管理役割の割り当てポリシーについてUnderstanding management role assignment policies

製品: Exchange Server 2013Applies to: Exchange Server 2013

管理役割の割り当てポリシーは、エンドユーザーが自分の Microsoft Exchange Server 2013 メールボックスおよび配布グループ構成を管理できるようにする、1つまたは複数のエンドユーザー管理役割の集合です。A management role assignment policy is a collection of one or more end-user management roles that enables end users to manage their own Microsoft Exchange Server 2013 mailbox and distribution group configuration. 役割の割り当てポリシーは、Exchange 2013 の役割ベースのアクセス制御 (RBAC) アクセス許可モデルの一部で、エンドユーザーが変更できる特定のメールボックスと配布グループ構成の設定を制御できるようになります。Role assignment policies, which are part of the Role Based Access Control (RBAC) permissions model in Exchange 2013, enable you to control what specific mailbox and distribution group configuration settings your end users can modify. さまざまなユーザーのグループにグループ専用の役割割り当てポリシーを指定することができます。Different groups of users can have role assignment policies specialized to them.

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。For more information about RBAC, see Understanding Role Based Access Control.

目次Contents

Role assignment policy layersRole assignment policy layers

Default and explicit role assignment policiesDefault and explicit role assignment policies

Using role assignment policiesUsing role assignment policies

Role assignment policy managementRole assignment policy management

役割の割り当てポリシー レイヤーRole assignment policy layers

次のリストは、役割の割り当てポリシー モデルを構成するレイヤーについて説明します。The following list describes the layers that make up the role assignment policy model:

  • メールボックス: メールボックスには、1つの役割の割り当てポリシーが割り当てられます。Mailbox: Mailboxes are assigned a single role assignment policy. メールボックスに 1 つの役割の割り当てポリシーが割り当てられている場合、管理役割と役割の割り当てポリシー間の割り当てがメールボックスに適用されます。When a mailbox is assigned a role assignment policy, the assignments between management roles and a role assignment policy are applied to the mailbox. これにより、管理役割のすべてのアクセス許可がメールボックスに付与されます。This grants the mailbox all of the permissions provided by the management roles.

  • 管理役割の割り当てポリシー:管理役割の割り当てポリシーは、Exchange 2013 の特別なオブジェクトです。Management role assignment policy: The management role assignment policy is a special object in Exchange 2013. ユーザーのメールボックスが作成されたとき、またはメールボックスの役割の割り当てポリシーを変更した場合に、ユーザーが役割の割り当てポリシーに関連付けられます。Users are associated with a role assignment policy when their mailboxes are created, or if you change the role assignment policy on a mailbox. エンドユーザーの管理役割もこれに割り当てられます。This is also what you assign end-user management roles to. 役割の割り当てポリシーのすべての役割の組み合わせによって、ユーザーがメールボックスまたは配布グループで管理できるものがすべて定義されます。The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • 管理役割の割り当て: ** 管理役割の割り当ては、管理役割と役割の割り当てポリシー間のリンクです。Management role assignment: A management role assignment is the link between a management role and a role assignment policy. 管理役割を役割の割り当てポリシーに割り当てると、管理役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。Assigning a management role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the management role. 役割の割り当てポリシーと管理役割間の役割の割り当てを作成する場合、スコープを指定することはできません。When you create a role assignment between a role assignment policy and a management role, you can't specify any scope. 割り当てによって適用されるスコープは、管理役割に基づいてSelfおりMyGAL、またはのどちらかです。The scope applied by the assignment is based on the management role and is either Self or MyGAL. 詳細については、「管理役割の割り当てについて」を参照してください。For more information, see Understanding management role assignments.

  • 管理役割: 管理** 役割は、管理役割エントリをグループ化するためのコンテナーです。Management role: A management role is a container for a grouping of management role entries. 役割は、ユーザーがメールボックスまたは配布グループを使用して実行できる特定のタスクを定義するために使用されます。Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. 管理役割エントリは、管理役割の各特定タスクを実行できるようにするコマンドレット、スクリプト、または特別なアクセス許可です。A management role entry is a cmdlet, script, or special permission that enables each specific task in a management role to be performed. エンドユーザー管理役割は、役割の割り当てポリシーでのみ使用できます。You can only use end-user management roles with role assignment policies. 詳細については、「管理の役割について」を参照してください。For more information, see Understanding management roles.

  • 管理役割エントリ: 管理役割エントリは、管理役割と役割グループが使用できるコマンドレットとパラメーターを決定する、管理役割の個々のエントリです。Management role entry: Management role entries are the individual entries on a management role that determine what cmdlets and parameters are available to the management role and the role group. 各役割エントリは、1 つのコマンドレットとパラメーターから構成され、管理役割によってアクセスできます。Each role entry consists of a single cmdlet and the parameters that can be accessed by the management role.

次の図は、前の一覧の各役割の割り当てポリシー レイヤーと、各レイヤーが他のレイヤーとどう関連するかを示しています。The following figure shows each of the role assignment policy layers in the preceding list and how each of the layers relates to the other.

管理役割の割り当てポリシーのモデルManagement role assignment policy model

役割の割り当てモデルの関係Role Assignment Model Relationships

管理役割、役割の割り当て、およびスコープの詳細については、「役割ベースのアクセス制御について」を参照してください。For more information about management roles, role assignments, and scopes, see Understanding Role Based Access Control.

既定の明示的な役割の割り当てポリシーDefault and explicit role assignment policies

ここでは、Exchange 2013 の役割の割り当てポリシーの 2 つの種類について説明します。The following sections describe the two types of role assignment policies in Exchange 2013.

既定の役割の割り当てポリシーDefault role assignment policy

既定の役割の割り当てポリシーは、メールボックスが作成されたとき、または Exchange 2013 を実行しているサーバーに移動されたときに** メールボックスに割り当てられたものです。また**** 、新しいメールボックスで roleassignment policy パラメーターを使用して役割の割り当てポリシーが提供されていませんでした。メールボックスのコマンドレットを有効にします。A default role assignment policy is one assigned to a mailbox when the mailbox is created or moved to a server running Exchange 2013, and a role assignment policy wasn't provided using the RoleAssignmentPolicy parameter on the New-Mailbox or Enable-Mailbox cmdlets.

Exchange 2013 には、エンドユーザーに最もよく使用されるアクセス許可を提供する既定の役割の割り当てポリシーが含まれます。管理役割を追加または削除することで、既定の役割の割り当てポリシーで既定のアクセス許可を変更できます。Exchange 2013 includes a default role assignment policy that provides end users with the permissions most commonly used. You can change the default permissions on the default role assignment policy by adding or removing management roles to or from it.

組み込みの既定の役割の割り当てポリシーを独自の既定の役割の割り当てポリシーと置き換える場合、 Set-RoleAssignmentPolicy コマンドレットを使用して新しい既定を選択できます。これを実行すると、役割の割り当てポリシーを明示的に指定しない場合、既定で新しいメールボックスに指定した役割の割り当てポリシーが割り当てられます。If you want to replace the built-in default role assignment policy with your own default role assignment policy, you can use the Set-RoleAssignmentPolicy cmdlet to select a new default. When you do this, any new mailboxes are assigned the role assignment policy you specified by default if you don't explicitly specify a role assignment policy.

既定の役割の割り当てポリシーを変更する場合、既定の役割の割り当てポリシーを割り当てられたメールボックスに、新しい既定の役割の割り当てポリシーが自動的に割り当てられません。前に作成したメールボックスを、既定として設定した役割の割り当てポリシーを使用するように更新する場合、更新するには Set-Mailbox コマンドレットを使用する必要があります。When you change the default role assignment policy, mailboxes assigned the default role assignment policy aren't automatically assigned the new default role assignment policy. If you want to update previously created mailboxes to use the role assignment policy you've set as default, you must use the Set-Mailbox cmdlet to do so.

明示的な役割の割り当てポリシーExplicit Role Assignment Policy

明示的な役割の割り当てポリシーは、新しいメールボックス設定メールボックス、またはメールボックスのコマンドレットでroleassignment policyパラメーターを使用し**** てメールボックスに手動で割り当てるポリシーです。An explicit role assignment policy is a policy that you assign to a mailbox manually using the RoleAssignmentPolicy parameter on the New-Mailbox, Set-Mailbox, or Enable-Mailbox cmdlets. 明示的な役割の割り当てポリシーを割り当てる場合、新しいポリシーが直ちに有効になり、前に割り当てられた明示的な役割の割り当てポリシーに置き換わります。When you assign an explicit role assignment policy, the new policy takes effect immediately and replaces the previously assigned explicit role assignment policy.

役割の割り当てポリシーの使用Using role assignment policies

役割の割り当てポリシーを使用すると、ユーザーが構成を必要とするビジネス ニーズに基づいて、アクセス許可を調整できます。既定の役割の割り当てポリシーがニーズを満たす場合、カスタマイズは必要ありません。ただし、専用のニーズを持つ多数の異なるユーザー グループが存在する場合は、各グループの役割の割り当てポリシーを作成することができます。Role assignment policies enable you to tailor permissions based on what business needs your users need to be able to configure. If the default role assignment policy meets your needs, you don't need to do any customization. However, if you have many different user groups with specialized needs, you can create role assignment policies for each of them.

使用する既定の役割の割り当てポリシーには、非常に広範なユーザーに適用するアクセス許可が含まれている必要があります。次に、各専用ユーザー グループの役割の割り当てポリシーを作成し、それらの役割の割り当てポリシーを調整して、ある程度制限のあるアクセス許可をユーザー グループに付与します。役割の割り当てポリシーをこの方法で編成する場合、役割の割り当てポリシーを専用のユーザーに明示的に割り当てることで複雑さを軽減し、大多数のユーザーには既定の役割の割り当てポリシーによって提供されるより一般的なアクセス許可を付与します。The default role assignment policy you use should contain the permissions that apply to your broadest set of users. Then, create role assignment policies for each of your specialized user groups and tailor those role assignment policies to grant more or less restrictive permissions to them. When you organize your role assignment policies this way, you reduce complexity by only explicitly assigning role assignment policies to your specialized users while the majority of your users receive the more common permissions provided by the default role assignment policy.

メールボックスは役割の割り当てポリシーを 1 つだけ持つことができます。管理者および専門家ユーザーを含むすべてのユーザーに、1 つの役割の割り当てポリシーが割り当てられます。あるユーザーに別の一連のアクセス許可を指定する場合、そのユーザーのメールボックスに、必要なアクセス許可を持つ別の役割の割り当てポリシーを割り当てる必要があります。A mailbox can have only one role assignment policy. All users, including administrators and specialist users, are assigned one role assignment policy. If you want a user to have a different set of permissions, you must assign that user's mailbox another role assignment policy with the required permissions.

役割の割り当てポリシーの管理Role assignment policy management

新しい役割の割り当てポリシーを追加するには、まずポリシーを作成し、既定の役割の割り当てポリシーにする必要があるかどうかを判断します。役割の割り当てポリシーを作成したら、管理役割をその役割の割り当てポリシーに割り当て、次に役割の割り当てポリシーをメールボックスに割り当てます。後から管理役割の追加または削除を選択したり、既定にする別の役割の割り当てポリシーを選択したりできます。To add a new role assignment policy, you first create one and decide whether it should be the default role assignment policy. After you create a role assignment policy, you assign management roles to the role assignment policy, and then assign the role assignment policy to mailboxes. You can later choose to add or remove management roles or choose a different role assignment policy to be the default.

次の表は、役割の割り当てポリシー レイヤーと各レイヤーの管理に使用できる手順のトピックを示しています。The following table lists the role assignment policy layer and the procedural topics that you can use to manage each layer.

役割の割り当てポリシーの管理のトピックRole assignment policy management topics

役割の割り当てポリシーのモデル レイヤーRole assignment policy model layer 管理のトピックManagement topics

メールボックスMailbox

ユーザー メールボックスの管理Manage user mailboxes

メールボックスの割り当てポリシーを変更するChange the assignment policy on a mailbox

役割の割り当てポリシーRole assignment policy

役割の割り当てポリシーの管理Manage role assignment policies

管理役割および割り当てManagement roles and assignments

役割の割り当てポリシーの管理Manage role assignment policies

管理役割エントリManagement role entries

役割エントリを役割に追加するAdd a role entry to a role

役割エントリを変更するChange a role entry

役割から役割エントリを削除するRemove a role entry from a role

注意

役割の割り当てポリシーで管理役割の管理役割エントリを変更することは、高度なタスクで、通常ほとんどの場合は必要ありません。Changing the management role entries in management roles in a role assignment policy is an advanced task and is generally not required in most cases. 代わりに、要件に合った既存の管理役割を使用できる場合があります。You may, instead, be able to use a preexisting management role that suits your requirements. 詳細については、「組み込みの役割グループ」を参照してください。For more information, see Built-in role groups.