ユーザーまたは USG に役割を追加するAdd a role to a user or USG

製品: Exchange Server 2013Applies to: Exchange Server 2013

管理役割の割り当ては、管理役割をユーザーまたはユニバーサルセキュリティグループ (USG) に割り当てることができます。Management role assignments can assign a management role to a user or universal security group (USG). ユーザーまたは USG に役割を割り当てることで、これらのユーザーは、管理役割で定義されたコマンドレットまたはスクリプト、およびそれらのパラメーターに依存するタスクを実行できるようになります。By assigning a role to a user or USG, you enable those users to perform tasks dependent on cmdlets or scripts and their parameters defined on the management role.

役割を管理役割グループまたは管理役割の割り当てポリシーに割り当てる場合は、以下のトピックを参照してください。If you want to assign roles to a management role group or a management role assignment policy, see the following topics:

役割グループにメンバーを追加する場合や、役割の割り当てポリシーをエンド ユーザーに割り当てる場合は、以下のトピックを参照してください。If you want to add members to a role group or assign a role assignment policy to an end user, see the following topics:

詳細については、「役割ベースのアクセス制御について」を参照してください。For more information, see Understanding Role Based Access Control.

役割に関連する他の管理タスクについては、Looking for other management tasks related to roles? 高度な権限をチェックアウトします。Check out Advanced permissions.

始める前に把握しておくべき情報What do you need to know before you begin?

  • 各手順の推定完了時間:5 分Estimated time to complete each procedure: 5 minutes

  • この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role assignments" entry in the Role management permissions topic.

  • これらの手順を実行するには、シェルを使用する必要があります。You must use the Shell to perform these procedures.

  • 役割は直接ユーザーおよび Usg に割り当てることができますが、管理者とエンドユーザーにアクセス許可を付与する方法として、管理役割グループと管理役割割り当てポリシーを使用することをお勧めします。Although you can assign roles directly to users and USGs, the recommended method of granting permissions to administrators and end users is to use management role groups and management role assignment policies. 役割グループと割り当てポリシーを使用すると、アクセス許可モデルが簡略化されます。When you use role groups and assignment policies, you simplify your permissions model.

  • 役割の割り当ては追加されます。Role assignments are additive. これは、すべての役割が評価されたときに一緒に追加されることを意味します。This means that all the roles are added together when they're evaluated. ユーザーに2つの役割が割り当てられていて、一方の役割にコマンドレットが含まれていても、もう一方にはない場合、このコマンドレットはユーザーが使用できるようになります。If two roles are assigned to a user and one role contains a cmdlet but the other doesn't, the cmdlet will still be available to the user.

    既定では、役割の割り当ては、役割を他のユーザーに割り当てる機能を付与しません。By default, role assignments don't grant the ability to assign roles to other users. ユーザーが他のユーザーまたは Usg に役割を割り当てることができるようにするには、「役割の割り当てを委任する」を参照してください。To enable a user to assign roles to other users or USGs, see Delegate role assignments.

  • スコープが指定されている割り当てを作成すると、そのスコープは、役割の暗黙的書き込みスコープより優先されます。If you create an assignment with a scope, the scope overrides the role's implicit write scope. ただし、役割の暗黙的な読み取りスコープは引き続き適用されます。However, the role's implicit read scope still applies. 新しいスコープは、役割の暗黙的な読み取りスコープ外にあるオブジェクトを返すことはできません。The new scope can't return objects outside of the role's implicit read scope. 詳細については、「管理役割スコープについて」を参照してください。For more information, see Understanding management role scopes.

  • このトピックのすべての手順では、 microsoft.rtc.management.writableconfig.settings.centralizedlogging.securitygroupパラメーターを使用して、USG に役割を割り当てます。All the procedures in this topic use the SecurityGroup parameter to assign roles to a USG. 特定のユーザーに役割を割り当てる場合は、 microsoft.rtc.management.writableconfig.settings.centralizedlogging.securitygroupパラメーターの代わりにuserパラメーターを使用します。If you want to assign the role to a specific user, use the User parameter instead of the SecurityGroup parameter. 各コマンドの他のすべての構文は同じです。All other syntax for each command is the same.

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

ヒント

問題がある場合は、Exchange のフォーラムで質問してください。次のフォーラムにアクセスしてください。Exchange ServerExchange OnlineExchange Online ProtectionHaving problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

目的に合ったトピックをクリックしてくださいWhat do you want to do?

スコープなしで役割の割り当てを作成するCreate a role assignment with no scope

スコープなしで役割の割り当てを作成できます。You can create a role assignment with no scope. このようにすると、役割の暗黙的な読み取り、および暗黙的な書き込みスコープが適用されます。When you do this, the implicit read and implicit write scopes of the role apply.

次の構文を使用して、スコープを持たない USG に役割を割り当てます。Use the following syntax to assign a role to a USG without any scope.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name>

この例では、"Exchange Servers/Exchange サーバー" という役割を SeattleAdmins という USG に割り当てます。This example assigns the Exchange Servers role to the SeattleAdmins USG.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers"

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

定義済みの相対スコープを持つ役割割り当てを作成するCreate a role assignment with a predefined relative scope

定義済みの相対スコープがビジネス要件を満たしている場合は、カスタムスコープを作成するのではなく、そのスコープを役割割り当てに適用できます。If a predefined relative scope meets your business requirements, you can apply that scope to the role assignment rather than create a custom scope. 定義済みスコープとその説明の一覧については、「管理役割スコープについて」を参照してください。For a list of predefined scopes and their descriptions, see Understanding management role scopes.

次の構文を使用して、定義済みスコープを持つ USG に役割を割り当てます。Use the following syntax to assign a role to a USG with a predefined scope.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

この例では、"Exchange Servers/Exchange サーバー" という役割を SeattleAdmins という USG に割り当て、Organization 定義済みスコープを適用します。This example assigns the Exchange Servers role to the SeattleAdmins USG and applies the Organization predefined scope.

New-ManagementRoleAssignment -Name "Exchange Servers_SeattleAdmins" -SecurityGroup SeattleAdmins -Role "Exchange Servers" -RecipientRelativeWriteScope Organization

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

受信者フィルター ベースのスコープを持つ役割の割り当てを作成するCreate a role assignment with a recipient filter-based scope

受信者フィルターベースのスコープを作成し、役割の割り当てと共に使用する場合は、 CustomRecipientWriteScopeパラメーターを使用して、USG への役割の割り当てに使用するコマンドに、そのスコープを含める必要があります。If you created a recipient filter-based scope and want to use it with a role assignment, you need to include the scope in the command used to assign the role to a USG by using the CustomRecipientWriteScope parameter. CustomRecipientWriteScope パラメーターを使用する場合、RecipientOrganizationalUnitScope パラメーターは使用できません。If you use the CustomRecipientWriteScope parameter, you can't use the RecipientOrganizationalUnitScope parameter.

役割の割り当てにスコープを追加するには、その前にスコープを作成する必要があります。Before you can add a scope to a role assignment, you need to create one. 詳細については、「通常または排他スコープを作成する」を参照してください。For more information, see Create a regular or exclusive scope.

次の構文を使用して、受信者フィルター ベースのスコープを持つ USG に役割を割り当てます。Use the following syntax to assign a role to a USG with a recipient filter-based scope.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup < USG> -Role <role name> -CustomRecipientWriteScope <role scope name>

この例では、"Seattle Recipient Admins/シアトルの受信者管理者" という USG に "Mail Recipients/メール受信者" の役割を割り当て、"Seattle Recipients/シアトルの受信者" というスコープを適用します。This example assigns the Mail Recipients role to the Seattle Recipient Admins USG and applies the Seattle Recipients scope.

New-ManagementRoleAssignment -Name "Mail Recipients_Seattle Recipient Admins" -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -CustomRecipientWriteScope "Seattle Recipients"

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

サーバー フィルター ベース、データベース フィルター ベース、サーバー リスト ベース、またはデータベース リスト ベースの構成スコープを持つ役割の割り当てを作成するCreate a role assignment with a server or database filter or list-based configuration scope

サーバー フィルター ベース、データベース フィルター ベース、サーバー リスト ベース、またはデータベース リスト ベースの構成スコープを作成し、役割の割り当てと組み合わせて使用する場合は、CustomConfigWriteScope パラメーターを使用して、USG への役割割り当てに使用するコマンドに、そのスコープを含める必要があります。If you created a server or database filter or list-based configuration scope and want to use it with a role assignment, you need to include the scope in the command used to assign the role to a USG by using the CustomConfigWriteScope parameter.

役割の割り当てにスコープを追加するには、その前にスコープを作成する必要があります。Before you can add a scope to a role assignment, you need to create one. 詳細については、「通常または排他スコープを作成する」を参照してください。For more information, see Create a regular or exclusive scope.

次の構文を使用して、構成スコープを持つ USG に役割を割り当てます。Use the following syntax to assign a role to a USG with a configuration scope.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -CustomConfigWriteScope <role scope name>

この例では、"Exchange Servers/Exchange サーバー" という役割を MailboxAdmins という USG に割り当て、"Mailbox Servers/メールボックス サーバー"というスコープを適用します。This example assigns the Exchange Servers role to the MailboxAdmins USG and applies the Mailbox Servers scope.

New-ManagementRoleAssignment -Name "Exchange Servers_MailboxAdmins" -SecurityGroup MailboxAdmins -Role "Exchange Servers" -CustomConfigWriteScope "Mailbox Servers"

前の例では、サーバー構成スコープを持つ役割割り当てを追加する方法を示します。The preceding example shows how to add a role assignment with a server configuration scope. データベース構成スコープを追加するための構文は同じです。The syntax to add a database configuration scope is the same. サーバースコープではなく、データベーススコープの名前を指定します。You specify the name of a database scope instead of a server scope.

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

OU スコープを持つ役割の割り当てを作成するCreate a role assignment with an OU scope

組織単位 (OU) に対して役割の書き込みスコープをスコープする場合は、 RecipientOrganizationalUnitScopeパラメーターで ou を直接指定できます。If you want to scope a role's write scope to an organizational unit (OU), you can specify the OU in the RecipientOrganizationalUnitScope parameter directly. RecipientOrganizationalUnitScopeパラメーターを使用する場合は、 CustomRecipientWriteScopeパラメーターを使用することはできません。If you use the RecipientOrganizationalUnitScope parameter, you can't use the CustomRecipientWriteScope parameter.

次の構文を使用して役割を USG に割り当て、役割の書き込みスコープを特定の OU に限定できます。Use the following syntax to assign a role to a USG and restrict the write scope of a role to a specific OU.

New-ManagementRoleAssignment -Name <assignment name> -SecurityGroup <USG> -Role <role name> -RecipientOrganizationalUnitScope <OU>

この例では、"Mail Recipients/メール受信者" という役割を SalesRecipientAdmins という USG に割り当て、その割り当てを contoso.com ドメイン内の "sales/users" という OU にスコープします。This example assigns the Mail Recipients role to the SalesRecipientAdmins USG and scopes the assignment to the sales/users OU in the contoso.com domain.

New-ManagementRoleAssignment -Name "Mail Recipients_SalesRecipientAdmins" -SecurityGroup SalesRecipientAdmins -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

排他的な受信者スコープまたは構成スコープを持つ役割の割り当てを作成するCreate a role assignment with an exclusive recipient or configuration scope

排他的な受信者または構成スコープで排他的な役割の割り当てを作成するには、「受信者フィルターベースのスコープを持つ役割の割り当てを作成する」で説明されているものと同じ手順を使用して、サーバーまたはデータベースのフィルターまたはリストベースの役割割り当てを作成します。構成スコープセクションを使用できます。To create an exclusive role assignment with an exclusive recipient or configuration scope, the same procedures provided in the Create a role assignment with a recipient filter-based scope and Create a role assignment with a server or database filter or list-based configuration scope sections can be used. 唯一の違いは、排他スコープを持つ役割の割り当てを作成するときに、排他的な受信者スコープを使用しているか、排他的構成スコープを使用しているかに応じて、次の排他パラメーターを指定する必要があることです。The only difference is that when you create a role assignment with an exclusive scope, you must specify the following exclusive parameters depending on whether you're using an exclusive recipient scope or an exclusive configuration scope:

  • 排他的受信者スコープ: CustomRecipientWriteScopeパラメーターではなくExclusiveRecipientWriteScopeパラメーターを使用します。Exclusive recipient scopes: Use the ExclusiveRecipientWriteScope parameter instead of the CustomRecipientWriteScope parameter.

  • 排他的構成スコープ: CustomConfigWriteScopeパラメーターではなくExclusiveConfigWriteScopeパラメーターを使用します。Exclusive configuration scopes: Use the ExclusiveConfigWriteScope parameter instead of the CustomConfigWriteScope parameter.

この手順を実行すると、役割に割り当てられた役割担当者は、排他スコープに含まれているオブジェクトに対してアクションを実行できます。When you perform this procedure, the role assignees assigned the role can perform actions against the objects included in the exclusive scope. 排他的スコープの詳細については、「排他スコープについて」を参照してください。For more information about exclusive scopes, see Understanding exclusive scopes.

排他的スコープと正規のスコープの両方を持つ役割の割り当てを作成することはできません。You can't create a role assignment with both exclusive and regular scopes.

この例では、"Protected User Admins/保護されたユーザー管理者" という USG に "Mail Recipients/メール受信者" の役割を割り当て、"Protected Users/保護されたユーザー" という排他的スコープを適用します。This example assigns the Mail Recipients role to the Protected User Admins USG and applies the Protected Users exclusive scope.

New-ManagementRoleAssignment -Name "Mail Recipients_Protected User Admins" -SecurityGroup "Protected User Admins" -Role "Mail Recipients" -ExclusiveRecipientWriteScope "Protected Users"

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.