Exchange Online のアクセス許可
Microsoft Entra IDのグローバル ロールを使用すると、すべての Microsoft 365 の機能に対するアクセス許可とアクセス権を管理できます。これには、Exchange Onlineも含まれます。 詳細については、「Microsoft Entraアクセス許可」を参照してください。
ただし、Exchange Onlineの機能にアクセス許可と機能を制限する必要がある場合は、Exchange 管理センター (EAC) と Exchange Online PowerShell でExchange Onlineアクセス許可を割り当てることができます。
EAC でExchange Onlineアクセス許可を管理するには、[ロール>管理ロール] に移動するか、 の [管理ロール] ページhttps://admin.exchange.microsoft.com/#/adminRolesに直接移動します。
Exchange Onlineの組織管理役割グループのメンバーである必要があります。 具体的には、Exchange Onlineのロール管理ロールを使用すると、ユーザーはロール グループExchange Online表示、作成、変更できます。 既定では、そのロールは 組織の管理 役割グループにのみ割り当てられます。
Exchange Onlineには、ロールベースのAccess Control (RBAC) アクセス許可モデルに基づいて、定義済みのアクセス許可の大規模なセットが含まれています。すぐに使用して、管理者とユーザーにアクセス許可を簡単に付与できます。 Exchange Onlineのアクセス許可機能を使用して、新しいorganizationをすばやく起動して実行できます。
ヒント
Exchange Onlineでアクセス許可を管理すると、ユーザーは EAC および PowerShell Exchange Online機能にアクセスできます。 Microsoft Purview コンプライアンス ポータルのコンプライアンス機能やMicrosoft Defender ポータルのセキュリティ機能など、他の機能にアクセス許可を付与するには、次の記事を参照してください。
- Microsoft Purview コンプライアンス ポータルのアクセス許可
- Microsoft Defender ポータルでのアクセス許可のMicrosoft Defender for Office 365
この記事では、いくつかの高度な RBAC の機能と概念について説明しません。 この記事で説明する機能がニーズを満たしていない場合、アクセス許可モデルをさらにカスタマイズする場合は、「ロールベースのAccess Controlについて」を参照してください。
役割に基づくアクセス許可
Exchange Onlineアクセス許可は、ロールベースのアクセス制御 (RBAC) アクセス許可モデルに基づいています。 RBAC は、ほとんどの Microsoft 365 サービスとExchange Serverで使用されているのと同じアクセス許可モデルであるため、これらのサービスのアクセス許可構造に慣れている場合は、Exchange Onlineでアクセス許可を付与することが理解されている必要があります。
ロールまたは管理ロールは、一連のタスクを実行するためのアクセス許可を付与します。 Exchange Onlineアクセス許可では、次の種類のロールを使用します。
- 管理者ロール: 管理者が実行できる一連のタスクを定義します。 管理者ロールが役割グループに割り当てられ、管理者またはユーザーがその 役割グループのメンバーである場合、そのユーザーにはロールによって提供されるアクセス許可が付与されます。 これらのロールの一覧と説明については、この記事を参照してください。
-
エンド ユーザー ロール: ロール 割り当てポリシーを使用して割り当てられたこれらのロールを使用すると、ユーザーは自分が所有するメールボックスと配布グループの側面を管理できます。 エンド ユーザー ロールは、プレフィックス
My
で始まります。 詳細については、この記事の後半のセクションを参照してください。 - アプリケーション ロール: "アプリケーション" で開始または終了するこれらのロール名は、Exchange Onlineのアプリケーションの RBAC の一部です。 詳細については、「Exchange Onlineのアプリケーションのロール ベースのAccess Control」を参照してください。
ロールは、Exchange Onlineコマンドレットを使用可能なユーザーにすることで、タスクを実行するアクセス許可をユーザーに付与します。 EAC と Exchange Online PowerShell ではコマンドレットを使用してExchange Onlineを管理するため、コマンドレットへのアクセス権を付与すると、管理者またはユーザーは、Exchange Online管理インターフェイスのいずれかでタスクを実行するアクセス許可が付与されます。
役割グループを使用すると、管理者にロールを簡単に割り当てることができます。 役割が役割グループに割り当てられると、その役割が付与するアクセス許可が役割グループの全メンバーに付与されます。 Exchange Onlineアクセス許可には、割り当てる必要がある最も一般的なタスクと機能の既定の役割グループが含まれます。 カスタム ロール グループを作成することもできます。 ユーザーにロールを直接割り当てるのではなく、個々のユーザーを既定のロール グループまたはカスタム ロール グループに メンバー として追加することをお勧めします。 役割グループのメンバーは Exchange Online ユーザーやその他の役割グループにすることができます。
Exchange Onlineロール グループにユーザーを追加すると、ユーザーをMicrosoft Entraロールに追加することなく、Exchange Onlineのユーザーに管理者権限が付与されます。 ユーザーは、他の Microsoft 365 の機能またはワークロードに対するアクセス許可なしでのみ、Exchange Onlineの役割グループによって付与されたアクセス許可を受け取ります。
この記事の残りの部分では、Exchange Onlineの管理者ロールと役割グループについて説明します。
ヒント
ロール割り当てポリシーは、エンド ユーザー ロールをユーザーに割り当てるために使用されるロール グループの一種です。 詳細については、「Exchange Onlineでのロールの割り当てポリシー」を参照してください。
Exchange Onlineの役割グループ
このセクションの表は、Exchange Onlineで使用できる既定の管理者ロール グループと、既定でロール グループに割り当てられているロールの一覧です。 Exchange Onlineでタスクを実行するアクセス許可をユーザーに付与するには、適切なロール グループに追加します。
少数の管理者しか持っていない小規模なorganizationで作業する場合は、それらの管理者を Organization Management 役割グループにのみ追加する必要があり、他の役割グループを使用する必要がない場合があります。 より大きなorganizationで作業する場合は、受信者の構成など、Exchange Onlineを管理する特定のタスクを実行する管理者がいる場合があります。 このような場合は、1 人の管理者を受信者管理役割グループに追加し、もう 1 人の管理者を組織管理役割グループに追加できます。 これらの管理者は、Exchange Onlineの特定の領域を管理できますが、責任を負わない領域を管理するためのアクセス許可がありません。
Exchange Onlineの組み込みロール グループが管理者のジョブ機能と一致しない場合は、ロール グループを作成してロールを追加できます。 詳細については、「Exchange Online で役割グループを管理する」を参照してください。
ヒント
特に記載がない限り、同じロール グループとロールの割り当てがスタンドアロン Exchange Online Protectionで使用されます。
役割グループ | 説明 | 既定のロールが割り当てられている |
---|---|---|
通信コンプライアンス | この役割グループのロールの割り当てにより、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | コミュニケーション コンプライアンスの管理者 コミュニケーション コンプライアンスの調査 |
コミュニケーション コンプライアンス管理者 | この役割グループのロールの割り当てにより、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | コミュニケーション コンプライアンスの管理者 |
コンプライアンス管理者 | デバイス管理、データ損失防止、レポート、および保存の設定を管理します。 | コミュニケーション コンプライアンスの管理者 インサイダーリスク管理管理 |
コンプライアンス管理 | メンバーは、ポリシーに従って Exchange 内でコンプライアンス設定を構成および管理できます。 | 監査ログ コンプライアンス 管理 データ損失防止 Information Rights Management ジャーナリング "Message Tracking/メッセージ追跡" 保持管理 トランスポート ルール 表示専用の監査ログ "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
検出の管理 | メンバーは、特定の条件を満たすデータをExchange Online organization内のメールボックスの検索を実行でき、メールボックスの訴訟ホールドを構成することもできます。 | "Legal Hold/法的情報保留" "Mailbox Search/メールボックス検索" |
ExchangeServiceAdmins_一<意の値>¹ | この役割グループのメンバーシップは、サービス間で同期され、一元的に管理されます。 Exchange Onlineでこの役割グループを管理することはできません。 この役割グループには、ロールが割り当てられません。 ただし、組織管理役割グループ (Exchange サービス管理者) のメンバーであり、その役割グループによって提供されるアクセス許可を継承します。 この役割グループにメンバーを追加するには、Microsoft 365 管理センターのMicrosoft Entra ID Exchange 管理者ロールにユーザーを追加します。 |
該当なし |
ヘルプ デスク | メンバーは、個々の受信者の構成を表示および管理し、Exchange organizationで受信者を表示できます。 この役割グループのメンバーは、各ユーザーが自分のメールボックスで管理できる構成のみを管理できます。 | パスワードのリセット ユーザー オプション "View-Only Recipients/表示専用受信者" |
検疫管理 | メンバーは、Exchange スパム対策機能を管理し、ウイルス対策製品が Exchange と統合するためのアクセス許可を付与し、メール フロー ルールを管理できます。 | 輸送衛生 "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
情報保護 | 秘密度ラベルとそのポリシー、DLP、すべての分類子の種類、アクティビティとコンテンツ エクスプローラー、およびすべての関連レポートを含むすべての情報保護機能を完全に制御します。 | Information Protection 管理者 Information Protection Analyst² Information Protection 調査員 Information Protection 閲覧者 |
Information Protection レベル | この役割グループのロールの割り当てにより、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | Information Protection 管理者 |
Information Protection アナリスト | この役割グループのロールの割り当てにより、Exchange Onlineの Search-UnifiedAuditLog コマンドレットにアクセスできます。 | Information Protection Analyst² |
Information Protection 調査担当者 | 統合監査ログを検索する | Information Protection 調査員 |
Information Protection 閲覧者 | 統合監査ログを検索し、[メール トラフィック] レポートと [メール トラフィックの概要] レポートを表示します。 | Information Protection 閲覧者 |
インサイダー リスクの管理 | Insider リスク管理のアクセス制御を管理します。 | インサイダーリスク管理管理 インサイダー リスク管理の調査 |
Insider Risk Management 管理者 | この役割グループのロールの割り当てにより、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | インサイダーリスク管理管理 |
インサイダー リスク管理調査担当者。 | この役割グループのロールの割り当てにより、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | インサイダー リスク管理の調査 |
組織の管理 | メンバーは、Exchange Online organization全体への管理アクセス権を持ち、Exchange Onlineでほぼすべてのタスクを実行できます。 重要: Organization Management 役割グループは強力なロールであるため、Exchange Online organization全体に影響を与える可能性のある組織レベルの管理タスクを実行するユーザーのみが、この役割グループのメンバーである必要があります。 |
監査ログ コミュニケーション コンプライアンスの管理者 コミュニケーション コンプライアンスの調査 コンプライアンス 管理 データ損失防止 動的配布グループ 電子メール アドレス ポリシー フェデレーションの共有 Information Protection 管理者 Information Protection Analyst² Information Protection 調査員 Information Protection 閲覧者 Information Rights Management インサイダーリスク管理管理 インサイダー リスク管理の調査 ジャーナリング "Legal Hold/法的情報保留" "Mail Enabled Public Folders/メールが有効なパブリック フォルダー" "Mail Recipient Creation/メール受信者の作成" Mail Recipients メールのヒント "Message Tracking/メッセージ追跡" "Migration/移行" "Move Mailboxes/メールボックスの移動" 組織カスタム アプリ 組織マーケットプレース アプリ 組織のクライアント アクセス 組織の構成 組織のトランスポート設定 プライバシー管理の管理 プライバシー管理の調査 パブリック フォルダー "Recipient Policies/受信者ポリシー" リモートドメインと承認済みドメイン パスワードのリセット 保持管理 ロール管理 セキュリティ管理者 セキュリティ グループの作成とメンバーシップ セキュリティ閲覧者 TenantPlacesManagement 輸送衛生 トランスポート ルール ユーザー オプション 表示専用の監査ログ "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
プライバシー管理 | この役割グループのロールの割り当てにより、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | プライバシー管理の管理 プライバシー管理の調査 |
プライバシー管理管理者 | この役割グループのロールの割り当てにより、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | プライバシー管理の管理 |
プライバシー管理調査員 | この役割グループのロールの割り当てにより、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | プライバシー管理の調査 |
Recipient Management | メンバーは、Exchange Online organization内Exchange Online受信者を作成または変更するための管理アクセス権を持ちます。 | 動的配布グループ "Mail Recipient Creation/メール受信者の作成" Mail Recipients "Message Tracking/メッセージ追跡" "Migration/移行" "Move Mailboxes/メールボックスの移動" "Recipient Policies/受信者ポリシー" パスワードのリセット |
レコード管理 | メンバーは、アイテム保持ポリシー タグ、メッセージ分類、メール フロー ルール (トランスポート ルールとも呼ばれます) などのコンプライアンス機能を構成できます。 | 監査ログ ジャーナリング "Message Tracking/メッセージ追跡" 保持管理 トランスポート ルール |
RIM-MailboxAdmins<GUID> | 不使用 | ApplicationImpersonation |
セキュリティ管理者 | この役割グループのメンバーシップは、サービス間で同期され、一元的に管理されます。 Exchange Onlineでこの役割グループを管理することはできません。 この役割グループにメンバーを追加するには、Microsoft 365 管理センターのMicrosoft Entraセキュリティ管理者ロールにユーザーを追加します。 |
セキュリティ管理者 SensitivityLabelAdministrator |
セキュリティ オペレーター | セキュリティ アラートを管理し、セキュリティ機能のレポートと設定も表示します。 Microsoft Entra IDの Security Operator ロールのメンバーは、このロール グループのアクセス許可を自動的に取得します。 |
テナント AllowBlockList Manager |
セキュリティ閲覧者 | この役割グループのメンバーシップは、サービス間で同期され、一元的に管理されます。 Exchange Onlineでこの役割グループを管理することはできません。 このロール グループにメンバーを追加するには、Microsoft 365 管理センターのMicrosoft Entraセキュリティ閲覧者ロールにユーザーを追加します。 |
セキュリティ閲覧者 |
TenantAdmins_一意の<値> | この役割グループのメンバーシップは、サービス間で同期され、一元的に管理されます。 Exchange Onlineでこの役割グループを管理することはできません。 この役割グループには、ロールが割り当てられません。 ただし、組織管理役割グループのメンバー (会社の管理者として) であり、その役割グループによって提供されるアクセス許可を継承します。 このロール グループにメンバーを追加するには、Microsoft 365 管理センターのMicrosoft Entra IDグローバル管理者ロールにユーザーを追加します。 重要: Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。 |
該当なし |
View-Only Organization Management | メンバーは、Exchange Online organization内の任意のオブジェクトのプロパティを表示できます。 | "View-Only Configuration/表示専用構成" "View-Only Recipients/表示専用受信者" |
¹ この役割グループは、スタンドアロン Exchange Online Protectionでは使用できません。
² 既定では、このロールにはスタンドアロン Exchange Online Protectionのロール グループは割り当てられません。
Exchange Onlineのロール
このセクションの表に、使用可能な管理者ロールと、既定で割り当てられている役割グループを示します。
既定で組織管理役割グループに割り当て られない ロールは、 でマークされます *
ヒント
- プレフィックス 'My' で始まるロール名 (MyContactInformation など) はエンド ユーザー ロールです。 エンド ユーザー ロールは、ロール割り当てポリシーのユーザーに割り当てられます。これにより、ユーザーは自分が所有するオブジェクト (自分が作成したアカウントや配布グループなど) で操作できます。 詳細については、「Exchange Onlineでのロールの割り当てポリシー」を参照してください。
- 'Application' で始まるロール名は、Exchange Onlineのアプリケーションの RBAC の一部です。 詳細については、「Exchange Onlineのアプリケーションのロール ベースのAccess Control」を参照してください。
- Microsoft Purview コンプライアンスおよびMicrosoft Entraでも利用できるコンプライアンス関連のロールの多くは、Exchange Onlineではあまり機能しません。
- 特に記載がない限り、同じロールとロール グループの割り当てがスタンドアロン Exchange Online Protectionで使用されます。
役割 | 説明 | 既定の役割グループの割り当て |
---|---|---|
"Address Lists/アドレス一覧"* | 管理者は、organizationでアドレス一覧、グローバル アドレス一覧、オフライン アドレス一覧を管理できます。 | なし |
監査ログ | 管理者監査ログを検索し、結果を表示します。 | コンプライアンス管理 組織の管理 レコード管理 |
コミュニケーション コンプライアンスの管理者 | このロールは、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | 通信コンプライアンス コミュニケーション コンプライアンス管理者 コンプライアンス管理者 組織の管理 |
コミュニケーション コンプライアンスの調査 | このロールは、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | 通信コンプライアンス 組織の管理 |
コンプライアンス 管理 | コンプライアンス機能の設定とレポートを表示および編集できます。 | コンプライアンス管理 組織の管理 |
データ損失防止 | このロールは、organizationの古いメール フロー ルール (トランスポート ルール) に関連するデータ損失防止 (DLP) 設定に関連していました。 このロールは、Exchange Onlineのレポートフローとメールフロールール管理にアクセスできます。 | コンプライアンス管理 組織の管理 |
動的配布グループ | すべての配布グループ、メールが有効なセキュリティ グループ、およびメンバーを作成して管理します。 | 組織の管理 Recipient Management |
電子メール アドレス ポリシー | 管理者がorganizationでメール アドレス ポリシーを管理できるようにします。 | 組織の管理 |
フェデレーションの共有 | 管理者がフォレスト間およびクロスorganization共有をorganizationで管理できるようにします。 | 組織の管理 |
Information Protection 管理者 | このロールは、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | 情報保護 Information Protection レベル 組織の管理 |
Information Protection アナリスト | このロールは、Exchange Onlineの Search-UnifiedAuditLog コマンドレットにアクセスできるようにします。 | 情報保護 Information Protection アナリスト¹ 組織の管理 |
Information Protection 調査員 | 統合監査ログを検索します。 | 情報保護 Information Protection 調査担当者 組織の管理 |
Information Protection 閲覧者 | 統合監査ログを検索し、[メール トラフィック] レポートと [メール トラフィックの概要] レポートを表示します。 | 情報保護 Information Protection 閲覧者 組織の管理 |
Information Rights Management | Organizationで Exchange の Information Rights Management (IRM) 機能を管理します。 | コンプライアンス管理 組織の管理 |
インサイダーリスク管理管理 | このロールは、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | コンプライアンス管理者 インサイダー リスクの管理 Insider Risk Management 管理者 組織の管理 |
インサイダー リスク管理の調査 | このロールは、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | インサイダー リスクの管理 インサイダー リスク管理調査担当者。 組織の管理 |
ジャーナリング | 管理者がorganizationでジャーナリング構成を管理できるようにします。 | コンプライアンス管理 組織の管理 レコード管理 |
"Legal Hold/法的情報保留" | 管理者は、メールボックス内のデータをorganizationの訴訟目的で保持するかどうかを構成できます。 | 検出の管理 組織の管理 |
"Mail Enabled Public Folders/メールが有効なパブリック フォルダー" | 管理者は、organizationで個々のパブリック フォルダーをメールが有効にするか、メールが無効にするかを構成できます。 | 組織の管理 |
"Mail Recipient Creation/メール受信者の作成" | メール ユーザーとメール連絡先を作成および削除します。 | 組織の管理 Recipient Management |
Mail Recipients | 既存のメール ユーザーとメール連絡先を変更します。 | 組織の管理 Recipient Management |
メールのヒント | 管理者がorganizationでメール ヒント設定を管理できるようにします。 | 組織の管理 |
メールボックスインポートエクスポート* | 管理者がメールボックスのコンテンツをインポートおよびエクスポートできるようにします。 | なし |
"Mailbox Search/メールボックス検索"* | 管理者は、organization内の 1 つ以上のメールボックスのコンテンツを検索できます。 | 検出の管理 |
"Message Tracking/メッセージ追跡" | 管理者がorganization内のメッセージを追跡できるようにします。 | コンプライアンス管理 組織の管理 Recipient Management Records Management |
移行 | 管理者がメールボックスとメールボックスのコンテンツをorganizationに移行したり、organizationから移行したりできます。 | 組織の管理 Recipient Management |
"Move Mailboxes/メールボックスの移動" | 管理者がメールボックスを移動できるようにします。 | 組織の管理 Recipient Management |
O365SupportViewConfig* | 不使用 | なし |
組織カスタム アプリ | ユーザーが組織のカスタム アプリを表示および変更できるようにします。 | 組織の管理 |
組織マーケットプレース アプリ | ユーザーが組織のマーケットプレース アプリを表示および変更できるようにします。 | 組織の管理 |
組織のクライアント アクセス | 管理者がorganizationでクライアント アクセス設定を管理できるようにします。 | 組織の管理 |
組織の構成 | 管理者がorganization全体の設定を管理できるようにします。 | 組織の管理 |
組織のトランスポート設定 | 管理者は、ハイブリッドおよびorganization全体のメール トランスポート設定を管理できます。 | 組織の管理 |
プライバシー管理の管理 | このロールは、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | 組織の管理 プライバシー管理 プライバシー管理管理者 |
プライバシー管理の調査 | このロールは、Exchange Onlineの Test-TextExtraction コマンドレットにアクセスできます。 | 組織の管理 プライバシー管理 プライバシー管理調査員 |
パブリック フォルダー | 管理者がorganizationのパブリック フォルダーを管理できるようにします。 | 組織の管理 |
"Recipient Policies/受信者ポリシー" | 管理者は、organizationで受信者ポリシー (認証ポリシー、データ暗号化ポリシーモバイル デバイス メールボックス ポリシー、Outlook on the webメールボックス ポリシー) を管理できるようにします。 | 組織の管理 Recipient Management |
リモートドメインと承認済みドメイン | リモート ドメイン、承認済みドメイン、コネクタを管理します。 | 組織の管理 |
パスワードのリセット | 管理者が会議室メールボックスのパスワードを設定できるようにします。 | ヘルプ デスク 組織の管理 Recipient Management |
保持管理 | ユーザーがアイテム保持ポリシーを管理できるようにします。 | コンプライアンス管理 組織の管理 レコード管理 |
ロール管理 | 管理者は、organizationで管理役割グループ、ロール割り当てポリシー、管理ロール、ロール エントリ、割り当て、スコープを管理できます。 | 組織の管理 |
セキュリティ管理者 | すべてのセキュリティと保護機能の構成とレポートを管理します。 | 組織の管理 セキュリティ管理者 |
セキュリティ グループの作成とメンバーシップ | メールが有効なセキュリティ グループを作成および管理します。 | 組織の管理 |
セキュリティ閲覧者 | セキュリティと保護機能の構成とレポートを表示します。 | 組織の管理 セキュリティ閲覧者 |
SensitivityLabelAdministrator* | ユーザーが秘密度ラベルのプロパティを編集できるようにします。 | セキュリティ管理者 |
テナント AllowBlockList Manager* | ユーザーがテナントの許可/ブロックリストを管理できるようにします。 | セキュリティ オペレーター |
TenantPlacesManagement | ユーザーがMicrosoft Placesの設定を管理できるようにします。 | 組織の管理 |
輸送衛生 | マルウェア対策、スパム対策機能、なりすまし対策機能を管理します。 | 検疫管理 組織の管理 |
トランスポート ルール | メール フロー ルール (トランスポート ルールとも呼ばれます) を作成および管理します。 | コンプライアンス管理 組織の管理 レコード管理 |
ユーザー オプション | 管理者は、organization内のユーザーのOutlook on the webオプションを表示できます。 | ヘルプ デスク 組織の管理 |
表示専用の監査ログ | 管理者監査ログを検索し、結果を表示します。 | コンプライアンス管理 組織の管理 |
"View-Only Configuration/表示専用構成" | organizationのすべてのorganizationとメール フロー (受信者以外) の設定を表示します。 | コンプライアンス管理 検疫管理 組織の管理 View-Only Organization Management |
"View-Only Recipients/表示専用受信者" | 受信者のプロパティを表示し、メッセージ トレースを実行します。 | コンプライアンス管理 ヘルプ デスク 検疫管理 組織の管理 View-Only Organization Management |
¹ 既定では、このロールはスタンドアロン Exchange Online Protectionのロール グループには割り当てられません。
Exchange Online での Microsoft 365 アクセス許可
Microsoft 365 管理センターでユーザーを作成するときに、さまざまなMicrosoft Entraロール (Exchange 管理者やグローバル 閲覧者など) をユーザーに割り当てるかどうかを選択できます。 ほとんどのMicrosoft Entraロールは、Exchange Onlineでユーザーに管理アクセス許可を付与します。
注:
Exchange Online organizationの作成に使用したアカウントは、グローバル管理者ロールに自動的に割り当てられます。
次の表に、Microsoft Entraロールと、対応するExchange Onlineロール グループを示します。 これらのロールの詳細については、「Microsoft Entraアクセス許可」を参照してください。
Microsoft Entraロール | Exchange Online 役割グループ |
---|---|
グローバル管理者 | 組織の管理 注: グローバル管理者ロールと組織管理役割グループは、特別な会社管理者役割グループを使用して結び付けられます。 会社管理者ロール グループは内部的に管理され、直接変更することはできません。 |
Exchange 管理者 | 組織の管理 |
グローバル閲覧者 | View-Only Organization Management |
ヘルプデスク管理者 | ヘルプ デスク |
サービス サポート管理者 | なし |
SharePoint 管理者 | なし |
Teams 管理者 | なし |
"Exchange Recipient Administrator/Exchange 受信者管理者" | Recipient Management |
ユーザー エクスペリエンス サクセス Åマネージャー | なし |
ユーザーをExchange Onlineロール グループのメンバーとして追加することで、ユーザーをMicrosoft Entraロールに追加することなく、Exchange Onlineで管理者権限を付与できます。 ユーザーはExchange Onlineでアクセス許可を取得しますが、他の Microsoft 365 ワークロードではアクセス許可を取得しません。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。