管理役割グループについて
製品: Exchange Server 2013
管理役割グループは、Microsoft Exchange Server 2013 のロール ベースのAccess Control (RBAC) アクセス許可モデルで使用されるユニバーサル セキュリティ グループ (USG) です。 管理役割グループを利用すれば、ユーザーのグループに管理役割を簡単に割り当てることができます。 1 つの役割グループのすべてのメンバーが、同じ役割セットに割り当てられます。 役割グループには、組織の管理、受信者の管理、その他のタスクなど、Exchange 2013 で重要な管理タスクを定義する管理者および専門家の役割が割り当てられます。 役割グループを使用すると、管理者または専門家ユーザーのグループに一連の広範なアクセス許可をより簡単に割り当てることができます。
注:
ここでは、RBAC の高度な機能について説明します。 基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。
ユーザーに自分のメールボックスまたは配布グループを管理するためのアクセス許可を割り当てる場合は、「管理役割の割り当てポリシーについて」を参照してください。
役割グループ レイヤー
役割グループ モデルを構成するレイヤーを次に示します。
役割グループ メンバー: 役割グループ メンバー は、メールボックス、ユニバーサル セキュリティ グループ (USG)、または役割グループのメンバーとして追加できるその他の役割グループです。 メールボックス、USG、または別の役割グループを役割グループのメンバーとして追加すると、管理役割と役割グループの間で作成した割り当てが新しいメンバーに適用されます。 これにより、管理役割で得られるすべてのアクセス許可が新しいメンバーに付与されます。
管理役割グループ: 管理役割グループ は、メールボックス、USG、および役割グループのメンバーである他の役割グループを含む特別な USG です。 メンバーの追加や削除を行う場所であり、管理役割もここに割り当てられます。 役割グループにおけるすべての役割の組み合わせによって、役割グループに追加されたメンバーが Exchange 組織で管理できるすべての要素を定義します。
管理ロールの割り当て: 管理ロールの割り当ては 、管理ロールと役割グループをリンクします。 管理役割を役割グループに割り当てると、役割グループのメンバーに管理役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。 役割の割り当てでは、割り当てを使用できる場所を制御するため管理スコープを使用できます。 詳細については、「管理役割の割り当てについて」を参照してください。
管理ロールスコープ: 管理ロールスコープ は、ロールの割り当てに対する影響または影響の範囲です。 役割をスコープ付きで役割グループに割り当てた場合、割り当てで管理できるオブジェクトが管理スコープの対象となります。 割り当ておよびそのスコープが役割グループのメンバーに適用され、これによってメンバーが管理できるものが制限されます。 スコープは、サーバーまたはデータベース、組織単位、あるいはサーバー、データベース、または受信者オブジェクトに対するフィルターで構成できます。 詳細については、「管理役割スコープについて」を参照してください。
管理ロール: 管理ロールは、管理ロール エントリをグループ化するためのコンテナーです。 役割は、その役割に割り当てられた役割グループのメンバーによって実行できる特定のタスクを定義するために使用されます。 詳細については、「管理の役割について」を参照してください。
管理ロール エントリ: 管理ロール エントリ は、特定のタスクを実行するためのアクセスを可能にするコマンドレット、スクリプト、およびその他の特別なアクセス許可へのアクセスを提供する管理ロールの個々のエントリです。 通常、役割エントリは、管理役割と、管理役割が割り当てられた管理役割グループがアクセスできる 1 つのコマンドレットやスクリプト、そしてパラメーターで構成します。
次の図は、前の一覧の各役割グループ レイヤーと、各レイヤーが他のレイヤーとどう関連するかを示しています。
.gif "管理役割グループレイヤー")
RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。
役割グループの管理
ロール グループを作成するときは、役割グループのメンバーを保持する USG を作成し、ロール グループと指定した管理ロールの間に割り当てを作成します。 必要に応じて、役割の割り当てに適用する管理スコープを指定することもできます。また、新しい役割グループのメンバーにするメールボックスを追加することもできます。
役割グループを作成すると、各レイヤーが独立したオブジェクトになります。 役割グループは、引き続きすべてのレイヤーが結合される中心点として機能しますが、各レイヤーは個別に管理されます。 たとえば、作成時に役割グループに適用した管理スコープを変更するには、役割グループを作成した後に個々の役割の割り当てでスコープを変更する必要があります。 役割グループ モデルの管理を実行するには、役割グループ モデルの個々のレイヤーを管理するコマンドレットを使用します。
次の表は、役割グループ レイヤーと各レイヤーの管理に使用できる手順のトピックを示しています。
役割グループの管理のトピック
| 役割グループ モデル レイヤー | 管理のトピック |
|---|---|
| 役割グループ メンバー | 役割グループのメンバーの管理 |
| 役割グループ | 役割グループの管理 |
| 管理役割および割り当て | 役割グループの管理 |
| 管理役割エントリ |
役割エントリを役割に追加する 役割エントリを変更する 役割から役割エントリを削除する 注: 役割グループの管理役割の管理役割エントリを変更することは高度なタスクであり、通常は必要ありません。 代わりに、要件に適した既存の管理役割を使用できることがあります。 詳細については、「組み込みの役割グループ」を参照してください。 |
組み込みの役割グループ
組み込みの役割グループは、Exchange 2013 に付属している役割です。 さまざまなレベルの管理アクセス許可をユーザーのグループに提供するために使用できる、一連の役割グループが得られます。 組み込みの役割グループに対してユーザーを追加または削除できます。 ほとんどの役割グループに対して役割の割り当てを追加または削除することもできます。 ただし、以下のような例外があります。
組織の管理 役割グループから、委任の役割の割り当てを削除することはできません。
組織の管理 役割グループから、"Role Management/役割管理" 役割を削除することはできません。
次の表は、Exchange 2013 に付属しているすべての組み込みの役割グループの一覧です。 組み込みの役割グループの詳細については、「組み込みの役割グループ」を参照してください。
| 役割グループ | 説明 |
|---|---|
| 組織の管理 | 組織の管理役割グループのメンバーである管理者には、Exchange 2013 組織全体に対する管理アクセス許可があり、一部の例外を除き、任意の Exchange 2013 オブジェクトに対してほぼすべてのタスクを実行できます。 既定では、この役割グループのメンバーは、メールボックスの検索および対象範囲外の最上位の管理役割の管理はできません。 |
| 表示限定の組織管理 | 組織の管理のみ表示 役割グループのメンバーである管理者は、Exchange 組織の任意のオブジェクトのプロパティを表示できます。 |
| 受信者の管理 | Recipient Management 役割グループのメンバーである管理者は、Exchange 2013 組織内の Exchange 2013 受信者を作成または変更するための管理アクセスを持ちます。 |
| UM 管理 | UM Management 役割グループのメンバーである管理者は、ユニファイド メッセージング (UM) サービス構成、メールボックスの UM プロパティ、UM プロンプト、および UM 自動応答構成など、Exchange 組織内の機能を管理できます。 |
| 検出の管理 | Discovery Management 役割グループのメンバーである管理者またはユーザーは、特定の条件を満たすデータについて、Exchange 組織内のメールボックスを検索でき、メールボックスに訴訟ホールドを構成することもできます。 |
| レコードの管理 | Records Management 役割グループのメンバーであるユーザーは、アイテム保持ポリシー タグ、メッセージ分類、トランスポート ルールなどの準拠機能を構成できます。 |
| サーバー管理 | この役割グループのメンバーである管理者は、データベース コピー、証明書、トランスポート キューと送信コネクタ、仮想ディレクトリ、クライアント アクセス プロトコルなど、トランスポート、クライアント アクセス、およびメールボックスの各機能にサーバー固有の構成ができます。 |
| Help Desk (ヘルプ デスク) | "Help Desk/ヘルプ デスク" 役割グループのメンバーであるユーザーは、Exchange 2013 受信者の制限された受信者管理を実行できます。 |
| 検疫管理 | "Hygiene Management/検疫管理" 役割グループのメンバーである管理者は、Exchange 2013 のスパム対策およびマルウェア対策機能を構成できます。 Exchange 2013 に統合されているサードパーティ製プログラムによって、この役割グループにサービス アカウントが追加でき、Exchange の構成の取得および構成に必要なコマンドレットへのアクセスが許可されます。 |
| コンプライアンス管理 | コンプライアンス管理役割グループのメンバーであるユーザーは、そのポリシーに応じて Exchange コンプライアンス構成の構成と管理ができます。 |
| パブリック フォルダーの管理 | "Public Folder Management/パブリック フォルダー管理" 役割グループのメンバーである管理者は、Exchange 2013 を実行するサーバー上にあるパブリック フォルダーを管理できます。 |
| 委任されたセットアップ | 委任されたセットアップ役割グループのメンバーである管理者は、Exchange 2013 役割グループのメンバーによって既に準備された、組織の管理 を実行しているサーバーを展開できます。 |
リンクされた役割グループ
リンクされた役割グループは、Exchange 2013 を専用リソース フォレストにインストールし、ユーザーを他の信頼された外部フォレストに配置する組織で使用されます。 リンクされた役割グループは、その名前が示すように、Exchange フォレストの役割グループと外部フォレストの USG 間にリンクを作成します。 これは、Exchange を管理する管理者の Active Directory Domain Services (AD DS) ユーザー アカウントが、Exchange と同じリソース フォレストに存在しないときに便利です。 リンクされた役割グループは 1 つの外部 USG にだけ関連付けることができます。 また、Exchange フォレストと外部フォレスト間に双方向の信頼関係を作成する必要はありません。 Exchange フォレストは、外部フォレストを信頼する必要がありますが、外部フォレストは、Exchange フォレストを信頼する必要がありません。
複数フォレスト トポロジでのアクセス許可の詳細については、「複数フォレストのアクセス許可について」を参照してください。
リンクされた役割グループは 2 つの部分で構成されます。
- リンクされた役割グループ: リンクされた役割グループは、外部 USG を役割グループに割り当てられた管理ロールの割り当てに関連付けるコンテナー オブジェクトです。
- 外部 USG: 外部 USG には、リンクされたロール グループによって提供されるアクセス許可を付与する必要があるメンバーが含まれています。
リンクされた役割グループを作成する際、Exchange フォレストを管理するために必要なユーザーを含む外部フォレストおよびこれらのユーザーをメンバーとして含む USG、外部 USG 名、および外部フォレストへのアクセスに必要な資格情報にドメイン コントローラーを提供します。 Exchange は、外部 USG のセキュリティ識別子 (SID) をリンクされた役割グループに追加します。 USG SID は外部 USG の唯一の ID であるため、複数の外部フォレストがある場合、役割グループの名前に外部フォレストを指定することを強くお勧めします。
リンクされた役割グループにはメンバーが含まれていません。 役割グループのすべてのメンバーは、外部 USG を使用して管理されます。 つまり、役割グループのメンバーの追加または削除に Update-RoleGroupMember 、 Add-RoleGroupMember 、または Remove-RoleGroupMember コマンドレットを使用することはできません。 メンバーを外部 USG に追加する場合、メンバーにはリンクされた役割グループによって提供されるアクセス許可が付与されます。
独自のメンバーを含む標準の役割グループをリンクされた役割グループに変更することはできません。また、その逆も同様です。 役割グループを標準の役割グループからリンクされた役割グループに変更する場合は、新しいリンクされた役割グループを作成し、リンクされた役割グループの標準ロール グループに存在する管理ロールの割り当てをレプリケートする必要があります。 これは、組み込みの役割グループが標準の役割グループであるためにも当てはめます。 外部フォレストから Exchange フォレストのすべての管理を実行する場合は、新しいリンクされた役割グループを作成し、組み込みの役割グループに存在する管理ロールを新しいリンクされた役割グループに追加する必要があります。 これを行う方法の詳細については、「 組み込みの役割グループを反映するリンクされた役割グループを作成する」を参照してください。
役割グループの委任
既定では、組織の管理 役割グループのメンバーは役割グループに対してメンバーを追加および削除できます。 ただし、組織の管理 役割グループのメンバーでないユーザーが役割グループのメンバーを追加および削除できるようにしたい場合があります。 その場合は、役割グループの委任を使用できます。
役割グループの委任は、各役割グループの ManagedBy プロパティによって制御されます。 ManagedBy プロパティには、その役割グループに対してメンバーを追加および削除できるユーザー、または役割グループの構成を変更できるユーザーの一覧が含まれます。 ユーザーには、役割グループのメンバーでない限り、役割グループによって付与されるアクセス許可は割り当てられません。
役割グループで ManagedBy プロパティが設定されている場合、そのプロパティで役割グループ マネージャーとして一覧に示されているユーザーだけが、既定で役割グループまたは役割グループのメンバーシップを変更できます。 ただし、役割グループまたは役割グループ メンバーシップを変更するコマンドレットのオプション パラメーターにより、その制限を無視できます。 BypassSecurityGroupManagerCheck スイッチは、組織の管理ロールのメンバーであるユーザー、またはロール管理管理ロールを直接または間接的に割り当てられているユーザーが使用できます。 このスイッチを使用すると、 ManagedBy プロパティが無視され、ユーザーは役割グループまたは役割グループ メンバーシップを変更することができます。
ManagedBy プロパティが役割グループに設定されていない場合、組織の管理 役割のメンバーであるか、直接的または間接的に "Role Management/役割管理" 管理役割が割り当てられているユーザーだけが、役割グループまたは役割グループ メンバーシップを変更できます。
注:
役割グループに割り当てられた役割を、役割の割り当ての委任を使用して割り当てることができる場合があります。 役割の割り当ての委任を使用すると、委任された役割に割り当てられている役割グループのメンバーが、その役割を別の役割グループ、割り当てポリシー、ユーザー、または USG に割り当てることができます。 役割グループのメンバーは、 ManagedBy プロパティにも追加されていない限り、その役割を割り当てることができるだけで、役割グループを委任できません。 委任された役割の割り当ての詳細については、「 管理役割の割り当てについて」を参照してください。
役割グループの委任を管理する方法の詳細については、「役割グループの管理」を参照してください。
役割グループ メンバーシップ
ユーザーが役割グループのメンバーになると、役割グループに割り当てられた管理役割がユーザーに割り当てられます。 ユーザーが複数の役割グループのメンバーである場合、各役割グループの管理役割が集約されて、ユーザーに割り当てられます。 ユーザー、USG、およびその他の役割グループは、役割グループのメンバーになることができます。
組織の管理 または "Role Management/役割管理" 役割グループのメンバーであるユーザーと、役割グループに対してユーザーの追加および削除の権限を委任されたユーザーだけが、役割グループのメンバーシップを管理できます。
役割グループのメンバーシップの管理方法の詳細については、「役割グループのメンバーの管理」を参照してください。
役割グループ作成ワークフロー
前述のように、役割グループは複数のレイヤーで構成されます。 役割グループを作成したときに何が起こるかを理解するため、次の新しい役割グループを作成する例について考えます。
New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jenn", "Maria", "Chris", "Maija", "Carter", "Jenny", "Sam", "Lukas", "Isabel", "Katie"
上記のコマンドを実行すると、次の処理が行われます。
シアトル受信者管理と呼ばれる特別な USG である新しい役割グループ オブジェクトは、フォレスト ルート ドメインの Microsoft Exchange セキュリティ グループ OU の下に作成されます。
Ray、Jenn、Maria、Chris、Maija、Carter、Jenny、Sam、Lukas、Isabel、Katie のメールボックスが役割グループのメンバーとして追加されます。 これらのユーザーには、この役割グループによって提供されているアクセス許可が付与されます。
ユーザー Brian と David は、ロール グループの ManagedBy プロパティに追加されます。 これらのユーザーは、役割グループとの間でメンバーを追加および削除できますが、メンバーではないため、役割グループによって提供されるアクセス許可は付与されません。 Katie は、ロール グループの ManagedBy プロパティにも追加されます。 ManagedBy プロパティに追加され、役割グループのメンバーであるため、役割グループとの間でメンバーを追加または削除でき、役割グループによって提供されるアクセス許可も受け取ります。
次の管理役割の割り当てが作成されます。 役割の割り当ては、コマンドで指定された各管理役割を役割グループに割り当てます。 "Seattle Users/Seattle ユーザー" という管理スコープが、各役割の割り当てに追加されます。 各役割の割り当ての名前は、割り当て中の管理役割と役割グループ名の組み合わせになります。
Mail Recipients_Seattle Recipient ManagementDistribution Groups_Seattle Recipient ManagementMove Mailboxes_Seattle Recipient ManagementUM Mailboxes_Seattle Recipient Management
このコマンドの結果をトピックの管理役割グループ レイヤーの図と比較すると、各ステップが役割グループ レイヤーと関連する場所がわかります。 そして、このトピックの「役割グループの管理」にまとめた管理役割グループの管理トピックの説明に従って、各役割グループ レイヤーを管理することができます。