アクセス許可のExchange Server
Microsoft Exchange Serverには、ロールベースのAccess Control (RBAC) アクセス許可モデルに基づいて、定義済みのアクセス許可の大規模なセットが含まれています。すぐに使用して、管理者とユーザーにアクセス許可を簡単に付与できます。 Exchange Serverのアクセス許可機能を使用すると、新しいorganizationをすばやく起動して実行できます。
注:
Exchange をホストするために準備された AD ドメイン内の Active Directory (AD) オブジェクトに対するアクセス許可の継承を無効にすることはサポートされていません。 AD オブジェクトに対する Exchange 関連のアクセス許可を削除すると、Exchange のタスクと関数が壊れたり、不明な問題が発生する可能性があります。
役割に基づくアクセス許可
Exchange Serverでは、管理者とユーザーに付与するアクセス許可は、管理ロールに基づいています。 役割は管理者やユーザーが実行できるタスクのセットを定義します。 たとえば、 と呼ばれる Mail Recipients 管理ロールは、メールボックス、連絡先、配布グループのセットに対して実行できるタスクを定義します。 ある役割が管理者やユーザーに割り当てられる場合、その管理者やユーザーに対して、その役割が提供するアクセス許可が与えられます。
ロールには、管理ロールとエンド ユーザー ロールという 2 種類があります。
管理ロール: これらのロールには、Exchange organizationの一部 (受信者、サーバー、データベースなど) を管理する役割グループを使用して、管理者またはスペシャリスト ユーザーに割り当てることができるアクセス許可が含まれています。
エンド ユーザーロール: ロール割り当てポリシーを使用して割り当てられたこれらのロールを使用すると、ユーザーは自分が所有するメールボックスと配布グループの側面を管理できます。 エンド ユーザー ロールは、プレフィックス
Myで始まります。
ロールが管理者とユーザーに割り当てられると、コマンドレットを使用できるようにすることで、タスクを実行するためのアクセス許可が付与されます。 Exchange 管理センター (EAC) と Exchange 管理シェルは Exchange の管理にコマンドレットを使用するため、コマンドレットへのアクセス権を付与すると、管理者またはユーザーに各 Exchange 管理インターフェイスでタスクを実行するアクセス許可が付与されます。
役割グループと役割割り当てポリシー
ロールは、Exchange Serverでタスクを実行するためのアクセス許可を付与しますが、管理者とユーザーにロールを簡単に割り当てる方法が必要です。 Exchange Serverでは、これを行うのに役立つ次の方法が提供されます。
役割グループ: 役割グループを使用すると、管理者とスペシャリスト ユーザーにアクセス許可を付与できます。
ロール割り当てポリシー: ロール割り当てポリシーを使用すると、エンド ユーザーが所有するメールボックスまたは配布グループの設定を変更するためのアクセス許可をエンド ユーザーに付与できます。
役割グループと役割割り当てポリシーの詳細については、以下のセクションを参照してください。
役割グループ
Exchange Serverを管理するすべての管理者には、少なくとも 1 つ以上のロールを割り当てる必要があります。 管理者は、Exchange で複数の領域にまたがるジョブ機能を実行する可能性があるため、複数のロールを持つ場合があります。 たとえば、1 人の管理者が受信者と Exchange サーバーの両方を管理する場合があります。 この場合、その管理者には ロールと Exchange Servers ロールの両方がMail Recipients割り当てられる可能性があります。
複数のロールを管理者に割り当てやすくするために、Exchange Serverには役割グループが含まれます。 役割グループは、AD ユーザー、USG、およびその他の役割グループを含めることができる、Exchange Serverによって使用される特殊なユニバーサル セキュリティ グループ (USG) です。 役割が役割グループに割り当てられると、その役割が付与するアクセス許可が役割グループの全メンバーに付与されます。 この機能を使用すると、多数のロール グループ メンバーに一度に多数のロールを割り当てることができます。 通常、役割グループには受信者管理などの広範囲の管理領域が含まれます。 これらは管理ロールでのみ使用され、エンド ユーザー ロールでは使用されません。
注:
役割グループを使用せずに、ユーザーや USG に役割を直接割り当てることは可能です。 ただし、このような役割割り当て方法は高度な手順であるため、ここでは説明しません。 アクセス許可の管理には、役割グループを使用することをお勧めします。
次の図はユーザー、役割グループ、および役割の間の関係を示しています。
役割、役割グループ、および役割グループのメンバー
Exchange Serverには、いくつかの組み込みの役割グループが含まれており、それぞれがExchange Server内の特定の領域を管理するためのアクセス許可を提供します。 一部のロール グループは、他のロール グループと重複する場合があります。 次の表に、各役割グループとその使用方法の説明を示します。 各役割グループに割り当てられているロールを表示する場合は、[ロール グループ] 列で役割グループの名前をクリックし、[この役割グループに割り当てられた管理ロール] セクションに移動します。
重要
管理者が複数の役割グループのメンバーである場合、Exchange Serverは、それらの役割グループによって提供されるすべてのアクセス許可を管理者に付与します。
組み込みの役割グループ
| 役割グループ | 説明 |
|---|---|
| 組織の管理 | Organization Management 役割グループのメンバーである管理者は、Exchange Server organization全体に対する管理アクセス権を持ち、ロールなどの一部の例外を除き、Exchange Server オブジェクトに対してほぼすべてのタスクをDiscovery Management実行できます。 重要: Organization Management 役割グループは強力な役割であるため、Exchange organization全体に影響を与える可能性のある組織レベルの管理タスクを実行するユーザーまたは USG のみが、この役割グループのメンバーである必要があります。 |
| View-Only Organization Management | 組織の管理のみ表示 役割グループのメンバーである管理者は、Exchange 組織の任意のオブジェクトのプロパティを表示できます。 |
| 受信者の管理 | 受信者管理役割グループのメンバーである管理者は、Exchange Server organization内の受信者Exchange Server作成または変更するための管理アクセス権を持ちます。 |
| UM 管理 | UM Management 役割グループのメンバーである管理者は、ユニファイド メッセージング (UM) サービス構成、メールボックスの UM プロパティ、UM プロンプト、および UM 自動応答構成など、Exchange 組織内の機能を管理できます。 (注: UM は Exchange 2019 では使用できません)。 |
| Help Desk (ヘルプ デスク) | 既定では、ヘルプ デスク ロール グループを使用すると、メンバーは、organization内の任意のユーザーの "Outlook on the web" (旧称 Outlook Web App) オプションを表示および変更できます。 これらのオプションにはユーザーの表示名、アドレス、および電話番号の変更も含まれます。 これらのオプションには、メールボックスのサイズの変更やメールボックスが配置されているメールボックス データベースの構成など、"Outlook on the web" オプションで使用できないオプションは含まれません。 |
| 検疫管理 | 検疫管理役割グループのメンバーである管理者は、Exchange Serverのウイルス対策機能とスパム対策機能を構成できます。 Exchange Serverと統合するサード パーティ製プログラムは、この役割グループにサービス アカウントを追加して、Exchange 構成の取得と構成に必要なコマンドレットへのアクセス権をそれらのプログラムに付与できます。 |
| レコード管理 | レコード管理役割グループのメンバーであるユーザーは、アイテム保持ポリシー タグ、メッセージ分類、メール フロー ルール (トランスポート ルールとも呼ばれます) などのコンプライアンス機能を構成できます。 |
| 検出の管理 | Discovery Management 役割グループのメンバーである管理者またはユーザーは、Exchange organization内のメールボックスの検索を実行して、特定の条件を満たすデータを検索したり、メールボックスの訴訟ホールドを構成したりすることもできます。 |
| パブリック フォルダーの管理 | パブリック フォルダー管理役割グループのメンバーである管理者は、Exchange Server を実行しているサーバー上のパブリック フォルダーを管理できます。 |
| サーバー管理 | "Server Management/サーバー管理" 役割グループのメンバーである管理者は、データベース コピー、証明書、トランスポート キューと送信コネクタ、仮想ディレクトリ、クライアント アクセス プロトコルなど、トランスポート、ユニファイド メッセージング、クライアント アクセス、およびメールボックス機能のサーバー固有の構成を構成できます。 (注: UM は Exchange 2019 では使用できません)。 |
| 委任されたセットアップ | 委任されたセットアップ役割グループのメンバーである管理者は、Exchange Server 役割グループのメンバーによって既に準備された、組織の管理 を実行しているサーバーを展開できます。 |
| コンプライアンス管理 | "Compliance Management/コンプライアンス管理" 役割グループのメンバーであるユーザーは、組織のポリシーに従って Exchange のコンプライアンス設定を構成および管理できます。 |
少数の管理者しかいない小規模なorganizationで作業する場合は、組織管理役割グループのみを使用し、他の役割グループは使用しない可能性があります。 より大きなorganizationで作業する場合は、受信者やサーバーの管理など、Exchange を管理する特定のタスクを実行する管理者がいる可能性があります。 このような場合は、1 人の管理者を受信者管理役割グループに追加し、別の管理者をサーバー管理役割グループに追加できます。 これらの管理者は、Exchange Serverの特定の領域を管理できますが、責任を負わない領域を管理するためのアクセス許可はありません。
管理者が行う必要があるジョブに適合する、組み込みの役割グループが見つからない場合は、役割グループを作成して役割を追加することができます。 詳細については、後の「役割グループの操作」を参照してください。
役割の割り当てポリシー
Exchange Serverでは、ユーザーが所有するメールボックスと配布グループで構成できる設定を制御できるように、ロールの割り当てポリシーが提供されます。 上記の設定には、ユーザーの表示名、連絡先情報、ボイス メール設定、および配布グループのメンバーシップが含まれます。
Exchange Server organizationには、組織内のさまざまな種類のユーザーに異なるレベルのアクセス許可を提供する複数のロール割り当てポリシーを設定できます。 一部のユーザーはアドレスの変更や配布グループの作成を許可できますが、他のユーザーは許可できません。 これはすべて、メールボックスに関連付けられているロールの割り当てポリシーによって異なります。 役割割り当てポリシーはメールボックスに直接追加されます。各メールボックスは、同時に 1 つの役割割り当てポリシーにのみ関連付けることができます。
組織の役割割り当てポリシーのうち、1 つが既定としてマークされます。 新しいメールボックスの作成時に特定の役割割り当てポリシーを明示的に割り当てない限り、既定の役割の割り当てポリシーが新しいメールボックスに関連付けられます。 既定の役割の割り当てポリシーには、ほとんどのメールボックスに適用が必要なアクセス許可が含まれている必要があります。
アクセス許可は、エンドユーザーの役割を使用して役割割り当てポリシーに追加されます。 エンド ユーザーロールは、まず、 My 自分が所有するメールボックスまたは配布グループのみを管理するためのアクセス許可をユーザーに付与します。 エンドユーザーの役割を使用して他のメールボックスを管理することはできません。 役割割り当てポリシーに割り当てることができるのは、エンド ユーザーの役割のみです。
役割割り当てポリシーにエンド ユーザーの役割が割り当てられていると、その役割割り当てポリシーに関連付けられているすべてのメールボックスに対して、役割が付与するアクセス許可が与えられます。 そのため、個々のメールボックスを構成しなくても、ユーザーのセットに対するアクセス許可を追加または削除できます。 次の図は、次の点を示しています。
エンド ユーザーの役割が役割割り当てポリシーに割り当てられています。 役割割り当てポリシー間で、同じエンド ユーザーの役割を共有できます。
役割割り当てポリシーがメールボックスに関連付けられています。 各メールボックスは、1 つの役割割り当てポリシーにのみ関連付けることができます。
メールボックスを役割割り当てポリシーに関連付けると、エンド ユーザーの役割がそのメールボックスに適用されます。 役割が付与するアクセス許可が、メールボックスのユーザーに対して与えられます。
役割、役割割り当てポリシー、およびメールボックス
既定のロール割り当てポリシーは、Exchange Serverに含まれています。 名前が示すとおり、既定の役割割り当てポリシーです。 この役割割り当てポリシーが提供するアクセス許可を変更したり、役割割り当てポリシーを作成したりする場合は、後の「役割割り当てポリシーの操作」を参照してください。
役割グループの操作
Exchange Serverの役割グループを使用してアクセス許可を管理するには、Exchange 管理センター (EAC) を使用することをお勧めします。 EAC を使用して役割グループを管理する場合は、マウスを数回クリックするだけで、ロールとメンバーの追加と削除、役割グループの作成、役割グループのコピーを行うことができます。 EAC には、次の図に示す 新しい役割グループ ダイアログ ボックスなどの単純なダイアログ ボックスが用意されています。これらのタスクを実行します。
EAC の [役割グループの新規作成] ダイアログ ボックス
![EAC の [新しい役割グループ] ダイアログ ボックス。](../exchangeserver/media/itpro_security_rbac_simplifiedeacrolegroup.jpg?view=exchserver-2019)
Exchange Serverに含まれているロール グループに必要なアクセス許可がない場合は、EAC を使用して役割グループを作成し、必要なアクセス許可を持つロールを追加できます。 役割グループを新規作成するには、次の操作が必要です。
名前を選択します。
追加するロールを選択します。
メンバーを追加します。
ファイルを保存します。
役割グループを作成すると、その役割グループを他の役割グループと同様に管理できます。
必要なアクセス許可の一部が含まれているが、全部は含まれていない既存の役割グループがある場合は、これをコピーして変更することで役割グループを作成できます。 既存の役割グループをコピーすることで、元の役割グループに影響を及ぼすことなく変更できます。 役割グループのコピー操作の一部として、新しい名前と説明の追加、新しい役割グループの役割の追加と削除、および新しいメンバーの追加を行うことができます。 役割グループの作成やコピーの際には、前の図と同じダイアログ ボックスを使用できます。
既存の役割グループの変更も可能です。 前の図のような EAC ダイアログ ボックスを使用して、既存の役割グループの役割の追加と削除、および役割グループのメンバーの追加と削除を同時に行うことができます。 役割グループの役割の追加と削除を行うことで、その役割グループのメンバーの管理機能を有効および無効にすることができます。
注:
組み込みの役割グループに割り当てられているロールは特定できますが、組み込みの役割グループをコピーし、役割グループのコピーを変更してから、役割グループのコピーにメンバーを追加することをお勧めします。
役割割り当てポリシーの操作
エンド ユーザーに対して、Exchange Serverで自分のメールボックスを管理するためのアクセス許可を管理するには、EAC を使用することをお勧めします。 EAC を使用してエンド ユーザーのアクセス許可を管理する場合は、マウスを数回クリックするだけで、ロールの追加、ロールの削除、ロールの割り当てポリシーの作成を行うことができます。 EAC には、次の図に示す ロール割り当てポリシー ダイアログ ボックスなどの単純なダイアログ ボックスが用意されています。これらのタスクを実行します。
EAC の [役割の割り当てポリシー] ダイアログ ボックス
![EAC の [ロールの割り当てポリシー] ダイアログ ボックス。](../exchangeserver/media/itpro_security_rbac_simplifiedeacrap.jpg?view=exchserver-2019)
Exchange Serverには、既定のロール割り当てポリシーという名前のロール割り当てポリシーが含まれています。 この役割割り当てポリシーに関連付けられているメールボックスを所有するユーザーは、この役割割り当てポリシーを使用すると次の操作を行うことができます。
メンバーが自分のメンバーシップの管理を許可されている配布グループへの参加および退会。
自分のメールボックスに関する基本的なメールボックス設定の表示および変更 (受信トレイ ルール、スペル動作、迷惑メールの設定、および Microsoft ActiveSync デバイスなど)。
勤務先の住所、電話番号、携帯番号、ポケットベル番号などの連絡先情報を変更する。
テキスト メッセージの設定の作成、変更、または表示。
ボイス メール設定の表示または変更。
市場アプリを表示および変更する。
チームのメールボックスを作成し、Microsoft SharePoint の一覧へ接続する。
既定の役割の割り当てポリシーやその他の役割割り当てポリシーで、アクセス許可を追加または削除する場合は、EAC を使用できます。 EAC でロール割り当てポリシーを開いたら、割り当てるロールの横にあるチェック ボックスをオンにするか、削除するロールの横にあるチェック ボックスをオフにします。 役割割り当てポリシーの変更は、そのポリシーに関連付けられているすべてのメールボックスに適用されます。
さまざまなエンド ユーザーのアクセス許可を、組織内のさまざまな種類のユーザーに割り当てる場合は、役割割り当てポリシーを作成できます。 役割割り当てポリシーの新しい名前を指定し、その役割割り当てポリシーに割り当てる役割を選択できます。 役割割り当てポリシーを作成した後、EAC を使用してそのポリシーをメールボックスと関連付けることができます。
既定のロール割り当てポリシーを決定する場合は、Exchange 管理シェルを使用する必要があります。 既定の役割の割り当てポリシーを変更すると、明示的に指定した場合を除き、作成したメールボックスはすべて新しい既定の役割の割り当てポリシーに関連付けられます。 新しい既定の役割の割り当てポリシーを選択しても、既存のメールボックスに関連付けられている役割割り当てポリシーは変更されません。
注:
子ロールを持つロールのチェック ボックスをオンにすると、子ロールのチェック ボックスもオンになります。 子ロールを持つロールのチェック ボックスをオフにすると、子ロールのチェック ボックスもオフになります。
役割割り当てポリシーの作成方法や、既存の役割割り当てポリシーの変更方法に関する詳細手順については、次のトピックを参照してください。