管理役割の割り当てについてUnderstanding management role assignments

製品: Exchange Server 2013Applies to: Exchange Server 2013

Microsoft Exchange Server 2013 の役割ベースのアクセス制御 (RBAC) アクセス許可モデルの一部である管理役割の割り当ては、管理役割と役割担当者の間のリンクです。A management role assignment, which is part of the Role Based Access Control (RBAC) permissions model in Microsoft Exchange Server 2013, is the link between a management role and a role assignee. 役割担当者は、役割グループ、役割の割り当てポリシー、ユーザー、またはユニバーサルセキュリティグループ (USG) です。A role assignee is a role group, role assignment policy, user, or universal security group (USG). 役割を有効にするには、役割を役割担当者に割り当てる必要があります。A role must be assigned to a role assignee for it to take effect. RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。For more information about RBAC, see Understanding Role Based Access Control.

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

このトピックでは、役割グループへの役割の割り当て、役割割り当てポリシー、ユーザーと Usg への直接の役割の割り当てについて説明します。This topic discusses the assignment of roles to role groups and role assignment policies and direct role assignment to users and USGs. ユーザーに対する役割グループまたは役割割り当てポリシーの割り当てについては説明しません。It doesn't talk about assignment of role groups or role assignment policies to users. ユーザーにアクセス許可を割り当てるための推奨方法である役割グループと役割割り当てポリシーの詳細については、以下のトピックを参照してください。For more information about role groups and role assignment policies, which are the recommended way to assign permissions to users, see the following topics:

次の役割の割り当ての種類を作成できます。この役割の割り当ての種類については、後で詳しく説明します。You can create the following types of role assignments, which are explained in detail later in this topic:

  • Regular and delegating role assignmentsRegular and delegating role assignments

  • Exclusive role assignmentsExclusive role assignments

役割割り当ての管理Managing role assignments

役割の割り当てを変更する場合、加えられる変更は、役割グループと役割割り当てポリシーの間になる可能性があります。When you change role assignments, the changes you make will probably be between role groups and role assignment policies. これらの役割担当者に対して、またはの役割の割り当てを追加、削除、または変更することにより、管理者とユーザーに与えるアクセス許可を制御することができます。これにより、関連する機能の管理の有効化と無効化が可能になります。By adding, removing, or modifying role assignments to or from these role assignees, you can control what permissions are given to your administrators and users, in effect turning on and off management of related features.

また、ユーザーまたは Usg に役割を直接割り当てることが必要になる場合もあります。You might also want to assign roles directly to users or USGs. これは、ユーザーに与えられるアクセス許可を詳細なレベルで定義できる、より高度なタスクです。This is a more advanced task that enables you to define at a granular level what permissions your users are given. これにより柔軟性が提供されますが、アクセス許可モデルの複雑さも増します。Although this provides you with flexibility, it also increases the complexity of your permissions model. たとえば、ユーザーがジョブを変更した場合、そのユーザーに割り当てられている役割を別のユーザーに手動で再割り当てする必要がある場合があります。For example, if the user changes jobs, you might need to manually reassign the roles assigned to that user to another user. このため、役割グループと役割割り当てポリシーを使用して、ユーザーにアクセス許可を付与することをお勧めします。This is why we recommend that you use role groups and role assignment policies to give permissions to your users. 役割を役割グループまたは役割割り当てポリシーに割り当て、役割グループのメンバーを追加または削除するか、必要に応じて役割割り当てポリシーを変更することができます。You can assign the roles to a role group or role assignment policy, and then just add or remove members of the role group, or change role assignment policies as needed.

役割の割り当てを追加、削除、および有効にしたり、既存の役割の割り当ての管理スコープを変更したり、役割の割り当てを他の役割の割り当て先に移動したりすることができます。You can add, remove, and enable role assignments, modify the management scope on an existing role assignment, and move role assignments to other role assignees. 役割グループ、役割割り当てポリシー、ユーザー、および Usg に役割を割り当てるプロセスは、役割担当者ごとに大きく異なります。The process of assigning roles to role groups, role assignment policies, users, and USGs is largely the same for each role assignee. 唯一の例外は次のとおりです。The following are the only exceptions:

  • 役割割り当てポリシーは、エンドユーザー管理役割にしか割り当てることができません。Role assignment policies can only be assigned end-user management roles.

  • 役割割り当てポリシーは、委任の役割割り当てに割り当てることはできません。Role assignment policies can't be assigned delegating role assignments.

  • 役割割り当てポリシーに役割の割り当てを作成する場合、管理スコープを指定することはできません。You can't specify a management scope when creating a role assignment to role assignment policies.

役割の割り当ての管理の詳細については、以下のトピックを参照してください。For more information about managing role assignments, see the following topics:

正規および委任の役割の割り当てRegular and delegating role assignments

正規の役割の割り当ては、役割担当者が、関連付けられた管理役割によって利用可能にされた管理役割エントリにアクセスできるようにします。Regular role assignments enable the role assignee to access the management role entries made available by the associated management role. 役割担当者に複数の管理役割が割り当てられている場合、各管理役割の管理役割エントリが集約されて適用されます。If multiple management roles are assigned to a role assignee, the management role entries from each management role are aggregated and applied. これは、役割担当者に対してトランスポートルールとジャーナリング役割が割り当てられている場合、役割が組み合わされ、関連付けられたすべての管理役割エントリが役割担当者に付与されることを意味します。This means that if a role assignee is assigned the Transport Rules and Journaling roles, the roles are combined, and all the associated management role entries are given to the role assignee. 役割担当者が役割グループまたは役割の割り当てポリシーである場合、役割によって提供されるアクセス許可が役割グループまたは役割の割り当てポリシーに割り当てられたユーザーに付与されます。If the role assignee is a role group or role assignment policy, the permissions provided by the roles are then given to the users assigned to the role group or role assignment policy. 管理役割と役割エントリの詳細については、「管理役割について」を参照してください。For more information about management roles and role entries, see Understanding management roles.

委任の役割の割り当ては、機能を管理するアクセス権を付与しません。Delegating role assignments doesn't give access to manage features. 委任役割割り当ては、役割担当者が、特定の役割を他の役割担当者に割り当てることができるようにします。Delegating role assignments gives a role assignee the ability to assign the specified role to other role assignees. 役割担当者が役割グループの場合、役割グループのメンバーは、その役割を別の役割担当者に割り当てることができます。If the role assignee is a role group, any member of the role group can assign the role to another role assignee. 既定では、組織の管理役割グループのみが、他の役割の担当者に役割を割り当てることができます。By default, only the Organization Management role group has the ability to assign roles to other role assignees. 既定では、Exchange 2013 をインストールしたユーザーのみが組織の管理役割グループのメンバーになります。Only the user that installed Exchange 2013 is a member of the Organization Management role group by default. ただし、必要に応じて他のユーザーをこの役割グループに追加したり、他の役割グループを作成して、それらのグループに委任の役割の割り当てを割り当てることができます。You can, however, add other users to this role group as needed, or create other role groups and assign delegating role assignments to those groups.

注意

役割割り当てを委任すると、役割担当者は管理役割を他の役割担当者に委任できるようになります。Delegating role assignments enables role assignees to delegate management roles to other role assignees. これにより、ユーザーは役割グループを委任できません。This doesn't enable users to delegate role groups. 役割グループの委任の詳細については、「管理役割グループについて」を参照してください。For more information about role group delegation, see Understanding management role groups.

ユーザーが機能を管理し、機能を使用するアクセス許可を与える役割を他のユーザーに与える場合は、以下の割り当てを行います。If you want a user to be able to manage a feature and assign the role that gives permissions to use the feature to other users, assign the following:

  1. 管理に必要な機能へのアクセスを与える各管理役割に対して、正規の役割の割り当てを行います。A regular role assignment for each management role that grants access to the features that need to be managed.

  2. 他の役割の被割り当て者に割り当てられるようにする各管理役割に対して、委任の役割の割り当てを行います。A delegating role assignment for each management role that you allow to be assigned to other role assignees.

役割担当者に対する正規および委任の役割の割り当ては、同一である必要はありません。The regular and delegating role assignments for a role assignee don't need to be identical. たとえば、ユーザーは、正規の役割の割り当てを使用して、トランスポートルールの役割が割り当てられた役割グループのメンバーであるとします。For example, a user is a member of a role group assigned the Transport Rules role using a regular role assignment. これにより、ユーザーはトランスポートルール機能を管理できるようになります。This enables the user to manage the Transport Rules feature. ただし、ユーザーは、この役割を他のユーザーに割り当てることができないように、ユーザーにはトランスポートルールの役割に対する委任の役割の割り当てが割り当てられていません。However the user isn't assigned a delegating role assignment for the Transport Rules role so the user can't assign this role to other users. ただし、ユーザーは、委任の役割の割り当てを使用して、ジャーナリング管理役割が割り当てられた役割グループのメンバーです。However, the user is a member of a role group assigned the Journaling management role using a delegating role assignment. ユーザーがメンバーになっている役割グループは、ジャーナリングの役割に対する正規の役割の割り当てを持っていませんが、委任の役割の割り当てを持っているため、ユーザーは他の役割の担当者に役割を割り当てることができます。The role group the user is a member of doesn't have a regular role assignment for the Journaling role but because it has a delegating role assignment, the user can assign the role to other role assignees.

管理スコープManagement scopes

正規または委任の管理役割の割り当てを作成する場合は、管理スコープを使用して割り当てを作成し、ユーザーが操作できるオブジェクトを制限することができます。When you create either a regular or delegating management role assignment, you have the option of creating the assignment with a management scope to limit the objects that the user can manipulate. 受信者スコープまたは構成スコープを作成できます。You can create recipient scopes or configuration scopes. 受信者のスコープを使用すると、メールボックス、メールユーザー、配布グループなどを操作できるユーザーを制御できます。Recipient scopes enable you to control who can manipulate mailboxes, mail users, distribution groups, and so on. 構成スコープを使用すると、サーバーとデータベースを操作できるユーザーを制御できます。Configuration scopes enable you to control who can manipulate servers and databases.

受信者と構成のスコープを使用すると、組織内のサーバー、データベース、または受信者オブジェクトの管理を分割することができます。Recipient and configuration scopes enable you to segment the management of server, database or recipient objects in your organization. たとえば、受信者の範囲を役割の割り当てに追加して、Vancouver の管理者が同じオフィスの受信者のみを管理できるようにすることができます。For example, a recipient scope can be added to a role assignment so that administrators in Vancouver can only manage recipients in the same office. サーバー構成スコープを別の役割割り当てに追加して、シドニーの管理者が Active Directory サイト内のサーバーのみを管理できるようにすることができます。A server configuration scope could be added to a different role assignment so that administrators in Sydney can only manage servers in their Active Directory site.

スコープを使用すると、アクセス許可をユーザーのグループに割り当て、管理者が管理を実行できる場所を指示できます。Scopes enable permissions to be assigned to groups of users and enable you to direct where those administrators can perform their administration. これにより、地理的または組織的な境界に対応するアクセス許可モデルを作成できます。This enables you to create a permissions model that maps to your geographic or organizational boundaries.

定義済みスコープを持つ割り当てを作成するか、割り当てにカスタムスコープを追加することができます。You can create an assignment with a predefined scope, or you can add a custom scope to the assignment. ユーザーを自分のメールボックスまたは配布グループのみに制限するなどの定義済みスコープは、割り当て自体で利用可能なオプションを使用して適用できます。Predefined scopes, such as limiting a user to only his or her mailbox or distribution groups, can be applied using options available on the assignment itself. または、カスタムの受信者または構成のスコープを作成し、そのスコープを役割の割り当てに追加することもできます。Alternatively, you can create a custom recipient or configuration scope, and then add that scope to the role assignment. カスタムスコープを使用すると、スコープに含めるオブジェクトをよりきめ細かく指定できます。Custom scopes give you more granularity over which objects are included in the scope.

定義済みおよびカスタムのスコープを同じ割り当てで指定することはできません。You can't specify predefined and custom scopes on the same assignment. また、同一の割り当てに排他的なスコープと正規のスコープを混在させることはできません。You also can't mix exclusive and regular scopes on the same assignment.

各役割の割り当てには、1つの受信者スコープと1つの構成スコープのみを含めることができます。Each role assignment can only have one recipient scope and one configuration scope. 複数の受信者スコープまたは1つの構成スコープを同じ管理役割の役割担当者に適用する場合は、複数の役割の割り当てを作成する必要があります。If you want to apply more than one recipient scope, or one configuration scope, to a role assignee for the same management role, you must create multiple role assignments.

カスタムまたは事前定義されたスコープのどちらもない場合、役割の割り当ては、その役割自体に定義されている受信者および構成スコープに制限されます。With neither a custom or predefined scope, role assignments are limited to the recipient and configuration scopes that are defined on the role itself. これらのスコープは暗黙的スコープと呼ばれます。These scopes are called implicit scopes. 定義済みまたはカスタムのスコープを持たない役割割り当ては、関連付けられている役割から暗黙的スコープを継承します。Any role assignment that doesn't have a predefined or custom scope inherits the implicit scopes from the role it's associated with.

スコープの詳細については、「 管理役割スコープについて」を参照してください。For more information about scopes, see Understanding management role scopes.

排他的な役割の割り当てExclusive role assignments

排他スコープを役割の割り当てに関連付けると、排他的な役割の割り当てが作成されます。Exclusive role assignments are created when you associate an exclusive scope with a role assignment. 排他的スコープは、正規のスコープと同じように機能し、役割担当者が排他スコープに一致する受信者を管理できるようにします。Exclusive scopes work like regular scopes and enable role assignees to manage recipients that match the exclusive scope. ただし、通常のスコープとは異なり、他のすべての役割担当者は、自分の役割の割り当てに適用されているスコープと一致する受信者がいる場合でも、受信者を管理する機能を拒否されます。However, unlike regular scopes, all other role assignees are denied the ability to manage the recipient, even if the recipient matches scopes applied to their role assignments. これは、複数の管理者に対して受信者を管理できるユーザーを制限する場合に便利です。This can be useful when you want to limit who can manage a recipient to a few administrators. 特定の管理者のみが受信者を管理できるため、他のすべての管理者がアクセスを拒否されます。Only those specific administrators can manage the recipient, and all other administrators are denied access.

たとえば、次の内容を考慮します。For example, consider the following:

  • John は Contoso のエグゼクティブです。John is an executive at Contoso. 自分のメールボックスは VIP ユーザーと呼ばれる排他的スコープに一致します。これは、VIP 制限の排他的割り当てに関連付けられています。His mailbox matches an exclusive scope called VIP Users, which is associated with the VIP Restricted exclusive assignment.

  • John のメールボックスはまた、"Redmond Users/Redmond ユーザー" という名前の正規のスコープにも含まれ、このスコープは、"Redmond Administration/Redmond 管理" という正規の割り当てに関連付けられます。John's mailbox is also included in a regular scope called Redmond Users, which is associated with the Redmond Administration regular assignment.

  • Bill は、"VIP Restricted/VIP 制限" という排他的な割り当てに関連付けられている管理者です。Bill is an administrator who is associated with the VIP Restricted exclusive assignment.

  • Chris は、"Redmond Administration/Redmond 管理" という正規の役割に関連付けられています。Chris is an administrator who is associated with the Redmond Administration regular assignment.

John のメールボックスは VIP ユーザーの排他的スコープに一致するので、請求書のみが自分のメールボックスを管理できます。Because John's mailbox matches the VIP Users exclusive scope, only Bill can manage his mailbox. John のメールボックスも Redmond ユーザーの正規のスコープと一致しているにもかかわらず、Chris は VIP 制限の排他的割り当てと関連付けられていません。Even though John's mailbox also matches the Redmond Users regular scope, Chris isn't associated with the VIP Restricted exclusive assignment. そのため、Exchange は Chris のメールボックスを管理する機能を拒否します。Therefore, Exchange denies Chris the ability to manage John's mailbox. Chris が John のメールボックスを管理できるようにするには、鈴木のメールボックスと一致する排他的なスコープを持つ排他的な割り当てを山口に割り当てる必要があります。For Chris to manage John's mailbox, Chris needs to be assigned an exclusive assignment that has an exclusive scope that matches John's mailbox.

詳細については、「排他スコープについて」を参照してください。For more information, see Understanding exclusive scopes.