偽装を構成するConfigure impersonation

Exchange 管理シェルを使用して、サービス アカウントに偽装の役割を付与する方法について説明します。Learn how to grant the impersonation role to a service account by using the Exchange Management Shell.

偽装により、サービス アプリケーションなどの呼び出し元がユーザー アカウントを偽装できるようにようなります。呼び出し元は、その呼び出し元に関連付けられたアクセス許可ではなく、偽装したアカウントに関連付けられているアクセス許可を使用して操作を実行できます。Impersonation enables a caller, such as a service application, to impersonate a user account. The caller can perform operations by using the permissions that are associated with the impersonated account instead of the permissions associated with the caller's account.

Exchange Online、Office 365 の一部としての Exchange Online、および Exchange 2013 以降の Exchange の各バージョンは、役割ベースのアクセス制御 (RBAC) を使用して、アカウントにアクセス許可を割り当てます。Exchange サーバー管理者は、他のユーザーを偽装するサービス アカウントに、New-ManagementRoleAssignment コマンドレットを使用して ApplicationImpersonation 役割を付与する必要があります。Exchange Online, Exchange Online as part of Office 365, and versions of Exchange starting with Exchange 2013 use role-based access control (RBAC) to assign permissions to accounts. Your Exchange server administrator will need to grant any service account that will be impersonating other users the ApplicationImpersonation role by using the New-ManagementRoleAssignment cmdlet.

ApplicationImpersonation 役割の構成Configuring the ApplicationImpersonation role

ApplicationImpersonation 役割を自分で、または Exchenge サーバー管理者が割り当てる際には、New-ManagementRoleAssignment コマンドレットに次のパラメーターを使用します。When you or your Exchanger server administrator assigns the ApplicationImpersonation role, use the following parameters of the New-ManagementRoleAssignment cmdlet:

  • Name – 役割の割り当てのフレンドリ名。Name – The friendly name of the role assignment. 役割を割り当てるたびに、RBAC 役割一覧に新しいエントリが作成されます。Each time that you assign a role, an entry is made in the RBAC roles list. 役割の割り当ては、Get-ManagementRoleAssignment コマンドレットを使用すると確認できます。You can verify role assignments by using the Get-ManagementRoleAssignment cmdlet.

  • Role – 割り当てる RBAC 役割。Role – The RBAC role to assign. 偽装を設定する際には、ApplicationImpersonation 役割を割り当てます。When you set up impersonation, you assign the ApplicationImpersonation role.

  • User – サービス アカウント。User – The service account.

  • CustomRecipientScope – サービス アカウントが偽装できるユーザーのスコープ。CustomRecipientScope – The scope of users that the service account can impersonate. サービス アカウントは、指定されたスコープ内でのみ他のユーザーを偽装できます。The service account will only be allowed to impersonate other users within the specified scope. スコープが指定されていない場合、サービス アカウントには組織内のすべてのユーザーを範囲とする ApplicationImpersonation 役割が付与されます。If no scope is specified, the service account is granted the ApplicationImpersonation role over all users in an organization. New-ManagementScope コマンドレットを使用すると、カスタムの管理スコープを作成できます。You can create custom management scopes by using the New-ManagementScope cmdlet.

偽装を構成するには、次のものが必要です。Before you can configure impersonation, you need:

  • Exchange サーバーの管理者の資格情報。Administrative credentials for the Exchange server.

  • ドメイン管理者の資格情報。または役割とスコープの作成および割り当ての権限のある、その他の資格情報。Domain Administrator credentials, or other credentials with the permission to create and assign roles and scopes.

  • Exchange 管理ツール。このツールは、コマンドを実行するコンピューターにインストールされています。Exchange management tools. These are installed on the computer from which you will run the commands.

組織内のすべてのユーザーの偽装を構成するにはTo configure impersonation for all users in an organization

  1. Exchange 管理シェル を開きます。Open the Exchange Management Shell. [スタート] メニューから、 [すべてのプログラム] > [Microsoft Exchange Server 2013] を選択します。From the Start menu, choose All Programs > Microsoft Exchange Server 2013.

  2. New-ManagementRoleAssignment コマンドレットを実行して、指定したユーザーに偽装の権限を追加します。次の例は、サービス アカウントが組織内のその他すべてのユーザーを偽装できるようにする偽装の構成方法を示しています。Run the New-ManagementRoleAssignment cmdlet to add the impersonation permission to the specified user. The following example shows how to configure impersonation to enable a service account to impersonate all other users in an organization.

    New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount 
    

特定のユーザーまたはユーザー ループの偽装を構成するにはTo configure impersonation for specific users or groups of users

  1. Exchange 管理シェルを開きます。[スタート] メニューから、 [すべてのプログラム] > [Microsoft Exchange Server 2013] を選択します。Open the Exchange Management Shell. From the Start menu, choose All Programs > Microsoft Exchange Server 2013.

  2. New-ManagementScope コマンドレットを実行して、偽装の役割の割り当て先にできるスコープを作成します。既存のスコープが利用できる場合は、この手順を省略できます。次の例は、特定のグループを対象とした管理スコープの作成方法を示しています。Run the New-ManagementScope cmdlet to create a scope to which the impersonation role can be assigned. If an existing scope is available, you can skip this step. The following example shows how to create a management scope for a specific group.

     New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilter
    

    New-ManagementScope コマンドレットの RecipientRestrictionFilter パラメーターによって、スコープのメンバーを定義します。The RecipientRestrictionFilter parameter of the New-ManagementScope cmdlet defines the members of the scope. フィルターの作成には、Identity オブジェクトのプロパティを使用できます。You can use the properties of the Identity object to create the filter. 次の例は、ユーザー名が "john" の単一のユーザーに結果を制限するフィルターです。The following example is a filter that restricts the result to a single user with the user name "john."

    Name -eq "john"
    
  3. New-ManagementRoleAssignment コマンドレットを実行して、指定したスコープのメンバーを偽装する権限を追加します。次の例は、スコープ内のすべてのユーザーを偽装するようにサービス アカウントを構成する方法を示しています。Run the New-ManagementRoleAssignment cmdlet to add the permission to impersonate the members of the specified scope. The following example shows how to configure a service account to impersonate all users in a scope.

     New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
    
    

管理者が偽装の権限を付与したら、別のユーザーのアカウントに対する呼び出しを行うためにサービス アカウントを使用できます。役割の割り当ては、Get-ManagementRoleAssignment コマンドレットを使用すると確認できます。After your administrator grants impersonation permissions, you can use the service account to make calls against other users' accounts. You can verify role assignments by using the Get-ManagementRoleAssignment cmdlet.

関連項目See also