スタンドアロン EOP で役割グループを管理する

  • [アーティクル]

Exchange Online メールボックスのないスタンドアロン Exchange Online Protection (EOP) 組織では、Exchange 管理センター (EAC) を使用して、ユーザーを役割グループに追加できます。 ロール グループにユーザーを追加すると、特定の管理タスクを実行するアクセス許可がユーザーに付与されます。 ロール グループからユーザーを削除することもできます。

ロールとロール グループの詳細については、「 スタンドアロン EOP でのアクセス許可」を参照してください。

はじめに把握しておくべき情報

ヒント

問題が発生する場合 Exchange Online Protection フォーラムでサポートをご依頼ください。

EAC を使用して役割グループを管理する

EAC を使用して役割グループを表示する

  1. EAC で、[アクセス許可管理ロール] に移動します>。 組織の役割グループのすべてが一覧表示されます。

  2. 役割グループを選択します。 [詳細] ウィンドウには、役割グループの [名前]、[ 説明]、[ 割り当て済みロール]、[ マネージド バイ] が表示されます。 [ 編集] アイコンをクリックして、この情報を確認することもできます。

EAC を使用して役割グループを作成する

新しい役割グループを作成する場合は、すべての設定を自分で構成できます (グループの作成時以降)。 または、既存の役割グループをコピーして変更することもできます。

  1. EAC で、[アクセス許可管理>ロール] に移動し、次のいずれかの手順を実行します。

    • 新しい役割グループを手動で作成する: [ 追加]アイコンをクリックします。

    • 既存の役割グループをコピーする: コピーする役割グループを選択し、[コピー] アイコンをクリックします。

  2. 表示される [ 新しい役割グループ ] ウィンドウで、次の設定を構成します。

    • [名前]: 役割グループの一意の名前を入力します。

    • 説明: 役割グループの説明 (省略可能) を入力します。

    • ロール: [ 追加] アイコン をクリックします。または [削除] アイコン をクリックします。役割グループに割り当てられているロールを選択または変更します。

    • メンバー: [追加] アイコンをクリックします。または [削除]アイコンをクリックして、役割グループのメンバーシップを変更します。

  3. 完了したら、[ 保存 ] をクリックして役割グループを作成します。

EAC を使用して役割グループを変更する

EAC で、[アクセス許可管理>ロール] に移動し、変更する役割グループを選択し、[編集] アイコンをクリックします。

役割グループを変更する場合と、役割グループを作成する場合と同じオプションを使用できます。 次の操作を行うことができます:

  • 名前と説明を変更します。

  • 管理ロールの追加と削除 (ロールの割り当ての作成または削除)。

  • メンバーを追加および削除します。

: 一部の役割グループ (組織の管理など) では、グループから削除できるロールが制限されます。

EAC を使用して役割グループのメンバーの一覧を変更する

  1. EAC で、[アクセス許可管理>ロール] に移動し、変更する役割グループを選択し、[編集] アイコンをクリックします。

  2. 開いた役割グループのプロパティ ページの [ メンバー ] セクションで、次のいずれかの手順を実行します。

    • [ 追加]アイコンをクリックします。 表示されたページで、追加するユーザーを見つけて、[ 追加>] をクリックします。 ユーザーを選択し、[追加] をクリックします 。> 必要に応じて何度もクリックします。 完了したら、[OK] をクリックします。

    • 削除するユーザーを選択し、[削除] アイコンをクリックします。

  3. 完了したら、[保存] をクリックします。

    注:

    役割グループに対してメンバーを追加または削除した後、ユーザーは自身の管理者権限の変更を確認するためにサインアウトしてから、再度サインインしなければならない場合があります。

EAC を使用して役割グループを削除する

組み込みの役割グループを削除することはできませんが、作成したカスタム ロール グループを削除することはできます。

  1. EAC で、[アクセス許可管理ロール] に移動します>。

  2. 削除する役割グループを選択し、[削除] アイコンをクリックします。

  3. 表示される確認ウィンドウで [ はい ] をクリックします。

PowerShell を使用して役割グループを管理する

スタンドアロン EOP PowerShell を使用してロール グループを表示する

役割グループを表示するには、次の構文を使用します。

Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]

この例では、すべてのロール グループの概要リストを返します。

Get-RoleGroup

次の使用例は、受信者管理者という名前の役割グループの詳細情報を返します。

Get-RoleGroup -Identity "Recipient Administrators" | Format-List

この例では、ユーザー Julia がメンバーであるすべてのロール グループを返します。 Julia には DistinguishedName (DN) 値を使用する必要があります。これは、 コマンド Get-User -Identity Julia | Format-List DistinguishedNameを実行することで確認できます。

Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"

構文およびパラメーターの詳細については、「Get-RoleGroup」を参照してください。

スタンドアロン EOP PowerShell を使用してロール グループを作成する

新しい役割グループを作成する場合は、すべての設定を手動で構成できます (グループの作成中以降)。 または、既存の役割グループをコピーして変更することもできます。

  • 新しいロール グループを手動で作成するには、次の構文を使用します。

    New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...>

    • Roles パラメーターは、次の構文を使用して、役割グループに割り当てる管理ロールを指定します"Role1","Role1",..."RoleN"Get-ManagementRole コマンドレットを使用して、使用できる役割を確認できます。

    • Members パラメーターは、次の構文を使用して、ロール グループのメンバーを指定します"Member1","Member2",..."MemberN"。 ユーザー、メールが有効なユニバーサル セキュリティ グループ (USG)、またはその他の役割グループ (セキュリティ プリンシパル) を指定できます。

    この例では、次の設定を使用して、"制限付き受信者管理" という名前の新しいロール グループを作成します。

    • [メール受信者] ロールが役割グループに割り当てられます。

    • ユーザーの Kim と Martin がメンバーとして追加されます。

    New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients" -Members "Kim","Martin"

  • 既存の役割グループをコピーするには、次の手順を実行します。

    1. 以下の構文を使用して、変数にコピーする役割グループを格納します。

      $RoleGroup = Get-RoleGroup "<Existing Role Group Name>"

    2. 次の構文を使用して、新しいロール グループを作成します。

      New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>]

      Members パラメーターは、次の構文を使用して、ロール グループのメンバーを指定します"Member1","Member2",..."MemberN"。 ユーザー、メールが有効なユニバーサル セキュリティ グループ (USG)、またはその他の役割グループ (セキュリティ プリンシパル) を指定できます。

      次の使用例は、組織管理役割グループを "Limited Organization Management" という名前の新しい役割グループにコピーします。 ロール グループのメンバーは、Isabelle、Carter、および Lukas です。

      $RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas"

構文とパラメーターの詳細については、 New-RoleGroup を参照してください

スタンドアロン EOP PowerShell を使用して、ロール グループ内のメンバーの一覧を変更する

  • Add-RoleGroupMember コマンドレットと Remove-RoleGroupMember コマンドレットは、個々のメンバーを一度に 1 つずつ追加または削除します。 Update-RoleGroupMember コマンドレットは、メンバーの既存のリストを置き換えたり変更したりできます。

  • ロール グループのメンバーには、ユーザー、メールが有効なユニバーサル セキュリティ グループ (USG)、またはその他の役割グループ (セキュリティ プリンシパル) を指定できます。

ロール グループのメンバーを変更するには、次の構文を使用します。

Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>

  • メンバーの既存のリストを指定した値に置き換えるには、次の構文を使用します。 "Member1","Member2",..."MemberN"

  • メンバーの既存のリストを選択的に変更するには、次の構文を使用します。 @{Add="Member1","Member2"...; Remove="Member3","Member4"...}

次の使用例は、ヘルプ デスク ロール グループのすべての現在のメンバーを、指定したユーザーに置き換えます。

Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"

次の使用例は、Akai 大五郎を追加し、ヘルプ デスクの役割グループのメンバーの一覧から Valeria Barrio を削除します。

Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}

構文とパラメーターの詳細については、「 Update-RoleGroupMember」を参照してください。

スタンドアロン EOP PowerShell を使用して役割グループを削除する

組み込みの役割グループを削除することはできませんが、作成したカスタム ロール グループを削除することはできます。

カスタム ロール グループを削除するには、次の構文を使用します。

Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]

この例では、Training Administrators 役割グループを削除します。

Remove-RoleGroup -Identity "Training Administrators"

構文およびパラメーターの詳細については、「Remove-RoleGroup」を参照してください。

正常な動作を確認する方法

ロール グループが正常にコピーされたことを確認するには、次のいずれかの手順を実行します。

  • EAC で、[アクセス許可管理>ロール] に移動し、役割グループが一覧表示されていることを確認します (または一覧に表示されていないこと)。 役割グループを選択し、[詳細] ウィンドウで設定を確認するか、[編集] アイコンをクリックします。設定を確認します。

  • powerShell Exchange Onlineで、役割グループ名>を役割グループの名前に置き換え<、次のコマンドを実行して、役割グループが存在することを確認 (または存在しない) し、設定を確認します。

    Get-RoleGroup -Identity "<Role Group Name>" | Format-List