アクセス許可について
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2015-03-09
Microsoft Exchange Server 2010 には、役割ベースのアクセス制御 (RBAC) のアクセス許可モデルに基づく多数の定義済みアクセス許可のセットが含まれます。これをそのまま使用することで、管理者やユーザーに対して簡単にアクセス許可を与えることができます。Exchange 2010 のアクセス許可機能を使用できるため、新しい組織を迅速に稼動させることができます。
RBAC は、メールボックス、ハブ トランスポート、クライアント アクセス、およびユニファイド メッセージング サーバーの役割を管理するためのアクセス許可を与えます。エッジ トランスポート サーバーの役割に関するアクセス許可の詳細については、後の「Edge Transport Permissions」を参照してください。
注意
一部の RBAC の機能および概念については、高度な機能であるためここでは説明しません。ここで説明する機能がニーズに合わず、アクセス許可モデルのより高度なカスタマイズが必要な場合は、「役割ベースのアクセス制御について」を参照してください。
アクセス許可に関連する管理タスクについては、「アクセス許可の管理」を参照してください。
役割に基づくアクセス許可
Exchange 2010 では、管理者とユーザーに与えるアクセス許可は管理役割に基づきます。役割は管理者やユーザーが実行できるタスクのセットを定義します。たとえば Mail Recipients と呼ばれる管理役割は、メールボックス、連絡先、および配布グループのセットに対して実行できるタスクを定義します。ある役割が管理者やユーザーに割り当てられる場合、その管理者やユーザーに対して、その役割が提供するアクセス許可が与えられます。
役割には、管理役割とエンドユーザー役割の 2 種類があります。
管理役割 管理役割には、Exchange 組織の一部 (受信者、サーバー、データベースなど) を管理する役割グループを使用する管理者や専門家ユーザーに割り当てることができるアクセス許可が含まれます。
エンド ユーザーの役割 役割割り当てポリシーを使用して割り当てられるエンド ユーザーの役割によって、ユーザーは自分が所有するメールボックスと配布グループを部分的に管理できます。エンドユーザーの役割は、
Myというプレフィックスで始まります。
役割は、その役割に割り当てられている管理者とユーザーがコマンドレットを使用できるようにすることでタスクの実行に必要なアクセス許可を与えます。Exchange 管理コンソール (EMC)、Exchange コントロール パネル (ECP)、および Exchange 管理シェルではコマンドレットを使用して Exchange を管理するため、コマンドレットへのアクセスを許可することは、管理者やユーザーに対して Exchange の各管理インターフェイスでのタスク実行に必要なアクセス許可を与えることになります。
Exchange 2010 には、アクセス許可の付与に使用できる約 60 個の役割が含まれます。Exchange 2010 に含まれる役割の一覧については、「組み込みの管理役割」を参照してください。
役割グループと役割割り当てポリシー
Exchange 2010 でタスクを実行するためのアクセス許可は役割によって与えられますが、アクセス許可を管理者とユーザーに簡単に割り当てる方法が必要です。Exchange 2010 では次の方法があります。
役割グループ 役割グループを使用すると、管理者および専門家ユーザーにアクセス許可を付与できます。
役割割り当てポリシー 役割割り当てポリシーを使用すると、エンド ユーザーにアクセス許可を付与できます。これにより、エンド ユーザーが自分の所有するメールボックスや配布グループの設定を変更できます。
役割グループと役割割り当てポリシーの詳細については、以下のセクションを参照してください。
役割グループ
Exchange 2010 を管理するすべての管理者は、1 つ以上の役割に割り当てられる必要があります。管理者が複数の役割を持つ場合があります。管理者が Exchange の複数の領域にまたがるジョブ機能を実行する場合があるためです。たとえば、1人の管理者で受信者と Exchange サーバーの両方を管理する場合があります。この場合、この管理者は Mail Recipients の役割と Exchange Servers の役割の両方に割り当てられる必要があります。
複数の役割を 1 人の管理者に簡単に割り当てるため、Exchange 2010 には役割グループが含まれます。役割グループは、Active Directory ユーザー、USG、およびその他の役割グループを含むことができるExchange 2010 で使用される特別なユニバーサル セキュリティ グループ (USG) です。役割が役割グループに割り当てられると、その役割が付与するアクセス許可が役割グループの全メンバーに付与されます。このため、多くの役割を多くの役割グループのメンバーに一度に割り当てることができます。通常、役割グループには受信者管理などの広範囲の管理領域が含まれます。このような管理領域は管理役割のみで使用し、エンドユーザー役割では使用しません。
注意
役割グループを使用せずに、ユーザーや USG に役割を直接割り当てることは可能です。ただし、このような役割割り当て方法は高度な手順であるため、ここでは説明しません。アクセス許可の管理には、役割グループを使用することをお勧めします。
次の図はユーザー、役割グループ、および役割の間の関係を示しています。
役割、役割グループ、および役割グループのメンバー
.gif "役割、役割グループ、およびメンバー関係")
Exchange 2010 には、組み込みの役割グループがいくつか含まれます。この各役割グループによって、Exchange 2010 の特定の領域を管理するためのアクセス許可が与えられます。役割グループ同士が重複する場合もあります。次の表は、各役割グループおよびその使用に関する説明です。各役割グループに割り当てられている役割を参照するには、表の役割グループ名をクリックし、「この役割グループに割り当てられている管理役割」セクションを開いてください。
組み込みの役割グループ
| 役割グループ | 説明 |
|---|---|
組織の管理役割グループのメンバーである管理者は、Exchange 2010 組織全体に対する管理アクセス許可を持ち、( 重要 組織の管理役割グループは強力な役割であるため、Exchange 組織全体に影響を与える可能性がある組織レベルの管理タスクを実行するユーザーまたは USG のみを、この役割グループのメンバーにする必要があります。 |
|
組織の管理のみ表示 役割グループのメンバーである管理者は、Exchange 組織の任意のオブジェクトのプロパティを表示できます。 |
|
Recipient Management 役割グループのメンバーである管理者は、Exchange 2010 組織内の Exchange 2010 受信者を作成または変更するための管理アクセスを持ちます。 |
|
"UM Management/UM 管理" 役割グループのメンバーである管理者は、ユニファイド メッセージング (UM) サーバー構成、メールボックスの UM プロパティ、UM プロンプト、および UM 自動応答構成など、Exchange 組織内の機能を管理できます。 |
|
"Help Desk/ヘルプ デスク" 役割グループのメンバーは、既定で組織内の全ユーザーの Microsoft Office Outlook Web App オプションを表示および変更できます。これらのオプションには、ユーザーの表示名、住所、および電話番号の変更が含まれる場合があります。Outlook Web App オプションで使用できないオプション (メールボックス サイズの変更や、メールボックスが置かれているメールボックス データベースの構成など) は含まれません。 |
|
"Hygiene Management/検疫管理" 役割グループのメンバーである管理者は、Exchange 2010 のウイルス対策およびスパム対策機能を構成できます。Exchange 2010 に統合されているサード パーティ製プログラムによって、この役割グループにサービス アカウントが追加でき、これらのプログラムに対して Exchange の構成の取得、構成に必要なコマンドレットへのアクセスが許可されます。 |
|
Records Management役割グループのメンバーであるユーザーは、アイテム保持ポリシー タグ、メッセージの分類、トランスポート ルールなどの法令遵守機能を構成できます。 |
|
証拠開示管理 役割グループのメンバーである管理者またはユーザーは、特定の条件を満たすデータについて、Exchange 組織内のメールボックスを検索でき、メールボックスに法的情報保留を構成することもできます。詳細については、「複数のメールボックスの検索」および「訴訟ホールドについて」を参照してください。 |
|
"Public Folder Management/パブリック フォルダー管理" 役割グループのメンバーである管理者は、Exchange 2010 を実行するサーバー上にあるパブリック フォルダーおよびデータベースを管理できます。 |
|
"Server Management/サーバー管理" 役割グループのメンバーである管理者は、データベース コピー、証明書、トランスポート キューと送信コネクタ、仮想ディレクトリ、クライアント アクセス プロトコルなど、トランスポート、ユニファイド メッセージング、クライアント アクセス、およびメールボックス機能のサーバー固有の構成を構成できます。 |
|
"Delegated Setup/委任セットアップ" 役割グループのメンバーである管理者は、組織の管理 役割グループのメンバーによって既に準備された、Exchange 2010 を実行しているサーバーを展開できます。委任されたセットアップの詳細については、「Exchange 2010 Server の準備を行い、セットアップを委任する」を参照してください。 |
2 ~ 3 人の管理者しかいない小規模な組織の場合は、これらの管理者を 組織の管理 役割グループにのみ追加し、他の役割グループの使用は不要である可能性があります。これより大規模な組織では、受信者やサーバーの管理など、Exchange を管理する特定のタスクを実行する管理者がいる場合があります。このような場合は、1 人の管理者を Recipient Management 役割グループに、もう 1 人の管理者を "Server Managemen/サーバー管理" 役割グループに追加する場合があります。この結果、上記の管理者は Exchange 2010 の特定領域を管理できるようになりますが、担当以外の領域を管理するためのアクセス許可は持ちません。
Exchange 2010 の組み込みの役割グループが管理者のジョブ機能と適合しない場合は、役割グループを作成して管理者に役割を追加できます。詳細については、後の「Work with Role Groups」を参照してください。
役割の割り当てポリシー
Exchange 2010 では役割割り当てポリシーによって、ユーザーが所有するメールボックスと配布グループに関して、そのユーザーが構成できる設定を制御できます。上記の設定には、ユーザーの表示名、連絡先情報、ボイス メール設定、および配布グループのメンバーシップが含まれます。
Exchange 2010 組織は複数の役割割り当てポリシーを持つことができます。このため組織内のさまざまな種類のユーザーに対して、レベルの異なるアクセス許可を与えることができます。ユーザーのメールボックスに関連付けられる役割割り当てポリシーによって、あるユーザーでは住所の変更や配布グループの作成が許可されても、他のユーザーでは許可されない場合があります。役割割り当てポリシーはメールボックスに直接追加されます。各メールボックスは、同時に 1 つの役割割り当てポリシーにのみ関連付けることができます。
組織の役割割り当てポリシーのうち、1 つが既定としてマークされます。新しいメールボックスの作成時に特定の役割割り当てポリシーを明示的に割り当てない限り、既定の役割の割り当てポリシーが新しいメールボックスに関連付けられます。既定の役割の割り当てポリシーには、ほとんどのメールボックスに適用が必要なアクセス許可が含まれている必要があります。
アクセス許可は、エンドユーザーの役割を使用して役割割り当てポリシーに追加されます。エンドユーザーの役割は My で始まるもので、ユーザーが所有するメールボックスと配布グループのみを管理するためのアクセス許可をユーザーに対して付与します。エンドユーザーの役割を使用して他のメールボックスを管理することはできません。役割割り当てポリシーに割り当てることができるのは、エンド ユーザーの役割のみです。
役割割り当てポリシーにエンド ユーザーの役割が割り当てられていると、その役割割り当てポリシーに関連付けられているすべてのメールボックスに対して、役割が付与するアクセス許可が与えられます。この結果、個々のメールボックスを構成することなく、ユーザーのセットに対してアクセス許可の追加や削除を行うことができます。以下の図では、次の内容を示しています。
エンド ユーザーの役割が役割割り当てポリシーに割り当てられています。役割割り当てポリシー間で、同じエンド ユーザーの役割を共有できます。
役割割り当てポリシーがメールボックスに関連付けられています。各メールボックスは、1 つの役割割り当てポリシーにのみ関連付けることができます。
メールボックスを役割割り当てポリシーに関連付けると、エンド ユーザーの役割がそのメールボックスに適用されます。役割が付与するアクセス許可が、メールボックスのユーザーに対して与えられます。
役割、役割割り当てポリシー、およびメールボックス
.gif "役割、役割の割り当てポリシー、メールボックスの関係")
Exchange 2010 には、既定の役割の割り当てポリシーという役割割り当てポリシーが含まれます。これは名前のとおり、既定の役割の割り当てポリシーです。この役割割り当てポリシーが提供するアクセス許可を変更したり、役割割り当てポリシーを作成したりする場合は、後の「Work with Role Assignment Policies」を参照してください。
役割グループの操作
Exchange 2010 Service Pack 1 (SP1) で役割グループを使用してアクセス許可を管理する場合は、ECP の使用をお勧めします。ECP を使用して役割グループを管理すると、マウスを数回クリックするだけで役割とメンバーの追加と削除、役割グループの作成、および役割グループのコピーを行うことができます。ECP では簡単なダイアログ ボックスが表示されます。上記のタスクを実行する場合、次の図にある [役割グループの新規作成] ダイアログ ボックスなどが表示されます。
ECP の [役割グループの新規作成] ダイアログ ボックス
![ECP の [役割グループの新規作成] ダイアログ](images/dd297943.51debf23-2377-4f3f-8ce7-f5702e6952c9(exchg.141).gif "ECP の [役割グループの新規作成] ダイアログ")
前に説明したように、Exchange 2010 には特定の管理領域ごとにアクセス許可を区別する複数の役割グループが含まれます。これらの既存の役割グループによってアクセス許可が提供されている場合は、管理者が Exchange 2010 組織を管理する必要があり、管理者を適切な役割グループのメンバーとして追加するだけで済みます。管理者を役割グループに追加すれば、管理者がその役割グループに関連する機能を管理できます。役割グループのメンバーの追加や削除を行うには、ECP で役割グループを開き、メンバーシップ一覧でメンバーを追加または削除します。組み込みの役割グループの一覧については、「組み込みの役割グループ」を参照してください。
重要
管理者が複数の役割グループのメンバーである場合、Exchange 2010 は、その管理者がメンバーとなっている役割グループが提供するすべてのアクセス許可を管理者に付与します。
Exchange 2010 に含まれる役割グループに必要なアクセス許可がない場合は、ECP を使用して役割グループを作成し、必要なアクセス許可を持つ役割を追加できます。役割グループを新規作成するには、次の操作が必要です。
役割グループの名前を選択します。
役割グループに追加する役割を選択します。
役割グループにメンバーを追加します。
役割グループを保存します。
役割グループを作成すると、その役割グループを他の役割グループと同様に管理できます。
必要なアクセス許可の一部が含まれているが、全部は含まれていない既存の役割グループがある場合は、これをコピーして変更することで役割グループを作成できます。元の役割グループに影響を及ぼすことなく、既存の役割グループをコピーして変更できます。役割グループのコピー操作の一部として、新しい名前と説明の追加、新しい役割グループの役割の追加と削除、および新しいメンバーの追加を行うことができます。役割グループの作成やコピーの際には、前の図と同じダイアログ ボックスを使用できます。
既存の役割グループの変更も可能です。前の図のような ECP ダイアログ ボックスを使用して、既存の役割グループの役割の追加と削除、および役割グループのメンバーの追加と削除を同時に行うことができます。役割グループの役割の追加と削除を行うことで、その役割グループのメンバーの管理機能を有効および無効にすることができます。役割グループに追加できる役割の一覧については、「組み込みの管理役割」を参照してください。
注意
組み込みの役割グループに割り当てられている役割は変更できますが、組み込みの役割グループをコピーして、役割グループのコピーを変更し、その役割グループのコピーにメンバーを追加することをお勧めします。
役割グループの作成およびコピーの方法や、既存の役割グループの役割およびメンバーシップの変更方法に関する詳細手順については、次のトピックを参照してください。
役割割り当てポリシーの操作
Exchange 2010 SP1 で、エンド ユーザーに対して自分のメールボックスを管理させるために付与するアクセス許可を管理する場合は、ECP の使用をお勧めします。ECP を使用してエンドユーザーのアクセス許可を管理すると、マウスを数回クリックするだけで、役割の追加、役割の削除、および役割割り当てポリシーの作成を行うことができます。ECP では簡単なダイアログ ボックスが表示されます。上記のタスクを実行する場合、次の図にある [役割の割り当てポリシー] ダイアログ ボックスなどが表示されます。役割割り当てポリシーをメールボックスに適用するには、EMC と ECP のいずれかを使用できます。
ECP の [役割の割り当てポリシー] ダイアログ ボックス
![ECP の [役割の割り当てポリシー] ダイアログ](images/dd297943.9e634cf7-f2fe-4ae2-a04d-2442d43ab8f0(exchg.141).gif "ECP の [役割の割り当てポリシー] ダイアログ")
Exchange 2010 には既定の役割の割り当てポリシーという名前の役割割り当てポリシーが含まれます。この役割割り当てポリシーに関連付けられているメールボックスを所有するユーザーは、この役割割り当てポリシーを使用すると次の操作を行うことができます。
メンバーが自分のメンバーシップの管理を許可されている配布グループへの参加および退会。
自分のメールボックスに関する基本的なメールボックス設定の表示および変更 (受信トレイ ルール、スペル動作、迷惑メールの設定、および Microsoft ActiveSync デバイスなど)。
住所や電話番号などの連絡先情報の変更。
テキスト メッセージの設定の作成、変更、または表示。
ボイス メール設定の表示または変更。
既定の役割の割り当てポリシーやその他の役割割り当てポリシーで、アクセス許可を追加または削除する場合は、ECP を使用できます。使用するダイアログ ボックスは前の図と似ています。ECP で役割割り当てポリシーを開くには、割り当て先の役割の横にあるチェック ボックスをオンにするか、削除する役割の横にあるチェック ボックスをオフにします。役割割り当てポリシーの変更は、そのポリシーに関連付けられているすべてのメールボックスに適用されます。
さまざまなエンド ユーザーのアクセス許可を、組織内のさまざまな種類のユーザーに割り当てる場合は、役割割り当てポリシーを作成できます。役割割り当てポリシーを作成すると、前の図のようなダイアログ ボックスが表示されます。役割割り当てポリシーの新しい名前を指定し、その役割割り当てポリシーに割り当てる役割を選択できます。役割割り当てポリシーを作成した後、EMC や ECP を使用してそのポリシーをメールボックスと関連付けることができます。
既定である役割割り当てポリシーを変更するには、シェルを使用する必要があります。既定の役割の割り当てポリシーを変更すると、明示的に指定した場合を除き、作成したメールボックスはすべて新しい既定の役割の割り当てポリシーに関連付けられます。新しい既定の役割の割り当てポリシーを選択しても、既存のメールボックスに関連付けられている役割割り当てポリシーは変更されません。
注意
子役割を持つ役割のチェック ボックスをオンにすると、子役割のチェック ボックスもオンになります。子役割を持つ役割のチェック ボックスをオフにすると、子役割のチェック ボックスもオフになります。
役割割り当てポリシーの作成方法や、既存の役割割り当てポリシーの変更方法に関する詳細手順については、次のトピックを参照してください。
エッジ トランスポートのアクセス許可
エッジ トランスポート サーバーの役割は、組織の境界ネットワーク (スクリーン サブネットとも呼ばれます) 内に展開されます。エッジ トランスポート サーバーは、スタンドアロン サーバーとして、または境界領域の Active Directory ドメインのメンバーとして展開できます。
エッジ トランスポート サーバーでは、アクセス許可を制御する目的で RBAC は使用されていません。ローカルの Administrators グループは、ローカル サーバーで Exchange 機能を構成できるユーザーの制御に使用されます。複数のエッジ トランスポート サーバーがある場合は、それらのサーバーを管理させたいユーザーを、各サーバーのローカルの Administrators グループに追加する必要があります。
エッジ トランスポート サーバーのアクセス許可の詳細については、「エッジ トランスポート サーバーの役割に対する管理者アクセス許可の設定」を参照してください。
詳細情報
アクセス許可の Exchange 2007 との共存について
アクセス許可の Exchange 2003 との共存について
© 2010 Microsoft Corporation.All rights reserved.