Grant-CsExternalAccessPolicy
トピックの最終更新日: 2012-03-23
外部アクセス ポリシーを、ユーザーまたはユーザーのグループに割り当てることができます。外部アクセス ポリシーはユーザーが次のことを実行できるかどうかを決定します。1) フェデレーション組織のセッション開始プロトコル (SIP) アカウントを持つユーザーと通信する、2) MSN などのパブリック インスタント メッセージング (IM) プロバイダーの SIP アカウントを持つユーザーと通信する、3) 内部ネットワークにログオンせずに、インターネット経由で Lync Server にアクセスする。UNRESOLVED_TOKEN_VAL(ps-intro-in-LS2010)
構文
Grant-CsExternalAccessPolicy -Identity <UserIdParameter> -PolicyName <String> [-Confirm [<SwitchParameter>]] [-DomainController <Fqdn>] [-PassThru <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
例
例 1
例 1 では、外部アクセス ポリシー RedmondAccessPolicy を Active Directory 表示名が Ken Myer であるユーザーに割り当てています。
Grant-CsExternalAccessPolicy -Identity "Ken Myer" -PolicyName RedmondAccessPolicy
例 2
例 2 に示すコマンドは、外部アクセス ポリシー RedmondAccessPolicy を Redmond 市で勤務するすべてのユーザーに割り当てています。これを行うために、まず、Get-CsUser コマンドレットと LdapFilter パラメーターを使用して、Redmond 市で勤務するすべてのユーザーのコレクションを戻します。フィルター値 "l=Redmond" により、戻されるデータを Redmond 市で勤務するユーザーに制限します (フィルター内の l (L の小文字) はローカリティを表します)。次に、このコレクションは Grant-CsExternalAccessPolicy コマンドレットにパイプ処理されて、コレクション内の各ユーザーにポリシー RedmondAccessPolicy が割り当てられます。
Get-CsUser -LdapFilter "l=Redmond" | Grant-CsExternalAccessPolicy -PolicyName RedmondAccessPolicy
例 3
例 3 では、役職が "Sales Representative" であるすべてのユーザーに、外部アクセスポリシー SalesAccessPolicy を割り当てています。このタスクを実行するため、まず、Get-CsUser コマンドレットと LdapFilter パラメーターを使用して、すべての Sales Representative のコレクションを戻します。フィルター値 "Title=Sales Representative" により、戻されるコレクションを役職が "Sales Representative" であるユーザーに制限します。次に、このフィルター処理されたコレクションは Grant-CsExternalAccessPolicy コマンドレットにパイプ処理されて、コレクション内の各ユーザーにポリシー SalesAccessPolicy が割り当てられます。
Get-CsUser -LdapFilter "Title=Sales Representative" | Grant-CsExternalAccessPolicy -PolicyName SalesAccessPolicy
例 4
例 4 に示すコマンドでは、ユーザーごとのポリシーが明示的に割り当てられていないすべてのユーザーに外部アクセス ポリシー BasicAccessPolicy を割り当てています (つまり、現在ユーザーはサイト ポリシーかグローバル ポリシーによって管理されています)。これを行うため、Get-CsUser コマンドレットと Filter パラメーターを使用して、該当するユーザーのセットを戻します。フィルター値 {ExternalAccessPolicy -eq $Null} により、戻されるデータを ExternalAccessPolicy プロパティが NULL 値 ($Null) と等しい (-eq) ユーザー アカウントに制限します。定義上、ユーザーごとのポリシーがユーザーに割り当てられていない場合にのみ ExternalAccessPolicy は null になります。
Get-CsUser -Filter {ExternalAccessPolicy -eq $Null} | Grant-CsExternalAccessPolicy -PolicyName BasicAccessPolicy
例 5
例 5 では、外部アクセス ポリシー USAccessPolicy を US という組織単位 (OU) にアカウントを持つすべてのユーザーに割り当てています。まず、OU パラメーターを指定して Get-CsUser コマンドレットを呼び出します。パラメーター値 "ou=US,dc=litwareinc,dc=com" により、戻されるデータを US OU 内のユーザー アカウントに制限します。次に、戻されたコレクションは Grant-CsExternalAccessPolicy コマンドレットにパイプ処理されて、コレクション内の各ユーザーにポリシー USAccessPolicy が割り当てられます。
Get-CsUser -OU "ou=US,dc=litwareinc,dc=com" | Grant-CsExternalAccessPolicy -PolicyName USAccessPolicy
例 6
例 6 では、Lync Server が有効になっているユーザーに以前割り当てた、ユーザーごとの外部アクセス ポリシーを割り当て解除しています。これを行うため、コマンドで (追加パラメーターを指定せずに) Get-CsUser コマンドレットを呼び出して、Lync Server が有効になっているすべてのユーザーのコレクションを戻します。次に、そのコレクションを Grant-CsExternalAccessPolicy コマンドレットにパイプ処理し、"-PolicyName $Null" という構文を使用して、これらのユーザーに以前割り当てたユーザーごとの外部アクセス ポリシーを削除します。
Get-CsUser | Grant-CsExternalAccessPolicy -PolicyName $Null
解説
Lync Server をインストールすると、ユーザーはユーザー同士でインスタント メッセージおよびプレゼンス情報を交換することだけができます。既定では、Active Directory ドメイン サービス (AD DS) 内の SIP アカウントを持つ他のユーザーとのみ通信できます。さらに、ユーザーはインターネット経由で Lync Server にアクセスできず、内部ネットワークにログオンしてからでないと、Lync Server にログオンできません。
これで、通信の必要性を十分満たしている場合もあるでしょう。ニーズを満たさない場合は、外部アクセス ポリシーを使用して、ユーザーが使用できる通信と共同作業の機能を拡張できます。外部アクセス ポリシーは、ユーザーに次のいずれか、またはすべてを実行する能力を付与 (または無効に) できます。
1. フェデレーション組織の SIP アカウントを持つユーザーと通信します。フェデレーションを有効にすると、ユーザーにこの機能が自動的に提供されるわけではありません。代わりに、フェデレーションを有効にしてから、ユーザーにフェデレーション ユーザーと通信する権限を付与する外部アクセス ポリシーを割り当てる必要があります。
2. MSN などのパブリック インスタント メッセージング サービスの SIP アカウントを持つユーザーと通信する。
3. インターネット経由で Lync Server にアクセスする (事前に内部ネットワークにログオンする必要はない)。これにより、ユーザーは Lync を使用でき、Lync Server にインターネット カフェやその他の遠隔地からログオンできます。
Lync Server をインストールするときに、グローバル外部アクセス ポリシーが自動的に作成されます。このグローバル ポリシーのほかに、New-CsExternalAccessPolicy コマンドレットを使用して、サイト スコープまたはユーザーごとのスコープのいずれかで構成される追加の外部アクセスポリシーを作成できます。
ポリシーがサイト スコープで作成されると、そのポリシーは対象のサイトに自動的に割り当てられます。たとえば、site:Redmond という ID を持つ外部アクセス ポリシーは、自動的に Redmond サイトに割り当てられます。対照的に、ユーザーごとのスコープで作成されたポリシーはどのユーザーにも自動的には割り当てられません。代わりに、これらのポリシーはユーザーまたはユーザーのグループに明示的に割り当てる必要があります。ユーザーごとのポリシーを割り当てるのは、Grant-CsExternalAccessPolicy コマンドレットの機能です。
ユーザーごとのポリシーは、サイト ポリシーおよびグローバル ポリシーよりも常に優先されます。たとえば、フェデレーション ユーザーとの通信を許可するユーザーごとのポリシーを作成し、そのポリシーを Ken Myer に割り当てるとします。そのポリシーが有効である限りは、フェデレーション ユーザーとの通信が Ken のサイトのポリシーやグローバル ポリシーで許可されていない場合でも、Ken はフェデレーション ユーザーと通信できます。その理由は、ユーザーごとのポリシーの設定が優先されるためです。
このコマンドレットを実行できるユーザー: 既定では、次のグループのメンバーが、Grant-CsExternalAccessPolicy コマンドレットのローカル実行を承認されています。RTCUniversalUserAdmins。このコマンドレットが割り当てられているすべての役割ベースのアクセス制御 (RBAC) の役割の一覧 (自身が作成したカスタムの RBAC の役割を含む) を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Grant-CsExternalAccessPolicy"}
パラメーター
パラメーター | 必須かどうか | 型 | 説明 |
---|---|---|---|
Identity |
必須 |
Microsoft.Rtc.Management.AD.UserIdParameter |
ポリシーを割り当てる必要があるユーザー アカウントの ID。ユーザーの Identity は、以下の 4 つの形式のうちの 1 つを使用して指定できます。1) ユーザーの SIP アドレス、2) ユーザーのユーザー プリンシパル名 (UPN)、3) ドメイン\ログオン形式 (litwareinc\kenmyer など) のユーザーのドメイン名とログオン名、4) ユーザーの Active Directory 表示名 (Ken Myer など)。ユーザーの Active Directory 識別名を使用してユーザーの Identity を参照することもできます。 さらに、ユーザー ID を指定する場合は、アスタリスク (*) ワイルドカード文字を使用できる点に注意してください。たとえば、"* Smith" という Identity は、末尾が " Smith" という文字列値の表示名を持つすべてのユーザーを戻します。 |
PolicyName |
必須 |
System.String |
割り当てられるポリシーの "名前" です。PolicyName は、単にポリシーの Identity からポリシーのスコープ (プレフィックス "tag:") を除いたものです。たとえば、tag:Redmond という ID のポリシーの、PolicyName は Redmond です。tag:RedmondAccessPolicy という ID のポリシーの、PolicyName は RedmondAccessPolicy です。 以前ユーザーに割り当てたユーザーごとのポリシーの割り当てを解除するには、PolicyName パラメーター を $Null に設定します。 |
Confirm |
省略可能 |
System.Management.Automation.SwitchParameter |
コマンドの実行前に確認メッセージを表示します。 |
DomainController |
省略可能 |
Microsoft.Rtc.Management.Deploy.Fqdn |
新しいポリシーを割り当てるときに接続するドメイン コントローラーの完全修飾ドメイン名 (FQDN) を指定できます。このパラメーターが指定されていない場合、Grant-CsExternalAccessPolicy コマンドレットは使用可能な最初のドメイン コントローラーに接続します。 |
PassThru |
省略可能 |
System.Management.Automation.SwitchParameter |
ポリシーの割り当て先ユーザーを表すユーザー オブジェクトを、パイプラインを介して渡せるようにします。既定では、Grant-CsExternalAccessPolicy コマンドレットはパイプラインを介してオブジェクトを渡しません。 |
WhatIf |
省略可能 |
System.Management.Automation.SwitchParameter |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
入力の種類
文字列値または Microsoft.Rtc.Management.ADConnect.Schema.ADUser オブジェクト。Grant-CsExternalAccessPolicy コマンドレットは、ユーザー アカウントの ID を示す文字列値のパイプライン入力を受け入れます。また、ユーザー オブジェクトのパイプライン入力も受け入れます。
戻り値の種類
既定では、Grant-CsExternalAccessPolicy コマンドレットは、値またはオブジェクトを戻しません。ただし、PassThru パラメーターを指定している場合、Microsoft.Rtc.Management.ADConnect.Schema.OCSUserOrAppContact オブジェクトのインスタンスを戻します。