アクセス許可の Exchange 2007 との共存について
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2016-11-28
Microsoft Exchange Server 2010 のアクセス許可モデルは、以前のバージョンの Exchange で使用されていたモデルから強化されました。Exchange 2010 には、Microsoft Active Directory で使用されていた Exchange Server 2007 アクセス制御エントリ (ACE) ベースの承認モデルに代わる、役割ベースのアクセス制御 (RBAC) というアクセス許可が含まれています。RBAC は、Exchange 2010 の管理のほとんどで使用される承認機構です。この機構には、以下の管理領域が含まれます。
Exchange 管理シェル
Exchange コントロール パネル
Exchange 管理コンソール (EMC)
Exchange Web サービス
中間層コンポーネント上の MAPI
Exchange 2010 と以前のバージョンの Exchange 間で共存を計画する方法の詳細については、「Exchange 2010 へのアップグレードについて」を参照してください。
アクセス許可に関連する管理タスクについては、「アクセス許可の管理」を参照してください。
Exchange 2010 のアクセス許可
Exchange 2010 RBAC アクセス許可モデルは、いくつかの管理役割の 1 つを割り当てられた管理役割グループから成ります。管理役割には、管理者が Exchange 組織内でタスクを実行できるアクセス許可が含まれています。管理者は役割グループのメンバーとして追加され、その役割が提供するすべてのアクセス許可が与えられます。次の表は、役割グループ、役割グループに割り当てられる役割の一部、および役割グループのメンバーとなる可能性のあるユーザーの種類についての説明の一例です。
Exchange 2010 の役割グループと役割の例
| 管理役割グループ | 管理役割 | この役割グループのメンバー |
|---|---|---|
組織の管理 |
この役割グループに割り当てられる役割は次のとおりです。
|
Exchange 2010 組織全体を管理するユーザーは、この役割グループのメンバーとなる必要があります。一部の例外を除き、この役割グループのメンバーは Exchange 2010 組織のほぼ全部を管理することができます。 既定では、Exchange 2010 の Active Directory の準備に使用するユーザー アカウントは、この役割グループのメンバーです。 この役割グループの詳細と、この役割グループに割り当てられる役割の完全な一覧については、「組織の管理」を参照してください。 |
組織の管理のみ表示 |
この役割グループに割り当てられる役割は次のとおりです。
|
Exchange 2010 組織全体の構成を表示するユーザーは、この役割グループのメンバーとなる必要があります。このようなユーザーは、組織や受信者の構成を変更せずに、サーバー構成と受信者情報を表示して監視機能を実行できる必要があります。 この役割グループの詳細については、「表示専用組織の管理」を参照してください。 |
Recipient Management |
この役割グループに割り当てられる役割は次のとおりです。
|
Exchange 2010 組織でメールボックス、連絡先、配布グループなどの受信者を管理するユーザーは、この役割グループのメンバーである必要があります。これらのユーザーは、受信者の作成、既存の受信者の変更や削除、またはメールボックスの移動を行うことができます。 この役割グループの詳細と、この役割グループに割り当てられる役割の完全な一覧については、「受信者の管理」を参照してください。 |
"Server Management/サーバー管理" |
この役割グループに割り当てられる役割は次のとおりです。
|
Exchange サーバーの構成 (受信コネクタ、証明書、データベース、仮想ディレクトリなど) を管理するユーザーは、この役割グループのメンバーである必要があります。これらのユーザーは、Exchange サーバーの構成の変更、データベースの作成や、トランスポート キューの再起動および操作を行うことができます。 この役割グループの詳細と、この役割グループに割り当てられる役割の完全な一覧については、「サーバー管理」を参照してください。 |
証拠開示管理 |
この役割グループに割り当てられる役割は次のとおりです。
|
法的手続きのサポートまたは法的情報保留の構成のためにメールボックスの検索を実行するユーザーは、この役割グループのメンバーである必要があります。 これは、法務部門の担当者など、Exchange 管理者でない人が含まれる可能性のある役割グループの一例です。法務担当者は Exchange 管理者の介入なしにタスクを実行することができます。 この役割グループの詳細と、この役割グループに割り当てられる役割の完全な一覧については、「検出の管理」を参照してください。 |
この表は、Exchange 2010 により、管理者に付与するアクセス許可を詳細なレベルで制御できることを示しています。Exchange 2010 では、11 の役割グループから選択できます。役割グループおよびそのアクセス許可の完全な一覧については、「組み込みの役割グループ」を参照してください。
Exchange 2010 では多数の役割グループが提供され、異なる役割を組み合わせて役割グループを作成することによりカスタマイズが可能であるため、Active Directory オブジェクトに対するアクセス制御リスト (ACL) の操作は不要となり、効果がありません。Exchange 2010 では、ACL を使用して個々の管理者やグループにアクセス許可を適用することはなくなりました。メールボックスを作成する管理者やメールボックスにアクセスするユーザーなど、すべてのタスクは RBAC で管理します。RBAC によりタスクが承認され、許可されている場合は Exchange がユーザーに代わってタスクを実行します。Exchange は、Exchange Trusted Subsystem ユニバーサル セキュリティ グループ (USG) でこのタスクを実行します。一部の例外を除き、Active Directory がアクセスする必要のある Exchange 2010 内のオブジェクト上の ACL にはすべて Exchange Trusted Subsystem USG が付与されます。これが、Exchange 2007 のアクセス許可の処理方法から根本的に変更された点です。
Active Directory で与えられるアクセス許可は、Exchange 2010 管理ツールを使用する際に RBAC によって与えられるアクセス許可とは別のものです。
RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。
Exchange 2007 のアクセス許可
Exchange 2007 管理モデルでは、Active Directory フォレストを利用してセキュリティ境界を定義します。特定のフォレスト内でのセキュリティ アクセス許可の分離はありません。フォレストの所有者はおよびエンタープライズ管理者は、すべてのドメインのすべてのリソースに常にアクセスできます。Exchange 2007 では、一時的な目的のみで、エンタープライズ管理者の権限およびトップレベル ドメイン管理者の権限の付与が必要な場合があります。
Exchange 2007 では、次のような定義済みの管理者の役割があります。
"Exchange Organization Administrator/Exchange 組織管理者" 役割 この役割は、Exchange 2007 組織のすべての要素を制御するためのアクセス許可を付与します。また、この役割の管理者は、他の Exchange 管理者にアクセス許可を付与できます。この役割は、Exchange 2007 のインストールに使用するアカウントに付与されます。
"Exchange View-Only Administrator/Exchange 表示専用管理者" 役割 この役割は、Exchange 構成を表示するためのアクセス許可を付与します。ただし、この役割の管理者は、Exchange 2007 組織内のオブジェクトを変更することはできません。
"Exchange Recipient Administrator/Exchange 受信者管理者" 役割 この役割は、電子メール受信者を管理するためのアクセス許可を付与します。この役割の管理者は、ユーザー、グループ、連絡先、および配布グループの Exchange に関連するアイテムを変更できます。
"Exchange Server Administrator/Exchange サーバー管理者" 役割 この役割は、特定のサーバーを管理するためのアクセス許可を付与します。ただし、この役割は Exchange 2007 組織全体に影響を与える操作を実行するためのアクセス許可は付与しません。
"Exchange Public Folder Administrator/Exchange パブリック フォルダー管理者" 役割 この役割は、Exchange 2007 Service Pack 1 で追加されました**。**この役割は、Exchange 2007 組織内のパブリック フォルダーを管理するためのアクセス許可を付与します。
このアクセス許可モデルでは、"Exchange Server Administrator/Exchange サーバー管理者" の役割を除くすべての役割で USG を使用します。Exchange 2007 の Setup /PrepareAD コマンドを実行すると、セットアップ プログラムにより USG がルート ドメインに作成され、フォレスト全体のスコープを USG に付与します。USG は、Active Directory 全体の Exchange オブジェクトを管理するために ACL を割り当てられます。
Exchange 2007 では、さまざまな役割を割り当てることにより、管理者を分けることができます。アクセス許可は、ユーザーまたはユーザーがメンバーとなっている USG のいずれかに直接割り当てられます。ユーザーの操作はすべて、そのユーザーの Active Directory アカウントのコンテキスト内で実行されます。次の表は、Exchange 2007 管理者の役割、およびそれぞれの Exchange に関連するアクセス許可の一覧です。
Exchange 2007 管理者の役割
| 管理者の役割 | メンバー | 所属するグループ | Exchange のアクセス許可 |
|---|---|---|---|
"Exchange Organization Administrator/Exchange 組織管理者" |
Administrator アカウント、または最初の Exchange 2007 サーバーのインストールに使用したアカウント |
"Exchange Recipient Administrator/Exchange 受信者管理者" <サーバー名> のローカルの Administrators グループ |
Active Directory 内の Microsoft Exchange コンテナーのフル コントロール |
"Exchange View-Only Administrator/Exchange 表示専用管理者" |
"Exchange Recipient Administrators/Exchange 受信者管理者" "Exchange Server Administrators/Exchange サーバー管理者" (<サーバー名 >) |
"Exchange Recipient Administrators/Exchange 受信者管理者" "Exchange Server Administrators/Exchange サーバー管理者" |
Active Directory 内の Exchange コンテナーに対する読み取りアクセス Exchange 受信者を含むすべての Windows ドメインに対する読み取りアクセス |
"Exchange Recipient Administrator/Exchange 受信者管理者" |
"Exchange Organization Administrators/Exchange 組織管理者" |
"Exchange View-Only Administrators/Exchange 表示専用管理者" |
Active Directory ユーザー オブジェクトの Exchange プロパティのフル コントロール |
"Exchange Server Administrator/Exchange サーバー管理者" |
"Exchange Organization Administrators/Exchange 組織管理者" |
"Exchange View-Only Administrators/Exchange 表示専用管理者" <サーバー名> のローカルの Administrators グループ |
Exchange<サーバー名> のフル コントロール |
Exchange Server |
各 Exchange 2007 コンピューター アカウント |
"Exchange View-Only Administrators/Exchange 表示専用管理者" |
特殊 |
"Exchange Public Folder Administrator/Exchange パブリック フォルダー管理者" |
"Exchange Organization Administrators/Exchange 組織管理者" |
"Exchange View-Only Administrators/Exchange 表示専用管理者" |
すべてのパブリック フォルダーを管理するフル コントロール (最上位のパブリック フォルダーの作成の拡張された権利を付与) |
さらに詳細なアクセス許可の割り当てを行う必要がある場合は、アドレス リストやデータベースなど、個別の Exchange 2007 オブジェクトの ACL を変更できます。ユーザーまたはユーザーがメンバーとなっているセキュリティ グループを直接 ACL に追加する必要があります。その後、特定のユーザーのコンテキスト内で操作が実行されます。
Exchange 2007 でアクセス許可を管理する方法の詳細については、「Exchange Server 2007 でのアクセス許可の構成」を参照してください。
Exchange 2010 と Exchange 2007 の共存アクセス許可
Exchange 2010 と Exchange 2007 のアクセス許可モデルは異なるため、Exchange 2010 のアクセス許可の割り当ては、Exchange 2007 のアクセス許可の割り当てとは分けて行います。これは、両方のバージョンの Exchange が同じフォレストにインストールされている場合にも当てはまります。追加の構成を行わないと、Exchange 2010 管理者は Exchange 2007 ベースのサーバーを管理するために必要なアクセス許可を持たず、Exchange 2007 管理者は Exchange 2010 ベースのサーバーを管理するために必要なアクセス許可を持ちません。以下の事項について検討してください。
Exchange 2010 の管理者が Exchange 2007 サーバーにアクセスして管理できるようにするか。
Exchange 2007 の管理者が Exchange 2010 サーバーにアクセスして管理できるようにするか。
Exchange 2010 のアクセス許可をカスタマイズして、Exchange 2007 の ACL に行ったカスタマイズと一致させるかどうか。
Exchange 2010 のアクセス許可を Exchange 2007 の管理者に与える
Exchange 2007 管理者が Exchange 2010 サーバーを管理できるようにするには、Exchange 2007 管理者を 1 つまたは複数の Exchange 2010 役割グループのメンバーとして追加する必要があります。役割グループには、ユーザーまたは USG のいずれかを追加できます。役割グループに与えられるアクセス許可は、メンバーとして追加するユーザーまたは USG に適用されます。
重要
ドメインのローカルまたはグローバルの Active Directory セキュリティ グループを使用する場合、これらのセキュリティ グループを Exchange 2010 役割グループのメンバーとして追加するには、USG に変更する必要があります。Exchange 2010 では USG のみがサポートされています。
次の表は、Exchange 2007 管理役割と Exchange 2010 役割グループとの間のマッピングを示します。
Exchange 2007 の管理役割および Exchange 2010 の役割グループ
| Exchange 2007 の管理役割 | Exchange 2010 の役割グループ |
|---|---|
"Exchange Organization Administrator/Exchange 組織管理者" |
組織の管理 |
"Exchange Recipient Administrator/Exchange 受信者管理者" |
Recipient Management |
"Exchange Server Administrator/Exchange サーバー管理者" |
"Server Management/サーバー管理" |
"Exchange View-Only Administrator/Exchange 表示専用管理者" |
組織の管理のみ表示 |
Exchange サーバー |
Exchange 2010 には対応する役割グループはありません (カスタム役割グループを作成する方法の詳細については、「役割グループを作成する」を参照してください。) |
"Exchange Public Folder Administrator/Exchange パブリック フォルダー管理者" |
"Public Folder Management/パブリック フォルダーの管理" |
すべての Exchange 2007 管理者が Exchange 2007 の管理役割のいずれかのメンバーである場合は、各管理グループのメンバーを Exchange 2010 の同等の役割グループにそれぞれ追加することができます。たとえば、すべての Exchange 2007 組織管理者に Exchange 2010 オブジェクトへのフル アクセスを付与する場合は、"Exchange Organization Administrators/Exchange 組織管理者" USG を 組織の管理 の役割グループに追加します。
ユーザーおよび USG の役割グループへの追加方法の詳細については、「役割グループにメンバーを追加する」を参照してください。
Exchange 2007 オブジェクトの ACL を変更して、より詳細なアクセス許可を Exchange 2007 管理者に与えたうえで、これらの管理者に Exchange 2010 サーバーと同様のアクセス許可を割り当てるには、次の手順に従います。
Exchange 2007 オブジェクトに行った ACL のカスタマイズを確認し、各オブジェクトにアクセス許可を付与した管理者を見つけます。
それぞれの Exchange 2007 オブジェクトを分類します。たとえば、オブジェクトがデータベースか、サーバーか、受信者オブジェクトかを判別します。
対応する Exchange 2010 役割グループにオブジェクトをマッピングします。組み込みの役割グループの一覧については、「組み込みの役割グループ」を参照してください。
各種オブジェクトの USG またはユーザーを、対応する Exchange 2010 役割グループに追加します。ユーザーおよび USG の役割グループへの追加方法の詳細については、「役割グループにメンバーを追加する」を参照してください。
以上の手順を完了すると、Exchange 2007 管理者は適切な Exchange 2010 オブジェクトにマップされた特定の役割グループのメンバーになります。Exchange 2007 管理者は、Exchange 2010 管理ツールを使用して、Exchange 2010 サーバーおよび受信者を管理できるようになります。
重要
一般的に、Exchange 2007 サーバーと受信者は Exchange 2007 管理ツールを使用して、Exchange 2010 サーバーと受信者は Exchange 2010 管理ツールを使用して管理する必要があります。
管理者に付与する必要のある特定のアクセス許可のセットが組み込みの役割グループで提供されていない場合は、カスタム役割グループを作成できます。カスタム役割グループの作成時に、追加する役割を選択できます。役割グループのメンバーが管理する特定の機能を定義できます。たとえば、管理者に配布グループのみを管理させる場合は、カスタム役割グループを作成し、"Distribution Groups/配布グループ" の役割だけを選択します。この操作を行った後、そのカスタム役割グループのメンバーは配布グループのみを管理できるようになります。カスタム役割グループを作成する方法の詳細については、「役割グループを作成する」を参照してください。
特定の Exchange 2007 オブジェクトに選択的なアクセス許可を割り当てており (たとえば、管理者に特定のデータベースのみの管理を許可するなど)、これと同じ構成を Exchange 2010 サーバーに適用する場合は、このトピックに記載されている「Exchange 2007 で管理スコープを使用して Exchange 2010 の ACL カスタマイズを再作成する」を参照してください。
Exchange 2007 のアクセス許可を Exchange 2010 の管理者に与える
Exchange 2010 管理者が Exchange 2007 サーバーを管理できるようにするには、Exchange 2010 管理者を USG または特定の Exchange 2007 管理役割に相当するセキュリティ グループに追加します。もしくは、カスタマイズした ACL 設定がある場合は、管理者を適切な ACL に追加します。役割グループは USG であるため、Exchange 2007 管理役割 USG に直接追加できます。
完了すると、Exchange 2010 管理者は 1 つまたは複数の適切な Exchange 2007 管理役割のメンバーとなります。Exchange 2010 管理者は、Exchange 2007 管理ツールを使用して、Exchange 2007 サーバーおよび受信者を管理できるようになります。
Exchange 2010 で管理スコープを使用して Exchange 2007 の ACL カスタマイズを再作成する
Exchange 2007 では、特定のメールボックス ストアやユーザーを管理したり、メールボックスの作成先のメールボックス ストアを制御したりすることができるユーザーを制限する場合は、制限しようとするオブジェクトの ACL を変更する必要があります。Exchange 2010 にも同じ機能がありますが、ACL を変更する必要はありません。管理スコープ (RBAC のコンポーネント) を使用してこれを行います。
管理スコープを使用すると、組み込みのスコープとカスタム スコープにより、管理者が管理できるオブジェクトを定義できます。管理スコープを適用すると、管理できる受信者、メールボックスを作成できるメールボックス データベースや、管理者の小規模グループのみで管理する必要がある受信者やサーバーを定義できます。
以下の種類の管理スコープを作成できます。
定義済み相対 Exchange 2010 には、定義済み相対スコープが含まれます。ユーザーが参照して変更できる内容を制御できます。たとえば、定義済み相対スコープを使用すると、ユーザー自身に関する情報のみを参照するよう制御したり、組織全体に関する情報を参照するよう制御したりできます。
受信者 受信者スコープによって、管理者が作成、変更、または削除できる受信者を制御します。この選択は、組織単位 (OU)、受信者フィルター、またはその両方に基づきます。受信者フィルターによって、受信者がスコープに含まれるために一致する必要がある条件を指定します。たとえば、特定の場所や部署の全ユーザーが含まれる受信者フィルター スコープを作成する場合などがあります。OU と受信者フィルターを組み合わせて、特定の OU 内の特定のマネージャーにレポートするユーザーという条件に一致させることもできます。
サーバー サーバー スコープによって、管理者が管理できるサーバーを制御します。サーバー リストまたはサーバー フィルターのいずれかを指定できます。サーバー リストでは、管理できるサーバーの静的一覧を定義します。サーバー フィルターは、一致する必要がある条件を指定できるという点で、受信者フィルターと同様に動作します。たとえば、特定の Active Directory サイト内の全サーバーという条件に一致するサーバー スコープを作成する場合があります。
データベース データベース スコープによって、管理者が管理できるデータベースを制御します。データベース スコープにより、メールボックスの作成先や移動先にすることのできるデータベースも制御できます。データベース スコープは、サーバー スコープと同様に、リストまたはフィルターとして定義できます。たとえば、特定の支社が管理する特定のメールボックス データベースに対する管理者によるメールボックスの作成や移動を許可するリストやフィルターを作成する場合があります。
排他的 受信者、サーバー、およびデータベースのスコープは、排他的スコープとして作成することもできます。排他的スコープは、ACL の拒否アクセス ACE と同様に動作します。排他的スコープと一致するオブジェクトがあると、排他的スコープが割り当てられている管理者のみがそのオブジェクトを管理できます。これは、他の排他的でないスコープがそのオブジェクトと一致している場合でも当てはまります。これは、数人の十分に信用できる個人だけが上級管理者のメールボックスを管理できるようにしたい場合などに特に有用です。別の標準の受信者スコープがより広範囲で、そのスコープに上級管理者のメールボックスが含まれている場合でも、その広範囲な標準の受信者スコープが割り当てられている管理者に排他的スコープも割り当てられていない限り、その管理者は上級管理者のメールボックスを管理できません。
管理スコープは、管理役割、管理役割の割り当て、および管理役割グループで、オブジェクトの管理者と種類、およびそれらのオブジェクトを管理する方法を制御するために使用されます。詳細については、以下のトピックを参照してください。
カスタマイズした ACL を使用して定義した管理スコープを使用し、Exchange 2010 で同じアクセス許可モデルを作成するには、カスタマイズした ACL をインベントリし、その ACL と一致する管理スコープを作成する必要があります。受信者、サーバー、およびデータベース オブジェクトで使用できるフィルター可能なプロパティを使用して、各管理スコープでアクセスを制御するオブジェクトを含む管理スコープを作成できます。管理スコープ フィルターで使用できるプロパティの詳細については、「管理ロールのスコープ フィルターについて」を参照してください。
管理スコープを作成する方法の詳細については、「通常または排他スコープを作成する」を参照してください。
© 2010 Microsoft Corporation.All rights reserved.