管理役割スコープについてUnderstanding management role scopes

に適用されます: オンラインの交換、Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

管理役割のスコープを使用すると、管理役割の割り当てが作成されたときに、影響の特定の範囲や管理の役割の影響を定義します。スコープを適用すると、ロールに割り当てられているタスク実施者の役割はそのスコープ内に含まれるオブジェクトをのみ変更できます。ロールのタスク実施者は、管理役割グループ、管理役割、管理役割の割り当てポリシー、ユーザー、またはユニバーサル セキュリティ グループ (USG) にあります。管理役割の詳細については、役割ベースのアクセス制御とを参照してください。Management role scopes enable you to define the specific scope of impact or influence of a management role when a management role assignment is created. When you apply a scope, the role assignee assigned to the role can only modify the objects contained within that scope. A role assignee can be a management role group, management role, management role assignment policy, user, or universal security group (USG). For more information about management roles, see Understanding Role Based Access Control.

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

すべての管理役割には、組み込みの役割とカスタムの役割のいずれであっても、管理スコープがあります。管理スコープは以下のいずれかです。Every management role, whether it's a built-in role or a custom role, has management scopes. Management scopes can be either of the following:

  • 正規 正規のスコープは、排他的ではありません。どこで、Active Directory のオブジェクト表示したりすることの管理役割を割り当てられているユーザーによって変更を決定します。一般に、管理の役割は、何を作成したり変更することを示しますを示し、管理役割の権限適用範囲を作成または変更できます。正規のスコープは、このトピックで後で説明する、暗黙的または明示的のいずれかのスコープを指定できます。Regular A regular scope isn't exclusive. It determines where, in Active Directory, objects can be viewed or modified by users assigned the management role. In general, a management role indicates what you can create or modify, and a management role scope indicates where you can create or modify. Regular scopes can be either implicit or explicit scopes, both of which are discussed later in this topic.

  • 排他 排他的なスコープは、通常スコープとほぼ同じ動作です。主な違いはユーザーにそれらのユーザーが排他スコープに関連付けられている役割を割り当てられない場合に、排他スコープに含まれるオブジェクトへのアクセスを拒否できること。すべての排他的なスコープは、明示的なスコープは、このトピックで後述します。Exclusive An exclusive scope behaves almost the same as a regular scope. The key difference is that it enables you to deny users access to objects contained within the exclusive scope if those users aren't assigned a role associated with the exclusive scope. All exclusive scopes are explicit scopes, which are discussed later in this topic.

    排他的スコープの詳細については、「排他スコープについて」を参照してください。For more information about exclusive scopes, see Understanding exclusive scopes.

スコープは、管理の役割の割り当ての定義済みの相対スコープとして指定またはカスタム フィルターを使用して作成および管理役割の割り当てに追加の管理役割から継承できます。スコープが管理役割から継承された中に、定義済みの暗黙のスコープとカスタム スコープは、明示的なスコープと呼ばれます。次のセクションでは、スコープの各種類について説明します。Scopes can be inherited from the management role, specified as a predefined relative scope on a management role assignment, or created using custom filters and added to a management role assignment. Scopes inherited from management roles are called implicit scopes while predefined and custom scopes are called explicit scopes. The following sections describe each type of scope:

  • 暗黙的スコープImplicit Scopes

  • 明示的スコープExplicit Scopes

  • 定義済み相対スコープPredefined Relative Scopes

  • カスタム スコープCustom Scopes

    • 受信者フィルター スコープRecipient Filter Scopes

    • 構成スコープConfiguration Scopes

各役割には、次の種類のスコープを設定できます。Each role can have the following types of scopes:

  • 受信者の読み取りスコープ 暗黙の受信者の読み取りスコープは、どのような受信者オブジェクトを Active Directory からの読み取りが許可された管理役割を割り当てられたユーザーを決定します。Recipient read scope The implicit recipient read scope determines what recipient objects the user assigned the management role is allowed to read from Active Directory.

  • 受信者のスコープを作成します。 暗黙的受信者書き込みスコープは、どのような受信者オブジェクトを Active Directory の変更が許可された管理役割を割り当てられたユーザーを決定します。Recipient write scope The implicit recipient write scope determines what recipient objects the user assigned the management role is allowed to modify in Active Directory.

  • 構成の読み取りスコープ 暗黙の型の構成の読み取りスコープは、どのような構成オブジェクトを Active Directory からの読み取りが許可された管理役割を割り当てられたユーザーを決定します。Configuration read scope The implicit configuration read scope determines what configuration objects the user assigned the management role is allowed to read from Active Directory.

  • 構成スコープを作成します。 暗黙的構成書き込みスコープは、どのような組織のデータベースを決定し、サーバー オブジェクトが Active Directory に変更するのには管理役割を割り当てられたユーザーが許可されます。Configuration write scope The implicit configuration write scope determines what organizational, database, and server objects the user assigned the management role is allowed to modify in Active Directory.

受信者オブジェクトには、メールボックス、配布グループ、メールが有効なユーザー、およびその他のオブジェクトが含まれます。構成オブジェクトには、Microsoft Exchange Server 2013 を実行しているサーバーと、Exchange を実行しているサーバーにあるデータベースが含まれます。各種スコープは、暗黙的スコープまたは明示的スコープのいずれかです。Recipient objects include mailboxes, distribution groups, mail enabled users, and other objects. Configuration objects include servers running Microsoft Exchange Server 2013, and databases located on servers running Exchange. Each type of scope can be either an implicit scope or explicit scope.

暗黙的スコープImplicit scopes

暗黙的スコープは、管理役割の種類に適用される既定のスコープです。暗黙的スコープが管理役割の種類に関連付けられているため、同じ役割の種類の親および子の管理役割もすべて暗黙的スコープが設定されます。暗黙的スコープは、組み込み管理役割とカスタム管理役割の両方に適用されます。管理役割と管理役割の種類については、「管理の役割について」を参照してください。Implicit scopes are the default scopes that apply to a management role type. Because implicit scopes are associated with a management role type, all of the parent and child management roles with the same role type also have the same implicit scopes. Implicit scopes apply to both built-in management roles and also to custom management roles. For more information about management roles and management role types, see Understanding management roles.

以下の表は、管理役割で定義できる暗黙的スコープのすべてを示します。The following tables list all of the implicit scopes that can be defined on management roles.

管理役割で定義された暗黙的スコープImplicit scopes defined on management roles

暗黙的スコープImplicit scopes 説明Description

Organization

場合Organizationが役割の受信者である書き込みスコープ、役割を作成したり、Exchange 組織内で受信者オブジェクトを変更します。If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

場合Organizationロールの存在は、受信者の読み取りスコープ、役割は、Exchange 組織全体にわたってすべての受信者オブジェクトを表示できます。If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

MyGAL

場合MyGALロールの受信者である書き込みスコープ、役割は、現在のユーザーのグローバル アドレス一覧 (GAL) 内の任意の受信者のプロパティを表示できます。If MyGAL is present in the role's recipient write scope, the role can view the properties of any recipient within the current user's global address list (GAL).

場合MyGALロールの存在は、受信者の読み取りスコープ、役割は、現在のグローバル アドレス一覧内の任意の受信者のプロパティを表示できます。If MyGAL is present in the role's recipient read scope, the role can view the properties of any recipient within the current GAL.

このスコープは、受信者読み取りスコープでのみ使用されます。This scope is used only with recipient read scopes.

Self

場合Selfロールの受信者である書き込みスコープ、役割は、現在のユーザーのメールボックスのプロパティのみを変更できます。If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

場合Selfロールの存在は、受信者の読み取りスコープ、役割が現在のユーザーのメールボックスのプロパティのみを表示できます。If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

MyDistributionGroups

場合MyDistributionGroupsが役割の受信者である書き込みスコープでは、ロールを作成または変更、配布リスト オブジェクトの現在のユーザーによって所有されています。If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

場合MyDistributionGroupsロールの存在は、受信者の読み取りスコープ、役割は、配布リスト オブジェクトの現在のユーザーによって所有されているを表示できます。If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

OrganizationConfig

場合OrganizationConfigロールの構成では現在のところ書き込みスコープ、役割を作成したり、Exchange 組織全体で任意のサーバーまたはデータベースの構成オブジェクトを変更します。If OrganizationConfig is present in the role's configuration write scope, the role can create or modify any server or database configuration object across the Exchange organization.

場合OrganizationConfigにロールの構成の読み取りスコープ、ロールは、Exchange 組織全体にわたるすべてのサーバーまたはデータベースの構成オブジェクトを表示できます。If OrganizationConfig is present in the role's configuration read scope, the role can view any server or database configuration object across the Exchange organization.

このスコープは、構成読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with configuration read and write scopes.

None

場合Noneは、スコープにそのスコープが使用できないロールにします。持つロールは、None受信者書き込みスコープが Exchange 組織内の受信者オブジェクトを変更できません。If None is in a scope, that scope isn't available to the role. For example, a role that has None in the recipient write scope can't modify recipient objects in the Exchange organization.

役割が役割担当者に割り当てられ、定義済みまたはカスタムのスコープが指定されていない場合は、ユーザーが表示または変更できる受信者または組織オブジェクトを制御するために、役割で定義された暗黙的スコープが使用されます。If a role is assigned to a role assignee and no predefined or custom scopes are specified, the implicit scopes defined on the role are used to control the recipient or organization objects the user can view or modify.

役割の暗黙的書き込みスコープは、常に暗黙的読み取りスコープ以下です。つまり、役割はスコープによって表示できないオブジェクトを変更することはできません。The implicit write scope of a role is always equal to, or less than, the implicit read scope. This means that a role can never modify objects that can't be seen by the scope.

管理役割で定義された暗黙的スコープを変更することはできません。ただし、管理役割で暗黙的書き込みスコープと構成スコープを上書きすることはできます。定義済みの相対スコープまたはカスタム スコープが役割割り当てで使用される場合、役割の暗黙的書き込みスコープが上書きされ、新しいスコープが優先されます。役割の暗黙的読み取りスコープは、上書きできず、常に適用されます。詳細については、「Predefined Relative Scopes」および「Custom Scopes」を参照してください。You can't change the implicit scopes defined on management roles. You can, however, override the implicit write scope and configuration scope on a management role. When a predefined relative scope or custom scope is used on a role assignment, the implicit write scope of the role is overridden, and the new scope takes precedence. The implicit read scope of a role can't be overridden and always applies. For more information, see Predefined Relative Scopes and Custom Scopes.

以下の表を展開すると、すべての組み込み管理役割とそれらの暗黙的スコープのリストが表示されます。各組み込みの役割の詳細については、「組み込みの管理役割」を参照してください。Expand the following table to see a list of all the built-in management roles and their implicit scopes. For more information about each built-in role, see Built-in management roles.

組み込み管理役割の暗黙的スコープBuilt-in management role implicit scopes

管理役割Management role 受信者の読み取りスコープRecipient read scope 受信者の書き込み範囲Recipient write scope 構成の読み取り範囲Configuration read scope 構成の書き込み範囲Configuration write scope

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

ArchiveApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Data Loss Prevention

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

LegalHoldApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

MailboxSearchApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

OfficeExtensionApplication

Self

Self

OrganizationConfig

OrganizationConfig

My Custom Apps

Self

Self

OrganizationConfig

OrganizationConfig

My Marketplace Apps

Self

Self

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTeamMailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Reset Password

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

TeamMailboxLifecycleApplication

Self

Self

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

UserApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

WorkloadManagement

Organization

Organization

OrganizationConfig

OrganizationConfig

明示的スコープExplicit scopes

明示的スコープは、管理役割がどのオブジェクトを変更できるかをユーザー自身で設定して制御するスコープです。暗黙的スコープは管理役割で定義されますが、明示的スコープが管理役割割り当てで定義されます。つまり、最優先の明示的スコープの使用を選択しなければ、管理役割全体に暗黙的スコープを定常的に適用できます。管理役割の割り当ての詳細については、「管理役割の割り当てについて」を参照してください。Explicit scopes are scopes that you set yourself to control which objects a management role can modify. Although implicit scopes are defined on a management role, explicit scopes are defined on a management role assignment. This enables the implicit scopes to be applied consistently across all management roles unless you choose to use an overriding explicit scope. For more information about management role assignments, see Understanding management role assignments.

明示的スコープは、管理役割の暗黙的書き込みスコープと構成スコープを上書きします。明示的スコープは、管理役割の暗黙的読み取りスコープを上書きしません。暗黙的読み取りスコープは、管理役割が読み取ることができるオブジェクトの定義を継続します。Explicit scopes override the implicit write and configuration scopes of a management role. They don't override the implicit read scope of a management role. The implicit read scope continues to define what objects the management role can read.

明示的なスコープは、管理役割の暗黙的な書き込みスコープは、お客様のビジネスのニーズを満たしていない場合に便利です。新しいスコープが暗黙的読み取りスコープの範囲を超えていない限り、必要なほとんどすべてを含むように明示的にスコープを追加することができます。管理の役割の一部であるコマンドレットは、オブジェクトまたはオブジェクト作成またはオブジェクトを変更するコマンドレットにはが含まれているコンテナーに関する情報を読み取る必要があります。暗黙のスコープを読み取る場合は、管理の役割は、設定などSelf、の明示的な書き込みスコープを追加することはできませんOrganization読み取り範囲の明示的な書き込みスコープは、暗黙の型の境界を超えているためです。Explicit scopes are useful when the implicit write scope of a management role doesn't meet the needs of your business. You can add an explicit scope to include nearly anything you want as long as the new scope doesn't exceed the bounds of the implicit read scope. The cmdlets that are part of a management role must be able to read information about the objects or containers that contain objects for the cmdlets to create or modify objects. For example, if the implicit read scope on a management role is set to Self, you can't add an explicit write scope of Organization because the explicit write scope exceeds the bounds of the implicit read scope.

詳細については、以下のセクションを参照してください。For more information, see the following sections:

  • 定義済み相対スコープPredefined Relative Scopes

  • カスタム スコープCustom Scopes

定義済み相対スコープPredefined relative scopes

Exchange 2013 では、いくつかの定義済み相対書き込みの管理役割のスコープを変更するのには使用できるスコープを提供します。定義済みの相対スコープは、ユーザー設定範囲を手動で作成することがなく、ビジネスのニーズをより厳密に一致する簡単な方法を提供します。関連付けられているロールの割り当てが割り当てられている役割の割り当て先を基準にしているために相対的な範囲と呼ばれています。などのSelf定義済み相対スコープは、現在のユーザーのみにその書き込みスコープを制限します。MyDistributionGroups定義済み相対スコープのみで現在のユーザーが所有する配布グループに書き込みスコープを制限します。定義済み相対スコープは、受信者オブジェクトのスコープにのみ使用できます。定義済み相対スコープは、構成オブジェクトのスコープには使用できません。次の表は、使用できる定義済みの相対スコープを一覧します。Exchange 2013 provides several predefined relative write scopes that you can use to modify scope of a management role. Predefined relative scopes provide an easy way for you to more closely match the needs of your business without having to create custom scopes manually. They're called relative scopes because they're relative to the role assignee to which the associated role assignment is assigned. For example, the Self predefined relative scope restricts that write scope to the current user only. The MyDistributionGroups predefined relative scope restricts the write scope to the distribution group the current user owns only. Predefined relative scopes can only be used to scope recipient objects. Predefined relative scopes can't be used to scope configuration objects. The following table lists the predefined relative scopes that you can use.

定義済み相対スコープPredefined relative scopes

暗黙的スコープImplicit scopes 説明Description

Organization

場合Organizationが役割の受信者である書き込みスコープ、役割を作成したり、Exchange 組織内で受信者オブジェクトを変更します。If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

場合Organizationロールの存在は、受信者の読み取りスコープ、役割は、Exchange 組織全体にわたってすべての受信者オブジェクトを表示できます。If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

Self

場合Selfロールの受信者である書き込みスコープ、役割は、現在のユーザーのメールボックスのプロパティのみを変更できます。If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

場合Selfロールの存在は、受信者の読み取りスコープ、役割が現在のユーザーのメールボックスのプロパティのみを表示できます。If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

MyDistributionGroups

場合MyDistributionGroupsが役割の受信者である書き込みスコープでは、ロールを作成または変更、配布リスト オブジェクトの現在のユーザーによって所有されています。If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

場合MyDistributionGroupsロールの存在は、受信者の読み取りスコープ、役割は、配布リスト オブジェクトの現在のユーザーによって所有されているを表示できます。If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

定義済み相対スコープは、新しい管理役割の割り当てを作成するときに適用されます。新規 ManagementRoleAssignmentコマンドレットを使用して、ロールの割り当ての作成時に、 RecipientRelativeWriteScopeパラメーターを使用して、定義済み相対スコープを指定できます。新しいロールの割り当てが作成されると、新しい定義済みのロールは、管理役割の暗黙的な書き込みスコープを上書きします。定義済み相対スコープを持つ役割の割り当てを作成するときは、カスタム受信者の範囲を指定できません。必要な場合ただし、カスタム構成スコープを指定することもできます。Predefined relative scopes are applied when you create a new management role assignment. During the creation of the role assignment, using the New-ManagementRoleAssignment cmdlet, you can specify a predefined relative scope using the RecipientRelativeWriteScope parameter. When the new role assignment is created, the new predefined role overrides the implicit write scope of the management role. You can't specify a custom recipient scope when you create a role assignment with a predefined relative scope. You can, however, specify a custom configuration scope if needed.

定義済み相対スコープと共に管理役割割り当てを追加する方法については、「ユーザーまたは USG に役割を追加する」を参照してください。For more information about how to add a management role assignment with a predefined relative scope, see Add a role to a user or USG.

カスタム スコープCustom scopes

カスタム スコープは、暗黙的書き込みスコープと定義済み相対スコープのどちらもビジネス要件に対応できない場合に必要です。カスタム スコープでは、管理役割を適用するスコープを詳細レベルで定義できます。たとえば、特定の組織単位 (OU)、特定の種類の受信者、またはその両方を対象にする場合があります。または、単に管理者のグループでメールボックス データベースの特定セットを管理できるようにする場合があります。Custom scopes are needed when neither the implicit write scope nor the predefined relative scopes meet the needs of your business. Custom scopes enable you to define, at a granular level, the scope to which your management role will be applied. For example, you might want to target a specific organizational unit (OU), a specific type of recipient, or both. Or, you might only want to allow a group of administrators to be able to manage a specific set of mailbox databases.

定義済み相対スコープと同様に、カスタム スコープは管理役割で定義された暗黙的書き込みおよび組織構成スコープを上書きします。管理役割の暗黙的読み取りスコープは続いて適用され、結果のカスタム スコープは暗黙的読み取りスコープの範囲を超えることができません。次の 3 種類のカスタム スコープを作成できます。As with predefined relative scopes, custom scopes override the implicit write and organization configuration scopes defined on management roles. The implicit read scope on management roles continue to apply and the resulting custom scope must not exceed the boundaries of the implicit read scope. You can create the following three types of custom scopes:

  • OU スコープ 新規 ManagementRoleAssignmentコマンドレットのRecipientOrganizationalUnitScopeパラメーターを使用する最も簡単なカスタムのスコープでは、OU のスコープが作成されます。ロールが割り当てられている場合、OU スコープを指定する、役割を割り当てられているタスク実施者の役割は、その OU 内の受信者オブジェクトのみを変更できます。OU スコープを持つ管理役割の割り当てを追加する方法の詳細については、ユーザーまたは USG に役割の追加を参照してください。OU scope An OU scope, which is the simplest custom scope, is created using the RecipientOrganizationalUnitScope parameter on the New-ManagementRoleAssignment cmdlet. By specifying an OU scope when a role is assigned, the role assignee assigned the role can modify only recipient objects within that OU. For more information about how to add a management role assignment with an OU scope, see Add a role to a user or USG.

  • 受信者フィルター スコープ 受信者フィルター スコープは、受信者の種類または部門、マネージャー、場所などの他の受信者のプロパティに基づいて、特定の受信者を対象とするのにフィルターを使用します。詳細については、受信者フィルターの範囲] セクションを参照してください。Recipient filter scope Recipient filter scopes use filters to target specific recipients based on recipient type or other recipient properties such as department, manager, location, and more. For more information, see the Recipient Filter Scopes section.

  • 構成のスコープ 構成のスコープは、フィルターまたはサーバー リストまたは Active Directory サイトまたはサーバーの役割など、サーバーに定義できるフィルターのプロパティに基づいて、ターゲットの特定のサーバーにリストを使用します。構成のスコープは、データベースのリストまたはデータベースのフィルターのプロパティに基づいて、特定のデータベースを対象とするのにデータベース スコープを使用することも。詳細については、構成の範囲] セクションを参照してください。Configuration scope Configuration scopes use filters or lists to target specific servers based on server lists or filterable properties that can be defined on servers, such as an Active Directory site or a server role. Configuration scopes can also use database scopes to target specific databases based on database lists or filterable database properties. For more information, see the Configuration Scopes section.

単純かつ広範または複雑かつ詳細な受信者および構成カスタム スコープは、 New-ManagementScope コマンドレットを使用して作成できます。受信者スコープまたは構成スコープのいずれかを作成すると、それぞれのスコープに一致する受信者、サーバー、またはデータベースのオブジェクトのみが返されます。これらのスコープが New-ManagementRoleAssignment または Set-ManagementRoleAssignment コマンドレットを使用して役割割り当てに適用されると、役割が割り当てられた役割担当者がスコープに一致するオブジェクトのみを変更できます。カスタム スコープが作成された後は、スコープの種類を変更できません。受信者スコープは常に受信者スコープであり、構成スコープは常に構成スコープです。Simple and broad or complex and granular recipient and configuration custom scopes can be created by using the New-ManagementScope cmdlet. When you create either a recipient or configuration scope, only the recipient, server, or database objects that match their respective scopes are returned. When these scopes are applied to a role assignment using the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlets, only the objects that match the scopes can be modified by the role assignees who are assigned the role. After a custom scope has been created, you can't change the scope type. A recipient scope is always a recipient scope and a configuration scope is always a configuration scope.

既定では、カスタム スコープによって、定義するスコープに一致したオブジェクトのセットに役割担当者がアクセスすることができます。ただし、フィルターは同一または同等のスコープも割り当てられていない他の役割担当者へのアクセスをアクティブに除外しません。カスタム スコープは、それらのスコープへのリストまたはフィルターが同一オブジェクトに一致する場合、同一オブジェクトにアクセスできます。上級管理者など、この操作が不要なオブジェクトがあります。これらのオブジェクトに対して、排他的スコープを定義できます。排他的スコープは、通常スコープと同じ方法でフィルターまたはリストを使用しますが、通常スコープと異なり、同一または同等の排他的スコープに含まれない人物によるスコープ内のオブジェクトへのアクセスを拒否します。排他的スコープの詳細については、「排他スコープについて」を参照してください。By default, a custom scope enables a role assignee to access a set of objects that match the scopes you define. However, they don't actively exclude access to other role assignees who aren't also assigned the same or equivalent scope. Any custom scope can access the same objects if the lists or filters on those scopes match the same objects. There might be objects where this behavior isn't wanted, such as in the case of executives. For these objects, you can define exclusive scopes. Exclusive scopes use filters or lists in the same way as regular scopes but unlike regular scopes, deny access to objects included in the scope to anyone who isn't part of the same or equivalent exclusive scope. For more information about exclusive scopes, see Understanding exclusive scopes.

受信者フィルター スコープRecipient filter scopes

受信者フィルター スコープを使用するフィルター ステートメントで指定した値に対して受信者オブジェクトの 1 つまたは複数のプロパティを評価することによって管理の受信者オブジェクトの役割の割り当て先を制御します。受信者のスコープに含まれている受信者は、メールボックス、メールが有効なユーザー、配布グループおよび連絡先のメールです。その役割の割り当てに割り当てられている役割の割り当て先では、指定したフィルターに一致する受信者のみを管理できます。フィルター ステートメントの例は、{ Name -Eq "David" }プロパティに対して評価する場合、対象となる受信者オブジェクトのプロパティがDavid値です。Eqの比較演算子は、true を指定するフィルターで指定された値と等しいプロパティに格納されている値である必要があることを示します。フィルターが true の場合、スコープ内でその受信者が含まれます。Recipient filter scopes enable you to control which recipient objects role assignees can manage by evaluating one or more properties on a recipient object against a value that you specify in a filter statement. Recipients included in recipient scopes are mailboxes, mail-enabled users, distribution groups and mail contacts. Only the recipients that match the filter you specify can be managed by the role assignees assigned that role assignment. An example of a filter statement is { Name -Eq "David" } where Name is the property on the recipient object that's being evaluated and David is the value you want to evaluate against the property. The -Eq comparison operator indicates that the value stored in the property must be equal to the value that was specified for the filter to be true. If the filter is true, that recipient is included in scope.

受信者フィルター スコープを作成するには、新規 ManagementScopeコマンドレットのRecipientRestrictionFilterパラメーターで使用する受信者のフィルターを指定します。新規 ManagementScopeコマンドレットは、既定では、正規のスコープを作成します。排他スコープを作成する場合は、排他的な RecipientRestrictionFilterパラメーターとスイッチが含まれます。Recipient filter scopes are created by specifying the recipient filter to use with the RecipientRestrictionFilter parameter on the New-ManagementScope cmdlet. By default, the New-ManagementScope cmdlet creates regular scopes. If you want to create an exclusive scope, include the Exclusive switch along with the RecipientRestrictionFilter parameter.

受信者制限フィルターを作成するとき、Exchange は、既定では、組織内のすべての受信者オブジェクトに対して指定したフィルターを評価します。スコープを評価する受信者を制限する場合は、 RecipientRootパラメーター RecipientRestrictionFilterパラメーターとを使用することができます。RecipientRootパラメーターでは、OU を受け入れます。RecipientRootパラメーターを使用すると、Exchange は、指定したフィルターに対して指定した OU に含まれる受信者のみを評価します。When you create a recipient restriction filter, Exchange evaluates the filter you provided against every recipient object in the organization by default. If you want to limit which recipients the scope evaluates, you can use the RecipientRoot parameter along with the RecipientRestrictionFilter parameter. The RecipientRoot parameter accepts an OU. When you use the RecipientRoot parameter, Exchange evaluates only the recipients included in the specified OU against the filter you provided.

受信者フィルター スコープを役割の割り当てに追加すると、受信者の範囲の名前パラメーターで指定CustomRecipientWriteScope新しい ManagementRoleAssignmentの新しい役割の割り当て、または、を作成する場合セット ManagementRoleAssignmentコマンドレットは、既存のロールの割り当てを更新する場合。各役割の割り当てには、定義済みの相対スコープを含む、受信者の 1 つの範囲を持つことができます。受信者の範囲を追加した同じ役割の割り当てを 1 つの構成スコープを追加できます。When you add a recipient filter scope to a role assignment, specify the name of the recipient scope in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Each role assignment can have one recipient scope, including predefined relative scopes. You can add one configuration scope to the same role assignment you added a recipient scope to.

フィルター構文の詳細と、受信者に対するフィルター可能な受信者プロパティの全リストについては、「管理ロールのスコープ フィルターについて」を参照してください。For more information about filter syntax and for a full list of filterable recipient properties on recipients, see Understanding management role scope filters.

構成スコープConfiguration scopes

次の 2 種類の構成のスコープが Exchange 2013 で提供されます。The following are the two types of configuration scopes offered in Exchange 2013:

  • サーバー スコープ サーバーのスコープ、サーバー フィルター スコープとサーバー リスト スコープの 2 種類があります。サーバー オブジェクトがサーバーのスコープに含まれている場合、受信コネクタ、トランスポート キュー、サーバー証明書、仮想ディレクトリ、およびを含む、サーバーの構成を管理できます。Server scopes There are two types of server scopes, server filter scopes and server list scopes. Server configuration, including Receive connectors, transport queues, server certificates, virtual directories, and so on, can be managed if a server object is included in a server scope.

    • サーバー フィルター スコープ サーバー フィルター スコープを使用するフィルター ステートメントで指定した値に対してサーバー オブジェクトの 1 つまたは複数のプロパティを評価することによって管理サーバー オブジェクトの役割の割り当て先を制御します。サーバー フィルター スコープを作成するには、新規 ManagementScopeコマンドレットのServerRestrictionFilterパラメーターを使用します。Server filter scopes Server filter scopes enable you to control which server objects role assignees can manage by evaluating one or more properties on a server object against a value that you specify in a filter statement. To create a server filter scope, use the ServerRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • サーバー リスト スコープ サーバー リスト スコープには、サーバー オブジェクトの役割の割り当て先を管理できるロールのタスク実施者がアクセスできるサーバーの一覧を定義することによって、コントロールを有効にします。サーバー リスト スコープを作成するには、新規 ManagementScopeコマンドレットのServerListパラメーターを使用します。Server list scopes Server list scopes enable you to control which server objects role assignees can manage by defining a list of servers that a role assignee can access. To create a server list scope, use the ServerList parameter on the New-ManagementScope cmdlet.

  • データベース スコープ ストアには、データベース スコープ、データベース フィルター スコープとデータベース リスト スコープの 2 種類があります。データベース スコープ内でデータベース オブジェクトが含まれている場合に管理できるデータベースの構成は、データベースのクォータ制限、データベース保守、パブリック フォルダーのレプリケーション、データベースがマウントされているかどうかというようにします。データベースの構成だけでなく、データベース スコープに受信者のデータベースを作成することができますコントロールにも使用します。組織内に Exchange 2010 SP1 サーバーがある場合は、このトピックの後半のセクションを Exchange の以前のバージョンとデータベースのスコープを参照してください。Database scopes There are two types of database scopes, database filter scopes and database list scopes. Database configuration that can be managed if a database object is included in a database scope include database quota limits, database maintenance, public folder replication, whether a database is mounted, and so on. In addition to database configuration, database scopes can also be used to control which databases recipients can be created in. If you have pre-Exchange 2010 SP1 servers in your organization, see the Database scopes and previous versions of Exchange section later in this topic.

    • データベース フィルター スコープ データベース フィルター スコープには、フィルター ステートメントで指定した値に対してデータベース オブジェクトの 1 つまたは複数のプロパティを評価することによってデータベース オブジェクトの役割の割り当て先を管理できるコントロールを有効にします。データベース フィルター スコープを作成するには、新規 ManagementScopeコマンドレットのDatabaseRestrictionFilterパラメーターを使用します。Database filter scopes Database filter scopes enable you to control which database objects role assignees can manage by evaluating one or more properties on a database object against a value that you specify in a filter statement. To create a database filter scope, use the DatabaseRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • データベース リスト スコープ データベース リスト スコープを使用すると、データベース オブジェクトの役割の割り当て先を管理できるロールのタスク実施者がアクセスできるデータベースの一覧を定義することによって制御できます。データベース リスト スコープを作成するには、新規 ManagementScopeコマンドレットのDatabaseListパラメーターを使用します。Database list scopes Database list scopes enable you to control which database objects role assignees can manage by defining a list of databases that a role assignee can access. To create a database list scope, use the DatabaseList parameter on the New-ManagementScope cmdlet.

フィルター構文の詳細と、フィルター可能なサーバーおよびデータベース プロパティの全リストについては、「管理ロールのスコープ フィルターについて」を参照してください。For more information about filter syntax and for a full list of filterable server and database properties, see Understanding management role scope filters.

サーバーおよびデータベース リストを定義するには、それぞれのスコープの対象にする各サーバーおよびデータベースを指定します。複数のサーバーまたはデータベースは、サーバーとデータベースの名前をコンマで区切ることによって、それぞれのスコープに指定できます。Server and database lists can be defined by specifying each server and database you want to include in their respective scopes. Multiple servers or databases can be specified in their respective scopes by separating the server and database names with commas.

サーバーまたはデータベース構成スコープを役割の割り当てに追加する場合、新しい役割の割り当てを作成しているならば New-ManagementRoleAssignment コマンドレットで、既存の役割の割り当てを更新しているならば Set-ManagementRoleAssignment コマンドレットで、CustomConfigWriteScope パラメーター内のサーバーまたはデータベース構成スコープの名前を指定します。各ロールの割り当てには、1 つの構成スコープのみを指定できます。When you add a server or database configuration scope to a role assignment, specify the name of the server or database configuration scope in the CustomConfigWriteScope parameter on the New-ManagementRoleAssignment cmdlet if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. Each role assignment can only have one configuration scope.

役割担当者が管理できるデータベースを制御することに加えて、データベース スコープを使用すると、役割担当者がメールボックスを作成できるデータベースを制御することもできます。これは、役割担当者が管理できる受信者の管理とは別です。役割担当者に新しいメールボックスを作成するか、既存ユーザーのメールを有効にするか、またはメールボックスを移動するアクセス許可がある場合、メールボックスを作成するデータベースまたはメールボックスの移動先のデータベースをデータベース スコープで制御することによって、アクセス許可を詳細に設定することができます。役割担当者が管理できる受信者を制御することは、CustomRecipientWriteScope パラメーターを New-ManagementRoleAssignment または Set-ManagementRoleAssignment コマンドレットで指定した受信者スコープで行われます。メールボックスを作成できるデータベースまたはメールボックスの移動先データベースを制御することは、CustomConfigurationWriteScope パラメーターを同じコマンドレットで指定したデータベース スコープで管理されます。In addition to controlling which databases role assignees can manage, database scopes also enable you to control which databases role assignees can create mailboxes on. This is separate from controlling which recipients a role assignee can manage. If a role assignee has permissions to create a new mailbox, mail-enable an existing user, or move mailboxes, you can further refine their permissions by using database scopes to control the database on which the mailbox is created, or which database a mailbox is moved to. Controlling which recipients a role assignee can manage is done using a recipient scope specified in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlet. Controlling which databases a mailbox can be created on or moved to is controlled using a database scope specified in the CustomConfigurationWriteScope parameter on the same cmdlets.

注意

メールボックスの自動配布は、データベース スコープを使用して制御できます。Automatic mailbox distribution can be controlled using database scopes.

Exchange 機能では、サーバー スコープとデータベース スコープのどちらか、またはその両方の管理が必要な場合があります。サーバー スコープおよびデータベース スコープの両方が管理対象となる機能の場合、2 つの役割割り当てを作成して、機能の管理のためにアクセス許可を持つ必要がある役割担当者に割り当てる必要があります。役割割り当てのうち、1 つはサーバー スコープと関連付け、もう 1 つはデータベース スコープと関連付けます。Exchange features may require either server scopes, database scopes, or both, to be managed. If a feature requires both server and database scopes to be managed, two role assignments must be created and assigned to the role assignee that should have access to manage the feature. One role assignment should be associated with the server scope, and one role assignment should be associated with the database scope.

コマンドレットは、一目でわかる構成スコープを使用する場合もあります。次の表は、コマンドレットのリストと、利用を制御するために使用できる構成スコープを示します。受信者機能領域に含まれるコマンドレットの場合、構成スコープを使用すると、受信者を作成できるデータベースを制御できます。管理できる受信者は制御しません。 [必要なスコープ] 列は、以下の項目で構成できます。Some cmdlets may use configuration scopes that aren't immediately obvious. The following table includes a list of cmdlets and the configuration scopes that you can use to control their usage. For cmdlets included in the recipients feature area, configuration scopes enable you to control on which databases recipients can be created. They don't control which recipients can be managed. The Required scopes column can contain the following:

  • データベース コマンドレットを実行するには、役割の割り当て先割り当てる必要がありますを管理するデータベースを含むデータベース スコープを持つ役割の割り当てや、役割の暗黙的構成書き込みスコープは、管理対象のデータベースを含める必要があります。Database To run the cmdlet, the role assignee must be assigned a role assignment with a database scope that includes the database to be managed or the role's implicit configuration write scope must include the database to be managed.

  • サーバー コマンドレットを実行するには、役割の割り当て先割り当てる必要がありますを管理するサーバーを含むサーバーのスコープを持つ役割の割り当てや、役割の暗黙的構成書き込みスコープは、管理対象サーバーを含める必要があります。Server To run the cmdlet, the role assignee must be assigned a role assignment with a server scope that includes the server to be managed or the role's implicit configuration write scope must include the server to be managed.

  • サーバーまたはデータベース コマンドレットを実行するには、役割の割り当て先割り当てる必要がありますの役割の割り当て、管理されているデータベースがデータベースのスコープに含まれています、またはサーバーのスコープには、データベースが格納されているサーバーが含まれています。または、役割の暗黙的構成書き込みスコープが管理するデータベースが含まれているかが保存されているデータベース ロールの割り当ては、カスタムの書き込みスコープを持つことはできませんサーバーが含まれている必要があります。Server or database To run the cmdlet, the role assignee must be assigned a role assignment where either a database scope includes the database being managed, or where a server scope includes the server where the database is located. Or, the role's implicit configuration write scope must contain the database to be managed, or contain the server where the database is located, and the role assignment can't have a custom write scope.

  • サーバーおよびデータベース   このコマンドレットを実行するには、役割担当者を 2 つの役割割り当てに割り当てる必要があります。最初の役割割り当てには、管理対象のデータベースを含むデータベース スコープを指定する必要があります。2 番目の役割割り当てには、データベースが置かれたサーバーを含むサーバー スコープを指定する必要があります。役割割り当ては、カスタム構成スコープを定義することができるか、暗黙的構成書き込みスコープを役割から継承できます。役割から暗黙的書き込みスコープを継承するには、役割割り当てはカスタムの書き込みスコープを指定できません。Server and database To run this cmdlet, the role assignee must be assigned two role assignments. The first role assignment must include a database scope that includes the database to be managed. The second role assignment must include a server scope that includes the server where the database is located. The role assignments can have custom configuration scopes defined, or the role assignments can inherit the implicit configuration write scope from the role. To inherit the implicit write scope from the role, the role assignment can't have a custom write scope.

機能領域と適用可能なデータベース スコープおよびサーバー スコープFeature areas and applicable database and server scopes

機能領域Feature area コマンドレットCmdlet 必要なスコープRequired scopes

データベースDatabases

Dismount-DatabaseDismount-Database

データベースDatabase

データベースDatabases

Mount-DatabaseMount-Database

データベースDatabase

データベースDatabases

移動 DatabasePathMove-DatabasePath

サーバーおよびデータベースServer and database

データベースDatabases

削除 MailboxDatabaseRemove-MailboxDatabase

サーバーまたはデータベースServer or database

データベースDatabases

セット MailboxDatabaseSet-MailboxDatabase

データベースDatabase

高可用性High availability

追加 DatabaseAvailabilityGroupServerAdd-DatabaseAvailabilityGroupServer

サーバーServer

高可用性High availability

追加 MailboxDatabaseCopyAdd-MailboxDatabaseCopy

サーバーServer

高可用性High availability

移動 ActiveMailboxDatabaseMove-ActiveMailboxDatabase

サーバーServer

高可用性High availability

削除 DatabaseAvailabilityGroupServerRemove-DatabaseAvailabilityGroupServer

サーバーServer

高可用性High availability

削除 MailboxDatabaseCopyRemove-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

高可用性High availability

再開 MailboxDatabaseCopyResume-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

高可用性High availability

セット MailboxDatabaseCopySet-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

高可用性High availability

中断 MailboxDatabaseCopySuspend-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

高可用性High availability

Update-MailboxDatabaseCopyUpdate-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

受信者Recipients

Connect-MailboxConnect-Mailbox

データベースDatabase

受信者Recipients

Enable-MailboxEnable-Mailbox

データベースDatabase

受信者Recipients

New-MailboxNew-Mailbox

データベースDatabase

受信者Recipients

新しい-MoveRequestNew-MoveRequest

データベースDatabase

トラブルシューティングTroubleshooting

テスト MapiConnectivityTest-MapiConnectivity

データベースDatabase

データベース スコープと Exchange の以前のバージョンDatabase scopes and previous versions of Exchange

データベース スコープを最初に導入したのは Microsoft Exchange 2010 Service Pack 1 (SP1) でしたが、Exchange 2013 でも引き続きサポートしています。Exchange 2010 SP1 より前のバージョンの Exchange でサポートしているのは、受信者スコープとサーバー構成スコープだけです。新しいデータベース スコープを Exchange 2010 SP1 以降のサーバーで作成すると、次の警告が表示されます。Database scopes were first introduced in Microsoft Exchange 2010 Service Pack 1 (SP1) and continue to be supported in Exchange 2013. Versions of Exchange prior to Exchange 2010 SP1 support only recipient scopes and server configuration scopes. When you create a new database scope on an Exchange 2010 SP1 or later server, you'll receive the following warning:

WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.

データベース スコープを作成しても、適用されるのは Exchange 2010 SP1 以降を実行しているサーバーに接続するユーザーのみです。Exchange 2010 SP1 より前のサーバーに接続するユーザーには、適用されたデータベース スコープに関連付けた役割割り当てがありません。つまり、これらの役割割り当てで指定するアクセス許可は、ユーザーが Exchange 2010 SP1 より前のサーバーに接続するときには与えられません。データベース スコープは、Exchange 2010 SP1 より前のサーバーで作成、削除、変更、または表示することはできません。When you create a database scope, it's only applied to users who connect to servers running Exchange 2010 SP1 or later. Users who connect to pre-Exchange 2010 SP1 servers won't have any role assignments associated with database scopes applied to them. This means that any permissions provided by these role assignments won't be granted to users when they connect to pre-Exchange 2010 SP1 servers. Database scopes can't be created, removed, modified, or viewed from pre-Exchange 2010 SP1 servers.

データベース スコープには、Exchange 組織に任意のデータベースを指定できます。これには Exchange Server 2007、Exchange 2010、そして Exchange 2013 サーバーが含まれます。これにより、Exchange バージョンに関係なく、そのユーザーが管理できるデータベースを制御できるようになります。他のデータベース スコープと同様に、Exchange 2007 と Exchange 2010 のデータベースが含まれるデータベース スコープに関連付けられた役割割り当ては、ユーザーが Exchange 2010 SP1 以降のサーバーに接続するときだけに適用されます。A database scope can include any database in your Exchange organization. This includes Exchange Server 2007, Exchange 2010, and Exchange 2013 servers. This enables you to control which databases, regardless of Exchange version, that users can manage. As with other database scopes, role assignments associated with database scopes that contain Exchange 2007 and Exchange 2010 databases are only applied to users when they connect to an Exchange 2010 SP1 or later server.

Exchange 2010 SP1 より前のサーバーに接続するユーザーは、データベース スコープに関連付けられた役割割り当ての表示と変更ができます。これには、データベース スコープに現在関連付けられている場合、サーバー スコープへの既存の役割割り当てで構成スコープを変更することが含まれます。ただし、役割割り当ての構成スコープをサーバー スコープに変更した後、ユーザーがデータベース スコープに戻す場合、またはユーザーが構成スコープを別のデータベース スコープに変更する場合、ユーザーは Exchange 2010 SP1 以降のサーバーに接続している間に変更する必要があります。Exchange 2010 SP1 より前のサーバーに接続している場合、ユーザーがサーバー スコープを指定できるのは、役割割り当ての構成スコープの変更時だけです。Users who connect to a pre-Exchange 2010 SP1 server can view and modify role assignments associated with database scopes. This includes changing the configuration scope on an existing role assignment to a server scope if it's currently associated with a database scope. However, if the configuration scope on a role assignment is changed to a server scope and a user later wants to change it back to a database scope, or if the user wants to change the configuration scope to another database scope, the user must make the change while connected to an Exchange 2010 SP1 or later server. Users can only specify server scopes when they change the configuration scope on a role assignment if they're connected to a pre-Exchange 2010 SP1 server.