Exchange 2013 の分割型アクセス許可を構成する
製品: Exchange Server 2013
分割アクセス許可を使用すると、Active Directory 管理者と Microsoft Exchange Server 2013 管理者などの 2 つの個別のグループで、それぞれのサービス、オブジェクト、属性を管理できます。 Active Directory 管理者は、Active Directory フォレストにアクセスするためのアクセス許可を提供するセキュリティ プリンシパル (ユーザーなど) を管理します。 Exchange 管理者は、Active Directory オブジェクトの Exchange 関連の属性と、Exchange 固有のオブジェクトの作成と管理を管理します。
Microsoft Exchange Server 2013 では、次の種類の分割型アクセス許可モデルが提供されています。
RBAC 分割アクセス許可: Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成するためのアクセス許可は、ロール ベースのAccess Control (RBAC) によって制御されます。 セキュリティ プリンシパルを作成できるのは、適切な役割グループのメンバーのみです。
Active Directory の分割アクセス許可: Active Directory ドメイン パーティションにセキュリティ プリンシパルを作成するためのアクセス許可は、Exchange ユーザー、サービス、またはサーバーから完全に削除されます。 RBAC でセキュリティ プリンシパルを作成するオプションは用意されていません。 Active Directory でセキュリティ プリンシパルを作成する場合は、Active Directory 管理ツールを使用する必要があります。
注:
Active Directory 分割型アクセス許可は、Microsoft Exchange Server 2010 Service Pack 1 (SP1) 以降、Exchange 2013、または Exchange の両方のバージョンを実行している組織で使用できます。
組織の構造およびニーズに合わせて、モデルを選択してください。 構成したいモデルに合わせて手順を選択してください。 RBAC 分割型アクセス許可モデルを使用することをお勧めします。 RBAC 分割型アクセス許可モデルは、Active Directory 分割型アクセス許可と同じ管理の分割を提供すると同時に、高い柔軟性を備えています。
共有アクセス許可と分割型アクセス許可の詳細については、「分割型アクセス許可について」を参照してください。
管理役割グループ、管理役割、正規および委任の管理役割の割り当ての詳細については、以下のトピックを参照してください。
アクセス許可に関連するその他の管理タスクをお探しですか? 詳細なアクセス許可を確認してください。
はじめに把握しておくべき情報
各手順の推定完了時間:5 分
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「ロール管理のアクセス許可」トピックの「Active Directory の分割 アクセス許可 」エントリを参照してください。
これらの手順を実行するには、Windows PowerShell、Windows コマンド シェル、またはその両方を使用する必要があります。 詳細については、各手順を参照してください。
組織内に Exchange 2010 サーバーがある場合、選択したアクセス許可モデルがそれらのサーバーにも適用されます。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Serverのフォーラムにアクセスしてください。
RBAC 分割型アクセス許可に切り替える
RBAC 分割型アクセス許可のために Exchange 2013 組織を構成することができます。 完了すると、Active Directory 管理者のみが Active Directory セキュリティ プリンシパルを作成できるようになります。 したがって、Exchange 管理者は次のコマンドレットを使用できなくなります。
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Exchange 管理者は、既存の Active Directory セキュリティ プリンシパルの Exchange 属性しか管理できなくなります。 ただし、トランスポート ルールや配布グループなどの Exchange 固有のオブジェクトの作成および管理を行うことはできます。 詳細については、分割型アクセス許可について の「RBAC 分割型アクセス許可」を参照してください。
分割型アクセス許可のために Exchange 2013 を構成するには、Active Directory 管理者であるメンバーを含む役割グループに、"Mail Recipient Creation/メール受信者の作成" 役割および "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割を割り当てる必要があります。 次に、これらの役割と Exchange 管理者を含む役割グループまたはユニバーサル セキュリティ グループ (USG) との間の割り当てを削除する必要があります。
RBAC 分割型アクセス許可を構成するには、次の操作を行います。
現在、組織を Active Directory 分割型アクセス許可のために構成している場合、Windows コマンド シェル プロンプトから次の操作を実行します。
Exchange 2013 インストール メディアから次のコマンドを実行して、Active Directory 分割型アクセス許可を無効にします。
setup.exe /PrepareAD /ActiveDirectorySplitPermissions:false
組織内の Exchange 2013 サーバーを再起動するか、Active Directory アクセス トークンがすべての Exchange 2013 サーバーにレプリケートされるのを待ちます。
注:
組織内に Exchange 2010 サーバーがある場合、それらのサーバーを再起動する必要もあります。
Exchange 管理シェルから、次の操作を実行します。
Active Directory 管理者の役割グループを作成します。 役割グループを作成する以外に、コマンドにより、新しい役割グループと、"Mail Recipient Creation/メール受信者の作成" 役割および "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割の間に正規の役割の割り当てが作成されます。
New-RoleGroup "Active Directory Administrators" -Roles "Mail Recipient Creation", "Security Group Creation and Membership"
注:
この役割グループのメンバーが役割の割り当てを作成できるようにする場合は、"Role Management/役割の管理" 役割を含めます。 ここではこの役割を追加する必要はありません。 ただし、"Mail Recipient Creation/メール受信者の作成" 役割または "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割のいずれかを他の役割担当者に割り当てる場合は、この新しい役割グループに "Role Management/役割の管理" 役割を割り当てる必要があります。 実行する手順は、これらの役割を委任可能な唯一の役割グループとして "Active Directory Administrators/Active Directory 管理者" 役割グループを構成します。
以下のコマンドを使用して、新しい役割グループと、"Mail Recipient Creation/メールの受信者の作成" 役割および "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割の間に委任の役割の割り当てを作成します。
New-ManagementRoleAssignment -Role "Mail Recipient Creation" -SecurityGroup "Active Directory Administrators" -Delegating New-ManagementRoleAssignment -Role "Security Group Creation and Membership" -SecurityGroup "Active Directory Administrators" -Delegating
以下のコマンドを使用して、新しい役割グループにメンバーを追加します。
Add-RoleGroupMember "Active Directory Administrators" -Member <user to add>
役割グループのメンバーのみがメンバーを追加または削除することができるように、新しい役割グループの代理人の一覧を置き換えます。
Set-RoleGroup "Active Directory Administrators" -ManagedBy "Active Directory Administrators"
重要
組織の管理 役割グループのメンバー、あるいは、直接、または別の役割グループや USG を介して "Role Management/役割管理" 役割に割り当てられている人間は、この代理人セキュリティ チェックをバイパスできます。 すべての Exchange 管理者が新しい役割グループに自分自身を追加するのを防止する場合は、"Role Management/役割管理" と任意の Exchange 管理者の間の役割の割り当てを削除し、この役割の割り当てを別の役割グループに割り当てる必要があります。
以下のコマンドを使用して、"Mail Recipient Creation/メール受信者の作成" 役割へのすべての正規および委任の役割の割り当てを検索します。 コマンドは、 Name 、 Role 、および RoleAssigneeName プロパティのみを表示します。
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Format-Table Name, Role, RoleAssigneeName -Auto
以下のコマンドを使用して、新しい役割グループやその他の役割グループ、USG、または保持する必要がある直接的な役割に関連付けられていない "Mail Recipient Creation/メール受信者の作成" 役割へのすべての正規および委任の役割の割り当てを削除します。
Remove-ManagementRoleAssignment <Mail Recipient Creation role assignment to remove>
注:
"Active Directory Administrators/Active Directory 管理者" 役割グループ以外のすべての役割担当者に対する "Mail Recipient Creation/メール受信者の作成" 役割への正規および委任の役割の割り当てすべて削除する場合は、次のコマンドを使用します。 WhatIf スイッチを使用すると、削除されるロールの割り当てを確認できます。 WhatIf スイッチを削除し、コマンドをもう一度実行してロールの割り当てを削除します。
Get-ManagementRoleAssignment -Role "Mail Recipient Creation" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
以下のコマンドを使用して、"Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割へのすべての正規および委任の役割の割り当てを検索します。 コマンドは、 Name 、 Role 、および RoleAssigneeName プロパティのみを表示します。
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Format-Table Name, Role, RoleAssigneeName -Auto
以下のコマンドを使用して、新しい役割グループやその他の役割グループ、USG、または保持する必要がある直接的な役割に関連付けられていない "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割へのすべての正規および委任の役割の割り当てを削除します。
Remove-ManagementRoleAssignment <Security Group Creation and Membership role assignment to remove>
注:
この例で示すように、"Active Directory Administrators/Active Directory 管理者" 役割グループ以外のすべての役割担当者に対する "Security Group Creation and Membership/セキュリティ グループの作成とメンバーシップ" 役割への正規および委任の役割の割り当てをすべて削除するには、前述の注で説明したのと同じコマンドを使用します。
Get-ManagementRoleAssignment -Role "Security Group Creation and Membership" | Where {$_.RoleAssigneeName -NE "Active Directory Administrators"} | Remove-ManagementRoleAssignment -WhatIf
構文およびパラメーターの詳細については、以下のトピックを参照してください。
Active Directory 分割型アクセス許可に切り替える
Active Directory 分割型アクセス許可のために Exchange 2013 組織を構成することができます。 Active Directory 分割型アクセス許可は、Exchange 管理者とサーバーに、Active Directory でのセキュリティ プリンシパルの作成、またはこれらのオブジェクトの Exchange 以外の属性の変更を許可するアクセス許可を完全に削除します。 完了すると、Active Directory 管理者のみが Active Directory セキュリティ プリンシパルを作成できるようになります。 したがって、Exchange 管理者は次のコマンドレットを使用できなくなります。
Add-DistributionGroupMember
New-DistributionGroup
New-Mailbox
New-MailContact
New-MailUser
New-RemoteMailbox
Remove-DistributionGroup
Remove-DistributionGroupMember
Remove-Mailbox
Remove-MailContact
Remove-MailUser
Remove-RemoteMailbox
Update-DistributionGroupMember
Exchange 管理者とサーバーは、既存の Active Directory セキュリティ プリンシパルの Exchange 属性しか管理できなくなります。 ただし、トランスポート ルールやユニファイド メッセージング ダイヤル プランなどの Exchange 固有のオブジェクトの作成および管理を行うことはできます。
警告
Active Directory 分割型アクセス許可を有効にすると、Exchange 管理者とサーバーは Active Directory でセキュリティ プリンシパルを作成できなくなり、配布グループ メンバーシップを管理することもできなくなります。 これらのタスクを実行するには、必要な Active Directory アクセス許可を付与されたうえで、Active Directory 管理ツールを使用する必要があります。 この変更を行う場合は事前に、この変更によって、自分の管理プロセスや、Exchange 2013 と RBAC アクセス許可モデルに統合されるサードパーティのアプリケーションが受ける影響を把握しておく必要があります。
詳細については、「分割されたアクセス許可について」の「Active Directory の 分割アクセス許可」セクションを参照してください。
共有アクセス許可または RBAC 分割型アクセス許可から Active Directory 分割型アクセス許可に切り替えるには、次の操作を実行します。
Windows コマンド シェルで、Exchange 2013 インストール メディアから次のコマンドを実行して Active Directory 分割型アクセス許可を有効にします。
setup.exe /PrepareAD /ActiveDirectorySplitPermissions:true
組織内に複数の Active Directory ドメインがある場合は、Exchange サーバーまたはオブジェクトを含む各子ドメインで実行
setup.exe /PrepareDomain
するか、すべてのドメインの Active Directory サーバーを持つサイトから実行setup.exe /PrepareAllDomains
する必要があります。組織内の Exchange 2013 サーバーを再起動するか、Active Directory アクセス トークンがすべてのExchange 2013 サーバーにレプリケートされるのを待ちます。
注:
組織内に Exchange 2010 サーバーがある場合、それらのサーバーを再起動する必要もあります。