管理役割スコープについて
適用先 : Exchange Server 2010
管理役割スコープを使用すると、管理役割が作成されたときに管理役割の割り当てに影響を及ぼす一定の範囲を定義できます。スコープを適用する場合、役割が割り当てられた役割担当者は、そのスコープの中に含まれているオブジェクトのみを変更できます。役割担当者は管理役割グループ、管理役割、管理役割割り当てポリシー、ユーザー、またはユニバーサル セキュリティ グループ (USG) のいずれかです。管理役割の詳細については、「役割ベースのアクセス制御について」を参照してください。
すべての管理役割には、組み込みの役割とカスタムの役割のいずれであっても、管理スコープがあります。管理スコープは以下のいずれかです。
- 通常 通常スコープは排他的ではありません。これは Active Directory で、管理役割が割り当てられたユーザーによってオブジェクトを表示または変更できる範囲を指定します。通常、管理役割は作成または変更可能な対象を示し、管理役割スコープは作成または変更可能な範囲を示します。 通常スコープは、暗黙的または明示的スコープのいずれかです。 これらについては、後で説明します。
- 排他的 排他的スコープの動作は、通常スコープとほぼ同じです。重要な違いは、排他的スコープに関連付けられた役割がユーザーに割り当てられていない場合、排他的スコープ内に含まれるオブジェクトに対してそれらのユーザーのアクセスを拒否できることです。排他的スコープはすべて明示的スコープです。これらについては、後で説明します。
排他的スコープの詳細については、「排他スコープについて」を参照してください。
スコープは、管理役割から継承するか、管理役割割り当てで定義済みの相対スコープとして指定するか、カスタム フィルターを使用して作成して管理役割割り当てに追加することができます。管理役割から継承される管理スコープは暗黙的スコープと呼ばれ、定義済みおよびカスタムのスコープは明示的スコープと呼ばれます。以下のセクションでは、各種スコープについて説明します。
- 暗黙的スコープ
- 明示的スコープ
- 定義済み相対スコープ
- カスタム スコープ
各役割には、次の種類のスコープを設定できます。
- 受信者の読み取りスコープ 暗黙的受信者読み取りスコープは、Active Directory からの読み取りを許可する、ユーザーによって管理役割が割り当てられた受信者オブジェクトを指定します。
- 受信者の書き込みスコープ 暗黙的受信者書き込みスコープは、Active Directory での変更を許可する、ユーザーによって管理役割が割り当てられた受信者オブジェクトを指定します。
- 構成の読み取りスコープ 暗黙的構成読み取りスコープは、Active Directory からの読み取りを許可する、ユーザーによって管理役割が割り当てられた構成オブジェクトを指定します。
- 構成の書き込みスコープ 構成の書き込みスコープは、Active Directory での変更を許可する、ユーザーによって管理役割が割り当てられた組織およびサーバー オブジェクトを決定します。
受信者オブジェクトには、メールボックス、配布グループ、メールが有効なユーザー、およびその他のオブジェクトが含まれます。構成オブジェクトには、Microsoft Exchange Server 2010 を実行しているサーバーが含まれます。各種スコープは、暗黙的スコープまたは明示的スコープのいずれかです。
暗黙的スコープ
暗黙的スコープは、管理役割の種類に適用される既定のスコープです。暗黙的スコープが管理役割の種類に関連付けられているため、同じ役割の種類の親および子の管理役割もすべて暗黙的スコープが設定されます。暗黙的スコープは、組み込み管理役割とカスタム管理役割の両方に適用されます。管理役割と管理役割の種類については、「管理の役割について」を参照してください。
以下の表は、管理役割で定義できる暗黙的スコープのすべてを示します。
管理役割で定義された暗黙的スコープ
暗黙的スコープ | 説明 |
---|---|
|
このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
|
このスコープは、受信者読み取りスコープでのみ使用されます。 |
|
このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
|
このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
|
このスコープは、構成読み取りおよび書き込みスコープでのみ使用されます。 |
|
|
役割が役割担当者に割り当てられ、定義済みまたはカスタムのスコープが指定されていない場合は、ユーザーが表示または変更できる受信者または組織オブジェクトを制御するために、役割で定義された暗黙的スコープが使用されます。
以下の表は、すべての組み込み管理役割とそれらの暗黙的スコープを示します。
組み込み管理役割の暗黙的スコープ
管理役割 | 受信者の読み取り範囲 | 受信者の書き込み範囲 | 構成の読み取り範囲 | 構成の書き込み範囲 |
---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
役割の暗黙的書き込みスコープは、常に暗黙的読み取りスコープ以下です。つまり、役割はスコープによって表示できないオブジェクトを変更することはできません。
管理役割で定義された暗黙的スコープを変更することはできません。ただし、管理役割で暗黙的書き込みスコープと構成スコープを上書きすることはできます。定義済みの相対スコープまたはカスタム スコープが役割割り当てで使用される場合、役割の暗黙的書き込みスコープまたは構成スコープが上書きされ、新しいスコープが優先されます。役割の暗黙的読み取りスコープは、上書きできず、常に適用されます。定義済みまたはカスタムの明示的スコープについては、このトピックに後述する関連セクションを参照してください。
明示的スコープ
明示的スコープは、管理役割がどのオブジェクトを変更できるかをユーザー自身で設定して制御するスコープです。暗黙的スコープが管理役割で定義され、明示的スコープが管理役割割り当てで定義されます。これにより、最優先の明示的スコープの使用を選択しなければ、管理役割全体に暗黙的スコープを定常的に適用できます。管理役割の割り当ての詳細については、「管理役割の割り当てについて」を参照してください。
明示的スコープは、管理役割の暗黙的書き込みスコープと構成スコープを上書きします。明示的スコープは、管理役割の暗黙的読み取りスコープを上書きしません。暗黙的読み取りスコープは、管理役割が読み取ることができるオブジェクトの定義を継続します。
明示的スコープは、管理役割の暗黙的書き込みスコープがビジネス要件を満たしていない場合に役立ちます。新しいスコープが暗黙的読み取りスコープの範囲を超えない限り、必要とするほとんどすべてを含むために明示的スコープを追加できます。管理役割の一部であるコマンドレットは、オブジェクトを作成または変更するためにコマンドレットのオブジェクトを含むオブジェクトまたはコンテナーに関する情報を読み取ることができる必要があります。たとえば、管理役割の暗黙的読み取りスコープが Self
に設定される場合、明示的書き込みスコープが暗黙的読み取りスコープの範囲を超えるので、Organization
の明示的書き込みスコープを追加できません。
以下のセクションでは、定義済み相対スコープおよびカスタム スコープについて説明します。
定義済み相対スコープ
Exchange 2010 では、管理役割の範囲を変更するために使用できる複数の定義済み相対書き込みスコープを提供します。定義済み相対スコープを使用すると、カスタム スコープを手動で作成しなくても、簡単にビジネス要件を細部まで一致させることができます。これらが相対スコープと呼ばれるのは、関連役割割り当てが割り当てられた役割担当者を基準とした、相対指定のスコープであるためです。たとえば、Self
定義済み相対スコープは、その書き込みスコープを現行ユーザーのみに制限します。MyDistributionGroups
定義済み相対スコープは、書き込みスコープを現行ユーザーの所有配布グループのみに制限します。定義済み相対スコープは、受信者オブジェクトの範囲設定にのみ使用できます。定義済み相対スコープは、構成オブジェクトの範囲設定には使用できません。次の表は、使用できる定義済み相対スコープの一覧を示します。
定義済み相対スコープ
暗黙的スコープ | 説明 |
---|---|
|
このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
|
このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
|
このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
定義済み相対スコープは、新しい管理役割割当てを作成するときに適用されます。New-ManagementRoleAssignment コマンドレットを使用して役割割り当てを作成するときに、RecipientRelativeWriteScope パラメーターを使用して定義済み相対スコープを指定できます。新しい役割割り当てが作成されると、新しい定義済み役割が管理役割の暗黙的書き込みスコープを上書きします。
定義済み相対スコープと共に管理役割割り当てを追加する方法については、「ユーザーまたは USG に役割を追加する」を参照してください。
カスタム スコープ
カスタム スコープは、暗黙的書き込みスコープも定義済み相対スコープもビジネス要件に合わない場合に必要になります。カスタム スコープを使用すると、管理役割が適用されるスコープを詳細なレベルで定義できます。たとえば、特定の組織単位 (OU)、特定の種類の受信者、またはその両方 を対象にする場合があります。
定義済み相対スコープと同様に、カスタム スコープは管理役割で定義された暗黙的書き込みおよび組織構成スコープを上書きします。管理役割の暗黙的読み取りスコープは続いて適用され、結果のカスタム スコープは暗黙的読み取りスコープの範囲を超えることができません。
最も単純なカスタム スコープは、New-ManagementRoleAssignment コマンドレットで RecipientOrganizationalUnitScope パラメーターを使用して作成された OU スコープです。役割の割り当て時に OU スコープを指定することによって、役割が割り当てられたユーザーがその OU 内の受信者オブジェクトのみを変更できます。
OU スコープと共に管理役割割り当てを追加する方法については、「ユーザーまたは USG に役割を追加する」を参照してください。
さらに複雑で詳細なカスタム スコープは、New-ManagementScope コマンドレットを使用して作成できます。New-ManagementScope コマンドレットでは、受信者および構成でフィルター処理されるスコープを作成できます。受信者でフィルター処理されるスコープは、フィルターを使用することによって、受信者の種類または部門、マネージャー、場所などその他の受信者プロパティに基づいて特定の受信者を対象にします。構成でフィルター処理されるスコープは、フィルターを使用することによって、Active Directory サイトまたはサーバー役割などサーバーに定義できるフィルター可能プロパティに基づいて特定のサーバーを対象にします。
受信者または構成でフィルター処理されるスコープのいずれかを作成すると、それぞれのフィルター処理されたスコープに一致する受信者またはサーバー オブジェクトのみが返されます。これらのスコープが New-ManagementRoleAssignment または Set-ManagementRoleAssignment コマンドレットを使用して役割割り当てに適用されると、役割が割り当てられた役割担当者がフィルターに一致するオブジェクトのみを変更できます。カスタム スコープが作成された後は、スコープの種類を変更できません。受信者スコープは常に受信者スコープであり、構成スコープは常に構成スコープです。
既定では、カスタム スコープによって、定義するフィルターに一致したオブジェクトのセットに役割担当者がアクセスすることができます。ただし、フィルターは同一または同等のスコープも割り当てられていない他の役割担当者へのアクセスをアクティブに除外しません。カスタム スコープは、それらのスコープへのフィルターが同一オブジェクトに一致する場合、同一オブジェクトにアクセスできます。上級管理者などの重要人物の場合、この動作が不要になるオブジェクトがあります。これらのオブジェクトに対して、排他的スコープを定義できます。排他的スコープは、通常スコープと同じ方法でフィルターを使用しますが、通常スコープと異なり、同一または同等の排他的スコープに含まれない人物によるスコープ内のオブジェクトへのアクセスを拒否します。排他的スコープの詳細については、「排他スコープについて」を参照してください。