共有アクセス許可のExchange Serverを構成する

以前に組織を分割型アクセス許可に設定したことがなければ、この手順を実行する必要はありません。 Exchange Server 2016 および Exchange Server 2019 は、既定で共有アクセス許可用に構成されています。

共有アクセス許可を使用すると、Exchange 管理者は、ユーザーなどの Active Directory セキュリティ プリンシパルを作成し、Exchange 受信者として構成できます。 分割型アクセス許可の場合は、Exchange 管理者と Active Directory 管理者から成るグループどうしの間で管理タスクを分割するのに対し、共有アクセス許可の場合はタスクを分割しません。

共有アクセス許可と分割アクセス許可の詳細については、「Exchange Serverでのアクセス許可の分割」を参照してください。

以前に組織で分割アクセス許可を設定している場合は、Exchange 組織を共有アクセス許可用に構成できます。 共有型アクセス許可に切り替える手順は、現在、役割ベースのアクセス制御 (RBAC) 分割型アクセス許可を使用しているか、または Active Directory 分割型アクセス許可を使用しているかによって異なります。 現在の構成に合った手順を選択してください。 以下に該当する場合は、組織は Active Directory 分割型アクセス許可を使用しています。

• Microsoft Exchange Protected Group 組織単位 (OU) が存在します。

• Exchange Windows アクセス許可セキュリティ グループは、Microsoft Exchange 保護グループ OU にあります。

• Exchange Trusted Subsystem セキュリティ グループは、Exchange Windows アクセス許可セキュリティ グループのメンバーです。

• "Mail Recipient Creation/メール受信者の作成" 役割、または "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割への正規の管理役割の割り当てはありません。

管理役割グループ、管理役割、正規および委任の管理役割の割り当ての詳細については、以下のトピックを参照してください。

• 役割ベースのアクセス制御について

• 管理役割グループについて

• 管理の役割について

• 管理役割の割り当てについて

はじめに把握しておくべき情報

• 各手順の推定完了時間:5 分

• このトピックの手順には、特定のアクセス許可が必要です。 アクセス許可情報については、各手順を参照してください。

• 現在、Exchange 組織は RBAC または Active Directory の分割アクセス許可用に構成されている必要があります。

• 選択したアクセス許可モデルは、組織内のすべての Exchange 2010 以降のサーバーに適用されます。

• メール受信者の役割が割り当てられた役割グループ (組織の管理 管理役割グループなど) に、"Mail Recipient Creation/メール受信者の作成" 管理役割および "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 管理役割を委任するには、権限が必要です。

• ターゲット コンピューターに最新バージョンの Exchange をダウンロードするには、「Exchange Serverの更新」を参照してください。

• Exchange 管理シェル を開くには、「Open the Exchange Management Shell」を参照してください。

ヒント

問題が発生する場合 Exchange Serverフォーラムでヘルプを依頼してください。

RBAC 分割型アクセス許可から共有アクセス許可に切り替える

この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「ロール 管理のアクセス許可 」トピックの「役割グループ」エントリを参照してください。

RBAC 分割アクセス許可から Exchange 共有アクセス許可に切り替えるには、メール受信者の作成ロールとセキュリティ グループの作成とメンバーシップロールを、メール受信者ロールも割り当てられ、Exchange 管理者がメンバーである役割グループに割り当てる必要があります。 既定の共有アクセス許可構成では、これらの各役割は 組織の管理 役割グループに含まれています。 このため、この手順には 組織の管理 役割グループが含まれます。

共有アクセス許可を構成する

Organization Management ロール グループに対して共有アクセス許可を構成するには、メール受信者作成ロールとセキュリティ グループの作成およびメンバーシップ ロールのロール割り当てを委任するアクセス許可を持つアカウントを使用して、次の手順を実行します。

1. 次のコマンドを使用して、"Mail Recipient Creation/メールの受信者の作成" 役割と"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割に対する委任の役割の割り当てを 組織の管理 役割グループに追加します。

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management" -Delegating
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management" -Delegating
   

   注:

   New-ManagementRoleAssignment コマンドレットを実行して、"Mail Recipient Creation/メールの受信者の作成" 役割と"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割に対する委任の役割の割り当てを持つ役割グループ (この手順では、"Active Directory Administrators/Active Directory 管理者" 役割グループ) を、"Role Management/役割の管理" 役割に割り当てる必要があります。 "Role Management/役割の管理" 役割を委任可能な役割担当者は、その役割を "Active Directory Administrators/Active Directory 管理者" 役割グループに割り当てる必要があります。

2. 次のコマンドを使用して、"Mail Recipient Creation/メール受信者の作成" 役割に対する正規の役割の割り当てを 組織の管理 および Recipient Management 役割グループに追加します。

   New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Recipient Management"
   

3. 次のコマンドを使用して、"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割に対する正規の役割の割り当てを 組織の管理 役割グループに追加します。

    New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。

Active Directory 管理者のアクセス許可を削除する (省略可能)

Active Directory 管理者に Active Directory オブジェクトを作成または管理させないようにする場合、Exchange 管理ツールを使用して、管理者に付与されている権限を必要に応じて削除することができます。 Active Directory 管理者からアクセス許可を削除するには、この手順を実行します。

注:

Active Directory 管理者は、Exchange 管理ツールを使用して Active Directory オブジェクトを管理するためのアクセス許可を削除できますが、Active Directory 管理者は Active Directory のアクセス許可で許可されている場合、Active Directory 管理ツールを使用して Active Directory オブジェクトを引き続き管理できます。 ただし、Active Directory オブジェクトで Exchange 固有の属性を管理することはできません。 詳細については、「Exchange Serverでのアクセス許可の分割」を参照してください。

Active Directory 管理者から Exchange 関連の分割アクセス許可を削除するには、次の手順を実行します。

1. 次のコマンドを使用して、Active Directory 管理者がメンバーとして属す役割グループまたはユニバーサル セキュリティ グループ (USG) に "Mail Recipient Creation/メール受信者の作成" 役割を割り当てる、正規および委任の役割の割り当てを削除します。 このコマンドは、例として "Active Directory Administrators/Active Directory管理者" 役割グループを使用します。 WhatIf スイッチを使用すると、削除されるロールの割り当てを確認できます。 WhatIf スイッチを削除し、コマンドをもう一度実行してロールの割り当てを削除します。

   Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

2. 次のコマンドを使用して、Active Directory 管理者がメンバーとして属す役割グループまたは USG に "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割を割り当てる、正規および委任の役割の割り当てを削除します。 このコマンドは、例として "Active Directory Administrators/Active Directory管理者" 役割グループを使用します。 WhatIf スイッチを使用すると、削除されるロールの割り当てを確認できます。 WhatIf スイッチを削除し、コマンドをもう一度実行してロールの割り当てを削除します。

   Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -EQ "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
   

3. オプション。 Active Directory 管理者からすべての Exchange 権限を削除するには、管理者がメンバーとして属す役割グループまたは USG を削除する方法があります。 役割グループを削除する方法の詳細については、「役割グループの管理」を参照してください。

構文およびパラメーターの詳細については、「Get-ManagementRoleAssignment」または「Remove-ManagementRoleAssignment」を参照してください。

Active Directory 分割型アクセス許可から共有アクセス許可に切り替える

この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「ロール管理のアクセス許可」トピックの「Active Directory の分割 アクセス許可 」エントリを参照してください。

Active Directory の分割アクセス許可から Exchange 共有アクセス許可に切り替えるには、Exchange セットアップを再実行して Exchange 組織内の Active Directory 分割アクセス許可を無効にしてから、役割グループとメール受信者作成ロールとセキュリティ グループの作成とメンバーシップ ロールの間にロールの割り当てを作成する必要があります。 既定の共有アクセス許可構成では、これらの各役割は 組織の管理 役割グループに含まれています。 このため、この手順には 組織の管理 役割グループが含まれます。

重要

この手順の Setup.exe コマンドは、Active Directory に変更を加えます。 これらを変更するために必要なアクセス許可を持つアカウントを使用する必要があります。 このアカウントは、 New-ManagementRoleAssignment コマンドレットを使用して役割割り当てを作成するためのアクセス許可を持つアカウントと同じではない可能性があります。 この手順の各ステップを正常に完了するために必要なアクセス許可を持つアカウントを使用してください。

Active Directory の分割アクセス許可から共有アクセス許可に切り替えるには、次の手順を実行します。

1. ターゲット サーバーでエクスプローラー開き、ダウンロードした Exchange ISO イメージ ファイルを右クリックし、[マウント] を選択します。 割り当てられている仮想 DVD ドライブ文字をメモします。

2. Windows コマンド プロンプト ウィンドウを開きます。 以下に例を示します。

   • Windows キーを押しながら R キーを押して、[実行] ダイアログを開き、「cmd.exe」と入力します。その後、[OK] を押します。

   • [開始] を押します。 [検索] ボックスに「 Command Prompt」と入力し、その結果表示されるリストで [コマンド プロンプト] を選択します。

3. [コマンド プロンプト] ウィンドウで、次のコマンドを実行します。

注:

• 前の /IAcceptExchangeServerLicenseTerms スイッチは、Exchange Server 2016 および Exchange Server 2021 年 9 月 2021 年 9 月累積更新 (CU) 以降では機能しません。 無人およびスクリプトによるインストールには、/IAcceptExchangeServerLicenseTerms_DiagnosticDataON または /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF のいずれかを使用する必要があります。

• 以下の例では、/IAcceptExchangeServerLicenseTerms_DiagnosticDataON スイッチを使用しています。 スイッチを /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF に変更するのはあなた次第です。

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false

4. Exchange 管理シェルで、次のコマンドを実行して、メール受信者の作成ロールとセキュリティ グループの作成と管理ロールと組織の管理と受信者管理の役割グループの間に通常のロールの割り当てを追加します。

   New-ManagementRoleAssignment "Mail Recipient Creation_Organization Management" -Role "Mail Recipient Creation" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Security Group Creation and Membership_Org Management" -Role "Security Group Creation and Membership" -SecurityGroup "Organization Management"
   New-ManagementRoleAssignment "Mail Recipient Creation_Recipient Management" -Role "Mail Recipient Creation" -SecurityGroup "Recipient Management"
   

5. 組織内のすべての Exchange サーバーを再起動します。

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。