Exchange ハイブリッド展開のアクセス許可
Microsoft 365 または Office 365 organization のExchange Onlineは、Exchange Serverに基づいており、オンプレミス組織と同様に、ロールベースのAccess Control (RBAC) を使用してアクセス許可を制御します。 管理者には管理役割グループを使用してアクセス許可が付与され、エンド ユーザーには管理役割の割り当てポリシーを使用してアクセス許可が付与されます。
Exchange Onlineおよびオンプレミス Exchange のアクセス許可の詳細については、「Exchange Onlineのアクセス許可と機能のアクセス許可をExchange Serverする」を参照してください。
管理者のアクセス許可
既定では、Office 365 organizationの作成に使用されたユーザーは、Exchange Online organizationの Organization Management 役割グループのメンバーになります。 このユーザーは、organization レベルの設定の構成やExchange Online受信者の管理など、Exchange Online organization全体を管理できます。
実行する必要がある管理に応じて、Exchange Online organizationにさらに管理者を追加できます。 たとえば、他のorganization管理者と受信者管理者を追加したり、スペシャリスト ユーザーが検出などのコンプライアンス タスクを実行したり、カスタム アクセス許可を構成したりできます。 Microsoft 365 および Office 365 管理者のすべてのExchange Onlineアクセス許可管理は、Exchange 管理センター (EAC) または powerShell Exchange Onlineを使用して、Exchange Online organizationで実行する必要があります。
重要
オンプレミスのorganizationと Microsoft 365 または Office 365 organizationの間でアクセス許可が譲渡されるわけではありません。 オンプレミスのorganizationで定義したアクセス許可は、Microsoft 365 または Office 365 organizationで再作成する必要があります。
詳細については、「Manage Role Groups」および「Manage Role Group Members」を参照してください。
メールボックスのアクセス許可の委任
オンプレミスの Exchange 展開では、ユーザーには他のユーザーのメールボックスに対するさまざまなアクセス許可が付与されます。 これは委任されたメールボックスのアクセス許可と呼ばれ、管理アシスタントが別のユーザーのメールボックスの一部 (たとえば、エグゼクティブの予定表の管理) を管理する必要がある場合に便利です。 Exchange ハイブリッド展開では、オンプレミスの Exchange organization にあるメールボックスと、Microsoft 365 またはOffice 365にあるメールボックス間の一部のメールボックスアクセス許可の使用がサポートされています。ただし、すべてではありません。 次のセクションでは、サポートされているアクセス許可とサポートされていないアクセス許可について詳しく説明します。ハイブリッド メールボックスのアクセス許可をサポートするために必要なその他の構成。と、オンプレミスのorganizationと Microsoft 365 または Office 365の間でメールボックスのアクセス許可を同期する方法。
ハイブリッド環境でのメールボックスのアクセス許可
Exchange ハイブリッド環境では、すべてのメールボックスのアクセス許可が完全にサポートされているわけではありません。
ハイブリッド環境でサポートされるメールボックスのアクセス許可
フル アクセス: オンプレミスの Exchange サーバー上のメールボックスには、Microsoft 365 または Office 365 メールボックスへのフル アクセス許可を付与できます。その逆も可能です。 たとえば、Microsoft 365 または Office 365 メールボックスには、オンプレミスの共有メールボックスに対するフル アクセス許可を付与できます。 ユーザーは、Outlook デスクトップ クライアントを使用してメールボックスを開く必要があります。 クロスプレミス メールボックスのアクセス許可は、Outlook on the webでは完全にはサポートされていません。 ユーザーは、[Outlook on the webで別のメールボックスを開く] を使用して、フル アクセス許可を持つ他のメールボックスを開くことができます。 ただし、ユーザーがメールボックスにアクセスする前に、リダイレクト リンクと資格情報プロンプトが生成されます。
注:
ユーザーは、他のorganizationにあるメールボックスに初めてアクセスし、Outlook プロファイルに追加するときに、追加の資格情報プロンプトを受け取る場合があります。
代理送信: オンプレミスの Exchange サーバー上のメールボックスには、Microsoft 365 または Office 365 メールボックスへの代理送信アクセス許可を付与できます。その逆も可能です。 たとえば、Microsoft 365 または Office 365 メールボックスには、オンプレミスの共有メールボックスへの代理送信アクセス許可を付与できます。 クロスプレミスのメールボックス アクセス許可は、Outlook on the web ではサポートされていません。
オンプレミスの Exchange サーバーとExchange Onlineの間で同期するには、代理送信アクセス許可のために、Microsoft Entra Connect サーバーで一部の変更が必要です。 詳細については、この記事の後半の「Microsoft Entra Connect でのハイブリッド メールボックスのアクセス許可のサポートの有効化」セクションを参照してください。
プライベートアイテム: メールボックスに フル アクセス 権限を付与すると、代理人にメールボックス内のプライベートアイテム (プライベート会議、予定、連絡先、またはタスク) の表示を許可するかどうかを決定できます。
プライベートアイテムをデリゲートと共有するには、Outlook で次の手順を使用します。
[ファイル>アカウント設定][委任アクセス] > に移動します
![Outlook の [アクセスの委任] 設定。](exchangehybrid/media/private_item_menu1.png)
次のウィンドウで、[ 追加] をクリックします。 organizationのユーザーを一覧表示する新しいメニューが表示されます。 デリゲートを選択し、[ OK] をクリックします。
次の画像が表示されます。ここで、関連するチェック ボックスをオンにすると、プライベートアイテムをデリゲートと共有できます。
詳細については、「Office 365 ハイブリッド環境での委任の概要」を参照してください。
ハイブリッド環境ではサポートされていないメールボックスのアクセス許可と機能
[名前を付けて送信]: ユーザーが別のユーザーのメールボックスから送信されているかのようにメールを送信できます。 Microsoft Entra Connect では、オンプレミスの Exchange と Microsoft 365 または Office 365の間で Send As アクセス許可が自動的に同期されないため、クロスプレミスの送信アクセス許可はサポートされていません。 ただし、オンプレミスの Exchange に Exchange Management Shell を使用し、Microsoft 365 または Office 365 用の PowerShell をExchange Onlineして、両方の環境で Send As アクセス許可を手動で追加した場合、ほとんどのシナリオで[送信] が機能します。
たとえば、ONPREM1という名前のオンプレミス メールボックスに対して、クラウド メールボックス名 EXO1 に送信アクセス許可を付与します。
オンプレミスの Exchange サーバーの Exchange 管理シェルで次のコマンドを実行します。
Add-ADPermission -Identity EXO1 -User ONPREM1 -AccessRights ExtendedRight -ExtendedRights "Send As"
構文とパラメーターの詳細については、「 Add-ADPermission」を参照してください。
次に、Exchange Online PowerShell で対応するコマンドを実行します。
Add-RecipientPermission -Identity EXO1 -Trustee ONPREM1 -AccessRights SendAs
構文とパラメーターの詳細については、「 Add-RecipientPermission」を参照してください。
注:
また、次の 2 つのセクションでオンプレミスの Exchange サーバーと Microsoft Entra Connect の要件に準拠するには、Send As アクセス許可も必要です。
自動マッピング: ユーザーが起動時に フル アクセス 権を付与されているメールボックスを Outlook で自動的に開きます。 (自動マッピングは、適切なアクセス許可を付与された個々のユーザーに対してのみ機能し、任意の種類のグループでは機能しないことに注意してください)。
フォルダーのアクセス許可: 特定のフォルダーの内容へのアクセスを許可します。
これらのアクセス許可を別のメールボックスから受け取るすべてのメールボックスは、付与する側のメールボックスと同時に移動する必要があります。 1 つのメールボックスが複数のメールボックスからアクセス許可を受け取る場合、そのメールボックスと、そのメールボックスにアクセス許可を付与するすべてのメールボックスは、同時に移動する必要があります。 詳細については、 を参照してください https://support.microsoft.com/help/3064053。
オンプレミスの Exchange サーバーを構成して、ハイブリッド メールボックス アクセス許可をサポートする
ハイブリッド展開でフル アクセスと代理送信のアクセス許可を有効にするには、インストールした Exchange のバージョンによっては、より多くの構成変更が必要になる場合があります。 次の表は、Microsoft 365 または Office 365 を使用したハイブリッド展開で Exchange サポートの委任されたメールボックスのアクセス許可のバージョンと、必要な追加構成を示しています。 ACL をサポートするよう Exchange 2013 および 2010 のサーバーとメールボックスを構成する手順については、「Configure Exchange to support delegated mailbox permissions in a hybrid deployment」を参照してください。
| Exchange のバージョン | 前提条件 |
|---|---|
| Exchange 2016 | organization レベルで ACLable オブジェクトの同期を有効にします。 organization レベルで ACLable オブジェクトの同期が有効になる前に、Microsoft 365 または Office 365に移動した各メールボックスの ACL を手動で有効にします。 ORGANIZATION レベルで ACLable オブジェクトの同期を有効にした後、Microsoft 365 またはOffice 365に移動されたメールボックスに対して追加の構成は必要ありません。 |
| Exchange 2013 | Exchange 2013 サーバーには以下が必要です。
|
| Exchange 2010 | サポートされなくなりました。 以前は、Microsoft 365 または Office 365 メールボックスに関連付けられているオンプレミスのリモート メールボックスは、ACL をサポートするように構成する必要がありました。 これは、Microsoft 365 または Office 365 メールボックスに関連付けられているオンプレミスのリモート メールボックスごとに行う必要がありました。 |
| Exchange 2007 以前 | サポートされていません。 |
Microsoft Entra Connect でのハイブリッド メールボックスのアクセス許可のサポートの有効化
オンプレミスの Exchange サーバーを構成するだけでなく、ハイブリッド メールボックスのアクセス許可を同期Microsoft Entra Connect (Microsoft Entra Connect) サーバーが設定されていることを確認する必要もあります。 Microsoft Entra Connect サーバーがこれらのアクセス許可をサポートする準備ができていることを確認するために必要な操作を次に示します。
Connect Microsoft Entraアップグレード: Microsoft Entra Connect を少なくともバージョン 1.1.553.0 にアップグレードする必要があります。 Microsoft Entra Connect の最新バージョンは、Microsoft Entra Connect からダウンロードできます。
Microsoft Entra Connect で Exchange ハイブリッドを有効にする: ハイブリッド メールボックスのアクセス許可 (特に [代理送信] アクセス許可) を有効にする属性を同期するには、Microsoft Entra Connect で Exchange ハイブリッド展開構成オプションが有効になっていることを確認する必要があります。 Microsoft Entra Connect インストール ウィザードをもう一度実行して構成を更新する方法については、「Connect Sync: インストール ウィザードをもう一度実行する」Microsoft Entraチェック
エンド ユーザーのアクセス許可
管理者権限と同様に、Exchange Onlineのエンド ユーザーにもアクセス許可を付与できます。 既定では、既定の役割の割り当てポリシーに従ってエンド ユーザーにアクセス許可が付与されます。 このポリシーは、Exchange Online organization内のすべてのメールボックスに適用されます。 既定で付与されているアクセス許可で十分な場合、何も変更する必要はありません。
エンド ユーザーのアクセス許可をカスタマイズする場合は、既存の既定のロール割り当てポリシーを変更するか、新しい割り当てポリシーを作成できます。 複数の割り当てポリシーを作成する場合、メールボックスの異なるグループに異なるポリシーを割り当て、それぞれの要件に応じて各グループに付与するアクセス許可を制御できます。 Exchange Onlineエンド ユーザーのすべてのアクセス許可管理は、EAC または Exchange Online PowerShell を使用してExchange Online organizationで実行する必要があります。
管理者のアクセス許可と同様に、エンド ユーザーのアクセス許可は、オンプレミスのorganizationとExchange Online organizationの間で転送されません。 オンプレミスのorganizationで定義したアクセス許可は、Exchange Online organizationで再作成する必要があります。
詳細については、「Manage Role Assignment Policies」および「Change the Assignment Policy on a Mailbox」を参照してください。
次の表に、Exchange Online organizationの既定のロール割り当てポリシーによって付与されるアクセス許可を示します。
| 管理役割 | 説明 |
|---|---|
| MyTeamMailboxes | MyTeamMailboxes管理ロールを使用すると、個々のユーザーがサイト メールボックスを作成し、Microsoft SharePoint サイトに接続できます。 |
| マイ マーケットプレース アプリ | My Marketplace Apps管理ロールを使用すると、個々のユーザーが自分の Microsoft Office Marketplace アプリを表示および変更できます。 |
| MyBaseOptions | MyBaseOptions管理ロールを使用すると、個々のユーザーが自分のメールボックスと関連付けられている設定の基本的な構成を表示および変更できます。 |
| MyContactInformation | MyContactInformation管理ロールを使用すると、個々のユーザーは、住所や電話番号などの連絡先情報を変更できます。 |
| MyDistributionGroupMembership | MyDistributionGroupMembership管理ロールを使用すると、個々のユーザーは、グループ メンバーシップの操作が許可されている場合に、organization内の配布グループのメンバーシップを表示および変更できます。 |
| MyDistributionGroups | MyDistributionGroups管理ロールを使用すると、個々のユーザーが配布グループを作成、変更、表示したり、所有する配布グループにメンバーを変更、表示、削除、追加したりできます。 |
| MyMailSubscription | この MyMailSubscription ロールを使用すると、個々のユーザーは、メッセージ形式やプロトコルの既定値などの電子メール サブスクリプション設定を表示および変更できます。 |
| MyProfileInformation | MyProfileInformation管理ロールを使用すると、個々のユーザーが自分の名前を変更できます。 |
| MyRetentionPolicies | MyRetentionPolicies管理ロールを使用すると、個々のユーザーが保持タグを表示したり、保持タグの設定と既定値を表示および変更したりできます。 |
| MyTextMessaging | MyTextMessaging管理ロールを使用すると、個々のユーザーがテキスト メッセージング設定を作成、表示、変更できます。 |
| MyVoiceMail | MyVoiceMail管理ロールを使用すると、個々のユーザーがボイス メール設定を表示および変更できます。 |
| 自分の ReadWriteMailbox アプリ | 管理ロールを使用すると、ユーザーは My ReadWriteMailbox Apps ReadWriteMailbox アクセス許可を持つアプリをインストールできます。 |
| 自分のカスタム アプリ | 管理ロールを使用すると、ユーザーは My Custom Apps カスタム アプリを表示および変更できます。 |