次の方法で共有


Information Rights Management 役割

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2015-03-09

Information Rights Management 管理役割を使用すると、管理者は組織内の Exchange の Information Rights Management (IRM) 機能を使用できます。

この管理役割は、Microsoft Exchange Server 2010 の役割ベースのアクセス制御 (RBAC) というアクセス許可モデル内のいくつかの組み込みの役割の 1 つです。管理役割は、1 つ以上の管理役割グループ、管理役割の割り当てポリシー、ユーザー、またはユニバーサル セキュリティ グループ (USG) に割り当てられ、複数のコマンドレットまたはスクリプトの論理的なグループとして機能します。これらのコマンドレットやスクリプトは、メールボックス、トランスポート ルール、受信者などの Exchange 2010 コンポーネントの構成の表示または変更用のアクセスを提供するために組み合わせられます。コマンドレットやスクリプトおよびそのパラメーター (まとめて管理役割エントリと呼ばれる) が 1 つの役割に含まれている場合、そのコマンドレットやスクリプトおよびそのパラメーターは、その役割が割り当てられたユーザーによって実行できます。管理役割と管理役割エントリの詳細については、「管理の役割について」を参照してください。

管理役割、管理役割グループ、およびその他の RBAC コンポーネントに関する詳細については、「役割ベースのアクセス制御について」を参照してください。

管理役割の割り当て

この役割でアクセス許可を付与するには、役割担当者 (役割グループ、ユーザー、またはユニバーサル セキュリティ グループ (USG) のいずれか) に割り当てる必要があります。この割り当ては、管理役割の割り当てを使用して実行します。役割の割り当ては、役割担当者と役割を相互にリンクします。複数の役割を役割担当者に割り当てると、役割担当者には、割り当てられたすべての役割によって付与されるすべてのアクセス許可の組み合わせが付与されます。

役割担当者を役割にリンクするだけでなく、役割の割り当てでは、カスタムまたは組み込みの管理スコープも適用できます。管理スコープは、役割担当者が変更できる受信者オブジェクト、サーバー オブジェクト、およびデータベース オブジェクトを制御します。この役割が役割担当者に割り当てられているが、管理スコープによって、役割担当者に定義済みのスコープに基づいて特定のオブジェクトの管理のみ許可されている場合、役割担当者はこれら特定のオブジェクト上のこの役割によって付与されたアクセス許可のみ使用できます。この役割によって提供されたアクセス許可は、役割の割り当てで定義されたスコープ外のオブジェクトには適用できません。役割の割り当てとスコープについて詳しくは、次のトピックを参照してください。

この役割は、既定では 1 つ以上の役割グループに割り当てられます。詳細については、後の「既定の管理役割の割り当て」を参照してください。

この役割に割り当てられている役割グループ、ユーザー、または USG の一覧を表示する場合、次のコマンドを使用します。

Get-ManagementRoleAssignment -Role "<role name>"

正規および委任の役割の割り当て

この役割は、正規または委任の役割割り当てを使用して、役割担当者に割り当てることができます。正規役割割り当ては、役割によって提供されるアクセス許可を役割担当者に付与します。委任役割割り当ては、役割担当者に役割を他の役割担当者に割り当てる能力を付与します。正規および委任の役割割り当ての詳細については、「管理役割の割り当てについて」を参照してください。

役割の割り当ての追加または削除

この役割を割り当てる役割担当者を変更できます。この役割を割り当てる役割担当者を変更することで、そのアクセス許可を付与するユーザーを変更します。この役割を他の組み込み役割グループに割り当てたり、役割グループを作成してこの役割をそれらのグループに割り当てたりできます。この役割をユーザーまたは USG に割り当てることもできます。ただし、このような割り当てによってアクセス許可モデルが極めて複雑になる可能性があるため、ユーザーと USG への役割の割り当ては制限することをお勧めします。

この役割を役割担当者に割り当てるには、委任役割割り当てを使用して、役割の割り当て先をユーザーがメンバーになっている役割グループ、直接ユーザー、またはユーザーがメンバーになっている USG にする必要があります。委任役割割り当ての詳細については、「正規と委任の役割割り当て」を参照してください。

組み込み役割グループ、作成した役割グループ、ユーザー、および USG からこの役割を削除することもできます。ただし、この役割と役割グループまたは USG 間には、常に少なくとも 1 つの委任役割割り当てがある必要があります。最後の委任役割割り当ては削除できません。この制限によって、システムから自分自身をロックアウトしないようにできます。

重要

この役割と役割グループまたは USG 間には、少なくとも 1 つの委任役割割り当てがある必要があります。最後の割り当てがユーザーに対するものである場合、この役割に関連付けられている最後の委任役割割り当てを削除することはできません。

この役割と役割グループ、ユーザー、USG 間の割り当ての追加または削除方法について詳しくは、次のトピックを参照してください。

役割の割り当ての管理スコープの変更

この役割と役割担当者間の既存の役割の割り当てに関する管理スコープを変更することもできます。役割の割り当てに関する管理スコープを変更することで、この役割で提供されるアクセス許可を使用して管理できるオブジェクトを制御できます。役割の割り当てに関するスコープを変更する場合、いくつかの選択肢があります。次のどちらかの処理を行うことができます。

  • Set-ManagementRoleAssignment コマンドレットを使用して、新しいカスタム スコープを追加します。詳細については、次のトピックを参照してください。

  • Set-ManagementRoleAssignment コマンドレットを使用して、組織単位スコープを追加または変更します。管理役割の割り当ての詳細については、「役割の割り当てを変更する」を参照してください。

  • Set-ManagementRoleAssignment コマンドレットを使用して、定義済みスコープを追加または変更します。管理役割の割り当ての詳細については、「役割の割り当てを変更する」を参照してください。

  • Set-ManagementScope コマンドレットを使用して、役割の割り当てに関連付けられているカスタム スコープに関する受信者スコープ、サーバー スコープ、またはデータベース スコープを変更します。詳しくは、「役割のスコープを変更する」を参照してください。

役割の割り当ての有効化または無効化

役割の割り当てを有効または無効にすると、その役割の割り当てを有効にするかどうかを制御できます。役割の割り当てを無効にすると、関連する役割によって付与されるアクセス許可が役割担当者に適用されなくなります。これは、役割の割り当てを削除せずに一時的にアクセス許可を削除する場合に便利です。詳細については、「役割の割り当てを変更する」を参照してください。

既定の管理役割の割り当て

この役割には、1 人以上の役割担当者に対する役割の割り当てがあります。次の表は、役割の割り当てが正規であるか、委任であるかを示し、各割り当てに適用される管理スコープも示します。次の一覧で、各列について説明します。

  • 正規割り当て   正規の役割割り当てでは、この役割の管理役割エントリによって提供されるアクセス許可に役割担当者がアクセスできるようになります。

  • 委任割り当て   委任役割割り当てでは、役割担当者がこの役割を役割グループ、ユーザー、または USG に割り当てられるようになります。

  • 受信者の読み取りスコープ   受信者の読み取りスコープは、役割担当者が Active Directory から読み取りできる受信者オブジェクトを決定します。

  • 受信者の書き込みスコープ   受信者の書き込みスコープは、役割担当者が Active Directory で変更できる受信者オブジェクトを決定します。

  • 構成の読み取りスコープ   構成の読み取りスコープは、役割担当者が Active Directory から読み取りできる構成オブジェクトとサーバー オブジェクトを決定します。

  • 構成の書き込みスコープ   構成の書き込みスコープは、役割担当者が Active Directory で変更できる構成オブジェクトとサーバー オブジェクトを決定します。

この役割の既定の管理役割の割り当て

役割グループ 正規の割り当て 委任の割り当て 受信者の読み取り範囲 受信者の書き込み範囲 構成の読み取り範囲 構成の書き込み範囲

組織の管理

X

X

Organization

Organization

OrganizationConfig

OrganizationConfig

管理役割のカスタマイズ

この役割は、このトピックの始めに一覧表示されている機能とコンポーネントを管理するのに必要なコマンドレットとそのパラメーターすべてを、役割担当者に提供するように構成されています。他の機能の管理を有効にするために、他の役割も用意されています。役割グループに対して役割を追加および削除することで、個々の管理役割をカスタマイズせずに、カスタマイズされたアクセス許可モデルを作成できます。役割の完全な一覧については、「組み込みの管理役割」を参照してください。役割グループのカスタマイズの詳細については、次のトピックを参照してください。

この役割のカスタマイズ版を作成する必要がある場合、役割をこの役割の子として作成し、新しい役割をカスタマイズする必要があります。

注意

次の情報を使用すると、アクセス許可の高度な管理を実行できます。管理役割をカスタマイズすると、アクセス許可モデルが極めて複雑になる可能性があります。組み込みの管理役割を正しく構成されていないカスタム役割で置き換えると、特定の機能が機能しなくなることがあります。

次に、カスタマイズされた役割を作成し、役割担当者に割り当てる最も一般的な手順を示します。

  1. New-ManagementRole コマンドレットを使用して、この役割のコピーを作成します。詳細については、「役割を作成する」を参照してください。

  2. Set-ManagementRoleEntry コマンドレットと Remove-ManagementRoleEntry コマンドレットを使用して、新しい役割の役割エントリを変更または削除します。新しい役割には、親の組み込みの役割の役割エントリしか含められないため、役割エントリを追加できません。詳細については、次のトピックを参照してください。

  3. 組み込みの役割を新たにカスタマイズされた役割で置き換える場合、Remove-ManagementRoleAssignment コマンドレットを使用して、組み込みの役割に関連付けられている任意の役割の割り当てを削除します。詳細については、次のトピックをご覧ください。

  4. New-ManagementRoleAssignment コマンドレットを使用して、新たにカスタマイズされた役割を必要な役割担当者に追加します。詳細については、次のトピックをご覧ください。

 © 2010 Microsoft Corporation.All rights reserved.