管理役割スコープについて
製品: Exchange Server 2013
管理役割スコープを使用すると、管理役割が作成されたときに管理役割の割り当てに影響を及ぼす一定の範囲を定義できます。 スコープを適用する場合、役割が割り当てられた役割担当者は、そのスコープの中に含まれているオブジェクトのみを変更できます。 役割担当者は管理役割グループ、管理役割、管理役割割り当てポリシー、ユーザー、またはユニバーサル セキュリティ グループ (USG) のいずれかです。 管理役割の詳細については、「役割ベースのアクセス制御について」を参照してください。
注:
ここでは、RBAC の高度な機能について説明します。 基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。
すべての管理役割には、組み込みの役割とカスタムの役割のいずれであっても、管理スコープがあります。 管理スコープは以下のいずれかです。
標準: 通常のスコープ は排他的ではありません。 Active Directory で、管理ロールを割り当てられたユーザーがオブジェクトを表示または変更できる場所が決定されます。 一般に、管理役割とは作成または変更が可能な内容を示し、管理役割スコープは作成または変更を実行できる場所を示します。 通常のスコープには、暗黙的または明示的なスコープを指定できます。どちらも、このトピックの後半で説明します。
排他: 排他スコープ は、通常のスコープとほぼ同じように動作します。 主な違いは、排他的スコープに関連付けられているロールが割り当てられない場合に、排他スコープ内に含まれるオブジェクトへのユーザー アクセスを拒否できる点です。 すべての排他的スコープは明示的なスコープであり、このトピックの後半で説明します。
排他的スコープの詳細については、「排他スコープについて」を参照してください。
スコープは、管理役割から継承するか、管理役割割り当てで定義済みの相対スコープとして指定するか、カスタム フィルターを使用して作成して管理役割割り当てに追加することができます。 管理役割から継承される管理スコープは暗黙的スコープと呼ばれ、定義済みおよびカスタムのスコープは明示的スコープと呼ばれます。 以下のセクションでは、各種スコープについて説明します。
- Implicit Scopes
- Explicit Scopes
- Predefined Relative Scopes
- Custom Scopes
- Recipient Filter Scopes
- Configuration Scopes
各役割には、次の種類のスコープを設定できます。
- 受信者の読み取りスコープ: 暗黙的な受信者の読み取りスコープは、管理ロールを割り当てたユーザーが Active Directory から読み取ることを許可される受信者オブジェクトを決定します。
- 受信者の書き込みスコープ: 暗黙的な受信者の書き込みスコープは、Active Directory で管理ロールを割り当てたユーザーが変更できる受信者オブジェクトを決定します。
- 構成の読み取りスコープ: 暗黙的な構成読み取りスコープは、管理ロールを割り当てたユーザーが Active Directory からの読み取りを許可する構成オブジェクトを決定します。
- 構成書き込みスコープ: 暗黙的な構成書き込みスコープは、Active Directory で管理ロールを割り当てたユーザーが変更できる組織、データベース、およびサーバー オブジェクトを決定します。
受信者オブジェクトには、メールボックス、配布グループ、メールが有効なユーザー、およびその他のオブジェクトが含まれます。 構成オブジェクトには、Microsoft Exchange Server 2013 を実行しているサーバーと、Exchange を実行しているサーバーにあるデータベースが含まれます。 各種スコープは、暗黙的スコープまたは明示的スコープのいずれかです。
暗黙的スコープ
暗黙的スコープは、管理役割の種類に適用される既定のスコープです。 暗黙的スコープが管理役割の種類に関連付けられているため、同じ役割の種類の親および子の管理役割もすべて暗黙的スコープが設定されます。 暗黙的スコープは、組み込み管理役割とカスタム管理役割の両方に適用されます。 管理役割と管理役割の種類については、「管理の役割について」を参照してください。
以下の表は、管理役割で定義できる暗黙的スコープのすべてを示します。
管理役割で定義された暗黙的スコープ
| 暗黙的スコープ | 説明 |
|---|---|
Organization |
ロールの受信者の書き込みスコープに存在する場合 Organization 、ロールは Exchange 組織全体の受信者オブジェクトを作成または変更できます。 がロールの受信者の読み取りスコープに存在する場合 Organization 、ロールは Exchange 組織全体の任意の受信者オブジェクトを表示できます。 このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
MyGAL |
がロールの受信者の書き込みスコープに存在する場合 MyGAL 、ロールは現在のユーザーのグローバル アドレス一覧 (GAL) 内の任意の受信者のプロパティを表示できます。 がロールの受信者の読み取りスコープに存在する場合 MyGAL 、ロールは現在の GAL 内の任意の受信者のプロパティを表示できます。 このスコープは、受信者読み取りスコープでのみ使用されます。 |
Self |
がロールの受信者の書き込みスコープに存在する場合 Self 、ロールは現在のユーザーのメールボックスのプロパティのみを変更できます。 がロールの受信者の読み取りスコープに存在する場合 Self 、ロールは現在のユーザーのメールボックスのプロパティのみを表示できます。 このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
MyDistributionGroups |
がロールの受信者の書き込みスコープに存在する場合 MyDistributionGroups 、ロールは現在のユーザーが所有する配布リスト オブジェクトを作成または変更できます。 がロールの受信者の読み取りスコープに存在する場合 MyDistributionGroups 、ロールは現在のユーザーが所有する配布リスト オブジェクトを表示できます。 このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
OrganizationConfig |
ロールの構成書き込みスコープに存在する場合 OrganizationConfig 、ロールは Exchange 組織全体の任意のサーバーまたはデータベース構成オブジェクトを作成または変更できます。 ロールの構成読み取りスコープに存在する場合 OrganizationConfig 、ロールは Exchange 組織全体の任意のサーバーまたはデータベース構成オブジェクトを表示できます。 このスコープは、構成読み取りおよび書き込みスコープでのみ使用されます。 |
None |
がスコープ内にある場合 None 、そのスコープはロールでは使用できません。 たとえば、受信者の書き込みスコープに含まれるロールは None 、Exchange 組織内の受信者オブジェクトを変更できません。 |
役割が役割担当者に割り当てられ、定義済みまたはカスタムのスコープが指定されていない場合は、ユーザーが表示または変更できる受信者または組織オブジェクトを制御するために、役割で定義された暗黙的スコープが使用されます。
役割の暗黙的書き込みスコープは、常に暗黙的読み取りスコープ以下です。 つまり、役割はスコープによって表示できないオブジェクトを変更することはできません。
管理役割で定義された暗黙的スコープを変更することはできません。 ただし、管理役割で暗黙的書き込みスコープと構成スコープを上書きすることはできます。 定義済みの相対スコープまたはカスタム スコープが役割割り当てで使用される場合、役割の暗黙的書き込みスコープが上書きされ、新しいスコープが優先されます。 役割の暗黙的読み取りスコープは、上書きできず、常に適用されます。 詳細については、「定義済みの相対スコープ」と「カスタム スコープ」を参照してください。
以下の表を展開すると、すべての組み込み管理役割とそれらの暗黙的スコープのリストが表示されます。 各組み込みの役割の詳細については、「組み込みの管理役割」を参照してください。
組み込み管理役割の暗黙的スコープ
| 管理役割 | 受信者の読み取りスコープ | 受信者の書き込み範囲 | 構成の読み取り範囲 | 構成の書き込み範囲 |
|---|---|---|---|---|
Active Directory Permissions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Address Lists |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
ApplicationImpersonation |
Organization |
Organization |
None |
None |
ArchiveApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Audit Logs |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Cmdlet Extension Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Data Loss Prevention |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Availability Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Database Copies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Databases |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Disaster Recovery |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Distribution Groups |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Edge Subscriptions |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
E-Mail Address Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Server Certificates |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Servers |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Exchange Virtual Directories |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Federated Sharing |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Information Rights Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Journaling |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Legal Hold |
Organization |
Organization |
OrganizationConfig |
None |
LegalHoldApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Enabled Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipient Creation |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Recipients |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mail Tips |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Import Export |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Mailbox Search |
Organization |
Organization |
None |
None |
MailboxSearchApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Message Tracking |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Migration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Monitoring |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Move Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
OfficeExtensionApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Custom Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
My Marketplace Apps |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyAddressInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyBaseOptions |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyContactInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDiagnostics |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDisplayName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyDistributionGroupMembership |
MyGAL |
MyGAL |
None |
None |
MyDistributionGroups |
MyGAL |
MyDistributionGroups |
OrganizationConfig |
None |
MyMobileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyName |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyPersonalInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyProfileInformation |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyRetentionPolicies |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyTeamMailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
MyTextMessaging |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
MyVoiceMail |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Organization Client Access |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Configuration |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Organization Transport Settings |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
POP3 And IMAP4 Protocols |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Public Folders |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Receive Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Recipient Policies |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Remote and Accepted Domains |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Reset Password |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Retention Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Security Group Creation and Membership |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Send Connectors |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Support Diagnostics |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
TeamMailboxLifecycleApplication |
Self |
Self |
OrganizationConfig |
OrganizationConfig |
Transport Agents |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Hygiene |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Queues |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Transport Rules |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Mailboxes |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UM Prompts |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
Unified Messaging |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UnScoped Role Management |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
UserApplication |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
User Options |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
View-Only Audit Logs |
Organization |
None |
OrganizationConfig |
None |
View-Only Configuration |
Organization |
None |
OrganizationConfig |
None |
View-Only Recipients |
Organization |
None |
OrganizationConfig |
None |
WorkloadManagement |
Organization |
Organization |
OrganizationConfig |
OrganizationConfig |
明示的スコープ
明示的スコープは、管理役割がどのオブジェクトを変更できるかをユーザー自身で設定して制御するスコープです。 暗黙的スコープは管理役割で定義されますが、明示的スコープが管理役割割り当てで定義されます。 つまり、最優先の明示的スコープの使用を選択しなければ、管理役割全体に暗黙的スコープを定常的に適用できます。 管理役割の割り当ての詳細については、「管理役割の割り当てについて」を参照してください。
明示的スコープは、管理役割の暗黙的書き込みスコープと構成スコープを上書きします。 明示的スコープは、管理役割の暗黙的読み取りスコープを上書きしません。 暗黙的読み取りスコープは、管理役割が読み取ることができるオブジェクトの定義を継続します。
明示的スコープは、管理役割の暗黙的書き込みスコープがビジネス要件を満たしていない場合に役立ちます。 新しいスコープが暗黙的読み取りスコープの範囲を超えない限り、必要とするほとんどすべてを含むために明示的スコープを追加できます。 管理役割の一部であるコマンドレットは、オブジェクトを作成または変更するためにコマンドレットのオブジェクトを含むオブジェクトまたはコンテナーに関する情報を読み取ることができる必要があります。 たとえば、管理ロールの暗黙的な読み取りスコープが に Self設定されている場合、明示的な書き込みスコープが暗黙的な読み取りスコープ Organization の境界を超えるため、 の明示的な書き込みスコープを追加することはできません。
詳細については、以下のセクションを参照してください。
Predefined Relative Scopes
Custom Scopes
定義済み相対スコープ
Exchange 2013 では、管理役割の範囲を変更するために使用できる複数の定義済み相対書き込みスコープを提供します。 定義済み相対スコープを使用すると、カスタム スコープを手動で作成しなくても、簡単にビジネス要件を細部まで一致させることができます。 これらが相対スコープと呼ばれるのは、関連役割割り当てが割り当てられた役割担当者を基準とした、相対指定のスコープであるためです。 たとえば、定義済みの相対スコープでは、 Self その書き込みスコープが現在のユーザーのみに制限されます。 定義済みの相対スコープは MyDistributionGroups 、現在のユーザーのみが所有する配布グループに書き込みスコープを制限します。 定義済み相対スコープは、受信者オブジェクトの範囲設定にのみ使用できます。 定義済み相対スコープは、構成オブジェクトの範囲設定には使用できません。 次の表は、使用できる定義済み相対スコープの一覧を示します。
定義済み相対スコープ
| 暗黙的スコープ | 説明 |
|---|---|
Organization |
ロールの受信者の書き込みスコープに存在する場合 Organization 、ロールは Exchange 組織全体の受信者オブジェクトを作成または変更できます。 がロールの受信者の読み取りスコープに存在する場合 Organization 、ロールは Exchange 組織全体の任意の受信者オブジェクトを表示できます。 このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
Self |
がロールの受信者の書き込みスコープに存在する場合 Self 、ロールは現在のユーザーのメールボックスのプロパティのみを変更できます。 がロールの受信者の読み取りスコープに存在する場合 Self 、ロールは現在のユーザーのメールボックスのプロパティのみを表示できます。 このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
MyDistributionGroups |
がロールの受信者の書き込みスコープに存在する場合 MyDistributionGroups 、ロールは現在のユーザーが所有する配布リスト オブジェクトを作成または変更できます。 がロールの受信者の読み取りスコープに存在する場合 MyDistributionGroups 、ロールは現在のユーザーが所有する配布リスト オブジェクトを表示できます。 このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。 |
定義済み相対スコープは、新しい管理役割割当てを作成するときに適用されます。 New-ManagementRoleAssignment コマンドレットを使用して、ロールの割り当ての作成時に、RecipientRelativeWriteScope パラメーターを使用して定義済みの相対スコープを指定できます。 新しい役割割り当てが作成されると、新しい定義済み役割が管理役割の暗黙的書き込みスコープを上書きします。 定義済み相対スコープを持つ役割割り当てを作成する場合に、カスタム受信者スコープを指定することはできません。 ただし、必要な場合は、カスタム構成スコープを指定できます。
定義済み相対スコープと共に管理役割割り当てを追加する方法については、「ユーザーまたは USG に役割を追加する」を参照してください。
カスタム スコープ
カスタム スコープは、暗黙的書き込みスコープと定義済み相対スコープのどちらもビジネス要件に対応できない場合に必要です。 カスタム スコープでは、管理役割を適用するスコープを詳細レベルで定義できます。 たとえば、特定の組織単位 (OU)、特定の種類の受信者、またはその両方を対象にする場合があります。 または、単に管理者のグループでメールボックス データベースの特定セットを管理できるようにする場合があります。
定義済み相対スコープと同様に、カスタム スコープは管理役割で定義された暗黙的書き込みおよび組織構成スコープを上書きします。 管理役割の暗黙的読み取りスコープは続いて適用され、結果のカスタム スコープは暗黙的読み取りスコープの範囲を超えることができません。 次の 3 種類のカスタム スコープを作成できます。
OU スコープ: 最も単純なカスタム スコープである OU スコープは、New-ManagementRoleAssignment コマンドレットの RecipientOrganizationalUnitScope パラメーターを使用して作成されます。 役割の割り当て時に OU スコープを指定することによって、役割が割り当てられた役割担当者はその OU 内の受信者オブジェクトのみを変更できます。 OU スコープと共に管理役割割り当てを追加する方法については、「 ユーザーまたは USG に役割を追加する」を参照してください。
受信者フィルター スコープ: 受信者フィルター スコープは、受信者の種類や、部署、マネージャー、場所などの他の受信者のプロパティに基づいて特定の受信者を対象にフィルターを使用します。 詳細については、「受信者フィルター スコープ」セクションを参照してください。
構成スコープ: 構成スコープでは、フィルターまたはリストを使用して、Active Directory サイトやサーバーロールなど、サーバー上で定義できるサーバー リストまたはフィルター可能なプロパティに基づいて特定のサーバーをターゲットにします。 データベース一覧やフィルター可能データベース プロパティに従って特定のデータベースを指定するとき、構成スコープではデータベース スコープも使用できます。 詳細については、「構成スコープ」セクションを参照してください。
単純かつ広範または複雑かつ詳細な受信者および構成カスタム スコープは、 New-ManagementScope コマンドレットを使用して作成できます。 受信者スコープまたは構成スコープのいずれかを作成すると、それぞれのスコープに一致する受信者、サーバー、またはデータベースのオブジェクトのみが返されます。 これらのスコープが New-ManagementRoleAssignment または Set-ManagementRoleAssignment コマンドレットを使用して役割割り当てに適用されると、役割が割り当てられた役割担当者がスコープに一致するオブジェクトのみを変更できます。 カスタム スコープが作成された後は、スコープの種類を変更できません。 受信者スコープは常に受信者スコープであり、構成スコープは常に構成スコープです。
既定では、カスタム スコープによって、定義するスコープに一致したオブジェクトのセットに役割担当者がアクセスすることができます。 ただし、フィルターは同一または同等のスコープも割り当てられていない他の役割担当者へのアクセスをアクティブに除外しません。 カスタム スコープは、それらのスコープへのリストまたはフィルターが同一オブジェクトに一致する場合、同一オブジェクトにアクセスできます。 上級管理者など、この操作が不要なオブジェクトがあります。 これらのオブジェクトに対して、排他的スコープを定義できます。 排他的スコープは、通常スコープと同じ方法でフィルターまたはリストを使用しますが、通常スコープと異なり、同一または同等の排他的スコープに含まれない人物によるスコープ内のオブジェクトへのアクセスを拒否します。 排他的スコープの詳細については、「排他スコープについて」を参照してください。
受信者フィルター スコープ
受信者フィルター スコープを使用すると、フィルター ステートメントで指定した値に対して受信者オブジェクトの 1 つ以上のプロパティを評価することで、ロールの担当者が管理できる受信者オブジェクトを制御できます。 受信者スコープに含まれる受信者は、メールボックス、メールが有効なユーザー、配布グループ、メールの連絡先です。 指定したフィルターに一致する受信者のみが、そのロールの割り当てを割り当てられたロールの担当者によって管理できます。 フィルター ステートメントの例として{ Name -Eq "David" }、Name は評価対象の受信者オブジェクトのプロパティであり、David は プロパティに対して評価する値です。 Eq 比較演算子は、プロパティに格納されている値が、フィルターが true になるように指定された値と等しい必要があることを示します。 フィルターが true の場合、その受信者はスコープに含まれます。
受信者フィルター スコープは、New-ManagementScope コマンドレットの RecipientRestrictionFilter パラメーターで使用する受信者フィルターを指定することによって作成されます。 既定では、 New-ManagementScope コマンドレットが正規のスコープを作成します。 排他スコープを作成する場合は、RecipientRestrictionFilter パラメーターと共に排他スイッチを含めます。
受信者制限フィルターを作成する場合、Exchange は、既定で組織内の受信者オブジェクトごとに指定したフィルターを評価します。 スコープが評価する受信者を制限する場合は、 RecipientRoot パラメーターと RecipientRestrictionFilter パラメーターを使用できます。 RecipientRoot パラメーターは OU を受け入れます。 RecipientRoot パラメーターを使用すると、指定した OU に含まれる受信者のみが、指定したフィルターに対して評価されます。
ロールの割り当てに受信者フィルター スコープを追加する場合は、新しいロールの割り当てを作成する場合は New-ManagementRoleAssignment の CustomRecipientWriteScope パラメーターで受信者スコープの名前を指定し、既存のロールの割り当てを更新する場合は Set-ManagementRoleAssignment コマンドレットを指定します。 各ロールの割り当てには、定義済みの相対的なスコープなど、1 つの受信者スコープを指定できます。 受信者スコープの追加先となった同じ役割の割当てに対して、1 つの構成スコープを追加できます。
フィルター構文の詳細と、受信者に対するフィルター可能な受信者プロパティの全リストについては、「管理ロールのスコープ フィルターについて」を参照してください。
構成スコープ
次の 2 種類の構成のスコープが Exchange 2013 で提供されます。
サーバー スコープ: サーバー スコープには、サーバー フィルター スコープとサーバー リスト スコープの 2 種類があります。 受信コネクタ、トランスポート キュー、サーバー証明書、仮想ディレクトリなどのサーバー構成は、サーバー スコープにサーバー オブジェクトが含まれる場合に管理できます。
サーバー フィルター スコープ: サーバー フィルター スコープを使用すると、サーバー オブジェクトの 1 つ以上のプロパティをフィルター ステートメントで指定した値に対して評価することで、役割担当者が管理できるサーバー オブジェクトを制御できます。 サーバー フィルター スコープを作成するには、New-ManagementScope コマンドレットの ServerRestrictionFilter パラメーターを使用します。
サーバー リスト スコープ: サーバー リスト スコープを使用すると、ロール割り当てユーザーがアクセスできるサーバーの一覧を定義することで、ロールの割り当て先が管理できるサーバー オブジェクトを制御できます。 サーバー リスト スコープを作成するには、New-ManagementScope コマンドレットの ServerList パラメーターを使用します。
データベース スコープ: データベース スコープには、データベース フィルター スコープとデータベース リスト スコープの 2 種類があります。 データベース オブジェクトがデータベース スコープに含まれる場合に管理できるデータベース構成には、データベースのクォータ制限、データベース保守、パブリック フォルダー レプリケーション、データベースのマウント有無などがあります。 データベース構成以外に、データベース スコープ内にどのデータベース受信者を作成できるかも、データベース スコープで制御できます。 所属組織で Exchange 2010 SP1 より前のサーバーを使用している場合、このトピックの後半の データベース スコープと Exchange の以前のバージョン セクションを参照してください。
データベース フィルター スコープ: データベース フィルター スコープを使用すると、フィルター ステートメントで指定した値に対してデータベース オブジェクトの 1 つ以上のプロパティを評価することで、ロールの担当者が管理できるデータベース オブジェクトを制御できます。 データベース フィルター スコープを作成するには、New-ManagementScope コマンドレットで DatabaseRestrictionFilter パラメーターを使用します。
データベース リスト スコープ: データベース リスト スコープを使用すると、ロールの担当者がアクセスできるデータベースの一覧を定義することで、ロールの担当者が管理できるデータベース オブジェクトを制御できます。 データベース リスト スコープを作成するには、New-ManagementScope コマンドレットの DatabaseList パラメーターを使用します。
フィルター構文の詳細と、フィルター可能なサーバーおよびデータベース プロパティの全リストについては、「管理ロールのスコープ フィルターについて」を参照してください。
サーバーおよびデータベース リストを定義するには、それぞれのスコープの対象にする各サーバーおよびデータベースを指定します。 複数のサーバーまたはデータベースは、サーバーとデータベースの名前をコンマで区切ることによって、それぞれのスコープに指定できます。
サーバーまたはデータベース構成スコープをロールの割り当てに追加する場合は、新しいロールの割り当てを作成する場合は New-ManagementRoleAssignment コマンドレットの CustomConfigWriteScope パラメーターに、既存のロールの割り当てを更新する場合は Set-ManagementRoleAssignment コマンドレットで、サーバーまたはデータベース構成スコープの名前を指定します。 各ロールの割り当てには、1 つの構成スコープのみを指定できます。
役割担当者が管理できるデータベースを制御することに加えて、データベース スコープを使用すると、役割担当者がメールボックスを作成できるデータベースを制御することもできます。 これは、役割担当者が管理できる受信者の管理とは別です。 役割担当者に新しいメールボックスを作成するか、既存ユーザーのメールを有効にするか、またはメールボックスを移動するアクセス許可がある場合、メールボックスを作成するデータベースまたはメールボックスの移動先のデータベースをデータベース スコープで制御することによって、アクセス許可を詳細に設定することができます。 ロールの割り当て先が管理できる受信者の制御は、New-ManagementRoleAssignment コマンドレットまたは Set-ManagementRoleAssignment コマンドレットの CustomRecipientWriteScope パラメーターで指定された受信者スコープを使用して行われます。 メールボックスを作成または移動できるデータベースの制御は、同じコマンドレットの CustomConfigurationWriteScope パラメーターで指定されたデータベース スコープを使用して制御されます。
注:
メールボックスの自動配布は、データベース スコープを使用して制御できます。
Exchange 機能では、サーバー スコープとデータベース スコープのどちらか、またはその両方の管理が必要な場合があります。 サーバー スコープおよびデータベース スコープの両方が管理対象となる機能の場合、2 つの役割割り当てを作成して、機能の管理のためにアクセス許可を持つ必要がある役割担当者に割り当てる必要があります。 役割割り当てのうち、1 つはサーバー スコープと関連付け、もう 1 つはデータベース スコープと関連付けます。
コマンドレットは、一目でわかる構成スコープを使用する場合もあります。 次の表は、コマンドレットのリストと、利用を制御するために使用できる構成スコープを示します。 受信者機能領域に含まれるコマンドレットの場合、構成スコープを使用すると、受信者を作成できるデータベースを制御できます。 管理できる受信者は制御しません。 [必要なスコープ] 列は、以下の項目で構成できます。
データベース: コマンドレットを実行するには、ロールの割り当て先に、管理するデータベースを含むデータベース スコープを持つロールの割り当てを割り当てる必要があります。または、ロールの暗黙的な構成書き込みスコープには、管理するデータベースを含める必要があります。
サーバー: コマンドレットを実行するには、役割の割り当て先に、管理するサーバーを含むサーバー スコープを持つロールの割り当てを割り当てる必要があります。または、ロールの暗黙的な構成書き込みスコープには、管理するサーバーを含める必要があります。
サーバーまたはデータベース: コマンドレットを実行するには、ロールの割り当て先に、データベース スコープに管理されているデータベースが含まれているか、サーバー スコープにデータベースが配置されているサーバーが含まれているロールの割り当てを割り当てる必要があります。 または、役割の暗黙的構成書き込みスコープは、管理対象のデータベースを含むか、データベースが置かれたサーバーを含む必要があり、役割の割り当てにはカスタム書き込みスコープを設定できません。
サーバーとデータベース: このコマンドレットを実行するには、ロールの割り当て先に 2 つのロールの割り当てを割り当てる必要があります。 最初の役割割り当てには、管理対象のデータベースを含むデータベース スコープを指定する必要があります。 2 番目の役割割り当てには、データベースが置かれたサーバーを含むサーバー スコープを指定する必要があります。 役割割り当ては、カスタム構成スコープを定義することができるか、暗黙的構成書き込みスコープを役割から継承できます。 役割から暗黙的書き込みスコープを継承するには、役割割り当てはカスタムの書き込みスコープを指定できません。
機能領域と適用可能なデータベース スコープおよびサーバー スコープ
| 機能領域 | コマンドレット | 必要なスコープ |
|---|---|---|
| Databases | Dismount-Database | データベース |
| データベース | Mount-Database | データベース |
| データベース | Move-DatabasePath | サーバーおよびデータベース |
| データベース | Remove-MailboxDatabase | サーバーまたはデータベース |
| データベース | Set-MailboxDatabase | データベース |
| 高可用性 | Add-DatabaseAvailabilityGroupServer | サーバー |
| 高可用性 | Add-MailboxDatabaseCopy | サーバー |
| 高可用性 | Move-ActiveMailboxDatabase | サーバー |
| 高可用性 | Remove-DatabaseAvailabilityGroupServer | サーバー |
| 高可用性 | Remove-MailboxDatabaseCopy | サーバーまたはデータベース |
| 高可用性 | Resume-MailboxDatabaseCopy | サーバーまたはデータベース |
| 高可用性 | Set-MailboxDatabaseCopy | サーバーまたはデータベース |
| 高可用性 | Suspend-MailboxDatabaseCopy | サーバーまたはデータベース |
| 高可用性 | Update-MailboxDatabaseCopy | サーバーまたはデータベース |
| 受信者 | Connect-Mailbox | データベース |
| 受信者 | Enable-Mailbox | データベース |
| 受信者 | New-Mailbox | データベース |
| 受信者 | New-MoveRequest | データベース |
| トラブルシューティング | Test-MapiConnectivity | Database |
データベース スコープと Exchange の以前のバージョン
データベース スコープを最初に導入したのは Microsoft Exchange 2010 Service Pack 1 (SP1) でしたが、Exchange 2013 でも引き続きサポートしています。 Exchange 2010 SP1 より前のバージョンの Exchange でサポートしているのは、受信者スコープとサーバー構成スコープだけです。 新しいデータベース スコープを Exchange 2010 SP1 以降のサーバーで作成すると、次の警告が表示されます。
WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.
データベース スコープを作成しても、適用されるのは Exchange 2010 SP1 以降を実行しているサーバーに接続するユーザーのみです。 Exchange 2010 SP1 より前のサーバーに接続するユーザーには、適用されたデータベース スコープに関連付けた役割割り当てがありません。 つまり、これらの役割割り当てで指定するアクセス許可は、ユーザーが Exchange 2010 SP1 より前のサーバーに接続するときには与えられません。 データベース スコープは、Exchange 2010 SP1 より前のサーバーで作成、削除、変更、または表示することはできません。
データベース スコープには、Exchange 組織に任意のデータベースを指定できます。 これには Exchange Server 2007、Exchange 2010、そして Exchange 2013 サーバーが含まれます。 これにより、Exchange バージョンに関係なく、そのユーザーが管理できるデータベースを制御できるようになります。 他のデータベース スコープと同様に、Exchange 2007 と Exchange 2010 のデータベースが含まれるデータベース スコープに関連付けられた役割割り当ては、ユーザーが Exchange 2010 SP1 以降のサーバーに接続するときだけに適用されます。
Exchange 2010 SP1 より前のサーバーに接続するユーザーは、データベース スコープに関連付けられた役割割り当ての表示と変更ができます。 これには、データベース スコープに現在関連付けられている場合、サーバー スコープへの既存の役割割り当てで構成スコープを変更することが含まれます。 ただし、役割割り当ての構成スコープをサーバー スコープに変更した後、ユーザーがデータベース スコープに戻す場合、またはユーザーが構成スコープを別のデータベース スコープに変更する場合、ユーザーは Exchange 2010 SP1 以降のサーバーに接続している間に変更する必要があります。 Exchange 2010 SP1 より前のサーバーに接続している場合、ユーザーがサーバー スコープを指定できるのは、役割割り当ての構成スコープの変更時だけです。