Lync Server 2013 での役割ベースのアクセス制御の計画
トピック最終更新日時: 2015-01-27
セキュリティの高い標準を維持しながら管理タスクを委任できるように、Lync Server 2013 にはロールベースのアクセス制御 (RBAC) が用意されています。 RBAC では、管理者ロールにユーザーを割り当てることで、管理者特権が付与されます。 Lync Server 2013 には、組み込みの管理ロールの豊富なセットが含まれています。また、新しいロールを作成し、新しいロールごとにコマンドレットのカスタム リストを指定することもできます。 また、定義済み RBAC 役割およびカスタム RBAC 役割の許可されたタスクに、コマンドレットのスクリプトを追加することもできます。
サーバーのセキュリティと一元化の強化
RBAC では、アクセスと承認は、ユーザーの Lync Server ロールに基づいています。 これにより、"最小特権" のセキュリティプラクティスを使用して、管理者とユーザーに自分の仕事に必要な権限のみを付与できます。
大事な
RBAC の制限は、Lync Server コントロール パネルまたは Lync Server Management Shell を使用して、リモートで作業している管理者にのみ適用されます。 Lync Server を実行しているサーバーに座っているユーザーは、RBAC によって制限されません。 そのため、RBAC の制限を保持するには、Lync Server の物理的なセキュリティが重要です。
ロールとスコープ
RBAC では、特定の種類の管理者または技術者に役立つように設計されたコマンドレットの一覧を使用する ロール が有効になります。 スコープは、ロールで定義されたコマンドレットが操作できるオブジェクトのセットです。 スコープが影響を受けるオブジェクトは、ユーザー アカウント (組織単位でグループ化) またはサーバー (サイト別にグループ化) のいずれかです。
次の表に、Lync Server の定義済みのロールの一覧と、各タスクで実行できるタスクの一般的な概要を示します。 4 番目の列には、Lync Server ロールごとに同様のMicrosoft Exchange Serverロールが表示されます (存在する場合)。
定義済みの管理ロール
| 役割 | 許可されるタスク | 基になる Active Directory グループ | Exchange に相当する |
|---|---|---|---|
CsAdministrator |
すべての管理タスクを実行し、ロールの作成やロールへのユーザーの割り当てなど、すべての設定を変更できます。 新しいサイト、プール、およびサービスを追加することで、展開を拡張できます。 |
CSAdministrator |
組織の管理 |
CsUserAdministrator |
Lync Server のユーザーを有効または無効にしたり、ユーザーを移動したり、既存のポリシーをユーザーに割り当てたりできます。 ポリシーを変更できません。 |
CSUserAdministrator |
メール受信者 |
CsVoiceAdministrator |
音声関連の設定とポリシーを作成、構成、管理できます。 |
CSVoiceAdministrator |
該当なし |
CsServerAdministrator |
サーバーとサービスを管理、監視、トラブルシューティングできます。 サーバーへの新しい接続の防止、サービスの停止と開始、ソフトウェア更新プログラムの適用を行うことができます。 グローバル構成の影響を受けて変更を加えることはできません。 |
CSServerAdministrator |
サーバー管理 |
CsViewOnlyAdministrator |
デプロイの正常性を監視するために、ユーザーとサーバーの情報を含むデプロイを表示できます。 |
CSViewOnlyAdministrator |
View-Only組織管理 |
CsHelpDesk |
ユーザーのプロパティやポリシーなど、デプロイを表示できます。 特定のトラブルシューティング タスクを実行できます。 ユーザーのプロパティ、ポリシー、サーバー構成、またはサービスを変更することはできません。 |
CSHelpDesk |
ヘルプデスク |
CsArchivingAdministrator |
アーカイブの構成とポリシーを変更できます。 |
CSArchivingAdministrator |
保持管理、訴訟ホールド |
CsResponseGroupAdministrator |
サイト内の応答グループ アプリケーションの構成を管理できます。 |
CSResponseGroupAdministrator |
該当なし |
CsLocationAdministrator |
拡張 9-1-1 (E9-1-1) 管理の最低レベルの権限 (E9-1-1 の場所とネットワーク識別子の作成、相互の関連付けなど)。 このロールは常にグローバル スコープで割り当てられます。 |
CSLocationAdministrator |
該当なし |
CsResponseGroupManager |
特定の応答グループを管理できます。 |
CSResponseGroupManager |
該当なし |
CsPersistentChatAdministrator |
常設チャット機能と特定の常設チャット ルームを管理できます。 |
CSPersistentChatAdministrator |
該当なし |
Lync Server に付属するすべての定義済みロールには、グローバル スコープがあります。 最小限の特権プラクティスに従うために、ユーザーが制限されたサーバーまたはユーザーのセットのみを管理する場合は、グローバル スコープを持つロールにユーザーを割り当てないようにしてください。 これを実現するために、既存のロールに基づいて、スコープが制限されたロールを作成できます。
スコープ付きロールの作成
スコープが制限されたロール (スコープ付きロール) を作成する場合は、スコープと、それが基になっている既存のロール、およびロールを割り当てる Active Directory グループを指定します。 指定する Active Directory グループは、既に作成されている必要があります。 次のコマンドレットは、定義済みの管理ロールの 1 つの特権を持ち、スコープが制限されたロールを作成する例です。 という名前 Site01 Server Administratorsの新しいロールが作成されます。 このロールには、定義済みの CsServerAdministrator ロールの機能がありますが、Site01 サイト内のサーバーに対してのみ機能します。 このコマンドレットを機能させるには、Site01 サイトが既に定義されていて、名前付きの Site01 Server Administrators ユニバーサル セキュリティ グループが既に存在している必要があります。
New-CsAdminRole -Identity "Site01 Server Administrators" -Template CsServerAdministrator -ConfigScopes "site:Site01"
このコマンドレットを実行すると、グループの Site01 Server Administrators メンバーであるすべてのユーザーに、Site01 内のサーバーのサーバー管理者権限が付与されます。 さらに、後でこのユニバーサル セキュリティ グループに追加されたすべてのユーザーも、このロールの特権を取得します。 ロール自体と、割り当てられているユニバーサル セキュリティ グループの両方が呼び出 Site01 Server Administratorsされることに注意してください。
次の例では、サーバー スコープではなくユーザー スコープを制限します。 Sales 組織単位で Sales Users Administrator ユーザー アカウントを管理するロールが作成されます。 このコマンドレットを機能させるには、SalesUsersAdministrator ユニバーサル セキュリティ グループを既に作成する必要があります。
New-CsAdminRole -Identity "Sales Users Administrator " -Template CsUserAdministrator -UserScopes "OU:OU=Sales, OU=Lync Tenants, DC=Domain, DC=com"
新しいロールの作成
定義済みのロールの 1 つではなく、一連のコマンドレットまたは一連のスクリプトまたはモジュールにアクセスできるロールを作成するには、定義済みのロールの 1 つをテンプレートとして使用します。 ロールを実行できるようにするスクリプトとモジュールは、次の場所に格納する必要があることに注意してください。
既定では C:\Program Files\Common Files\Microsoft Lync Server 2013\Modules\Lync である Lync モジュール パス。
既定では C:\Program Files\Common Files\Microsoft Lync Server 2013\AdminScripts であるユーザー スクリプト パス。
新しいロールを作成するには、 New-CsAdminRole コマンドレットを使用します 。 New-CsAdminRole を実行する前に、このロールに関連付けられる基になるユニバーサル セキュリティ グループを最初に作成する必要があります。
次のコマンドレットは、新しいロールを作成する例として機能します。 という名前の新しいロールの種類を作成します MyHelpDeskScriptRole。 新しいロールには、定義済みの CsHelpDesk ロールの機能があり、さらに "testscript" という名前のスクリプトで関数を実行できます。
New-CsAdminRole -Identity "MyHelpDeskScriptRole" -Template CsHelpDesk -ScriptModules @{Add="testScript.ps1"}
このコマンドレットを機能させるには、最初にユニバーサル セキュリティ グループ MyHelpDeskScriptRole を作成しておく必要があります。
このコマンドレットを実行した後は、このロールに直接ユーザーを割り当てたり (その場合はグローバル スコープを持つ) ことができます。また、このロールに基づいてスコープ 付きロールを作成することもできます(このドキュメントの「スコープ付きロールの作成」で説明しました)。
ユーザーへのロールの割り当て
各 Lync Server ロールは、基になる Active Directory ユニバーサル セキュリティ グループに関連付けられます。 基になるグループに追加するすべてのユーザーは、そのロールの能力を得ています。
前のセクションの例では、どちらも新しいロールを作成し、既存のユニバーサル セキュリティ グループを新しいロールに割り当てます。 既存のロールを 1 人以上のユーザーに割り当てるには、そのユーザーをロールに関連付けられているグループに追加します。 これらのグループには、個々のユーザーとユニバーサル セキュリティ グループの両方を追加できます。
たとえば、 CsAdministrator ロールは、Active Directory の CS Administrators ユニバーサル セキュリティ グループに自動的に付与されます。 このユニバーサル セキュリティ グループは、Lync Server を展開するときに Active Directory に作成されます。 ユーザーまたはグループにこの特権を付与するには、ユーザーまたはグループを CS Administrators グループに追加するだけです。
ユーザーには、各ロールに対応する基になる Active Directory グループに追加することで、複数の RBAC ロールを割り当てることができます。
ロールを作成すると、後で基になる Active Directory グループに追加されたユーザーは、そのロールの機能を利用することに注意してください。
ロールのアビリティを変更する
ロールが実行できるコマンドレットとスクリプトの一覧を変更できます。 カスタム ロールを実行できるコマンドレットとスクリプトの両方を変更できますが、定義済みのロールのスクリプトのみを変更できます。 入力した各コマンドレットは、コマンドレットまたはスクリプトを追加、削除、または置き換えることができます。
ロールを変更するには、 Set-CsAdminRole コマンドレットを 使用します。 次のコマンドレットは、ロールから 1 つのスクリプトを削除します。
Set-CsAdminRole -Identity "MyHelpDeskScriptRole" -ScriptModules @{Remove="testScript.ps1"}
RBAC の計画
Lync Server の展開に対してあらゆる種類の管理者権限を与えられる各ユーザーについて、実行する必要があるタスクを正確に検討し、ジョブに必要な最小限の特権とスコープを持つロールに割り当てます。 必要に応じて、 Set-CsAdminRole コマンドレットを使用して、このユーザーのタスクに必要なコマンドレットのみを使用して新しいロールを作成できます。
CsAdministrator ロールを持つユーザーは、CsAdministrator に基づくロールを含むすべての種類のロールを作成し、それらにユーザーを割り当てることができます。 ベスト プラクティスは、CsAdministrator ロールを信頼できるユーザーのごく少数のセットに割り当てることです。