管理役割の割り当てについて

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2010-12-16

管理役割の割り当ては、Microsoft Exchange Server 2010 の役割ベースのアクセス制御 (RBAC) というアクセス許可モデルに属する概念で、管理役割と役割の被割り当て者とを結び付けます。役割の被割り当て者は、役割グループ、役割割り当てポリシー、ユーザー、ユニバーサル セキュリティ グループ (USG) のいずれかです。役割を有効にするには、役割を被割り当て者に割り当てる必要があります。RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2010 アクセス許可を管理する場合 (Exchange コントロール パネル (ECP) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可について」を参照してください。

ここでは、役割グループと役割割り当てポリシーへの役割の割り当て、およびユーザーと USG への直接的な役割の割り当てについて説明します。ユーザーへの役割グループまたは役割割り当てポリシーの割り当てについての説明はここでは省略します。ユーザーにアクセス許可を割り当てるための推奨方法である、役割グループと役割割り当てポリシーの詳細については、以下のトピックを参照してください。

• 管理役割グループについて

• 管理役割の割り当てポリシーについて

次の役割の割り当ての種類を作成できます。この役割の割り当ての種類については、後で詳しく説明します。

• 正規および委任の役割の割り当て

• 排他的な役割の割り当て

役割割り当ての管理

役割の割り当てを変更する場合、その変更はおそらく役割グループと役割割り当てポリシーのどちらかになります。これらの役割の被割り当て者に役割の割り当てを追加、削除、または変更することで、管理者とユーザーにどのアクセス許可を与えるかを制御できます (実際には関連する機能の管理をオンまたはオフにします)。

役割をユーザーまたは USG に直接割り当てる必要がある場合もあります。これを実行することはより高度なタスクになり、ユーザーに与えるアクセス許可を詳細なレベルで定義できます。これにより、より柔軟にアクセス許可を定義できるようになりますが、アクセス許可モデルの複雑性も増すことになります。たとえば、ユーザーがジョブを変更すると、そのユーザーに割り当てられていた役割を別のユーザーに手動で再割り当てしなけれなばならなくなる場合もあります。このため、ユーザーにアクセス許可を与える場合は、役割グループと役割割り当てポリシーを使用することをお勧めします。役割グループまたは役割割り当てポリシーに役割を割り当てた後で、役割グループのメンバーを追加または削除することや、必要に応じて役割割り当てポリシーを変更することが可能になります。

役割の割り当ての追加、削除、有効化、既存の役割の割り当ての管理スコープの変更、および役割の割り当ての別の役割の被割り当て者への移動を実行することができます。役割を役割グループ、役割割り当てポリシー、ユーザー、および USG に割り当てるプロセスは、各役割の被割り当て者を割り当てる場合とほぼ同じです。唯一の例外は、次のとおりです。

• 役割割り当てポリシーは、エンドユーザー管理役割にしか割り当てることができません。

• 役割割り当てポリシーは、委任の役割割り当てに割り当てることはできません。

• 役割割り当てポリシーに役割の割り当てを作成する場合、管理スコープを指定することはできません。

役割の割り当ての管理の詳細については、以下のトピックを参照してください。

• 役割グループ:

  • 役割グループに役割を追加する

  • 役割グループから役割を削除する

  • 役割の割り当てを変更する

  • 役割グループ内の役割の割り当てのスコープを変更する

  • 役割割り当てを委任する

• 役割割り当てポリシー:

  • 割り当てポリシーに役割を追加する

  • 割り当てポリシーから役割を削除する

  • 役割の割り当てを変更する

• ユーザーと USG:

  • ユーザーまたは USG に役割を追加する

  • ユーザーまたは USG から役割を削除する

  • 役割の割り当てを変更する

  • 役割のスコープを変更する

  • 役割割り当てを委任する

正規および委任の役割の割り当て

正規の役割の割り当てを使用すると、役割の被割り当て者は、関連付けられている管理役割によって利用可能になる管理役割エントリにアクセスできます。役割の被割り当て者に複数の管理役割が割り当てられると、各管理役割からの管理役割エントリが集約され適用されます。したがって、役割の被割り当て者に "Transport Rules/トランスポート ルール" および "Journaling /ジャーナリング" 役割が割り当てられると、これらの役割が組み合わされて、役割の被割り当て者には関連付けられたすべての管理役割エントリが与えられます。役割の被割り当て者が役割グループまたは役割割り当てポリシーである場合、その役割グループまたは役割割り当てポリシーに割り当てられたユーザーに、役割によって与えられたアクセス許可が与えられます。管理役割および役割エントリの詳細については、「管理の役割について」を参照してください。

委任の役割の割り当てでは、機能を管理するためのアクセスは与えられません。委任の役割の割り当てでは、役割の被割り当て者に、他の役割の被割り当て者に指定した役割が割り当てられます。役割の被割り当て者が役割グループである場合、役割グループのすべてのメンバーが役割を別の役割の被割り当て者に割り当てることができます。既定では、役割を他の役割の被割り当て者に割り当てられるのは "Organization Management/組織の管理" 役割グループのみです。既定では、Exchange 2010 をインストールしたユーザーのみが、"Organization Management/組織の管理" 役割グループのメンバーになります。ただし、必要に応じてこの役割グループに他のユーザーを追加したり、他の役割グループを作成して委任の役割割り当てをそのグループに割り当てたりすることができます。

注意

委任の役割の割り当てでは、役割の被役割者が、管理役割を他の役割の被割り当て者に委任できます。委任の役割の割り当てでは、ユーザーは役割グループを委任することはできません。役割グループの委任の詳細については、「管理役割グループについて」を参照してください。

ユーザーが機能を管理し、機能を使用するアクセス許可を与える役割を他のユーザーに与える場合は、以下の割り当てを行います。

1. 管理に必要な機能へのアクセスを与える各管理役割に対して、正規の役割の割り当てを行います。

2. 他の役割の被割り当て者に割り当てられるようにする各管理役割に対して、委任の役割の割り当てを行います。

役割の被割り当て者に対する正規の役割の割り当てと委任の役割の割り当ては、同一にする必要はありません。たとえば、正規の役割の割り当てを使用して "Transport Rules/トランスポート ルール" 役割が割り当てられた役割グループのメンバーであるユーザーの場合、正規の役割の割り当てによって、トランスポート ルールの機能を管理することができます。ただし、このユーザーは "Transport Rules/トランスポート ルール" 役割の委任の役割の割り当てが割り当てられていないため、この役割を他のユーザーに割り当てることはできません。一方、委任の役割の割り当てを使用して "Journaling /ジャーナリング" 管理役割が割り当てられた役割グループのメンバーであるユーザーの場合、このユーザーがメンバーである役割グループには、"Journaling /ジャーナリング" 役割の正規の役割の割り当てが行われていませんが、委任の役割の割り当てが行われているため、このユーザーは他の役割の被役割者に役割を割り当てることができます。

管理スコープ

正規の管理役割の割り当てまたは委任の管理役割の割り当てのどちらを作成する場合も、管理スコープを使用して割り当てを作成して、ユーザーが操作可能なオブジェクトを制限することができます。受信者スコープまたは構成スコープを作成することができます。受信者スコープを使用すると、メールボックス、メール ユーザー、配布グループなどを操作できるユーザーを制御できます。構成スコープを使用すると、サーバーとデータベースを操作できるユーザーを制御できます。

受信者スコープと構成スコープを使用すると、組織内のサーバー、データベース、または受信者オブジェクトの管理を分割できます。たとえば、受信者スコープを役割の割り当てに追加して、バンクーバーにいる管理者が同じオフィス内の受信者のみを管理できるようにします。サーバーの構成スコープを別の役割の割り当てに追加して、シドニーにいる管理者が Active Directory サイト内のサーバーのみを管理できるようにします。

スコープを使用すると、アクセス許可をユーザーのグループに割り当て、管理者が管理を実行可能な場所を指示できるようになります。これにより、地理的または組織的な境界に対応するアクセス許可モデルを作成できます。

事前に定義されたスコープを使用して割り当てを作成することも、カスタムのスコープを割り当てに追加することもできます。ユーザーをユーザーのメールボックスまたは配布グループのみに制限するなどの、事前に定義されたスコープを、割り当てそれ自体で使用可能なオプションを使用して適用することができます。また、カスタムの受信者スコープまたは構成スコープを作成して、そのスコープを役割の割り当てに追加することができます。カスタム スコープを使用すると、スコープに含めるオブジェクトをより詳細なレベルで制御できます。

事前に定義されたスコープとカスタムのスコープとを同一の割り当てに指定することはできません。また、同一の割り当てに排他的なスコープと正規のスコープを混在させることはできません。

それぞれの役割の割り当てには、1 つの受信者スコープと 1 つの構成スコープのみを指定できます。複数の受信者スコープまたは複数の構成スコープを同じ管理役割の役割担当者に適用する場合、複数の役割の割り当てを作成する必要があります。

カスタム スコープまたは事前に定義されたスコープのどちらもない場合、役割の割り当ては、役割自身に定義されている受信者スコープと構成スコープに制限されます。これらのスコープは、暗黙のスコープと呼ばれます。事前に定義されたスコープまたはカスタム スコープを持たない役割の割り当ては、関連付けられている役割から暗黙のスコープを継承します。

スコープの詳細については、「管理役割スコープについて」を参照してください。

排他的な役割の割り当て

排他的な役割の割り当ては、役割の割り当てに排他的なスコープを割り当てるときに作成されます。排他的なスコープは正規のスコープと同じように機能し、排他的なスコープを使用すると、役割の被割り当て者は排他的なスコープに一致する受信者を管理できるようになります。ただし、正規のスコープと異なり、他のすべての役割の被割り当て者は受信者を管理する能力を拒否されます。たとえ受信者が役割の被割り当て者の役割の割り当てに適用されるスコープに一致したとしても、その能力が与えられません。この機能は、受信者を管理できる人間を数人の管理者に制限する必要がある場合に有用です。特定の管理者のみが受信者を管理でき、それ以外のすべての管理者はアクセスを拒否されます。

たとえば、次のような場合を考えてみましょう。

• John は Contoso の上級管理職です。彼のメールボックスは "VIP Users/VIP ユーザー" という名前の排他的なスコープに一致し、このスコープは、"VIP Restricted/VIP 制限" という排他的な割り当てに関連付けられます。

• John のメールボックスはまた、"Redmond Users/Redmond ユーザー" という名前の正規のスコープにも含まれ、このスコープは、"Redmond Administration/Redmond 管理" という正規の割り当てに関連付けられます。

• Bill は、"VIP Restricted/VIP 制限" という排他的な割り当てに関連付けられている管理者です。

• Chris は、"Redmond Administration/Redmond 管理" という正規の役割に関連付けられています。

John のメールボックスは "VIP Users/VIP ユーザー" の排他的なスコープに一致するため、Bill だけが John のメールボックスを管理できます。また、John のメールボックスは、"Redmond Users/Redmond ユーザー" の正規のスコープに一致していますが、Chris は "VIP Restricted/VIP 制限" の排他的な割り当てには関連付けられていません。したがって、Exchange では、Chris は John のメールボックスを管理することはできません。Chris が John のメールボックスを管理するには、Chris は John のメールボックスに一致する排他的なスコープを持つ排他的な割り当てが割り当てられる必要があります。

詳細については、「管理役割スコープについて」を参照してください。

 © 2010 Microsoft Corporation.All rights reserved.