Exchange Online のアクセス許可
Microsoft Entra ID のグローバル ロールを使用すると、すべての Microsoft 365 の機能 (Exchange Online も含む) のアクセス許可とアクセスを管理できます。 詳細については、「 Microsoft Entra のアクセス許可」を参照してください。
ただし、Exchange Online の機能にアクセス許可と機能を制限する必要がある場合は、Exchange 管理センター (EAC) と Exchange Online PowerShell で Exchange Online のアクセス 許可を割り当てることができます。
EAC で Exchange Online のアクセス許可を管理するには、[ロール] >[ロールの管理] に移動するか、https://admin.exchange.microsoft.com/#/adminRolesの [管理者ロール] ページに直接移動します。
Exchange Online の 組織管理 役割グループのメンバーである必要があります。 具体的には、Exchange Online の ロール管理 ロールを使用すると、ユーザーは Exchange Online の役割グループを表示、作成、変更できます。 既定では、そのロールは 組織の管理 役割グループにのみ割り当てられます。
Exchange Online には、ロールベースのアクセス制御 (RBAC) アクセス許可モデルに基づいて、定義済みのアクセス許可の大規模なセットが含まれています。すぐに使用して、管理者とユーザーにアクセス許可を簡単に付与できます。 Exchange Online のアクセス許可機能を使用して、新しい組織を迅速に稼働させることができます。
ヒント
Exchange Online でアクセス許可を管理すると、ユーザーは EAC および Exchange Online PowerShell の機能にアクセスできます。 Microsoft Purview コンプライアンス ポータルのコンプライアンス機能や Microsoft Defender ポータルのセキュリティ機能など、他の機能にアクセス許可を付与するには、次の記事を参照してください。
- Microsoft Purview コンプライアンス ポータルのアクセス許可
- Microsoft Defender ポータルでの Microsoft Defender for Office 365 のアクセス許可
この記事では、いくつかの高度な RBAC の機能と概念について説明しません。 この記事で説明する機能がニーズを満たしていない場合、アクセス許可モデルをさらにカスタマイズする場合は、「 ロールベースのアクセス制御について」を参照してください。
役割に基づくアクセス許可
Exchange Online のアクセス許可は、ロールベースのアクセス制御 (RBAC) アクセス許可モデルに基づいています。 RBAC は、ほとんどの Microsoft 365 サービスと Exchange Server で使用されるのと同じアクセス許可モデルであるため、これらのサービスのアクセス許可の構造に慣れている場合は、Exchange Online でアクセス許可を付与する必要があります。
ロールまたは管理ロールは、一連のタスクを実行するためのアクセス許可を付与します。 Exchange Online のアクセス許可では、次の種類のロールが使用されます。
- 管理者ロール: 管理者が実行できる一連のタスクを定義します。 管理者ロールが役割グループに割り当てられ、管理者またはユーザーがその 役割グループのメンバーである場合、そのユーザーにはロールによって提供されるアクセス許可が付与されます。 これらのロールの一覧と説明については、この記事を参照してください。
-
エンド ユーザー ロール: ロール 割り当てポリシーを使用して割り当てられたこれらのロールを使用すると、ユーザーは自分が所有するメールボックスと配布グループの側面を管理できます。 エンド ユーザー ロールは、プレフィックス
Myで始まります。 詳細については、この記事の後半のセクションを参照してください。 - アプリケーション ロール: "アプリケーション" で開始または終了するこれらのロール名は、Exchange Online のアプリケーションの RBAC の一部です。 詳細については、「 Exchange Online のアプリケーションのロールベースのアクセス制御」を参照してください。
ロールは、Exchange Online コマンドレットを使用可能なユーザーにすることで、タスクを実行するアクセス許可をユーザーに付与します。 EAC と Exchange Online PowerShell は Exchange Online の管理にコマンドレットを使用するため、コマンドレットへのアクセス権を付与すると、管理者またはユーザーに Exchange Online 管理インターフェイスのいずれかでタスクを実行するアクセス許可が付与されます。
役割グループを使用すると、管理者にロールを簡単に割り当てることができます。 役割が役割グループに割り当てられると、その役割が付与するアクセス許可が役割グループの全メンバーに付与されます。 Exchange Online のアクセス許可には、割り当てる必要がある最も一般的なタスクと機能の既定の役割グループが含まれます。 カスタム ロール グループを作成することもできます。 ユーザーにロールを直接割り当てるのではなく、個々のユーザーを既定のロール グループまたはカスタム ロール グループに メンバー として追加することをお勧めします。 役割グループのメンバーは Exchange Online ユーザーやその他の役割グループにすることができます。
Exchange Online ロール グループにユーザーを追加すると、Microsoft Entra ロールに追加することなく、Exchange Online のユーザーに管理者権限が付与されます。 ユーザーは、他の Microsoft 365 の機能またはワークロードに対するアクセス許可なしでのみ、Exchange Online の役割グループによって付与されたアクセス許可を受け取ります。
この記事の残りの部分では、Exchange Online の管理者ロールと役割グループについて説明します。
ヒント
ロール割り当てポリシーは、エンド ユーザー ロールをユーザーに割り当てるために使用されるロール グループの一種です。 詳細については、「 Exchange Online でのロール割り当てポリシー」を参照してください。
Exchange Online の役割グループ
このセクションの表に、Exchange Online で使用できる既定の管理者ロール グループと、既定で役割グループに割り当てられているロールを示します。 Exchange Online でタスクを実行するアクセス許可をユーザーに付与するには、適切な役割グループに追加します。
少数の管理者しか持っていない小規模な組織で作業する場合は、それらの管理者を組織管理役割グループにのみ追加する必要があり、他の役割グループを使用する必要がない場合があります。 大規模な組織で作業している場合は、受信者の構成など、Exchange Online を管理する特定のタスクを実行する管理者がいる可能性があります。 このような場合は、1 人の管理者を受信者管理役割グループに追加し、もう 1 人の管理者を組織管理役割グループに追加できます。 その後、これらの管理者は Exchange Online の特定の領域を管理できますが、責任を負わない領域を管理するためのアクセス許可がありません。
Exchange Online の組み込みの役割グループが管理者のジョブ機能と一致しない場合は、役割グループを作成してロールを追加できます。 詳細については、「Exchange Online で役割グループを管理する」を参照してください。
ヒント
特に記載がない限り、同じロール グループとロールの割り当てが スタンドアロンの Exchange Online Protection で使用されます。
| 役割グループ | 説明 | 既定のロールが割り当てられている |
|---|---|---|
| 通信コンプライアンス | この役割グループのロールの割り当てにより、Exchange Online の Test-TextExtraction コマンドレットにアクセスできます。 | コミュニケーション コンプライアンスの管理者 コミュニケーション コンプライアンスの調査 |
| コミュニケーション コンプライアンス管理者 | この役割グループのロールの割り当てにより、Exchange Online の Test-TextExtraction コマンドレットにアクセスできます。 | コミュニケーション コンプライアンスの管理者 |
| コンプライアンス管理者 | デバイス管理、データ損失防止、レポート、および保存の設定を管理します。 | コミュニケーション コンプライアンスの管理者 Insider Risk Management 管理者 |
| コンプライアンス管理 | メンバーは、ポリシーに従って Exchange 内でコンプライアンス設定を構成および管理できます。 | 監査ログ コンプライアンス管理者 データ損失防止 Information Rights Management ジャーナリング "Message Tracking/メッセージ追跡" 保持管理 トランスポート ルール 表示専用の監査ログ "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
| 検出の管理 | メンバーは、特定の条件を満たすデータを Exchange Online 組織内のメールボックスの検索を実行でき、メールボックスの訴訟ホールドを構成することもできます。 | "Legal Hold/法的情報保留" "Mailbox Search/メールボックス検索" |
| ExchangeServiceAdmins_-<unique value>¹ | この役割グループのメンバーシップは、サービス間で同期され、一元的に管理されます。 Exchange Online でこの役割グループを管理することはできません。 この役割グループには、ロールが割り当てられません。 ただし、組織管理役割グループ (Exchange サービス管理者) のメンバーであり、その役割グループによって提供されるアクセス許可を継承します。 この役割グループにメンバーを追加するには、Microsoft 365 管理センターの Microsoft Entra ID Exchange 管理者ロールにユーザーを追加します。 |
該当なし |
| ヘルプ デスク | メンバーは、個々の受信者の構成を表示および管理し、Exchange 組織内の受信者を表示できます。 この役割グループのメンバーは、各ユーザーが自分のメールボックスで管理できる構成のみを管理できます。 | パスワードのリセット ユーザー オプション "View-Only Recipients/表示専用受信者" |
| 検疫管理 | メンバーは、Exchange スパム対策機能を管理し、ウイルス対策製品が Exchange と統合するためのアクセス許可を付与し、メール フロー ルールを管理できます。 | 輸送衛生 "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
| 情報保護 | 秘密度ラベルとそのポリシー、DLP、すべての分類子の種類、アクティビティとコンテンツ エクスプローラー、およびすべての関連レポートを含むすべての情報保護機能を完全に制御します。 | Information Protection 管理者 Information Protection Analyst² Information Protection 調査員 Information Protection 閲覧者 |
| Information Protection レベル | この役割グループのロールの割り当てにより、Exchange Online の Test-TextExtraction コマンドレットにアクセスできます。 | Information Protection 管理者 |
| Information Protection アナリスト | この役割グループのロールの割り当てにより、Exchange Online の Search-UnifiedAuditLog コマンドレットにアクセスできます。 | Information Protection Analyst² |
| Information Protection 調査担当者 | 統合監査ログを検索する | Information Protection 調査員 |
| Information Protection 閲覧者 | 統合監査ログを検索し、[メール トラフィック] レポートと [メール トラフィックの概要] レポートを表示します。 | Information Protection 閲覧者 |
| インサイダー リスクの管理 | Insider リスク管理のアクセス制御を管理します。 | Insider Risk Management 管理者 インサイダー リスク管理の調査 |
| Insider Risk Management 管理者 | この役割グループのロールの割り当てにより、Exchange Online の Test-TextExtraction コマンドレットにアクセスできます。 | Insider Risk Management 管理者 |
| インサイダー リスク管理調査担当者。 | この役割グループのロールの割り当てにより、Exchange Online の Test-TextExtraction コマンドレットにアクセスできます。 | インサイダー リスク管理の調査 |
| 組織の管理 | メンバーは Exchange Online 組織全体への管理アクセス権を持ち、Exchange Online でほぼすべてのタスクを実行できます。 重要: Organization Management 役割グループは強力な役割であるため、Exchange Online 組織全体に影響を与える可能性のある組織レベルの管理タスクを実行するユーザーのみが、この役割グループのメンバーである必要があります。 |
監査ログ コミュニケーション コンプライアンスの管理者 コミュニケーション コンプライアンスの調査 コンプライアンス管理者 データ損失防止 動的配布グループ 電子メール アドレス ポリシー フェデレーションの共有 Information Protection 管理者 Information Protection Analyst² Information Protection 調査員 Information Protection 閲覧者 Information Rights Management Insider Risk Management 管理者 インサイダー リスク管理の調査 ジャーナリング "Legal Hold/法的情報保留" "Mail Enabled Public Folders/メールが有効なパブリック フォルダー" "Mail Recipient Creation/メール受信者の作成" Mail Recipients メールのヒント "Message Tracking/メッセージ追跡" "Migration/移行" "Move Mailboxes/メールボックスの移動" 組織カスタム アプリ 組織マーケットプレース アプリ 組織のクライアント アクセス 組織の構成 組織のトランスポート設定 プライバシー管理管理者 プライバシー管理の調査 パブリック フォルダー "Recipient Policies/受信者ポリシー" リモートドメインと承認済みドメイン パスワードのリセット 保持管理 ロール管理 セキュリティ管理者 セキュリティ グループの作成とメンバーシップ セキュリティ閲覧者 TenantPlacesManagement 輸送衛生 トランスポート ルール ユーザー オプション 表示専用の監査ログ "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
| プライバシー管理 | この役割グループのロールの割り当てにより、Exchange Online の Test-TextExtraction コマンドレットにアクセスできます。 | プライバシー管理管理者 プライバシー管理の調査 |
| プライバシー管理管理者 | この役割グループのロールの割り当てにより、Exchange Online の Test-TextExtraction コマンドレットにアクセスできます。 | プライバシー管理管理者 |
| プライバシー管理調査員 | この役割グループのロールの割り当てにより、Exchange Online の Test-TextExtraction コマンドレットにアクセスできます。 | プライバシー管理の調査 |
| Recipient Management | メンバーは、Exchange Online 組織内の Exchange Online 受信者を作成または変更するための管理アクセス権を持ちます。 | 動的配布グループ "Mail Recipient Creation/メール受信者の作成" Mail Recipients "Message Tracking/メッセージ追跡" "Migration/移行" "Move Mailboxes/メールボックスの移動" "Recipient Policies/受信者ポリシー" パスワードのリセット |
| レコード管理 | メンバーは、アイテム保持ポリシー タグ、メッセージ分類、メール フロー ルール (トランスポート ルールとも呼ばれます) などのコンプライアンス機能を構成できます。 | 監査ログ ジャーナリング "Message Tracking/メッセージ追跡" 保持管理 トランスポート ルール |
| RIM-MailboxAdmins<GUID> | 不使用 | ApplicationImpersonation |
| セキュリティ管理者 | この役割グループのメンバーシップは、サービス間で同期され、一元的に管理されます。 Exchange Online でこの役割グループを管理することはできません。 この役割グループにメンバーを追加するには、Microsoft 365 管理センターの Microsoft Entra Security 管理者ロールにユーザーを追加します。 |
セキュリティ管理者 SensitivityLabelAdministrator |
| セキュリティ オペレーター | セキュリティ アラートを管理し、セキュリティ機能のレポートと設定も表示します。 Microsoft Entra ID の セキュリティ オペレーター ロールのメンバーは、このロール グループのアクセス許可を自動的に取得します。 |
テナント AllowBlockList Manager |
| セキュリティ閲覧者 | この役割グループのメンバーシップは、サービス間で同期され、一元的に管理されます。 Exchange Online でこの役割グループを管理することはできません。 この役割グループにメンバーを追加するには、Microsoft 365 管理センターの Microsoft Entra セキュリティ閲覧者ロールにユーザーを追加します。 |
セキュリティ閲覧者 |
| TenantAdmins_-<unique 値> | この役割グループのメンバーシップは、サービス間で同期され、一元的に管理されます。 Exchange Online でこの役割グループを管理することはできません。 この役割グループには、ロールが割り当てられません。 ただし、組織管理役割グループのメンバー (会社の管理者として) であり、その役割グループによって提供されるアクセス許可を継承します。 この役割グループにメンバーを追加するには、Microsoft 365 管理センターの Microsoft Entra ID グローバル管理者 ロールにユーザーを追加します。 重要: Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。 |
該当なし |
| View-Only Organization Management | メンバーは、Exchange Online 組織内の任意のオブジェクトのプロパティを表示できます。 | "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
¹ この役割グループは、 スタンドアロンの Exchange Online Protection では使用できません。
² 既定では、このロールには スタンドアロン Exchange Online Protection の役割グループは割り当てられません。
Exchange Online のロール
このセクションの表に、使用可能な管理者ロールと、既定で割り当てられている役割グループを示します。
既定で組織管理役割グループに割り当て られない ロールは、 でマークされます *
ヒント
- プレフィックス 'My' で始まるロール名 (MyContactInformation など) はエンド ユーザー ロールです。 エンド ユーザー ロールは、ロール割り当てポリシーのユーザーに割り当てられます。これにより、ユーザーは自分が所有するオブジェクト (自分が作成したアカウントや配布グループなど) で操作できます。 詳細については、「 Exchange Online でのロール割り当てポリシー」を参照してください。
- "アプリケーション" で始まるロール名は、Exchange Online のアプリケーションの RBAC の一部です。 詳細については、「 Exchange Online のアプリケーションのロールベースのアクセス制御」を参照してください。
- Microsoft Purview コンプライアンスおよび Microsoft Entra でも利用できるコンプライアンス関連のロールの多くは、Exchange Online で単独で多くの機能を提供していません。
- 特に記載がない限り、 スタンドアロンの Exchange Online Protection では、同じロールと役割グループの割り当てが使用されます。
| 役割 | 説明 | 既定の役割グループの割り当て |
|---|---|---|
| "Address Lists/アドレス一覧"* | 管理者は、組織内のアドレス一覧、グローバル アドレス一覧、オフライン アドレス一覧を管理できます。 | なし |
| 監査ログ | 管理者監査ログを検索し、結果を表示します。 | コンプライアンス管理 組織の管理 レコード管理 |
| コミュニケーション コンプライアンスの管理者 | このロールは、Exchange Online の Test-TextExtraction コマンドレットにアクセスできるようにします。 | 通信コンプライアンス コミュニケーション コンプライアンス管理者 コンプライアンス管理者 組織の管理 |
| コミュニケーション コンプライアンスの調査 | このロールは、Exchange Online の Test-TextExtraction コマンドレットにアクセスできるようにします。 | 通信コンプライアンス 組織の管理 |
| コンプライアンス管理者 | コンプライアンス機能の設定とレポートを表示および編集できます。 | コンプライアンス管理 組織の管理 |
| データ損失防止 | このロールは、組織内の古いメール フロー ルール (トランスポート ルール) 関連のデータ損失防止 (DLP) 設定に関連していました。 このロールは、Exchange Online でのレポートおよびメール フロー ルール管理へのアクセスを提供します。 | コンプライアンス管理 組織の管理 |
| 動的配布グループ | すべての配布グループ、メールが有効なセキュリティ グループ、およびメンバーを作成して管理します。 | 組織の管理 Recipient Management |
| 電子メール アドレス ポリシー | 管理者が組織内のメール アドレス ポリシーを管理できるようにします。 | 組織の管理 |
| フェデレーションの共有 | 管理者が組織内のフォレスト間共有とクロス組織共有を管理できるようにします。 | 組織の管理 |
| Information Protection 管理者 | このロールは、Exchange Online の Test-TextExtraction コマンドレットにアクセスできるようにします。 | 情報保護 Information Protection レベル 組織の管理 |
| Information Protection アナリスト | このロールは、Exchange Online の Search-UnifiedAuditLog コマンドレットにアクセスできるようにします。 | 情報保護 Information Protection アナリスト¹ 組織の管理 |
| Information Protection 調査員 | 統合監査ログを検索します。 | 情報保護 Information Protection 調査担当者 組織の管理 |
| Information Protection 閲覧者 | 統合監査ログを検索し、[メール トラフィック] レポートと [メール トラフィックの概要] レポートを表示します。 | 情報保護 Information Protection 閲覧者 組織の管理 |
| Information Rights Management | 組織内の Exchange の Information Rights Management (IRM) 機能を管理します。 | コンプライアンス管理 組織の管理 |
| Insider Risk Management 管理者 | このロールは、Exchange Online の Test-TextExtraction コマンドレットにアクセスできるようにします。 | コンプライアンス管理者 インサイダー リスクの管理 Insider Risk Management 管理者 組織の管理 |
| インサイダー リスク管理の調査 | このロールは、Exchange Online の Test-TextExtraction コマンドレットにアクセスできるようにします。 | インサイダー リスクの管理 インサイダー リスク管理調査担当者。 組織の管理 |
| ジャーナリング | 管理者が組織内のジャーナリング構成を管理できるようにします。 | コンプライアンス管理 組織の管理 レコード管理 |
| "Legal Hold/法的情報保留" | 管理者は、組織内の訴訟目的でメールボックス内のデータを保持するかどうかを構成できます。 | 検出の管理 組織の管理 |
| "Mail Enabled Public Folders/メールが有効なパブリック フォルダー" | 管理者は、組織内で個々のパブリック フォルダーがメールが有効かメールが無効かを構成できます。 | 組織の管理 |
| "Mail Recipient Creation/メール受信者の作成" | メール ユーザーとメール連絡先を作成および削除します。 | 組織の管理 Recipient Management |
| Mail Recipients | 既存のメール ユーザーとメール連絡先を変更します。 | 組織の管理 Recipient Management |
| メールのヒント | 管理者が組織内のメール ヒント設定を管理できるようにします。 | 組織の管理 |
| メールボックスインポートエクスポート* | 管理者がメールボックスのコンテンツをインポートおよびエクスポートできるようにします。 | なし |
| "Mailbox Search/メールボックス検索"* | 管理者が組織内の 1 つ以上のメールボックスのコンテンツを検索できるようにします。 | 検出の管理 |
| "Message Tracking/メッセージ追跡" | 管理者が組織内のメッセージを追跡できるようにします。 | コンプライアンス管理 組織の管理 Recipient Management Records Management |
| 移行 | 管理者がメールボックスとメールボックスのコンテンツを組織との間で移行できるようにします。 | 組織の管理 Recipient Management |
| "Move Mailboxes/メールボックスの移動" | 管理者がメールボックスを移動できるようにします。 | 組織の管理 Recipient Management |
| O365SupportViewConfig* | 不使用 | なし |
| 組織カスタム アプリ | ユーザーが組織のカスタム アプリを表示および変更できるようにします。 | 組織の管理 |
| 組織マーケットプレース アプリ | ユーザーが組織のマーケットプレース アプリを表示および変更できるようにします。 | 組織の管理 |
| 組織のクライアント アクセス | 管理者が組織内のクライアント アクセス設定を管理できるようにします。 | 組織の管理 |
| 組織の構成 | 管理者が組織全体の設定を管理できるようにします。 | 組織の管理 |
| 組織のトランスポート設定 | 管理者が、ハイブリッドおよび組織全体のメール トランスポート設定を管理できるようにします。 | 組織の管理 |
| プライバシー管理管理者 | このロールは、Exchange Online の Test-TextExtraction コマンドレットにアクセスできるようにします。 | 組織の管理 プライバシー管理 プライバシー管理管理者 |
| プライバシー管理の調査 | このロールは、Exchange Online の Test-TextExtraction コマンドレットにアクセスできるようにします。 | 組織の管理 プライバシー管理 プライバシー管理調査員 |
| パブリック フォルダー | 管理者が組織内のパブリック フォルダーを管理できるようにします。 | 組織の管理 |
| "Recipient Policies/受信者ポリシー" | 管理者が組織内の受信者ポリシー (認証ポリシー、データ暗号化ポリシーモバイル デバイス メールボックス ポリシー、Outlook on the Web メールボックス ポリシー) を管理できるようにします。 | 組織の管理 Recipient Management |
| リモートドメインと承認済みドメイン | リモート ドメイン、承認済みドメイン、コネクタを管理します。 | 組織の管理 |
| パスワードのリセット | 管理者が会議室メールボックスのパスワードを設定できるようにします。 | ヘルプ デスク 組織の管理 Recipient Management |
| 保持管理 | ユーザーがアイテム保持ポリシーを管理できるようにします。 | コンプライアンス管理 組織の管理 レコード管理 |
| ロール管理 | 管理者が、組織内の管理役割グループ、ロール割り当てポリシー、管理ロール、ロール エントリ、割り当て、スコープを管理できるようにします。 | 組織の管理 |
| セキュリティ管理者 | すべてのセキュリティと保護機能の構成とレポートを管理します。 | 組織の管理 セキュリティ管理者 |
| セキュリティ グループの作成とメンバーシップ | メールが有効なセキュリティ グループを作成および管理します。 | 組織の管理 |
| セキュリティ閲覧者 | セキュリティと保護機能の構成とレポートを表示します。 | 組織の管理 セキュリティ閲覧者 |
| SensitivityLabelAdministrator* | ユーザーが秘密度ラベルのプロパティを編集できるようにします。 | セキュリティ管理者 |
| テナント AllowBlockList Manager* | ユーザーがテナントの許可/ブロックリストを管理できるようにします。 | セキュリティ オペレーター |
| TenantPlacesManagement | ユーザーが Microsoft Places の設定を管理できるようにします。 | 組織の管理 |
| 輸送衛生 | マルウェア対策、スパム対策機能、なりすまし対策機能を管理します。 | 検疫管理 組織の管理 |
| トランスポート ルール | メール フロー ルール (トランスポート ルールとも呼ばれます) を作成および管理します。 | コンプライアンス管理 組織の管理 レコード管理 |
| ユーザー オプション | 管理者が組織内のユーザーの Outlook on the Web オプションを表示できるようにします。 | ヘルプ デスク 組織の管理 |
| 表示専用の監査ログ | 管理者監査ログを検索し、結果を表示します。 | コンプライアンス管理 組織の管理 |
| "View-Only Configuration/表示専用構成" | 組織内のすべての組織とメール フロー (受信者以外) の設定を表示します。 | コンプライアンス管理 検疫管理 組織の管理 View-Only Organization Management |
| "View-Only Recipients/表示専用受信者" | 受信者のプロパティを表示し、メッセージ トレースを実行します。 | コンプライアンス管理 ヘルプ デスク 検疫管理 組織の管理 View-Only Organization Management |
¹ 既定では、このロールはスタンドアロン Exchange Online Protection のどの役割グループにも割り当てられません。
Exchange Online での Microsoft 365 アクセス許可
Microsoft 365 管理センターでユーザーを作成するときに、さまざまな Microsoft Entra ロール (Exchange 管理者やグローバル 閲覧者など) をユーザーに割り当てるかどうかを選択できます。 Microsoft Entra ロールのほとんどは、Exchange Online のユーザーに管理アクセス許可を付与します。
注:
Exchange Online 組織の作成に使用したアカウントは、グローバル管理者ロールに自動的に割り当てられます。
次の表に、Microsoft Entra ロールと、対応する Exchange Online ロール グループを示します。 これらのロールの詳細については、「 Microsoft Entra のアクセス許可」を参照してください。
| Microsoft Entra ロール | Exchange Online 役割グループ |
|---|---|
| グローバル管理者 | 組織の管理 注: グローバル管理者ロールと組織管理役割グループは、特別な会社管理者役割グループを使用して結び付けられます。 会社管理者ロール グループは内部的に管理され、直接変更することはできません。 |
| Exchange 管理者 | 組織の管理 |
| グローバル閲覧者 | View-Only Organization Management |
| ヘルプデスク管理者 | ヘルプ デスク |
| サービス サポート管理者 | なし |
| SharePoint 管理者 | なし |
| Teams 管理者 | なし |
| ユーザー管理者 | Recipient Management |
| ユーザー エクスペリエンス サクセス Åマネージャー | なし |
ユーザーを Exchange Online ロール グループのメンバーとして追加することで、ユーザーを Microsoft Entra ロールに追加することなく、Exchange Online で管理者権限を付与できます。 ユーザーは Exchange Online でアクセス許可を取得しますが、他の Microsoft 365 ワークロードではアクセス許可を取得しません。
重要
Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。