Exchange Online のロール割り当てポリシー
ロール割り当てポリシーは、ユーザーが Exchange Online でメールボックス設定と配布グループを管理できるようにする、1 つ以上のエンド ユーザー ロールのコレクションです。 エンド ユーザー ロールは、Exchange Online のロール ベースのアクセス制御 (RBAC) アクセス許可モデルの一部です。 Exchange Online で特定の自己管理機能を許可または禁止するために、異なるユーザーに異なるロール割り当てポリシーを割り当てることができます。
Exchange Online では、既定の役割の割り当てポリシーという名前の既定の役割の割り当てポリシーは、ユーザーのアカウントにライセンスが付与されたときにユーザーに割り当てられるメールボックス プランによって指定されます。 メールボックス プランの詳細については、「 Exchange Online のメールボックス プラン」を参照してください。
ロールの割り当てポリシーは、エンド ユーザー ロール (管理ロールではなく) を Exchange Online のユーザーに割り当てる方法です。 次の複数の方法で、役割の割り当てポリシーを使用してアクセス許可をユーザーに割り当てることができます。
新しいユーザー:
- 既定の役割の割り当てポリシーに割り当てるエンド ユーザーの役割を変更します。
- カスタムの役割の割り当てポリシーを作成し、そのポリシーを既定に設定します。 この方法は、ロール割り当てポリシーを指定したりライセンスを割り当てずに作成したメールボックスにのみ影響します (ライセンスはメールボックス プランを指定し、役割の割り当てポリシーを指定します)。
- メールボックス プランでカスタムの役割の割り当てポリシーを指定します。 詳細については、「 Exchange Online PowerShell を使用してメールボックス プランを変更する」を参照してください。
既存のユーザー:
- ユーザーに別のライセンスを割り当てます。 これにより、異なるメールボックス プランの設定が適用されます。これは、適用する役割の割り当てポリシーを指定します。
- メールボックスにカスタムの役割の割り当てポリシーを手動で割り当てます。
メールボックス プランに割り当てることができる使用可能なエンド ユーザー ロールについて、次の表で説明します。
役割 | 既定で既定のロール割り当てポリシーに割り当てられますか? | 説明 |
---|---|---|
自分のカスタム アプリ | はい | カスタム アプリをインストールします。 |
マイ マーケットプレース アプリ | はい | Marketplace アプリをインストールします。 |
自分の ReadWriteMailbox アプリ | はい | ReadWriteMailbox アクセス許可を持つアプリをインストールします。 |
MyBaseOptions | はい | ユーザーが自分のメールボックスから Outlook on the web のオプションにアクセスするために必要です。 |
MyContactInformation | はい | グローバル アドレス一覧 (GAL) でアドレスと電話番号を編集します。 このロールには、次の子ロールが含まれています。
このロールがユーザーに大きな力を与えると思う場合は、ロールの割り当てポリシーからロールを削除し、1 つ以上の子ロールを割り当てることができます。 手順については、このトピックの 「ロールの割り当てポリシーのロールの追加または削除 」セクションを参照してください。 |
MyDistributionGroupMembership | はい | 既存の配布グループに参加または脱退します (メンバーがグループに参加または脱退できるようにグループが構成されている場合)。 |
MyDistributionGroups | はい | 新しい配布グループを作成し、所有するグループを削除し、所有するグループを変更し、所有するグループのグループ メンバーシップを管理します。 |
MyMailboxDelegation | いいえ | ユーザーがメールボックス上の他のユーザーに対して、アクセス許可の代理として送信を許可できるようにします。 メッセージは、<Mailbox> の代わりに [差出人] フィールド (<Sender>) に送信者を明確に表示しますが、返信は送信者ではなくメールボックスに配信されます。 |
MyMailSubscriptions | はい | 接続されたアカウントは、2018 年 11 月に Outlook on the web から削除されました。 詳細については、「 Outlook on the web で接続済みアカウントがサポートされなくなった」を参照してください。 |
MyProfileInformation | はい | GAL で、名、ミドル イニシャル、姓、表示名を編集します。 このロールには、次の子ロールが含まれています。
このロールがユーザーに大きな力を与えると思う場合は、ロールの割り当てポリシーからロールを削除し、子ロールの 1 つを割り当てることができます。 手順については、このトピックの 「ロールの割り当てポリシーのロールの追加または削除 」セクションを参照してください。 |
MyRetentionPolicies | はい | ユーザーは、割り当てられたアイテム保持ポリシーの一部ではない個人用タグを追加できます。* |
MyTeamMailboxes | はい | サイト メールボックスは、2017 年 9 月に Microsoft 365 グループに優先して廃止されました。 詳細については、「 サイト メールボックスの代わりに Microsoft 365 グループを使用する」を参照してください。 |
MyTextMessaging | はい | 会議と新しいメール メッセージのテキスト メッセージ通知を有効にします。* |
MyVoiceMail | はい | ボイス メールの設定を更新します。* |
*この機能は、すべてのリージョンまたは組織で使用できるわけではありません。
はじめに把握しておくべき情報
各手順の推定完了時間: 5 分未満
このトピックの手順では、Exchange Online のロール管理 RBAC ロールが必要です。 通常、このアクセス許可は、Organization Management ロール グループのメンバーシップを介して取得します。 詳細については、「Exchange Online で役割グループを管理する」を参照してください。
Exchange 管理センター (EAC) を開くには、「Exchange Online での Exchange 管理センター」を参照してください。 Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
アクセス許可の変更は、ユーザーがログアウトして再度ログインした後に有効になります。
ロール割り当てポリシーに割り当てられたロールを表示する
EAC を使用して、ロール割り当てポリシーに割り当てられたロールを表示する
EAC で、[ロール] >[ロールの管理] をクリックします。 組織の役割グループのすべてが一覧表示されます。
役割グループを選択します。 詳細ウィンドウには 、名前、 説明が表示され、役割グループのアクセス許可が追加されます。
Exchange Online PowerShell を使用して、ロール割り当てポリシーに割り当てられているロールを表示する
ロール割り当てポリシーに割り当てられているロールを表示するには、次の構文を使用します。
Get-ManagementRoleAssignment -RoleAssignee "<RoleAssignmentPolicyName>" | Format-Table Name,Role -Auto
次の使用例は、既定のロール割り当てポリシーという名前のポリシーに割り当てられているロールを返します。
Get-ManagementRoleAssignment -RoleAssignee "Default Role Assignment Policy" | Format-Table Name,Role -Auto
構文およびパラメーターの詳細については、「Get-ManagementRoleAssignment」を参照してください。
注: 使用可能なすべてのエンド ユーザー ロールの一覧を返すには、次のコマンドを実行します。
Get-ManagementRole | Where {$_.IsEndUserRole -eq $true} | Format-Table Name,Parent
ロールの割り当てポリシーに対するロールの追加または削除
EAC を使用してロールの割り当てポリシーにロールを追加または削除する
EAC で、[ロール] > [ユーザー ロール] をクリックし、ロールの割り当てポリシーを選択し、[編集] ボタンをクリック。
開いたポリシーのプロパティウィンドウで、次のいずれかの手順を実行します。
ロールを追加するには、ロールの横にあるチェック ボックスをオンにします。
既に割り当てられているロールを削除するには、チェック ボックスをオフにします。
子役割を持つ役割のチェック ボックスをオンにすると、子役割のチェック ボックスもオンになります。 親ロールのチェック ボックスをオフにすると、子ロールのチェック ボックスもオフになります。 子ロールを選択するには、親ロールのチェック ボックスをオフにしてから、個々の子ロールを選択します。
完了したら、[保存] をクリックします。
Exchange Online PowerShell を使用してロールの割り当てポリシーにロールを追加する
ロール割り当てポリシーにロールを追加すると、ロールの名前とロール割り当てポリシーの組み合わせである一意の名前を持つ新しいロールの割り当てが作成されます。
ロール割り当てポリシーにロールを追加するには、次の構文を使用します。
New-ManagementRoleAssignment -Role <RoleName> -Policy "<RoleAssignmentPolicyName>"
次の使用例は、ロール MyMailboxDelegation を既定のロール割り当てポリシーという名前のロール割り当てポリシーに追加します。
New-ManagementRoleAssignment -Role MyMailboxDelegation -Policy "Default Role Assignment Policy"
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
Exchange Online PowerShell を使用してロール割り当てポリシーからロールを削除する
このトピックの前の「 Exchange Online PowerShell を使用してロール割り当てポリシーに割り当てられたロールを表示 する」セクションの手順を使用して、削除する ロールのロール割り当ての 名前 (ロールの名前とロール割り当てポリシーの組み合わせ) を見つけます。
ロール割り当てポリシーからロールを削除するには、次の構文を使用します。
Remove-ManagementRoleAssignment -Identity "<RoleAssignmentName>"
この例では、既定のロール割り当てポリシーという名前のロール割り当てポリシーから MyDistributionGroups ロールを削除します。
Remove-ManagementRoleAssignment -Identity "MyDistributionGroups-Default Role Assignment Policy"
構文およびパラメーターの詳細については、「Remove-ManagementRoleAssignment」を参照してください。
ロールの割り当てポリシーを作成する
EAC を使用してロールの割り当てポリシーを作成する
EAC で、[ロール] >[ロールの管理] の順に移動し、[役割グループの追加] をクリックします。
[ 役割グループの追加 ] ウィンドウで、[ 基本の設定 ] セクションをクリックし、次の設定を構成し、[ 次へ] をクリックします。
[名前]: 役割グループの一意の名前を入力します。
説明: 役割グループの説明 (省略可能) を入力します。
ポリシーに割り当てる役割を選択します。
[ アクセス許可の追加] セクションで、ロールを選択し、[ 次へ] をクリックします。 ロールは、このロール グループに割り当てられたメンバーが管理するアクセス許可を持つタスクのスコープを定義します。
[ 管理者の割り当て ] セクションで、この役割グループに割り当てるユーザーを選択し、[ 次へ] をクリックします。 割り当てたロールを管理するためのアクセス許可が付与されます。
[ 役割グループと完了の確認 ] セクションで、すべての詳細を確認し、[ 役割グループの追加] をクリックします。
[完了] をクリックします。
Exchange Online PowerShell を使用してロールの割り当てポリシーを作成する
ロール割り当てポリシーを作成するには、次の構文を使用します。
New-RoleAssignmentPolicy -Name <UniqueName> [-Description "<Descriptive Text>"] [-Roles "<EndUserRole1>","<EndUserRole2>"...] [-IsDefault]
この例では、指定されたエンド ユーザー ロールを含む Contoso Contractors という名前の新しいロール割り当てポリシーを作成します。
New-RoleAssignmentPolicy -Name "Contoso Contractors" -Description "Limited self-management capabilities for contingent staff."] -Roles "MyBaseOptions","MyContactInformation","MyProfileInformation"
構文およびパラメーターの詳細については、「New-RoleAssignmentPolicy」を参照してください。
ロールの割り当てポリシーを変更する
EAC または Exchange PowerShell を使用して、 ロール割り当てポリシーのロールを追加または削除できます。
Exchange Online PowerShell を使用して、ライセンスまたは ロール割り当てポリシー が割り当てられない新しいメールボックスに適用される既定のロール割り当てポリシーを指定する場合にのみ使用できます。
それ以外の場合は、EAC または Exchange Online PowerShell で実行できる操作は、ロール割り当てポリシーの名前と説明を変更することだけです。
Exchange Online PowerShell を使用して既定のロール割り当てポリシーを指定する
既定のロール割り当てポリシーを指定するには、次の構文を使用します。
Set-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>" -IsDefault
この例では、Contoso Users を既定のロール割り当てポリシーとして構成します。
Set-RoleAssignmentPolicy -Identity "Contoso Users" -IsDefault
注: IsDefault スイッチは、 New-RoleAssignmentPolicy コマンドレットでも使用できます。
構文およびパラメーターの詳細については、「Set-RoleAssignmentPolicy」を参照してください。
ロールの割り当てポリシーを削除する
現在、既定として指定されている役割の割り当てポリシーを削除することはできません。 ポリシーを削除する前に、最初に 別のロール割り当てポリシーを既定値として指定 する必要があります。
メールボックスに割り当てられている役割の割り当てポリシーを削除できません。 「 Exchange Online PowerShell を使用してメールボックスの役割割り当てポリシーの割り当てを変更する 」セクションで説明されている手順を使用して、メールボックスに割り当てられている役割の割り当てポリシーを置き換えます。
EAC を使用してロールの割り当てポリシーを削除する
EAC で、[ ロール>管理者ロール] に移動します。
役割グループを選択し、[ 削除] をクリックします。
確認ウィンドウで [ 確認 ] をクリックします。
Exchange Online PowerShell を使用してロールの割り当てポリシーを削除する
ロール割り当てポリシーを削除するには、次の構文を使用します。
Remove-RoleAssignmentPolicy -Identity "<RoleAssignmentPolicyName>"
この例では、Contoso Managers という名前のロール割り当てポリシーを削除します。
Remove-RoleAssignmentPolicy -Identity "Contoso Managers"
構文およびパラメーターの詳細については、「Remove-RoleAssignmentPolicy」を参照してください。
メールボックスのロール割り当てポリシーの割り当てを表示する
EAC を使用してメールボックスのロール割り当てポリシーの割り当てを表示する
EAC で、[受信者>Mailboxes] に移動し、メールボックスを選択し、[編集] ボタンをクリック。
開いたメールボックスのプロパティ ウィンドウで、[ メールボックスの機能] をクリックします。 [ロールの割り当てポリシー] フィールドに 、ロールの割り当てポリシー が表示されます。
完了したら、[保存] をクリックします。
Exchange Online PowerShell を使用してメールボックスのロール割り当てポリシーの割り当てを表示する
特定のメールボックスでロール割り当てポリシーの割り当てを確認するには、次の構文を使用します。
Get-Mailbox -Identity <MailboxIdentity> | Format-List RoleAssignmentPolicy
この例では、Pedro Pizarro という名前のメールボックスのロール割り当てポリシーを返します。
Get-Mailbox -Identity "Pedro Pizarro" | Format-List RoleAssignmentPolicy
特定のロール割り当てポリシーが割り当てられているすべてのメールボックスを返すには、次の構文を使用します。
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<RoleAssignmentPolicyName>'}
この例では、Contoso Managers という名前のロール割り当てポリシーが割り当てられているすべてのメールボックスを返します。
$Mgrs = Get-Mailbox -ResultSize unlimited
$Mgrs | where {$_.RoleAssignmentPolicy -eq 'Contoso Managers'}
メールボックスのロール割り当てポリシーの割り当てを変更する
メールボックスは役割の割り当てポリシーを 1 つだけ割り当てることができます。 メールボックスに割り当てるロール割り当てポリシーは、割り当てられている既存のロール割り当てポリシーに置き換えられます。
EAC を使用してメールボックスのロール割り当てポリシーの割り当てを変更する
EAC で[ 受信者>Mailboxes] をクリックし、次のいずれかの手順を実行します。
個々のメールボックス: [編集] をクリック>メールボックスを選択します。>開くウィンドウで [メールボックスの機能] をクリック>、[役割の割り当てポリシー] の横にあるドロップダウンをクリック>新しい役割の割り当てポリシーを選択>[保存] をクリックします。
複数のメールボックス: 同じ種類の複数のメールボックス ( ユーザーなど) を選択するには、メールボックスを選択し、Shift キーを押しながら、一覧のさらに下にある別のメールボックスを選択するか、Ctrl キーを押しながら各メールボックスを選択します。 詳細ウィンドウ ([一括編集] というタイトルになりました): [その他のオプション] をクリック> [更新] をクリックします。 [ ロールの割り当てポリシー ] セクションで、表示されるウィンドウでロールの割り当てポリシーを選択 > 、[保存] をクリック します。
Exchange Online PowerShell を使用してメールボックスのロール割り当てポリシーの割り当てを変更する
特定のメールボックスのロール割り当てポリシーの割り当てを変更するには、次の構文を使用します。
Set-Mailbox -Identity <MailboxIdentity> -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
この例では、Contoso Managers という名前のロール割り当てポリシーを Pedro Pizarro という名前のメールボックスに適用します。
Get-Mailbox -Identity "Pedro Pizarro" -RoleAssignmentPolicy "<RoleAssignmentPolicyName>"
特定の役割の割り当てポリシーが割り当てられているすべてのメールボックスの割り当てを変更するには、次の構文を使用します。
$<VariableName> = Get-Mailbox -ResultSize unlimited
$<VariableName> | where {$_.RoleAssignmentPolicy -eq '<CurrentRoleAssignmentPolicyName>'} | Set-Mailbox -RoleAssignmentPolicy '<NewRoleAssignmentPolicyName>'
この例では、既定のロール割り当てポリシーが現在割り当てられているすべてのメールボックスについて、ロールの割り当てポリシーを既定のロール割り当てポリシーから Contoso Staff に変更します。
$Users = Get-Mailbox -ResultSize unlimited
$Users | where {$_.RoleAssignmentPolicy -eq 'Default Role Assignment Policy'} | Set-Mailbox -RoleAssignmentPolicy 'Contoso Staff'