Exchange Server で役割グループを管理する
管理役割グループは、Exchange Server のロール ベースのアクセス制御 (RBAC) アクセス許可モデルで使用されるユニバーサル セキュリティ グループ (USG) です。 管理役割グループを利用すれば、ユーザーのグループに管理役割を簡単に割り当てることができます。 1 つの役割グループのすべてのメンバーが、同じ役割セットに割り当てられます。 Exchange Server の役割グループの詳細については、「 管理役割グループについて」を参照してください。
役割グループに関連する追加の管理タスクについては、「アクセス許可」を参照してください。
はじめに把握しておくべき情報
各手順の推定完了時間: 5 から 10 分
EAC を開くには、 Exchange Server の Exchange 管理センターに関するページを参照してください。 Exchange 管理シェル を開くには、「Open the Exchange Management Shell」を参照してください。
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「ロール 管理のアクセス許可 」トピックの「役割グループ」エントリを参照してください。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange Server、Exchange Online、Exchange Online Protection。 必要な作業 シェルを使用して送信者フィルターを有効または無効にする
役割グループを作成します。
ユーザーのグループに割り当て可能なアクセス許可をカスタマイズする場合は、新しいカスタム管理役割グループを作成します。
EAC を使用して役割グループを作成する
Exchange 管理センター (EAC) で、[アクセス許可]>[ロールの管理] に移動し、[追加] をクリックします。
[役割グループの新規作成] ウィンドウで、新しい役割グループの名前を指定します。
その役割グループに割り当てたい役割や追加したいメンバーの選択は、すぐに行うことも、後で行うこともできます。
新しい役割グループに適用したい書き込みスコープを選択します。
[保存] をクリックして役割グループを作成します。
Exchange 管理シェルを使用して役割グループを作成する
To create a role group, see the Examples section in New-RoleGroup.
正常な動作を確認する方法
役割グループが正常に作成されたことを確認するには、次の手順を実行します。
EAC で、[ アクセス許可>ロールの管理] に移動します。
役割グループ一覧に新しい役割グループが表示されることを確認し、選択します。
新しい役割グループで指定したメンバー、割り当てられた役割、およびスコープが、役割グループの詳細ウィンドウに一覧表示されることを確認します。
役割グループをコピーする
EAC を使用して役割グループをコピーする
アクセス許可を含む役割グループがあり、このアクセス許可をユーザーに付与したいと考えているが、その一方でこのアクセス許可に別の管理スコープを適用したい、あるいはこのアクセス許可に他のすべての役割を手動で追加せずに 1 つまたは 2 つの管理役割を削除または追加したいと考えている場合、既存の役割グループをコピーします。
重要
Exchange 管理シェルを使用して役割グループに複数の管理役割スコープまたは排他的スコープを構成した場合は、役割グループをコピーする際に EAC を使用することはできません。 役割グループに複数のスコープまたは排他的スコープを構成した場合は、このトピックで後述するExchange 管理シェルの手順に従って役割グループをコピーする必要があります。 管理役割スコープの詳細については、「Understanding Management Role Scopes」を参照してください。
EAC で、[ アクセス許可>ロールの管理] に移動します。
コピーする役割グループを選択し、[コピー] をクリックします。
[役割グループの新規作成] ウィンドウで、新しい役割グループの名前を指定します。
新しい役割グループにコピーされている役割を確認します。 必要に応じて役割を追加または削除します。
書き込みスコープを確認し、必要に応じて変更します。
新しい役割グループにコピーされたメンバーを確認します。 必要に応じてメンバーを追加または削除します。
[保存] をクリックして役割グループを作成します。
Exchange 管理シェルを使用して、スコープを持たない役割グループをコピーする
以下の構文を使用して、変数にコピーする役割グループを格納します。
$RoleGroup = Get-RoleGroup <name of role group to copy>
以下の構文を使用して、新しい役割グループを作成し、役割グループにメンバーを追加し、新しい役割グループを他のユーザーに委任できる人を指定します。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
たとえば、次のコマンドは組織管理役割グループをコピーし、新しい役割グループに "Limited Organization Management" という名前を付けます。 メンバーの Isabelle、Carter、Lukas が追加され、Jenny と Katie によって委任できます。
$RoleGroup = Get-RoleGroup "Organization Management" New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie
新しい役割グループを作成すると、役割の追加または削除や、役割に対する役割割り当てのスコープの変更などが可能になります。
構文およびパラメーターの詳細については、「Get-RoleGroup」と「New-RoleGroup」を参照してください。
Exchange 管理シェルを使用して、カスタム スコープを持つ役割グループをコピーする
以下の構文を使用して、変数にコピーする役割グループを格納します。
$RoleGroup = Get-RoleGroup <name of role group to copy>
以下の構文を使用して、カスタムのスコープを持つ新しい役割グループを作成します。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name>
たとえば、次のコマンドは、"Organization Management/組織管理" 役割グループをコピーして、"Vancouver Users" 受信者の範囲と "Vancouver Servers" 構成の範囲を持つ "Vancouver Organization Management" という名前の新しい役割グループを作成します。
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"
また、このトピックの「Exchange 管理シェルを使用してスコープのないロールの割り当てを作成する」に示すように、メンバーパラメーターを使用して、ロール グループを作成するときにメンバーを追加することもできます。 管理のスコープの詳細については、「 Understanding Management Scopes」を参照してください。
新しい役割グループを作成すると、役割の追加または削除、役割に対する役割割り当てのスコープの変更、およびその他のタスクの実行が可能になります。
構文およびパラメーターの詳細については、「Get-RoleGroup」と「New-RoleGroup」を参照してください。
Exchange 管理シェルを使用して、OU スコープを持つ役割グループをコピーする
以下の構文を使用して、変数にコピーする役割グループを格納します。
$RoleGroup = Get-RoleGroup <name of role group to copy>
以下の構文を使用して、カスタムのスコープを持つ新しい役割グループを作成します。
New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
たとえば、次のコマンドは、"Recipient Management/受信者管理" 役割グループをコピーして、Toronto Users OU のユーザーのみに管理を許可する "Toronto Recipient Management" という名前の新しい役割グループを作成します。
$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"
また、このトピックの「Exchange 管理シェルを使用してスコープのないロールの割り当てを作成する」に示すように、メンバーパラメーターを使用して、ロール グループを作成するときにメンバーを追加することもできます。 管理のスコープの詳細については、「 Understanding Management Scopes」を参照してください。
新しい役割グループを作成すると、役割の追加または削除や、役割に対する役割割り当てのスコープの変更などが可能になります。
構文およびパラメーターの詳細については、「Get-RoleGroup」と「New-RoleGroup」を参照してください。
正常な動作を確認する方法
役割グループが正常にコピーされたことを確認するには、次の手順を実行します。
EAC で、[ アクセス許可>ロールの管理] に移動します。
役割グループ一覧にコピーされた役割グループが表示されることを確認し、選択します。
コピーされた役割グループで指定したメンバー、割り当てられた役割、およびスコープが、役割グループの詳細ウィンドウに一覧表示されることを確認します。
役割グループを削除する
作成した役割グループが不要になったら、削除できます。 役割グループを削除すると、役割グループと管理役割間の管理役割の割り当ても削除されます。 ただし、管理役割は削除されません。 ユーザーが機能へのアクセスで役割グループに依存していた場合、ユーザーはその機能にアクセスできなくなります。 組み込みの役割グループを削除することはできません。
EAC を使用して役割グループを削除する
EAC で、[ アクセス許可>ロールの管理] に移動します。
削除する役割グループを選択し、[削除] をクリックします。
選択した役割グループが削除するものであることを確認し、間違いがなければ警告に [はい] で答えます。
Exchange 管理シェルを使用して役割グループを削除する
To remove a role group, see the Examples section in Remove-RoleGroup.
役割グループを表示
役割グループの一覧または組織内に存在する特定の役割グループに関する詳細を表示することができます。
EAC を使用して役割グループの役割一覧および役割グループの詳細を表示する
EAC で、[ アクセス許可>ロールの管理] に移動します。 組織の役割グループのすべてが一覧表示されます。
役割グループを選択すると、その役割グループに構成されているメンバー、割り当てられた役割、およびスコープが表示されます。
Exchange 管理シェルを使用して、役割グループの役割一覧および役割グループの詳細を表示する
To view a list of role groups, see the Examples section in Get-RoleGroup.
役割グループに役割を追加する
役割グループに管理役割を追加することは、管理者または専門家ユーザーのグループにアクセス許可を与える、最適で最も簡単な方法です。 役割グループのメンバーのユーザーに機能管理の機能を与えるには、機能を管理する管理役割を、役割グループに追加します。 役割が追加されると、役割グループのメンバーには役割で指定されたアクセス許可が与えられます。
EAC を使用して役割グループに管理役割を追加する
重要
Exchange 管理シェルを使用して役割グループに複数の管理役割スコープまたは排他的スコープを構成した場合は、役割グループに役割を追加する際に EAC を使用することはできません。 複数のスコープまたは排他的スコープを役割グループに構成した場合は、後述するExchange 管理シェルの手順に従って役割を役割グループに追加する必要があります。 管理役割スコープの詳細については、「Understanding Management Role Scopes」を参照してください。
EAC で、[ アクセス許可>ロールの管理] に移動します。
ロールを追加する役割グループを選択し、[編集] をクリックします。
[役割] セクションで役割グループに追加する役割を選択します。
役割を役割グループに追加し終えたら [保存] をクリックします。
Exchange 管理シェルを使用して、スコープを持たない役割割り当てを作成する
役割と役割グループの間で、スコープを持たない役割割り当てを作成できます。 このようにすると、役割の暗黙的な読み取り、および暗黙的な書き込みスコープが適用されます。
次の構文を使用して、役割グループにスコープを持たない役割を割り当てます。 指定しない場合、役割割り当ての名前は自動的に作成されます。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>
この例では、"Seattle Compliance/Seattle 規制順守" という役割グループに対し、トランスポート ルールの管理役割を割り当てています。
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
Exchange 管理シェルを使用して、定義済みスコープを持つ役割割り当てを作成する
定義済みスコープがビジネス要件に適合していれば、新しいスコープを作成せずに、そのスコープを役割割り当てに適用できます。 定義済みスコープとその説明の一覧については、「Understanding Management Role Scopes」を参照してください。
役割割り当ての詳細については、「Understanding Management Role Assignments」を参照してください。
次の構文を使用して、定義済みスコープを持つ役割グループに役割を割り当てます。 指定しない場合、役割割り当ての名前は自動的に作成されます。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >
この例では、"Enterprise Support/エンタープライズ サポート" という役割グループにメッセージ追跡の役割を割り当て、これを "Organization/組織" という定義済みスコープに適用しています。
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
Exchange 管理シェルを使用して、受信者フィルター ベースのスコープを持つ役割割り当てを作成する
受信者フィルターベースのスコープを作成した場合は、 CustomRecipientWriteScope パラメーターを使用してロールをロール グループに割り当てるために使用するコマンドにスコープを含める必要があります。
受信者書き込みスコープを持つ役割割り当てを作成する際に、構成書き込みスコープを含めることもできます。
役割の割り当てとスコープの詳細については、次のトピックを参照してください。
次の構文を使用して、受信者フィルター ベースのスコープを持つ役割グループに役割を割り当てます。 指定しない場合、役割割り当ての名前は自動的に作成されます。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>
この例では、"Seattle Recipient Admins/Seattle の受信者管理者" という役割グループにメッセージ追跡の役割を割り当て、これを "Seattle Recipients/Seattle の受信者" というスコープに適用しています。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
Exchange 管理シェルを使用して、構成スコープを持つ役割割り当てを作成する
サーバーまたはデータベース構成フィルターまたはリスト ベースのスコープを作成した場合は、 CustomConfigWriteScope パラメーターを使用してロールをロール グループに割り当てるために使用するコマンドにスコープを含める必要があります。
構成書き込みスコープを持つ役割割り当てを作成する際に、受信者書き込みスコープを含めることもできます。
役割の割り当てと管理スコープの詳細については、次のトピックを参照してください。
次の構文を使用して、構成スコープを持つ役割グループに役割を割り当てます。 指定しない場合、役割割り当ての名前は自動的に作成されます。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>
この例では、"Seattle Server Admins/Seattle のサーバー管理者" という役割グループにデータベースの役割を割り当て、これを "Seattle Servers/Seattle のサーバー" というスコープに適用しています。
New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
Exchange 管理シェルを使用して、OU スコープを持つ役割割り当てを作成する
ロールの書き込みスコープを OU にスコープを設定する場合は、 RecipientOrganizationalUnitScope パラメーターで OU を直接指定できます。
構成の書き込みスコープ: exADNoMk で変更できる役割グループの構成オブジェクトとサーバー オブジェクトのメンバーを決定します。
次のコマンドを使用して役割を役割グループに割り当て、役割の書き込みスコープを特定の OU に限定できます。 指定しない場合、役割割り当ての名前は自動的に作成されます。
New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>
この例では、メール受信者の役割を "Seattle Recipient Admins/Seattle の受信者管理者" という役割グループに割り当て、割り当てのスコープを "Contoso.com" ドメインの "Sales\Users" という OU に指定しています。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
正常な動作を確認する方法
役割グループに役割が正常に追加されたことを確認するには、次の手順を実行します。
EAC で、[ アクセス許可>ロールの管理] に移動します。
役割を追加した役割グループを選択します。 役割グループの詳細ウィンドウで、追加した役割が一覧表示されていることを確認します。
役割グループから役割を削除する
管理者または専門家ユーザーのグループに付与されているアクセス許可を取り消すには、管理役割グループから役割を削除するのが最適で最も簡単です。 ある機能を管理するアクセス許可を管理者または専門家ユーザーに与えたくない場合、そのアクセス許可を管理する管理役割グループから管理役割を削除します。 役割を削除すると、この役割グループのメンバーがこの機能を管理するアクセス許可はなくなります。
注:
組織の管理 役割グループなど、一部の役割グループでは、役割グループから削除できる役割に関する制限があります。 詳細については、「Understanding Management Role Groups」を参照してください。 > 管理者が、機能を管理するためのアクセス許可を付与する管理ロールを含む別の役割グループのメンバーである場合は、他の役割グループから管理者を削除するか、他の役割グループから機能を管理するためのアクセス許可を付与するロールを削除する必要があります。
EAC を使用して役割グループから管理役割を削除する
重要
Exchange 管理シェルを使用して役割グループに複数のスコープまたは排他的スコープを構成した場合は、役割グループから役割を削除する際に EAC を使用することはできません。 役割グループに複数のスコープまたは排他的なスコープを構成している場合は、このトピックで後述するExchange 管理シェルの手順に従って役割グループから役割を削除する必要があります。 管理役割スコープの詳細については、「Understanding Management Role Scopes」を参照してください。
EAC で、[ アクセス許可>ロールの管理] に移動します。
ロールを削除する役割グループを選択し、[編集] をクリックします。
[役割] セクションで役割グループから削除する役割を選択します。
役割グループから役割を削除し終えたら [保存] をクリックします。
Exchange 管理シェルを使用して役割グループから役割を削除する
Get-ManagementRoleAssignment コマンドレットを使用して関連する管理役割の割り当てを取得し、これによって返された役割の割り当てをパイプ処理をして Remove-ManagementRoleAssignment コマンドレットに渡すことで、役割グループから役割を削除できます。 委任と通常の両方のロールの割り当てを同時に削除する場合を除き、 委任 パラメーターを指定して、通常のロールの割り当てを削除するか委任するかを指定します。
正規と委任の役割割り当ての詳細については、「Understanding Management Role Assignments」を参照してください。
この手順では、パイプライン処理を使用します。 パイプラインの詳細については、「 about_Pipelines」を参照してください。
役割グループから役割を削除するには、次の構文を使用します。
Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment
この例では、"Seattle Recipient Administrators/Seattle の受信者管理者" 役割グループから、管理者が配布グループを管理できる "Distribution Groups/配布グループ" 役割を削除します。 配布グループを管理するためのアクセス許可を提供するロールの割り当てを削除するため、 委任 パラメーターは $False
に設定され、通常のロールの割り当てのみが返されます。
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
構文およびパラメーターの詳細については、「Remove-ManagementRoleAssignment」を参照してください。
正常な動作を確認する方法
役割グループから役割が正常に削除されたことを確認するには、次の手順を実行します。
EAC で、[ アクセス許可>ロールの管理] に移動します。
役割を削除した役割グループを選択します。 役割グループの詳細ウィンドウで、削除した役割が一覧表示されなくなったことを確認します。
役割グループのスコープを変更する
役割グループとロールの間の管理ロールの割り当てには、その役割グループのメンバーが使用できるオブジェクトを決定する管理スコープが含まれています。 ロール グループの書き込みスコープを変更することで、ロール グループ メンバーが作成、変更、または削除するために使用できるオブジェクトを変更できます。 ロール グループの読み取りスコープを変更することはできません。
Exchange Server には、カスタム スコープが作成されない場合にロールの割り当てに既定で適用されるスコープが含まれています。 役割グループ上で役割が割り当てられているカスタムのスコープを使用する場合は、それを最初に作成する必要があります。 高度なタスクである、カスタムのスコープの作成については、「Create a Regular or Exclusive Scope」を参照してください。
Exchange Server での管理ロールのスコープと割り当ての詳細については、次のトピックを参照してください。
EAC を使用して、役割グループのスコープを変更する
EAC を使用して役割グループのスコープを変更する場合、実際には、役割グループと役割グループに割り当てられたそれぞれの管理役割の間のすべての役割割り当てのスコープを変更しています。 特定の役割割り当てのスコープを変更する場合、このトピックで後述するExchange 管理シェルの手順を使用する必要があります。
重要
Exchange 管理シェルを使用して複数のスコープまたは排他的スコープをそれらの役割割り当てに構成した場合は、役割と役割グループの間の役割割り当てのスコープを管理する際に EAC を使用することはできません。 それらの役割割り当てに複数のスコープまたは排他的スコープを構成した場合は、このトピックで後述するExchange 管理シェルの手順に従ってスコープを管理する必要があります。 管理役割スコープの詳細については、「Understanding Management Role Scopes」を参照してください。
EAC で、[ アクセス許可>ロールの管理] に移動します。
スコープを変更する役割グループを選択し、[編集] をクリックします。
次の 2 つの [書き込みスコープ] オプションのいずれかを選択します。
ドロップダウン ボックスの書き込みスコープでは、既定の書き込みスコープまたはカスタムの書き込みスコープを選択できます。
組織単位: この役割グループを OU にスコープを設定する場合は、このオプションを選択し、組織単位 (OU) を指定します。
[保存] をクリックして、役割グループに加えた変更を保存します。
Exchange 管理シェルを使用して、ある役割グループに属するすべての役割の割り当て範囲を一括して変更する
役割グループとそれに割り当てられた役割の間の役割の割り当ては、役割自身から取得した暗黙的なスコープ、同じカスタムのスコープ、または異なるカスタムのスコープを使用できます。 役割割り当ての詳細については、「Understanding Management Role Assignments」を参照してください。
役割の割り当てのスコープは、 Set-ManagementRoleAssignment コマンドレットを使用して管理されます。 Set-RoleGroup コマンドレットは、範囲を管理する用途には対応していません。
ある役割グループと管理役割間のすべての役割の割り当て範囲を一括して変更するには、まずその役割グループの役割の割り当てを取得してから、各割り当てに新しい範囲を設定する必要があります。 この操作を実行するには、 Get-ManagementRoleAssignment コマンドレットを使用して取得した役割の割り当てを、 Set-ManagementRoleAssignment コマンドレットにパイプ処理します。
この手順では、パイプライン処理と WhatIf スイッチの概念を使用します。 詳細については、次のトピックをご覧ください。
シェルを使用して、ある役割グループに属するすべての役割の割り当て範囲を一括して変更するには、次の構文を使用します。
Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
使用するスコープの構成に必要なパラメーターのみを使用します。 たとえば、"Sales Recipient Management/営業受信者の管理" 役割グループに属するすべての役割の割り当ての受信者の範囲を "Direct Sales Employees/直販従業員" に変更する場合は、次のコマンドを使用します。
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
注:
WhatIf スイッチを使用して、変更するロールの割り当てのみが変更されていることを確認できます。 WhatIf スイッチで前のコマンドを実行して結果を確認し、WhatIf スイッチを削除して変更を適用します。
管理役割の割り当ての変更の詳細については、「Change a Role Assignment」を参照してください。
構文およびパラメーターの詳細については、「Get-ManagementRoleAssignment」を参照してください。
Exchange 管理シェルを使用して、ある役割グループに属する役割の割り当て範囲を個別に変更する
役割グループとそれに割り当てられた役割の間の役割の割り当ては、役割自身から取得した暗黙的なスコープ、同じカスタムのスコープ、または異なるカスタムのスコープを使用できます。 役割割り当ての詳細については、「Understanding Management Role Assignments」を参照してください。
役割の割り当てのスコープは、 Set-ManagementRoleAssignment コマンドレットを使用して管理されます。 Set-RoleGroup コマンドレットは、範囲を管理する用途には対応していません。
この手順では、パイプライン処理の概念と Format-List コマンドレットを利用します。 詳細については、次のトピックをご覧ください。
ある役割グループと管理役割間の役割の割り当て範囲を変更するには、まずその役割グループの役割の割り当ての名前を取得してから、役割の割り当てに範囲を設定します。
ある役割グループに属するすべての役割の割り当ての名前を検索するには、次のコマンドを使用します。 管理役割の割り当てを Format-List コマンドレットにパイプ処理すると、その割り当てのフル ネームを表示することができます。
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
変更する役割の割り当ての名前を検索します。 役割割り当ての名前は、次の手順で使用します。
割り当て範囲を個別に設定するには、次の構文を使用します。
Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
使用するスコープの構成に必要なパラメーターのみを使用します。 たとえば、"Mail Recipients_Sales Recipient Management/メール受信者_営業受信者管理" 役割の割り当ての受信者の範囲を "All Sales Employees/すべての営業従業員" に変更する場合は、次のコマンドを使用します。
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
管理役割の割り当ての変更の詳細については、「Change a Role Assignment」を参照してください。
構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。
正常な動作を確認する方法
役割グループの役割割り当てのスコープが正常に変更されたことを確認するには、次の手順を実行します。
EAC を使用して役割グループのスコープを構成した場合、次の手順を実行します。
EAC で、[ アクセス許可>ロールの管理] に移動します。 組織のすべての役割グループが一覧表示されます。
役割グループを選択し、役割グループに構成されているスコープを表示します。
Exchange 管理シェルを使用して役割グループのスコープを構成した場合、次の手順を実行します。
Exchange 管理シェルで、次のコマンドを実行します。
Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
役割割り当ての書き込みスコープが、指定のスコープに変更されたことを確認します。
役割グループの委任を追加または削除する
役割グループの代理人は、役割グループのメンバーの追加または削除、あるいは役割グループのプロパティの変更を許可された、ユーザーまたはユニバーサル セキュリティ グループ (USG) です。 役割グループの代理人の追加または削除によって、役割グループの管理を誰に許可するかを制御できます。
重要
グループにいったん代理人を追加した後、役割グループの管理を許可されるのは、その役割グループの代理人のみ、または "Role Management/役割管理" 役割に直接的または間接的に割り当てられているユーザーのみです。 >ユーザーがロール管理ロールを直接または間接的に割り当てられ、ロール グループの代理人として追加されていない場合、ユーザーは Add-RoleGroupMember、Remove-RoleGroupMember、Update-RoleGroupMember、Set-RoleGroup コマンドレットの BypassSecurityGroupManagerCheck スイッチを使用してロール グループを管理する必要があります。
注:
EAC を使用して役割グループに代理人を追加することはできません。
Exchange 管理シェルを使用して役割グループに代理人を追加する
ロール グループのデリゲートの一覧を変更するには、Set-RoleGroup コマンドレットの ManagedBy パラメーターを使用します。 ManagedBy パラメーターは、ロール グループのデリゲート リスト全体を上書きします。 委任一覧全体を上書きするよりも、役割グループに代理人を追加する方が望ましい場合は、以下の手順を実行してください。
以下のコマンドを使用して、変数に役割グループを格納します。
$RoleGroup = Get-RoleGroup <role group name>
次のコマンドを使用して、変数に格納されている役割グループに代理人を追加します。
$RoleGroup.ManagedBy += (Get-User <user to add>).Identity
注:
USG を追加する場合は、 Get-Group コマンドレットを使用します。
追加する各代理人に対して、手順 2 を繰り返します。
以下のコマンドを使用して、実際の役割グループに対し委任の新しい一覧を適用します。
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
この例では、ユーザー David Strome を 組織の管理 役割グループの代理人として追加します。
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
構文およびパラメーターの詳細については、「Set-RoleGroup」を参照してください。
Exchange 管理シェルを使用して役割グループから代理人を削除する
ロール グループのデリゲートの一覧を変更するには、Set-RoleGroup コマンドレットの ManagedBy パラメーターを使用します。 ManagedBy パラメーターは、ロール グループのデリゲート リスト全体を上書きします。 委任一覧全体を上書きするよりも、役割グループから代理人を削除する方が望ましい場合は、以下の手順を実行してください。
以下のコマンドを使用して、変数に役割グループを格納します。
$RoleGroup = Get-RoleGroup <role group name>
次のコマンドを使用して、変数に格納されている役割グループから代理人を削除します。
$RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
注:
USG を削除する場合は、 Get-Group コマンドレットを使用します。
削除する各代理人に対して、手順 2 を繰り返します。
以下のコマンドを使用して、実際の役割グループに対し委任の新しい一覧を適用します。
Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
この例では、ユーザー David Strome を 組織の管理 役割グループの代理人として削除します。
$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy
構文およびパラメーターの詳細については、「Set-RoleGroup」を参照してください。
正常な動作を確認する方法
役割グループの委任一覧が正常に変更されたことを確認するには、次の手順を実行します。
Exchange 管理シェルで次のコマンドを実行します。
Get-RoleGroup <role group name> | Format-List ManagedBy
ManagedBy プロパティに一覧表示されているデリゲートに、ロール グループを管理できるデリゲートのみが含まれているかどうかを確認します。