管理役割の割り当てについてUnderstanding management role assignments

に適用されます: オンラインの交換、Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

管理役割の割り当て、Microsoft Exchange Server 2013 での役割ベースのアクセス制御 (RBAC) アクセス許可モデルの一部であるは、管理の役割と役割の割り当て先との間のリンクです。の役割のタスク実施者は、役割グループ、役割の割り当てポリシー、ユーザー、またはユニバーサル セキュリティ グループ (USG) です。ロールは、ロールのタスク実施者を有効にすることを割り当てる必要があります。RBAC の詳細については、役割ベースのアクセス制御とを参照してください。A management role assignment, which is part of the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013, is the link between a management role and a role assignee. A role assignee is a role group, role assignment policy, user, or universal security group (USG). A role must be assigned to a role assignee for it to take effect. For more information about RBAC, see Understanding Role Based Access Control.

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

このトピックでは、役割グループと役割の割り当てポリシーに役割の割り当て、およびユーザーと Usg への直接の役割の割り当てについて説明します。それについては、役割グループまたはユーザーを役割の割り当てポリシーの割り当てについて説明します。役割グループと役割の割り当てポリシーは、ユーザーにアクセス許可を割り当てる方法として推奨されるは、詳細については、次のトピックを参照してください。This topic discusses the assignment of roles to role groups and role assignment policies and direct role assignment to users and USGs. It doesn't talk about assignment of role groups or role assignment policies to users. For more information about role groups and role assignment policies, which are the recommended way to assign permissions to users, see the following topics:

次の役割の割り当ての種類を作成できます。この役割の割り当ての種類については、後で詳しく説明します。You can create the following types of role assignments, which are explained in detail later in this topic:

  • 正規および委任の役割の割り当てRegular and delegating role assignments

  • 排他的な役割の割り当てExclusive role assignments

役割割り当ての管理Managing role assignments

役割の割り当てを変更すると、変更を加えては役割グループと役割の割り当てポリシーの間で.追加すると、削除、またはこれらの役割の割り当て先との間の役割の割り当ての変更を制御できます、管理者およびユーザーは、有効でオン/オフは、関連する機能の管理にどのようなアクセス許可が与えられます。When you change role assignments, the changes you make will probably be between role groups and role assignment policies. By adding, removing, or modifying role assignments to or from these role assignees, you can control what permissions are given to your administrators and users, in effect turning on and off management of related features.

ロールを割り当てるユーザーまたは Usg に直接することもできます。これより高度なタスク、ユーザーが指定したアクセス許可をより細かいレベルで定義することができます。これを使うと、柔軟性、アクセス許可モデルの複雑性も高くなります。たとえば、ユーザーは、ジョブを変更する場合は、手動で別のユーザーにそのユーザーに割り当てられているロールを再割り当てする必要があります。これは、ユーザーに与えるアクセス許可、役割グループと役割の割り当てポリシーを使用することをお勧めします。役割グループまたは役割の割り当てポリシーにロールを割り当てると、だけを追加または役割グループのメンバーを削除したり必要に応じて、役割の割り当てポリシーを変更できます。You might also want to assign roles directly to users or USGs. This is a more advanced task that enables you to define at a granular level what permissions your users are given. Although this provides you with flexibility, it also increases the complexity of your permissions model. For example, if the user changes jobs, you might need to manually reassign the roles assigned to that user to another user. This is why we recommend that you use role groups and role assignment policies to give permissions to your users. You can assign the roles to a role group or role assignment policy, and then just add or remove members of the role group, or change role assignment policies as needed.

追加することができますを削除するロールの割り当てを有効にする、既存のロールの割り当ての管理スコープを変更してロールの割り当てを他の役割の割り当て先に移動します。役割グループ、役割の割り当てポリシー、ユーザー、および Usg に役割を割り当てるプロセスは、ほぼ各役割の割り当て先と同じです。唯一の例外は、次のように。You can add, remove, and enable role assignments, modify the management scope on an existing role assignment, and move role assignments to other role assignees. The process of assigning roles to role groups, role assignment policies, users, and USGs is largely the same for each role assignee. The following are the only exceptions:

  • 役割割り当てポリシーは、エンドユーザー管理役割にしか割り当てることができません。Role assignment policies can only be assigned end-user management roles.

  • 役割割り当てポリシーは、委任の役割割り当てに割り当てることはできません。Role assignment policies can't be assigned delegating role assignments.

  • 役割割り当てポリシーに役割の割り当てを作成する場合、管理スコープを指定することはできません。You can't specify a management scope when creating a role assignment to role assignment policies.

役割の割り当ての管理の詳細については、以下のトピックを参照してください。For more information about managing role assignments, see the following topics:

正規および委任の役割の割り当てRegular and delegating role assignments

正規の役割の割り当ては、関連付けられている管理役割によって提供される管理役割のエントリにアクセスするロールの割り当て先を有効にします。ロールのタスク実施者には、複数の管理役割が割り当てられている、各管理役割の管理役割エントリが集約し、適用されます。つまり、ロールのタスク実施者は、トランスポート ルールとジャーナルの役割に割り当てられているが場合、役割を組み合わせると、関連付けられている管理役割のすべてのエントリは、ロールのタスク実施者に与えられます。ロールのタスク実施者が役割グループまたは役割の割り当てポリシーの場合は、ロールによって提供されるアクセス許可が、役割グループまたは役割の割り当てポリシーに割り当てられているユーザーに与えられます。管理の役割と役割のエントリの詳細については、管理役割の理解を参照してください。Regular role assignments enable the role assignee to access the management role entries made available by the associated management role. If multiple management roles are assigned to a role assignee, the management role entries from each management role are aggregated and applied. This means that if a role assignee is assigned the Transport Rules and Journaling roles, the roles are combined, and all the associated management role entries are given to the role assignee. If the role assignee is a role group or role assignment policy, the permissions provided by the roles are then given to the users assigned to the role group or role assignment policy. For more information about management roles and role entries, see Understanding management roles.

役割の割り当てを委任すると、管理機能へのアクセスが得られない。役割の割り当てを委任すると、他のロールのタスク実施者に指定されたロールを割り当てるには機能、役割の割り当て先が与えられます。ロールのタスク実施者が役割グループの場合は、役割グループのメンバーは、別のロールのタスク実施者にロールを割り当てることができます。既定では、組織の管理の役割グループは、他の役割の割り当て先にロールを割り当てる機能を持っています。Exchange 2013 をインストールしたユーザーは、既定の組織の管理役割グループのメンバーです。、ただし、このロール グループの必要に応じて、他のユーザーを追加またはその他の役割グループを作成してそれらのグループに委任の役割の割り当てを割り当てます。Delegating role assignments doesn't give access to manage features. Delegating role assignments gives a role assignee the ability to assign the specified role to other role assignees. If the role assignee is a role group, any member of the role group can assign the role to another role assignee. By default, only the Organization Management role group has the ability to assign roles to other role assignees. Only the user that installed Exchange 2013 is a member of the Organization Management role group by default. You can, however, add other users to this role group as needed, or create other role groups and assign delegating role assignments to those groups.

注意

役割の割り当てを委任するに他のロールの割り当て先の管理役割を委任する役割の割り当て先が有効にします。役割グループを委任するユーザーを有効にするこのしません。役割グループの委任の詳細については、 「管理役割グループを参照してください。Delegating role assignments enables role assignees to delegate management roles to other role assignees. This doesn't enable users to delegate role groups. For more information about role group delegation, see Understanding management role groups.

ユーザーが機能を管理し、機能を使用するアクセス許可を与える役割を他のユーザーに与える場合は、以下の割り当てを行います。If you want a user to be able to manage a feature and assign the role that gives permissions to use the feature to other users, assign the following:

  1. 管理に必要な機能へのアクセスを与える各管理役割に対して、正規の役割の割り当てを行います。A regular role assignment for each management role that grants access to the features that need to be managed.

  2. 他の役割の被割り当て者に割り当てられるようにする各管理役割に対して、委任の役割の割り当てを行います。A delegating role assignment for each management role that you allow to be assigned to other role assignees.

標準および役割の割り当て先のロールの割り当てを委任する必要はありませんと同じものです。たとえば、ユーザーは、正規の役割の割り当てを使用してトランスポート ルール役割を割り当てられている役割グループのメンバーです。トランスポート ルール機能を管理するためにこれを使用できます。ただしユーザーがこの役割を他のユーザーに割り当てることはできませんので、ユーザーはトランスポート ルールの役割の委任の役割の割り当てに割り当てされていません。ただし、ユーザーは、委任の役割の割り当てを使用して履歴管理の役割を割り当てられている役割グループのメンバーです。役割グループのメンバーであるユーザーの履歴作成機能の役割の通常の役割の割り当てはありませんが、ユーザーが他の役割の割り当て先にロールを割り当てることができます、委任の役割の割り当てがあるためです。The regular and delegating role assignments for a role assignee don't need to be identical. For example, a user is a member of a role group assigned the Transport Rules role using a regular role assignment. This enables the user to manage the Transport Rules feature. However the user isn't assigned a delegating role assignment for the Transport Rules role so the user can't assign this role to other users. However, the user is a member of a role group assigned the Journaling management role using a delegating role assignment. The role group the user is a member of doesn't have a regular role assignment for the Journaling role but because it has a delegating role assignment, the user can assign the role to other role assignees.

管理スコープManagement scopes

標準または管理役割の割り当てを委任することのいずれかを作成するとき、ユーザーが操作できるオブジェクトを制限する管理スコープの割り当てを作成するオプションがあります。受信者スコープまたは構成スコープを作成することができます。受信者のスコープを使用すると、メールボックス、メール ユーザー、配布グループ、およびように操作できるユーザーを制御できます。構成スコープを使用すると、サーバーとデータベースを操作できるユーザーを制御できます。When you create either a regular or delegating management role assignment, you have the option of creating the assignment with a management scope to limit the objects that the user can manipulate. You can create recipient scopes or configuration scopes. Recipient scopes enable you to control who can manipulate mailboxes, mail users, distribution groups, and so on. Configuration scopes enable you to control who can manipulate servers and databases.

受信者と構成のスコープは、サーバー、データベース、または組織内の受信者オブジェクトの管理を分割することを有効にします。たとえば、受信者の範囲はバンクーバーの管理者は同じオフィス内の受信者のみを管理できますように、役割の割り当てを追加できます。サーバー構成のスコープは、シドニーの管理者は、Active Directory サイト内のサーバーのみを管理できますように、さまざまな役割の割り当てに追加でした。Recipient and configuration scopes enable you to segment the management of server, database or recipient objects in your organization. For example, a recipient scope can be added to a role assignment so that administrators in Vancouver can only manage recipients in the same office. A server configuration scope could be added to a different role assignment so that administrators in Sydney can only manage servers in their Active Directory site.

スコープは、ユーザーのグループに割り当てられ、これらの管理者が、管理を実行する場所を指示することを有効にするへのアクセス許可を有効にします。これにより、組織の地理的な境界に対応するアクセス許可モデルを作成することができます。Scopes enable permissions to be assigned to groups of users and enable you to direct where those administrators can perform their administration. This enables you to create a permissions model that maps to your geographic or organizational boundaries.

割り当てを作成するには定義済みのスコープを持つ、または割り当てにカスタムのスコープを追加することができます。自体の割り当てで使用可能なオプションを使用して、ユーザーが自分のメールボックスまたは配布グループのみを制限することなど、定義済みのスコープを適用できます。または、カスタム受信者または構成のスコープを作成し、役割の割り当てにそのスコープを追加できます。カスタムのスコープでは、スコープ内に使用されるオブジェクトが含まれている複数の粒度を提供します。You can create an assignment with a predefined scope, or you can add a custom scope to the assignment. Predefined scopes, such as limiting a user to only his or her mailbox or distribution groups, can be applied using options available on the assignment itself. Alternatively, you can create a custom recipient or configuration scope, and then add that scope to the role assignment. Custom scopes give you more granularity over which objects are included in the scope.

同じ割り当ての定義済みおよびカスタムのスコープを指定できません。同じ割り当ての排他モードと通常のスコープを混在することはできません。You can't specify predefined and custom scopes on the same assignment. You also can't mix exclusive and regular scopes on the same assignment.

各役割の割り当てには、1 つの受信者スコープと構成は 1 つのスコープだけを保持できます。同じ管理役割の役割の割り当て先を 1 つ以上の受信者の範囲、または 1 つの構成のスコープを適用する場合は、複数のロールの割り当てを作成する必要があります。Each role assignment can only have one recipient scope and one configuration scope. If you want to apply more than one recipient scope, or one configuration scope, to a role assignee for the same management role, you must create multiple role assignments.

どちらも、ユーザー定義または定義済みのスコープ、役割の割り当て役割自体で定義されている受信者と構成のスコープに制限されます。これらのスコープは、暗黙のスコープと呼ばれます。定義済みまたはカスタムのスコープを持たない役割の割り当てに関連付けられている役割から暗黙のスコープを継承します。With neither a custom or predefined scope, role assignments are limited to the recipient and configuration scopes that are defined on the role itself. These scopes are called implicit scopes. Any role assignment that doesn't have a predefined or custom scope inherits the implicit scopes from the role it's associated with.

スコープの詳細については、「管理役割スコープについて」を参照してください。For more information about scopes, see Understanding management role scopes.

排他的な役割の割り当てExclusive role assignments

排他的スコープを役割の割り当てに関連付ける場合は、排他的な役割の割り当てが作成されます。排他的なスコープでは、正規のスコープと同じように動作し、排他的なスコープに一致する受信者を管理する役割の割り当て先を有効にします。ただし、正規のスコープとは異なり、他のすべての役割の割り当て先、受信者を管理することは拒否した場合、受信者がその役割の割り当てに適用されているスコープと一致する場合でもに。これは、管理者が、いくつかの受信者を管理できるユーザーを制限する場合に役立ちます。これらの特定の管理者のみが、受信者を管理でき、他のすべての管理者がアクセスが拒否されます。Exclusive role assignments are created when you associate an exclusive scope with a role assignment. Exclusive scopes work like regular scopes and enable role assignees to manage recipients that match the exclusive scope. However, unlike regular scopes, all other role assignees are denied the ability to manage the recipient, even if the recipient matches scopes applied to their role assignments. This can be useful when you want to limit who can manage a recipient to a few administrators. Only those specific administrators can manage the recipient, and all other administrators are denied access.

たとえば、次のような場合を考えてみましょう。For example, consider the following:

  • ジョンは、contoso 社で経営幹部です。自分のメールボックスでは、排他的な VIP の制限の割り当てに関連付けられている VIP のユーザーと呼ばれる、排他的なスコープと一致します。John is an executive at Contoso. His mailbox matches an exclusive scope called VIP Users, which is associated with the VIP Restricted exclusive assignment.

  • John のメールボックスはまた、"Redmond Users/Redmond ユーザー" という名前の正規のスコープにも含まれ、このスコープは、"Redmond Administration/Redmond 管理" という正規の割り当てに関連付けられます。John's mailbox is also included in a regular scope called Redmond Users, which is associated with the Redmond Administration regular assignment.

  • Bill は、"VIP Restricted/VIP 制限" という排他的な割り当てに関連付けられている管理者です。Bill is an administrator who is associated with the VIP Restricted exclusive assignment.

  • Chris は、"Redmond Administration/Redmond 管理" という正規の役割に関連付けられています。Chris is an administrator who is associated with the Redmond Administration regular assignment.

John のメールボックスには、VIP ユーザーの排他的なスコープと一致する、ためだけの部品は自分のメールボックスを管理できます。John のメールボックスには、レドモンドのユーザーの通常範囲も一致すると、山口さんが関連付けられていない VIP 限定の排他的割り当て。したがって、Exchange を拒否 Chris John のメールボックスを管理する機能。John のメールボックスを管理する松田さん、小川さん、John のメールボックスに一致する排他的スコープを持つ排他的な割り当てが割り当てられる必要があります。Because John's mailbox matches the VIP Users exclusive scope, only Bill can manage his mailbox. Even though John's mailbox also matches the Redmond Users regular scope, Chris isn't associated with the VIP Restricted exclusive assignment. Therefore, Exchange denies Chris the ability to manage John's mailbox. For Chris to manage John's mailbox, Chris needs to be assigned an exclusive assignment that has an exclusive scope that matches John's mailbox.

詳細については、「排他スコープについて」を参照してください。For more information, see Understanding exclusive scopes.