管理役割の割り当てポリシーについて

製品: Exchange Server 2013

管理ロールの割り当てポリシーは、エンド ユーザーが 2013 メールボックスと配布グループの構成Microsoft Exchange Server独自に管理できるようにする、1 つ以上のエンド ユーザー管理ロールのコレクションです。 役割の割り当てポリシーは、Exchange 2013 の役割ベースのアクセス制御 (RBAC) アクセス許可モデルの一部で、エンドユーザーが変更できる特定のメールボックスと配布グループ構成の設定を制御できるようになります。 さまざまなユーザーのグループにグループ専用の役割割り当てポリシーを指定することができます。

注:

ここでは、RBAC の高度な機能について説明します。 基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。

RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。

役割の割り当てポリシー レイヤー

次のリストは、役割の割り当てポリシー モデルを構成するレイヤーについて説明します。

  • メールボックス: メールボックスには、1 つのロール割り当てポリシーが割り当てられます。 メールボックスに 1 つの役割の割り当てポリシーが割り当てられている場合、管理役割と役割の割り当てポリシー間の割り当てがメールボックスに適用されます。 これにより、管理役割のすべてのアクセス許可がメールボックスに付与されます。

  • 管理ロールの割り当てポリシー: 管理ロールの割り当てポリシー は、Exchange 2013 の特別なオブジェクトです。 ユーザーのメールボックスが作成されたとき、またはメールボックスの役割の割り当てポリシーを変更した場合に、ユーザーが役割の割り当てポリシーに関連付けられます。 エンドユーザーの管理役割もこれに割り当てられます。 役割の割り当てポリシーのすべての役割の組み合わせによって、ユーザーがメールボックスまたは配布グループで管理できるものがすべて定義されます。

  • 管理ロールの割り当て: 管理ロールの割り当ては 、管理ロールとロール割り当てポリシーの間のリンクです。 管理役割を役割の割り当てポリシーに割り当てると、管理役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。 役割の割り当てポリシーと管理役割間の役割の割り当てを作成する場合、スコープを指定することはできません。 割り当てによって適用されるスコープは、管理ロールに基づいており、または のいずれかMyGALですSelf。 詳細については、「管理役割の割り当てについて」を参照してください。

  • 管理ロール: 管理ロールは、管理ロール エントリをグループ化するためのコンテナーです。 役割は、ユーザーがメールボックスまたは配布グループを使用して実行できる特定のタスクを定義するために使用されます。 管理ロール エントリは、管理ロール内の特定の各タスクを実行できるようにするコマンドレット、スクリプト、または特別なアクセス許可です。 エンドユーザー管理役割は、役割の割り当てポリシーでのみ使用できます。 詳細については、「管理の役割について」を参照してください。

  • 管理ロール エントリ: 管理ロール エントリは、管理ロールと役割グループで使用できるコマンドレットとパラメーターを決定する管理ロールの個々のエントリです。 各役割エントリは、1 つのコマンドレットとパラメーターから構成され、管理役割によってアクセスできます。

次の図は、前の一覧の各役割の割り当てポリシー レイヤーと、各レイヤーが他のレイヤーとどう関連するかを示しています。

ロール割り当てモデルのリレーションシップ。

管理役割、役割の割り当て、およびスコープの詳細については、「役割ベースのアクセス制御について」を参照してください。

既定の明示的な役割の割り当てポリシー

ここでは、Exchange 2013 の役割の割り当てポリシーの 2 つの種類について説明します。

既定の役割の割り当てポリシー

既定の役割割り当てポリシーは、メールボックスが Exchange 2013 を実行しているサーバーに作成または移動されたときにメールボックスに割り当てられ、新しいメールボックスまたは Enable-Mailbox コマンドレットの RoleAssignmentPolicy パラメーターを使用してロール割り当てポリシーが提供されなかった場合です。

Exchange 2013 には、エンドユーザーに最もよく使用されるアクセス許可を提供する既定の役割の割り当てポリシーが含まれます。 管理役割を追加または削除することで、既定の役割の割り当てポリシーで既定のアクセス許可を変更できます。

組み込みの既定の役割の割り当てポリシーを独自の既定の役割の割り当てポリシーと置き換える場合、 Set-RoleAssignmentPolicy コマンドレットを使用して新しい既定を選択できます。 これを実行すると、役割の割り当てポリシーを明示的に指定しない場合、既定で新しいメールボックスに指定した役割の割り当てポリシーが割り当てられます。

既定の役割の割り当てポリシーを変更する場合、既定の役割の割り当てポリシーを割り当てられたメールボックスに、新しい既定の役割の割り当てポリシーが自動的に割り当てられません。 前に作成したメールボックスを、既定として設定した役割の割り当てポリシーを使用するように更新する場合、更新するには Set-Mailbox コマンドレットを使用する必要があります。

明示的な役割の割り当てポリシー

明示的なロール割り当てポリシーは、新しいメールボックス、Set-Mailbox、または Enable-Mailbox コマンドレットの RoleAssignmentPolicy パラメーターを使用して手動でメールボックスに割り当てるポリシーです。 明示的な役割の割り当てポリシーを割り当てる場合、新しいポリシーが直ちに有効になり、前に割り当てられた明示的な役割の割り当てポリシーに置き換わります。

役割の割り当てポリシーの使用

役割の割り当てポリシーを使用すると、ユーザーが構成を必要とするビジネス ニーズに基づいて、アクセス許可を調整できます。 既定の役割の割り当てポリシーがニーズを満たす場合、カスタマイズは必要ありません。 ただし、専用のニーズを持つ多数の異なるユーザー グループが存在する場合は、各グループの役割の割り当てポリシーを作成することができます。

使用する既定の役割の割り当てポリシーには、非常に広範なユーザーに適用するアクセス許可が含まれている必要があります。 次に、各専用ユーザー グループの役割の割り当てポリシーを作成し、それらの役割の割り当てポリシーを調整して、ある程度制限のあるアクセス許可をユーザー グループに付与します。 役割の割り当てポリシーをこの方法で編成する場合、役割の割り当てポリシーを専用のユーザーに明示的に割り当てることで複雑さを軽減し、大多数のユーザーには既定の役割の割り当てポリシーによって提供されるより一般的なアクセス許可を付与します。

メールボックスは役割の割り当てポリシーを 1 つだけ持つことができます。 管理者および専門家ユーザーを含むすべてのユーザーに、1 つの役割の割り当てポリシーが割り当てられます。 あるユーザーに別の一連のアクセス許可を指定する場合、そのユーザーのメールボックスに、必要なアクセス許可を持つ別の役割の割り当てポリシーを割り当てる必要があります。

役割の割り当てポリシーの管理

新しい役割の割り当てポリシーを追加するには、まずポリシーを作成し、既定の役割の割り当てポリシーにする必要があるかどうかを判断します。 役割の割り当てポリシーを作成したら、管理役割をその役割の割り当てポリシーに割り当て、次に役割の割り当てポリシーをメールボックスに割り当てます。 後から管理役割の追加または削除を選択したり、既定にする別の役割の割り当てポリシーを選択したりできます。

次の表は、役割の割り当てポリシー レイヤーと各レイヤーの管理に使用できる手順のトピックを示しています。

役割の割り当てポリシーの管理のトピック

役割の割り当てポリシーのモデル レイヤー 管理のトピック
Mailbox ユーザー メールボックスの管理

メールボックスの割り当てポリシーを変更する
役割の割り当てポリシー 役割の割り当てポリシーの管理
管理役割および割り当て 役割の割り当てポリシーの管理
管理役割エントリ 役割エントリを役割に追加する

役割エントリを変更する

役割から役割エントリを削除する

: ロール割り当てポリシーの管理ロールの管理ロールエントリを変更することは高度なタスクであり、通常はほとんどの場合必要ありません。 代わりに、要件に合った既存の管理役割を使用できる場合があります。 詳細については、「組み込みの役割グループ」を参照してください。