Exchange Online で役割グループを管理する
役割グループは、Exchange Online のロール ベースのアクセス制御 (RBAC) アクセス許可モデルの特殊なユニバーサル セキュリティ グループ (USG) です。 ロール グループのメンバーには同じロール のセットが割り当てられ、ユーザーを追加したり、ロール グループから削除したりすることで、ユーザーのアクセス許可を追加および削除します。 Exchange Online の役割グループの詳細については、「Exchange Online でのアクセス許可」を参照してください。
役割グループは、Exchange 管理センター (EAC) と Exchange Online PowerShell で管理できます。
はじめに把握しておくべき情報
EAC は で https://admin.exchange.microsoft.com使用できます。 EAC の詳細については、次の記事を参照してください。
Exchange Online PowerShell を開くには、「 Exchange Online PowerShell に接続する」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 特に次のような場合です。
- Exchange Online のアクセス許可: 既定で組織 管理 役割グループに割り当てられているロール 管理 ロールが必要です。
この記事の手順に適用される可能性があるキーボード ショートカットについては、「 Exchange Online の Exchange 管理センターのキーボード ショートカット」を参照してください。
EAC を使用して役割グループを管理する
の EAC でhttps://admin.exchange.microsoft.com、[アクセス許可管理者ロール] に移動します>。 または、[ 管理者ロール ] ページに直接移動するには、 を使用 https://admin.exchange.microsoft.com/#/adminRolesします。
EAC を使用して役割グループと役割グループの詳細を表示する
EAC の [ 管理者ロール ] ページには https://admin.exchange.microsoft.com/#/adminRoles、すべての組み込みロール グループと顧客ロール グループに関する次の情報が表示されます。
- 役割グループ: 役割グループの名前。
- 説明
役割グループの一覧を並べ替えるには、列ヘッダーを選択します。
エントリの一覧を通常の間隔からコンパクト間隔に変更するには、[ビューの変更] を選択し、[コンパクト リスト] を選択します。
[検索] ボックスと対応する値を使用して、特定の役割グループを検索します。
ロール グループの詳細を表示するには、名前をクリックして一覧からグループを選択します。 開く詳細ポップアップには、次のタブが含まれています。
[全般 ] タブ: このタブには、ロールに関する次の情報が含まれています。
- 名前
- 説明: [ 基本の編集] を 選択して名前を変更します。
- マネージド
- 書き込みスコープ
[割り当て済み ] タブ: このタブには、ロールのメンバーであるユーザーが表示されます。 タブには、メイン ロール グループ ビューと同じ 変更ビュー と 検索機能 があります。
グループ メンバーシップを変更するには、 セクションを参照してください。
EAC を使用して役割グループを作成する
EAC の [ 管理者ロール ] ページで https://admin.exchange.microsoft.com/#/adminRoles、次のいずれかの手順を実行します。
- 新しい役割グループを作成する: 役割グループが選択されていないことを確認し、[役割グループの追加] を選択します。
- 既存の役割グループをコピーする: ロール グループ名列の横にある空白領域に表示されるラウンド チェック ボックスをオンにして、コピーする役割グループを選択し、表示される [役割グループのコピー] アクションを選択します**。
残りの手順の説明に従って、いずれかの手順でロール作成ウィザードが起動します。
[基本] ページで、次の設定を構成します。
- [名前]: 役割グループの一意の名前を入力します。
- 説明: 役割グループの説明 (省略可能) を入力します。
- 書き込みスコープ: 既定値のままにします。既定値のままにするか、PowerShell で以前に作成した既存の書き込みスコープ オブジェクトを選択します。
ロール グループをコピーする場合、既定の [名前] の値は [役割グループ名>のコピー] で、既存の <[説明] の値がコピーされますが、これらの値は変更できます。
[ 基本 ] ページが完了したら、[ 次へ] を選択します。
[ アクセス許可 ] ページで、[ロール] 列の横にあるチェック ボックスをオンにして、ロール グループに割り当てる ロール を選択します。
ロールを並べ替えるには、列見出しを選択します。
- ロール
- 説明
- 既定の受信者スコープ
- 既定の構成スコープ
エントリの一覧を通常の間隔からコンパクト間隔に変更するには、[ビューの変更] を選択し、[コンパクト リスト] を選択します。
[検索] ボックスと対応する値を使用して、特定の役割グループを見つけます。
ロール グループをコピーする場合は、元の役割グループのアクセス許可が既に選択されていますが、変更することはできます。
[アクセス許可] ページが完了したら、[次へ] を選択します。
[ 管理者 ] ページで、ロール グループに追加するユーザーを選択します。
ボックス内をクリックして、選択する対象となるすべてのアカウントと役割グループを表示するか、名前または表示名の入力を開始して結果をフィルター処理します。
ロール グループをコピーする場合、元の役割グループのメンバーは既に選択されていますが、変更することはできます。
グループからユーザーを削除するには、エントリで [削除] を選択します。
[管理者] ページが完了したら、[次へ] を選択します。
[ 確認と終了 ] ページで、選択内容を確認します。
各セクションの [編集] リンクを使用して値を変更するか、[ 戻る ] ボタンを使用します。
[ レビューと完了 ] ページが完了したら、[ 役割グループの追加] または [役割グループ のコピー] を選択して 役割 グループを作成します。
EAC を使用して役割グループを変更する
ヒント
組み込みの役割グループの名前や説明を変更することはできません。
組み込みの役割グループに割り当てられているロールは変更しないでください。 既存の役割グループをコピーしてコピーを変更するか、代わりにカスタム ロール グループを作成します。
EAC の [ 管理者ロール ] ページで https://admin.exchange.microsoft.com/#/adminRoles、役割グループ名をクリックして役割グループを選択します。
開いた詳細ポップアップで、次の 1 つ以上の設定を構成します。
[全般 ] タブ: [ 基本の編集] を選択して、表示されるポップアップ内のグループの名前または説明を変更し、[保存] を選択 します。
[割り当て済み ] タブ: 役割グループのメンバーシップを変更します。
メンバーの追加: [追加] を選択します。 開いた [ 管理者の追加 ] ポップアップで、ボックス内をクリックして、選択する対象となるすべてのアカウントと役割グループを表示するか、名前または表示名の入力を開始して結果をフィルター処理します。 ボックスの下のエントリをクリックしてユーザーを選択し、[ 追加] を選択します。
メンバーの削除: 一覧の 1 つ以上の既存のメンバーの横にあるチェック ボックスをオンにし、表示される [削除] アクションを選択し、確認ダイアログで [はい]、[削除] の順に選択します。
[アクセス許可 ] タブ: [ロール] 列の横にあるチェック ボックスをオンにして、役割グループに割り当てる ロール を選択します。
ロールを並べ替えるには、列見出しを選択します。
- 役割
- 既定の受信者スコープ
- 既定の構成スコープ
エントリの一覧を通常の間隔からコンパクト間隔に変更するには、[ビューの変更] を選択し、[コンパクト リスト] を選択します。
[検索] ボックスと対応する値を使用して、特定の役割グループを見つけます。
タブが終了したら、[保存] を選択 します。
ヒント
役割グループに対してメンバーを追加または削除した後、ユーザーは自身の管理者権限の変更を確認するためにサインアウトしてから、再度サインインしなければならない場合があります。
EAC を使用して役割グループを削除する
組み込みの役割グループを削除することはできませんが、カスタム ロール グループを削除することはできます。
EAC の [管理者ロール] ページでhttps://admin.exchange.microsoft.com/#/adminRoles、役割グループ名列の横にある空白領域に表示されるラウンド チェック ボックスをオンにして、削除する役割グループを選択し、表示される [削除] アクションを選択します。
開いた確認ポップアップで、[確認] を選択 します。
Exchange Online PowerShell を使用して役割グループを管理する
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
Exchange Online PowerShell を使用して役割グループを表示する
役割グループを表示するには、次の構文を使用します。
Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]
この例では、すべてのロール グループの概要リストを返します。
Get-RoleGroup
次の使用例は、受信者管理者という名前の役割グループの詳細情報を返します。
Get-RoleGroup -Identity "Recipient Administrators" | Format-List
この例では、ユーザー Julia がメンバーであるすべてのロール グループを返します。 Julia には DistinguishedName (DN) 値を使用する必要があります。この値は、 コマンド Get-User -Identity Julia | Format-List DistinguishedName
を実行することで確認できます。
Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"
構文およびパラメーターの詳細については、「Get-RoleGroup」を参照してください。
Exchange Online PowerShell を使用して役割グループを作成する
新しい役割グループを作成するには、次の構文を使用します。
New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...> -ManagedBy <Managers> -Members <Members> -CustomRecipientWriteScope "<Existing Write Scope Name>"
-
Roles パラメーターは、次の構文を使用して、役割グループに割り当てる管理ロールを指定します
"Role1","Role1",..."RoleN"
。 Get-ManagementRole コマンドレットを使用して、使用できる役割を確認できます。 -
Members パラメーターは、次の構文を使用して、ロール グループのメンバーを指定します
"Member1","Member2",..."MemberN"
。 ユーザー、メールが有効なユニバーサル セキュリティ グループ (USG)、またはその他の役割グループ (セキュリティ プリンシパル) を指定できます。 -
ManagedBy パラメーターは、次の構文を使用して役割グループを変更および削除できるデリゲートを指定します
"Delegate1","Delegate2",..."DelegateN"
。 この設定は EAC では使用できません。 - CustomRecipientWriteScope パラメーターは、ロール グループに適用する既存のカスタム受信者書き込みスコープを指定します。 Get-ManagementScope コマンドレットを使用して、使用可能なカスタム受信者書き込みスコープを表示できます。
この例では、次の設定を使用して、"制限付き受信者管理" という名前の新しいロール グループを作成します。
- [メール受信者] ロールと [メールが有効なパブリック フォルダー] ロールが役割グループに割り当てられます。
- ユーザーの Kim と Martin がメンバーとして追加されます。 カスタム受信者の書き込みスコープが指定されていないため、Kim と Martin は組織内の任意の受信者を管理できます。
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin"
この例では、カスタム受信者の書き込みスコープを使用します。つまり、Kim と Martin は、シアトルの受信者スコープに含まれている受信者 ( City プロパティが値 Seattle に設定されている受信者) のみを管理できます。
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients","Mail Enabled Public Folders" -Members "Kim","Martin" -CustomRecipientWriteScope "Seattle Recipients"
構文とパラメーターの詳細については、 New-RoleGroup を参照してください。
Exchange Online PowerShell を使用して役割グループをコピーする
以下の構文を使用して、変数にコピーする役割グループを格納します。
$RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
次の構文を使用して、新しいロール グループを作成します。
New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>] [-ManagedBy <Managers>] [-CustomRecipientWriteScope "<Existing Custom Recipient Write Scope Name>"]
-
Members パラメーターは、次の構文を使用して、ロール グループのメンバーを指定します
"Member1","Member2",..."MemberN"
。 ユーザー、メールが有効なユニバーサル セキュリティ グループ (USG)、またはその他の役割グループ (セキュリティ プリンシパル) を指定できます。 -
ManagedBy パラメーターは、次の構文を使用して役割グループを変更および削除できるデリゲートを指定します
"Delegate1","Delegate2",..."DelegateN"
。 この設定は EAC では使用できません。 - CustomRecipientWriteScope パラメーターは、ロール グループに適用する既存のカスタム受信者書き込みスコープを指定します。 Get-ManagementScope コマンドレットを使用して、使用可能なカスタム受信者書き込みスコープを表示できます。
-
Members パラメーターは、次の構文を使用して、ロール グループのメンバーを指定します
次の使用例は、組織管理役割グループを "Limited Organization Management" という名前の新しい役割グループにコピーします。ロール グループのメンバーは Isabelle、Carter、Lukas で、ロール グループの代理人は Jenny と Katie です。
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas" -ManagedBy "Jenny","Katie"
次の使用例は、Organization Management 役割グループを、バンクーバー ユーザー受信者のカスタム受信者の書き込みスコープを使用して、バンクーバー組織管理という新しい役割グループにコピーします。
$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users"
構文とパラメーターの詳細については、 New-RoleGroup を参照してください。
Exchange Online PowerShell を使用して、役割グループのメンバーの一覧を変更する
- Add-RoleGroupMember コマンドレットと Remove-RoleGroupMember コマンドレットは、個々のメンバーを一度に 1 つずつ追加または削除します。 Update-RoleGroupMember コマンドレットは、メンバーの既存のリストを置き換えたり変更したりできます。
- ロール グループのメンバーには、ユーザー、メールが有効なユニバーサル セキュリティ グループ (USG)、またはその他の役割グループ (セキュリティ プリンシパル) を指定できます。
ロール グループのメンバーを変更するには、次の構文を使用します。
Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>
- メンバーの既存のリストを指定した値に置き換えるには、次の構文を使用します。
"Member1","Member2",..."MemberN"
- メンバーの既存のリストを選択的に変更するには、次の構文を使用します。
@{Add="Member1","Member2"...; Remove="Member3","Member4"...}
次の使用例は、ヘルプ デスク ロール グループのすべての現在のメンバーを、指定したユーザーに置き換えます。
Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"
次の使用例は、Akai 大五郎を追加し、ヘルプ デスクの役割グループのメンバーの一覧から Valeria Barrio を削除します。
Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}
構文とパラメーターの詳細については、「 Update-RoleGroupMember」を参照してください。
Exchange Online PowerShell を使用してカスタム ロール グループにロールを追加する (ロールの割り当てを作成する)
Exchange Online PowerShell でカスタム ロール グループにロールを追加するには、次の構文を使用して 管理ロールの割り当てを 作成します。
New-ManagementRoleAssignment [-Name "<Unique Name>"] -SecurityGroup "<Role Group Name>" -Role "<Role Name>" [-RecipientRelativeWriteScope <MyGAL | MyDistributionGroups | Organization | Self>] [-CustomRecipientWriteScope "<Role Scope Name>]
- ロールの割り当て名を指定しない場合は、自動的に作成されます。
- RecipientRelativeWriteScope パラメーターを使用しない場合、ロールの暗黙的な読み取りスコープと暗黙的な書き込みスコープがロールの割り当てに適用されます。
- 定義済みのスコープがビジネス要件を満たしている場合は、 RecipientRelativeWriteScope パラメーターを使用して、ロールの割り当てにスコープを適用できます。
- カスタム受信者の書き込みスコープを適用するには、 CustomRecipientWriteScope パラメーターを使用します。
この例では、"Seattle Compliance/Seattle 規制順守" という役割グループに対し、トランスポート ルールの管理役割を割り当てています。
New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"
この例では、"Enterprise Support/エンタープライズ サポート" という役割グループにメッセージ追跡の役割を割り当て、これを "Organization/組織" という定義済みスコープに適用しています。
New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization
この例では、"Seattle Recipient Admins/Seattle の受信者管理者" という役割グループにメッセージ追跡の役割を割り当て、これを "Seattle Recipients/Seattle の受信者" というスコープに適用しています。
New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"
構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。
Exchange Online PowerShell を使用してカスタム ロール グループからロールを削除する (役割の割り当てを削除する)
Exchange Online PowerShell でカスタム ロール グループからロールを削除するには、次の構文を使用して 管理ロールの割り当てを 削除します。
Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" -Role "<Role Name>" -Delegating <$true | $false> | Remove-ManagementRoleAssignment
- ユーザーにアクセス許可を付与する通常のロールの割り当てを削除するには、Delegating パラメーターの値
$false
を使用します。 - ロールを他のユーザーに割り当てることができる委任ロールの割り当てを削除するには、Delegating パラメーターの値
$true
を使用します。
次の使用例は、シアトル受信者管理者ロール グループから配布グループロールを削除します。
Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment
構文およびパラメーターの詳細については、「Remove-ManagementRoleAssignment」を参照してください。
Exchange Online PowerShell を使用して、カスタム ロール グループのロール割り当てのスコープを変更する
ロール グループのロール割り当ての書き込みスコープは、ロール グループのメンバーが操作できるオブジェクト (たとえば、すべてのユーザー、 City プロパティに 値がバンクーバーを持つユーザーのみ) を定義します。 カスタム ロール グループに割り当てられているロールの書き込みスコープを変更して、次のことができます。
- ロール自体からの暗黙的なスコープ。 つまり、ロール グループの作成時にカスタム スコープを指定しなかったか、既存のロール グループ
$null
内のすべてのロール割り当ての値を に設定します。 - すべてのロールの割り当てに同じカスタム スコープ。
- 個々のロールの割り当てごとに異なるカスタム スコープ。
ロール グループのすべてのロール割り当てのスコープを同時に設定するには、次の構文を使用します。
Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Set-ManagementRoleAssignment [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
次の使用例は、Sales Recipient Management ロール グループのすべてのロール割り当ての受信者スコープを Direct Sales Employees に変更します。
Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"
役割グループと管理ロールの間の個々のロール割り当てのスコープを変更するには、次の手順を実行します。
役割グループ名>を役割グループの名前に置き換え<、次のコマンドを実行して、役割グループのすべてのロール割り当ての名前を検索します。
Get-ManagementRoleAssignment -RoleAssignee "<Role Group Name>" | Format-List Name
変更する役割の割り当ての名前を検索します。 役割割り当ての名前は、次の手順で使用します。
個々のロールの割り当てでスコープを設定するには、次の構文を使用します。
Set-ManagementRoleAssignment -Identity "<Role Assignment Name"> [-CustomRecipientWriteScope "<Recipient Write Scope Name>"] [-RecipientRelativeScopeWriteScope <MyDistributionGroups | Organization | Self>] [-ExclusiveRecipientWriteScope "<Exclusive Recipient Write Scope name>"]
次の使用例は、Mail Recipients_Sales Recipient Management という名前のロール割り当ての受信者スコープをすべての営業従業員に変更します。
Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"
構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。
Exchange Online PowerShell を使用して、役割グループ内のデリゲートの一覧を変更する
役割グループの代理人は、ロール グループの変更と削除を許可するユーザーを定義します。 EAC で役割グループデリゲートを管理することはできません。
ロール グループ内のデリゲートの一覧を変更するには、次の構文を使用します。
Set-RoleGroup -Identity "<Role Group Name>" -ManagedBy <Delegates>
デリゲートの既存のリストを指定した値に置き換えるには、次の構文を使用します。
"Delegate1","Delegate2",..."DelegateN"
既存のデリゲートの一覧を選択的に変更するには、次の構文を使用します。
@{Add="Delegate1","Delegate2"...; Remove="Delegate3","Delegate4"...}
次の使用例は、ヘルプ デスク ロール グループのすべての現在のデリゲートを、指定したユーザーに置き換えます。
Set-RoleGroup -Identity "Help Desk" -ManagedBy "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"
次の使用例は、Akai 大五郎を追加し、ヘルプ デスクの役割グループの代理人の一覧から Valeria Barrio を削除します。
Set-RoleGroup -Identity "Help Desk" -ManagedBy @{Add="Daigoro Akai"; Remove="Valeria Barrios"}
構文およびパラメーターの詳細については、「Set-RoleGroup」を参照してください。
Exchange Online PowerShell を使用してカスタム ロール グループを削除する
組み込みの役割グループを削除することはできませんが、カスタム ロール グループを削除することはできます。
カスタム ロール グループを削除するには、次の構文を使用します。
Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]
この例では、Training Administrators 役割グループを削除します。
Remove-RoleGroup -Identity "Training Administrators"
構文およびパラメーターの詳細については、「Remove-RoleGroup」を参照してください。
正常な動作を確認する方法
ロール グループが正常に作成、変更、または削除されたことを確認するには、次のいずれかの手順を実行します。
EAC で、 の [管理者ロール ] ページ https://admin.exchange.microsoft.com/#/adminRolesに移動し、役割グループが一覧表示されていることを確認します (または一覧に表示されていないこと)。 名前をクリックし、開いた詳細ポップアップの設定を確認して、役割グループを選択します。
Exchange Online PowerShell で、役割グループ名>を役割グループの名前に置き換え<、次のコマンドを実行して、役割グループが存在する (または存在しない) ことを確認し、設定を確認します。
Get-RoleGroup -Identity "<Role Group Name>" | Format-List