分割アクセス許可のExchange Serverを構成する
分割アクセス許可を使用すると、Active Directory 管理者や Exchange 管理者などの 2 つのグループで、それぞれのサービス、オブジェクト、属性を管理できます。 Active Directory 管理者は、Active Directory フォレストにアクセスするためのアクセス許可を提供するセキュリティ プリンシパル (ユーザーなど) を管理します。 Exchange 管理者は、Active Directory オブジェクトの Exchange 関連の属性と、Exchange 固有のオブジェクトの作成と管理を管理します。
Exchange Server 2016 および Exchange Server 2019 には、次の種類の分割アクセス許可モデルが用意されています。
RBAC 分割アクセス許可: Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成するためのアクセス許可は、ロール ベースのAccess Control (RBAC) によって制御されます。 セキュリティ プリンシパルを作成できるのは、適切な役割グループのメンバーのみです。
Active Directory の分割アクセス許可: Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成するためのアクセス許可は、Exchange ユーザー、サービス、またはサーバーから完全に削除されます。 RBAC でセキュリティ プリンシパルを作成するオプションは用意されていません。 Active Directory でセキュリティ プリンシパルを作成する場合は、Active Directory 管理ツールを使用する必要があります。
組織の構造およびニーズに合わせて、モデルを選択してください。 構成したいモデルに合わせて手順を選択してください。 RBAC 分割型アクセス許可モデルを使用することをお勧めします。 RBAC 分割型アクセス許可モデルは、Active Directory 分割型アクセス許可と同じ管理の分割を提供すると同時に、高い柔軟性を備えています。
共有アクセス許可と分割アクセス許可の詳細については、「Exchange Serverでのアクセス許可の分割」を参照してください。
管理役割グループ、管理役割、正規および委任の管理役割の割り当ての詳細については、以下のトピックを参照してください。
はじめに把握しておくべき情報
各手順の推定完了時間:5 分
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「ロール管理のアクセス許可」トピックの「Active Directory の分割 アクセス許可 」エントリを参照してください。
選択したアクセス許可モデルは、組織内のすべての Exchange 2010 以降のサーバーに適用されます。
最新バージョンの Exchange をダウンロードするには、「Exchange Serverの更新」を参照してください。
Exchange 管理シェル を開くには、「Open the Exchange Management Shell」を参照してください。
ヒント
問題が発生する場合 Exchange Serverフォーラムでヘルプを依頼してください。
RBAC 分割型アクセス許可に切り替える
RBAC 分割アクセス許可に切り替えた後は、Active Directory 管理者のみが Active Directory セキュリティ プリンシパルを作成できます。 したがって、Exchange 管理者は次のコマンドレットを使用できなくなります。
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
Exchange 管理者は、既存の Active Directory セキュリティ プリンシパルの Exchange 属性しか管理できなくなります。 ただし、メール フロー ルール (トランスポート ルールとも呼ばれます) や配布グループなど、Exchange 固有のオブジェクトを作成および管理できます。 詳細については、「Exchange Serverでのアクセス許可の分割」の「RBAC の分割アクセス許可」セクションを参照してください。
Exchange の分割アクセス許可を構成するには、メール受信者作成ロールとセキュリティ グループの作成ロールとメンバーシップ ロールを、Active Directory 管理者であるメンバーを含むロール グループに割り当てる必要があります。 次に、これらの役割と Exchange 管理者を含む役割グループまたはユニバーサル セキュリティ グループ (USG) との間の割り当てを削除する必要があります。
RBAC 分割アクセス許可を構成するには、次の手順を実行します。
組織が現在 Active Directory 分割アクセス許可用に構成されている場合は、次の手順を実行します。
ターゲット サーバーでエクスプローラー開き、Exchange ISO イメージ ファイルを右クリックし、[マウント] を選択します。 割り当てられている仮想 DVD ドライブ文字をメモします。
Windows コマンド プロンプト ウィンドウを開きます。 以下に例を示します。
- Windows キーを押しながら R キーを押して、[実行] ダイアログを開き、「cmd.exe」と入力します。その後、[OK] を押します。
- [開始] を押します。 [検索] ボックスに「 Command Prompt」と入力し、その結果表示されるリストで [コマンド プロンプト] を選択します。
[コマンド プロンプト] ウィンドウで、次のコマンドを実行して Active Directory の分割アクセス許可を無効にします。
注:
前の /IAcceptExchangeServerLicenseTerms スイッチは、Exchange Server 2016 および Exchange Server 2021 年 9 月 2021 年 9 月累積更新 (CU) 以降では機能しません。 無人およびスクリプトによるインストールには、/IAcceptExchangeServerLicenseTerms_DiagnosticDataON または /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF のいずれかを使用する必要があります。
以下の例では、/IAcceptExchangeServerLicenseTerms_DiagnosticDataON スイッチを使用しています。 スイッチを /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF に変更するのはあなた次第です。
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:false
組織内のすべての Exchange サーバーを再起動するか、Active Directory アクセス トークンがすべての Exchange サーバーにレプリケートされるまで待ちます。
Exchange 管理シェルで次の手順を実行します。
Active Directory 管理者の役割グループを作成します。 役割グループを作成する以外に、コマンドにより、新しい役割グループと、"Mail Recipient Creation/メール受信者の作成" 役割および "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割の間に正規の役割の割り当てが作成されます。
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
注:
この役割グループのメンバーが役割の割り当てを作成できるようにする場合は、"Role Management/役割の管理" 役割を含めます。 ここではこの役割を追加する必要はありません。 ただし、"Mail Recipient Creation/メール受信者の作成" 役割または "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割のいずれかを他の役割担当者に割り当てる場合は、この新しい役割グループに "Role Management/役割の管理" 役割を割り当てる必要があります。 実行する手順は、これらの役割を委任可能な唯一の役割グループとして "Active Directory Administrators/Active Directory 管理者" 役割グループを構成します。
次のコマンドを実行して、新しい役割グループとメール受信者作成ロールとセキュリティ グループの作成とメンバーシップ ロールの間で委任ロールの割り当てを作成します。
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
次のコマンドを実行して、新しいロール グループにメンバーを追加します。
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
次のコマンドを実行して、ロール グループのメンバーのみがメンバーを追加または削除できるように、新しい役割グループのデリゲート リストを置き換えます。
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
重要
組織の管理 役割グループのメンバー、あるいは、直接、または別の役割グループや USG を介して "Role Management/役割管理" 役割に割り当てられている人間は、この代理人セキュリティ チェックをバイパスできます。 すべての Exchange 管理者が新しい役割グループに自分自身を追加するのを防止する場合は、"Role Management/役割管理" と任意の Exchange 管理者の間の役割の割り当てを削除し、この役割の割り当てを別の役割グループに割り当てる必要があります。
次のコマンドを実行して、メール受信者作成ロールに対する通常のロールの割り当てと委任の役割をすべて見つけます。
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
次のコマンドを実行して、新しい役割グループ、その他の役割グループ、USG、または直接割り当てに関連付けられていない、メール受信者作成ロールへの通常のロールの割り当てと委任をすべて削除します。
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
注:
"Active Directory Administrators/Active Directory 管理者" 役割グループ以外のすべての役割担当者に対する "Mail Recipient Creation/メール受信者の作成" 役割への正規および委任の役割の割り当てすべて削除する場合は、次のコマンドを使用します。 WhatIf スイッチを使用すると、削除されるロールの割り当てを確認できます。 WhatIf スイッチを削除し、コマンドをもう一度実行してロールの割り当てを削除します。
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
次のコマンドを実行して、セキュリティ グループの作成ロールとメンバーシップ ロールに対する通常のロールの割り当てと委任のすべての割り当てを見つけます。
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
次のコマンドを実行して、新しい役割グループ、その他の役割グループ、USG、または直接割り当てに関連付けられていない、セキュリティ グループの作成およびメンバーシップ ロールに対する通常のロール割り当てと委任ロールをすべて削除します。
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
注:
この例で示すように、"Active Directory Administrators/Active Directory 管理者" 役割グループ以外のすべての役割担当者に対する "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割への正規および委任の役割の割り当てをすべて削除するには、前述の注で説明したのと同じコマンドを使用します。
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where { $_.RoleAssigneeName -NE "Active Directory Administrators" } | Remove-ManagementRoleAssignment -WhatIf
構文およびパラメーターの詳細については、以下のトピックを参照してください。
- New-RoleGroup
- New-ManagementRoleAssignment
- Add-RoleGroupMember
- Set-RoleGroup
- Get-ManagementRoleAssignment
- Remove-ManagementRoleAssignment
Active Directory 分割型アクセス許可に切り替える
Active Directory の分割アクセス許可に Exchange 組織を構成できます。 Active Directory 分割型アクセス許可は、Exchange 管理者とサーバーに、Active Directory でのセキュリティ プリンシパルの作成、またはこれらのオブジェクトの Exchange 以外の属性の変更を許可するアクセス許可を完全に削除します。 完了すると、Active Directory 管理者のみが Active Directory セキュリティ プリンシパルを作成できるようになります。 したがって、Exchange 管理者は次のコマンドレットを使用できなくなります。
- Add-DistributionGroupMember
- New-DistributionGroup
- New-Mailbox
- New-MailContact
- New-MailUser
- New-RemoteMailbox
- Remove-DistributionGroup
- Remove-DistributionGroupMember
- Remove-Mailbox
- Remove-MailContact
- Remove-MailUser
- Remove-RemoteMailbox
- Update-DistributionGroupMember
Exchange 管理者とサーバーは、既存の Active Directory セキュリティ プリンシパルの Exchange 属性しか管理できなくなります。 ただし、トランスポート ルールやユニファイド メッセージング ダイヤル プランなどの Exchange 固有のオブジェクトの作成および管理を行うことはできます。
警告
Active Directory 分割型アクセス許可を有効にすると、Exchange 管理者とサーバーは Active Directory でセキュリティ プリンシパルを作成できなくなり、配布グループ メンバーシップを管理することもできなくなります。 これらのタスクを実行するには、必要な Active Directory アクセス許可を付与されたうえで、Active Directory 管理ツールを使用する必要があります。 この変更を行う前に、管理プロセスと、Exchange と RBAC アクセス許可モデルと統合するサード パーティ製アプリケーションに与える影響を理解しておく必要があります。
詳細については、「Exchange Serverでのアクセス許可の分割」の「Active Directory の分割アクセス許可」セクションを参照してください。
共有アクセス許可または RBAC 分割アクセス許可から Active Directory 分割アクセス許可に切り替えるには、次の手順を実行します。
ターゲット サーバーでエクスプローラー開き、Exchange ISO イメージ ファイルを右クリックし、[マウント] を選択します。 割り当てられている仮想 DVD ドライブ文字をメモします。
Windows コマンド プロンプト ウィンドウで、次のコマンドを実行して Active Directory の分割アクセス許可を有効にします。
注:
前の /IAcceptExchangeServerLicenseTerms スイッチは、Exchange Server 2016 および Exchange Server 2021 年 9 月 2021 年 9 月累積更新 (CU) 以降では機能しません。 無人およびスクリプトによるインストールには、/IAcceptExchangeServerLicenseTerms_DiagnosticDataON または /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF のいずれかを使用する必要があります。
以下の例では、/IAcceptExchangeServerLicenseTerms_DiagnosticDataON スイッチを使用しています。 スイッチを /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF に変更するのはあなた次第です。
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /ActiveDirectorySplitPermissions:true
組織内に複数の Active Directory ドメインがある場合は、Exchange サーバーまたはオブジェクトを含む各子ドメインで実行
Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareDomain
するか、すべてのドメインの Active Directory サーバーを持つサイトから実行Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains
する必要があります。組織内のすべての Exchange サーバーを再起動するか、Active Directory アクセス トークンがすべての Exchange サーバーにレプリケートされるのを待ちます。