アクセス許可

製品: Exchange Server 2013

Microsoft Exchange Server 2013 には、ロール ベースのAccess Control (RBAC) アクセス許可モデルに基づいて、定義済みのアクセス許可の大規模なセットが含まれています。このモデルを使用すると、すぐに管理者とユーザーにアクセス許可を簡単に付与できます。 Exchange 2013 のアクセス許可機能を使用して、新しい組織を迅速に稼働させることができます。

注意

一部の RBAC の機能および概念については、高度な機能であるためここでは説明しません。ここで説明する機能がニーズに合わず、アクセス許可モデルのより高度なカスタマイズが必要な場合は、「Understanding Role Based Access Control」を参照してください。

役割に基づくアクセス許可

Exchange 2013 では、管理者とユーザーに付与するアクセス許可は、管理ロールに基づいています。 役割は管理者やユーザーが実行できるタスクのセットを定義します。 たとえば、一連のメールボックス、連絡先、配布グループに対して他のユーザーが実行できるタスクは、管理ロールと呼ばれます Mail Recipients 。 ある役割が管理者やユーザーに割り当てられる場合、その管理者やユーザーに対して、その役割が提供するアクセス許可が与えられます。

役割には、管理役割とエンドユーザー役割の 2 種類があります。

  • 管理ロール: これらのロールには、Exchange 組織の一部 (受信者、サーバー、データベースなど) を管理する役割グループを使用して、管理者または専門家のユーザーに割り当てることができるアクセス許可が含まれています。
  • エンド ユーザー ロール: これらのロールは、ロールの割り当てポリシーを使用して割り当てられ、ユーザーが所有する自分のメールボックスと配布グループの側面を管理できます。 エンド ユーザー ロールはプレフィックス Myで始まります。

役割は、その役割に割り当てられている管理者とユーザーがコマンドレットを使用できるようにすることでタスクの実行に必要なアクセス許可を与えます。 Exchange 管理センター (EAC) と Exchange Management Shell ではコマンドレットを使用して Exchange を管理するため、コマンドレットへのアクセスを許可すると、各 Exchange 管理インターフェイスでタスクを実行する権限が管理者またはユーザーに付与されます。

Exchange 2013 には、アクセス許可を付与するために使用できる約 86 個のロールが含まれています。 Exchange 2013 に含まれるロールの一覧については、「 組み込みの管理ロール」を参照してください。

役割グループと役割割り当てポリシー

ロールは Exchange 2013 でタスクを実行するためのアクセス許可を付与しますが、管理者とユーザーに簡単に割り当てる方法が必要です。 Exchange 2013 では、これを行う際に役立つ次の情報が提供されます。

  • 役割グループ: 役割グループを使用すると、管理者と専門家のユーザーにアクセス許可を付与できます。
  • ロールの割り当てポリシー: ロール割り当てポリシーを使用すると、エンド ユーザーが所有する自分のメールボックスまたは配布グループの設定を変更するアクセス許可をエンド ユーザーに付与できます。

役割グループと役割割り当てポリシーの詳細については、以下のセクションを参照してください。

役割グループ

Exchange 2013 を管理するすべての管理者には、少なくとも 1 つ以上のロールが割り当てられている必要があります。 管理者は、Exchange 内の複数の領域にまたがるジョブ機能を実行する可能性があるため、複数のロールを持つ場合があります。 たとえば、1 人の管理者が受信者と Exchange サーバーの両方を管理する場合があります。 この場合、その管理者にロールとExchange Serversロールの両方がMail Recipients割り当てられる可能性があります。

管理者に複数のロールを簡単に割り当てるために、Exchange 2013 には役割グループが含まれています。 役割グループは、Active Directory ユーザー、USG、およびその他の役割グループを含めることができる Exchange 2013 で使用される特殊なユニバーサル セキュリティ グループ (USG) です。 役割が役割グループに割り当てられると、その役割が付与するアクセス許可が役割グループの全メンバーに付与されます。 このため、多くの役割を多くの役割グループのメンバーに一度に割り当てることができます。 通常、役割グループには受信者管理などの広範囲の管理領域が含まれます。 このような管理領域は管理役割のみで使用し、エンドユーザー役割では使用しません。

注意

役割グループを使用せずに、ユーザーや USG に役割を直接割り当てることは可能です。ただし、このような役割割り当て方法は高度な手順であるため、ここでは説明しません。アクセス許可の管理には、役割グループを使用することをお勧めします。

次の図はユーザー、役割グループ、および役割の間の関係を示しています。

ロール、ロール グループ、およびメンバーのリレーションシップ。

Exchange 2013 にはいくつかの組み込みの役割グループが含まれており、それぞれが Exchange 2013 の特定の領域を管理するためのアクセス許可を提供します。 一部の役割グループは、他のロール グループと重複している可能性があります。 次の表に、各役割グループの使用方法の説明を示します。 各役割グループに割り当てられているロールを表示する場合は、[役割グループ] 列で役割グループの名前をクリックし、[この役割グループに割り当てられた管理ロール] セクションを開きます。

役割グループ 説明
組織の管理 組織管理役割グループのメンバーである管理者は、Exchange 2013 組織全体への管理アクセス権を持ち、役割などの一部の例外を除き、任意の Exchange 2013 オブジェクトに対してほぼすべてのタスクを Discovery Management 実行できます。

重要: 組織管理役割グループは強力な役割であるため、Exchange 組織全体に影響を与える可能性のある組織レベルの管理タスクを実行するユーザーまたは USG のみが、この役割グループのメンバーである必要があります。
表示限定の組織管理 組織の管理のみ表示 役割グループのメンバーである管理者は、Exchange 組織の任意のオブジェクトのプロパティを表示できます。
受信者の管理 Recipient Management 役割グループのメンバーである管理者は、Exchange 2013 組織内の Exchange 2013 受信者を作成または変更するための管理アクセスを持ちます。
UM 管理 UM Management 役割グループのメンバーである管理者は、ユニファイド メッセージング (UM) サービス構成、メールボックスの UM プロパティ、UM プロンプト、および UM 自動応答構成など、Exchange 組織内の機能を管理できます。
Help Desk (ヘルプ デスク) 既定では、ヘルプ デスクの役割グループを使用すると、メンバーは組織内の任意のユーザーの Microsoft Office Outlook Web App オプションを表示および変更できます。 これらのオプションにはユーザーの表示名、アドレス、および電話番号の変更も含まれます。 これらのオプションには、メールボックスのサイズ変更や、メールボックスのあるメールボックス データベースの構成などのような、Outlook Web App オプションで使用できないオプションは含まれていません。
検疫管理 検疫管理役割グループのメンバーである管理者は、Exchange 2013 のウイルス対策機能とスパム対策機能を構成できます。 Exchange 2013 に統合されているサードパーティ製プログラムによって、この役割グループにサービス アカウントが追加でき、Exchange の構成の取得および構成に必要なコマンドレットへのアクセスが許可されます。
レコード管理 Records Management役割グループのメンバーであるユーザーは、アイテム保持ポリシー タグ、メッセージの分類、トランスポート ルールなどの法令遵守機能を構成できます。
検出の管理 探索管理役割グループのメンバーである管理者またはユーザーは、Exchange 組織内のメールボックスの検索を実行して、特定の条件を満たし、メールボックスの訴訟ホールドを構成することもできます。
パブリック フォルダーの管理 "Public Folder Management/パブリック フォルダー管理" 役割グループのメンバーである管理者は、Exchange 2013 を実行するサーバー上にあるパブリック フォルダーを管理できます。
サーバー管理 "Server Management/サーバー管理" 役割グループのメンバーである管理者は、データベース コピー、証明書、トランスポート キューと送信コネクタ、仮想ディレクトリ、クライアント アクセス プロトコルなど、トランスポート、ユニファイド メッセージング、クライアント アクセス、およびメールボックス機能のサーバー固有の構成を構成できます。
委任されたセットアップ 委任されたセットアップ役割グループのメンバーである管理者は、Exchange 2013 役割グループのメンバーによって既に準備された、組織の管理 を実行しているサーバーを展開できます。
コンプライアンス管理 "Compliance Management/コンプライアンス管理" 役割グループのメンバーであるユーザーは、組織のポリシーに従って Exchange のコンプライアンス設定を構成および管理できます。

2 ~ 3 人の管理者しかいない小規模な組織の場合は、これらの管理者を 組織の管理 役割グループにのみ追加し、他の役割グループの使用は不要である可能性があります。 大規模な組織で働いている場合は、Exchange を管理する特定のタスク (受信者やサーバー管理など) を実行する管理者がいる場合があります。 このような場合は、1 人の管理者を受信者管理役割グループに追加し、もう 1 人の管理者をサーバー管理役割グループに追加できます。 これらの管理者は、Exchange 2013 の特定の領域を管理できますが、自分が責任を負わない領域を管理するアクセス許可を持ちません。

Exchange 2013 の組み込みの役割グループが管理者のジョブ機能と一致しない場合は、役割グループを作成してロールを追加できます。 詳細については、このトピックの後半の「役割グループの操作」を参照してください。

役割の割り当てポリシー

Exchange 2013 には、ユーザーが自分のメールボックスと所有する配布グループで構成できる設定を制御できるように、役割の割り当てポリシーが用意されています。 上記の設定には、ユーザーの表示名、連絡先情報、ボイス メール設定、および配布グループのメンバーシップが含まれます。

Exchange 2013 組織には、組織内のさまざまな種類のユーザーに対して異なるレベルのアクセス許可を提供する複数のロール割り当てポリシーを持つことができます。 一部のユーザーは、自分のアドレスの変更や配布グループの作成を許可できますが、メールボックスに関連付けられているロールの割り当てポリシーによっては、他のユーザーは許可できません。 役割割り当てポリシーはメールボックスに直接追加されます。各メールボックスは、同時に 1 つの役割割り当てポリシーにのみ関連付けることができます。

組織の役割割り当てポリシーのうち、1 つが既定としてマークされます。新しいメールボックスの作成時に特定の役割割り当てポリシーを明示的に割り当てない限り、既定の役割の割り当てポリシーが新しいメールボックスに関連付けられます。既定の役割の割り当てポリシーには、ほとんどのメールボックスに適用が必要なアクセス許可が含まれている必要があります。

アクセス許可は、エンドユーザーの役割を使用して役割割り当てポリシーに追加されます。 エンド ユーザー ロールはまず、ユーザーが My 所有するメールボックスまたは配布グループのみを管理するためのアクセス許可を付与します。 エンドユーザーの役割を使用して他のメールボックスを管理することはできません。 役割割り当てポリシーに割り当てることができるのは、エンド ユーザーの役割のみです。

役割割り当てポリシーにエンド ユーザーの役割が割り当てられていると、その役割割り当てポリシーに関連付けられているすべてのメールボックスに対して、役割が付与するアクセス許可が与えられます。この結果、個々のメールボックスを構成することなく、ユーザーのセットに対してアクセス許可の追加や削除を行うことができます。以下の図では、次の内容を示しています。

  • エンド ユーザーの役割が役割割り当てポリシーに割り当てられています。役割割り当てポリシー間で、同じエンド ユーザーの役割を共有できます。

  • 役割割り当てポリシーがメールボックスに関連付けられています。各メールボックスは、1 つの役割割り当てポリシーにのみ関連付けることができます。

  • メールボックスを役割割り当てポリシーに関連付けると、エンド ユーザーの役割がそのメールボックスに適用されます。役割が付与するアクセス許可が、メールボックスのユーザーに対して与えられます。

ロール、ロール割り当てポリシー、メールボックスリレーションシップ。

既定の役割の割り当てポリシーの役割の割り当てポリシーは、Exchange 2013 に含まれています。 名前が示すとおり、既定の役割割り当てポリシーです。 この役割割り当てポリシーが提供するアクセス許可を変更したり、役割割り当てポリシーを作成したりする場合は、後の「Work with Role Assignment Policies」を参照してください。

役割グループの操作

Exchange 2013 で役割グループを使用してアクセス許可を管理するには、Exchange 管理センターを使用することをお勧めします。 EAC を使用して役割グループを管理する場合は、ロールとメンバーの追加と削除、役割グループの作成、およびロール グループのコピーを数回クリックするだけで行うことができます。 EAC には、次の図に示す 新しい役割グループ ダイアログ ボックスなどの簡単なダイアログ ボックスが用意されています。これらのタスクを実行します。

EAC の [新しい役割グループ] ダイアログ ボックス。

Exchange 2013 には、アクセス許可を特定の管理領域に分ける複数の役割グループが含まれています。 これらの既存の役割グループが、管理者が Exchange 2013 組織を管理するために必要なアクセス許可を提供する場合は、管理者を適切な役割グループのメンバーとして追加するだけで済む。 管理者を役割グループに追加すれば、管理者がその役割グループに関連する機能を管理できます。 役割グループのメンバーの追加や削除を行うには、EAC で役割グループを開き、メンバーシップ一覧でメンバーを追加または削除します。 組み込みの役割グループの一覧については、「組み込みの役割グループ」を参照してください。

重要

管理者が複数の役割グループのメンバーである場合、Exchange 2013 は、自分がメンバーである役割グループによって提供されるすべてのアクセス許可を管理者に付与します。

Exchange 2013 に含まれるどの役割グループにも必要なアクセス許可がない場合は、EAC を使用して役割グループを作成し、必要なアクセス許可を持つロールを追加できます。 役割グループを新規作成するには、次の操作が必要です。

  1. 役割グループの名前を選択します。
  2. 役割グループに追加する役割を選択します。
  3. 役割グループにメンバーを追加します。
  4. 役割グループを保存します。

役割グループを作成すると、その役割グループを他の役割グループと同様に管理できます。

必要なアクセス許可の一部ではなく、すべてのアクセス許可を持つ既存の役割グループがある場合は、それをコピーし、変更を加えて役割グループを作成できます。 元の役割グループに影響を及ぼすことなく、既存の役割グループをコピーして変更できます。 役割グループのコピー操作の一部として、新しい名前と説明の追加、新しい役割グループの役割の追加と削除、および新しいメンバーの追加を行うことができます。 役割グループの作成やコピーの際には、前の図と同じダイアログ ボックスを使用できます。

既存の役割グループの変更も可能です。 前の図のような EAC ダイアログ ボックスを使用して、既存の役割グループの役割の追加と削除、および役割グループのメンバーの追加と削除を同時に行うことができます。 役割グループの役割の追加と削除を行うことで、その役割グループのメンバーの管理機能を有効および無効にすることができます。 役割グループに追加できるロールの一覧については、「 組み込みの管理ロール」を参照してください。

注意

組み込みの役割グループに割り当てられている役割は変更できますが、組み込みの役割グループをコピーして、役割グループのコピーを変更し、その役割グループのコピーにメンバーを追加することをお勧めします。

役割割り当てポリシーの操作

Exchange 2013 で自分のメールボックスを管理するためにエンド ユーザーに付与するアクセス許可を管理するには、EAC を使用することをお勧めします。 EAC を使用してエンド ユーザーのアクセス許可を管理する場合は、マウスを数回クリックするだけで、ロールの追加、ロールの削除、ロールの割り当てポリシーの作成を行うことができます。 EAC には、次の図に示す [ロールの割り当てポリシー ] ダイアログ ボックスなどの簡単なダイアログ ボックスが用意されています。これらのタスクを実行します。

EAC の [ロールの割り当てポリシー] ダイアログ ボックス。

Exchange 2013 には、既定の役割の割り当てポリシーという名前のロール割り当てポリシーが含まれています。 この役割割り当てポリシーに関連付けられているメールボックスを所有するユーザーは、この役割割り当てポリシーを使用すると次の操作を行うことができます。

  • メンバーが自分のメンバーシップの管理を許可されている配布グループへの参加および退会。
  • 自分のメールボックスに関する基本的なメールボックス設定の表示および変更 (受信トレイ ルール、スペル動作、迷惑メールの設定、および Microsoft ActiveSync デバイスなど)。
  • 勤務先の住所、電話番号、携帯番号、ポケットベル番号などの連絡先情報を変更する。
  • テキスト メッセージの設定の作成、変更、または表示。
  • ボイス メール設定の表示または変更。
  • 市場アプリを表示および変更する。
  • チームのメールボックスを作成し、Microsoft SharePoint の一覧へ接続する。

既定の役割の割り当てポリシーやその他の役割割り当てポリシーで、アクセス許可を追加または削除する場合は、EAC を使用できます。使用するダイアログ ボックスは前の図と似ています。EAC で役割割り当てポリシーを開くには、割り当て先の役割の横にあるチェック ボックスをオンにするか、削除する役割の横にあるチェック ボックスをオフにします。役割割り当てポリシーの変更は、そのポリシーに関連付けられているすべてのメールボックスに適用されます。

さまざまなエンド ユーザーのアクセス許可を、組織内のさまざまな種類のユーザーに割り当てる場合は、役割割り当てポリシーを作成できます。役割割り当てポリシーを作成すると、前の図のようなダイアログ ボックスが表示されます。役割割り当てポリシーの新しい名前を指定し、その役割割り当てポリシーに割り当てる役割を選択できます。役割割り当てポリシーを作成した後、EAC を使用してそのポリシーをメールボックスと関連付けることができます。

既定のロール割り当てポリシーを変更する場合は、シェルを使用する必要があります。 既定の役割の割り当てポリシーを変更すると、明示的に指定した場合を除き、作成したメールボックスはすべて新しい既定の役割の割り当てポリシーに関連付けられます。 新しい既定の役割の割り当てポリシーを選択しても、既存のメールボックスに関連付けられている役割割り当てポリシーは変更されません。

注意

子役割を持つ役割のチェック ボックスをオンにすると、子役割のチェック ボックスもオンになります。子役割を持つ役割のチェック ボックスをオフにすると、子役割のチェック ボックスもオフになります。

役割割り当てポリシーの作成方法や、既存の役割割り当てポリシーの変更方法に関する詳細手順については、次のトピックを参照してください。

アクセス許可に関するドキュメント

次の表に、Exchange 2013 のアクセス許可の詳細と管理に役立つトピックへのリンクを示します。

トピック 説明
Understanding Role Based Access Control RBAC を構成する各コンポーネント、および役割グループ/管理役割が十分ではない場合に高度なアクセス許可モデルを作成する方法についての詳細。
複数フォレストのアクセス許可について アカウントフォレストとリソース フォレストを持つ組織に RBAC アクセス許可を実装する方法について説明します。
分割型アクセス許可について RBAC と Active Directory の分割アクセス許可を使用した Exchange とセキュリティ プリンシパル管理の分割について説明します。
Exchange 2007 と Exchange 2010 のアクセス許可の共存について 既存の Exchange 2007 および Exchange 2010 組織で Exchange 2013 の管理を有効にするアクセス許可を構成します。
役割グループの管理 役割グループを使用して、Exchange 管理者とスペシャリスト ユーザーのアクセス許可を構成します。
役割グループのメンバーの管理 役割グループのメンバーを追加または削除する。 役割グループとの間でメンバーを追加および削除することで、Exchange 機能を管理できるユーザーを構成します。
リンクされた役割グループの管理 複数フォレストの Exchange 展開で Exchange 管理者とスペシャリスト ユーザーのアクセス許可を構成します。
役割の割り当てポリシーの管理 役割の割り当てポリシーを使用して、エンド ユーザーがメールボックスにアクセスできる機能を構成します。
メールボックスの割り当てポリシーを変更する 1 つ以上のメールボックスに、どの役割割り当てポリシーが適用されるかを構成する。
組み込みの役割グループをミラーするリンクされた役割グループを作成する マルチフォレスト Exchange 展開で、組み込みの役割グループをリンクされた役割グループとして再作成します。
有効なアクセス許可を表示する Exchange 機能を管理するアクセス許可を持つユーザーを表示します。
機能のアクセス許可 Exchange の機能とサービスを管理するために必要なアクセス許可の詳細について説明します。
高度な権限 高度な RBAC 機能を使用して、組織のニーズに合わせて高度にカスタマイズされたアクセス許可モデルを作成します。