのメンバーです。 ユーザーがメンバーであるロール グループには、履歴ロールの通常のロールの割り当てはありませんが、委任ロールの割り当てがあるため、ユーザーはロールを他のロールの担当者に割り当てることができます。

管理スコープ

通常の管理ロールの割り当てまたは委任管理ロールの割り当てを作成する場合は、管理スコープを使用して割り当てを作成して、ユーザーが操作できるオブジェクトを制限することができます。 受信者スコープまたは構成スコープを作成できます。 受信者スコープを使用すると、メールボックス、メール ユーザー、配布グループなどを操作できるユーザーを制御できます。 構成スコープを使用すると、サーバーとデータベースを操作できるユーザーを制御できます。

受信者スコープと構成スコープを使用すると、組織内のサーバー、データベース、または受信者オブジェクトの管理をセグメント化できます。 たとえば、バンクーバーの管理者が同じオフィスの受信者のみを管理できるように、受信者スコープをロールの割り当てに追加できます。 シドニーの管理者が Active Directory サイト内のサーバーのみを管理できるように、サーバー構成スコープを別のロールの割り当てに追加できます。

スコープを使用すると、アクセス許可をユーザーのグループに割り当てることができ、管理者が管理を実行できる場所を指示できます。 これにより、地理的または組織の境界にマップされるアクセス許可モデルを作成できます。

定義済みのスコープを使用して割り当てを作成することも、カスタム スコープを割り当てに追加することもできます。 ユーザーを自分のメールボックスまたは配布グループのみに制限するなど、定義済みのスコープは、割り当て自体で使用できるオプションを使用して適用できます。 または、カスタム受信者または構成スコープを作成し、そのスコープをロールの割り当てに追加することもできます。 カスタム スコープを使用すると、スコープに含まれるオブジェクトの細分性が高くなります。

同じ割り当てで定義済みスコープとカスタム スコープを指定することはできません。 また、同じ割り当てで排他的スコープと通常のスコープを混在させることはできません。

各ロールの割り当ては、1 つの受信者スコープと 1 つの構成スコープのみを持つことができます。 複数の受信者スコープ (1 つの構成スコープ) を同じ管理ロールのロール担当者に適用する場合は、複数のロールの割り当てを作成する必要があります。

カスタム スコープも定義済みスコープもない場合、ロールの割り当ては、ロール自体で定義されている受信者スコープと構成スコープに制限されます。 これらのスコープは、暗黙的なスコープと呼ばれます。 定義済みまたはカスタム スコープを持たないロールの割り当ては、関連付けられているロールから暗黙的なスコープを継承します。

スコープの詳細については、「 管理役割スコープについて」を参照してください。

Exclusive role assignments

排他的な役割の割り当ては、役割の割り当てに排他的なスコープを割り当てるときに作成されます。 排他的なスコープは正規のスコープと同じように機能し、排他的なスコープを使用すると、役割の被割り当て者は排他的なスコープに一致する受信者を管理できるようになります。 ただし、正規のスコープと異なり、他のすべての役割の被割り当て者は受信者を管理する能力を拒否されます。たとえ受信者が役割の被割り当て者の役割の割り当てに適用されるスコープに一致したとしても、その能力が与えられません。 これは、受信者を管理できるユーザーを数人の管理者に制限する場合に役立ちます。 受信者を管理できるのは特定の管理者だけであり、他のすべての管理者はアクセスを拒否されます。

たとえば、次の内容を考慮します。

  • John は Contoso のエグゼクティブです。 彼のメールボックスは、VIP 制限付き排他的割り当てに関連付けられている VIP Users と呼ばれる排他的スコープと一致します。

  • John のメールボックスはまた、"Redmond Users/Redmond ユーザー" という名前の正規のスコープにも含まれ、このスコープは、"Redmond Administration/Redmond 管理" という正規の割り当てに関連付けられます。

  • Bill は、"VIP Restricted/VIP 制限" という排他的な割り当てに関連付けられている管理者です。

  • Chris は、"Redmond Administration/Redmond 管理" という正規の役割に関連付けられています。

John のメールボックスは VIP ユーザーの排他的スコープと一致するため、メールボックスを管理できるのは Bill のみです。 John のメールボックスも Redmond Users の通常のスコープと一致しますが、Chris は VIP 制限付き排他的割り当てに関連付けられません。 そのため、Exchange は Chris が John のメールボックスを管理する機能を拒否します。 Chris が John のメールボックスを管理するには、John のメールボックスに一致する排他的スコープを持つ排他的割り当てを Chris に割り当てる必要があります。

詳細については、「排他スコープについて」を参照してください。