管理スコープと配布グループの管理

Exchange の管理者の役割をユーザーに与えるときに、書き込み可能な範囲 (スコープ) を指定することが可能です。
この機能を利用して一部の管理者権限をユーザーに与える運用も多いのではないかと思いますが、今回は管理者の役割とユーザーの役割の両方が指定されている場合の動作を紹介します。
なお、本投稿は Exchange Online を前提としていますが、オンプレミスの Exchange Server 2016 でも同様です。

はじめに、ユーザー権限で配布グループの管理を行う役割は MyDistributionGroupMembership と MyDistributionGroups の 2 つがあります。
MyDistributionGroupMembership は自分のメンバーシップ (自分がどの配布グループに所属するかなど) を管理する役割です。
MyDistributionGroups は自分が所有者となっている配布グループを管理する役割です。
つまりこれらはスコープが制限されています。

次に管理者の役割としては Distribution Groups の役割があります。
この役割は配布グループ全般の管理を行うことができる管理者の役割です。
既定ではスコープの制限はありませんのですべての配布グループを管理することができますが、ユーザーに役割を割り当てる際にスコープを制限することができます。
スコープの使用方法についてはこちらの技術情報に詳しい情報があります。
なお、セキュリティ グループの管理を行う役割として別途 Security Group Creation and Membership もあります。

では MyDistributionGroups と、スコープの制限された Distribution Groups の両方を割り当てられたユーザーが配布グループの管理を行うとき、スコープはどうなるでしょうか。
答えは、一部の例外を除きどちらかのスコープに当てはまれば管理可能、となります。
つまり、対象の配布グループの所有者であれば Distribution Groups のスコープ外であっても管理可能であり、Distribution Groups のスコープ内であれば所有者ではない配布グループの管理も可能です。

ただし、管理対象の配布グループの所有者であっても、Distribution Groups のスコープ外であり、かつアドレス帳に非表示の配布グループについては、Add-DistributionGroupMember / Remove- DistributionGroupMember によるメンバーの管理ができません。
これは現時点で Exchange の実装上の制限となります。

対処策としては Update-DistributionGroupMember コマンドを代わりに使用する方法があります。
Update-DistributionGroupMember コマンドは、配布グループのメンバーを、パラメータに指定したメンバーに置き換えるコマンドです。
Exchange 管理センターで配布グループのメンバーを管理する際はバックグラウンドで Update-DistributionGroupMember コマンドを使用することで、先述の制限を回避しています。

ちなみに Distribution Groups のスコープとして、配布グループが持っていない属性を条件 (例えば Office 属性が Tokyo であることを条件にするなど) とした場合はどうなるでしょうか。
答えは、すべての配布グループがスコープ外となります。
このため、スコープの条件を検討する際には、実際に配布グループなど管理対象のオブジェクトが持っている属性を条件として使用する必要があります。

※本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります

小間 竜太郎