スタンドアロン EOP のアクセス許可
Exchange Online メールボックスを使用しないスタンドアロン Exchange Online Protection (EOP) organizationは、ロールベースのAccess Control (RBAC) アクセス許可モデルを使用して、管理者にアクセス許可を簡単に付与します。 スタンドアロン EOP のアクセス許可機能を使用して、新しいorganizationをすばやく起動して実行できます。
ユーザーにアクセス許可を付与するには、「 EOP で管理者ロール グループを管理する」を参照してください。
Microsoft 365 全体のアクセス許可の詳細については、「 管理者ロールについて」を参照してください。
役割に基づくアクセス許可
ユーザーに付与する管理者アクセス許可は、管理ロールに基づいています。 管理ロールは、特定のタスクのセットで使用できるコマンドレットを定義します。 Exchange 管理センター (EAC) とスタンドアロン EOP PowerShell の両方でコマンドレットが使用されます。 そのため、コマンドレットへのアクセスを許可すると、EAC またはスタンドアロン EOP PowerShell でタスクを実行するアクセス許可がユーザーに付与されます。 たとえば、メール受信者ロールは、メール ユーザーを変更するために必要なコマンドレットを定義します。
役割グループ
ユーザーにロールを割り当てやすくするために、スタンドアロン EOP ではロール グループが使用されます。 管理ロールはロール グループに割り当てられ、ロール グループのメンバーはロールに関連付けられているアクセス許可を取得します。 つまり、管理ロールはユーザーに直接割り当てられません。ロール グループに割り当てられます。 このモデルを使用すると、多数のロール グループ メンバーに一度に多数のロールを割り当てることができます。 ロール グループのメンバーには、メール ユーザー、メールが有効なセキュリティ グループ、Microsoft 365 管理センターのユーザー、およびその他の役割グループを指定できます。
次の図はユーザー、役割グループ、および役割の間の関係を示しています。
スタンドアロン EOP で使用できるロール グループについて、次の表で説明します。
| 役割グループ | 説明 | 既定のロールが割り当てられている |
|---|---|---|
| 通信コンプライアンス | この役割グループは使用できますが、スタンドアロン EOP では役に立ちません。 | コミュニケーション コンプライアンスの管理者 コミュニケーション コンプライアンスの調査 |
| コミュニケーション コンプライアンス管理者 | この役割グループは使用できますが、スタンドアロン EOP では役に立ちません。 | コミュニケーション コンプライアンスの管理者 |
| コンプライアンス管理者 | デバイス管理、データ損失防止、レポート、および保存の設定を管理します。 | コミュニケーション コンプライアンスの管理者 インサイダーリスク管理管理 |
| コンプライアンス管理 | サブスクリプションに DLP 機能がある場合は、データ損失防止 (DLP) など、organization内でコンプライアンス設定を構成および管理します。 Microsoft Entra IDのコンプライアンス管理者ロールのメンバーは、この役割グループのアクセス許可を自動的に取得します。 |
監査ログ コンプライアンス 管理 データ損失防止 Information Rights Management ジャーナリング "Message Tracking/メッセージ追跡" 保持管理 トランスポート ルール 表示専用の監査ログ "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
| 検出の管理 | は、Exchange organization内のメールボックスの検索を実行して、特定の条件を満たすデータを検索します。 | "Legal Hold/法的情報保留" "Mailbox Search/メールボックス検索" |
| ヘルプ デスク | メール ユーザーを表示および管理します。 | パスワードのリセット ユーザー オプション "View-Only Recipients/表示専用受信者" |
| 検疫管理 | 保護機能 (スパム対策、マルウェア対策など) を管理します。 | 輸送衛生 "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
| 情報保護 | 秘密度ラベルとそのポリシー、DLP、すべての分類子の種類、アクティビティとコンテンツ エクスプローラー、およびすべての関連レポートを含むすべての情報保護機能を完全に制御します。 | Information Protection 管理者 Information Protection 調査員 Information Protection 閲覧者 |
| Information Protection レベル | この役割グループは使用できますが、スタンドアロン EOP では役に立ちません。 | Information Protection 管理者 |
| Information Protection アナリスト | この役割グループは使用できますが、スタンドアロン EOP では役に立ちません。 | なし |
| Information Protection 調査担当者 | 統合監査ログを検索する | Information Protection 調査員 |
| Information Protection 閲覧者 | 統合監査ログを検索し、[メール トラフィック] レポートと [メール トラフィックの概要] レポートを表示します。 | Information Protection 閲覧者 |
| インサイダー リスクの管理 | Insider リスク管理のアクセス制御を管理します。 | インサイダーリスク管理管理 インサイダー リスク管理の調査 |
| Insider Risk Management 管理者 | この役割グループは使用できますが、スタンドアロン EOP では役に立ちません。 | インサイダーリスク管理管理 |
| インサイダー リスク管理調査担当者。 | この役割グループは使用できますが、スタンドアロン EOP では役に立ちません。 | インサイダー リスク管理の調査 |
| 組織の管理 | 管理organization全体にアクセスでき、ほぼすべてのタスクを実行できます。 Microsoft Entra IDのグローバル管理者ロールのメンバーは、このロール グループのアクセス許可を自動的に取得します。 重要: Organization Management 役割グループは強力なロールであるため、組織レベルの管理タスクを実行するユーザーのみがこの役割グループのメンバーである必要があります。 |
監査ログ コミュニケーション コンプライアンスの管理者 コミュニケーション コンプライアンスの調査 コンプライアンス 管理 データ損失防止 動的配布グループ 電子メール アドレス ポリシー フェデレーションの共有 Information Protection 管理者 Information Protection 調査員 Information Protection 閲覧者 Information Rights Management インサイダーリスク管理管理 インサイダー リスク管理の調査 ジャーナリング "Legal Hold/法的情報保留" "Mail Enabled Public Folders/メールが有効なパブリック フォルダー" "Mail Recipient Creation/メール受信者の作成" Mail Recipients メールのヒント "Message Tracking/メッセージ追跡" "Migration/移行" "Move Mailboxes/メールボックスの移動" 組織カスタム アプリ 組織マーケットプレース アプリ 組織のクライアント アクセス 組織の構成 組織のトランスポート設定 プライバシー管理の管理 プライバシー管理の調査 パブリック フォルダー "Recipient Policies/受信者ポリシー" リモートドメインと承認済みドメイン パスワードのリセット 保持管理 ロール管理 セキュリティ管理者 セキュリティ グループの作成とメンバーシップ セキュリティ閲覧者 TenantPlacesManagement 輸送衛生 トランスポート ルール ユーザー オプション 表示専用の監査ログ "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
| プライバシー管理 | この役割グループは使用できますが、スタンドアロン EOP では役に立ちません。 | プライバシー管理の管理 プライバシー管理の調査 |
| プライバシー管理管理者 | この役割グループは使用できますが、スタンドアロン EOP では役に立ちません。 | プライバシー管理の管理 |
| プライバシー管理調査員 | この役割グループは使用できますが、スタンドアロン EOP では役に立ちません。 | プライバシー管理の調査 |
| Recipient Management | organizationで受信者オブジェクトを作成、管理、削除します。 | 動的配布グループ "Mail Recipient Creation/メール受信者の作成" Mail Recipients "Message Tracking/メッセージ追跡" "Migration/移行" "Move Mailboxes/メールボックスの移動" "Recipient Policies/受信者ポリシー" パスワードのリセット |
| レコード管理 | アイテム保持ポリシー タグ、メッセージ分類、メール フロー ルール (トランスポート ルールとも呼ばれます) などのコンプライアンス機能を構成します。 | 監査ログ ジャーナリング "Message Tracking/メッセージ追跡" 保持管理 トランスポート ルール |
| RIM-MailboxAdmins<GUID> | 不使用 | ApplicationImpersonation |
| セキュリティ管理者 | organizationの保護のすべての側面 (スパム対策、マルウェア対策、なりすまし対策、検疫など) を構成します。 Microsoft Entra IDのセキュリティ管理者ロールのメンバーは、このロール グループのアクセス許可を自動的に取得します。 |
セキュリティ管理者 SensitivityLabelAdministrator |
| セキュリティ オペレーター | セキュリティ アラートを管理し、セキュリティ機能のレポートと設定も表示します。 Microsoft Entra IDの Security Operator ロールのメンバーは、このロール グループのアクセス許可を自動的に取得します。 |
テナント AllowBlockList Manager |
| SecurityReader | organizationの保護のすべての側面 (スパム対策、マルウェア対策、なりすまし対策、検疫など) への表示専用アクセス。 Microsoft Entra IDのセキュリティ閲覧者ロールのメンバーは、このロール グループのアクセス許可を自動的に取得します。 |
セキュリティ閲覧者 |
| <TenantAdmins_Number> | この役割グループ内のメンバーシップはサービス間で同期され、全体管理されます。 この役割グループにはロールは割り当てられませんが、組織管理役割グループのメンバーであり、それらのアクセス許可を継承します。 | なし |
| View-Only Organization Management | organizationで受信者、保護、および構成オブジェクトとそのプロパティを表示します。 | "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
小規模なorganizationで作業する場合は、組織管理役割グループのみを使用できます。 特定のタスク (受信者の構成のみなど) を担当する管理者を持つ大規模な組織では、受信者管理役割グループを使用することもできます。 管理者は、責任を負わない領域で、アクセス許可なしで特定の領域を管理できます。
Exchange Onlineの組み込みロール グループが管理者のジョブ機能と一致しない場合は、ロール グループを作成してロールを追加できます。 詳細については、「 スタンドアロン EOP で役割グループを管理する」を参照してください。
役割
スタンドアロン EOP で使用できる組み込みロールについて、次の表で説明します。
| 役割 | 説明 | 既定の役割グループの割り当て |
|---|---|---|
| "Address Lists/アドレス一覧" | 管理者は、organizationでアドレス一覧、グローバル アドレス一覧、オフライン アドレス一覧を管理できます。 | なし |
| 監査ログ | 管理者監査ログを検索し、結果を表示します。 | コンプライアンス管理 組織の管理 レコード管理 |
| コミュニケーション コンプライアンスの管理者 | このロールは使用できますが、スタンドアロン EOP では役に立ちません。 | 通信コンプライアンス コミュニケーション コンプライアンス管理者 コンプライアンス管理者 組織の管理 |
| コミュニケーション コンプライアンスの調査 | このロールは使用できますが、スタンドアロン EOP では役に立ちません。 | 組織の管理 |
| コンプライアンス 管理 | コンプライアンス機能の設定とレポートを表示および編集できます。 | コンプライアンス管理 組織の管理 |
| データ損失防止 | 管理者がorganizationでデータ損失防止 (DLP) 設定を管理できるようにします。 | コンプライアンス管理 組織の管理 |
| 動的配布グループ | すべての配布グループ、メールが有効なセキュリティ グループ、およびメンバーを作成して管理します。 | 組織の管理 Recipient Management |
| 電子メール アドレス ポリシー | 管理者がorganizationでメール アドレス ポリシーを管理できるようにします。 | 組織の管理 |
| フェデレーションの共有 | 管理者がフォレスト間およびクロスorganization共有をorganizationで管理できるようにします。 | 組織の管理 |
| Information Protection 管理者 | このロールは使用できますが、スタンドアロン EOP では役に立ちません。 | 情報保護 Information Protection レベル 組織の管理 |
| Information Protection 調査員 | 統合監査ログを検索します。 | 情報保護 Information Protection 調査担当者 組織の管理 |
| Information Protection 閲覧者 | 統合監査ログを検索し、[メール トラフィック] レポートと [メール トラフィックの概要] レポートを表示します。 | 情報保護 Information Protection 閲覧者 組織の管理 |
| Information Rights Management | Organizationで Exchange の Information Rights Management (IRM) 機能を管理します。 | コンプライアンス管理 組織の管理 |
| インサイダーリスク管理管理 | このロールは使用できますが、スタンドアロン EOP では役に立ちません。 | コンプライアンス管理者 インサイダー リスクの管理 Insider Risk Management 管理者 組織の管理 |
| インサイダー リスク管理の調査 | このロールは使用できますが、スタンドアロン EOP では役に立ちません。 | インサイダー リスクの管理 インサイダー リスク管理調査担当者。 組織の管理 |
| ジャーナリング | 管理者がorganizationでジャーナリング構成を管理できるようにします。 | コンプライアンス管理 組織の管理 レコード管理 |
| "Legal Hold/法的情報保留" | 管理者は、メールボックス内のデータをorganizationの訴訟目的で保持するかどうかを構成できます。 | 検出の管理 組織の管理 |
| "Mail Enabled Public Folders/メールが有効なパブリック フォルダー" | 管理者は、organizationで個々のパブリック フォルダーをメールが有効にするか、メールが無効にするかを構成できます。 | 組織の管理 |
| "Mail Recipient Creation/メール受信者の作成" | メール ユーザーとメール連絡先を作成および削除します。 | 組織の管理 Recipient Management |
| Mail Recipients | 既存のメール ユーザーとメール連絡先を変更します。 | 組織の管理 Recipient Management |
| メールのヒント | 管理者がorganizationでメール ヒント設定を管理できるようにします。 | 組織の管理 |
| メールボックスインポートエクスポート | 管理者がメールボックスのコンテンツをインポートおよびエクスポートできるようにします。 | 組織の管理 |
| "Mailbox Search/メールボックス検索" | 管理者は、organization内の 1 つ以上のメールボックスのコンテンツを検索できます。 | 検出の管理 |
| メッセージ追跡 | 管理者がorganization内のメッセージを追跡できるようにします。 | コンプライアンス管理 組織の管理 Recipient Management Records Management |
| 移行 | 管理者がメールボックスとメールボックスのコンテンツをorganizationに移行したり、organizationから移行したりできます。 | 組織の管理 Recipient Management |
| "Move Mailboxes/メールボックスの移動" | 管理者がメールボックスを移動できるようにします。 | 組織の管理 Recipient Management |
| 組織のクライアント アクセス | 管理者がorganizationでクライアント アクセス設定を管理できるようにします。 | 組織の管理 |
| 組織の構成 | 管理者がorganization全体の設定を管理できるようにします。 | 組織の管理 |
| 組織のトランスポート設定 | 管理者は、ハイブリッドおよびorganization全体のメール トランスポート設定を管理できます。 | 組織の管理 |
| プライバシー管理の管理 | このロールは使用できますが、スタンドアロン EOP では役に立ちません。 | 組織の管理 プライバシー管理 プライバシー管理管理者 |
| プライバシー管理の調査 | このロールは使用できますが、スタンドアロン EOP では役に立ちません。 | 組織の管理 プライバシー管理 プライバシー管理調査員 |
| パブリック フォルダー | 管理者がorganizationのパブリック フォルダーを管理できるようにします。 | 組織の管理 |
| "Recipient Policies/受信者ポリシー" | 管理者は、organizationで受信者ポリシー (認証ポリシー、データ暗号化ポリシーモバイル デバイス メールボックス ポリシー、Outlook on the webメールボックス ポリシー) を管理できるようにします。 | 組織の管理 Recipient Management |
| リモートドメインと承認済みドメイン | リモート ドメイン、承認済みドメイン、コネクタを管理します。 | 組織の管理 |
| パスワードのリセット | 管理者が会議室メールボックスのパスワードを設定できるようにします。 | ヘルプ デスク 組織の管理 Recipient Management |
| 保持管理 | ユーザーがアイテム保持ポリシーを管理できるようにします。 | コンプライアンス管理 組織の管理 レコード管理 |
| ロール管理 | 管理者は、organizationで管理役割グループ、ロール割り当てポリシー、管理ロール、ロール エントリ、割り当て、スコープを管理できます。 | 組織の管理 |
| セキュリティ管理者 | すべてのセキュリティと保護機能の構成とレポートを管理します。 | 組織の管理 セキュリティ管理者 |
| セキュリティ グループの作成とメンバーシップ | メールが有効なセキュリティ グループを作成および管理します。 | 組織の管理 |
| セキュリティ閲覧者 | セキュリティと保護機能の構成とレポートを表示します。 | 組織の管理 セキュリティ閲覧者 |
| SensitivityLabelAdministrator | ユーザーが秘密度ラベルのプロパティを編集できるようにします。 | 組織の管理 セキュリティ管理者 |
| テナント AllowBlockList Manager | ユーザーがテナントの許可/ブロックリストを管理できるようにします。 | 組織の管理 セキュリティ オペレーター |
| TenantPlacesManagement | このロールは使用できますが、スタンドアロン EOP では役に立ちません。 | 組織の管理 |
| 輸送衛生 | マルウェア対策、スパム対策機能、なりすまし対策機能を管理します。 | 検疫管理 組織の管理 |
| トランスポート ルール | メール フロー ルール (トランスポート ルールとも呼ばれます) を作成および管理します。 | コンプライアンス管理 組織の管理 レコード管理 |
| ユーザー オプション | 管理者は、organization内のユーザーのOutlook on the webオプションを表示できます。 | ヘルプ デスク 組織の管理 |
| 表示専用の監査ログ | 管理者監査ログを検索し、結果を表示します。 | コンプライアンス管理 組織の管理 |
| "View-Only Configuration/表示専用構成" | organizationのすべてのorganizationとメール フロー (受信者以外) の設定を表示します。 | コンプライアンス管理 検疫管理 組織の管理 View-Only Organization Management |
| "View-Only Recipients/表示専用受信者" | 受信者のプロパティを表示し、メッセージ トレースを実行します。 | コンプライアンス管理 ヘルプ デスク 検疫管理 組織の管理 View-Only Organization Management |
注:
- プレフィックス 'My' で始まるロール名 (MyContactInformation など) はエンド ユーザー ロールです。 エンド ユーザー ロールは、ロール割り当てポリシーのユーザーに割り当てられます。これにより、ユーザーは自分が所有するオブジェクト (自分が作成したアカウントや配布グループなど) で操作できます。 詳細については、「Exchange Onlineでのロールの割り当てポリシー」を参照してください。
- 'Application' で始まるロール名は、Exchange Onlineのアプリケーションの RBAC の一部です。 詳細については、「Exchange Onlineのアプリケーションのロール ベースのAccess Control」を参照してください。
スタンドアロン EOP での Microsoft 365 アクセス許可
Microsoft 365 管理センターでユーザーを作成するときに、さまざまなMicrosoft Entraロール (グローバル管理者、Exchange 管理者、グローバル リーダーなど) をユーザーに割り当てるかどうかを選択できます。 Microsoft Entraロールのほとんどは、EOP の管理アクセス許可をユーザーに付与します。
注:
スタンドアロン EOP organizationの作成に使用したアカウントは、グローバル管理者ロールに自動的に割り当てられます。
次の表に、Microsoft Entraロールと、対応するスタンドアロン EOP ロール グループを示します。 これらのロールの詳細については、「 管理者ロールについて」を参照してください。
| Microsoft Entraロール | EOP ロール グループ |
|---|---|
| グローバル管理者 | 組織の管理 注: グローバル管理者ロールと組織管理役割グループは、特別な会社管理者役割グループを使用して結び付けられます。 会社管理者ロール グループは内部的に管理され、直接変更することはできません。 |
| Exchange 管理者 | 組織の管理 |
| グローバル閲覧者 | ViewOnlyOrganization Management |
| ヘルプデスク管理者 | ヘルプ デスク |
| サービス サポート管理者 | なし |
| SharePoint 管理者 | なし |
| Teams 管理者 | なし |
| ユーザー管理者 | Recipient Management |
| ユーザー エクスペリエンス サクセス Åマネージャー | なし |
ユーザーを EOP ロール グループのメンバーとして追加することで、ユーザーをMicrosoft Entraロールに追加することなく、EOP で管理者権限を付与できます。 ユーザーは EOP でアクセス許可を取得しますが、他の Microsoft 365 ワークロードではアクセス許可を取得しません。 手順については、「 EAC を使用して役割グループを管理する」を参照してください。