分割型アクセス許可について

製品: Exchange Server 2013

Microsoft Exchange Server 2013 オブジェクトと Active Directory オブジェクトの管理を分離する組織は、分割アクセス許可モデルと呼ばれるものを使用します。 分割アクセス許可を使用すると、組織は組織内の特定のグループに特定のアクセス許可と関連タスクを割り当てることができます。 この作業の分離は、標準とワークフローを維持するのに役立ち、組織の変化を制御するのに役立ちます。

分割アクセス許可の最上位レベルは、Exchange 管理と Active Directory 管理の分離です。 多くの組織には、サーバーと受信者を含む組織の Exchange インフラストラクチャを管理する管理者と、Active Directory インフラストラクチャを管理する管理者という 2 つのグループがあります。 Active Directory インフラストラクチャは多くの場所、ドメイン、サービス、アプリケーション、さらには Active Directory フォレストにまたがることが多いため、これは多くの組織にとって重要な分離です。 Active Directory 管理者は、Active Directory に加えられた変更が他のサービスに悪影響を与えないようにする必要があります。 その結果、通常、そのインフラストラクチャの管理が許可される管理者のグループはごくわずかです。

同時に、サーバーや受信者を含む Exchange のインフラストラクチャも複雑になり、専門的な知識が必要になる場合があります。 さらに、Exchange は組織のビジネスに関する極めて機密性の高い情報を格納します。 Exchange 管理者は、このような情報にアクセスする可能性が高くなります。 Exchange 管理者数を制限すると、組織は Exchange の構成を変更できる人物、および機密情報にアクセスできる人物を制限できます。

通常、分割アクセス許可は、ユーザーやセキュリティ グループなどの Active Directory でのセキュリティ プリンシパルの作成と、それらのオブジェクトの後続の構成を区別します。 これにより、アクセスを許可するオブジェクトを作成できるユーザーを制御することで、ネットワークへの不正アクセスの可能性を減らすことができます。 多くの場合、セキュリティ プリンシパルを作成できるのは Active Directory 管理者だけですが、Exchange 管理者などの他の管理者は、既存の Active Directory オブジェクトの特定の属性を管理できます。

Exchange と Active Directory の管理を分離するさまざまなニーズをサポートするために、Exchange 2013 では、共有アクセス許可モデルと分割アクセス許可モデルのどちらを使用するかを選択できます。 Exchange 2013 には、RBAC と Active Directory の 2 種類の分割アクセス許可モデルが用意されています。 Exchange 2013 の既定値は、共有アクセス許可モデルです。

ロールベースのAccess Controlと Active Directory の説明

分割アクセス許可を理解するには、Exchange 2013 のロール ベースのAccess Control (RBAC) アクセス許可モデルが Active Directory でどのように機能するかを理解する必要があります。 RBAC モデルは、アクションを実行できるユーザーと、それらのアクションを実行できるオブジェクトを制御します。 このトピックで説明する RBAC のさまざまなコンポーネントの詳細については、「ロールベースのAccess Controlについて」を参照してください。

Exchange 2013 では、Exchange オブジェクトに対して実行されるすべてのタスクは、Exchange 管理シェルまたは Exchange 管理センター (EAC) インターフェイスを使用して実行する必要があります。 どちらの管理ツールも RBAC を使用して、実行されるすべてのタスクを承認します。

RBAC は、Exchange 2013 を実行しているすべてのサーバーに存在するコンポーネントです。 RBAC は、アクションを実行するユーザーが承認されているかどうかを確認します。

  • ユーザーがアクションの実行を承認されていない場合、RBAC はアクションの続行を許可しません。

  • ユーザーがアクションを実行する権限を持つ場合、RBAC は、要求されている特定のオブジェクトに対してアクションを実行する権限があるかどうかを確認します。

    • ユーザーが承認されている場合、RBAC によってアクションの続行が許可されます。

    • ユーザーが承認されていない場合、RBAC はアクションの続行を許可しません。

RBAC でアクションの続行が許可されている場合、アクションは、ユーザーのコンテキストではなく、Exchange 信頼されたサブシステムのコンテキストで実行されます。 Exchange Trusted Subsystem は、Exchange 組織内のすべての Exchange 関連オブジェクトに対する読み取り/書き込みアクセス権を持つ、高い特権を持つユニバーサル セキュリティ グループ (USG) です。 また、管理者ローカル セキュリティ グループと Exchange Windows アクセス許可 USG のメンバーでもあります。これにより、Exchange は Active Directory オブジェクトを作成および管理できます。

警告

Exchange Trusted Subsystem セキュリティ グループのメンバーシップを手動で変更しないでください。 また、オブジェクト アクセス制御リスト (ACL) に追加したり、オブジェクト アクセス制御リスト (ACL) から削除したりしないでください。 Exchange Trusted Subsystem USG を自分で変更すると、Exchange 組織に回復不可能な損害が発生する可能性があります。

Exchange 管理ツールを使用する場合、ユーザーが持つ Active Directory アクセス許可は関係ないことを理解しておくことが重要です。 ユーザーが RBAC を介して Exchange 管理ツールでアクションを実行することを承認されている場合、ユーザーは Active Directory のアクセス許可に関係なくアクションを実行できます。 逆に、ユーザーが Active Directory のエンタープライズ 管理であっても、Exchange 管理ツールでメールボックスの作成などのアクションを実行する権限がない場合、ユーザーには RBAC に従って必要なアクセス許可がないため、アクションは成功しません。

重要

RBAC アクセス許可モデルはActive Directory ユーザーとコンピューター管理ツールには適用されませんが、Active Directory ユーザーとコンピューターは Exchange 構成を管理できません。 そのため、ユーザーは Active Directory オブジェクトの一部の属性 (ユーザーの表示名など) を変更するアクセス権を持つことができますが、Exchange 属性を管理するには、Exchange 管理ツールを使用する必要があるため、RBAC によって承認されている必要があります。

共有のアクセス許可

共有アクセス許可モデルは、Exchange 2013 の既定のモデルです。 これが使用するアクセス許可モデルである場合は、何も変更する必要はありません。 このモデルでは、Exchange および Active Directory オブジェクトの管理が Exchange 管理ツール内から分離されることはありません。 これにより、管理者は Exchange 管理ツールを使用して、Active Directory でセキュリティ プリンシパルを作成できます。

次の表は、Exchange でのセキュリティ プリンシパルの作成を可能にする役割と、これらの役割を既定で割り当てられる管理役割グループを示しています。

管理役割 役割グループ
"メール受信者の作成" 役割 組織の管理

受信者の管理

"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割 組織の管理

メール受信者作成ロールが割り当てられている役割グループ、ユーザー、または USG のみが、Active Directory ユーザーなどのセキュリティ プリンシパルを作成できます。 既定では、組織の管理と受信者管理の役割グループには、このロールが割り当てられます。 そのため、これらのロール グループのメンバーはセキュリティ プリンシパルを作成できます。

セキュリティ グループの作成ロールとメンバーシップ ロールが割り当てられているロール グループ、ユーザー、または USG のみが、セキュリティ グループを作成したり、メンバーシップを管理したりできます。 既定では、このロールは Organization Management ロール グループにのみ割り当てられます。 そのため、セキュリティ グループのメンバーシップを作成または管理できるのは、Organization Management ロール グループのメンバーのみです。

他のユーザーがセキュリティ プリンシパルを作成できるようにする場合は、メール受信者作成ロールとセキュリティ グループ作成ロールとメンバーシップ ロールを他のロール グループ、ユーザー、または USG に割り当てることができます。

Exchange 2013 で既存のセキュリティ プリンシパルの管理を有効にするには、既定でメール受信者ロールが組織の管理役割グループと受信者管理役割グループに割り当てられます。 既存のセキュリティ プリンシパルを管理できるのは、メール受信者ロールが割り当てられているロール グループ、ユーザー、または USG のみです。 他の役割グループ、ユーザー、または USG が既存のセキュリティ プリンシパルを管理できるようにするには、メール受信者ロールを割り当てる必要があります。

ロール グループ、ユーザー、または USG にロールを追加する方法の詳細については、次のトピックを参照してください。

分割アクセス許可モデルに切り替えて、共有アクセス許可モデルに戻す場合は、「共有アクセス 許可の Exchange 2013 を構成する」を参照してください。

分割アクセス許可

組織が Exchange 管理と Active Directory 管理を分離する場合は、分割アクセス許可モデルをサポートするように Exchange を構成する必要があります。 正しく構成されている場合、Active Directory 管理者などのセキュリティ プリンシパルを作成する管理者のみがこれを行うことができ、Exchange 管理者のみが既存のセキュリティ プリンシパルの Exchange 属性を変更できます。 このアクセス許可の分割は、Active Directory のドメインと構成パーティションの行にほぼ沿って行われます。 パーティションは、名前付けコンテキストとも呼ばれます。 ドメイン パーティションには、特定のドメインのユーザー、グループ、およびその他のオブジェクトが格納されます。 構成パーティションには、Exchange などの Active Directory を使用したサービスのフォレスト全体の構成情報が格納されます。 ドメイン パーティションに格納されているデータは通常、Active Directory 管理者によって管理されますが、オブジェクトには Exchange 管理者が管理できる Exchange 固有の属性が含まれている場合があります。 構成パーティションに格納されているデータは、このパーティションにデータを格納する各サービスの管理者によって管理されます。 Exchange の場合、これは通常 Exchange 管理者です。

Exchange 2013 では、次の 2 種類の分割アクセス許可がサポートされています。

  • RBAC 分割アクセス許可: Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成するためのアクセス許可は、RBAC によって制御されます。 セキュリティ プリンシパルを作成できるのは、Exchange サーバー、サービス、および適切な役割グループのメンバーであるユーザーのみです。

  • Active Directory の分割アクセス許可: Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成するためのアクセス許可は、Exchange ユーザー、サービス、またはサーバーから完全に削除されます。 RBAC でセキュリティ プリンシパルを作成するオプションは用意されていません。 Active Directory でセキュリティ プリンシパルを作成する場合は、Active Directory 管理ツールを使用する必要があります。

    重要

    Active Directory の分割アクセス許可は、Exchange 2013 がインストールされているコンピューターでセットアップを実行することで有効または無効にすることができますが、Active Directory の分割アクセス許可の構成は Exchange 2013 サーバーと Exchange 2010 サーバーの両方に適用されます。 ただし、Microsoft Exchange Server 2007 サーバーには影響しません。

組織が共有アクセス許可ではなく分割アクセス許可モデルを使用することを選択した場合は、RBAC 分割アクセス許可モデルを使用することをお勧めします。 RBAC 分割アクセス許可モデルでは、Active Directory の分割アクセス許可とほぼ同じ管理の分離を提供しながら、柔軟性が大幅に向上します。ただし、Exchange サーバーとサービスが RBAC 分割アクセス許可モデルでセキュリティ プリンシパルを作成できる点が例外です。

セットアップ中に Active Directory の分割アクセス許可を有効にするかどうかを確認するメッセージが表示されます。 Active Directory 分割アクセス許可を有効にした場合は、セットアップを再実行して Active Directory 分割アクセス許可を無効にすることによってのみ、共有アクセス許可または RBAC 分割アクセス許可に変更できます。 この選択は、組織内のすべての Exchange 2010 および Exchange 2013 サーバーに適用されます。

以降のセクションでは、RBAC と Active Directory の分割アクセス許可について詳しく説明します。

RBAC 分割型アクセス許可

RBAC セキュリティ モデルは、Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成できるユーザーと、Active Directory 構成パーティション内の Exchange 組織データを管理するユーザーを分離するために、既定の管理ロールの割り当てを変更します。 メールボックスや配布グループを持つユーザーのようなセキュリティ プリンシパルは、"Mail Recipient Creation/メール受信者の作成" 役割および "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割のメンバーである管理者が作成できます。 これらのアクセス許可は、Exchange 管理ツールの外部でセキュリティ プリンシパルを作成するために必要なアクセス許可とは別のままです。 "Mail Recipient Creation/メール受信者の作成" 役割または "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割が割り当てられていない Exchange 管理者は、セキュリティ プリンシパルの Exchange 関連属性を変更できます。 Active Directory 管理者は、Exchange 管理ツールを使用して Active Directory セキュリティ プリンシパルを作成することもできます。

Exchange サーバーと Exchange 信頼されたサブシステムには、RBAC と統合されるユーザーとサード パーティのプログラムに代わって、Active Directory にセキュリティ プリンシパルを作成するアクセス許可もあります。

RBAC 分割アクセス許可は、次のことが当てはまる場合に組織に適しています。

  • 組織では、Active Directory 管理ツールのみを使用し、特定の Active Directory アクセス許可が割り当てられているユーザーのみがセキュリティ プリンシパルの作成を実行する必要はありません。

  • 組織では、Exchange サーバーなどのサービスでセキュリティ プリンシパルを作成できます。

  • Exchange 管理ツール内からメールボックス、メールが有効なユーザー、配布グループ、役割グループを作成するために必要なプロセスを簡略化する必要があります。

  • Exchange 管理ツール内で配布グループと役割グループのメンバーシップを管理する必要があります。

  • Exchange サーバーに代わってセキュリティ プリンシパルを作成できるようにする必要があるサード パーティ製のプログラムがあります。

組織で Exchange 管理ツールまたは Exchange サービスを使用して Active Directory 管理を実行できない Exchange と Active Directory の管理を完全に分離する必要がある場合は、このトピックの後半の「Active Directory の分割アクセス許可」セクションを参照してください。

共有アクセス許可から RBAC 分割アクセス許可への切り替えは、既定で付与されている役割グループからセキュリティ プリンシパルを作成するために必要なアクセス許可を削除する手動プロセスです。

次の表は、Exchange でのセキュリティ プリンシパルの作成を可能にする役割と、これらの役割を既定で割り当てられる管理役割グループを示しています。

管理役割 役割グループ
"メール受信者の作成" 役割 組織の管理

受信者の管理

"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割 組織の管理

既定では、Organization Management ロール グループと Recipient Management ロール グループのメンバーはセキュリティ プリンシパルを作成できます。 組み込みの役割グループから作成する新しい役割グループにセキュリティ プリンシパルを作成する機能を移行する必要があります。

RBAC 分割アクセス許可を構成するには、次の操作を行う必要があります。

  1. Active Directory 分割型アクセス許可が有効になっている場合は無効にします。

  2. セキュリティ プリンシパルを作成できる Active Directory 管理者を含むロール グループを作成します。

  3. "Mail Recipient Creation/メール受信者の作成" 役割と新しい役割グループの間に、正規および委任の役割の割り当てを作成します。

  4. "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割と新しい役割グループの間に、正規および委任の役割の割り当てを作成します。

  5. "Mail Recipient Creation/メール受信者の作成" 役割と、"Organization Management/組織の管理" および "Recipient Management/受信者の管理" 役割グループの間の、正規および委任の役割の割り当てを削除します。

  6. "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割と "Organization Management/組織の管理" 役割グループの間の、正規および委任の役割の割り当てを削除します。

これを行うと、作成した新しい役割グループのメンバーのみが、メールボックスなどのセキュリティ プリンシパルを作成できるようになります。 新しいグループは、オブジェクトのみを作成できます。 新しいオブジェクトで Exchange 属性を構成することはできません。 新しいグループのメンバーである Active Directory 管理者は、オブジェクトを作成する必要があります。その後、Exchange 管理者はオブジェクトに対して Exchange 属性を構成する必要があります。 Exchange 管理者は、次のコマンドレットを使用できません。

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

ただし、Exchange 管理者は、トランスポート ルール、配布グループなどの Exchange 固有のオブジェクトを作成および管理し、任意のオブジェクトに対して Exchange 関連の属性を管理できます。

さらに、EAC とOutlook Web Appに関連付けられている機能 (新しいメールボックス ウィザードなど) も使用できなくなります。また、使用しようとするとエラーが発生します。

新しい役割グループが新しいオブジェクトの Exchange 属性も管理できるようにする場合は、メール受信者ロールも新しい役割グループに割り当てる必要があります。

分割アクセス許可モデルの構成の詳細については、「Exchange 2013 の分割アクセス許可の構成」を参照してください。

Active Directory の分割型アクセス許可

Active Directory 分割型アクセス許可では、Active Directory 管理ツールを使用して、メールボックスや配布グループなどの Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成する必要があります。 Exchange の信頼されたサブシステムと Exchange サーバーに付与されるアクセス許可にいくつかの変更が加えられ、Exchange 管理者とサーバーが実行できる操作が制限されます。 次の機能の変更は、Active Directory の分割型アクセス許可を有効にすると発生します。

  • メールボックス、メールが有効なユーザー、配布グループ、およびその他のセキュリティ プリンシパルの作成は、Exchange 管理ツールから取り除かれます。

  • 配布グループ メンバーの追加と削除は、Exchange 管理コンソールからは実行できません。

  • セキュリティ プリンシパルを作成するために Exchange Trusted Subsystem および Exchange サーバーに与えられたすべてのアクセス許可は削除されます。

  • Exchange サーバーと Exchange 管理ツールは、Active Directory 内の既存のセキュリティ プリンシパルの Exchange 属性のみを変更できます。

たとえば、Active Directory の分割アクセス許可が有効になっているメールボックスを作成するには、まず、必要な Active Directory アクセス許可を持つユーザーが Active Directory ツールを使用してユーザーを作成する必要があります。 その後、ユーザーは Exchange 管理ツールを使用してメールボックスを有効にすることができます。 Exchange 管理ツールを使用する Exchange 管理者は、メールボックスの Exchange 関連の属性のみを変更できます。

Active Directory の分割アクセス許可は、次のことが当てはまる場合に組織に適しています。

  • 組織では、Active Directory 管理ツールのみを使用するか、Active Directory で特定のアクセス許可を付与されているユーザーのみがセキュリティ プリンシパルを作成する必要があります。

  • Exchange 組織を管理するユーザーからセキュリティ プリンシパルを作成する機能を完全に分離する必要があります。

  • Active Directory 管理ツールを使用して、配布グループの作成やグループのメンバーの追加と削除など、すべての配布グループ管理を実行する必要があります。

  • Exchange サーバー、または Exchange を代わりに使用するサード パーティのプログラムがセキュリティ プリンシパルを作成することは望まれません。

重要

Active Directory 分割アクセス許可への切り替えは、セットアップ ウィザードを使用するか、コマンド ラインから実行中setup.exeActiveDirectorySplitPermissions パラメーターを使用して、Exchange 2013 をインストールするときに選択できます。 また、コマンド ラインから再実行 setup.exe することで、Exchange 2013 をインストールした後に Active Directory の分割アクセス許可を有効または無効にすることもできます。

Active Directory の分割アクセス許可を有効にするには、 ActiveDirectorySplitPermissions パラメーターをtrue設定します。 無効にするには、 に設定します false必ず、ActiveDirectorySplitPermissions パラメーターと共に PrepareAD スイッチを指定する必要があります。

同じフォレスト内に複数のドメインがある場合は、Active Directory 分割アクセス許可を適用するときに PrepareAllDomains スイッチを指定するか、各ドメインで PrepareDomain スイッチを使用してセットアップを実行する必要もあります。 PrepareAllDomains スイッチを使用するのではなく、各ドメインで PrepareDomain スイッチを使用してセットアップを実行する場合は、Exchange サーバーがアクセスできる Exchange サーバー、メールが有効なオブジェクト、またはグローバル カタログ サーバーを含むすべてのドメインを準備する必要があります。

ドメイン コントローラーに Exchange 2010 または Exchange 2013 をインストールしている場合、Active Directory の分割アクセス許可を有効にすることはできません。

Active Directory の分割アクセス許可を有効または無効にした後、組織内の Exchange 2010 および Exchange 2013 サーバーを再起動して、更新されたアクセス許可を持つ新しい Active Directory アクセス トークンを強制的に取得することをお勧めします。

Exchange 2013 は、Exchange Windows アクセス許可セキュリティ グループからアクセス許可とメンバーシップを削除することで、Active Directory の分割アクセス許可を実現します。 このセキュリティ グループは、共有アクセス許可と RBAC 分割アクセス許可で、Active Directory 全体の多くの Exchange 以外のオブジェクトと属性に対するアクセス許可を与えられます。 このセキュリティ グループへのアクセス許可とメンバーシップを削除することで、Exchange 管理者とサービスは、Exchange Active Directory 以外のオブジェクトを作成または変更できなくなります。

Active Directory の分割アクセス許可を有効または無効にするときに Exchange Windows アクセス許可セキュリティ グループとその他の Exchange コンポーネントに対して発生する変更の一覧については、次の表を参照してください。

注:

Exchange 管理者がセキュリティ プリンシパルを作成できるようにする役割グループへのロールの割り当ては、Active Directory の分割アクセス許可が有効になっていると削除されます。 これは、関連する Active Directory オブジェクトを作成するためのアクセス許可がないため、実行時にエラーが発生するコマンドレットへのアクセス権を削除するために行われます。

Active Directory の分割アクセス許可の変更

アクション Exchange による変更
最初の Exchange 2013 サーバーのインストール中に Active Directory の分割アクセス許可を有効にする 次は、セットアップ ウィザードを使用するか、 パラメーターと /ActiveDirectorySplitPermissions:true パラメーターを使用して実行setup.exeすることで、Active Directory の分割アクセス許可を有効にした場合に/PrepareAD発生します。
  • Microsoft Exchange 保護グループと呼ばれる組織単位 (OU) が作成されます。
  • Exchange Windows アクセス許可セキュリティ グループは、Microsoft Exchange 保護グループ OU に作成されます。
  • Exchange 信頼されたサブシステム セキュリティ グループは、Exchange Windows アクセス許可セキュリティ グループには追加されません。
  • 次の管理ロールの種類を持つ管理ロールへの委任されていない管理ロールの割り当ての作成はスキップされます。
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Exchange Windows アクセス許可セキュリティ グループに割り当てられたアクセス制御エントリ (ACE) は、Active Directory ドメイン オブジェクトには追加されません。

PrepareAllDomains または PrepareDomain スイッチを使用してセットアップを実行すると、準備された各子ドメインで次の処理が行われます。

  • Exchange Windows アクセス許可セキュリティ グループに割り当てられている ACE はすべて、ドメイン オブジェクトから削除されます。
  • ACE は、 Exchange Windows アクセス許可 セキュリティ グループに割り当てられている ACE を除き、各ドメインで設定されます。
共有アクセス許可または RBAC 分割アクセス許可から Active Directory 分割アクセス許可に切り替える と パラメーターを指定してコマンドをsetup.exe実行すると、次の処理が/PrepareAD/ActiveDirectorySplitPermissions:true行われます。
  • Microsoft Exchange 保護グループと呼ばれる OU が作成されます。
  • Exchange Windows アクセス許可セキュリティ グループが Microsoft Exchange 保護グループ OU に移動されます。
  • Exchange 信頼されたサブシステム セキュリティ グループは、Exchange Windows アクセス許可セキュリティ グループから削除されます。
  • 次のロールの種類を持つ管理ロールへの委任されていないロールの割り当ては削除されます。
    • MailRecipientCreation
    • SecurityGroupCreationandMembership
  • Exchange Windows アクセス許可セキュリティ グループに割り当てられている ACE はすべて、ドメイン オブジェクトから削除されます。

PrepareAllDomains または PrepareDomain スイッチを使用してセットアップを実行すると、準備された各子ドメインで次の処理が行われます。

  • Exchange Windows アクセス許可セキュリティ グループに割り当てられている ACE はすべて、ドメイン オブジェクトから削除されます。
  • ACE は、 Exchange Windows アクセス許可 セキュリティ グループに割り当てられている ACE を除き、各ドメインで設定されます。
Active Directory の分割アクセス許可から共有アクセス許可または RBAC 分割アクセス許可に切り替える と パラメーターを指定してコマンドをsetup.exe実行すると、次の処理が/PrepareAD/ActiveDirectorySplitPermissions:false行われます。
  • Exchange Windows アクセス許可セキュリティ グループが Microsoft Exchange セキュリティ グループ OU に移動されます。
  • Microsoft Exchange 保護グループ OU が削除されます。
  • Exchange 信頼されたサブシステム セキュリティ グループが Exchange Windows アクセス許可セキュリティ グループに追加されます。
  • ACE は、 Exchange Windows アクセス許可 セキュリティ グループのドメイン オブジェクトに追加されます。

PrepareAllDomains または PrepareDomain スイッチを使用してセットアップを実行すると、準備された各子ドメインで次の処理が行われます。

  • ACE は、 Exchange Windows アクセス許可 セキュリティ グループのドメイン オブジェクトに追加されます。
  • ACE は、 Exchange Windows アクセス許可 セキュリティ グループに割り当てられた ACE を含む各ドメインで設定されます。

Active Directory から共有アクセス許可に切り替えるときに、メール受信者の作成ロールとセキュリティ グループの作成ロールとメンバーシップ ロールへのロールの割り当てが自動的に作成されることはありません。 Active Directory の分割アクセス許可が有効になる前にロールの割り当てを委任することがカスタマイズされた場合、それらのカスタマイズはそのまま残ります。 これらのロールと組織の管理役割グループの間にロールの割り当てを作成するには、「 共有アクセス許可の Exchange 2013 を構成する」を参照してください。

Active Directory 分割型アクセス許可を有効にすると、次のコマンドレットは使用できなくなります。

  • New-Mailbox
  • New-MailContact
  • New-MailUser
  • New-RemoteMailbox
  • Remove-Mailbox
  • Remove-MailContact
  • Remove-MailUser
  • Remove-RemoteMailbox

Active Directory の分割アクセス許可を有効にすると、次のコマンドレットにアクセスできますが、配布グループの作成や配布グループのメンバーシップの変更には使用できません。

  • Add-DistributionGroupMember
  • New-DistributionGroup
  • Remove-DistributionGroup
  • Remove-DistributionGroupMember
  • Update-DistributionGroupMember

一部のコマンドレットは引き続き使用できますが、Active Directory の分割アクセス許可で使用する場合にのみ機能が制限される場合があります。 これは、ドメイン Active Directory パーティション内の受信者オブジェクトと、構成 Active Directory パーティション内の Exchange 構成オブジェクトを構成できる可能性があるためです。 また、ドメイン パーティションに格納されているオブジェクトに対して Exchange 関連の属性を構成することもできます。 コマンドレットを使用してオブジェクトを作成したり、オブジェクトに対して Exchange に関連しない属性を変更したりしようとすると、ドメイン パーティションでエラーが発生します。 たとえば、メールボックスにアクセス許可を追加しようとすると、 Add-ADPermission コマンドレットによってエラーが返されます。 ただし、受信コネクタに対するアクセス許可を構成すると、 Add-ADPermission コマンドレットは成功します。 これは、受信コネクタが構成パーティションに格納されている間、メールボックスがドメイン パーティションに格納されるためです。

さらに、Exchange 管理センターとOutlook Web Appに関連付けられている機能 (新しいメールボックス ウィザードなど) も使用できなくなります。また、使用しようとするとエラーが発生します。

ただし、Exchange 管理者は、トランスポート ルールなどの Exchange 固有のオブジェクトを作成および管理できます。

Active Directory の分割アクセス許可モデルの構成の詳細については、「Exchange 2013 の分割アクセス許可の構成」を参照してください。