組み込みの管理役割
製品: Exchange Server 2013
Microsoft Exchange Server 2013 には、既定で多くの管理役割が含まれています。 次の役割は、さまざまな組み合わせで管理役割グループまたは管理役割割り当てポリシーに割り当てられ、Exchange 2013 によって提供される機能を管理および使用するためのアクセス許可を付与します。 役割の詳細については、「管理の役割について」を参照してください。
"Active Directory Permissions/Active Directory アクセス許可" 役割
"Cmdlet Extension Agents/コマンドレット拡張エージェント" 役割
"Data Loss Prevention/データ損失防止" 役割
"Database Availability Groups/データベース可用性グループ" 役割
"Database Copies/データベース コピー" 役割
"Distribution Groups/配布グループ" 役割
"Edge Subscriptions/エッジ サブスクリプション" 役割
"E-Mail Address Policies/電子メール アドレス ポリシー" 役割
"Exchange Connectors/Exchange コネクタ" 役割
"Exchange Server Certificates/Exchange Server 証明書" 役割
"Exchange Virtual Directories/Exchange 仮想ディレクトリ" 役割
"Federated Sharing/フェデレーションの共有" 役割
Information Rights Management 役割
"Mail Enabled Public Folders/メールが有効なパブリック フォルダー" 役割
"Mailbox Import Export/メールボックスのインポートとエクスポート" 役割
"Move Mailboxes/メールボックスの移動" 役割
"My Custom Apps/自分のカスタム アプリ" 役割
"My Marketplace Apps/マイ マーケットプレイス アプリ" 役割
MyDistributionGroupMembership 役割
"Org Custom Apps/組織のカスタム アプリ" 役割
"Org Marketplace Apps/組織マーケットプレイス アプリ" 役割
"Organization Client Access/組織クライアント アクセス" 役割
"Organization Configuration/組織の構成" 役割
"Organization Transport Settings/組織トランスポート設定" 役割
"POP3 and IMAP4 Protocols/POP3 および IMAP4 プロトコル" 役割
"Public Folders/パブリック フォルダー" 役割
"Receive Connectors/受信コネクタ" 役割
"Recipient Policies/受信者ポリシー" 役割
"Remote and Accepted Domains/リモートおよび承認済みドメイン" 役割
"Reset Password/パスワードのリセット" 役割
"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割
"Support Diagnostics/サポート診断" 役割
"Team Mailboxes/チーム メールボックス" 役割
TeamMailboxLifecycleApplication 役割
"Transport Agents/トランスポート エージェント" 役割
"Transport Hygiene/トランスポート検疫" 役割
"Transport Queues/トランスポート キュー" 役割
"Transport Rules/トランスポート ルール" 役割
"Unscoped Role Management/スコープ外役割管理" 役割
"View-Only Audit Logs/表示専用監査ログ" 役割
"View-Only Configuration/表示専用構成" 役割
"View-Only Recipients/表示専用受信者" 役割
これらの管理ロールは、Microsoft Exchange Server 2013 のロール ベースのAccess Control (RBAC) アクセス許可モデルのいくつかの組み込みロールの 1 つです。 1 つ以上の管理役割グループ、管理役割の割り当てポリシー、ユーザー、またはユニバーサル セキュリティ グループ (USG) に割り当てられる管理ロールは、メールボックス データベース、トランスポート ルール、受信者などの Exchange 2013 コンポーネントの構成を表示または変更するためのアクセスを提供するために組み合わされたコマンドレットまたはスクリプトの論理グループとして機能します。 管理ロール エントリと呼ばれるコマンドレットまたはスクリプトとそのパラメーターがロールに含まれている場合、そのコマンドレットまたはスクリプトとそのパラメーターは、ロールが割り当てられているユーザーによって実行できます。 管理ロールと管理ロール エントリの詳細については、「 管理ロールについて」を参照してください。
管理役割、管理役割グループ、他の RBAC コンポーネントについて詳しくは、「役割ベースのアクセス制御について」をご覧ください。
管理役割の割り当て
これらのロールにアクセス許可を付与するには、ロール割り当て先に割り当てる必要があります。ロール グループ、ユーザー、またはユニバーサル セキュリティ グループ (USG) を使用できます。 この割り当ては、管理役割の割り当てを使用して実行します。 役割の割り当ては、役割担当者と役割を相互にリンクします。 複数の役割を役割担当者に割り当てると、役割担当者には、割り当てられたすべての役割によって付与されるすべてのアクセス許可の組み合わせが付与されます。
役割担当者を役割にリンクするだけでなく、役割の割り当てでは、カスタムまたは組み込みの管理スコープも適用できます。 管理スコープは、ロールの担当者が変更できる受信者、サーバー、およびデータベース オブジェクトを制御します。 これらのロールがロール割り当て先に割り当てられているが、管理スコープによってロールの割り当て先が定義されたスコープに基づいて特定のオブジェクトのみを管理できる場合、ロールの割り当て先は、それらの特定のオブジェクトに対してこれらのロールによって付与されたアクセス許可のみを使用できます。 これらのロールによって提供されるアクセス許可は、ロールの割り当てで定義されているスコープ外のオブジェクトには適用できません。 このユーザーフォーカスの役割には、変更することができない暗黙的スコープがあります。したがって、この役割を役割割り当てポリシー、役割グループ、USG、またはユーザーに割り当てる役割割り当てに、カスタム スコープを追加しないでください。
これらのロールは、既定で 1 つ以上の役割グループに割り当てられます。 詳しくは、後の「既定の管理役割の割り当て」をご覧ください。
これらのロールに割り当てられているロール グループ、ユーザー、または USG の一覧を表示する場合は、次のコマンドを使用します。
Get-ManagementRoleAssignment -Role "<role name>"
Regular and delegating role assignments
これらのロールは、通常のロール割り当てまたは委任ロールの割り当てを使用して、ロールの割り当て先に割り当てることができます。 正規役割割り当ては、役割によって提供されるアクセス許可を役割担当者に付与します。 委任役割割り当ては、役割担当者に役割を他の役割担当者に割り当てる能力を付与します。 正規と委任の役割割り当ての詳細については、「管理役割の割り当てについて」を参照してください。
役割の割り当ての追加または削除
これらのロールを割り当てるロールの担当者を変更できます。 これらのロールを割り当てるロールの割り当て先を変更することで、アクセス許可が付与されるユーザーを変更します。 これらのロールを他の組み込みロール グループに割り当てるか、ロール グループを作成してそれらのロールを割り当てることができます。 これらのロールをユーザーまたは USG に割り当てることもできます。 ただし、このような割り当てによってアクセス許可モデルが極めて複雑になる可能性があるため、ユーザーと USG への役割の割り当ては制限することをお勧めします。
これらのロールをロール割り当て先に割り当てるには、委任ロールの割り当てを使用して、メンバーであるロール グループ、直接、またはメンバーである USG にロールを割り当てる必要があります。 委任役割割り当てについて詳しくは、「正規と委任の役割割り当て」をご覧ください。
組み込みの役割グループ、作成した役割グループ、ユーザー、USG からこれらのロールを削除することもできます。 ただし、これらのロールとロール グループまたは USG の間には、常に少なくとも 1 つの委任ロールの割り当てが必要です。 最後の委任役割割り当ては削除できません。 この制限によって、システムから自分自身をロックアウトしないようにできます。
重要
これらのロールとロール グループまたは USG の間には、少なくとも 1 つの委任ロールの割り当てが必要です。 これらのロールに関連付けられている最後の委任ロールの割り当ては、ユーザーに対する最後の割り当てである場合は削除できません。
これらのロールとロール グループ、ユーザー、USG の間で割り当てを追加または削除する方法の詳細については、次のトピックを参照してください。
役割の割り当ての管理スコープの変更
これらのロールとロールの割り当て先の間で、既存のロールの割り当ての管理スコープを変更することもできます。 ロールの割り当てのスコープを変更することで、これらのロールによって提供されるアクセス許可を使用して、管理できるオブジェクトを制御できます。 役割の割り当てに関するスコープを変更する場合、いくつかの選択肢があります。 次のいずれかを行うことができます。
Set-ManagementRoleAssignment コマンドレットを使用して、新しいカスタム スコープを追加します。 詳しくは、以下のトピックを参照してください。
Set-ManagementRoleAssignment コマンドレットを使用して、組織単位を追加または変更します。 詳しくは、「 役割の割り当てを変更する」をご覧ください。
Set-ManagementRoleAssignment コマンドレットを使用して、定義済みスコープを追加または変更します。 詳しくは、「 役割の割り当てを変更する」をご覧ください。
Set-ManagementScope コマンドレットを使用して、役割の割り当てに関連付けられているカスタム スコープに関する受信者スコープ、サーバー スコープ、またはデータベース スコープを変更します。 詳しくは、「 役割のスコープを変更する」をご覧ください。
役割の割り当ての有効化または無効化
役割の割り当てを有効または無効にすると、その役割の割り当てを有効にするかどうかを制御できます。 役割の割り当てを無効にすると、関連する役割によって付与されるアクセス許可が役割担当者に適用されなくなります。 これは、役割の割り当てを削除せずに一時的にアクセス許可を削除する場合に便利です。 詳細については、「役割の割り当てを変更する」を参照してください。
管理役割のカスタマイズ
これらのロールは、このトピックの先頭に記載されている機能とコンポーネントを管理するために必要なすべてのコマンドレットとパラメーターをロール割り当て先に提供するように構成されています。 他の機能の管理を有効にするために、他の役割も用意されています。 役割グループに対して役割を追加および削除することで、個々の管理役割をカスタマイズする必要なしに、カスタマイズされたアクセス許可モデルを作成できます。 役割の完全な一覧については、「組み込みの管理役割」を参照してください。 役割グループのカスタマイズについて詳しくは、「役割グループの管理」を参照してください。
これらのロールのカスタマイズされたバージョンを作成する必要があると判断した場合は、これらのロールの子としてロールを作成し、新しいロールをカスタマイズする必要があります。
警告
次の情報を使用すると、アクセス許可の高度な管理を実行できます。 管理役割をカスタマイズすると、アクセス許可モデルが非常に複雑になる可能性があります。 組み込みの管理役割を、正しく構成されていないカスタム役割で置き換えると、特定の機能が動作しなくなることがあります。
次の情報を使用すると、アクセス許可の高度な管理を実行できます。管理役割をカスタマイズすると、アクセス許可モデルが非常に複雑になる可能性があります。組み込みの管理役割を、正しく構成されていないカスタム役割で置き換えると、特定の機能が動作しなくなることがあります。
ロールのコピーを作成します。 詳しくは、「役割を作成する」を参照してください。
Set-ManagementRoleEntry コマンドレットと Remove-ManagementRoleEntry コマンドレットを使用して、新しい役割の役割エントリを変更または削除します。 新しい役割には、親の組み込みの役割の役割エントリしか含められないため、役割エントリを追加できません。 詳しくは、以下のトピックを参照してください。
組み込みの役割を、新たにカスタマイズしたこの役割で置き換える場合は、組み込みの役割に関連付けられている役割の割り当てをすべて削除します。 詳しくは、以下のトピックを参照してください。
「役割グループの管理」の「役割グループの役割の追加または削除」セクション
新たにカスタマイズされた役割を必要な役割担当者に追加します。 詳しくは、以下のトピックを参照してください。
「役割グループの管理」の「役割グループの役割の追加または削除」セクション
-
重要
役割を作成したユーザーに加えて、他のユーザーも新たにカスタマイズされた役割を割り当てられるようにする場合、少なくとも 1 人の役割担当者に委任役割割り当てを追加してください。 詳しくは、「役割割り当てを委任する」をご覧ください。