Exchange Online のアクセス許可

Exchange Online Microsoft 365 および Office 365 には、役割ベースのアクセス制御 (RBAC) アクセス許可モデルに基づいて、事前に定義された多数のアクセス許可が含まれています。このモデルを使用すると、管理者とユーザーに簡単にアクセス許可を付与できます。 新しい組織を迅速に稼働Exchange Onlineアクセス許可機能を使用できます。

RBAC は、アクセス許可モデルで使用されるアクセス許可Microsoft Exchange Server。 このトピックのほとんどのリンクは、このトピックを参照するトピックExchange Server。 これらのトピック内の概念は Exchange Online にも適用されます。

管理者またはユーザー間のアクセス許可Microsoft 365 Office 365管理者の役割についてを参照してください。

注意

一部の RBAC の機能および概念については、高度な機能であるためここでは説明しません。ここで説明する機能がニーズに合わず、アクセス許可モデルのより高度なカスタマイズが必要な場合は、「Understanding Role Based Access Control」を参照してください。

役割に基づくアクセス許可

Exchange Online では、管理者とユーザーに与えるアクセス許可は管理役割に基づきます。 管理役割は管理者やユーザーが実行できるタスクのセットを定義します。 たとえば、管理役割は、メールボックス、連絡先、配布グループのセットに対して誰かが実行できるタスク Mail Recipients を定義します。 ある管理役割が管理者やユーザーに割り当てられる場合、その管理者やユーザーに対して、その管理役割が提供するアクセス許可が与えられます。

管理役割とエンド ユーザー役割という 2 種類の管理役割があります。それぞれのタイプの簡単な説明を以下に示します。

  • 管理役割: これらの役割には、受信者やコンプライアンス管理など、Exchange Online 組織の一部を管理する役割グループを使用して管理者または専門家ユーザーに割り当て可能なアクセス許可が含まれる。

  • エンド ユーザーの役割: 役割の割り当てポリシーを使用して割り当てられるこれらの役割により、ユーザーは自分が所有するメールボックスと配布グループの側面を管理できます。 エンド ユーザー の役割は、プレフィックスで始まります My

管理役割は、その役割に割り当てられている管理者とユーザーがコマンドレットを使用できるようにすることでタスクの実行に必要なアクセス許可を与えます。 Exchange 管理センター (EAC) と Exchange Online PowerShell はコマンドレットを使用して Exchange Online を管理しますので、コマンドレットへのアクセスを許可すると、管理者またはユーザーは、各 Exchange Online 管理インターフェイスでタスクを実行できます。

Exchange Onlineアクセス許可を付与するために使用できる役割グループが含まれています。 詳細については、次のセクションを参照してください。

注意

管理役割によっては、社内 Exchange サーバー インストールにしか使用できないものや Exchange Online で使用できないものがあります。

役割グループと役割割り当てポリシー

Exchange Online でタスクを実行するためのアクセス許可は管理役割によって与えられますが、アクセス許可を管理者とユーザーに簡単に割り当てる方法が必要です。Exchange Online では次の割り当て方法があります。

  • 役割グループ: 役割グループを使用すると、管理者および専門家ユーザーにアクセス許可を付与できます。

  • 役割の割り当て ポリシー : 役割の割り当てポリシーを使用すると、エンド ユーザーが所有する自分のメールボックスまたは配布グループの設定を変更するアクセス許可をエンド ユーザーに付与できます。

以降のセクションでは、役割グループと役割割り当てポリシーについて詳しく説明します。

役割グループ

ユーザーを管理するExchange Online、少なくとも 1 つ以上の役割を割り当てる必要があります。 管理者は、複数のロールを持つ場合があります。これは、複数の領域にまたがるジョブ機能を実行Exchange Online。

複数の役割を 1 人の管理者に簡単に割り当てるため、Exchange Online には役割グループが含まれます。役割が役割グループに割り当てられると、その役割が付与するアクセス許可が役割グループの全メンバーに付与されます。このため、多くの役割を多くの役割グループのメンバーに一度に割り当てることができます。通常、役割グループには受信者管理などの広範囲の管理領域が含まれます。このような管理領域は管理役割のみで使用し、エンドユーザー役割では使用しません。役割グループのメンバーは Exchange Online ユーザーやその他の役割グループにすることができます。

注意

役割グループを使用せず、直接ユーザーに役割を割り当てることができます。ただし、このような役割割り当て方法は高度な手順であるため、ここでは説明しません。アクセス許可の管理には、役割グループを使用することをお勧めします。

次の図はユーザー、役割グループ、および役割の間の関係を示しています。

役割、役割グループ、およびメンバー関係

Exchange Online には、組み込みの役割グループがいくつか含まれます。この各役割グループによって、Exchange Online の特定の領域を管理するためのアクセス許可が与えられます。役割グループ同士が重複する場合もあります。次の表は、各役割グループおよびその使用に関する説明です。

役割グループ 説明 割り当てられた既定の役割
コンプライアンス管理 メンバーは、ポリシーに従って、Exchangeコンプライアンス設定を構成および管理できます。 監査ログ

コンプライアンス管理者

データ損失防止

Information Rights Management

ジャーナリング

"Message Tracking/メッセージ追跡"

アイテム保持の管理

トランスポート ルール

表示専用の監査ログ

"View-Only Configuration/表示専用構成"

"View-Only Recipients/表示専用受信者"
検出の管理 メンバーは、特定の条件を満たすデータExchange Online、メールボックスの法的ホールドを構成できるデータを、組織のメールボックスの検索を実行できます。 "Legal Hold/法的情報保留"

"Mailbox Search/メールボックス検索"
ExchangeServiceAdmins_-<unique value> この役割グループのメンバーシップは、サービス間で同期され、集中管理されます。 この役割グループは、このグループで管理Exchange Online。

この役割グループには、役割が割り当てられていない。 ただし、組織の管理役割グループのメンバー (Exchange サービス管理者) であり、その役割グループによって提供されるアクセス許可を継承します。

この役割グループにメンバーを追加するには、管理者センターの Azure AD Exchange管理者ロールにMicrosoft 365します。
該当なし
ヘルプ デスク メンバーは、個々の受信者の構成を表示および管理し、組織の受信者Exchangeできます。 この役割グループのメンバーは、各ユーザーが自分のメールボックスで管理できる構成のみを管理できます。 パスワードのリセット

ユーザー オプション

"View-Only Recipients/表示専用受信者"
HelpdeskAdmins_<unique value> この役割グループのメンバーシップは、サービス間で同期され、集中管理されます。 この役割グループは、このグループで管理Exchange Online。

この役割グループには、役割が割り当てられていない。 ただし、このグループは View-Only組織の管理役割グループ (ヘルプデスク管理者) のメンバーであり、その役割グループによって提供されるアクセス許可を継承します。

この役割グループにメンバーを追加するには、管理者センターの Azure ADヘルプデスク管理者ロールにユーザー Microsoft 365追加します。
該当なし
検疫管理 メンバーは、Exchangeスパム対策機能を管理し、ウイルス対策製品に対するアクセス許可を付与して、Exchangeルールを管理できます。 トランスポートの衛生

"View-Only Configuration/表示専用構成"

"View-Only Recipients/表示専用受信者"
組織の管理 メンバーは組織全体に対して管理Exchange Onlineアクセス権を持ち、組織のほぼすべてのタスクを実行Exchange Online。

既定では、次の管理役割は、組織の管理を含む任意の役割グループに割り当てられていない。
  • "Address Lists/アドレス一覧"
  • メールボックスのインポートのエクスポート

既定では、メールボックス検索役割は探索管理役割グループにのみ割り当てられます

重要: 組織の管理役割グループは強力な役割なので、Exchange Online 組織全体に影響を与える可能性のある組織レベルの管理タスクを実行するユーザーだけが、この役割グループのメンバーである必要があります。
監査ログ

コンプライアンス管理者

データ損失防止

動的配布グループ

電子メール アドレス ポリシー

フェデレーションの共有

Information Rights Management

ジャーナリング

"Legal Hold/法的情報保留"

"Mail Enabled Public Folders/メールが有効なパブリック フォルダー"

"Mail Recipient Creation/メール受信者の作成"

Mail Recipients

メール ヒント

"Message Tracking/メッセージ追跡"

"Migration/移行"

"Move Mailboxes/メールボックスの移動"

組織カスタム アプリ

組織マーケットプレース アプリ

組織のクライアント アクセス

組織の構成

組織トランスポート 設定

パブリック フォルダー

"Recipient Policies/受信者ポリシー"

リモートドメインと受け入れドメイン

パスワードのリセット

アイテム保持の管理

役割の管理

セキュリティ管理者

セキュリティ グループの作成とメンバーシップ

セキュリティ閲覧者

チーム メールボックス

トランスポートの衛生

トランスポート ルール

UM メールボックス

UM プロンプト

ユニファイド メッセージング

ユーザー オプション

表示専用の監査ログ

"View-Only Configuration/表示専用構成"

"View-Only Recipients/表示専用受信者"
受信者の管理 メンバーは、組織内の受信者を作成Exchange Online変更する管理Exchange Onlineがあります。 動的配布グループ

"Mail Recipient Creation/メール受信者の作成"

Mail Recipients

"Message Tracking/メッセージ追跡"

"Migration/移行"

"Move Mailboxes/メールボックスの移動"

"Recipient Policies/受信者ポリシー"

パスワードのリセット

チーム メールボックス
レコード管理 メンバーは、保持ポリシー タグ、メッセージ分類、メール フロー ルール (トランスポート ルールとも呼ばれる) などのコンプライアンス機能を構成できます。 監査ログ

ジャーナリング

"Message Tracking/メッセージ追跡"

アイテム保持の管理

トランスポート ルール
セキュリティ管理者 この役割グループのメンバーシップは、サービス間で同期され、集中管理されます。 この役割グループは、このグループで管理Exchange Online。

この役割グループにメンバーを追加するには、管理者センターの Azure ADセキュリティ管理者ロールにユーザー Microsoft 365します。
セキュリティ管理者
セキュリティ閲覧者 この役割グループのメンバーシップは、サービス間で同期され、集中管理されます。 この役割グループは、このグループで管理Exchange Online。

この役割グループにメンバーを追加するには、管理者センターの Azure AD セキュリティ リーダー ロールにユーザー Microsoft 365します。
セキュリティ閲覧者
TenantAdmins_-<unique value> この役割グループのメンバーシップは、サービス間で同期され、集中管理されます。 この役割グループは、このグループで管理Exchange Online。

この役割グループには、役割が割り当てられていない。 ただし、組織の管理役割グループのメンバー (会社の管理者) であり、その役割グループによって提供されるアクセス許可を継承します。

この役割グループにメンバーを追加するには、管理者センターの Azure AD グローバル 管理者ロールにユーザー Microsoft 365追加します。
該当なし
UM の管理 メンバーは、ユニファイド Exchange (UM) の設定と機能を管理できます。 UM メールボックス

UM プロンプト

ユニファイド メッセージング
View-Only Organization Management メンバーは、組織の任意のオブジェクトのプロパティExchange Onlineできます。 "View-Only Configuration/表示専用構成"

"View-Only Recipients/表示専用受信者"

2 ~ 3 人の管理者しかいない小規模な組織の場合は、これらの管理者を 組織の管理 役割グループにのみ追加し、他の役割グループの使用は不要である可能性があります。 大規模な組織で作業する場合は、受信者の構成など、組織を管理するExchange Online管理者が必要になる場合があります。 このような場合は、受信者の管理役割グループに 1 人の管理者を追加し、別の管理者を組織の管理役割グループに追加できます。 その後、これらの管理者は、Exchange Online の特定の領域を管理できますが、自分が責任を負う領域を管理するためのアクセス許可を持つ必要があります。

Exchange Online の組み込みの役割グループが管理者のジョブ機能と適合しない場合は、役割グループを作成して管理者に役割を追加できます。 詳細については、このトピックの「 役割グループの使用」 セクションを参照してください。

役割の割り当てポリシー

Exchange Online では役割割り当てポリシーによって、ユーザーが所有するメールボックスと配布グループに関して、そのユーザーが構成できる設定を制御できます。上記の設定には、ユーザーの表示名、連絡先情報、ボイス メール設定、および配布グループのメンバーシップが含まれます。

Exchange Online 組織は複数の役割割り当てポリシーを持つことができます。このため組織内のさまざまな種類のユーザーに対して、レベルの異なるアクセス許可を与えることができます。ユーザーのメールボックスに関連付けられる役割割り当てポリシーによって、あるユーザーでは住所の変更や配布グループの作成が許可されても、他のユーザーでは許可されない場合があります。役割割り当てポリシーはメールボックスに直接追加されます。各メールボックスは、同時に 1 つの役割割り当てポリシーにのみ関連付けることができます。

組織の役割割り当てポリシーのうち、1 つが既定としてマークされます。新しいメールボックスの作成時に特定の役割割り当てポリシーを明示的に割り当てない限り、既定の役割の割り当てポリシーが新しいメールボックスに関連付けられます。既定の役割の割り当てポリシーには、ほとんどのメールボックスに適用が必要なアクセス許可が含まれている必要があります。

アクセス許可は、エンドユーザーの役割を使用して役割割り当てポリシーに追加されます。 エンド ユーザーの役割は、まず、ユーザーが所有するメールボックスまたは配布グループのみを管理するためのアクセス許可 My を付与します。 エンドユーザーの役割を使用して他のメールボックスを管理することはできません。 役割割り当てポリシーに割り当てることができるのは、エンド ユーザーの役割のみです。

役割割り当てポリシーにエンド ユーザーの役割が割り当てられていると、その役割割り当てポリシーに関連付けられているすべてのメールボックスに対して、役割が付与するアクセス許可が与えられます。この結果、個々のメールボックスを構成することなく、ユーザーのセットに対してアクセス許可の追加や削除を行うことができます。以下の図では、次の内容を示しています。

  • エンド ユーザーの役割が役割割り当てポリシーに割り当てられています。 役割割り当てポリシー間で、同じエンド ユーザーの役割を共有できます。 このページで使用できるエンド ユーザー の役割の詳細については、「Exchange Online の役割の割り当てポリシー」を参照Exchange Online。

  • 役割割り当てポリシーがメールボックスに関連付けられています。各メールボックスは、1 つの役割割り当てポリシーにのみ関連付けることができます。

  • メールボックスを役割割り当てポリシーに関連付けると、エンド ユーザーの役割がそのメールボックスに適用されます。役割が付与するアクセス許可が、メールボックスのユーザーに対して与えられます。

役割、役割の割り当てポリシー、メールボックスの関係

既定の役割割り当てポリシーは、Exchange Online に組み込まれています。名前が示すとおり、既定の役割割り当てポリシーです。この役割割り当てポリシーが提供するアクセス許可を変更したり、役割割り当てポリシーを作成したりする場合は、後の「役割割り当てポリシーの操作」を参照してください。

Microsoft 365またはOffice 365アクセス許可を設定Exchange Online

Microsoft 365 または Office 365 でユーザーを作成する場合、グローバル管理者、サービス管理者、パスワード管理者など、さまざまな管理役割をユーザーに割り当てるかどうかを選択できます。 一部のロールは、Microsoft 365ロールOffice 365アクセス許可をユーザーに付与Exchange Online。

注意

組織または組織の作成に使用Microsoft 365ユーザー Office 365、グローバル管理者または管理者ロールMicrosoft 365自動的Office 365されます。

次の表に、Microsoft 365またはOffice 365役割と、対応するExchange Onlineグループの一覧を示します。

Microsoft 365ロールまたはOffice 365ロール Exchange Online 役割グループ
グローバル管理者 組織の管理

: グローバル管理者役割と組織の管理役割グループは、特別な会社管理者役割グループを使用して関連付けされます。 "Company Administrator/会社の管理者" 役割グループは、Exchange Online で内部的に管理されているため、直接変更できません。
課金管理者 対応する Exchange Online 役割グループなし。
パスワード管理者 ヘルプ デスク管理者。
サービス管理者 対応する Exchange Online 役割グループなし。
ユーザー管理の管理者 対応する Exchange Online 役割グループなし。

Exchange Online 役割グループについては、「役割グループ」の「組み込みの役割グループ」の表を参照してください。

[Microsoft 365またはOffice 365では、グローバル管理者またはパスワード管理者の役割にユーザーを追加すると、ユーザーにはそれぞれの管理者ロール グループによって提供される権限Exchange Onlineされます。 他Microsoft 365またはOffice 365ロールには、対応する Exchange Online 役割グループが存在しないので、管理者アクセス許可が付与Exchange Online。 ユーザーにロールまたはユーザー ロールを割り当てるMicrosoft 365詳細Office 365管理者ロールの割り当て」を参照してください

ユーザーは、ユーザーの役割またはExchange Onlineロールに追加せずに、Microsoft 365管理者権限Office 365できます。 これは、ユーザーを Exchange Online 役割グループのメンバーとして追加することによって実現します。 ユーザーが直接 Exchange Online 役割グループに追加された場合は、Exchange Online のその役割グループによって付与されるアクセス許可を受け取ることになります。 ただし、他のコンポーネントまたは他のコンポーネントに対するアクセスMicrosoft 365付与Office 365されません。 彼らには Exchange Online のみの管理アクセス許可しか付与されません。 ユーザーは、"Company Administrator/会社の管理者" 役割グループと "Help Desk Administrators/ヘルプ デスク管理者" 役割グループを除く 役割グループ の「組み込みの役割グループ表」に列挙された役割グループのいずれかに追加できます。 ユーザーを直接 Exchange Online 役割グループに追加する方法については、「 役割グループの操作」を参照してください。

役割グループの操作

グループ内の役割グループを使用してアクセス許可Exchange Online、EAC を使用することをお勧めします。 EAC を使用して役割グループを管理する場合は、役割とメンバーの追加と削除、役割グループの作成、マウスの数回クリックで役割グループのコピーを行います。 EAC には、次の図に示す[役割グループの追加] ダイアログ ボックスなどの簡単なダイアログ ボックスが表示され、これらのタスクを実行できます。

EAC の [新しい役割グループ] ダイアログ ボックス

Exchange Online には、アクセス許可を特定の管理領域に分割する役割グループがいくつか含まれています。これらの既存の役割グループによってアクセス許可が提供されている場合は、管理者が Exchange Online 組織を管理する必要があり、管理者を適切な役割グループのメンバーとして追加するだけで済みます。管理者を役割グループに追加すれば、管理者がその役割グループに関連する機能を管理できます。役割グループのメンバーの追加や削除を行うには、EAC で役割グループを開き、メンバーシップ一覧でメンバーを追加または削除します。組み込みの役割グループの一覧については、「役割グループ」の「組み込みの役割グループ」の表を参照してください。

重要

管理者が複数の役割グループのメンバーである場合、Exchange Online は、その管理者がメンバーとなっている役割グループが提供するすべてのアクセス許可を管理者に付与します。

Exchange Online に含まれる役割グループに必要なアクセス許可がない場合は、EAC を使用して役割グループを作成し、必要なアクセス許可を持つ役割を追加できます。役割グループを新規作成するには、次の操作が必要です。

  1. 役割グループの名前を選択します。

  2. 役割グループに追加する役割を選択します。

  3. 役割グループにメンバーを追加します。

  4. 役割グループを保存します。

役割グループを作成すると、その役割グループを他の役割グループと同様に管理できます。

必要なアクセス許可の一部が含まれているが、全部は含まれていない既存の役割グループがある場合は、これをコピーして変更することで役割グループを作成できます。元の役割グループに影響を及ぼすことなく、既存の役割グループをコピーして変更できます。役割グループのコピー操作の一部として、新しい名前と説明の追加、新しい役割グループの役割の追加と削除、および新しいメンバーの追加を行うことができます。役割グループの作成やコピーの際には、前の図と同じダイアログ ボックスを使用できます。

既存の役割グループの変更も可能です。前の図のような EAC ダイアログ ボックスを使用して、既存の役割グループの役割の追加と削除、および役割グループのメンバーの追加と削除を同時に行うことができます。役割グループの役割の追加と削除を行うことで、その役割グループのメンバーの管理機能を有効および無効にすることができます。

注意

組み込みの役割グループに割り当てられている役割は変更できますが、組み込みの役割グループをコピーして、役割グループのコピーを変更し、その役割グループのコピーにメンバーを追加することをお勧めします。 > "Company Administrator/会社の管理者" 役割グループと "Help Desk administrator/ヘルプ デスク管理者" 役割グループはコピーまたは変更することができません。

役割割り当てポリシーの操作

Exchange Online で、エンド ユーザーに対して自分のメールボックスを管理させるために付与するアクセス許可を管理する場合は、EAC の使用をお勧めします。EAC を使用してエンドユーザーのアクセス許可を管理すると、マウスを数回クリックするだけで、役割の追加、役割の削除、および役割割り当てポリシーの作成を行うことができます。EAC では簡単なダイアログ ボックスが表示されます。上記のタスクを実行する場合、次の図にある [役割の割り当てポリシー] ダイアログ ボックスなどが表示されます。

EAC の [役割の割り当てポリシー] ダイアログ ボックス

Exchange Online には既定の役割の割り当てポリシーという名前の役割割り当てポリシーが含まれます。この役割割り当てポリシーに関連付けられているメールボックスを所有するユーザーは、この役割割り当てポリシーを使用すると次の操作を行うことができます。

  • メンバーが自分のメンバーシップの管理を許可されている配布グループへの参加および退会。

  • 自分のメールボックスに関する基本的なメールボックス設定の表示および変更 (受信トレイ ルール、スペル動作、迷惑メールの設定、および Microsoft ActiveSync デバイスなど)。

  • 勤務先の住所、電話番号、携帯番号、ポケットベル番号などの連絡先情報を変更する。

  • テキスト メッセージの設定の作成、変更、または表示。

  • ボイス メール設定の表示または変更。

  • 市場アプリを表示および変更する。

  • チームのメールボックスを作成し、Microsoft SharePoint の一覧へ接続する。

  • メッセージ形式やプロトコル既定値などの電子メール サブスクリプション設定を作成、変更、または表示します。

既定の役割の割り当てポリシーやその他の役割割り当てポリシーで、アクセス許可を追加または削除する場合は、EAC を使用できます。使用するダイアログ ボックスは前の図と似ています。EAC で役割割り当てポリシーを開くには、割り当て先の役割の横にあるチェック ボックスをオンにするか、削除する役割の横にあるチェック ボックスをオフにします。役割割り当てポリシーの変更は、そのポリシーに関連付けられているすべてのメールボックスに適用されます。

さまざまなエンド ユーザーのアクセス許可を、組織内のさまざまな種類のユーザーに割り当てる場合は、役割割り当てポリシーを作成できます。役割割り当てポリシーを作成すると、前の図のようなダイアログ ボックスが表示されます。役割割り当てポリシーの新しい名前を指定し、その役割割り当てポリシーに割り当てる役割を選択できます。役割割り当てポリシーを作成した後、EAC を使用してそのポリシーをメールボックスと関連付けることができます。

既定の役割の割り当てポリシーを変更する場合は、PowerShell でExchange Online必要があります。 既定の役割の割り当てポリシーを変更すると、明示的に指定した場合を除き、作成したメールボックスはすべて新しい既定の役割の割り当てポリシーに関連付けられます。 新しい既定の役割の割り当てポリシーを選択しても、既存のメールボックスに関連付けられている役割割り当てポリシーは変更されません。

注意

子役割を持つ役割のチェック ボックスをオンにすると、子役割のチェック ボックスもオンになります。子役割を持つ役割のチェック ボックスをオフにすると、子役割のチェック ボックスもオフになります。

役割の割り当てポリシーの手順の詳細については、「役割の割り当てポリシー」を参照Exchange Online。

アクセス許可に関するドキュメント

次の表に、Exchange Online のアクセス許可の詳細や、アクセス許可の管理に役立つトピックへのリンクを示します。

トピック 説明
Understanding Role Based Access Control RBAC を構成する各コンポーネント、および役割グループ/管理役割が十分ではない場合に高度なアクセス許可モデルを作成する方法についての詳細。
グループ内の役割グループをExchange Online 役割グループを使用してExchange Online管理者およびスペシャリスト ユーザーのアクセス許可を構成します 。役割グループへのメンバーの追加と削除を含む。
ロールの割り当てポリシー (Exchange Online 役割の割り当てポリシーを使用して、エンド ユーザーがメールボックスにアクセスできる機能を構成し、役割割り当てポリシーを表示、作成、変更、および削除し、既定の役割割り当てポリシーを指定し、役割割り当てポリシーをメールボックスに適用します。
Exchange Online の機能アクセス許可 Exchange Online の機能およびサービスの管理に必要なアクセス許可についての詳細。