管理ロールのスコープ フィルターについてUnderstanding management role scope filters

製品: Exchange Server 2013Applies to: Exchange Server 2013

管理役割スコープ フィルターを使用すると、容易にカスタマイズできる管理スコープを定義できます。スコープ フィルターを使用すると、受信者、データベース、サーバーを区分して、管理者がアクセスする必要があるオブジェクトのみ管理できるようにするスコープを作成できます。スコープ フィルターは、ほぼすべての受信者、データベース、またはサーバー オブジェクトのプロパティを使用できます。Management role scope filters can be used to define management scopes that are highly customizable. Using scope filters, you can create a scope that matches how you segment your recipients, databases, and servers so that administrators can manage only those objects they should have access to. Scope filters can use nearly any recipient, database, or server object property.

管理役割スコープ フィルターを使用するには、管理役割スコープを十分に理解しておく必要があります。管理役割スコープの詳細については、「管理役割スコープについて」を参照してください。To use management role scope filters, you must be familiar with management role scopes. For more information about management role scopes, see Understanding management role scopes.

Microsoft Exchange Server 2013 でのフィルター処理カスタム スコープは、 New-ManagementScope コマンドレットを使用して作成します。受信者と構成という 2 種類のフィルター処理スコープ (サーバーおよびデータベースのスコープから構成) は、通常スコープと排他的スコープに分かれています。次の一覧に、フィルター処理スコープのそれぞれの種類を作成するために使用する New-ManagementScope コマンドレットのパラメーターを示します。Filtered custom scopes in Microsoft Exchange Server 2013 are created by using the New-ManagementScope cmdlet. The two types of filtered scopes, recipient and configuration (which consists of server and database scopes), are divided into regular scopes and exclusive scopes. The following list shows which parameter on the New-ManagementScope cmdlet to use to create each type of filtered scope:

  • 受信者の通常のフィルター処理スコープ: この種類のフィルター処理されたスコープを作成するには 、RecipientRestrictionFilter パラメーターを使用 します。Recipient regular filtered scope: To create this type of filtered scope, use the RecipientRestrictionFilter parameter.

  • 受信者排他的フィルタースコープ: この種類のフィルター処理されたスコープを作成するには 、RecipientRestrictionFilter パラメーターと排他スイッチを 使用 します。Recipient exclusive filtered scope: To create this type of filtered scope, use the RecipientRestrictionFilter parameter along with the Exclusive switch.

  • サーバー ベースの構成の通常のフィルター処理スコープ: この種類のフィルター処理されたスコープを作成するには 、ServerRestrictionFilter パラメーターを使用 します。Server-based configuration regular filtered scope: To create this type of filtered scope, use the ServerRestrictionFilter parameter.

  • サーバー ベースの構成排他的 フィルタースコープ : この種類のフィルター処理されたスコープを作成するには、排他的スイッチと共に ServerRestrictionFilter パラメーター を使用 します。Server-based configuration exclusive filtered scope: To create this type of filtered scope, use the ServerRestrictionFilter parameter along with the Exclusive switch.

  • データベース ベースの構成の通常のフィルター処理スコープ: この種類のフィルター処理されたスコープを作成するには 、DatabaseRestrictionFilter パラメーターを使用 します。Database-based configuration regular filtered scope: To create this type of filtered scope, use the DatabaseRestrictionFilter parameter.

  • データベース ベースの構成排他的フィルター スコープ : この種類のフィルター処理されたスコープを作成するには、排他的スイッチと共に DatabaseRestrictionFilter パラメーター を使用 します。Database-based configuration exclusive filtered scope: To create this type of filtered scope, use the DatabaseRestrictionFilter parameter along with the Exclusive switch.

フィルター処理カスタム スコープを作成すると、そのスコープは、フィルターを管理役割の暗黙の読み取りスコープ内でアクセス可能なオブジェクトと照合しようとします。オブジェクトが見つかった場合、そのオブジェクトはフィルターによって返される結果に含まれ、カスタム スコープによって管理役割が利用できるようになります。フィルターは、管理役割の暗黙の読み取りスコープ外にある結果を返すことはできません。When you create a filtered custom scope, the scope attempts to match the filter with any objects accessible within the implicit read scope of the management role. If an object is found, it's included in the results returned by the filter, and the object is made available to the management role by the custom scope. A filter can't return results that are outside of the implicit read scope of the management role.

RecipientRestrictionFilter パラメーターを使用して受信者フィルターを指定する場合は 、RecipientRoot パラメーターを使用して、フィルターを制限する組織単位 (OU) を指定できます。If you specify a recipient filter using the RecipientRestrictionFilter parameter, you can use the RecipientRoot parameter to specify an organizational unit (OU) to restrict the filter to. RecipientRoot パラメーターに OU を指定すると、受信者フィルターは、暗黙的な読み取りスコープ全体ではなく、その OU にのみ存在する受信者の一致を試行します。When you specify an OU in the RecipientRoot parameter, the recipient filter attempts to match recipients that reside in that OU only, rather than within the entire implicit read scope.

このトピックで説明するフィルター可能なプロパティを使用した管理スコープの作成については、「通常または排他スコープを作成する」を参照してください。To create a management scope using the filterable properties included in this topic, see Create a regular or exclusive scope.

フィルターの構文Filter syntax

受信者フィルターと構成フィルターのどちらも、同じ構文を使用してフィルター クエリを作成します。すべてのフィルター クエリには、少なくとも次の構成要素が必要になります。Both recipient and configuration filters use the same syntax to create a filter query. All filter queries must have, at minimum, the following components:

  • 開始かっこ: 開始かっこ ({) は、フィルター クエリの開始位置を示します。Opening bracket: The opening brace ({) indicates the start of the filter query.

  • 調べるプロパティ: プロパティは、テストするオブジェクトの値です。Property to examine: The property is the value on an object that you want to test. たとえば、受信者オブジェクトの市区町村や部門であったり、サーバー構成オブジェクトの Active Directory サイト名やサーバー名であったり、または、データベース構成オブジェクトのデータベース名であったりします。For example, this can be the city or department on a recipient object, an Active Directory site name or server name on a server configuration object, or a database name on a database configuration object.

  • 比較演算子: 比較演算子は、指定した値をプロパティに格納されている値と比較してクエリがどのように評価されるのか指示します。Comparison operator: The comparison operator directs how the query should evaluate the value that you specify against the value that's stored in the property. たとえば、比較演算子には、 Eq (等しい)、 Ne (等しくない)、または Like (類似している) などを指定できます。For example, comparison operators can be Eq, which means equal to; Ne, which means not equal to; Like, which means similar to, and so on. Exchange 管理シェルで使用できる演算子の完全な一覧については、「比較演算子」 を参照してくださいFor a full list of operators that you can use in the Exchange Management Shell, see Comparison operators.

  • 比較する値: フィルター クエリで指定した値は、指定したプロパティに格納されている値と比較されます。Value to compare: The value you specify in the filter query will be compared to the value that's stored in the property you specified. 指定した値は、二重引用符 (' ') で囲む必要があります。The value you specify must be enclosed in quotation marks ("). 部分文字列を指定する場合、指定する文字列をワイルドカード文字 (*) で囲み、 Like などのワイルドカード文字をサポートしている比較演算子を使用できます。If you want to specify a partial string, you can enclose the string you provide in wildcard characters (*) and use a comparison operator that supports wildcard characters, such as Like. 部分文字列を含む任意の文字列は、フィルター クエリと一致します。Any string that contains the partial string will match the filter query.

  • 閉じかっこ: 中かっこ (}) は、フィルター クエリの終了を示します。Closing bracket: The closing brace (}) indicates the end of the filter query.

次の構成要素はオプションで、より複雑なフィルター クエリを作成できます。The following components are optional and enable you to create more complex filter queries:

  • かっこ: フィルター クエリの数学、かっこ、( )のように、操作が発生する順序を強制的に指定できます。Parentheses: As in mathematics, parentheses, ( ), in a filter query enable you to force the order in which an operation occurs. フィルター クエリでは、一番内側のかっこが最初に評価され、順次一番外側のかっこまで評価されます。Innermost parentheses are evaluated first and the filter query works outward to the outermost parentheses.

  • 論理演算子: 論理演算子は、1 つ以上の比較操作を結び付け、ステートメント全体を評価するためにフィルター クエリを必要とします。Logical operators: Logical operators tie together one or more comparison operations and require the filter query to evaluate the entire statement. たとえば、論理演算子には、 AndOrNot などがあります。For example, logical operators include And, Or, and Not.

まとめる場合、単純なクエリは次のように見えます { City -Eq "Vancouver" }When put together, a simple query looks like { City -Eq "Vancouver" }. このフィルターは、 City プロパティの値が文字列 "Vancouver" に等しい受信者と一致します。This filter matches any recipient where the value in the property City equals the string "Vancouver".

もう 1 つの、より複雑なクエリは {((City -Eq "Vancouver") -And (Department -Eq "Sales")) -Or (Title -Like "*Manager*")} です。Another, more complex, query is {((City -Eq "Vancouver") -And (Department -Eq "Sales")) -Or (Title -Like "*Manager*")}. このフィルター クエリは、次の順序で評価されます。The filter query is evaluated in the following order:

  1. City プロパティと Department プロパティが評価されます。The properties City and Department are evaluated. 各プロパティに格納されている値に応じて、それぞれ True False またはに設定されます。Each is set to either True or False, depending on the values stored in each property.

  2. 次に、 City および Department の各ステートメントの結果が評価されます。The results of the City and Department statements are then evaluated. 両方が指定されている True 場合 、And ステートメント全体が True .If both are True, the entire And statement becomes True. 一方または両方が指定されている False 場合 、And ステートメント全体が False .If one or both are False, the entire And statement becomes False. 次の事項が適用されます。The following applies:

    • And ステートメント が次のように 評価された場合、フィルター クエリ全体は、Or 演算子がクエリの一方の側、またはもう一方が必要と示すので True True 、 になります TrueIf the And statement evaluates as True, the entire filter query becomes True because the Or operator indicates that one side of the query, or the other, must be True. オブジェクトは役割の割り当てに公開されます。The object is exposed to the role assignment.

    • And ステートメント が指定 されている False 場合、フィルター クエリは Title プロパティを評価するために 続行 されます。If the And statement is False, the filter query continues on to evaluate the Title property.

  3. に、Title プロパティが評価されます。The Title property is then evaluated. Title プロパティに格納されている値に応じて、またはに True False 設定 されます。It's set to True or False, depending on the value that's stored in the Title property. 次の事項が適用されます。The following applies:

    • Title プロパティ が次のように 評価される場合、フィルター クエリ全体は、Or 演算子がクエリの一方の側、またはもう一方を示す必要があるから True True になります TrueIf the Title property evaluates as True, the entire filter query becomes True because the Or operator indicates that one side of the query, or the other, must be True. オブジェクトは役割の割り当てに公開されます。The object is exposed to the role assignment.

    • Title プロパティ が次のように 評価された場合、フィルター クエリ全体が評価され、オブジェクトは役割の割り当て False False に公開されません。If the Title property evaluates as False, the entire filter query evaluates as False, and the object isn't exposed to the role assignment.

次の表に、複雑なクエリがいつ評価されるか、いつとして評価されるかを示す値の例 True を示します FalseThe following table shows an example with values, which indicates when the complex query would evaluate as True, and when it would evaluate as False.

複雑なクエリComplex query

都市City DepartmentDepartment TitleTitle 結果Result

Vancouver (True)Vancouver (True)

Sales (True)Sales (True)

CEO (False)CEO (False)

True ( City および Department の両方が True と評価されたため)。 Title は、フィルター クエリ条件が既に満たされているため、評価されません。 True because both City and Department evaluated as True. Title isn't evaluated because the filter query conditions are already satisfied.

Seattle (False)Seattle (False)

Sales (True)Sales (True)

IT Manager (True)IT Manager (True)

True ( Title が True と評価されたため)。 CityDepartment の比較の結果は、破棄されます。 Title が True と評価され、フィルター クエリ条件が満たされたためです。 True because Title evaluated as True. The results of the City and Department comparison are discarded because Title evaluated as True, which satisfied the filter query conditions.

注意

IT Manager は、フィルター クエリに一致します。その理由は、Like 比較演算子が使用されていて、フィルター クエリにワイルドカード文字 (*) が使用されているため、部分文字列に一致するからです。IT Manager matches the filter query because the Like comparison operator was used, which matches partial strings when wildcard characters (*) are used in the filter query.

Vancouver (True)Vancouver (True)

Marketing (False)Marketing (False)

Writer (False)Writer (False)

False ( CityDepartment の両方が True と評価されず、かつ Title も True と評価されていないため)。False because City and Department didn't both evaluate as True, and Title also didn't evaluate as True.

フィルター処理可能な受信者プロパティFilterable recipient properties

受信者フィルターを作成する場合、受信者オブジェクト上のほとんどすべてのプロパティを使用できます。You can use almost any property on a recipient object when you create a recipient filter. フィルター可能な受信者プロパティの一覧については 、「-RecipientFilter パラメーターのフィルター可能なプロパティ」を参照してくださいFor a list of filterable recipient properties, see Filterable properties for the -RecipientFilter parameter. このトピックでは、他のコマンドレットの RecipientFilter パラメーターで使用できるプロパティについて説明しますが、これらのプロパティの大部分は 、New-ManagementScope コマンドレットの RecipientRestrictionFilter パラメーターでも機能します。Although this topic discusses the properties that can be used with the RecipientFilter parameter on other cmdlets, most of these properties also work with the RecipientRestrictionFilter parameter on the New-ManagementScope cmdlet.

フィルター処理可能なサーバー プロパティFilterable server properties

ServerRestrictionFilter パラメーターを使用して管理スコープを作成する場合は、次のサーバー プロパティを使用できます。You can use the following server properties when you create a management scope with the ServerRestrictionFilter parameter:

  • CurrentServerRoleCurrentServerRole

  • CustomerFeedbackEnabledCustomerFeedbackEnabled

  • DataPathDataPath

  • DistinguishedNameDistinguishedName

  • ExchangeLegacyDNExchangeLegacyDN

  • ExchangeLegacyServerRoleExchangeLegacyServerRole

  • ExchangeVersionExchangeVersion

  • FqdnFqdn

  • GuidGuid

  • InternetWebProxyInternetWebProxy

  • NameName

  • NetworkAddressNetworkAddress

  • ObjectCategoryObjectCategory

  • ObjectClassObjectClass

  • ProductIDProductID

  • ServerRoleServerRole

  • ServerSiteServerSite

  • WhenChangedWhenChanged

  • WhenChangedUTCWhenChangedUTC

  • WhenCreatedWhenCreated

  • WhenCreatedUTCWhenCreatedUTC

フィルター処理可能なデータベース プロパティFilterable database properties

DatabaseRestrictionFilter パラメーターを使用して管理スコープを作成する場合は、次のデータベース プロパティを使用できます。You can use the following database properties when you create a management scope with the DatabaseRestrictionFilter parameter:

  • AdminDisplayNameAdminDisplayName

  • AllowFileRestoreAllowFileRestore

  • BackgroundDatabaseMaintenanceBackgroundDatabaseMaintenance

  • CircularLoggingEnabledCircularLoggingEnabled

  • DatabaseCreatedDatabaseCreated

  • DeletedItemRetentionDeletedItemRetention

  • DescriptionDescription

  • DistinguishedNameDistinguishedName

  • EdbFilePathEdbFilePath

  • EventHistoryRetentionPeriodEventHistoryRetentionPeriod

  • ExchangeLegacyDNExchangeLegacyDN

  • ExchangeVersionExchangeVersion

  • GuidGuid

  • IssueWarningQuotaIssueWarningQuota

  • LogFilePrefixLogFilePrefix

  • LogFileSizeLogFileSize

  • LogFolderPathLogFolderPath

  • MasterServerOrAvailabilityGroupMasterServerOrAvailabilityGroup

  • MountAtStartupMountAtStartup

  • NameName

  • ObjectCategoryObjectCategory

  • ObjectClassObjectClass

  • RetainDeletedItemsUntilBackupRetainDeletedItemsUntilBackup

  • ServerServer

  • WhenChangedWhenChanged

  • WhenChangedUTCWhenChangedUTC

  • WhenCreatedWhenCreated

  • WhenCreatedUTCWhenCreatedUTC