役割グループを管理するManage role groups

製品: Exchange Server 2013Applies to: Exchange Server 2013

このトピックでは、Microsoft Exchange Server 2013 で管理役割グループを追加、削除、コピー、および表示する方法について説明します。This topic shows you how to add, remove, copy, and view management role groups in Microsoft Exchange Server 2013. また、役割グループの管理役割を追加、削除、および一覧表示する方法、および役割グループの管理スコープと委任を変更する方法についても説明します。It also shows you how to add, remove, and list management roles on role groups and how to change management scopes and delegates on role groups. Exchange 2013 の役割グループの詳細については、「管理役割グループについて」を参照してください。For more information about role groups in Exchange 2013, see Understanding management role groups.

役割グループに関連する追加の管理タスクについては、「アクセス許可」を参照してください。For additional management tasks related to role groups, see Permissions.

始める前に把握しておくべき情報What do you need to know before you begin?

  • 各手順の推定完了時間: 5 から 10 分Estimated time to complete each procedure: 5 to 10 minutes

  • この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「役割管理のアクセス許可」の「役割グループ」。You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Role groups" entry in the Role management permissions topic.

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

ヒント

問題がある場合は、Having problems? Exchange のフォーラムで質問してください。Ask for help in the Exchange forums. Exchange Serverでフォーラムを参照してください。Visit the forums at Exchange Server.

役割グループを作成します。Create a role group

ユーザーのグループに割り当て可能なアクセス許可をカスタマイズする場合は、新しいカスタム管理役割グループを作成します。If you want to customize the permissions that you can assign to a group of users, create a new custom management role group.

EAC を使用して役割グループを作成するUse the EAC to create a role group

  1. Exchange 管理センター (EAC) で、[アクセス許可 > 管理者の役割] に**** 移動し、[追加] [追加![] アイコン]追加(images/JJ218640.c1e75329-d6d7-4073-a27d-498590bbb558(EXCHG.150).gif "アイコン")をクリックします。In the Exchange admin center (EAC), navigate to Permissions > Admin Roles and then click Add Add Icon.

  2. [役割グループの新規作成] ウィンドウで、新しい役割グループの名前を指定します。In the New role group window, provide a name for the new role group.

  3. その役割グループに割り当てたい役割や追加したいメンバーの選択は、すぐに行うことも、後で行うこともできます。You can either select the roles that you want to be assigned to the role group and the members you want to be added to the role group now, or you can do this at another time.

  4. 新しい役割グループに適用したい書き込みスコープを選択します。Select the write scope that you want to apply to the new role group.

  5. [保存] をクリックして役割グループを作成します。Click Save to create the role group.

シェルを使用して役割グループを作成するUse the Shell to create a role group

To create a role group, see the Examples section in New-RoleGroup.To create a role group, see the Examples section in New-RoleGroup.

正常な動作を確認する方法How do you know this worked?

役割グループが正常に作成されたことを確認するには、次の手順を実行します。To verify that you have successfully created a role group, do the following:

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。In the EAC, navigate to Permissions > Admin Roles.

  2. 役割グループ一覧に新しい役割グループが表示されることを確認し、選択します。Verify that the new role group appears in the role group list and then select it.

  3. 新しい役割グループで指定したメンバー、割り当てられた役割、およびスコープが、役割グループの詳細ウィンドウに一覧表示されることを確認します。Verify that members, assigned roles, and scope that you specified on the new role group are listed in the role group details pane.

役割グループをコピーするCopy a role group

EAC を使用して役割グループをコピーするUse the EAC to copy a role group

アクセス許可を含む役割グループがあり、このアクセス許可をユーザーに付与したいと考えているが、その一方でこのアクセス許可に別の管理スコープを適用したい、あるいはこのアクセス許可に他のすべての役割を手動で追加せずに 1 つまたは 2 つの管理役割を削除または追加したいと考えている場合、既存の役割グループをコピーします。If you have a role group that contains the permissions you want to grant to users, but you want to apply a different management scope, or remove or add one or two management roles without having to add all the other roles manually, you can copy the existing role group.

重要

Exchange 管理シェルを使用して役割グループに複数の管理役割スコープまたは排他的スコープを構成した場合は、役割グループをコピーする際に EAC を使用することはできません。You can't use the EAC to copy a role group if you've used the Exchange Management Shell to configure multiple management role scopes or exclusive scopes on the role group. 役割グループに複数のスコープまたは排他的スコープを構成した場合は、このトピックで後述するシェルの手順を使用して役割グループをコピーする必要があります。If you've configured multiple scopes or exclusive scopes on the role group, you must use the Shell procedures later in this topic to copy the role group. 管理役割スコープの詳細については、「管理役割スコープについて」を参照してください。For more information about management role scopes, see Understanding management role scopes.

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。In the EAC, navigate to Permissions > Admin Roles.

  2. コピーする役割グループを選択し、コピー **** ![コピー] アイコンをクリックします。Select the role group you want to copy and then click Copy Copy Icon.

  3. [役割グループの新規作成] ウィンドウで、新しい役割グループの名前を指定します。In the New role group window, provide a name for the new role group.

  4. 新しい役割グループにコピーされている役割を確認します。必要に応じて役割を追加または削除します。Review the roles that have been copied to the new role group. Add or remove roles as necessary.

  5. 書き込みスコープを確認し、必要に応じて変更します。Review the write scope, and change it as necessary.

  6. 新しい役割グループにコピーされたメンバーを確認します。必要に応じてメンバーを追加または削除します。Review the members that have been copied to the new role group. Add or remove members as necessary.

  7. [保存] をクリックして役割グループを作成します。Click Save to create the role group.

シェルを使用してスコープを持たない役割グループをコピーするUse the Shell to copy a role group with no scope

  1. 以下の構文を使用して、変数にコピーする役割グループを格納します。Store the role group that you want to copy in a variable using the following syntax.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. 以下の構文を使用して、新しい役割グループを作成し、役割グループにメンバーを追加し、新しい役割グループを他のユーザーに委任できる人を指定します。Create the new role group, and also add members to the role group and specify who can delegate the new role group to other users, using the following syntax.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -Members <member1, member2, member3...> -ManagedBy <user1, user2, user3...>
    

たとえば、次のコマンドは、"Organization Management/組織管理" 役割グループをコピーし、新しい役割グループに "Limited Organization Management" という名前を付けます。メンバーに Isabelle、Carter、Lukas を追加します。Jenny と Katie によって委任できるようになります。For example, the following commands copy the Organization Management role group, and name the new role group "Limited Organization Management". It adds the members Isabelle, Carter, and Lukas and can be delegated by Jenny and Katie.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members Isabelle, Carter, Lukas -ManagedBy Jenny, Katie

新しい役割グループを作成すると、役割の追加または削除や、役割に対する役割割り当てのスコープの変更などが可能になります。After the new role group is created, you can add or remove roles, change the scope of role assignments on the role, and more.

構文およびパラメーターの詳細については、「Get-RoleGroup」と「New-RoleGroup」を参照してください。For detailed syntax and parameter information, see Get-RoleGroup and New-RoleGroup.

シェルを使用してカスタム スコープを持つ役割グループをコピーするUse the Shell to copy a role group with a custom scope

  1. 以下の構文を使用して、変数にコピーする役割グループを格納します。Store the role group that you want to copy in a variable using the following syntax.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. 以下の構文を使用して、カスタムのスコープを持つ新しい役割グループを作成します。Create the new role group with a custom scope using the following syntax.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuraiton scope name>
    

たとえば、次のコマンドは、"Organization Management/組織管理" 役割グループをコピーして、"Vancouver Users" 受信者の範囲と "Vancouver Servers" 構成の範囲を持つ "Vancouver Organization Management" という名前の新しい役割グループを作成します。For example, the following commands copy the Organization Management role group and create a new role group called Vancouver Organization Management with the Vancouver Users recipient scope and Vancouver Servers configuration scope.

$RoleGroup = Get-RoleGroup "Organization Management"
New-RoleGroup "Vancouver Organization Management" -Roles $RoleGroup.Roles -CustomRecipientWriteScope "Vancouver Users" -CustomConfigWriteScope "Vancouver Servers"

このトピックでは、「シェルを使用して役割グループをコピーする方法」で説明されているように、 membersパラメーターを使用して役割グループにメンバーを追加することもできます。You can also add members to the role group when you create it by using the Members parameter as shown in Use the Shell to copy a role group with no scope earlier in this topic. 管理のスコープの詳細については、「管理役割スコープについて」を参照してください。For more information about management scopes, see Understanding management role scopes.

新しい役割グループを作成すると、役割の追加または削除、役割に対する役割割り当てのスコープの変更、およびその他のタスクの実行が可能になります。After the new role group is created, you can add or remove roles, change the scope of role assignments on the role, and perform other tasks.

構文およびパラメーターの詳細については、「Get-RoleGroup」と「New-RoleGroup」を参照してください。For detailed syntax and parameter information, see Get-RoleGroup and New-RoleGroup.

シェルを使用して OU スコープを持つ役割グループをコピーするUse the Shell to copy a role group with an OU scope

  1. 以下の構文を使用して、変数にコピーする役割グループを格納します。Store the role group that you want to copy in a variable using the following syntax.

    $RoleGroup = Get-RoleGroup <name of role group to copy>
    
  2. 以下の構文を使用して、カスタムのスコープを持つ新しい役割グループを作成します。Create the new role group with a custom scope using the following syntax.

    New-RoleGroup <name of new role group> -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope <OU name>
    

たとえば、次のコマンドは、"Recipient Management/受信者管理" 役割グループをコピーして、Toronto Users OU のユーザーのみに管理を許可する "Toronto Recipient Management" という名前の新しい役割グループを作成します。For example, the following commands copy the Recipient Management role group and create a new role group called Toronto Recipient Management that allows management of only users in the Toronto Users OU.

$RoleGroup = Get-RoleGroup "Recipient Management"
New-RoleGroup "Toronto Recipient Management" -Roles $RoleGroup.Roles -RecipientOrganizationalUnitScope "contoso.com/Toronto Users"

このトピックでは、「シェルを使用して役割グループをコピーする方法」で説明されているように、 membersパラメーターを使用して役割グループにメンバーを追加することもできます。You can also add members to the role group when you create it by using the Members parameter as shown in Use the Shell to copy a role group with no scope earlier in this topic. 管理のスコープの詳細については、「 管理役割スコープについて」を参照してください。For more information about management scopes, see Understanding management role scopes.

新しい役割グループを作成すると、役割の追加または削除や、役割に対する役割割り当てのスコープの変更などが可能になります。After the new role group is created, you can add or remove roles, change the scope of role assignments on the role, and more.

構文およびパラメーターの詳細については、「Get-RoleGroup」と「New-RoleGroup」を参照してください。For detailed syntax and parameter information, see Get-RoleGroup and New-RoleGroup.

正常な動作を確認する方法How do you know this worked?

役割グループが正常にコピーされたことを確認するには、次の手順を実行します。To verify that you have successfully copied a role group, do the following:

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。In the EAC, navigate to Permissions > Admin Roles.

  2. 役割グループ一覧にコピーされた役割グループが表示されることを確認し、選択します。Verify that the copied role group appears in the role group list, and then select it.

  3. コピーされた役割グループで指定したメンバー、割り当てられた役割、およびスコープが、役割グループの詳細ウィンドウに一覧表示されることを確認します。Verify that members, assigned roles, and scope that you specified on the copied role group are listed in the role group details pane.

役割グループを削除するRemove a role group

作成した役割グループが不要になったら、削除できます。役割グループを削除すると、役割グループと管理役割間の管理役割の割り当ても削除されます。ただし、管理役割は削除されません。ユーザーが機能へのアクセスで役割グループに依存していた場合、ユーザーはその機能にアクセスできなくなります。組み込みの役割グループを削除することはできません。If you no longer need a role group you created, you can remove it. When you remove a role group, the management role assignments between the role group and the management roles are deleted. The management roles aren't deleted. If a user depended on the role group for access to a feature, the user will no longer have access to the feature. You can't remove built-in role groups.

EAC を使用して役割グループを削除するUse the EAC to remove a role group

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。In the EAC, navigate to Permissions > Admin Roles.

  2. 削除する役割グループを選択し、[削除] **** ![アイコン]削除をクリックします。Select the role group you want to remove and then click Delete Delete icon.

  3. 選択した役割グループが削除するものであることを確認し、間違いがなければ警告に [はい] で答えます。Verify that you want to remove the selected role group, and if so, respond Yes to the warning.

シェルを使用して役割グループを削除するUse the Shell to remove a role group

To remove a role group, see the Examples section in Remove-RoleGroup.To remove a role group, see the Examples section in Remove-RoleGroup.

役割グループを表示View role groups

役割グループの一覧または組織内に存在する特定の役割グループに関する詳細を表示することができます。You can view either a list of role groups or the detailed information about a specific role group that exists in your organization.

EAC を使用して役割グループの役割一覧および役割グループの詳細を表示するUse the EAC to view a list of role groups and role group details

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。組織の役割グループのすべてが一覧表示されます。In the EAC, navigate to Permissions > Admin Roles. All of the role groups in your organization are listed here.

  2. 役割グループを選択すると、その役割グループに構成されているメンバー、割り当てられた役割、およびスコープが表示されます。Select a role group to view the members, assigned roles, and scope that are configured on the role group.

シェルを使用して役割グループおよび役割グループの詳細の一覧を表示するUse the Shell to view a list of role groups and role group details

To view a list of role groups, see the Examples section in Get-RoleGroup.To view a list of role groups, see the Examples section in Get-RoleGroup.

役割グループに役割を追加するAdd a role to a role group

役割グループに管理役割を追加することは、管理者または専門家ユーザーのグループにアクセス許可を与える、最適で最も簡単な方法です。役割グループのメンバーのユーザーに機能管理の機能を与えるには、機能を管理する管理役割を、役割グループに追加します。役割が追加されると、役割グループのメンバーには役割で指定されたアクセス許可が与えられます。Adding a management role to a role group is the best and simplest way to grant permissions to a group of administrators or specialist users. If you want to give users that are members of a role group the ability to manage a feature, you add the management role that manages the feature to the role group. After the role is added, the members of the role group are granted the permissions provided by the role.

EAC を使用して役割グループに管理役割を追加するUse the EAC to add a management role to a role group

重要

シェルを使用して役割グループに複数の管理役割スコープまたは排他的スコープを構成した場合は、EAC を使用して役割を役割グループに追加することはできません。You can't use the EAC to add roles to a role group if you've used the Shell to configure multiple management role scopes or exclusive scopes on the role group. 役割グループに複数のスコープまたは排他的スコープを構成した場合は、このトピックで後述するシェルの手順を使用して役割を役割グループに追加する必要があります。If you've configured multiple scopes or exclusive scopes on the role group, you must use the Shell procedures later in this topic to add roles to the role group. 管理役割スコープの詳細については、「管理役割スコープについて」を参照してください。For more information about management role scopes, see Understanding management role scopes.

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。In the EAC, navigate to Permissions > Admin Roles.

  2. 役割を追加する役割グループを選択し、[編集] 編集**** ![アイコン][(images/JJ218640.6f53ccb2-1f13-4c02-bea0-30690e6ea71d(EXCHG.150).gif "編集アイコン")] をクリックします。Select the role group you want to add a role to, and then click Edit Edit icon.

  3. [役割] セクションで役割グループに追加する役割を選択します。In the Roles section, select the roles you want to add to the role group.

  4. 役割を役割グループに追加し終えたら [保存] をクリックします。When you've finished adding roles to the role group, click Save.

シェルを使用してスコープを持たない役割割り当てを作成するUse the Shell to create a role assignment with no scope

役割と役割グループの間で、スコープを持たない役割割り当てを作成できます。このようにすると、役割の暗黙的な読み取り、および暗黙的な書き込みスコープが適用されます。You can create a role assignment with no scope between a role and a role group. When you do this, the implicit read and implicit write scopes of the role apply.

次の構文を使用して、役割グループにスコープを持たない役割を割り当てます。指定しない場合、役割割り当ての名前は自動的に作成されます。Use the following syntax to assign a role without any scope to a role group. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name>

この例では、"Seattle Compliance/Seattle 規制順守" という役割グループに対し、トランスポート ルールの管理役割を割り当てています。This example assigns the Transport Rules management role to the Seattle Compliance role group.

New-ManagementRoleAssignment -SecurityGroup "Seattle Compliance" -Role "Transport Rules"

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

シェルを使用して定義済みスコープを持つ役割割り当てを作成するUse the Shell to create a role assignment with a predefined scope

定義済みスコープがビジネス要件に適合していれば、新しいスコープを作成せずに、そのスコープを役割割り当てに適用できます。定義済みスコープとその説明の一覧については、「管理役割スコープについて」を参照してください。If a predefined scope meets your business requirements, you can apply that scope to the role assignment rather than create a new one. For a list of predefined scopes and their descriptions, see Understanding management role scopes.

役割割り当ての詳細については、「管理役割の割り当てについて」を参照してください。For more information about role assignments, see Understanding management role assignments.

次の構文を使用して、定義済みスコープを持つ役割グループに役割を割り当てます。指定しない場合、役割割り当ての名前は自動的に作成されます。Use the following syntax to assign a role to a role group with a predefined scope. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientRelativeWriteScope < MyGAL | MyDistributionGroups | Organization | Self >

この例では、"Enterprise Support/エンタープライズ サポート" という役割グループにメッセージ追跡の役割を割り当て、これを "Organization/組織" という定義済みスコープに適用しています。This example assigns the Message Tracking role to the Enterprise Support role group and applies the Organization predefined scope.

New-ManagementRoleAssignment -SecurityGroup "Enterprise Support" -Role "Message Tracking" -RecipientRelativeWriteScope Organization

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

シェルを使用して、受信者フィルター ベースのスコープを持つ役割割り当てを作成するUse the Shell to create a role assignment with a recipient filter-based scope

受信者フィルターベースのスコープを作成した場合は、 CustomRecipientWriteScopeパラメーターを使用して、役割グループへの役割の割り当てに使用するコマンドに、そのスコープを含める必要があります。If you created a recipient filter-based scope, you need to include the scope in the command used to assign the role to a role group by using the CustomRecipientWriteScope parameter.

受信者書き込みスコープを持つ役割割り当てを作成する際に、構成書き込みスコープを含めることもできます。You can also include a configuration write scope when you create a role assignment that has a recipient write scope.

役割の割り当てとスコープの詳細については、次のトピックを参照してください。For more information about role assignments and scopes, see the following topics:

次の構文を使用して、受信者フィルター ベースのスコープを持つ役割グループに役割を割り当てます。指定しない場合、役割割り当ての名前は自動的に作成されます。Use the following syntax to assign a role to a role group with a recipient filter-based scope. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomRecipientWriteScope <role scope name>

この例では、"Seattle Recipient Admins/Seattle の受信者管理者" という役割グループにメッセージ追跡の役割を割り当て、これを "Seattle Recipients/Seattle の受信者" というスコープに適用しています。This example assigns the Message Tracking role to the Seattle Recipient Admins role group and applies the Seattle Recipients scope.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Message Tracking" -CustomRecipientWriteScope "Seattle Recipients"

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

シェルを使用して構成スコープを持つ役割割り当てを作成するUse the Shell to create a role assignment with a configuration scope

サーバーまたはデータベースの構成フィルターまたはリストベースのスコープを作成した場合は、 CustomConfigWriteScopeパラメーターを使用して役割グループへの役割の割り当てに使用するコマンドに、そのスコープを含める必要があります。If you created a server or database configuration filter or list-based scope, you need to include the scope in the command used to assign the role to a role group by using the CustomConfigWriteScope parameter.

構成書き込みスコープを持つ役割割り当てを作成する際に、受信者書き込みスコープを含めることもできます。You can also include a recipient write scope when you create a role assignment that has a configuration write scope.

役割の割り当てと管理スコープの詳細については、次のトピックを参照してください。For more information about role assignments and management scopes, see the following topics:

次の構文を使用して、構成スコープを持つ役割グループに役割を割り当てます。指定しない場合、役割割り当ての名前は自動的に作成されます。Use the following syntax to assign a role to a role group with a configuration scope. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -CustomConfigWriteScope <role scope name>

この例では、"Seattle Server Admins/Seattle のサーバー管理者" という役割グループにデータベースの役割を割り当て、これを "Seattle Servers/Seattle のサーバー" というスコープに適用しています。This example assigns the Databases role to the Seattle Server Admins role group and applies the Seattle Servers scope.

New-ManagementRoleAssignment -SecurityGroup "Seattle Server Admins" -Role "Databases" -CustomConfigWriteScope "Seattle Servers"

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

シェルを使用して、OU スコープを持つ役割割り当てを作成するUse the Shell to create a role assignment with an OU scope

OU に対して役割の書き込みスコープをスコープする場合は、 RecipientOrganizationalUnitScopeパラメーターで ou を直接指定できます。If you want to scope a role's write scope to an OU, you can specify the OU in the RecipientOrganizationalUnitScope parameter directly.

役割の割り当てと管理スコープについて詳しくは、次のトピックを参照してください。For more information about role assignments and management scopes, see the following topics:

次のコマンドを使用して役割を役割グループに割り当て、役割の書き込みスコープを特定の OU に限定できます。指定しない場合、役割割り当ての名前は自動的に作成されます。Use the following command to assign a role to a role group and restrict the write scope of a role to a specific OU. A role assignment name is created automatically if you don't specify one.

New-ManagementRoleAssignment -SecurityGroup <role group name> -Role <role name> -RecipientOrganizationalUnitScope <OU>

この例では、"メール受信者" 役割を "Seattle Recipient Admins/シアトルの受信者の\管理" 役割グループに割り当て、割り当てを Contoso.com ドメインの SALES Users OU に範囲指定します。This example assigns the Mail Recipients role to the Seattle Recipient Admins role group and scopes the assignment to the Sales\Users OU in the Contoso.com domain.

New-ManagementRoleAssignment -SecurityGroup "Seattle Recipient Admins" -Role "Mail Recipients" -RecipientOrganizationalUnitScope contoso.com/sales/users

構文およびパラメーターの詳細については、「New-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see New-ManagementRoleAssignment.

正常な動作を確認する方法How do you know this worked?

役割グループに役割が正常に追加されたことを確認するには、次の手順を実行します。To verify that you have successfully added roles to a role group, do the following:

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。In the EAC, navigate to Permissions > Admin Roles.

  2. 役割を追加した役割グループを選択します。役割グループの詳細ウィンドウで、追加した役割が一覧表示されていることを確認します。Select the role group you added roles to. In the role group details pane, verify that the roles that you added are listed.

役割グループから役割を削除するRemove a role from a role group

管理者または専門家ユーザーのグループに付与されているアクセス許可を取り消すには、管理役割グループから役割を削除するのが最適で最も簡単です。ある機能を管理するアクセス許可を管理者または専門家ユーザーに与えたくない場合、そのアクセス許可を管理する管理役割グループから管理役割を削除します。役割を削除すると、この役割グループのメンバーがこの機能を管理するアクセス許可はなくなります。Removing a role from a management role group is the best and simplest way to revoke permissions granted to a group of administrators or specialist users. If you don't want administrators or specialist users to have permissions to manage a feature, you remove the management role from the management role group that manages the permissions. After the role is removed, the members of the role group will no longer have permissions to manage the feature.

注意

組織の管理 役割グループなど、一部の役割グループでは、役割グループから削除できる役割に関する制限があります。Some role groups, such as the Organization Management role group, restrict what roles can be removed from a role group. 詳細については、「管理役割グループについて」を参照してください。For more information, see Understanding management role groups.
管理者が、ある機能のアクセス許可を管理者に付与する管理役割を含む別の役割グループのメンバーである場合は、その管理者をその役割グループから削除するか、その機能を管理するアクセス権を付与する役割を別の役割グループから削除する必要があります。If an administrator is a member of another role group that contains management roles that grants permissions to manage the feature, you need to either remove the administrator from the other role groups, or remove the role that grants permissions to manage the feature from the other role groups.

EAC を使用して役割グループから管理役割を削除するUse the EAC to remove a management role from a role group

重要

シェルを使用して役割グループに複数のスコープまたは排他的スコープを構成した場合は、EAC を使用して役割を役割グループから削除することはできません。You can't use the EAC to remove roles from a role group if you've used the Shell to configure multiple scopes or exclusive scopes on the role group. 役割グループに複数のスコープまたは排他的スコープを構成した場合は、このトピックで後述するシェルの手順を使用して役割グループから役割を削除する必要があります。If you've configured multiple scopes or exclusive scopes on the role group, you must use the Shell procedures later in this topic to remove roles from the role group. 管理役割スコープの詳細については、「管理役割スコープについて」を参照してください。For more information about management role scopes, see Understanding management role scopes.

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。In the EAC, navigate to Permissions > Admin Roles.

  2. 役割を削除する役割グループを選択し、[編集] 編集**** ![アイコン][(images/JJ218640.6f53ccb2-1f13-4c02-bea0-30690e6ea71d(EXCHG.150).gif "編集アイコン")] をクリックします。Select the role group you want to remove a role from, and then click Edit Edit icon.

  3. [役割] セクションで役割グループから削除する役割を選択します。In the Roles section, select the roles you want to remove from the role group.

  4. 役割グループから役割を削除し終えたら [保存] をクリックします。When you've finished removing roles from the role group, click Save.

シェルを使用して役割グループから役割を削除するUse the Shell to remove a role from a role group

Get-ManagementRoleAssignment コマンドレットを使用して関連する管理役割の割り当てを取得し、これによって返された役割の割り当てをパイプ処理をして Remove-ManagementRoleAssignment コマンドレットに渡すことで、役割グループから役割を削除できます。You can remove roles from role groups by retrieving the associated management role assignment using the Get-ManagementRoleAssignment cmdlet and then piping the role assignment returned to the Remove-ManagementRoleAssignment cmdlet. 委任と正規の役割の割り当ての両方を同時に削除しない場合は、委任パラメーターを指定して、正規の役割の割り当てまたは委任の役割の割り当てを削除するかどうかを指定します。Unless you want to remove both delegating and regular role assignments at the same time, specify the Delegating parameter to specify whether you want to remove regular or delegating role assignments.

正規と委任の役割割り当ての詳細については、「管理役割の割り当てについて」を参照してください。For more information about regular and delegating role assignments, see Understanding management role assignments.

この手順では、パイプライン処理を使用します。パイプライン処理の詳細については、「Pipelining」を参照してください。This procedure uses pipelining. For more information about pipelining, see Pipelining.

役割グループから役割を削除するには、次の構文を使用します。To remove a role from a role group, use the following syntax.

Get-ManagementRoleAssignment -RoleAssignee <role group name> -Role <role name> -Delegating <$true | $false> | Remove-ManagementRoleAssignment

この例では、"Seattle Recipient Administrators/Seattle の受信者管理者" 役割グループから、管理者が配布グループを管理できる "Distribution Groups/配布グループ" 役割を削除します。This example removes the Distribution Groups role, which enables administrators to manage distribution groups, from the Seattle Recipient Administrators role group. 配布グループを管理するためのアクセス許可を提供する役割の割り当てを削除** するので、委任$Falseパラメーターはに設定されます。これは、正規の役割の割り当てのみを返します。Because we want to remove the role assignment that provides permissions to manage distribution groups, the Delegating parameter is set to $False, which returns only regular role assignments.

Get-ManagementRoleAssignment -RoleAssignee "Seattle Recipient Administrators" -Role "Distribution Groups" -Delegating $false | Remove-ManagementRoleAssignment

構文およびパラメーターの詳細については、「Remove-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Remove-ManagementRoleAssignment.

正常な動作を確認する方法How do you know this worked?

役割グループから役割が正常に削除されたことを確認するには、次の手順を実行します。To verify that you have successfully removed roles from a role group, do the following:

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。In the EAC, navigate to Permissions > Admin Roles.

  2. 役割を削除した役割グループを選択します。役割グループの詳細ウィンドウで、削除した役割が一覧表示されなくなったことを確認します。Select the role group you removed roles from. In the role group details pane, verify that the roles that you removed are no longer listed.

役割グループのスコープを変更するChange a role group's scope

役割グループと役割間の管理役割割り当てには、管理範囲が含まれています。この管理範囲に基づいて、該当の役割グループのメンバーに利用可能にするオブジェクトが特定されます。役割グループの書き込みスコープを変更することで、作成、変更、または削除するのに役割グループのメンバーが使用できるオブジェクトを変更できます。役割グループの読み取りスコープを変更することはできません。The management role assignments between a role group and a role contain management scopes, which determine what objects are made available to members of that role group. By changing the write scope on a role group, you can change what objects are made available to role group members to create, change, or remove. You can't change the read scope on a role group.

Exchange 2013 には、カスタムスコープが作成されない場合に既定で役割の割り当てに適用されるスコープが含まれています。Exchange 2013 includes scopes that are applied by default to role assignments when no custom scopes are created. 役割グループ上で役割が割り当てられているカスタムのスコープを使用する場合は、それを最初に作成する必要があります。If you want to use a custom scope with a role assignment on a role group, you must create one first. 高度なタスクである、カスタムのスコープの作成については、「通常または排他スコープを作成する」を参照してください。For more information about creating custom scopes, which is an advanced task, see Create a regular or exclusive scope.

Exchange 2013 での管理役割スコープおよび割り当ての詳細については、以下のトピックを参照してください。For more information about management role scopes and assignments in Exchange 2013, see the following topics:

EAC を使用して、役割グループのスコープを変更するUse the EAC to change the scope on a role group

EAC を使用して役割グループのスコープを変更する場合、実際には、役割グループと役割グループに割り当てられたそれぞれの管理役割の間のすべての役割割り当てのスコープを変更しています。When you use the EAC to change the scope on a role group, you're actually changing the scope on all the role assignments between the role group and each of the management roles assigned to the role group. 特定の役割割り当てのスコープを変更する場合は、このトピックで後述するシェルの手順を使用する必要があります。If you want to change the scope on specific role assignments, you must use the Shell procedures later in this topic.

重要

シェルを使用して役割の割り当てに複数のスコープまたは排他的スコープを構成した場合は、EAC を使用して役割と役割グループ間の役割の割り当てのスコープを管理することはできません。You can't use the EAC to manage scopes on role assignments between roles and a role group if you've used the Shell to configure multiple scopes or exclusive scopes on those role assignments. これらの役割の割り当てに複数のスコープまたは排他的スコープを構成した場合は、このトピックで後述するシェルの手順を使用してスコープを管理する必要があります。If you've configured multiple scopes or exclusive scopes on those role assignments, you must use the Shell procedures later in this topic to manage scopes. 管理役割スコープの詳細については、「管理役割スコープについて」を参照してください。For more information about management role scopes, see Understanding management role scopes.

  1. EAC で [アクセス許可] > [管理者の役割] に移動します。In the EAC, navigate to Permissions > Admin Roles.

  2. スコープを変更する役割グループを選択し、[編集] 編集**** アイコンをクリックします。Select the role group you want to change the scope on, and then click Edit Edit icon.

  3. 次の 2 つの [書き込みスコープ] オプションのいずれかを選択します。Select one of the two following Write scope options:

    • ドロップダウン ボックスの書き込みスコープでは、既定の書き込みスコープまたはカスタムの書き込みスコープを選択できます。A write scope from the drop-down box, where you can select either the default write scope or a custom write scope.

    • [組織単位]: この役割グループのスコープを OU に設定する場合は、このオプションを選択し、組織単位 (ou) を指定します。Organizational unit: Select this option and provide an organizational unit (OU) if you want to scope this role group to an OU.

  4. [保存] をクリックして、役割グループに加えた変更を保存します。Click Save to save the changes to the role group.

シェルを使用して、ある役割グループに属するすべての役割の割り当て範囲を一括して変更するUse the Shell to change the scope of all role assignments on a role group at the same time

役割グループとそれに割り当てられた役割の間の役割の割り当ては、役割自身から取得した暗黙的なスコープ、同じカスタムのスコープ、または異なるカスタムのスコープを使用できます。役割割り当ての詳細については、「管理役割の割り当てについて」を参照してください。Role assignments between the role group and the roles assigned to it can use the implicit scope obtained from the roles themselves, the same custom scope, or different custom scopes. For more information about role assignments, see Understanding management role assignments.

役割の割り当てのスコープは、 Set-ManagementRoleAssignment コマンドレットを使用して管理されます。 Set-RoleGroup コマンドレットは、範囲を管理する用途には対応していません。The scopes on the role assignments are managed using the Set-ManagementRoleAssignment cmdlet. You can't manage scopes using the Set-RoleGroup cmdlet.

ある役割グループと管理役割間のすべての役割の割り当て範囲を一括して変更するには、まずその役割グループの役割の割り当てを取得してから、各割り当てに新しい範囲を設定する必要があります。この操作を実行するには、 Get-ManagementRoleAssignment コマンドレットを使用して取得した役割の割り当てを、 Set-ManagementRoleAssignment コマンドレットにパイプ処理します。To change the scope of all the role assignments between a role group and a set of management roles at the same time, you need to first retrieve the role assignments on the role group, and then set the new scope on each of the assignments. You can do this by using the Get-ManagementRoleAssignment cmdlet to retrieve the role assignments, and then pipe them to the Set-ManagementRoleAssignment cmdlet.

この手順では、パイプライン処理とWhatIfスイッチの概念を使用します。This procedure uses the concepts of pipelining and the WhatIf switch. 詳細については、以下のトピックを参照してください。For more information, see the following topics:

シェルを使用して、ある役割グループに属するすべての役割の割り当て範囲を一括して変更するには、次の構文を使用します。To set the scope on all of the role assignments on a role group at the same time, use the following syntax.

Get-ManagementRoleAssignment -RoleAssignee <name of role group> | Set-ManagementRoleAssignment -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>

使用するスコープの構成に必要なパラメーターのみを使用します。たとえば、"Sales Recipient Management/営業受信者の管理" 役割グループに属するすべての役割の割り当ての受信者の範囲を "Direct Sales Employees/直販従業員" に変更する場合は、次のコマンドを使用します。You use only the parameters you need to configure the scope you want to use. For example, if you want to change the recipient scope for all role assignments on the Sales Recipient Management role group to Direct Sales Employees, use the following command.

Get-ManagementRoleAssignment -RoleAssignee "Sales Recipient Management" | Set-ManagementRoleAssignment -CustomRecipientWriteScope "Direct Sales Employees"

注意

WhatIfスイッチを使用すると、変更する役割の割り当てだけが変更されたことを確認できます。You can use the WhatIf switch to verify that only the role assignments you want to change are changed. Whatifスイッチを使用して上記のコマンドを実行し、結果を確認した後、 whatifスイッチを削除して変更を適用します。Run the preceding command with the WhatIf switch to verify the results, and then remove the WhatIf switch to apply the changes.

管理役割の割り当ての変更の詳細については、「役割の割り当てを変更する」を参照してください。For more information about changing management role assignments, see Change a role assignment.

構文およびパラメーターの詳細については、「Get-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Get-ManagementRoleAssignment.

シェルを使用して、ある役割グループに属する役割の割り当て範囲を個別に変更するUse the Shell to change the scope of individual role assignments on a role group

役割グループとそれに割り当てられた役割の間の役割の割り当ては、役割自身から取得した暗黙的なスコープ、同じカスタムのスコープ、または異なるカスタムのスコープを使用できます。役割割り当ての詳細については、「管理役割の割り当てについて」を参照してください。Role assignments between the role group and the roles assigned to it can use the implicit scope obtained from the roles themselves, the same custom scope, or different custom scopes. For more information about role assignments, see Understanding management role assignments.

役割の割り当てのスコープは、 Set-ManagementRoleAssignment コマンドレットを使用して管理されます。 Set-RoleGroup コマンドレットは、範囲を管理する用途には対応していません。The scopes on the role assignments are managed using the Set-ManagementRoleAssignment cmdlet. You can't manage scopes using the Set-RoleGroup cmdlet.

この手順では、パイプライン処理の概念と Format-List コマンドレットを利用します。詳細については、以下のトピックを参照してください。This procedure uses the concepts of pipelining and the Format-List cmdlet. For more information, see the following topics:

ある役割グループと管理役割間の役割の割り当て範囲を変更するには、まずその役割グループの役割の割り当ての名前を取得してから、役割の割り当てに範囲を設定します。To change the scope on a role assignment between a role group and a management role, you first find the name of the role assignment, and then set the scope on the role assignment.

  1. ある役割グループに属するすべての役割の割り当ての名前を検索するには、次のコマンドを使用します。管理役割の割り当てを Format-List コマンドレットにパイプ処理すると、その割り当てのフル ネームを表示することができます。To find the names of all the role assignments on a role group, use the following command. By piping the management role assignments to the Format-List cmdlet, you can view the full name of the assignment.

    Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-List Name
    
  2. 変更する役割の割り当ての名前を検索します。役割割り当ての名前は、次の手順で使用します。Find the name of the role assignment you want to change. Use the name of the role assignment in the next step.

  3. 割り当て範囲を個別に設定するには、次の構文を使用します。To set the scope on an individual assignment, use the following syntax.

    Set-ManagementRoleAssignment <role assignment name> -CustomRecipientWriteScope <recipient scope name> -CustomConfigWriteScope <configuration scope name> -RecipientRelativeScopeWriteScope < MyDistributionGroups | Organization | Self> -ExclusiveRecipientWriteScope <exclusive recipient scope name> -ExclusiveConfigWriteScope <exclusive configuration scope name> -RecipientOrganizationalUnitScope <organizational unit>
    

使用するスコープの構成に必要なパラメーターのみを使用します。You use only the parameters you need to configure the scope you want to use. たとえば、メール受信者_Sales recipient 管理役割の割り当ての受信者の範囲をすべての営業社員に変更する場合は、次のコマンドを使用します。For example, if you want to change the recipient scope for the Mail Recipients_Sales Recipient Management role assignment to All Sales Employees, use the following command.

Set-ManagementRoleAssignment "Mail Recipients_Sales Recipient Management" -CustomRecipientWriteScope "All Sales Employees"

管理役割の割り当ての変更の詳細については、「役割の割り当てを変更する」を参照してください。For more information about changing management role assignments, see Change a role assignment.

構文およびパラメーターの詳細については、「Set-ManagementRoleAssignment」を参照してください。For detailed syntax and parameter information, see Set-ManagementRoleAssignment.

正常な動作を確認する方法How do you know this worked?

役割グループの役割割り当てのスコープが正常に変更されたことを確認するには、次の手順を実行します。To verify that you have successfully changed the scope of a role assignment on a role group, do the following:

  • EAC を使用して役割グループのスコープを構成した場合、次の手順を実行します。If you used the EAC to configure the scope on the role group, do the following:

    1. EAC で [アクセス許可] > [管理者の役割] に移動します。組織のすべての役割グループが一覧表示されます。In the EAC, navigate to Permissions> Admin Roles. All the role groups in your organization are listed here.

    2. 役割グループを選択し、役割グループに構成されているスコープを表示します。Select a role group to view the scope that's configured on the role group.

  • シェルを使用して役割グループのスコープを構成した場合は、次の手順を実行します。If you used the Shell to configure the scope on the role group, do the following:

    1. シェルで、次のコマンドを実行します。Run the following command in the Shell.

      Get-ManagementRoleAssignment -RoleAssignee <role group name> | Format-Table *WriteScope
      
    2. 役割割り当ての書き込みスコープが、指定のスコープに変更されたことを確認します。Verify that the write scope on the role assignments has been changed to the scope you specified.

役割グループの委任を追加または削除するAdd or remove a role group delegate

役割グループの代理人は、役割グループのメンバーの追加または削除、あるいは役割グループのプロパティの変更を許可された、ユーザーまたはユニバーサル セキュリティ グループ (USG) です。役割グループの代理人の追加または削除によって、役割グループの管理を誰に許可するかを制御できます。Role group delegates are users or universal security groups (USGs) that can add or remove members from a role group or change the properties of a role group. By adding or removing role group delegates, you can control who is allowed to manage a role group.

重要

グループにいったん代理人を追加した後、役割グループの管理を許可されるのは、その役割グループの代理人のみ、または "Role Management/役割管理" 役割に直接的または間接的に割り当てられているユーザーのみです。 After you add a delegate to a role group, the role group can only be managed by the delegates on the role group, or by users who are assigned, either directly or indirectly, the Role Management management role.
直接的または間接的に "Role Management/役割管理" 役割が割り当てられていても、役割グループの代理人として追加されていないユーザーは、Add-RoleGroupMemberRemove-RoleGroupMemberUpdate-RoleGroupMember、および Set-RoleGroup の各コマンドレットに対して BypassSecurityGroupManagerCheck スイッチを使用しない限り、役割グループを管理できません。If a user is assigned, either directly or indirectly, the Role Management role and isn't added as a delegate of the role group, the user must use the BypassSecurityGroupManagerCheck switch on the Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember, and Set-RoleGroup cmdlets to manage a role group.

注意

EAC を使用して役割グループに代理人を追加することはできません。You can't use the EAC to add a delegate to a role group.

シェルを使用して役割グループに代理人を追加するUse the Shell to add a delegate to a role group

役割グループの委任の一覧を変更するには、 ManagedByパラメーターを使用します**** 。このコマンドレットでは、このパラメーターを使用します。To change the list of delegates on a role group, you use the ManagedBy parameter on the Set-RoleGroup cmdlet. ManagedByパラメーターは、役割グループの委任一覧全体を上書きします。The ManagedBy parameter overwrites the entire delegate list on the role group. 委任一覧全体を上書きするよりも、役割グループに代理人を追加する方が望ましい場合は、以下の手順を実行してください。If you want to add delegates to the role group rather than replace the entire list of delegates, use the following steps:

  1. 以下のコマンドを使用して、変数に役割グループを格納します。Store the role group in a variable using the following command.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. 次のコマンドを使用して、変数に格納されている役割グループに代理人を追加します。Add the delegate to the role group stored in the variable using the following command.

    $RoleGroup.ManagedBy += (Get-User <user to add>).Identity
    

    注意

    USG を追加する場合は、 Get-Group コマンドレットを使用します。Use the Get-Group cmdlet if you want to add a USG.

  3. 追加する各代理人に対して、手順 2 を繰り返します。Repeat Step 2 for each delegate you want to add.

  4. 以下のコマンドを使用して、実際の役割グループに対し委任の新しい一覧を適用します。Apply the new list of delegates to the actual role group using the following command.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

この例では、ユーザー David Strome を 組織の管理 役割グループの代理人として追加します。This example adds the user David Strome as a delegate on the Organization Management role group.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy += (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

構文およびパラメーターの詳細については、「Set-RoleGroup」を参照してください。For detailed syntax and parameter information, see Set-RoleGroup.

シェルを使用して役割グループから代理人を削除するUse the Shell to remove a delegate from a role group

役割グループの委任の一覧を変更するには、 ManagedByパラメーターを使用します**** 。このコマンドレットでは、このパラメーターを使用します。To change the list of delegates on a role group, you use the ManagedBy parameter on the Set-RoleGroup cmdlet. ManagedByパラメーターは、役割グループの委任一覧全体を上書きします。The ManagedBy parameter overwrites the entire delegate list on the role group. 委任一覧全体を上書きするよりも、役割グループから代理人を削除する方が望ましい場合は、以下の手順を実行してください。If you want to remove delegates from the role group rather than replace the entire list of delegates, use the following steps:

  1. 以下のコマンドを使用して、変数に役割グループを格納します。Store the role group in a variable using the following command.

    $RoleGroup = Get-RoleGroup <role group name>
    
  2. 次のコマンドを使用して、変数に格納されている役割グループから代理人を削除します。Remove the delegate from the role group stored in the variable using the following command.

    $RoleGroup.ManagedBy -= (Get-User <user to remove>).Identity
    

    注意

    USG を削除する場合は、 Get-Group コマンドレットを使用します。Use the Get-Group cmdlet if you want to remove a USG.

  3. 削除する各代理人に対して、手順 2 を繰り返します。Repeat Step 2 for each delegate you want to remove.

  4. 以下のコマンドを使用して、実際の役割グループに対し委任の新しい一覧を適用します。Apply the new list of delegates to the actual role group using the following command.

    Set-RoleGroup <role group name> -ManagedBy $RoleGroup.ManagedBy
    

この例では、ユーザー David Strome を 組織の管理 役割グループの代理人として削除します。This example removes the user David Strome as a delegate on the Organization Management role group.

$RoleGroup = Get-RoleGroup "Organization Management"
$RoleGroup.ManagedBy -= (Get-User "David Strome").Identity
Set-RoleGroup "Organization Management" -ManagedBy $RoleGroup.ManagedBy

構文およびパラメーターの詳細については、「Set-RoleGroup」を参照してください。For detailed syntax and parameter information, see Set-RoleGroup.

正常な動作を確認する方法How do you know this worked?

役割グループの委任一覧が正常に変更されたことを確認するには、次の手順を実行します。To verify that you have successfully changed the delegate list on a role group, do the following:

  1. シェルで、次のコマンドを実行します。In the Shell, run the following command.

    Get-RoleGroup <role group name> | Format-List ManagedBy
    
  2. ManagedByプロパティに一覧表示されている代理人に、役割グループを管理できる必要がある代理人だけが含まれることを確認します。Verify that the delegates listed on the ManagedBy property include only the delegates that should be able to manage the role group.