アクセス許可Permissions

に適用されます: Exchange Server、Exchange Server 2013Applies to: Exchange Server, Exchange Server 2013

Microsoft Exchange Server 2013 は、定義済みのアクセス許可の設定、管理者とユーザーに簡単にアクセス許可を付与するのにはすぐに使用できるロール ベースのアクセス制御 (RBAC) のアクセス許可モデルに基づく大規模な含まれています。できます機能を使用するアクセス許可 Exchange 2013 を新しい組織とすばやく準備して実行できるようにします。Microsoft Exchange Server 2013 includes a large set of predefined permissions, based on the Role Based Access Control (RBAC) permissions model, which you can use right away to easily grant permissions to your administrators and users. You can use the permissions features in Exchange 2013 so that you can get your new organization up and running quickly.

注意

一部の RBAC の機能および概念については、高度な機能であるためここでは説明しません。ここで説明する機能がニーズに合わず、アクセス許可モデルのより高度なカスタマイズが必要な場合は、「Understanding Role Based Access Control」を参照してください。Several RBAC features and concepts aren't discussed in this topic because they're advanced features. If the functionality discussed in this topic doesn't meet your needs, and you want to further customize your permissions model, see Understanding Role Based Access Control.

すべてのアクセス許可の一覧については、「Permissions documentation」を参照してください。Looking for a list of all permissions topics? See Permissions documentation.

内容Contents

役割に基づくアクセス許可Role-based permissions

役割グループと役割割り当てポリシーRole groups and role assignment policies

役割グループの操作Work with role groups

役割割り当てポリシーの操作Work with role assignment policies

役割に基づくアクセス許可Role-based permissions

Exchange 2013、管理者およびユーザーに付与するアクセス許可が役割に基づく管理。ロールは、管理者またはユーザーが実行できるタスクのセットを定義します。たとえば、管理の役割と呼ばれるMail Recipientsメールボックス、連絡先、および配布グループのセットに他のユーザーが実行できるタスクを定義します。ロールは、管理者またはユーザーに割り当てられているが、そのユーザーの役割によって提供されるアクセス許可が付与されます。In Exchange 2013, the permissions that you grant to administrators and users are based on management roles. A role defines the set of tasks that an administrator or user can perform. For example, a management role called Mail Recipients defines the tasks that someone can perform on a set of mailboxes, contacts, and distribution groups. When a role is assigned to an administrator or user, that person is granted the permissions provided by the role.

役割には、管理役割とエンドユーザー役割の 2 種類があります。There are two types of roles, administrative roles and end-user roles:

  • 管理者の役割 これらのロールには、管理者または受信者、サーバー、またはデータベースなど、Exchange 組織の一部を管理する役割グループを使用して、スペシャ リストのユーザーに割り当てることができるアクセス許可が含まれています。Administrative roles These roles contain permissions that can be assigned to administrators or specialist users using role groups that manage a part of the Exchange organization, such as recipients, servers, or databases.

  • エンド ・ ユーザーの役割 これらの役割、役割の割り当てポリシーを使用して、割り当ては、ユーザーが所有する独自のメールボックスと配布グループの管理を有効にします。エンド ・ ユーザーの役割は、プレフィックスで始まるMyEnd-user roles These roles, assigned using role assignment policies, enable users to manage aspects of their own mailbox and distribution groups that they own. End-user roles begin with the prefix My.

ロールは、ロールが割り当てられているすべての人のコマンドレットを作成することにより、管理者とユーザーにタスクを実行するアクセス許可を与えます。Exchange 管理センター (EAC) および Exchange 管理シェル コマンドレットを使用して Exchange を管理するためためは、Exchange の管理インタ フェースの各タスクを実行すると、管理者またはユーザーのアクセス許可により、コマンドレットへのアクセス権を付与します。Roles give permissions to perform tasks to administrators and users by making cmdlets available to those who are assigned the roles. Because the Exchange Administration Center (EAC) and Exchange Management Shell use cmdlets to manage Exchange, granting access to a cmdlet gives the administrator or user permission to perform the task in each of the Exchange management interfaces.

Exchange 2013 には、約 86 のロール アクセス許可を付与する使用することができますにはが含まれています。Exchange 2013 に含まれているロールの一覧は、組み込みの管理役割を参照してください。Exchange 2013 includes approximately 86 roles that you can use to grant permissions. For a list of roles included with Exchange 2013, see Built-in management roles.

ページのトップへReturn to top

役割グループと役割割り当てポリシーRole groups and role assignment policies

役割は、Exchange 2013 では、タスクを実行するアクセス許可を付与しますが、管理者およびユーザーに割り当てる簡単な方法を作成する必要があります。Exchange 2013 を実行するために以下を提供します。Roles grant permissions to perform tasks in Exchange 2013, but you need an easy way to assign them to administrators and users. Exchange 2013 provides you with the following to help you do that:

  • 役割グループ 役割グループを使用すると、管理者および専門家ユーザーにアクセス許可を付与します。Role groups Role groups enable you to grant permissions to administrators and specialist users.

  • 役割の割り当てポリシー 役割の割り当てポリシーを使用すると、所有するメールボックスまたは配布グループを独自に設定を変更するのにはエンド ・ ユーザーにアクセス許可を付与します。Role assignment policies Role assignment policies enable you to grant permissions to end users to change settings on their own mailbox or distribution groups that they own.

役割グループと役割割り当てポリシーの詳細については、以下のセクションを参照してください。For more information about role groups and role assignment policies, see the following sections.

役割グループRole groups

Exchange 2013 を管理するすべての管理者には、少なくとも 1 つまたは複数のロールを割り当てる必要があります。管理者は、Exchange で複数の領域にまたがるジョブ機能を実行することがありますので、複数のロールにすることがあります。など、1 人の管理者は受信者と Exchange サーバーの両方を管理する可能性があります。この例では、その管理者が割り当てられます両方、Mail RecipientsExchange Serversの役割です。Every administrator that manages Exchange 2013 must be assigned at least one or more roles. Administrators might have more than one role because they may perform job functions that span multiple areas in Exchange. For example, one administrator might manage both recipients and Exchange servers. In this case, that administrator might be assigned both the Mail Recipients and Exchange Servers roles.

管理者に複数のロールを割り当てるには容易にできるように、Exchange 2013 には、役割グループが含まれています。役割グループは、Active Directory のユーザー、Usg、およびその他の役割グループに含めることができる Exchange 2013 で使用されている特別なユニバーサル セキュリティ グループ (Usg) です。役割グループに役割が割り当てられると、ロールによって付与されたアクセス許可が役割グループのすべてのメンバーに与えられます。これにより、一度に多くの役割グループのメンバーに多くの役割を割り当てることができます。役割グループには、通常、受信者の管理など、広範な管理領域が含まれます。管理者の役割、およびエンド ・ ユーザーの役割ではないだけで使用されています。To make it easier to assign multiple roles to an administrator, Exchange 2013 includes role groups. Role groups are special universal security groups (USGs) used by Exchange 2013 that can contain Active Directory users, USGs, and other role groups. When a role is assigned to a role group, the permissions granted by the role are granted to all the members of the role group. This enables you to assign many roles to many role group members at once. Role groups typically encompass broader management areas, such as recipient management. They're used only with administrative roles, and not end-user roles.

注意

役割グループを使用せずに、ユーザーや USG に役割を直接割り当てることは可能です。ただし、このような役割割り当て方法は高度な手順であるため、ここでは説明しません。アクセス許可の管理には、役割グループを使用することをお勧めします。It's possible to assign a role directly to a user or USG without using a role group. However, that method of role assignment is an advanced procedure and isn't covered in this topic. We recommend that you use role groups to manage permissions.

次の図はユーザー、役割グループ、および役割の間の関係を示しています。The following figure shows the relationship between users, role groups, and roles.

役割、役割グループ、および役割グループのメンバーRoles, role groups, and role group members

役割、役割グループのメンバーとの関係Role, role group and member relationship

Exchange 2013 には、それぞれ 1 つ Exchange 2013 の特定の領域を管理するアクセス許可を提供するにはいくつかの組み込みの役割グループが含まれています。いくつかの役割グループは他のユーザーと重複します。次の表は、各ロールのグループとその使用方法の説明をします。各役割グループに割り当てられているロールを表示する場合は、[役割グループ] 列で、ロール グループの名前をクリックし、管理役割割り当てにこのロール グループ」セクションを開きます。Exchange 2013 includes several built-in role groups, each one providing permissions to manage specific areas in Exchange 2013. Some role groups may overlap with others. The following table lists each role group with a description of its use. If you want to see the roles assigned to each role group, click the name of the role group in the "Role group" column, and then open the "Management Roles Assigned to This Role Group" section.

組み込みの役割グループBuilt-in role groups

役割グループRole group 説明Description

組織の管理Organization Management

組織の管理役割グループのメンバーである管理者は、Exchange 2013 組織全体に対する管理アクセス権があるし、次のようにいくつかの例外を除き、任意の Exchange 2013 のオブジェクトに対してほぼすべてのタスクを実行できます、Discovery Managementの役割です。Administrators who are members of the Organization Management role group have administrative access to the entire Exchange 2013 organization and can perform almost any task against any Exchange 2013 object, with some exceptions, such as the Discovery Management role.

重要

組織の管理役割グループは強力な役割であるために、ユーザーまたは Usg Exchange 組織全体に影響を与える可能性のある組織レベルの管理タスクを実行するだけはこの役割グループのメンバーになる可能性があります。Because the Organization Management role group is a powerful role, only users or USGs that perform organizational-level administrative tasks that can potentially impact the entire Exchange organization should be members of this role group.

表示限定の組織管理View-only Organization Management

組織の管理のみ表示 役割グループのメンバーである管理者は、Exchange 組織の任意のオブジェクトのプロパティを表示できます。Administrators who are members of the View Only Organization Management role group can view the properties of any object in the Exchange organization.

受信者の管理Recipient Management

Recipient Management 役割グループのメンバーである管理者は、Exchange 2013 組織内の Exchange 2013 受信者を作成または変更するための管理アクセスを持ちます。Administrators who are members of the Recipient Management role group have administrative access to create or modify Exchange 2013 recipients within the Exchange 2013 organization.

UM 管理UM Management

"UM Management/UM 管理" 役割グループのメンバーである管理者は、ユニファイド メッセージング (UM) サービス構成、メールボックスの UM プロパティ、UM プロンプト、および UM 自動応答構成など、Exchange 組織内の機能を管理できます。Administrators who are members of the UM Management role group can manage features in the Exchange organization such as Unified Messaging (UM) service configuration, UM properties on mailboxes, UM prompts, and UM auto attendant configuration.

Help Desk (ヘルプ デスク)Help Desk

ヘルプ デスク役割グループで、既定では、メンバーを表示し、組織内のすべてのユーザーの Web アプリケーションの Microsoft Office Outlook のオプションを変更できます。ユーザーの表示名、アドレス、および電話番号を変更するには、これらのオプションがあります。メールボックスのサイズを変更する、メールボックスが存在するメールボックス データベースを構成するなど、Outlook Web App オプションで使用できないオプションが含まれていません。The Help Desk role group, by default, enables members to view and modify the Microsoft Office Outlook Web App options of any user in the organization. These options might include modifying the user's display name, address, and phone number. They don't include options that aren't available in Outlook Web App options, such as modifying the size of a mailbox or configuring the mailbox database on which a mailbox is located.

検疫管理Hygiene Management

検疫管理の役割グループのメンバーである管理者は、Exchange 2013 のウイルス対策およびスパム対策機能を構成できます。Exchange 2013 を統合するサードパーティ製のプログラムでは、コマンドレットを取得し、Exchange の構成を構成するために必要なこれらのプログラム アクセスを許可するには、このロール グループにサービス アカウントを追加できます。Administrators who are members of the Hygiene Management role group can configure the antivirus and anti-spam features of Exchange 2013. Third-party programs that integrate with Exchange 2013 can add service accounts to this role group to grant those programs access to the cmdlets required to retrieve and configure the Exchange configuration.

レコードの管理Records Management

Records Management役割グループのメンバーであるユーザーは、アイテム保持ポリシー タグ、メッセージの分類、トランスポート ルールなどの法令遵守機能を構成できます。Users who are members of the Records Management role group can configure compliance features, such as retention policy tags, message classifications, and transport rules.

検出の管理Discovery Management

Discovery Management 役割グループのメンバーである管理者またはユーザーは、特定の条件を満たすデータについて、Exchange 組織内のメールボックスを検索でき、メールボックスに法的情報保留を構成することもできます。Administrators or users who are members of the Discovery Management role group can perform searches of mailboxes in the Exchange organization for data that meets specific criteria and can also configure legal holds on mailboxes.

パブリック フォルダーの管理Public Folder Management

"Public Folder Management/パブリック フォルダー管理" 役割グループのメンバーである管理者は、Exchange 2013 を実行するサーバー上にあるパブリック フォルダーを管理できます。Administrators who are members of the Public Folder Management role group can manage public folders on servers running Exchange 2013.

サーバー管理Server Management

"Server Management/サーバー管理" 役割グループのメンバーである管理者は、データベース コピー、証明書、トランスポート キューと送信コネクタ、仮想ディレクトリ、クライアント アクセス プロトコルなど、トランスポート、ユニファイド メッセージング、クライアント アクセス、およびメールボックス機能のサーバー固有の構成を構成できます。Administrators who are members of the Server Management role group can configure server-specific configuration of transport, Unified Messaging, client access, and mailbox features such as database copies, certificates, transport queues and Send connectors, virtual directories, and client access protocols.

委任されたセットアップDelegated Setup

委任されたセットアップ役割グループのメンバーである管理者は、Exchange 2013 役割グループのメンバーによって既に準備された、組織の管理 を実行しているサーバーを展開できます。Administrators who are members of the Delegated Setup role group can deploy servers running Exchange 2013 that have been previously provisioned by a member of the Organization Management role group.

コンプライアンス管理Compliance Management

"Compliance Management/コンプライアンス管理" 役割グループのメンバーであるユーザーは、組織のポリシーに従って Exchange のコンプライアンス設定を構成および管理できます。Users who are members of the Compliance Management role group can configure and manage Exchange compliance settings in accordance with their organization's policy.

少数の管理者のみを持つ小規模な組織で作業している場合のみ、組織の管理役割グループにこれらの管理者を追加する必要があり、他の役割グループを使用する必要があることはありません。大規模な組織で作業している場合は、受信者やサーバー管理など、Exchange を管理する特定のタスクを実行する管理者があります。ような場合は、サーバー管理の役割グループに受信者の管理役割グループに 1 人の管理者および他の管理者を追加する可能性があります。これらの管理者は、Exchange 2013 の特定の領域を管理できますとは違う責任の領域を管理するアクセス許可を必要はありません。If you work in a small organization that has only a few administrators, you might need to add those administrators to the Organization Management role group only, and you may never need to use the other role groups. If you work in a larger organization, you might have administrators who perform specific tasks administering Exchange, such as recipient or server management. In those cases, you might add one administrator to the Recipient Management role group, and another administrator to the Server Management role group. Those administrators can then manage their specific areas of Exchange 2013 but won't have permissions to manage areas they're not responsible for.

組み込みのロール グループの Exchange 2013 は、管理者の職務権限と一致しないの役割グループを作成してそれらのロールを追加します。詳細については、このトピックの後半の役割グループの操作を参照してください。If the built-in role groups in Exchange 2013 don't match the job function of your administrators, you can create role groups and add roles to them. For more information, see Work with Role Groups later in this topic.

ページのトップへReturn to top

役割の割り当てポリシーRole assignment policies

Exchange 2013 では、役割の割り当てポリシーを提供するため、所有するどのような設定をユーザーが自分のメールボックスと配布グループを構成できますを制御することができます。これらの設定には、その表示名、連絡先情報、ボイス メールの設定、および配布グループのメンバーシップが含まれます。Exchange 2013 provides role assignment policies so that you can control what settings your users can configure on their own mailboxes and on distribution groups they own. These settings include their display name, contact information, voice mail settings, and distribution group membership.

Exchange 2013 組織は、組織内のユーザーのさまざまな種類の異なるレベルのアクセス許可を提供する複数の役割の割り当てポリシーを持つことができます。一部のユーザーがそのアドレスを変更したり、自分のメールボックスに関連付けられている役割の割り当てポリシーによって、ユーザーができないものがあります、配布グループを作成できます。役割の割り当てポリシーが、メールボックスに直接追加し、各メールボックスは、必ず 1 つの役割の割り当てポリシーに関連付けられている時に、します。Your Exchange 2013 organization can have multiple role assignment policies that provide different levels of permissions for the different types of users in your organizations. Some users can be allowed to change their address or create distribution groups, while others can't, depending on the role assignment policy associated with their mailbox. Role assignment policies are added directly to mailboxes, and each mailbox can only be associated with one role assignment policy at a time.

組織の役割割り当てポリシーのうち、1 つが既定としてマークされます。新しいメールボックスの作成時に特定の役割割り当てポリシーを明示的に割り当てない限り、既定の役割の割り当てポリシーが新しいメールボックスに関連付けられます。既定の役割の割り当てポリシーには、ほとんどのメールボックスに適用が必要なアクセス許可が含まれている必要があります。Of the role assignment policies in your organization, one is marked as default. The default role assignment policy is associated with new mailboxes that aren't explicitly assigned a specific role assignment policy when they're created. The default role assignment policy should contain the permissions that should be applied to the majority of your mailboxes.

アクセス許可は、エンド ・ ユーザーのロールを使用して役割の割り当てポリシーに追加されます。エンド ・ ユーザーの役割が始まるMy、自分が所有者のメールボックスまたは配布グループのみを管理するユーザーのアクセス許可を付与します。その他の任意のメールボックスを管理するためには使用できません。役割の割り当てポリシーにエンドユーザーの役割のみを指定できます。Permissions are added to role assignment policies using end-user roles. End-user roles begin with My and grant permissions for users to manage only their mailbox or distribution groups they own. They can't be used to manage any other mailbox. Only end-user roles can be assigned to role assignment policies.

役割割り当てポリシーにエンド ユーザーの役割が割り当てられていると、その役割割り当てポリシーに関連付けられているすべてのメールボックスに対して、役割が付与するアクセス許可が与えられます。この結果、個々のメールボックスを構成することなく、ユーザーのセットに対してアクセス許可の追加や削除を行うことができます。以下の図では、次の内容を示しています。When an end-user role is assigned to a role assignment policy, all of the mailboxes associated with that role assignment policy receive the permissions granted by the role. This enables you to add or remove permissions to sets of users without having to configure individual mailboxes. The following figure shows:

  • エンド ユーザーの役割が役割割り当てポリシーに割り当てられています。役割割り当てポリシー間で、同じエンド ユーザーの役割を共有できます。End-user roles are assigned to role assignment policies. Role assignment policies can share the same end-user roles.

  • 役割割り当てポリシーがメールボックスに関連付けられています。各メールボックスは、1 つの役割割り当てポリシーにのみ関連付けることができます。Role assignment policies are associated with mailboxes. Each mailbox can only be associated with one role assignment policy.

  • メールボックスを役割割り当てポリシーに関連付けると、エンド ユーザーの役割がそのメールボックスに適用されます。役割が付与するアクセス許可が、メールボックスのユーザーに対して与えられます。After a mailbox is associated with a role assignment policy, the end-user roles are applied to that mailbox. The permissions granted by the roles are granted to the user of the mailbox.

役割、役割割り当てポリシー、およびメールボックスRoles, role assignment policies, and mailboxes

役割、役割の割り当てポリシー、メールボックスの関係Role, role assignment policy, mailbox relationship

役割の割り当てポリシーの既定の役割の割り当てポリシーでは、Exchange 2013 に含まれています。名前からわかるように、既定の役割の割り当てポリシーです。この役割の割り当てポリシーによって提供されるアクセス許可を変更する場合、または役割の割り当てポリシーを作成する場合は、このトピックで後で役割の割り当てポリシーを使用して作業を参照してください。The Default Role Assignment Policy role assignment policy is included with Exchange 2013. As the name implies, it's the default role assignment policy. If you want to change the permissions provided by this role assignment policy, or if you want to create role assignment policies, see Work with Role Assignment Policies later in this topic.

役割グループの操作Work with role groups

Exchange 2013 の役割グループを使用してアクセス許可を管理するには、Exchange 管理センターを使用することをお勧めします。ロール グループを管理するため、EAC を使用すると追加しロールとメンバーを削除、役割グループを作成して、マウスを数回クリックすると、役割グループをコピーします。EAC には、これらのタスクを実行するのには次の図に示すように、新しい役割グループ] ダイアログ ボックスなどの単純なダイアログ ボックスが用意されています。To manage your permissions using role groups in Exchange 2013, we recommend that you use the Exchange Administration Center. When you use the EAC to manage role groups, you can add and remove roles and members, create role groups, and copy role groups with a few clicks of your mouse. The EAC provides simple dialog boxes, such as the new role group dialog box, shown in the following figure, to perform these tasks.

EAC の [役割グループの新規作成] ダイアログ ボックスNew role group dialog box in the EAC

EAC で、新しい役割グループのダイアログ ・ ボックスNew role group dialog box in the EAC

Exchange 2013 には、特定の管理領域にアクセス許可を区別するいくつかの役割グループが含まれています。これらの既存の役割グループは、Exchange 2013 組織を管理する必要があります、管理者のアクセス許可を提供する場合は、適切な役割グループのメンバーとして、管理者を追加する必要があるだけです。ロール グループに管理者を追加すると、その役割グループに関連する機能を管理できます。追加するロール グループから、EAC のロール グループを開くと、追加またはメンバーシップの一覧からメンバーを削除するメンバーを削除します。組み込みの役割グループの一覧は、組み込みの役割グループを参照してください。Exchange 2013 includes several role groups that separate permissions into specific administrative areas. If these existing role groups provide the permissions your administrators need to manage your Exchange 2013 organization, you need only add your administrators as members of the appropriate role groups. After you add administrators to a role group, they can administer the features that relate to that role group. To add or remove members to or from a role group, open the role group in the EAC, and then add or remove members from the membership list. For a list of built-in role groups, see Built-in role groups.

重要

管理者が複数の役割グループのメンバーである場合は、Exchange 2013 は、役割グループのメンバーである彼または彼女が提供されているすべてのアクセス許可管理者を与えます。If an administrator is a member of more than one role group, Exchange 2013 grants the administrator all of the permissions provided by the role groups he or she is a member of.

必要なアクセス許可がある Exchange 2013 に含まれるロール グループの [なし] は、役割グループを作成し、必要なアクセス許可を持つロールを追加するのには、EAC を使用できます。新しい役割グループの次の操作を行います。If none of the role groups included with Exchange 2013 have the permissions you need, you can use the EAC to create a role group and add the roles that have the permissions you need. For your new role group, you will:

  1. 役割グループの名前を選択します。Choose a name for your role group.

  2. 役割グループに追加する役割を選択します。Select the roles you want to add to the role group.

  3. 役割グループにメンバーを追加します。Add members to the role group.

  4. 役割グループを保存します。Save the role group.

役割グループを作成すると、その役割グループを他の役割グループと同様に管理できます。After you create the role group, you manage it like any other role group.

必要なアクセス許可の一部が含まれているが、全部は含まれていない既存の役割グループがある場合は、これをコピーして変更することで役割グループを作成できます。元の役割グループに影響を及ぼすことなく、既存の役割グループをコピーして変更できます。役割グループのコピー操作の一部として、新しい名前と説明の追加、新しい役割グループの役割の追加と削除、および新しいメンバーの追加を行うことができます。役割グループの作成やコピーの際には、前の図と同じダイアログ ボックスを使用できます。If there's an existing role group that has some, but not all of the permissions you need, you can copy it and then make changes to create a role group. You can copy an existing role group and make changes to it, without affecting the original role group. As part of copying the role group, you can add a new name and description, add and remove roles to and from the new role group, and add new members. When you create or copy a role group, you use the same dialog box that's shown in the preceding figure.

既存の役割グループを変更することもできます。追加し既存の役割グループから役割を削除し追加してからメンバーを削除して、同時のような上の図に [EAC] ダイアログ ボックスを使用しています。追加および削除の役割を役割グループから、その役割グループのメンバーのオンとオフの管理機能にします。役割グループに追加することができますロールの一覧では、組み込みの管理役割を参照してください。Existing role groups can also be modified. You can add and remove roles from existing role groups, and add and remove members from it at the same time, using an EAC dialog box similar to the one in the preceding figure. By adding and removing roles to and from role groups, you turn on and off administrative features for members of that role group. For a list of roles you can add to a role group, see Built-in management roles.

注意

組み込みの役割グループに割り当てられている役割は変更できますが、組み込みの役割グループをコピーして、役割グループのコピーを変更し、その役割グループのコピーにメンバーを追加することをお勧めします。Although you can change which roles are assigned to built-in role groups, we recommend that you copy built-in role groups, modify the role group copy, and then add members to the role group copy.

ページのトップへReturn to top

役割割り当てポリシーの操作Work with role assignment policies

Exchange 2013 でユーザー自身のメールボックスを管理するためにエンド ・ ユーザーに付与するアクセス許可を管理するため、EAC を使用することをお勧めします。エンドユーザーのアクセス許可を管理するため、EAC を使用して、ロールを追加の役割を削除して、マウスを数回クリックすると役割の割り当てポリシーを作成します。EAC には、これらのタスクを実行するのには次の図に示すように、役割の割り当てポリシー ] ダイアログ ボックスなどの単純なダイアログ ボックスが用意されています。To manage the permissions that you grant end users to manage their own mailbox in Exchange 2013, we recommend that you use the EAC. When you use the EAC to manage end-user permissions, you can add roles, remove roles, and create role assignment policies with a few clicks of your mouse. The EAC provides simple dialog boxes, such as the role assignment policy dialog box, shown in the following figure, to perform these tasks.

EAC の [役割の割り当てポリシー] ダイアログ ボックスRole assignment policy dialog box in the EAC

![EAC での役割の割り当てポリシー] ダイアログ ボックス](images/Dd351175.ecdf3cd4-d50e-4014-95f8-1bd5dafacaff(EXCHG.150).jpg "EAC での役割の割り当てポリシー] ダイアログ ボックス")Role assignment policy dialog box in the EAC

Exchange 2013 には、という名前の既定の役割の割り当てポリシーの役割の割り当てポリシーが含まれています。この役割の割り当てポリシーは、次の操作をそれに関連付けられたメールボックスがあるユーザーを有効にします。Exchange 2013 includes a role assignment policy named Default Role Assignment Policy. This role assignment policy enables users whose mailboxes are associated with it to do the following:

  • メンバーが自分のメンバーシップの管理を許可されている配布グループへの参加および退会。Join or leave distribution groups that allow members to manage their own membership.

  • 自分のメールボックスに関する基本的なメールボックス設定の表示および変更 (受信トレイ ルール、スペル動作、迷惑メールの設定、および Microsoft ActiveSync デバイスなど)。View and modify basic mailbox settings on their own mailbox, such as Inbox rules, spelling behavior, junk mail settings, and Microsoft ActiveSync devices.

  • 勤務先の住所、電話番号、携帯番号、ポケットベル番号などの連絡先情報を変更する。Modify their contact information, such as work address and phone number, mobile phone number, and pager number.

  • テキスト メッセージの設定の作成、変更、または表示。Create, modify, or view text message settings.

  • ボイス メール設定の表示または変更。View or modify voice mail settings.

  • 市場アプリを表示および変更する。View and modify their marketplace apps.

  • チームのメールボックスを作成し、Microsoft SharePoint の一覧へ接続する。Create team mailboxes and connect them to Microsoft SharePoint lists.

既定の役割の割り当てポリシーやその他の役割割り当てポリシーで、アクセス許可を追加または削除する場合は、EAC を使用できます。使用するダイアログ ボックスは前の図と似ています。EAC で役割割り当てポリシーを開くには、割り当て先の役割の横にあるチェック ボックスをオンにするか、削除する役割の横にあるチェック ボックスをオフにします。役割割り当てポリシーの変更は、そのポリシーに関連付けられているすべてのメールボックスに適用されます。If you want to add or remove permissions from the Default Role Assignment Policy or any other role assignment policy, you can use the EAC. The dialog box you use is similar to the one in the preceding figure. When you open the role assignment policy in the EAC, select the check box next to the roles you want to assign to it or clear the check box next to the roles you want to remove. The change you make to the role assignment policy is applied to every mailbox associated with it.

さまざまなエンド ユーザーのアクセス許可を、組織内のさまざまな種類のユーザーに割り当てる場合は、役割割り当てポリシーを作成できます。役割割り当てポリシーを作成すると、前の図のようなダイアログ ボックスが表示されます。役割割り当てポリシーの新しい名前を指定し、その役割割り当てポリシーに割り当てる役割を選択できます。役割割り当てポリシーを作成した後、EAC を使用してそのポリシーをメールボックスと関連付けることができます。If you want to assign different end-user permissions to the various types of users in your organization, you can create role assignment policies. When you create a role assignment policy, you see a dialog box similar to the one in the preceding figure. You can specify a new name for the role assignment policy, and then select the roles you want to assign to the role assignment policy. After you create a role assignment policy, you can associate it with mailboxes using the EAC.

既定である役割割り当てポリシーを変更するには、シェルを使用する必要があります。既定の役割の割り当てポリシーを変更すると、明示的に指定した場合を除き、作成したメールボックスはすべて新しい既定の役割の割り当てポリシーに関連付けられます。新しい既定の役割の割り当てポリシーを選択しても、既存のメールボックスに関連付けられている役割割り当てポリシーは変更されません。If you want to change which role assignment policy is the default, you must use the Shell. When you change the default role assignment policy, any mailboxes that are created will be associated with the new default role assignment policy if one wasn't explicitly specified. The role assignment policy associated with existing mailboxes doesn't change when you select a new default role assignment policy.

注意

子役割を持つ役割のチェック ボックスをオンにすると、子役割のチェック ボックスもオンになります。子役割を持つ役割のチェック ボックスをオフにすると、子役割のチェック ボックスもオフになります。If you select a check box for a role that has child roles, the check boxes for the child roles are also selected. If you clear the check box for a role with child roles, the check boxes for the child roles are also cleared.
役割割り当てポリシーの作成方法や、既存の役割割り当てポリシーの変更方法に関する詳細手順については、次のトピックを参照してください。For detailed steps about how to create role assignment policies or make changes to existing role assignment policies, see the following topics:

ページのトップへReturn to top

アクセス許可に関するドキュメントPermissions documentation

次の表には、について説明し、Exchange 2013 のアクセス許可の管理に役立つトピックへのリンクが含まれています。The following table contains links to topics that will help you learn about and manage permissions in Exchange 2013.

トピックTopic 説明Description

Understanding Role Based Access ControlUnderstanding Role Based Access Control

RBAC を構成する各コンポーネント、および役割グループ/管理役割が十分ではない場合に高度なアクセス許可モデルを作成する方法についての詳細。Learn about each of the components that make up RBAC and how you can create advanced permissions models if role groups and management roles aren’t enough.

複数フォレストのアクセス許可についてUnderstanding multiple-forest permissions

アカウント フォレストおよびリソース フォレストを使用して、組織に RBAC アクセス許可を実装する方法の詳細。Learn about implementing RBAC permissions in organizations with account and resource forests.

分割型アクセス許可についてUnderstanding split permissions

RBAC および Active Directory の分割型アクセス許可を使用して、Exchange とセキュリティ プリンシパルの管理を分割する方法についての詳細。Learn about splitting Exchange and security principal management using RBAC and Active Directory split permissions.

Exchange 2007 と Exchange 2010 のアクセス許可の共存についてUnderstanding permissions coexistence with Exchange 2007 and Exchange 2010

アクセス許可を構成して、既存の Exchange 2007 組織と Exchange 2010 組織で Exchange 2013 の管理を有効にします。Configure permissions to enable administration of Exchange 2013 in existing Exchange 2007 and Exchange 2010 organizations.

役割グループの管理Manage role groups

役割グループを使用して、Exchange の管理者および専門家ユーザーのアクセス許可を構成する。Configure permissions for Exchange administrators and specialist users using role groups.

役割グループのメンバーの管理Manage role group members

役割グループのメンバーを追加または削除する。役割グループのメンバーを追加および削除することにより、Exchange の機能を誰が管理するかを構成します。Add members to and from role groups. By adding and removing members to and from role groups, you configure who’s able to administer Exchange features.

リンクされた役割グループの管理Manage linked role groups

複数フォレストの Exchange 展開を使用して、Exchange の管理者および専門家ユーザーのアクセス許可を構成する。Configure permissions for Exchange administrators and specialist users in multi-forest Exchange deployments.

役割の割り当てポリシーの管理Manage role assignment policies

役割割り当てポリシーを使用して、エンドユーザーが各自のメールボックス上でアクセスできる機能を構成する。Configure which features end-users have access to on their mailboxes using role assignment policies.

メールボックスの割り当てポリシーを変更するChange the assignment policy on a mailbox

1 つ以上のメールボックスに、どの役割割り当てポリシーが適用されるかを構成する。Configure which role assignment policy is applied to one or more mailboxes.

組み込みの役割グループをミラーするリンクされた役割グループを作成するCreate linked role groups that mirror built-in role groups

複数フォレストの Exchange 展開において、組み込みの役割グループをリンクされた役割グループとして再作成する。Re-create the built-in role groups as linked role groups in multi-forest Exchange deployments.

ビューの有効なアクセス許可View effective permissions

Exchange の機能を管理するアクセス許可を持つユーザーを表示する。View who has permissions to administer Exchange features.

機能のアクセス許可Feature permissions

Exchange の機能およびサービスの管理に必要なアクセス許可についての詳細。Learn more about the permissions required to manage Exchange features and services.

高度な権限Advanced permissions

高度な RBAC 機能を使用して、組織のニーズを満たす詳細にカスタマイズされたアクセス許可モデルを作成します。Use advanced RBAC features to create highly customized permission models to fit the needs of any organization.