管理役割の割り当てポリシーについて
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2015-03-09
管理役割の割り当てポリシーは、エンドユーザーが自分の Microsoft Exchange Server 2010 メールボックスと配布グループ構成を管理できるようにする 1 つ以上のエンドユーザー管理役割の集合です。役割の割り当てポリシーは、Exchange 2010 の役割ベースのアクセス制御 (RBAC) アクセス許可モデルの一部で、エンドユーザーが変更できる特定のメールボックスと配布グループ構成の設定を制御できるようになります。さまざまなユーザーのグループにグループ専用の役割割り当てポリシーを指定することができます。
注意
ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2010 アクセス許可を管理する場合 (Exchange コントロール パネル (ECP) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可について」を参照してください。
RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。
目次
役割の割り当てポリシー レイヤー
既定および明示的な役割の割り当てポリシー
役割の割り当てポリシーの使用
役割の割り当てポリシーの管理
役割の割り当てポリシー レイヤー
役割の割り当てポリシー モデルを構成するさまざまなレイヤーを次に示します。
メールボックス メールボックスには 1 つの役割の割り当てポリシーが割り当てられています。メールボックスに 1 つの役割の割り当てポリシーが割り当てられている場合、管理役割と役割の割り当てポリシー間の割り当てがメールボックスに適用されます。これにより、管理役割のすべてのアクセス許可がメールボックスに付与されます。
管理役割の割り当てポリシー 管理役割の割り当てポリシーは、Exchange 2010 の特別なオブジェクトです。ユーザーのメールボックスが作成されたとき、またはメールボックスの役割の割り当てポリシーを変更した場合に、ユーザーが役割の割り当てポリシーに関連付けられます。エンドユーザーの管理役割もこれに割り当てられます。役割の割り当てポリシーのすべての役割の組み合わせによって、ユーザーがメールボックスまたは配布グループで管理できるものがすべて定義されます。
管理役割の割り当て 管理役割の割り当ては、管理役割と役割の割り当てポリシー間のリンクです。管理役割を役割の割り当てポリシーに割り当てると、管理役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。役割の割り当てポリシーと管理役割間の役割の割り当てを作成する場合、スコープを指定することはできません。割り当てによって適用されるスコープは、管理役割に基づいており、
SelfまたはMyGALです。詳細については、「管理役割の割り当てについて」を参照してください。管理役割 管理役割は、管理役割エントリのグループ化用のコンテナーです。役割は、ユーザーがメールボックスまたは配布グループを使用して実行できる特定のタスクを定義するために使用されます。管理役割エントリは、管理役割の各特定タスクを実行できるようにするコマンドレット、スクリプト、または特別なアクセス許可です。エンドユーザー管理役割は、役割の割り当てポリシーでのみ使用できます。詳細については、「管理の役割について」を参照してください。
管理役割エントリ 管理役割エントリは、管理役割と役割グループにどのコマンドレットとパラメーターが使用できるかを決定する、管理役割の個々のエントリです。各役割エントリは、1 つのコマンドレットとパラメーターから構成され、管理役割によってアクセスできます。
次の図は、前の一覧の各役割の割り当てポリシー レイヤーと、各レイヤーが他のレイヤーとどう関連するかを示しています。
管理役割の割り当てポリシーのモデル
.jpg "ロールの役割モデルの関係")
管理役割、役割の割り当て、およびスコープの詳細については、「役割ベースのアクセス制御について」を参照してください。
ページのトップへ
既定および明示的な役割の割り当てポリシー
ここでは、Exchange 2010 の役割の割り当てポリシーの 2 つの種類について説明します。
既定の役割の割り当てポリシー
既定の役割の割り当てポリシーは、Exchange 2010 を実行しているサーバーでメールボックスを作成したり、メールボックスをサーバーに移動したりしたときにメールボックスに割り当てられるポリシーです。役割の割り当てポリシーは、New-Mailbox または Enable-Mailbox コマンドレットで RoleAssignmentPolicy パラメーターを使用すると提供されませんでした。
Exchange 2010 には、エンドユーザーに最もよく使用されるアクセス許可を提供する既定の役割の割り当てポリシーが含まれます。管理役割を追加または削除することで、既定の役割の割り当てポリシーで既定のアクセス許可を変更できます。
組み込みの既定の役割の割り当てポリシーを独自の既定の役割の割り当てポリシーと置き換える場合、Set-RoleAssignmentPolicy コマンドレットを使用して新しい既定を選択できます。これを実行すると、役割の割り当てポリシーを明示的に指定しない場合、既定で新しいメールボックスに指定した役割の割り当てポリシーが割り当てられます。
既定の役割の割り当てポリシーを変更する場合、既定の役割の割り当てポリシーを割り当てられたメールボックスに、新しい既定の役割の割り当てポリシーが自動的に割り当てられません。前に作成したメールボックスを、既定として設定した役割の割り当てポリシーを使用するように更新する場合、更新するには Set-Mailbox コマンドレットを使用する必要があります。
明示的な役割の割り当てポリシー
明示的な役割の割り当てポリシーは、New-Mailbox、Set-Mailbox、またはEnable-Mailbox コマンドレットの RoleAssignmentPolicy パラメーターを使用してメールボックスに手動で割り当てるポリシーです。明示的な役割の割り当てポリシーを割り当てる場合、新しいポリシーが直ちに有効になり、前に割り当てられた明示的な役割の割り当てポリシーに置き換わります。
ページのトップへ
役割の割り当てポリシーの使用
役割の割り当てポリシーにより、ビジネスでユーザーが構成できる必要があるものに基づいて、アクセス許可を調整できます。既定の役割の割り当てポリシーがニーズを満たす場合、カスタマイズは必要ありません。ただし、専用のニーズを持つ多数の異なるユーザー グループが存在する場合は、各グループの役割の割り当てポリシーを作成することができます。
使用する既定の役割の割り当てポリシーには、非常に広範なユーザーに適用するアクセス許可が含まれている必要があります。次に、各専用ユーザー グループの役割の割り当てポリシーを作成し、それらの役割の割り当てポリシーを調整して、ある程度制限のあるアクセス許可をユーザー グループに付与します。役割の割り当てポリシーをこの方法で編成する場合、役割の割り当てポリシーを専用のユーザーに明示的に割り当てることで複雑さを軽減し、大多数のユーザーには既定の役割の割り当てポリシーによって提供されるより一般的なアクセス許可を付与します。
メールボックスは役割の割り当てポリシーを 1 つだけ持つことができます。管理者および専門家ユーザーを含むすべてのユーザーに、1 つの役割の割り当てポリシーが割り当てられます。あるユーザーに別の一連のアクセス許可を指定する場合、そのユーザーのメールボックスに、必要なアクセス許可を持つ別の役割の割り当てポリシーを割り当てる必要があります。
ページのトップへ
役割の割り当てポリシーの管理
新しい役割の割り当てポリシーを追加するには、まずポリシーを作成し、既定の役割の割り当てポリシーにする必要があるかどうかを判断します。役割の割り当てポリシーを作成したら、管理役割をその役割の割り当てポリシーに割り当て、次に役割の割り当てポリシーをメールボックスに割り当てます。後から管理役割の追加または削除を選択したり、既定にする別の役割の割り当てポリシーを選択したりできます。
次の表は、役割の割り当てポリシー レイヤーと各レイヤーの管理に使用できる手順のトピックを示しています。
役割の割り当てポリシーの管理のトピック
| 役割の割り当てポリシーのモデル レイヤー | 管理のトピック |
|---|---|
メールボックス |
|
役割の割り当てポリシー |
|
管理役割および割り当て |
|
管理役割エントリ |
注意 役割の割り当てポリシーで管理役割の管理役割エントリを変更する作業は、高度なタスクで、通常ほとんどの場合は必要ありません。代わりに、要件に合った既存の管理役割を使用できる場合があります。詳細については、「組み込みの役割グループ」を参照してください。 |
ページのトップへ
© 2010 Microsoft Corporation.All rights reserved.