役割ベースのアクセス制御について

 

適用先:Exchange Online, Exchange Server 2013

トピックの最終更新日:2012-12-05

Role Based Access Control (RBAC) は、Microsoft Exchange Server 2013 で使用されるアクセス許可モデルです。RBAC を使用すると、Exchange Server 2007 で行っていたようなアクセス制御リスト (ACL) の変更や管理を行う必要はありません。Exchange 2007 では、ACL には、予期しない結果が発生しないように ACL を変更する、アップグレード中に ACL の変更を維持する、標準的以外の方法で ACL を使用したため発生した問題をトラブルシューティングするといった課題がありました。

RBAC を使用すると、管理者およびエンド ユーザーが実行できる操作を、広範なレベルと詳細なレベルの両方で制御できます。また、RBAC を使用すると、ユーザーと管理者に割り当てる役割を、組織内で保持する実際の役割に合わせることができます。Exchange 2007 では、サーバー アクセス許可モデルは、Exchange 2007 インフラストラクチャを管理する管理者のみに適用されていました。Exchange 2013 では、RBAC によって、実行可能な管理タスクとユーザーが自分のメールボックスと配布グループを管理できる範囲の両方を管理できるようになりました。

RBAC では、管理役割グループおよび管理役割割り当てポリシーの 2 つの主要な方法を使用して、ユーザーが管理者、専門家ユーザー、またはエンドユーザーであるかに応じて、組織内のユーザーにアクセス許可を割り当てます。各方法により、ユーザーは、ジョブの実行に必要なアクセス許可に関連付けられます。3 つ目として、直接ユーザー役割を割り当てるという、さらに高度な方法も使用することができます。このトピックの以下のセクションでは、RBAC を説明し、使用方法の例を示します。

メモメモ:
ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。

目次

管理役割グループ

管理役割の割り当てポリシー

直接のユーザー役割の割り当て

概要および例

詳細情報

管理役割グループ は、管理役割を管理者または専門家ユーザーのグループに関連付けます。管理者は、広範な Exchange 組織または受信者の構成を管理します。専門家ユーザーは、コンプライアンスなど Exchange の特定機能を管理します。あるいは、ヘルプ デスク メンバーなど制限された管理機能を持つ場合がありますが、広範な管理権限は付与されません。役割グループは、通常、管理者の管理役割を関連付けて管理者および専門家ユーザーが組織や受信者の構成を管理できるようにします。たとえば、管理者が受信者を管理できるかどうか、またはメールボックス検出機能を使用できるかどうかは、役割グループを使用して制御します。

役割グループへのユーザーの追加、または役割グループからのユーザーの削除は、管理者または専門家ユーザーにアクセス許可を割り当てる場合に最も頻繁に使用する方法です。詳細については、「管理役割グループについて」を参照してください。

役割グループは、管理者と専門家ユーザーが実行できる操作を定義する次のコンポーネントから構成されます。

  • 管理役割グループ 管理役割グループは、メールボックス、ユーザー、USG、役割グループのメンバーである他の役割グループを含む特別なユニバーサル セキュリティ グループ (USG) です。メンバーの追加や削除を行う場所であり、管理役割もここに割り当てられます。役割グループにおけるすべての役割の組み合わせによって、役割グループに追加されたメンバーが Exchange 組織で管理できるすべての要素を定義します。

  • 管理役割 管理役割は、管理役割エントリのグループ化用のコンテナーです。役割は、役割を割り当てられた役割グループのメンバーが実行できる特定のタスクを定義するために使用されます。管理役割エントリは、役割の各特定タスクを実行できるようにするコマンドレット、スクリプト、または特別なアクセス許可です。詳細については、「管理の役割について」を参照してください。

  • 管理役割の割り当て 管理役割の割り当ては、役割と役割グループを関連付けます。役割を役割グループに割り当てると、役割グループのメンバーに、役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。役割の割り当てでは、割り当てを使用できる場所を制御するため管理スコープを使用できます。詳細については、「管理役割の割り当てについて」を参照してください。

  • 管理役割スコープ 管理役割スコープは、役割の割り当てに影響を及ぼす範囲です。役割をスコープ付きで役割グループに割り当てた場合、割り当てで管理できるオブジェクトが管理スコープの対象となります。割り当ておよびそのスコープが役割グループのメンバーに適用され、これによってメンバーが管理できるものが制限されます。スコープは、サーバーまたはデータベース、組織単位 (OU)、あるいはサーバー、データベース、または受信者オブジェクトに対するフィルターで構成できます。詳細については、「管理役割スコープについて」を参照してください。

ユーザーを役割グループに追加すると、ユーザーには、役割グループに割り当てられたすべての役割が与えられます。スコープが、役割グループと役割間でいずれかの役割の割り当てに適用されている場合、これらのスコープは、ユーザーが管理可能なサーバーの構成または受信者を制御できます。

役割グループに割り当てられている役割を変更する場合、役割グループと役割を関連付けている役割の割り当てを変更する必要があります。Exchange 2013 に組み込まれている割り当てがニーズに合わない場合以外は、これらの割り当てを変更する必要はありません。詳細については、「管理役割の割り当てについて」を参照してください。

役割グループの詳細については、「管理役割グループについて」を参照してください。

管理役割の割り当てポリシーは、エンドユーザーの管理役割をユーザーに関連付けます。役割の割り当てポリシーは、ユーザーが自分のメールボックスまたは配布グループでできることを制御する役割で構成されます。これらの役割は、ユーザーと直接関連付けられた機能を管理することを許可しません。役割の割り当てポリシーを作成するときに、ユーザーが自分のメールボックスに対して行える操作をすべて定義できます。たとえば、役割の割り当てポリシーを使用すれば、ユーザーに表示名の設定、ボイス メールの設定、および受信トレイ ルールの構成を許可することができます。別の役割の割り当てポリシーでは、ユーザーにアドレスの変更、テキスト メッセージングの使用、および配布グループの設定を許可する場合があります。管理者を含む Exchange 2013 メールボックスを持つすべてのユーザーには、既定で役割の割り当てポリシーが与えられています。既定で割り当てるべき役割の割り当てポリシーを決定したり、既定の役割の割り当てポリシーに含むべきものを選択したり、特定のメールボックスに既定値を上書きしたり、既定で役割の割り当てポリシーを一切割り当てないようにしたりすることができます。

割り当てポリシーにユーザーを割り当てることは、自分のメールボックスや配布グループのオプションを管理するのにユーザーが必要とするアクセス許可を管理する場合に最も頻繁に使用する方法です。詳細については、「管理役割の割り当てポリシーについて」を参照してください。

役割の割り当てポリシーは、ユーザーが自分のメールボックスに対して実行できる操作を定義する次のコンポーネントから構成されます。同じコンポーネントの一部も役割グループに適用されることに注意してください。役割の割り当てポリシーと共に使用する場合、これらのコンポーネントは制限され、ユーザーは自分のメールボックスのみを管理できます。

  • 管理役割の割り当てポリシー 管理役割の割り当てポリシーは、Exchange 2013 の特別なオブジェクトです。ユーザーのメールボックスが作成されたとき、またはメールボックスの役割の割り当てポリシーを変更した場合に、ユーザーが役割の割り当てポリシーに関連付けられます。エンドユーザーの管理役割もこれに割り当てられます。役割の割り当てポリシーのすべての役割の組み合わせによって、ユーザーがメールボックスまたは配布グループで管理できるものがすべて定義されます。

  • 管理役割 管理役割は、管理役割エントリのグループ化用のコンテナーです。役割は、ユーザーがメールボックスまたは配布グループを使用して実行できる特定のタスクを定義するために使用されます。管理役割エントリは、管理役割の各特定タスクを実行できるようにするコマンドレット、スクリプト、または特別なアクセス許可です。エンドユーザー管理役割は、役割の割り当てポリシーでのみ使用できます。詳細については、「管理の役割について」を参照してください。

  • 管理役割の割り当て 管理役割の割り当ては、役割と役割の割り当てポリシー間の関連付けです。役割を役割の割り当てポリシーに割り当てると、役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。役割の割り当てポリシーと役割間の役割の割り当てを作成する場合、スコープを指定することはできません。割り当てによって適用されるスコープは Self または MyGAL です。すべての役割の割り当ては、ユーザーのメールボックスまたは配布グループにスコープが設定されます。詳細については、「管理役割の割り当てについて」を参照してください。

役割の割り当てポリシーに割り当てられている役割を変更する場合、役割の割り当てポリシーと役割を関連付けている役割の割り当てを変更する必要があります。Exchange 2013 に組み込まれている割り当てがニーズに合わない場合以外は、これらの割り当てを変更する必要はありません。詳細については、「管理役割の割り当てについて」を参照してください。

詳細については、「管理役割の割り当てポリシーについて」を参照してください。

直接の役割の割り当ては、役割グループまたは役割の割り当てポリシーを使用しないで、管理役割を直接ユーザーまたは USG に割り当てる高度な方法です。直接の役割の割り当ては、特定のユーザーだけに詳細なアクセス許可のセットを与える必要がある場合に役立ちます。ただし、直接の役割の割り当てを行うと、アクセス許可モデルが極めて複雑になる可能性があります。ユーザーの職務が変更されたり、またはユーザーが退社したりした場合、手動で割り当てを削除してから、新しい従業員に割り当てを追加する必要があります。管理者と専門家ユーザーにアクセス許可を割り当てるには役割グループを使用し、アクセス許可をユーザーに割り当てるには役割の割り当てポリシーを使用することをお勧めします。

直接ユーザーを割り当てる方法の詳細については、「管理役割の割り当てについて」を参照してください。

以下の図は、RBAC のコンポーネントと、これらのコンポーネントがどのように関連しているかを示しています。

  • 役割グループ:

    • 1 人または複数の管理者が役割グループのメンバーになることができます。これらの管理者は 1 つ以上の役割グループのメンバーになることもできます。

    • 役割グループには、1 つまたは複数の役割の割り当てが割り当てられます。これらによって、役割グループが、実行可能なタスクを定義する 1 つまたは複数の管理役割に関連付けられます。

    • 役割の割り当てには、役割グループのユーザーが操作を実行できる場所を定義する管理スコープを含むことができます。このスコープによって、役割グループのユーザーが構成を変更できる場所を決定できます。

  • 役割割り当てポリシー:

    • 1 人または複数のユーザーを役割割り当てポリシーに関連付けることができます。

    • 役割割り当てポリシーには、1 つまたは複数の役割の割り当てが割り当てられます。これらによって、役割割り当てポリシーが 1 つまたは複数のエンド ユーザー役割に関連付けられます。エンド ユーザー役割は、ユーザーが自分のメールボックスに構成可能なものを定義します。

    • 役割の割り当てポリシーと役割間の役割の割り当てには、割り当てのスコープをユーザー自身のメールボックスまたは配布グループに制限する組み込みのスコープが用意されています。

  • 直接の役割の割り当て (詳細)

    • 役割の割り当ては、ユーザーまたは USG と 1 つ以上の役割との間に直接作成できます。役割は、ユーザーまたは USG が実行できるタスクを定義します。

    • 役割の割り当てには、ユーザーまたは USG が操作を実行できる場所を定義する管理スコープを含むことができます。スコープは、ユーザーまたは USG が構成を変更できる場所を決定します。

RBAC 概要

RBAC コンポーネントの関係

上の図に示すように、RBAC の多くのコンポーネントは相互に関連しています。各コンポーネントの組み合わせ方法によって、各管理者またはユーザーに適用されるアクセス許可が定義されます。次の例では、この他にいくつかの状況を示し、組織内での役割グループと役割の割り当てポリシーの使用方法について説明します。

Jane は、中規模の企業 Contoso の管理者です。彼女は、Vancouver のオフィスでこの会社の受信者を管理する責任者です。Contoso のアクセス許可モデルが作成されたとき、Jane は Recipient Management - Vancouver カスタム役割グループのメンバーになりました。Recipient Management - Vancouver カスタム役割グループは、彼女の職務に最も合っています。彼女の職務は、メールボックスや連絡先のような受信者の作成と削除、配布グループ メンバーシップとメールボックスのプロパティの管理、その他同様のタスクの実行です。

Recipient Management - Vancouver カスタム役割グループに加えて、Jane には、自分のメールボックスの構成設定を管理するための役割の割り当てポリシーも必要です。組織の管理者は、上級管理職を除くすべてのユーザーが、自分のメールボックスを管理する場合に、同じアクセス許可を持つようにすることを決定しています。ユーザーは、ボイス メールの構成、アイテム保持ポリシーの設定、およびアドレス情報の変更を行うことができます。Exchange 2013 で指定された既定の役割の割り当てポリシーは、これらの要件を反映しています。

メモメモ:
既にお気づきかもしれませんが、Jane は Recipient Management - Vancouver カスタム役割グループのメンバーなので、このようにすると、Jane には彼女自身のメールボックスを管理するアクセス許可が与えられるはずです。確かにそのとおりですが、この役割グループでは、Jane のメールボックスの全機能を管理するためのアクセス許可がすべて与えられるわけではありません。ボイス メールとアイテム保持ポリシーの設定を管理するためのアクセス許可は、この役割グループには含まれていません。このアクセス許可は、既定の役割の割り当てポリシーを彼女に割り当てることでのみ与えられます。

このことを実現するには、次のように、Vancouver の受信者に対する Jane の管理アクセス許可を含む役割グループを検討します。

  1. Recipient Management - Vancouver と呼ばれるカスタム役割グループが作成されました。このカスタム役割グループが作成されたときに次のことが発生しました。

    1. 役割グループに、Recipient Management 組み込み役割グループにも割り当てられている同じ管理役割がすべて割り当てられました。このため、Recipient Management - Vancouver 役割グループに追加されたユーザーに、Recipient Management 役割グループに追加されたユーザーと同じアクセス許可が与えられます。ただし、次の手順によりこれらのアクセス許可を使用できる場所が制限されます。

    2. Vancouver に勤務する受信者のみが該当する Vancouver 受信者カスタム管理スコープが作成されました。ユーザーの市区町村またはその他の一意の情報でフィルターして、この操作を行いました。

    3. 役割グループは、Vancouver 受信者カスタム管理スコープによって作成されました。これは、Recipient Management - Vancouver カスタム役割グループに追加された管理者は、受信者管理の完全なアクセス許可を持ち、Vancouver に勤務する受信者に対してのみこのアクセス許可を使用できるということを意味します。

    カスタム役割グループの作成の詳細については、「役割グループの管理」を参照してください。

  2. Jane は、Recipient Management - Vancouver カスタム役割グループのメンバーとして追加されます。

    役割グループへのメンバー追加の詳細については、「役割グループのメンバーの管理」を参照してください。

Jane に自分自身のメールボックス設定を管理する能力を与えるには、必要なアクセス許可を使用して役割の割り当てポリシーを構成する必要があります。既定の役割の割り当てポリシーを使用して、自分自身のメールボックスを構成するのに必要なアクセス許可をユーザーに与えます。すべてのエンド ユーザー役割が既定の役割の割り当てポリシーから削除されます。ただし、MyBaseOptionsMyContactInformationMyVoicemailMyRetentionPolicies は削除されません。MyBaseOptions が含まれているのは、受信トレイ ルール、予定表の構成、その他のタスクなど、Outlook Web App の基本のユーザー機能が提供されるためです。

Jane には既定の役割の割り当てポリシーが既に割り当てられているため、他に必要な操作はありません。これは、その役割の割り当てポリシーへの変更が、直ちに彼女のメールボックスに適用され、既定の役割の割り当てポリシーに割り当てられているその他のすべてのメールボックスにも適用されることを意味します。

既定の役割の割り当てポリシーのカスタマイズの詳細については、「役割の割り当てポリシーの管理」を参照してください。

Joe は、Jane と同じ会社 Contoso に勤務しています。彼は、組織全体に対して、法的な情報開示の実施、保持ポリシーの設定、およびトランスポート ルールとジャーナルの構成を担当しています。Jane と同様に、Contoso のアクセス許可モデルが作成されたとき、Joe は彼の職務に合った役割グループに追加されました。Records Management 役割グループは、Joe に保持ポリシー、ジャーナル、およびトランスポート ルールを構成するためのアクセス許可を与えます。Discovery Management 役割グループにより、Joe はメールボックス検索を実行することができます。

Jane と同様に、Joe も自分のメールボックスを管理するためのアクセス許可が必要です。Joe には Jane と同じ権限が与えられます。彼は、自分のボイス メールとアイテム保持ポリシーの設定、およびアドレス情報の変更を行うことができます。

Joe に職務を遂行するためのアクセス許可を与えるには、Joe を Records Management および Discovery Management 役割グループに追加します。これらの役割グループを変更する必要はまったくありません。これらの役割グループは、彼に必要なアクセス許可を既に与えており、適用されている管理スコープが組織全体にわたっているためです。

ユーザーを役割グループに追加する方法の詳細については、「役割グループのメンバーの管理」を参照してください。

Joe のメールボックスにも、Jane のメールボックスに適用されているのと同じ既定の役割の割り当てポリシーが割り当てられています。彼は自分のメールボックスの管理を許可されていますが、このことによって、自分のメールボックスの機能の管理に必要なアクセス許可もすべて彼に与えられます。

Isabel は、Contoso 社のマーケティング担当副社長です。Contoso の上級管理職チームの一員として、Isabel には、通常のユーザーよりも多くのアクセス許可が与えられます。この中には、自分のメールボックスを管理するために与えられたアクセス許可が含まれます。ただし、1 つ例外があります。Isabel は法令遵守の理由から、自分自身の保持ポリシーを管理することが許可されていません。Isabel は自分のボイス メールの構成、連絡先情報の変更、プロファイル情報の変更、自分自身の配布グループの作成と管理、および他のユーザーが所有する既存の配布グループに対する自分自身の追加と削除を行うことができます。

そのため、Isabel には、自分自身のメールボックス上で別のアクセス許可が与えられます。Contoso 社のユーザーの大部分は、既定の役割の割り当てポリシーに割り当てられます。ただし、上級管理職は上級管理職の役割の割り当てポリシーに割り当てられます。カスタムの役割の割り当てポリシーを作成するには次の操作を実行します。

  1. 上級管理職と呼ばれるカスタムの役割の割り当てポリシーが作成されます。役割の割り当てポリシーに、MyBaseOptionsMyContactInformationMyVoicemailMyProfileInformationMyDistributionGroupMembership、および MyDistributionGroups の役割が割り当てられます。MyBaseOptions が含まれているのは、この役割では、受信トレイ ルール、予定表の構成、その他のタスクなどの Outlook Web App の基本のユーザー機能が提供されるためです。

  2. Isabel は手動で上級管理職の役割の割り当てポリシーを割り当てられます。

これで、Isabel のメールボックスには、「上級管理職チーム」役割の割り当てポリシーによって、アクセス許可が与えられています。この役割の割り当てポリシーへのすべての変更が自動的に彼女のメールボックスに適用され、既定の役割の割り当てポリシーに割り当てられているその他のすべてのメールボックスにも適用されます。

 
表示: