次の方法で共有


管理の役割について

製品: Exchange Server 2013

管理役割は、Microsoft Exchange Server 2013 で使用される役割ベースのアクセス制御 (RBAC) というアクセス許可モデルに属する概念です。 役割は、メールボックスや、トランスポート ルール、受信者などの Exchange 2013 コンポーネントの構成の表示や変更アクセスを提供するために組み合わされるコマンドレットの論理的なグループとして機能します。 管理役割をさらに組み合わせて、機能領域と受信者構成の管理を可能にする、管理役割グループおよび管理役割割り当てポリシーと呼ばれるより大きなグループにすることができます。 役割グループと役割割り当てポリシーは、管理者とエンド ユーザーそれぞれにアクセス許可を割り当てます。 管理役割グループと管理役割の割り当ての詳細については、「役割ベースのアクセス制御について」を参照してください。

注:

ここでは、RBAC の高度な機能について説明します。 基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。

管理役割スコープと管理役割の割り当ては、管理役割を操作するための重要なコンポーネントです。 これらのコンポーネントの詳細については、以下のトピックを参照してください。

管理ロールに関連する管理タスクをお探しですか? 「 アクセス許可」を参照してください。

組み込みの管理役割

Exchange 2013 には、組織の管理に使用できる組み込みの管理役割が多数備えられています。 各役割には、ユーザーが特定の Exchange コンポーネントを管理するために必要なコマンドレットとパラメーターが含まれています。 組み込みの管理役割の例をいくつか次に示します。

  • メール受信者: 管理者がメールボックス、連絡先、およびメール ユーザーを管理できるようにします。
  • トランスポート ルール: ロールを割り当てられた管理者またはスペシャリスト ユーザーがトランスポート ルール機能を管理できるようにします。
  • 配布グループ: 役割を割り当てられた管理者またはスペシャリスト ユーザーが配布グループと配布グループのメンバーを管理できるようにします。
  • MyPersonalInformation: エンド ユーザーが自分の自宅の電話番号と Web サイトのアドレスを変更できるようにします。

Exchange 2013 に備えられている管理役割の完全な一覧については、「組み込みの管理役割」を参照してください。

Exchange 2013 で提供される組み込みのロールを取得し、それらを任意の方法で組み合わせて、ビジネスと連携するアクセス許可モデルを作成できます。 たとえば、役割グループのメンバーが受信者とパブリック フォルダーを管理する場合は、メール受信者とパブリック フォルダーの両方の役割を役割グループに割り当てます。 ほとんどの場合、ロールグループまたはロール割り当てポリシーにロールを割り当てます。 詳細なレベルでアクセス許可を制御する場合は、管理ロールをユーザーに直接割り当てることもできます。 アクセス許可モデルを簡略化するには、ユーザー ロールの割り当てを直接行うのではなく、ロール グループとロール割り当てポリシーを使用することをお勧めします。

注:

エンド ユーザー管理役割は、役割割り当てポリシーにしか割り当てることができません。

組み込みの管理役割は変更できません。 ただし、組み込みの管理役割を基に管理役割を作成し、この新しい役割を、役割グループや役割割り当てポリシーに割り当てることができます。 さらに自分のニーズに合わせて、新しい管理役割を変更できます。 こうした作業は高度なタスクであり、実行する必要性が生じるのはごく稀です。

組み込みの Exchange ロールに基づくカスタム ロールの作成の詳細については、このトピックの後半の「カスタム管理ロール」を参照してください。

管理役割を有効にするには、管理役割を割り当てる必要があります。 多くの場合、役割グループと役割の割り当てポリシーに管理役割を割り当てます。 状況によっては、直接ユーザーに役割を割り当てる場合もありますが、これは、高度なタスクになり、実行する必要性が生じるのは稀です。

管理役割の割り当ての詳細については、以下のトピックを参照してください。

管理役割の割り当ての詳細については、「管理役割の割り当てについて」を参照してください。

スコープ外の最上位レベルの管理役割

スコープ外の最上位レベルの管理役割は、特殊なタイプの管理役割で、RBAC を使用してカスタム スクリプトおよび Exchange 以外のコマンドレットへのアクセスをユーザーに許可することができます。 正規の管理役割は、Exchange コマンドレットのみへのアクセスを提供します。 Exchange サーバーで実行する Exchange 以外のコマンドレットへのアクセスを提供する必要がある場合、またはユーザーが実行可能なスクリプトを発行する必要がある場合は、スコープ外の役割にこれらのコマンドレットを追加する必要があります。 これらのコマンドレットが最上位レベルの役割と呼ばれるのは、親の役割から派生させずにスコープ外の役割を作成した場合に、その作成した役割には親がなく、その役割は Exchange 2013 に備えられた組み込みの管理役割のピアになるためです。 スコープのない最上位レベルのロール エントリを作成することを示すには、New-ManagementRole コマンドレットで UnscopedTopLevel スイッチを使用する必要があります。

スコープ外の役割は、正規の管理役割とは異なり特定の対象にスコープを制限できないことから、このように名付けられています。 スコープ外の役割は、常に組織規模です。 つまり、スコープ外の役割を割り当てた担当者が、Exchange 2013 組織内のあらゆるオブジェクトを変更できるということです。 このような理由から、スコープ外の役割を介して使用可能になったスクリプトおよびコマンドレットの場合は、徹底的にテストして何が変更されるかを把握したり、スコープ外の役割を慎重に割り当てるなど、細心の注意が求められます。

スコープ外の役割は、役割グループや、管理役割、ユーザー、ユニバーサル セキュリティ グループ (USG) などの役割の被割り当て者に割り当てることができます。 ただし、スコープ外の役割は、管理役割割り当てポリシーには割り当てることができません。

Exchange コマンドレットは、スコープ外の役割にある管理役割エントリとして追加することはできませんが、役割エントリとして追加したスクリプトに含めることができます。 このようにすると、ユーザーに割り当てることができる Exchange タスクを実行するカスタムのスクリプトを作成します。 これは、ユーザーの管理レベルを超える高いアクセス許可が必要なタスクをユーザーが実行する必要がある場合や、新しい管理役割または役割グループの作成が難しい場合に有効です。 この特定の機能を実行するスクリプトを作成し、そのスクリプトをスコープ外の役割に追加して、そのスコープ外の役割をユーザーに割り当てることができます。 その後、ユーザーがスクリプトによって提供された特定の機能のみを実行できるようになります。

スコープ外の役割に追加する役割エントリも、スコープ外の最上位レベルの役割エントリとして指定する必要があります。 スコープ外の最上位レベルのロール エントリの詳細については、このトピックの「スコープ外のTop-Levelロール エントリ」を参照してください。

組織の管理 役割グループには、既定で、スコープ外の役割グループを作成または管理するためのアクセス許可がありません。 これは、スコープ外の役割グループが誤って作成または変更されることを防止するためです。 組織の管理 役割グループは、"Unscoped Role Management/スコープ外役割管理" 管理役割を役割グループ自身およびその他の役割の被割り当て者に委任できます。 スコープ外の最上位レベルの管理役割の作成方法の詳細については、「対象範囲外の役割を作成する」を参照してください。

カスタムの管理役割

組み込みの管理役割がユーザーのニーズを満たさない場合は、組み込みの Exchange 役割を基にカスタムの管理役割を作成できます。 カスタムの管理役割を作成すると、新しい子の役割は、親の役割のすべての管理役割エントリを継承します。 その後、カスタムの管理役割に維持する必要がある管理役割エントリを選択し、不要なエントリはすべて削除できます。

カスタムの役割は、新しい役割の作成に使用した役割の子になります。 親の役割に存在する、新しい子の役割の管理役割エントリのみを使用できます。 詳細については、後述する以下のセクションを参照してください。

  • Management Role Hierarchy
  • Management Role Entries

カスタムの管理役割を作成するには複数のステップが必要になり、これは高度なタスクで実行する必要が生じるのは稀です。 カスタムの管理役割を作成する場合は、既存の組み込みの管理役割の 1 つに、必要なアクセス許可が備えられていないことを事前に確認してください。 組み込みの管理役割の詳細、またはカスタムの管理役割の作成については、以下のトピックを参照してください。

管理役割を作成する方法の詳細については、「役割を作成する」を参照してください。

管理役割の階層

管理役割は親と子の階層内に存在します。 既定で Exchange 2013 に備えられている組み込みの管理役割は、階層の最上位に位置付けられます。 役割を作成すると、親の役割のコピーが作成されます。 新しい役割は、コピー元の役割の子になります。 その後、新しい役割は、割り当て対象の管理者またはユーザーのニーズに合わせてカスタマイズできます。

カスタマイズされた役割を使用して、役割を作成できます。 カスタマイズされた既存の役割から新しい役割を作成した場合、カスタマイズされた既存の役割は、その親の役割の子であり続けると共に、新しい役割の親にもなります。 役割がコピーされると、その都度新しい子の役割には直上の親の役割に存在する役割エントリのみが含まれます。

各管理役割には、変更できない役割の種類が与えられます。 役割の種類は、役割に使用する基本のコンテキストを定義します。 役割の種類は、子の役割の作成時に親の役割からコピーされます。

RBAC 管理ロールの階層図。

上の図に、いくつかの管理役割の階層関係を示します。 "Mail Recipients/メール受信者" 役割と "Help Desk/ヘルプ デスク" 役割は、組み込みの役割です。 これらの役割から派生するすべての子の役割は、各組み込み役割の役割の種類を継承します。 たとえば、メール受信者ロールから直接または間接的に派生したすべての子ロールは、ロールの種類を MailRecipients 継承します。

"Seattle Recipient Administrators/Seattle の受信者管理者" カスタム役割は、組み込みの "Mail Recipients/メール受信者" 役割の子ですが、"Seattle Sales Recipient Administrators/Seattle の営業受信者管理者" カスタム役割と "Seattle Legal Recipient Administrators/Seattle のリーガル受信者の管理者" カスタム役割の親でもあります。 "Seattle Recipient Administrators/Seattle の受信者管理者" カスタム役割には、"Mail Recipients/メール受信者" 役割で利用可能なコマンドレットの一部のみが含まれます。 "Seattle Recipient Administrators/Seattle の受信者管理者" カスタム役割の子の役割には、その役割にも存在するコマンドレットしか含めることができません。 たとえば、"Mail Recipients/メール受信者" 役割には存在するが、"Seattle Recipient Administrators/Seattle の受信者管理者" カスタム役割には存在しないコマンドレットは、"Seattle Sales Recipient Administrators/Seattle の営業受信者管理者" のカスタム役割に追加することはできません。

すべてのカスタム役割は、前に説明した役割と同じパターンに従います。 管理ロールでコマンドレットへのアクセスを制御する方法の詳細については、このトピックの次の「管理ロール エントリ」を参照してください。

管理役割エントリ

すべての管理役割は、カスタムの Exchange 役割であってもスコープ外の役割であっても、少なくとも 1 つの管理役割エントリを持つ必要があります。 エントリは、1 つのコマンドレットとそのパラメーター、スクリプト、または (必要であれば) 特殊なアクセス許可で構成されます。 コマンドレットまたはスクリプトが管理役割のエントリとして存在しない場合、そのコマンドレットまたはスクリプトにはその管理役割を介してアクセスできません。 同様に、パラメーターがエントリに存在しない場合、そのコマンドレットまたはスクリプトのパラメーターにはその管理役割を介してアクセスできません。

Exchange 2013 では、組み込みの Exchange 管理の最上位レベルの役割に基づいた役割エントリ、およびスコープ外の最上位レベルの管理役割に基づいた役割エントリを管理できます。 組み込みの Exchange 最上位レベルの役割に基づいた役割には、Exchange 2013 コマンドレットである役割エントリしか含めることができません。 カスタム スクリプトまたは Exchange 以外のコマンドレットを追加してユーザーが使用できるようにするには、それらをスコープ外の役割エントリとしてスコープ外の最上位レベルに追加する必要があります。 スコープ外のロール エントリの詳細については、このトピックの「スコープ外のTop-Levelロール エントリ」を参照してください。

役割エントリが Exchange コマンドレットベースの役割エントリであるか、スコープ外の役割エントリであるかに関係なく、すべての役割エントリは以下のセクションで説明する原則と同じ原則に従います。

役割エントリの管理の詳細については、「管理役割と役割エントリ」を参照してください。

親と子の管理役割の関係

前述したとおり、コマンドレットとそのパラメーターを含めた管理役割エントリは、エントリを子の役割に追加するために直上の親の役割に存在する必要があります。 たとえば、親の役割に New-Mailbox のエントリがない場合は、そのコマンドレットを子の役割に割り当てることができません。 さらに、Set-Mailbox が親ロールにあるが、Database パラメーターがエントリから削除されている場合、Set-Mailbox コマンドレットの Database パラメーターを子ロールのエントリに追加することはできません。

管理役割エントリが親の役割に存在しない場合は、子の役割には追加できません。また役割は特定の役割の種類に基づいています。これらの理由から、カスタマイズした役割を作成する際は、コピー対象となる親の役割を慎重に選択してください。

管理役割エントリ名

管理役割エントリ名は、それらが関連付けられている管理役割と、コマンドレットまたはスクリプトの名前を組み合わせたものです。 役割名と、コマンドレットまたはスクリプトは、円記号 (\) で区切られます。 たとえば、メール受信者ロールの Set-Mailbox コマンドレットのロール エントリ名は です Mail Recipients\Set-Mailbox。 役割エントリの名前にスペースが含まれる場合は、名前全体を二重引用符 (") で囲む必要があります。

入力した内容と一致するすべての役割エントリを返すためには、役割エントリ名内にワイルドカード文字 (*) を使用できます。 ワイルドカード文字は、円記号のどちらの側でも使用できます。 以下の表に、役割エントリ名でのワイルドカード文字の使用方法についてのいくつかのバリエーションを示します。

説明
*\* すべての役割のすべての役割エントリの一覧を返します。
*\Set-Mailbox Set-Mailbox コマンドレットを含むすべての役割エントリの一覧を返します。
Mail Recipients\* "Mail Recipients/メール受信者" 役割のすべての役割エントリの一覧を返します。
Mail Recipients\*Mailbox "Mail Recipients/メール受信者" 役割の役割エントリのうち、Mailbox で終わるコマンドレットを含むすべてのエントリの一覧を返します。
My*\*Group* My で始まるすべての役割の役割エントリのうち、コマンドレット名に文字列 Group を含むすべてのエントリの一覧を返します。

スコープ外の最上位レベルの役割エントリ

カスタムのスクリプトまたは Exchange 以外のコマンドレットに基づいて役割を作成するには、スコープ外の最上位レベルの役割エントリをスコープ外の最上位レベルの管理役割と共に使用します。 各スコープ外の役割エントリは、1 つのカスタムのスクリプトまたは Exchange 以外のコマンドレットに関連付けられます。 スコープなしロールにスコープなしロール エントリを作成することを示すには、Add-ManagementRoleEntry コマンドレットで UnscopedTopLevel パラメーターを指定する必要があります。

スコープ外の役割エントリを追加する場合は、スクリプトまたは Exchange 以外のコマンドレットで使用可能なすべてのパラメーターを指定する必要があります。 Exchange は、役割エントリの追加時に指定したパラメーターの検証を試みます。 スコープ外の役割に割り当てられているユーザーは、役割エントリの作成時に役割エントリに追加されたパラメーターのみを使用できます。 スクリプトまたは Exchange 以外のコマンドレットにパラメーターを追加する場合やパラメーター名を変更する場合は、手動で役割エントリを更新する必要があります。 Exchange は、スコープ外の役割エントリの既存のパラメーターが変更されたかどうかをチェックしません。 スクリプト内で役割エントリのパラメーターが変更されており、そのパラメーターを使用しようとすると、コマンドの実行に失敗します。

スコープ外の役割エントリに追加するスクリプトは、管理者およびユーザーが Exchange 2013 管理シェルを使用して接続するすべてのサーバーの Exchange スクリプト ディレクトリに保存する必要があります。 スコープ外の役割エントリを追加するために、使用しているサーバーの Exchange 2013 スクリプト ディレクトリに存在していないスクリプトに基づいたスコープ外の役割エントリを追加しようとすると、エラーが発生します。 Exchange 2013 スクリプト ディレクトリの既定のインストール場所は C:\Program Files\Microsoft\Exchange Server\V15\RemoteScripts または %ExchangeInstallPath%RemoteScriptsです。

スコープ外の役割エントリに追加する Exchange 以外のコマンドレットは、管理者およびユーザーがシェルを使用して接続してコマンドレットを使用するすべての Exchange 2013 サーバーにインストールする必要があります。 スコープ外の役割エントリを追加するために、使用している Exchange サーバーにインストールしていない Exchange 2013 以外のコマンドレットに基づいたスコープ外の役割エントリを追加しようとすると、エラーが発生します。 Exchange 以外のコマンドレットを追加する場合は、Windows 以外のコマンドレットを含む Exchange PowerShell スナップイン名を指定する必要があります。

スコープ外の管理役割エントリの追加方法の詳細については、「役割エントリを役割に追加する」を参照してください。

管理の役割の種類

管理役割の種類は、すべての管理役割の基礎になります。 種類は、指定した役割の種類のすべての管理役割で定義された暗黙的なスコープを定義し、関連する役割の論理グループとしても機能します。 親の組み込みの管理役割から派生したすべての管理役割には、同じ役割の種類があります。 この関係を示した図については、このトピックの前述の管理役割の階層図を参照してください。 管理役割の種類は、役割の種類に関連付けられた役割に追加可能なコマンドレットとそのパラメーターの最大セットも表します。

管理役割の種類は、次のカテゴリに分類されます。

  • 管理または専門家: 管理またはスペシャリストの役割の種類に関連付けられているロールは、Exchange 組織の影響の範囲が広い範囲です。 この役割の種類を持つ役割では、サーバーまたは受信者の管理、組織の構成、法令遵守管理、監査などのタスクを実行できます。

  • ユーザーフォーカス: ユーザーに焦点を当てたロールの種類に関連付けられているロールには、個々のユーザーと密接に関連付けられている影響の範囲があります。 この役割の種類を持つ役割では、ユーザー プロファイル構成と自己管理、ユーザー独自の配布グループの管理などのタスクを実行できます。

    ユーザーフォーカスの役割の種類および種類名に関連付けられた役割名は、My で始まります。

  • 特殊: 特殊なロールの種類に関連付けられているロールを使用すると、管理またはユーザーに焦点を当てたロールの種類ではないタスクを有効にします。 この役割の種類の役割では、アプリケーションに対する偽装、Exchange 以外のコマンドレットまたはスクリプトの使用などのタスクを実行できます。

以下の表に、Exchange 2013 の管理者の管理役割の種類のすべての一覧を示し、役割の種類によって許可される構成が、Exchange 組織全体に適用されるのか、個々のサーバーにのみ適用されるのかを示します。 各役割の説明、役割を割り当てられたことによって恩恵を受ける可能性のある人間、およびその他の情報などの、これらの役割の種類に関連付けられた各管理役割の詳細については、「組み込みの管理役割」を参照してください。

管理の役割の種類 組み込みの管理役割 説明 組織またはサーバー
ActiveDirectoryPermissions "Active Directory Permissions/Active Directory アクセス許可" 役割 この役割の種類は、管理者が組織内の Active Directory アクセス許可を構成できるようになる役割に関連付けられます。 Active Directory アクセス許可またはアクセス制御リスト (ACL) を使用する一部の機能には、トランスポートの受信コネクタと送信コネクタ、メールボックスに対する送信者アクセス許可と代理送信アクセス許可などがあります。

: Active Directory オブジェクトに直接設定されたアクセス許可は、RBAC を介して適用されない場合があります。
組織
AddressLists "Address Lists/アドレス一覧" 役割 この役割の種類は、管理者に組織内のアドレス一覧、グローバル アドレス一覧 (GAL)、およびオフライン アドレス一覧の管理を許可する役割に関連付けられています。 組織
ApplicationImpersonation ApplicationImpersonation 役割 この役割の種類は、組織内のユーザーに偽装したアプリケーションにそのユーザーのタスクの代行を許可する役割に関連付けられています。 組織
ArchiveApplication ArchiveApplication 役割 この役割の種類は、パートナー アプリケーションに組織内のユーザー メールボックスのアイテムのアーカイブを許可する役割に関連付けられています。 組織
AuditLogs "Audit Logs/監査ログ" 役割 この役割の種類は、管理者に組織内の監査ログ構成の構成を許可する役割に関連付けられています。 組織
CmdletExtensionAgents "Cmdlet Extension Agents/コマンドレット拡張エージェント" 役割 この役割の種類は、管理者が組織内のコマンドレット拡張エージェントを管理できるようになる役割に関連付けられます。 組織
DataLossPrevention "Data Loss Prevention/データ損失防止" 役割 この役割の種類は、組織内のデータ損失防止 (DLP) ポリシーとこれらのポリシー内のルールを作成および管理する役割に関連付けられています。 組織
DatabaseAvailabilityGroups "Database Availability Groups/データベース可用性グループ" 役割 この役割の種類は、管理者に組織内のデータベース可用性グループ (DAG) の管理を許可する役割に関連付けられています。 この役割を直接的または間接的に割り当てられている管理者は、組織内の高可用性構成の責任を負う、最高レベルの管理者です。 組織
DatabaseCopies "Database Copies/データベース コピー" 役割 この役割の種類は、管理者が個々のサーバーのデータベース コピーを管理できるようになる役割に関連付けられます。 サーバー
Databases "Databases/データベース" 役割 この役割の種類は、管理者が個々のサーバーのメールボックス データベースを作成、管理、マウント、マウント解除できるようになる役割に関連付けられます。 サーバー
DisasterRecovery "Disaster Recovery/障害回復" 役割 この役割の種類は、管理者に組織内のメールボックスとメールボックス データベースの復元、メールボックス データベースの作成、およびデータベース可用性グループのデータセンター切り替えと切り戻しの実行を許可する役割に関連付けられています。 組織
DistributionGroups "Distribution Groups/配布グループ" 役割 この役割の種類は、管理者が組織内の配布グループと配布グループ メンバーを作成および管理できるようになる役割に関連付けられます。 組織
EdgeSubscriptions "Edge Subscriptions/エッジ サブスクリプション" 役割 この役割の種類は、管理者が組織内の Exchange 2010 エッジ トランスポート サーバーと Exchange 2013 メールボックス サーバー間のエッジ同期およびサブスクリプション構成を管理できるようになる役割に関連付けられます。 組織
EmailAddressPolicies "E-Mail Address Policies/電子メール アドレス ポリシー" 役割 この役割の種類は、管理者が組織内の電子メール アドレス ポリシーを管理できるようになる役割に関連付けられます。 組織
ExchangeConnectors "Exchange Connectors/Exchange コネクタ" 役割 この役割の種類は、管理者が配信エージェント コネクタを作成、変更、表示、削除できるようになる役割に関連付けられます。 組織
ExchangeServerCertificates "Exchange Server Certificates/Exchange Server 証明書" 役割 この役割の種類は、管理者が個々のサーバーの Exchange サーバー証明書を作成、インポート、エクスポート、管理できるようになる役割に関連付けられます。 サーバー
ExchangeServers Exchange Servers 役割 この役割の種類は、管理者が個々のサーバーの Exchange サーバー構成を管理できるようになる役割に関連付けられます。 サーバー
ExchangeVirtualDirectories "Exchange Virtual Directories/Exchange 仮想ディレクトリ" 役割 このロールの種類は、管理者が個々のサーバー上のOutlook Web App、Microsoft ActiveSync、オフライン アドレス帳 (OAB)、自動検出、Windows PowerShell、Exchange 管理センターの仮想ディレクトリを管理できるようにするロールに関連付けられています。 サーバー
FederatedSharing "Federated Sharing/フェデレーションの共有" 役割 この役割の種類は、管理者が組織内のフォレスト間と組織間の共有を管理できるようになる役割に関連付けられます。 組織
InformationRightsManagement Information Rights Management 役割 この役割の種類は、管理者が組織内の Exchange の Information Rights Management (IRM) を管理できるようになる役割に関連付けられます。 組織
Journaling "Journaling/ジャーナリング" 役割 この役割の種類は、管理者が組織内のジャーナリング構成を構成できるようになる役割に関連付けられます。 組織
LegalHold "Legal Hold/法的情報保留" 役割 この役割の種類は、管理者が組織の訴訟目的にメールボックス内のデータを保持するかどうかを設定できるようになる役割に関連付けられます。 組織
MailboxImportExport "Mailbox Import Export/メールボックスのインポートとエクスポート" 役割 この役割の種類は、管理者にメールボックス内容のインポート/エクスポート、メールボックスの不要な内容の削除を許可する役割に関連付けられています。 組織
MailboxSearch "Mailbox Search/メールボックス検索" 役割 この役割の種類は、管理者が組織内の 1 つ以上のメールボックスの内容を検索できるようになる役割に関連付けられます。 組織
MailboxSearchApplication MailboxSearchApplication 役割 この役割の種類は、パートナー アプリケーションに組織内のメールボックスの法的情報保留ステータスの設定および表示を許可する役割に関連付けられています。 組織
MailEnabledPublicFolders "Mail Enabled Public Folders/メールが有効なパブリック フォルダー" 役割 この役割の種類は、管理者が個々のパブリック フォルダーを組織内でメールが有効なパブリック フォルダーにするか、メールが無効なパブリック フォルダーにするかを設定できるようになる役割に関連付けられます。

この役割の種類では、パブリック フォルダーの電子メール プロパティのみを管理できます。 パブリック フォルダーのプロパティのうち、電子メール プロパティ以外のものを管理することはできません。 メール プロパティではないパブリック フォルダーのプロパティを管理するには、ロールの種類に関連付 PublicFolders けられているロールを割り当てる必要があります。
組織
MailRecipientCreation "メール受信者の作成" 役割 この役割の種類は、管理者が組織内のメールボックス、メール ユーザー、メール連絡先、配布グループ、および動的配布グループを作成できるようになる役割に関連付けられます。 このロールの種類に関連付けられているロールをロールの MailRecipients 種類に関連付けられているロールと組み合わせて、受信者の作成と管理を有効にすることができます。

この役割の種類では、パブリック フォルダーのメールを有効にすることはできません。 パブリック フォルダーをメールで有効にするには、ロールの種類に関連付けられているロールを MailEnabledPublicFolders 割り当てる必要があります。

組織が、受信者管理を実行するグループとは異なるグループによって受信者の作成が実行される分割アクセス許可モデルを保持している場合は、受信者の作成を実行するグループにロールをMailRecipients割り当て、受信者管理を実行するグループにロールを割り当てますMailRecipientCreation
組織
MailRecipients "Mail Recipient/メール受信者" 役割 この役割の種類は、管理者が組織内の既存のメールボックス、メール ユーザー、メール連絡先、配布グループ、および動的配布グループを管理できるようになる役割に関連付けられます。 このロールの種類に関連付けられているロールは、これらの受信者を作成できませんが、ロールの MailRecipientCreation 種類に関連付けられているロールと組み合わせて、受信者の作成と管理を有効にできます。

この役割の種類では、メールが有効なパブリック フォルダーまたは配布グループを管理できません。 メールが有効なパブリック フォルダーを管理するには、ロールの種類に関連付けられているロールを MailEnabledPublicFolders 割り当てる必要があります。 配布グループを管理するには、ロールの種類に関連付けられているロールを DistributionGroups 割り当てる必要があります。

組織が、受信者管理を実行するグループとは異なるグループによって受信者の作成が実行される分割アクセス許可モデルを保持している場合は、受信者の作成を実行するグループにロールをMailRecipients割り当て、受信者管理を実行するグループにロールを割り当てますMailRecipientCreation
組織
MailTips "Mail Tips/メール ヒント" 役割 この役割の種類は、管理者に組織内のメール ヒントの管理を許可する役割に関連付けられています。 組織
MessageTracking "Message Tracking/メッセージ追跡" 役割 この役割の種類は、管理者が組織内のメッセージを追跡できるようになる役割に関連付けられます。 組織
Migration "Migration/移行" 役割 この役割の種類は、管理者がメールボックスとメールボックスの内容をサーバー内またはサーバー外へ移行できるようになる役割に関連付けられます。 サーバー
Monitoring "Monitoring/監視" 役割 この役割の種類は、管理者が組織内の Microsoft Exchange サービスとコンポーネントの可用性を監視できるようになる役割に関連付けられます。 管理者以外にも、この役割の種類に関連付けられている役割は、Exchange サーバーの状態情報を収集するために監視アプリケーションによって使用されるサービス アカウントと共に使用できます。 組織
MoveMailboxes "Move Mailboxes/メールボックスの移動" 役割 この役割の種類は、管理者が組織内のサーバー間、およびローカル組織と別の組織内のサーバー間でメールボックスを移動できるようになる役割に関連付けられます。 組織
OfficeExtensionApplication OfficeExtensionApplication 役割 この役割の種類は、Microsoft Office 拡張アプリケーションに組織内のユーザー メールボックスへのアクセスを許可する役割に関連付けられています。 組織
OrgCustomApps "Org Custom Apps/組織のカスタム アプリ" 役割 この役割の種類は、管理者が組織内のカスタム アプリケーションを表示および変更できるようになる役割に関連付けられます。 組織
OrgMarketplaceApps "Org Marketplace Apps/組織マーケットプレイス アプリ" 役割 この役割の種類は、管理者が組織内のマーケットプレース アプリケーションを表示および変更できるようになる役割に関連付けられます。 組織
OrganizationClientAccess "Organization Client Access/組織クライアント アクセス" 役割 この役割の種類は、管理者が組織内のクライアント アクセス サーバーの設定を管理できるようになる役割に関連付けられます。 組織
OrganizationConfiguration "Organization Configuration/組織の構成" 役割 この役割の種類は、管理者が組織内で組織全体の設定を管理できるようになる役割に関連付けられます。 この役割の種類で制御可能な組織の構成には以下が含まれます。
  • 組織に対してメール ヒントを有効にするかそれとも無効にするか。
  • 管理フォルダー ホーム ページの URL。
  • Microsoft Exchange 受信者の SMTP アドレスと代替電子メール アドレス。
  • リソース メールボックスのプロパティ スキーマの構成。
  • Exchange 管理センターとOutlook Web Appのヘルプ URL。

このロールの種類には、 または OrganizationTransportSettings ロールの種類に含まれるアクセス許可はOrganizationClientAccess含まれません。

組織
OrganizationTransportSettings "Organization Transport Settings/組織トランスポート設定" 役割 この役割の種類は、管理者がシステム メッセージ、Active Directory サイト構成、および組織内のその他の組織全体のトランスポート設定などの組織全体のトランスポート設定を管理できるようになる役割に関連付けられます。

この役割では、トランスポート受信と送信コネクタ、キュー、検疫、エージェント、リモート ドメインと承認済みドメイン、またはルールの作成や管理を行うことはできません。 各トランスポート機能を作成または管理するには、次の役割の種類に関連付けられた役割を割り当てられる必要があります。
  • 受信コネクタ: ReceiveConnectors
  • 送信コネクタ: SendConnectors
  • トランスポート キュー: TransportQueues
  • 輸送衛生: TransportHygiene
  • トランスポート エージェント: TransportAgents
  • リモート ドメインと承認済みドメイン: RemoteAndAcceptedDomains
  • トランスポート ルール: TransportRules
組織
POP3AndIMAP4Protocols "POP3 and IMAP4 Protocols/POP3 および IMAP4 プロトコル" 役割 この役割の種類は、管理者が個々のサーバーの認証と接続設定などの POP3 および IMAP4 構成を管理できるようになる役割に関連付けられます。 サーバー
PublicFolders "Public Folders/パブリック フォルダー" 役割 この役割の種類は、管理者が組織内のパブリック フォルダーを管理できるようになる役割に関連付けられます。

この役割の種類では、パブリック フォルダーのメールを有効にするかどうかを管理することはできません。 パブリック フォルダーをメールで有効または無効にするには、ロールの種類に関連付けられているロールを MailEnabledPublicFolders 割り当てる必要があります。
組織
ReceiveConnectors "Receive Connectors/受信コネクタ" 役割 この役割の種類は、管理者に個々のサーバーのサイズ制限などのトランスポート受信コネクタ構成の管理を許可する役割に関連付けられています。 サーバー
RecipientPolicies "Recipient Policies/受信者ポリシー" 役割 この役割の種類は、管理者が組織内のプロビジョニング ポリシーやモバイル デバイス ポリシーなどの受信者ポリシーを管理できるようになる役割に関連付けられます。 組織
RemoteAndAcceptedDomains "Remote and Accepted Domains/リモートおよび承認済みドメイン" 役割 この役割の種類は、管理者が組織内のリモートおよび承認済みドメインを管理できるようになる役割に関連付けられます。 組織
ResetPassword "Reset Password/パスワードのリセット" 役割 この役割の種類は、ユーザーが自分のパスワードをリセットできるようになり、管理者が組織内のユーザーのパスワードをリセットできるようになる役割に関連付けられます。 組織
RetentionManagement "Retention Management/保有管理" 役割 この役割の種類は、管理者が組織内のアイテム保持ポリシーを管理できるようになる役割に関連付けられます。 組織
RoleManagement "Role Management/役割管理" 役割 この役割の種類は、管理者が組織内の管理役割グループ、役割割り当てポリシー、管理役割、役割エントリ、割り当て、およびスコープを管理できるようになる役割に関連付けられます。

この役割の種類に関連付けられている役割を割り当てられたユーザーは、プロパティ role group managed by の上書き、任意の役割グループの構成、任意の役割グループに対するメンバーの追加または削除を実行できます。
組織
SecurityGroupCreationAndMembership "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割 この役割の種類は、管理者が組織内の USG とそのメンバーシップを作成および管理できるようになる役割に関連付けられます。

組織が分割アクセス許可モデルを維持していて、Exchange サーバーを管理するグループと USG の作成と管理を実行するグループが異なる場合は、この役割の種類に関連付けられている役割を対象のグループに割り当ててください。
組織
SendConnectors "Send Connectors/送信コネクタ" 役割 この役割の種類は、管理者が組織内のトランスポート送信コネクタを管理できるようになる役割に関連付けられます。 組織
SupportDiagnostics "Support Diagnostics/サポート診断" 役割 この役割の種類は、管理者が組織内でプロダクト サポートの契約先の指示に従って高度な診断を実行できるようになる役割に関連付けられます。

: このロールの種類に関連付けられているロールは、Microsoft カスタマー サービスとサポートの指示の下でのみ使用する必要があるコマンドレットとスクリプトへのアクセス許可を付与します。
組織
TeamMailboxes "Team Mailboxes/チーム メールボックス" 役割 この役割の種類は、管理者が組織内の 1 つ以上のサイト メールボックスのプロビジョニング ポリシーを定義し、サイト メールボックスを管理できるようになる役割に関連付けられます。 この役割の種類に関連付けられた役割が割り当てられた管理者は、所有していないサイト メールボックスを管理できます。 組織
TeamMailboxLifecycleApplication TeamMailboxLifecycleApplication 役割 この役割の種類は、パートナー アプリケーションに組織内のサイト メールボックスのライフサイクル状態の更新を許可する役割に関連付けられています。 組織
TransportAgents "Transport Agents/トランスポート エージェント" 役割 この役割の種類は、管理者が組織内のトランスポート エージェントを管理できるようになる役割に関連付けられます。 組織
TransportHygiene "Transport Hygiene/トランスポート検疫" 役割 この役割の種類は、管理者が組織内のスパム対策およびマルウェア対策の機能を管理できるようになる役割に関連付けられます。 組織
TransportQueues "Transport Queues/トランスポート キュー" 役割 この役割の種類は、管理者が個々のサーバーのトランスポート キューを管理できるようになる役割に関連付けられます。 サーバー
TransportRules "Transport Rules/トランスポート ルール" 役割 この役割の種類は、管理者が組織内のトランスポート ルールを管理できるようになる役割に関連付けられます。 組織
UMMailboxes "UM Mailboxes/UM メールボックス" 役割 この役割の種類は、管理者が組織内のメールボックスおよびその他の受信者のユニファイド メッセージング (UM) 構成を管理できるようになる役割に関連付けられます。 組織
UMPrompts "UM Prompts/UM プロンプト" 役割 この役割の種類は、管理者が組織内のカスタムの UM 音声プロンプトを作成および管理できるようになる役割に関連付けられます。 組織
UnifiedMessaging ユニファイド メッセージングの役割 この役割の種類は、管理者が組織内のユニファイド メッセージング サービスを管理できるようになる役割に関連付けられます。

この役割では、UM 固有のメールボックスの構成や、UM プロンプトの管理を実行することはできません。 UM 固有のメールボックス構成を管理するには、ロールの種類に関連付けられているロールを UMMailboxes 使用します。 UM プロンプトを管理するには、ロールの種類に関連付けられているロールを UMPrompts 使用します。
組織
UnScopedRoleManagement "Unscoped Role Management/スコープ外役割管理" 役割 この役割の種類は、管理者に組織内のスコープ外の最上位レベルの管理役割の作成および管理を許可する役割に関連付けられています。 組織
UserOptions "User Options/ユーザー オプション" 役割 この役割の種類は、管理者に組織内のユーザーの Outlook Web App オプションの表示を許可する役割に関連付けられています。 この役割の種類に関連付けられた役割を使用すると、ユーザー構成の問題を容易に診断できます。 組織
UserApplication UserApplication 役割 この役割の種類は、パートナー アプリケーションに組織内のエンド ユーザーの代わりに作業の実行を許可する役割に関連付けられています。 組織
ViewOnlyAuditLogs "View-Only Audit Logs/表示専用監査ログ" 役割 この役割の種類は、管理者に組織内の監査ログの検索を許可する役割に関連付けられています。 組織
ViewOnlyConfiguration "View-Only Configuration/表示専用構成" 役割 この役割の種類は、管理者が組織内の受信者以外の Exchange 構成設定すべてを表示できるようになる役割に関連付けられます。 表示可能な構成の例として、サーバー構成、トランスポート構成、データベース構成、および組織全体にわたる構成があります。

このロールの種類に関連付けられているロールをロールの種類に関連付 ViewOnlyRecipients けられているロールと組み合わせて、組織内のすべてのオブジェクトを表示できるロールを作成できます。
組織
ViewOnlyRecipients "View-Only Recipients/表示専用受信者" 役割 この役割の種類は、管理者がメールボックス、メール ユーザー、メール連絡先、配布グループ、および動的配布グループなどの受信者の構成を表示できるようになる役割に関連付けられます。

このロールの種類に関連付けられているロールをロールの種類に関連付 ViewOnlyConfiguration けられているロールと組み合わせて、組織内のすべてのオブジェクトを表示できるロールを作成できます。
組織
WorkloadManagement WorkloadManagement 役割 この役割の種類は、管理者が組織内のワークロード管理ポリシーを管理できるようになる役割に関連付けられます。 管理者は、リソース正常性の定義、ワークロードの分類、ワークロード管理の有効化や無効化を構成できます。 組織

次の表は、Exchange 2013 のすべてのユーザーフォーカス管理の役割の種類、およびそれに関連する組み込みの管理役割の一覧です。

管理の役割の種類 組み込みのユーザーフォーカスの役割 説明
MyBaseOptions MyBaseOptions 役割 この役割の種類は、個々のユーザーが自分のメールボックスおよび関連する設定の基本構成を表示および変更できるようになる役割に関連付けられます。
MyContactInformation MyAddressInformation 役割

MyContactInformation 役割

MyMobileInformation 役割

MyPersonalInformation 役割
この役割の種類は、個々のユーザーが自分の連絡先情報を変更できるようになる役割に関連付けられます。 この情報には、各自のアドレスと電話番号が含まれています。
MyCustomApps "My Custom Apps/自分のカスタム アプリ" 役割 この役割の種類は、個々のユーザーが自分のカスタム アプリケーションを表示および変更できるようになる役割に関連付けられます。
MyDiagnostics MyDiagnostics 役割 この役割の種類は、個人ユーザーがメールボックスに対して、予定表の診断情報の取得など、基本的な診断を実行できるようにする役割と関連付けられています。
MyDistributionGroupMembership MyDistributionGroupMembership 役割 この役割の種類は、組織内の配布グループがグループのメンバーシップの操作を許可されている場合、個々のユーザーが組織内の配布グループのユーザーのメンバーシップを表示および変更できるようになる役割に関連付けられます。
MyDistributionGroups MyDistributionGroups 役割 この役割の種類は、個々のユーザーが配布グループの作成、変更、表示を実行すること、および個々のユーザーが所有する配布グループのメンバーの変更、表示、削除、追加を実行できるようになる役割に関連付けられます。
MyProfileInformation MyDisplayName 役割

MyName 役割

MyProfileInformation 役割
この役割の種類は、個々のユーザーが自分の名前を変更できるようになる役割に関連付けられます。
MyMarketplaceApps "My Marketplace Apps/マイ マーケットプレイス アプリ" 役割 この役割の種類は、個々のユーザーが自分のマーケットプレース アプリケーションを表示および変更できるようになる役割に関連付けられます。
MyRetentionPolicies MyRetentionPolicies 役割 この役割の種類は、個々のユーザーが自分の保持タグの表示、および保持タグの設定と既定値の表示と変更を実行できるようになる役割に関連付けられます。
MyTeamMailboxes MyTeamMailboxes 役割 この役割の種類は、個々のユーザーがサイト メールボックスを作成し、Microsoft SharePoint サイトに接続できるようになる役割に関連付けられます。
MyTextMessaging MyTextMessaging 役割 この役割の種類は、個々のユーザーが自分のテキスト メッセージング設定の作成、表示、変更を実行できるようになる役割に関連付けられます。
MyVoiceMail MyVoiceMail 役割 この役割の種類は、個々のユーザーが自分のボイス メール設定を表示および変更できるようになる役割に関連付けられます。

詳細情報

New-ManagementRole

New-ManagementRoleAssignment

Set-ManagementRoleAssignment

New-ManagementScope

Set-ManagementScope

New-ManagementRoleAssignment

Set-ManagementRoleAssignment