管理役割の割り当てについて

製品: Exchange Server 2013

Microsoft Exchange Server 2013 のロール ベースのAccess Control (RBAC) アクセス許可モデルの一部である管理ロールの 割り当ては、管理ロールとロール担当者の間のリンクです。 ロール担当者 は、役割グループ、ロール割り当てポリシー、ユーザー、またはユニバーサル セキュリティ グループ (USG) です。 役割を有効にするには、役割を被割り当て者に割り当てる必要があります。 RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。

このトピックでは、ロール グループとロール割り当てポリシーへのロールの割り当てと、ユーザーと USG への直接ロールの割り当てについて説明します。 ロール グループまたはロール割り当てポリシーのユーザーへの割り当てについては説明しません。 ユーザーにアクセス許可を割り当てる方法として推奨されるロール グループとロール割り当てポリシーの詳細については、次のトピックを参照してください。

次の役割の割り当ての種類を作成できます。この役割の割り当ての種類については、後で詳しく説明します。

  • Regular and delegating role assignments

  • Exclusive role assignments

役割割り当ての管理

役割の割り当てを変更する場合、その変更はおそらく役割グループと役割割り当てポリシーのどちらかになります。 これらの役割の被割り当て者に役割の割り当てを追加、削除、または変更することで、管理者とユーザーにどのアクセス許可を与えるかを制御できます (実際には関連する機能の管理をオンまたはオフにします)。

ユーザーまたは USG にロールを直接割り当てることもできます。 これは、ユーザーに与えられるアクセス許可を詳細なレベルで定義できる、より高度なタスクです。 これにより柔軟性が得られますが、アクセス許可モデルの複雑さも増します。 たとえば、ユーザーがジョブを変更した場合、そのユーザーに割り当てられているロールを別のユーザーに手動で再割り当てすることが必要になる場合があります。 そのため、ロール グループとロール割り当てポリシーを使用して、ユーザーにアクセス許可を付与することをお勧めします。 ロール グループまたはロール割り当てポリシーにロールを割り当て、ロール グループのメンバーを追加または削除するか、必要に応じてロールの割り当てポリシーを変更することができます。

ロールの割り当てを追加、削除、および有効にしたり、既存のロール割り当ての管理スコープを変更したり、ロールの割り当てを他のロール担当者に移動することができます。 ロール グループ、ロール割り当てポリシー、ユーザー、および USG にロールを割り当てるプロセスは、ロール担当者ごとにほぼ同じです。 例外は次のとおりです。

  • 役割割り当てポリシーは、エンドユーザー管理役割にしか割り当てることができません。

  • 役割割り当てポリシーは、委任の役割割り当てに割り当てることはできません。

  • 役割割り当てポリシーに役割の割り当てを作成する場合、管理スコープを指定することはできません。

役割の割り当ての管理の詳細については、以下のトピックを参照してください。

Regular and delegating role assignments

正規の役割の割り当てを使用すると、役割の被割り当て者は、関連付けられている管理役割によって利用可能になる管理役割エントリにアクセスできます。 役割の被割り当て者に複数の管理役割が割り当てられると、各管理役割からの管理役割エントリが集約され適用されます。 つまり、役割の担当者にトランスポート ルールと履歴管理ロールが割り当てられている場合、ロールが結合され、関連するすべての管理ロール エントリがロール担当者に割り当てられます。 ロールの割り当て先が役割グループまたはロール割り当てポリシーの場合、ロールによって提供されるアクセス許可は、ロール グループまたはロール割り当てポリシーに割り当てられたユーザーに付与されます。 管理ロールとロール エントリの詳細については、「 管理ロールについて」を参照してください。

ロールの割り当てを委任しても、機能を管理するためのアクセス権は付与されません。 ロールの割り当てを委任すると、ロール担当者は、指定したロールを他のロール担当者に割り当てることができます。 ロールの割り当て先が役割グループの場合、役割グループのメンバーは別のロール担当者にロールを割り当てることができます。 既定では、組織管理の役割グループのみが、他のロール担当者にロールを割り当てることができます。 既定では、Exchange 2013 をインストールしたユーザーのみが組織管理役割グループのメンバーです。 ただし、必要に応じて他のユーザーをこの役割グループに追加したり、他の役割グループを作成したり、委任ロールの割り当てをそれらのグループに割り当てたりすることができます。

注意

ロールの割り当てを委任すると、ロール担当者は管理ロールを他のロール担当者に委任できます。 これにより、ユーザーはロール グループを委任できません。 役割グループの委任の詳細については、「 管理役割グループについて」を参照してください。

ユーザーが機能を管理し、機能を使用するアクセス許可を与える役割を他のユーザーに与える場合は、以下の割り当てを行います。

  1. 管理に必要な機能へのアクセスを与える各管理役割に対して、正規の役割の割り当てを行います。

  2. 他の役割の被割り当て者に割り当てられるようにする各管理役割に対して、委任の役割の割り当てを行います。

ロールの割り当て担当者の通常のロール割り当てと委任ロールの割り当ては、同じである必要はありません。 たとえば、ユーザーは、通常のロールの割り当てを使用してトランスポート ルール ロールを割り当てられた役割グループのメンバーです。 これにより、ユーザーはトランスポート ルール機能を管理できます。 ただし、ユーザーにはトランスポート ルール ロールの委任ロールの割り当てが割り当てられていないため、ユーザーはこのロールを他のユーザーに割り当てることはできません。 ただし、ユーザーは委任ロールの割り当てを使用して、履歴管理ロールが割り当てられた役割グループのメンバーです。 ユーザーがメンバーであるロール グループには、履歴ロールの通常のロール割り当てはありませんが、委任ロールの割り当てがあるため、ユーザーはそのロールを他のロール担当者に割り当てることができます。

管理スコープ

通常の管理ロールの割り当てまたは委任管理ロールの割り当てを作成する場合は、ユーザーが操作できるオブジェクトを制限する管理スコープを使用して割り当てを作成するオプションがあります。 受信者スコープまたは構成スコープを作成できます。 受信者スコープを使用すると、メールボックス、メール ユーザー、配布グループなどを操作できるユーザーを制御できます。 構成スコープを使用すると、サーバーとデータベースを操作できるユーザーを制御できます。

受信者スコープと構成スコープを使用すると、組織内のサーバー、データベース、または受信者オブジェクトの管理をセグメント化できます。 たとえば、受信者スコープをロールの割り当てに追加して、同じオフィス内の受信者のみを管理できるようにすることができます。 サーバー構成スコープを別のロール割り当てに追加して、シドニーの管理者が Active Directory サイト内のサーバーのみを管理できるようにすることができます。

スコープを使用すると、アクセス許可をユーザーのグループに割り当てることができ、それらの管理者が管理を実行できる場所を指示できます。 これにより、地理的または組織の境界にマップするアクセス許可モデルを作成できます。

定義済みのスコープを使用して割り当てを作成することも、割り当てにカスタム スコープを追加することもできます。 ユーザーを自分のメールボックスまたは配布グループのみに制限するなど、定義済みのスコープは、割り当て自体で使用可能なオプションを使用して適用できます。 または、カスタム受信者または構成スコープを作成し、そのスコープをロールの割り当てに追加することもできます。 カスタム スコープを使用すると、スコープに含まれるオブジェクトをより細かくすることができます。

同じ割り当てで定義済みスコープとカスタム スコープを指定することはできません。 また、同じ割り当てで排他的スコープと通常のスコープを混在させることもできます。

各ロールの割り当てには、受信者スコープと構成スコープを 1 つだけ指定できます。 同じ管理ロールのロール担当者に複数の受信者スコープまたは 1 つの構成スコープを適用する場合は、複数のロールの割り当てを作成する必要があります。

カスタム スコープも定義済みスコープもない場合、ロールの割り当ては、ロール自体で定義されている受信者スコープと構成スコープに限定されます。 これらのスコープは、暗黙的なスコープと呼ばれます。 定義済みスコープまたはカスタム スコープを持たないロールの割り当ては、関連付けられているロールから暗黙的なスコープを継承します。

スコープの詳細については、「 管理役割スコープについて」を参照してください。

Exclusive role assignments

排他的な役割の割り当ては、役割の割り当てに排他的なスコープを割り当てるときに作成されます。 排他的なスコープは正規のスコープと同じように機能し、排他的なスコープを使用すると、役割の被割り当て者は排他的なスコープに一致する受信者を管理できるようになります。 ただし、正規のスコープと異なり、他のすべての役割の被割り当て者は受信者を管理する能力を拒否されます。たとえ受信者が役割の被割り当て者の役割の割り当てに適用されるスコープに一致したとしても、その能力が与えられません。 これは、受信者を管理できるユーザーを少数の管理者に制限する場合に役立ちます。 受信者を管理できるのはこれらの特定の管理者だけであり、他のすべての管理者はアクセスを拒否されます。

たとえば、次の内容を考慮します。

  • John は Contoso のエグゼクティブです。 メールボックスは、VIP 制限付き排他的割り当てに関連付けられている VIP ユーザーと呼ばれる排他的スコープと一致します。

  • John のメールボックスはまた、"Redmond Users/Redmond ユーザー" という名前の正規のスコープにも含まれ、このスコープは、"Redmond Administration/Redmond 管理" という正規の割り当てに関連付けられます。

  • Bill は、"VIP Restricted/VIP 制限" という排他的な割り当てに関連付けられている管理者です。

  • Chris は、"Redmond Administration/Redmond 管理" という正規の役割に関連付けられています。

John のメールボックスは VIP ユーザー排他的スコープと一致するため、自分のメールボックスを管理できるのは Bill のみです。 John のメールボックスが Redmond Users の通常のスコープと一致する場合でも、Chris は VIP 制限付き排他的割り当てには関連付けられません。 そのため、Exchange は Chris が John のメールボックスを管理する機能を拒否します。 Chris が John のメールボックスを管理するには、Chris に、John のメールボックスと一致する排他的スコープを持つ排他的割り当てを割り当てる必要があります。

詳細については、「排他スコープについて」を参照してください。