役割の割り当てを変更するChange a role assignment

製品: Exchange Server 2013Applies to: Exchange Server 2013

管理役割割り当ては、管理役割を役割の被割り当て者に割り当てます。役割の割り当てを変更することで、役割が割り当てられた役割担当者が変更できるオブジェクトを制御できます。役割の割り当てに適用される管理役割スコープは、役割の暗黙的な書き込みスコープを上書きします。ただし、役割の暗黙的な読み取りスコープは引き続き適用されます。適用されるスコープは、役割の暗黙的な書き込みスコープ外にあるオブジェクトを返すことはできません。Management role assignments assign a management role to a role assignee. By changing the role assignment, you can control what objects role assignees assigned a role can change. Management role scopes applied to role assignments override the role's implicit write scope. However, the role's implicit read scope still applies. Scopes that you apply can't return objects outside of the role's implicit read scope.

Microsoft Exchange Server 2013 での管理役割スコープおよび割り当ての詳細については、以下のトピックを参照してください。For more information about management role scopes and assignments in Microsoft Exchange Server 2013, see the following topics:

役割の割り当てに関連する他の管理タスクについては、「高度な権限」を参照してください。Looking for other management tasks related to role assignments? Check out Advanced permissions.

始める前に把握しておくべき情報What do you need to know before you begin?

  • 各手順の推定完了時間:5 分Estimated time to complete each procedure: 5 minutes

  • この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割の割り当て」。You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role assignments" entry in the Role management permissions topic.

  • これらの手順を実行するには、シェルを使用する必要があります。You must use the Shell to perform these procedures.

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

ヒント

問題がある場合は、Having problems? Exchange のフォーラムで質問してください。Ask for help in the Exchange forums. Exchange Serverでフォーラムを参照してください。Visit the forums at Exchange Server.

シェルを使用して役割の割り当てを有効または無効にするUse the Shell to enable or disable a role assignment

役割の割り当ては、既定で有効になっています。つまり、その役割が割り当てられている役割担当者に、関連する役割が適用されます。役割の割り当てを無効にすると、役割担当者に関連する役割が適用されなくなります。Role assignments are enabled by default, meaning that the associated role is applied to the role assignee to which the role is assigned. If a role assignment is disabled, the associated role isn't applied to the role assignee.

役割の割り当てを有効にするには、次の構文を使用します。To enable a role assignment, use the following syntax.

Set-ManagementRoleAssignment <role assignment> -Enabled $true

役割の割り当てを無効にするには、次の構文を使用します。To disable a role assignment, use the following syntax.

Set-ManagementRoleAssignment <role assignment> -Enabled $false

この例では、"Help Desk Assignment/ヘルプ デスク割り当て" の役割の割り当てを無効にします。This example disables the Help Desk Assignment role assignment.

Set-ManagementRoleAssignment "Help Desk Assignment" -Enabled $false

構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

シェルを使用して、役割の割り当ての管理役割または役割担当者を変更するUse the Shell to change a management role or role assignee on a role assignment

役割の割り当てに指定されている管理役割または役割担当者を変更することはできません。役割の割り当てを別の役割または役割担当者に関連付ける場合、新しい役割の割り当てを作成してから、古い役割の割り当てを削除する必要があります。役割の割り当てを追加および削除する方法の詳細については、次のトピックを参照してください。You can't change the management role or role assignee specified on a role assignment. If you want a role assignment to be associated with another role or role assignee, you must create a new role assignment, and then delete the old role assignment. For more information about how to add and remove role assignments, see the following topics:

ユーザーまたはユニバーサル セキュリティ グループ (USG) に対して直接割り当てを作成した場合は、管理役割グループと管理役割の割り当てポリシーの使用を考慮することをお勧めします。役割グループと割り当てポリシーを使用すると、アクセス許可モデルを単純化し、管理する必要がある役割割り当て数を減らすことができます。詳細については、「役割ベースのアクセス制御について」を参照してください。If you've created assignments directly to a user or universal security group (USG), we recommend that you consider using management role groups and management role assignment policies. Role groups and assignment policies enable you to simplify your permissions model and reduce the number of role assignments you need to manage. For more information, see Understanding Role Based Access Control.

シェルを使用して、役割の割り当ての定義済み相対スコープを変更するUse the Shell to change a predefined relative scope on a role assignment

役割の割り当ての定義済み相対スコープを変更または追加できます。定義済みスコープを追加または変更すると、役割の割り当てから以前に指定した受信者スコープが削除されます。定義済みスコープとその説明の一覧については、「管理役割スコープについて」を参照してください。You can change or add a predefined relative scope on a role assignment. If you add or change a predefined scope, any previously specified recipient scopes are removed from the role assignment. For a list of predefined scopes and their descriptions, see Understanding management role scopes.

役割の割り当ての定義済みスコープを変更または追加するには、次の構文を使用します。To change or add a predefined scope on a role assignment, use the following syntax.

Set-ManagementRoleAssignment <assignment name> -RecipientRelativeWriteScope < MyDistributionGroups | Organization | Self >

この例では、"John's Assignment/John の割り当て" の役割の割り当て上の定義済みスコープを MyDistributionGroups に変更します。This example changes the predefined scope on the John's Assignment role assignment to MyDistributionGroups.

Set-ManagementRoleAssignment "John's Assignment" - RecipientRelativeWriteScope MyDistributionGroups

構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

シェルを使用して、役割の割り当ての受信者フィルター スコープを変更するUse the Shell to change a recipient filter scope on a role assignment

新しい受信者フィルター ベースのスコープを指定するか、既に役割の割り当てに適用されている受信者フィルター ベースのスコープを変更できます。受信者フィルター スコープを追加すると、役割の割り当てから以前に定義した受信者スコープが削除されます。You can either specify a new recipient filter-based scope or change the recipient filter-based scope that's already applied to the role assignment. If you add a recipient filter scope, any previously defined recipient scopes are removed from the role assignment.

新しい受信者フィルター ベースのスコープを指定するか、既存のスコープを置き換えるには、次の構文を使用します。To specify a new recipient filter-based scope or replace an existing one, use the following syntax.

Set-ManagementRoleAssignment <assignment name> -CustomRecipientWriteScope <role scope name>

この例では、Redmond Recipients に対して受信者フィルター ベースのスコープを追加または変更します。This example adds or changes the recipient filter-based scope to Redmond Recipients.

Set-ManagementRoleAssignment "Redmond Recipient Administrators Assignment" -CustomRecipientWriteScope "Redmond Recipients"

役割の割り当てに適用されている受信者フィルター ベースのスコープと同じスコープを保持するが、受信者オブジェクトとの照合に使用される受信者フィルターを変更する場合、スコープ自身の受信者フィルターを変更する必要があります。スコープを変更する方法の詳細については、「役割のスコープを変更する」を参照してください。If you want to keep the same recipient filter-based scope that's applied to the role assignment but change the recipient filter used to match recipient objects, you need to change the recipient filter on the scope itself. For more information about how to change scopes, see Change a role scope.

構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

シェルを使用して、役割の割り当てのサーバー フィルターまたはリスト ベースの構成スコープを変更するUse the Shell to change the server filter or list-based configuration scope on a role assignment

新しいサーバー フィルターまたはリスト ベースの構成スコープを指定するか、既に役割の割り当てに適用されているスコープを変更できます。構成スコープを追加または変更すると、役割の割り当てから以前に指定した構成スコープが削除されます。You can either specify a new server filter or list-based configuration scope, or change the scope that's already applied to the role assignment. If you add or change the configuration scope, any previously specified configuration scopes are removed from the role assignment.

新しい構成スコープを指定するか、既存のスコープを置き換えるには、次の構文を使用します。To specify a new configuration scope or replace an existing one, use the following syntax.

Set-ManagementRoleAssignment <assignment name> -CustomConfigWriteScope <role scope name>

この例では、Redmond Servers に対して構成スコープを追加または変更します。This example adds or changes the configuration scope to Redmond Servers.

Set-ManagementRoleAssignment "Redmond Administrators Assignment" -CustomConfigWriteScope "Redmond Servers"

役割の割り当てに適用されている構成スコープと同じスコープを保持するが、スコープのサーバー フィルターまたはサーバー リストを変更する場合、構成スコープ自身を変更する必要があります。スコープを変更する方法の詳細については、「役割のスコープを変更する」を参照してください。If you want to keep the same configuration scope that's applied to the role assignment but change the server filter or server list on the scope, you need to change the configuration scope itself. For more information about how to change scopes, see Change a role scope.

構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

シェルを使用して、役割の割り当てのデータベース フィルターまたはリスト ベースの構成スコープを変更するUse the Shell to change the database filter or list-based configuration scope on a role assignment

新しいデータベース フィルターまたはリスト ベースの構成スコープを指定するか、既に役割の割り当てに適用されているスコープを変更できます。構成スコープを追加または変更すると、役割の割り当てから以前に指定した構成スコープが削除されます。You can either specify a new database filter or list-based configuration scope, or change the scope that's already applied to the role assignment. If you add or change the configuration scope, any previously specified configuration scopes are removed from the role assignment.

新しい構成スコープを指定するか、既存のスコープを置き換えるには、次の構文を使用します。To specify a new configuration scope or replace an existing one, use the following syntax.

Set-ManagementRoleAssignment <assignment name> -CustomConfigWriteScope <role scope name>

この例では、Redmond Databases に対して構成スコープを追加または変更します。This example adds or changes the configuration scope to Redmond Databases.

Set-ManagementRoleAssignment "Redmond Database Admins" -CustomConfigWriteScope "Redmond Databases"

役割の割り当てに適用されている構成スコープと同じスコープを保持するが、スコープのデータベース フィルターまたはデータベース リストを変更する場合、構成スコープ自身を変更する必要があります。スコープを変更する方法の詳細については、「役割のスコープを変更する」を参照してください。If you want to keep the same configuration scope that's applied to the role assignment but change the database filter or database list on the scope, you need to change the configuration scope itself. For more information about how to change scopes, see Change a role scope.

構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

シェルを使用して、役割の割り当ての組織単位を変更するUse the Shell to change the organizational unit on a role assignment

新しい OU を追加するか、既に役割の割り当てに適用されている OU を変更することができます。新しい OU を指定すると、役割の割り当てから以前に指定した受信者スコープが削除されます。You can either add a new OU or change an OU that's already applied to the role assignment. If you specify a new OU, any previously specified recipient scopes are removed from the role assignment.

役割の割り当ての新しい OU を変更または追加するには、次の構文を使用します。To change or add a new OU on a role assignment, use the following syntax.

Set-ManagementRoleAssignment <assignment name> -RecipientOrganizationalUnitScope <OU>

この例では、\contoso.com ドメイン内のエンジニアリングユーザー OU をエンジニアリングヘルプデスクの役割割り当てに追加します。This example adds the Engineering\Users OU in the contoso.com domain to the Engineering Help Desk role assignment.

Set-ManagementRoleAssignment "Engineering Help Desk" -RecipientOrganizationalUnitScope contoso.com/Engineering/Users

構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

シェルを使用して、排他的受信者スコープまたは排他的構成スコープを変更するUse the Shell to change an exclusive recipient or configuration scope

排他的受信者スコープまたは排他的構成スコープを変更するには、前述の「シェルを使用して、役割の割り当ての受信者フィルター スコープを変更する」、「シェルを使用して、役割の割り当てのサーバー フィルターまたはリスト ベースの構成スコープを変更する」、および「シェルを使用して、役割の割り当てのデータベース フィルターまたはリスト ベースの構成スコープを変更する」の手順を使用できます。唯一異なるのは、排他的スコープを変更する場合、排他的受信者スコープまたは排他的構成スコープを変更しているかどうかに応じて、次の排他的パラメーターを指定する必要があることです。To change exclusive recipient or exclusive configuration scopes, you can use the procedures provided in the "Use the Shell to change a recipient filter scope on a role assignment," "Use the Shell to change the server filter or list-based configuration scope on a role assignment," and "Use the Shell to change the database filter or list-based configuration scope on a role assignment" sections earlier in this topic. The only difference is that when you change an exclusive scope, you must specify the following exclusive parameters depending on whether you're changing an exclusive recipient scope or an exclusive configuration scope:

  • 排他的受信者スコープ: CustomRecipientWriteScopeパラメーターではなくExclusiveRecipientWriteScopeパラメーターを使用します。Exclusive recipient scopes: Use the ExclusiveRecipientWriteScope parameter instead of the CustomRecipientWriteScope parameter.

  • 排他的サーバーおよびデータベースの構成スコープ: CustomConfigWriteScopeパラメーターではなくExclusiveConfigWriteScopeパラメーターを使用します。Exclusive server and database configuration scopes: Use the ExclusiveConfigWriteScope parameter instead of the CustomConfigWriteScope parameter.

正規の受信者スコープと構成スコープと同様に、排他的スコープを追加または変更すると、以前に定義した受信者スコープまたは構成スコープが置き換えられます。As with regular recipient and configuration scopes, if you add or change an exclusive scope, any previously defined recipient or configuration scopes are replaced.

この例では、排他的受信者書き込みスコープを変更します。This example changes an exclusive recipient write scope.

Set-ManagementRoleAssignment "Exclusive Executive Users" -ExclusiveRecipientWriteScope "Exclusive Executives"

構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Set-ManagementRoleAssignment.