管理役割スコープについてUnderstanding management role scopes

製品: Exchange Server 2013Applies to: Exchange Server 2013

管理役割スコープを使用すると、管理役割が作成されたときに管理役割の割り当てに影響を及ぼす一定の範囲を定義できます。Management role scopes enable you to define the specific scope of impact or influence of a management role when a management role assignment is created. スコープを適用する場合、役割が割り当てられた役割担当者は、そのスコープの中に含まれているオブジェクトのみを変更できます。When you apply a scope, the role assignee assigned to the role can only modify the objects contained within that scope. 役割担当者は管理役割グループ、管理役割、管理役割割り当てポリシー、ユーザー、またはユニバーサル セキュリティ グループ (USG) のいずれかです。A role assignee can be a management role group, management role, management role assignment policy, user, or universal security group (USG). 管理役割の詳細については、「役割ベースのアクセス制御について」を参照してください。For more information about management roles, see Understanding Role Based Access Control.

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

すべての管理役割には、組み込みの役割とカスタムの役割のいずれであっても、管理スコープがあります。管理スコープは以下のいずれかです。Every management role, whether it's a built-in role or a custom role, has management scopes. Management scopes can be either of the following:

  • Regular:正規のスコープは排他的ではありません。Regular: A regular scope isn't exclusive. Active Directory では、管理役割を割り当てられたユーザーがオブジェクトを表示または変更できる場所を決定します。It determines where, in Active Directory, objects can be viewed or modified by users assigned the management role. 通常、管理役割は作成または変更できる対象を示し、管理役割スコープは、作成または変更できる場所を示します。In general, a management role indicates what you can create or modify, and a management role scope indicates where you can create or modify. 正規のスコープは、暗黙的または明示的なスコープのいずれかにすることができます。どちらも、このトピックの後半で説明します。Regular scopes can be either implicit or explicit scopes, both of which are discussed later in this topic.

  • Exclusive:排他スコープは、通常のスコープとほぼ同じように動作します。Exclusive: An exclusive scope behaves almost the same as a regular scope. 重要な違いは、排他スコープに関連付けられた役割がユーザーに割り当てられていない場合に、排他スコープ内に含まれるオブジェクトへのアクセスを拒否できることです。The key difference is that it enables you to deny users access to objects contained within the exclusive scope if those users aren't assigned a role associated with the exclusive scope. すべての排他的スコープは明示的スコープです。これについては、このトピックで後述します。All exclusive scopes are explicit scopes, which are discussed later in this topic.

    排他的スコープの詳細については、「排他スコープについて」を参照してください。For more information about exclusive scopes, see Understanding exclusive scopes.

スコープは、管理役割から継承するか、管理役割割り当てで定義済みの相対スコープとして指定するか、カスタム フィルターを使用して作成して管理役割割り当てに追加することができます。管理役割から継承される管理スコープは暗黙的スコープと呼ばれ、定義済みおよびカスタムのスコープは明示的スコープと呼ばれます。以下のセクションでは、各種スコープについて説明します。Scopes can be inherited from the management role, specified as a predefined relative scope on a management role assignment, or created using custom filters and added to a management role assignment. Scopes inherited from management roles are called implicit scopes while predefined and custom scopes are called explicit scopes. The following sections describe each type of scope:

  • Implicit ScopesImplicit Scopes

  • Explicit ScopesExplicit Scopes

  • Predefined Relative ScopesPredefined Relative Scopes

  • Custom ScopesCustom Scopes

    • Recipient Filter ScopesRecipient Filter Scopes

    • Configuration ScopesConfiguration Scopes

各役割には、次の種類のスコープを設定できます。Each role can have the following types of scopes:

  • 受信者の読み取りスコープ: 暗黙的受信者読み取りスコープは、Active Directory からの読み取りを許可する、ユーザーによって管理役割が割り当てられた受信者オブジェクトを決定します。Recipient read scope: The implicit recipient read scope determines what recipient objects the user assigned the management role is allowed to read from Active Directory.

  • 受信者の書き込みスコープ: 暗黙的受信者書き込みスコープは、Active Directory での変更を許可する、ユーザーが管理役割を割り当てた受信者オブジェクトを決定します。Recipient write scope: The implicit recipient write scope determines what recipient objects the user assigned the management role is allowed to modify in Active Directory.

  • 構成の読み取りスコープ: 暗黙的構成読み取りスコープは、Active Directory からの読み取りを許可する、ユーザーが管理役割を割り当てた構成オブジェクトを決定します。Configuration read scope: The implicit configuration read scope determines what configuration objects the user assigned the management role is allowed to read from Active Directory.

  • 構成の書き込みスコープ: 暗黙的構成書き込みスコープは、Active Directory での変更を許可する、ユーザーが管理役割を割り当てた組織、データベース、およびサーバーオブジェクトを決定します。Configuration write scope: The implicit configuration write scope determines what organizational, database, and server objects the user assigned the management role is allowed to modify in Active Directory.

受信者オブジェクトには、メールボックス、配布グループ、メールが有効なユーザー、およびその他のオブジェクトが含まれます。構成オブジェクトには、Microsoft Exchange Server 2013 を実行しているサーバーと、Exchange を実行しているサーバーにあるデータベースが含まれます。各種スコープは、暗黙的スコープまたは明示的スコープのいずれかです。Recipient objects include mailboxes, distribution groups, mail enabled users, and other objects. Configuration objects include servers running Microsoft Exchange Server 2013, and databases located on servers running Exchange. Each type of scope can be either an implicit scope or explicit scope.

暗黙的スコープImplicit scopes

暗黙的スコープは、管理役割の種類に適用される既定のスコープです。暗黙的スコープが管理役割の種類に関連付けられているため、同じ役割の種類の親および子の管理役割もすべて暗黙的スコープが設定されます。暗黙的スコープは、組み込み管理役割とカスタム管理役割の両方に適用されます。管理役割と管理役割の種類については、「管理の役割について」を参照してください。Implicit scopes are the default scopes that apply to a management role type. Because implicit scopes are associated with a management role type, all of the parent and child management roles with the same role type also have the same implicit scopes. Implicit scopes apply to both built-in management roles and also to custom management roles. For more information about management roles and management role types, see Understanding management roles.

以下の表は、管理役割で定義できる暗黙的スコープのすべてを示します。The following tables list all of the implicit scopes that can be defined on management roles.

管理役割で定義された暗黙的スコープImplicit scopes defined on management roles

暗黙的スコープImplicit scopes 説明Description

Organization

Organization役割の受信者書き込みスコープ内にある場合、役割は Exchange 組織全体にわたって受信者オブジェクトを作成または変更できます。If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Organization役割の受信者読み取りスコープ内にある場合、役割は Exchange 組織全体にわたって受信者オブジェクトを表示できます。If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

MyGAL

MyGAL役割の受信者書き込みスコープ内にある場合、役割は現在のユーザーのグローバルアドレス一覧 (GAL) 内の任意の受信者のプロパティを表示できます。If MyGAL is present in the role's recipient write scope, the role can view the properties of any recipient within the current user's global address list (GAL).

MyGAL役割の受信者読み取りスコープ内にある場合、役割は現在の GAL 内の任意の受信者のプロパティを表示できます。If MyGAL is present in the role's recipient read scope, the role can view the properties of any recipient within the current GAL.

このスコープは、受信者読み取りスコープでのみ使用されます。This scope is used only with recipient read scopes.

Self

Self役割の受信者書き込みスコープ内にある場合、役割は現在のユーザーのメールボックスのプロパティのみを変更できます。If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Self役割の受信者読み取りスコープ内にある場合、役割は現在のユーザーのメールボックスのプロパティのみを表示できます。If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

MyDistributionGroups

MyDistributionGroups役割の受信者書き込みスコープ内にある場合、役割は現在のユーザーが所有する配布リストオブジェクトを作成または変更できます。If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

MyDistributionGroups役割の受信者読み取りスコープ内にある場合、役割は現在のユーザーが所有する配布リストオブジェクトを表示できます。If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

OrganizationConfig

OrganizationConfig役割の構成書き込みスコープ内にある場合、役割は Exchange 組織全体にわたってサーバーまたはデータベース構成オブジェクトを作成または変更できます。If OrganizationConfig is present in the role's configuration write scope, the role can create or modify any server or database configuration object across the Exchange organization.

OrganizationConfig役割の構成読み取りスコープ内にある場合、役割は Exchange 組織全体にわたってサーバーまたはデータベース構成オブジェクトを表示できます。If OrganizationConfig is present in the role's configuration read scope, the role can view any server or database configuration object across the Exchange organization.

このスコープは、構成読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with configuration read and write scopes.

None

Noneスコープ内にある場合、役割はそのスコープを使用できません。If None is in a scope, that scope isn't available to the role. たとえば、受信者の書き込みスコープNone内にある役割は、Exchange 組織内の受信者オブジェクトを変更できません。For example, a role that has None in the recipient write scope can't modify recipient objects in the Exchange organization.

役割が役割担当者に割り当てられ、定義済みまたはカスタムのスコープが指定されていない場合は、ユーザーが表示または変更できる受信者または組織オブジェクトを制御するために、役割で定義された暗黙的スコープが使用されます。If a role is assigned to a role assignee and no predefined or custom scopes are specified, the implicit scopes defined on the role are used to control the recipient or organization objects the user can view or modify.

役割の暗黙的書き込みスコープは、常に暗黙的読み取りスコープ以下です。つまり、役割はスコープによって表示できないオブジェクトを変更することはできません。The implicit write scope of a role is always equal to, or less than, the implicit read scope. This means that a role can never modify objects that can't be seen by the scope.

管理役割で定義された暗黙的スコープを変更することはできません。You can't change the implicit scopes defined on management roles. ただし、管理役割で暗黙的書き込みスコープと構成スコープを上書きすることはできます。You can, however, override the implicit write scope and configuration scope on a management role. 定義済みの相対スコープまたはカスタム スコープが役割割り当てで使用される場合、役割の暗黙的書き込みスコープが上書きされ、新しいスコープが優先されます。When a predefined relative scope or custom scope is used on a role assignment, the implicit write scope of the role is overridden, and the new scope takes precedence. 役割の暗黙的読み取りスコープは、上書きできず、常に適用されます。The implicit read scope of a role can't be overridden and always applies. 詳細については、「定義済み相対スコープとカスタムスコープ」を参照してください。For more information, see Predefined Relative Scopes and Custom Scopes.

以下の表を展開すると、すべての組み込み管理役割とそれらの暗黙的スコープのリストが表示されます。各組み込みの役割の詳細については、「組み込みの管理役割」を参照してください。Expand the following table to see a list of all the built-in management roles and their implicit scopes. For more information about each built-in role, see Built-in management roles.

組み込み管理役割の暗黙的スコープBuilt-in management role implicit scopes

管理役割Management role 受信者の読み取りスコープRecipient read scope 受信者の書き込み範囲Recipient write scope 構成の読み取り範囲Configuration read scope 構成の書き込み範囲Configuration write scope

Active Directory Permissions

Organization

Organization

OrganizationConfig

OrganizationConfig

Address Lists

Organization

Organization

OrganizationConfig

OrganizationConfig

ApplicationImpersonation

Organization

Organization

None

None

ArchiveApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Audit Logs

Organization

Organization

OrganizationConfig

OrganizationConfig

Cmdlet Extension Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Data Loss Prevention

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Availability Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Database Copies

Organization

Organization

OrganizationConfig

OrganizationConfig

Databases

Organization

Organization

OrganizationConfig

OrganizationConfig

Disaster Recovery

Organization

Organization

OrganizationConfig

OrganizationConfig

Distribution Groups

Organization

Organization

OrganizationConfig

OrganizationConfig

Edge Subscriptions

Organization

Organization

OrganizationConfig

OrganizationConfig

E-Mail Address Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Server Certificates

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Servers

Organization

Organization

OrganizationConfig

OrganizationConfig

Exchange Virtual Directories

Organization

Organization

OrganizationConfig

OrganizationConfig

Federated Sharing

Organization

Organization

OrganizationConfig

OrganizationConfig

Information Rights Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Journaling

Organization

Organization

OrganizationConfig

OrganizationConfig

Legal Hold

Organization

Organization

OrganizationConfig

None

LegalHoldApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Enabled Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipient Creation

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Recipients

Organization

Organization

OrganizationConfig

OrganizationConfig

Mail Tips

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Import Export

Organization

Organization

OrganizationConfig

OrganizationConfig

Mailbox Search

Organization

Organization

None

None

MailboxSearchApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

Message Tracking

Organization

Organization

OrganizationConfig

OrganizationConfig

Migration

Organization

Organization

OrganizationConfig

OrganizationConfig

Monitoring

Organization

Organization

OrganizationConfig

OrganizationConfig

Move Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

OfficeExtensionApplication

Self

Self

OrganizationConfig

OrganizationConfig

My Custom Apps

Self

Self

OrganizationConfig

OrganizationConfig

My Marketplace Apps

Self

Self

OrganizationConfig

OrganizationConfig

MyAddressInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyBaseOptions

Self

Self

OrganizationConfig

OrganizationConfig

MyContactInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyDiagnostics

Self

Self

OrganizationConfig

OrganizationConfig

MyDisplayName

Self

Self

OrganizationConfig

OrganizationConfig

MyDistributionGroupMembership

MyGAL

MyGAL

None

None

MyDistributionGroups

MyGAL

MyDistributionGroups

OrganizationConfig

None

MyMobileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyName

Self

Self

OrganizationConfig

OrganizationConfig

MyPersonalInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyProfileInformation

Self

Self

OrganizationConfig

OrganizationConfig

MyRetentionPolicies

Self

Self

OrganizationConfig

OrganizationConfig

MyTeamMailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

MyTextMessaging

Self

Self

OrganizationConfig

OrganizationConfig

MyVoiceMail

Self

Self

OrganizationConfig

OrganizationConfig

Organization Client Access

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Configuration

Organization

Organization

OrganizationConfig

OrganizationConfig

Organization Transport Settings

Organization

Organization

OrganizationConfig

OrganizationConfig

POP3 And IMAP4 Protocols

Organization

Organization

OrganizationConfig

OrganizationConfig

Public Folders

Organization

Organization

OrganizationConfig

OrganizationConfig

Receive Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Recipient Policies

Organization

Organization

OrganizationConfig

OrganizationConfig

Remote and Accepted Domains

Organization

Organization

OrganizationConfig

OrganizationConfig

Reset Password

Organization

Organization

OrganizationConfig

OrganizationConfig

Retention Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

Security Group Creation and Membership

Organization

Organization

OrganizationConfig

OrganizationConfig

Send Connectors

Organization

Organization

OrganizationConfig

OrganizationConfig

Support Diagnostics

Organization

Organization

OrganizationConfig

OrganizationConfig

TeamMailboxLifecycleApplication

Self

Self

OrganizationConfig

OrganizationConfig

Transport Agents

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Hygiene

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Queues

Organization

Organization

OrganizationConfig

OrganizationConfig

Transport Rules

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Mailboxes

Organization

Organization

OrganizationConfig

OrganizationConfig

UM Prompts

Organization

Organization

OrganizationConfig

OrganizationConfig

Unified Messaging

Organization

Organization

OrganizationConfig

OrganizationConfig

UnScoped Role Management

Organization

Organization

OrganizationConfig

OrganizationConfig

UserApplication

Organization

Organization

OrganizationConfig

OrganizationConfig

User Options

Organization

Organization

OrganizationConfig

OrganizationConfig

View-Only Audit Logs

Organization

None

OrganizationConfig

None

View-Only Configuration

Organization

None

OrganizationConfig

None

View-Only Recipients

Organization

None

OrganizationConfig

None

WorkloadManagement

Organization

Organization

OrganizationConfig

OrganizationConfig

明示的スコープExplicit scopes

明示的スコープは、管理役割がどのオブジェクトを変更できるかをユーザー自身で設定して制御するスコープです。暗黙的スコープは管理役割で定義されますが、明示的スコープが管理役割割り当てで定義されます。つまり、最優先の明示的スコープの使用を選択しなければ、管理役割全体に暗黙的スコープを定常的に適用できます。管理役割の割り当ての詳細については、「管理役割の割り当てについて」を参照してください。Explicit scopes are scopes that you set yourself to control which objects a management role can modify. Although implicit scopes are defined on a management role, explicit scopes are defined on a management role assignment. This enables the implicit scopes to be applied consistently across all management roles unless you choose to use an overriding explicit scope. For more information about management role assignments, see Understanding management role assignments.

明示的スコープは、管理役割の暗黙的書き込みスコープと構成スコープを上書きします。明示的スコープは、管理役割の暗黙的読み取りスコープを上書きしません。暗黙的読み取りスコープは、管理役割が読み取ることができるオブジェクトの定義を継続します。Explicit scopes override the implicit write and configuration scopes of a management role. They don't override the implicit read scope of a management role. The implicit read scope continues to define what objects the management role can read.

明示的スコープは、管理役割の暗黙的書き込みスコープがビジネス要件を満たしていない場合に役立ちます。Explicit scopes are useful when the implicit write scope of a management role doesn't meet the needs of your business. 新しいスコープが暗黙的読み取りスコープの範囲を超えない限り、必要とするほとんどすべてを含むために明示的スコープを追加できます。You can add an explicit scope to include nearly anything you want as long as the new scope doesn't exceed the bounds of the implicit read scope. 管理役割の一部であるコマンドレットは、オブジェクトを作成または変更するためにコマンドレットのオブジェクトを含むオブジェクトまたはコンテナーに関する情報を読み取ることができる必要があります。The cmdlets that are part of a management role must be able to read information about the objects or containers that contain objects for the cmdlets to create or modify objects. たとえば、管理役割の暗黙的読み取りスコープがにSelf設定されている場合は、明示的な書き込みスコープがOrganization暗黙的読み取りスコープの範囲を超えているため、の明示的な書き込みスコープを追加することはできません。For example, if the implicit read scope on a management role is set to Self, you can't add an explicit write scope of Organization because the explicit write scope exceeds the bounds of the implicit read scope.

詳細については、以下のセクションを参照してください。For more information, see the following sections:

  • Predefined Relative ScopesPredefined Relative Scopes

  • Custom ScopesCustom Scopes

定義済み相対スコープPredefined relative scopes

Exchange 2013 では、管理役割の範囲を変更するために使用できる複数の定義済み相対書き込みスコープを提供します。Exchange 2013 provides several predefined relative write scopes that you can use to modify scope of a management role. 定義済み相対スコープを使用すると、カスタム スコープを手動で作成しなくても、簡単にビジネス要件を細部まで一致させることができます。Predefined relative scopes provide an easy way for you to more closely match the needs of your business without having to create custom scopes manually. これらが相対スコープと呼ばれるのは、関連役割割り当てが割り当てられた役割担当者を基準とした、相対指定のスコープであるためです。They're called relative scopes because they're relative to the role assignee to which the associated role assignment is assigned. たとえば、定義済みSelf相対スコープは、その書き込みスコープを現在のユーザーのみに制限します。For example, the Self predefined relative scope restricts that write scope to the current user only. MyDistributionGroups定義済み相対スコープは、書き込みスコープを現在のユーザーが所有する配布グループのみに制限します。The MyDistributionGroups predefined relative scope restricts the write scope to the distribution group the current user owns only. 定義済み相対スコープは、受信者オブジェクトの範囲設定にのみ使用できます。Predefined relative scopes can only be used to scope recipient objects. 定義済み相対スコープは、構成オブジェクトの範囲設定には使用できません。Predefined relative scopes can't be used to scope configuration objects. 次の表は、使用できる定義済み相対スコープの一覧を示します。The following table lists the predefined relative scopes that you can use.

定義済み相対スコープPredefined relative scopes

暗黙的スコープImplicit scopes 説明Description

Organization

Organization役割の受信者書き込みスコープ内にある場合、役割は Exchange 組織全体にわたって受信者オブジェクトを作成または変更できます。If Organization is present in the role's recipient write scope, the role can create or modify recipient objects across the Exchange organization.

Organization役割の受信者読み取りスコープ内にある場合、役割は Exchange 組織全体にわたって受信者オブジェクトを表示できます。If Organization is present in the role's recipient read scope, roles can view any recipient object across the Exchange organization.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

Self

Self役割の受信者書き込みスコープ内にある場合、役割は現在のユーザーのメールボックスのプロパティのみを変更できます。If Self is present in the role's recipient write scope, the role can modify only the properties of the current user's mailbox.

Self役割の受信者読み取りスコープ内にある場合、役割は現在のユーザーのメールボックスのプロパティのみを表示できます。If Self is present in the role's recipient read scope, the role can view only the properties of the current user's mailbox.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

MyDistributionGroups

MyDistributionGroups役割の受信者書き込みスコープ内にある場合、役割は現在のユーザーが所有する配布リストオブジェクトを作成または変更できます。If MyDistributionGroups is present in the role's recipient write scope, the role can create or modify distribution list objects owned by the current user.

MyDistributionGroups役割の受信者読み取りスコープ内にある場合、役割は現在のユーザーが所有する配布リストオブジェクトを表示できます。If MyDistributionGroups is present in the role's recipient read scope, the role can view distribution list objects owned by the current user.

このスコープは、受信者の読み取りおよび書き込みスコープでのみ使用されます。This scope is used only with recipient read and write scopes.

定義済み相対スコープは、新しい管理役割割当てを作成するときに適用されます。Predefined relative scopes are applied when you create a new management role assignment. 役割の割り当ての作成時に、 RecipientRelativeWriteScopeパラメーター **** を使用して、定義済み相対スコープを指定できます。During the creation of the role assignment, using the New-ManagementRoleAssignment cmdlet, you can specify a predefined relative scope using the RecipientRelativeWriteScope parameter. 新しい役割割り当てが作成されると、新しい定義済み役割が管理役割の暗黙的書き込みスコープを上書きします。When the new role assignment is created, the new predefined role overrides the implicit write scope of the management role. 定義済み相対スコープを持つ役割割り当てを作成する場合に、カスタム受信者スコープを指定することはできません。You can't specify a custom recipient scope when you create a role assignment with a predefined relative scope. ただし、必要な場合は、カスタム構成スコープを指定できます。You can, however, specify a custom configuration scope if needed.

定義済み相対スコープと共に管理役割割り当てを追加する方法については、「ユーザーまたは USG に役割を追加する」を参照してください。For more information about how to add a management role assignment with a predefined relative scope, see Add a role to a user or USG.

カスタム スコープCustom scopes

カスタム スコープは、暗黙的書き込みスコープと定義済み相対スコープのどちらもビジネス要件に対応できない場合に必要です。カスタム スコープでは、管理役割を適用するスコープを詳細レベルで定義できます。たとえば、特定の組織単位 (OU)、特定の種類の受信者、またはその両方を対象にする場合があります。または、単に管理者のグループでメールボックス データベースの特定セットを管理できるようにする場合があります。Custom scopes are needed when neither the implicit write scope nor the predefined relative scopes meet the needs of your business. Custom scopes enable you to define, at a granular level, the scope to which your management role will be applied. For example, you might want to target a specific organizational unit (OU), a specific type of recipient, or both. Or, you might only want to allow a group of administrators to be able to manage a specific set of mailbox databases.

定義済み相対スコープと同様に、カスタム スコープは管理役割で定義された暗黙的書き込みおよび組織構成スコープを上書きします。管理役割の暗黙的読み取りスコープは続いて適用され、結果のカスタム スコープは暗黙的読み取りスコープの範囲を超えることができません。次の 3 種類のカスタム スコープを作成できます。As with predefined relative scopes, custom scopes override the implicit write and organization configuration scopes defined on management roles. The implicit read scope on management roles continue to apply and the resulting custom scope must not exceed the boundaries of the implicit read scope. You can create the following three types of custom scopes:

  • Ou スコープ: ou スコープは、最も単純なカスタムスコープであり、 RecipientOrganizationalUnitScopeパラメーターを使用して、新しい managementroleassignmentコマンドレットで作成されます。OU scope: An OU scope, which is the simplest custom scope, is created using the RecipientOrganizationalUnitScope parameter on the New-ManagementRoleAssignment cmdlet. 役割の割り当て時に OU スコープを指定することによって、役割が割り当てられた役割担当者はその OU 内の受信者オブジェクトのみを変更できます。By specifying an OU scope when a role is assigned, the role assignee assigned the role can modify only recipient objects within that OU. OU スコープと共に管理役割割り当てを追加する方法については、「 ユーザーまたは USG に役割を追加する」を参照してください。For more information about how to add a management role assignment with an OU scope, see Add a role to a user or USG.

  • 受信者フィルタースコープ: 受信者フィルタースコープは、フィルターを使用して、受信者の種類または部署、マネージャー、場所などの他の受信者のプロパティに基づいて特定の受信者を対象にします。Recipient filter scope: Recipient filter scopes use filters to target specific recipients based on recipient type or other recipient properties such as department, manager, location, and more. 詳細については、「受信者フィルタースコープ」セクションを参照してください。For more information, see the Recipient Filter Scopes section.

  • 構成スコープ: 構成スコープは、フィルターまたはリストを使用して、サーバーリストまたは Active Directory サイトやサーバーの役割などのサーバーで定義できるフィルター可能なプロパティに基づいて、特定のサーバーを対象にします。Configuration scope: Configuration scopes use filters or lists to target specific servers based on server lists or filterable properties that can be defined on servers, such as an Active Directory site or a server role. データベース一覧やフィルター可能データベース プロパティに従って特定のデータベースを指定するとき、構成スコープではデータベース スコープも使用できます。Configuration scopes can also use database scopes to target specific databases based on database lists or filterable database properties. 詳細については、「構成スコープ」セクションを参照してください。For more information, see the Configuration Scopes section.

単純かつ広範または複雑かつ詳細な受信者および構成カスタム スコープは、 New-ManagementScope コマンドレットを使用して作成できます。受信者スコープまたは構成スコープのいずれかを作成すると、それぞれのスコープに一致する受信者、サーバー、またはデータベースのオブジェクトのみが返されます。これらのスコープが New-ManagementRoleAssignment または Set-ManagementRoleAssignment コマンドレットを使用して役割割り当てに適用されると、役割が割り当てられた役割担当者がスコープに一致するオブジェクトのみを変更できます。カスタム スコープが作成された後は、スコープの種類を変更できません。受信者スコープは常に受信者スコープであり、構成スコープは常に構成スコープです。Simple and broad or complex and granular recipient and configuration custom scopes can be created by using the New-ManagementScope cmdlet. When you create either a recipient or configuration scope, only the recipient, server, or database objects that match their respective scopes are returned. When these scopes are applied to a role assignment using the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlets, only the objects that match the scopes can be modified by the role assignees who are assigned the role. After a custom scope has been created, you can't change the scope type. A recipient scope is always a recipient scope and a configuration scope is always a configuration scope.

既定では、カスタム スコープによって、定義するスコープに一致したオブジェクトのセットに役割担当者がアクセスすることができます。ただし、フィルターは同一または同等のスコープも割り当てられていない他の役割担当者へのアクセスをアクティブに除外しません。カスタム スコープは、それらのスコープへのリストまたはフィルターが同一オブジェクトに一致する場合、同一オブジェクトにアクセスできます。上級管理者など、この操作が不要なオブジェクトがあります。これらのオブジェクトに対して、排他的スコープを定義できます。排他的スコープは、通常スコープと同じ方法でフィルターまたはリストを使用しますが、通常スコープと異なり、同一または同等の排他的スコープに含まれない人物によるスコープ内のオブジェクトへのアクセスを拒否します。排他的スコープの詳細については、「排他スコープについて」を参照してください。By default, a custom scope enables a role assignee to access a set of objects that match the scopes you define. However, they don't actively exclude access to other role assignees who aren't also assigned the same or equivalent scope. Any custom scope can access the same objects if the lists or filters on those scopes match the same objects. There might be objects where this behavior isn't wanted, such as in the case of executives. For these objects, you can define exclusive scopes. Exclusive scopes use filters or lists in the same way as regular scopes but unlike regular scopes, deny access to objects included in the scope to anyone who isn't part of the same or equivalent exclusive scope. For more information about exclusive scopes, see Understanding exclusive scopes.

受信者フィルター スコープRecipient filter scopes

受信者フィルタースコープを使用すると、受信者オブジェクトの1つ以上のプロパティをフィルターステートメントで指定した値に対して評価することによって、役割担当者が管理できる受信者オブジェクトを制御できます。Recipient filter scopes enable you to control which recipient objects role assignees can manage by evaluating one or more properties on a recipient object against a value that you specify in a filter statement. 受信者の範囲に含まれる受信者は、メールボックス、メールが有効なユーザー、配布グループ、およびメール連絡先です。Recipients included in recipient scopes are mailboxes, mail-enabled users, distribution groups and mail contacts. 指定したフィルターに一致する受信者のみが、その役割の割り当てを割り当てられた役割担当者が管理できます。Only the recipients that match the filter you specify can be managed by the role assignees assigned that role assignment. Filter ステートメントの例として{ Name -Eq "David" }Nameが、評価される受信者オブジェクトのプロパティ、 Davidがプロパティに対して評価する値です。An example of a filter statement is { Name -Eq "David" } where Name is the property on the recipient object that's being evaluated and David is the value you want to evaluate against the property. -Eq比較演算子は、プロパティに格納された値が、フィルターが true になるように指定された値と等しくなければならないことを示します。The -Eq comparison operator indicates that the value stored in the property must be equal to the value that was specified for the filter to be true. フィルターが true の場合は、その受信者がスコープに含まれます。If the filter is true, that recipient is included in scope.

受信者フィルタースコープは、 RecipientRestrictionFilterパラメーターと共に使用する受信者フィルターを、新しい管理スコープコマンドレットで指定することによって作成されます。Recipient filter scopes are created by specifying the recipient filter to use with the RecipientRestrictionFilter parameter on the New-ManagementScope cmdlet. 既定では、 New-ManagementScope コマンドレットが正規のスコープを作成します。By default, the New-ManagementScope cmdlet creates regular scopes. 排他的スコープを作成する場合は、 RecipientRestrictionFilterパラメーターと共に排他スイッチを含めます。If you want to create an exclusive scope, include the Exclusive switch along with the RecipientRestrictionFilter parameter.

受信者制限フィルターを作成する場合、Exchange は、既定で組織内の受信者オブジェクトごとに指定したフィルターを評価します。When you create a recipient restriction filter, Exchange evaluates the filter you provided against every recipient object in the organization by default. スコープが評価する受信者を制限する場合は、 RecipientRestrictionFilterパラメーターと共に、受信者ルートパラメーターを使用できます。If you want to limit which recipients the scope evaluates, you can use the RecipientRoot parameter along with the RecipientRestrictionFilter parameter. 受信者ルートパラメーターには、OU を指定できます。The RecipientRoot parameter accepts an OU. 受信者ルートパラメーターを使用すると、指定したフィルターに対して指定した OU に含まれる受信者のみが、Exchange によって評価されます。When you use the RecipientRoot parameter, Exchange evaluates only the recipients included in the specified OU against the filter you provided.

受信者フィルタースコープを役割の割り当てに追加するときは、新しい役割の割り当てを作成する場合は、 CustomRecipientWriteScopeパラメーター **** で受信者の範囲の名前を指定するか、または既存の役割の割り当てを更新している場合は、設定-ManagementRoleAssignment コマンドレット。When you add a recipient filter scope to a role assignment, specify the name of the recipient scope in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. 各ロールの割り当てには、定義済みの相対的なスコープなど、1 つの受信者スコープを指定できます。Each role assignment can have one recipient scope, including predefined relative scopes. 受信者スコープの追加先となった同じ役割の割当てに対して、1 つの構成スコープを追加できます。You can add one configuration scope to the same role assignment you added a recipient scope to.

フィルター構文の詳細と、受信者に対するフィルター可能な受信者プロパティの全リストについては、「管理ロールのスコープ フィルターについて」を参照してください。For more information about filter syntax and for a full list of filterable recipient properties on recipients, see Understanding management role scope filters.

構成スコープConfiguration scopes

次の 2 種類の構成のスコープが Exchange 2013 で提供されます。The following are the two types of configuration scopes offered in Exchange 2013:

  • サーバースコープ: サーバースコープには、サーバーフィルタースコープとサーバーリストスコープという2つの種類があります。Server scopes: There are two types of server scopes, server filter scopes and server list scopes. 受信コネクタ、トランスポート キュー、サーバー証明書、仮想ディレクトリなどのサーバー構成は、サーバー スコープにサーバー オブジェクトが含まれる場合に管理できます。Server configuration, including Receive connectors, transport queues, server certificates, virtual directories, and so on, can be managed if a server object is included in a server scope.

    • サーバーフィルタースコープ: サーバーフィルタースコープを使用すると、サーバーオブジェクト上の1つ以上のプロパティをフィルターステートメントで指定した値に対して評価することによって、役割担当者が管理できるサーバーオブジェクトを制御できます。Server filter scopes: Server filter scopes enable you to control which server objects role assignees can manage by evaluating one or more properties on a server object against a value that you specify in a filter statement. サーバーフィルタースコープを作成するには、 ServerRestrictionFilterパラメーターを新しい管理スコープのコマンドレットで使用します。To create a server filter scope, use the ServerRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • サーバーリストスコープ: サーバーリストスコープを使用すると、役割担当者がアクセスできるサーバーのリストを定義することによって、役割担当者が管理できるサーバーオブジェクトを制御できます。Server list scopes: Server list scopes enable you to control which server objects role assignees can manage by defining a list of servers that a role assignee can access. サーバーリストスコープを作成するには、 ServerListパラメーターを新しい管理スコープのコマンドレットで使用します。To create a server list scope, use the ServerList parameter on the New-ManagementScope cmdlet.

  • データベーススコープ: データベーススコープには、データベースフィルタースコープとデータベースリストスコープという2つの種類があります。Database scopes: There are two types of database scopes, database filter scopes and database list scopes. データベース オブジェクトがデータベース スコープに含まれる場合に管理できるデータベース構成には、データベースのクォータ制限、データベース保守、パブリック フォルダー レプリケーション、データベースのマウント有無などがあります。Database configuration that can be managed if a database object is included in a database scope include database quota limits, database maintenance, public folder replication, whether a database is mounted, and so on. データベース構成以外に、データベース スコープ内にどのデータベース受信者を作成できるかも、データベース スコープで制御できます。In addition to database configuration, database scopes can also be used to control which databases recipients can be created in. 所属組織で Exchange 2010 SP1 より前のサーバーを使用している場合、このトピックの後半の データベース スコープと Exchange の以前のバージョン セクションを参照してください。If you have pre-Exchange 2010 SP1 servers in your organization, see the Database scopes and previous versions of Exchange section later in this topic.

    • データベースフィルタースコープ: データベースフィルタースコープを使用すると、データベースオブジェクトの1つ以上のプロパティをフィルターステートメントで指定した値に対して評価することによって、役割担当者が管理できるデータベースオブジェクトを制御できます。Database filter scopes: Database filter scopes enable you to control which database objects role assignees can manage by evaluating one or more properties on a database object against a value that you specify in a filter statement. データベースフィルタースコープを作成するには、 DatabaseRestrictionFilterパラメーターを新しい管理スコープのコマンドレットで使用します。To create a database filter scope, use the DatabaseRestrictionFilter parameter on the New-ManagementScope cmdlet.

    • データベースリストスコープ: データベースリストスコープを使用すると、役割担当者がアクセスできるデータベースのリストを定義することによって、役割担当者が管理できるデータベースオブジェクトを制御できます。Database list scopes: Database list scopes enable you to control which database objects role assignees can manage by defining a list of databases that a role assignee can access. データベースリストスコープを作成するには、新しい managementscopeコマンドレットでdatabaselistパラメーターを使用します。To create a database list scope, use the DatabaseList parameter on the New-ManagementScope cmdlet.

フィルター構文の詳細と、フィルター可能なサーバーおよびデータベース プロパティの全リストについては、「管理ロールのスコープ フィルターについて」を参照してください。For more information about filter syntax and for a full list of filterable server and database properties, see Understanding management role scope filters.

サーバーおよびデータベース リストを定義するには、それぞれのスコープの対象にする各サーバーおよびデータベースを指定します。複数のサーバーまたはデータベースは、サーバーとデータベースの名前をコンマで区切ることによって、それぞれのスコープに指定できます。Server and database lists can be defined by specifying each server and database you want to include in their respective scopes. Multiple servers or databases can be specified in their respective scopes by separating the server and database names with commas.

サーバーまたはデータベースの構成スコープを役割の割り当てに追加するときは、を作成する場合は、 CustomConfigWriteScopeパラメーターでサーバーまたはデータベース**** の構成スコープの名前を指定します。既存の役割の割り当てを更新している場合は、新しい役割の割り当て、またはManagementRoleAssignmentコマンドレット。When you add a server or database configuration scope to a role assignment, specify the name of the server or database configuration scope in the CustomConfigWriteScope parameter on the New-ManagementRoleAssignment cmdlet if you're creating a new role assignment, or the Set-ManagementRoleAssignment cmdlet if you're updating an existing role assignment. 各ロールの割り当てには、1 つの構成スコープのみを指定できます。Each role assignment can only have one configuration scope.

役割担当者が管理できるデータベースを制御することに加えて、データベース スコープを使用すると、役割担当者がメールボックスを作成できるデータベースを制御することもできます。In addition to controlling which databases role assignees can manage, database scopes also enable you to control which databases role assignees can create mailboxes on. これは、役割担当者が管理できる受信者の管理とは別です。This is separate from controlling which recipients a role assignee can manage. 役割担当者に新しいメールボックスを作成するか、既存ユーザーのメールを有効にするか、またはメールボックスを移動するアクセス許可がある場合、メールボックスを作成するデータベースまたはメールボックスの移動先のデータベースをデータベース スコープで制御することによって、アクセス許可を詳細に設定することができます。If a role assignee has permissions to create a new mailbox, mail-enable an existing user, or move mailboxes, you can further refine their permissions by using database scopes to control the database on which the mailbox is created, or which database a mailbox is moved to. 役割担当者が管理できる受信者を制御するには、 CustomRecipientWriteScopeパラメーターで指定された受信者の範囲を、新しい managementroleassignmentまたはmanagementroleassignmentコマンドレットで指定します。Controlling which recipients a role assignee can manage is done using a recipient scope specified in the CustomRecipientWriteScope parameter on the New-ManagementRoleAssignment or Set-ManagementRoleAssignment cmdlet. メールボックスを作成または移動できるデータベースを制御することは、同じコマンドレットのCustomConfigurationWriteScopeパラメーターで指定されたデータベーススコープを使用して制御されます。Controlling which databases a mailbox can be created on or moved to is controlled using a database scope specified in the CustomConfigurationWriteScope parameter on the same cmdlets.

注意

メールボックスの自動配布は、データベース スコープを使用して制御できます。Automatic mailbox distribution can be controlled using database scopes.

Exchange 機能では、サーバー スコープとデータベース スコープのどちらか、またはその両方の管理が必要な場合があります。サーバー スコープおよびデータベース スコープの両方が管理対象となる機能の場合、2 つの役割割り当てを作成して、機能の管理のためにアクセス許可を持つ必要がある役割担当者に割り当てる必要があります。役割割り当てのうち、1 つはサーバー スコープと関連付け、もう 1 つはデータベース スコープと関連付けます。Exchange features may require either server scopes, database scopes, or both, to be managed. If a feature requires both server and database scopes to be managed, two role assignments must be created and assigned to the role assignee that should have access to manage the feature. One role assignment should be associated with the server scope, and one role assignment should be associated with the database scope.

コマンドレットは、一目でわかる構成スコープを使用する場合もあります。次の表は、コマンドレットのリストと、利用を制御するために使用できる構成スコープを示します。受信者機能領域に含まれるコマンドレットの場合、構成スコープを使用すると、受信者を作成できるデータベースを制御できます。管理できる受信者は制御しません。 [必要なスコープ] 列は、以下の項目で構成できます。Some cmdlets may use configuration scopes that aren't immediately obvious. The following table includes a list of cmdlets and the configuration scopes that you can use to control their usage. For cmdlets included in the recipients feature area, configuration scopes enable you to control on which databases recipients can be created. They don't control which recipients can be managed. The Required scopes column can contain the following:

  • データベース: コマンドレットを実行するには、管理対象のデータベースを含むデータベーススコープを持つ役割割り当てを役割担当者に割り当てるか、役割の暗黙的な構成書き込みスコープに管理対象のデータベースを含める必要があります。Database: To run the cmdlet, the role assignee must be assigned a role assignment with a database scope that includes the database to be managed or the role's implicit configuration write scope must include the database to be managed.

  • サーバー: コマンドレットを実行するには、管理するサーバーを含むサーバースコープを持つ役割割り当てを役割担当者に割り当てるか、役割の暗黙的な構成書き込みスコープに管理対象のサーバーを含める必要があります。Server: To run the cmdlet, the role assignee must be assigned a role assignment with a server scope that includes the server to be managed or the role's implicit configuration write scope must include the server to be managed.

  • サーバーまたはデータベース: コマンドレットを実行するには、役割担当者に、管理対象のデータベースを含むデータベーススコープが含まれているか、またはサーバースコープにデータベースがあるサーバーが含まれている役割の割り当てを割り当てる必要があります。Server or database: To run the cmdlet, the role assignee must be assigned a role assignment where either a database scope includes the database being managed, or where a server scope includes the server where the database is located. または、役割の暗黙的構成書き込みスコープは、管理対象のデータベースを含むか、データベースが置かれたサーバーを含む必要があり、役割の割り当てにはカスタム書き込みスコープを設定できません。Or, the role's implicit configuration write scope must contain the database to be managed, or contain the server where the database is located, and the role assignment can't have a custom write scope.

  • サーバーとデータベース: このコマンドレットを実行するには、役割担当者に2つの役割の割り当てを割り当てる必要があります。Server and database: To run this cmdlet, the role assignee must be assigned two role assignments. 最初の役割割り当てには、管理対象のデータベースを含むデータベース スコープを指定する必要があります。The first role assignment must include a database scope that includes the database to be managed. 2 番目の役割割り当てには、データベースが置かれたサーバーを含むサーバー スコープを指定する必要があります。The second role assignment must include a server scope that includes the server where the database is located. 役割割り当ては、カスタム構成スコープを定義することができるか、暗黙的構成書き込みスコープを役割から継承できます。The role assignments can have custom configuration scopes defined, or the role assignments can inherit the implicit configuration write scope from the role. 役割から暗黙的書き込みスコープを継承するには、役割割り当てはカスタムの書き込みスコープを指定できません。To inherit the implicit write scope from the role, the role assignment can't have a custom write scope.

機能領域と適用可能なデータベース スコープおよびサーバー スコープFeature areas and applicable database and server scopes

機能領域Feature area コマンドレットCmdlet 必要なスコープRequired scopes

DatabasesDatabases

Dismount-DatabaseDismount-Database

データベースDatabase

DatabasesDatabases

Mount-DatabaseMount-Database

データベースDatabase

DatabasesDatabases

Move-DatabasePathMove-DatabasePath

サーバーおよびデータベースServer and database

DatabasesDatabases

Set-mailboxdatabaseRemove-MailboxDatabase

サーバーまたはデータベースServer or database

データベースDatabases

Set-mailboxdatabaseSet-MailboxDatabase

データベースDatabase

高可用性High availability

Add-databaseavailabilitygroupserverAdd-DatabaseAvailabilityGroupServer

サーバーServer

高可用性High availability

Update-mailboxdatabasecopyAdd-MailboxDatabaseCopy

サーバーServer

高可用性High availability

移動-ActiveMailboxDatabaseMove-ActiveMailboxDatabase

サーバーServer

高可用性High availability

Add-databaseavailabilitygroupserverRemove-DatabaseAvailabilityGroupServer

サーバーServer

高可用性High availability

Update-mailboxdatabasecopyRemove-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

高可用性High availability

Update-mailboxdatabasecopyResume-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

高可用性High availability

Update-mailboxdatabasecopySet-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

高可用性High availability

Update-mailboxdatabasecopySuspend-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

高可用性High availability

Update-MailboxDatabaseCopyUpdate-MailboxDatabaseCopy

サーバーまたはデータベースServer or database

受信者Recipients

Connect-MailboxConnect-Mailbox

データベースDatabase

受信者Recipients

Enable-MailboxEnable-Mailbox

データベースDatabase

受信者Recipients

New-MailboxNew-Mailbox

データベースDatabase

受信者Recipients

New-MoveRequestNew-MoveRequest

データベースDatabase

トラブルシューティングTroubleshooting

Test-mapiconnectivityTest-MapiConnectivity

データベースDatabase

データベース スコープと Exchange の以前のバージョンDatabase scopes and previous versions of Exchange

データベース スコープを最初に導入したのは Microsoft Exchange 2010 Service Pack 1 (SP1) でしたが、Exchange 2013 でも引き続きサポートしています。Exchange 2010 SP1 より前のバージョンの Exchange でサポートしているのは、受信者スコープとサーバー構成スコープだけです。新しいデータベース スコープを Exchange 2010 SP1 以降のサーバーで作成すると、次の警告が表示されます。Database scopes were first introduced in Microsoft Exchange 2010 Service Pack 1 (SP1) and continue to be supported in Exchange 2013. Versions of Exchange prior to Exchange 2010 SP1 support only recipient scopes and server configuration scopes. When you create a new database scope on an Exchange 2010 SP1 or later server, you'll receive the following warning:

WARNING: Database management scopes will only be applied when a user connects to a server running Exchange 2010 SP1 or later. Servers running a version of Exchange prior to Exchange 2010 SP1 won't apply any roles from a role assignment linked to a database scope. Database management scopes also won't be visible to the Get-ManagementScope cmdlet when it's run from a pre-Exchange 2010 SP1 server.

データベース スコープを作成しても、適用されるのは Exchange 2010 SP1 以降を実行しているサーバーに接続するユーザーのみです。Exchange 2010 SP1 より前のサーバーに接続するユーザーには、適用されたデータベース スコープに関連付けた役割割り当てがありません。つまり、これらの役割割り当てで指定するアクセス許可は、ユーザーが Exchange 2010 SP1 より前のサーバーに接続するときには与えられません。データベース スコープは、Exchange 2010 SP1 より前のサーバーで作成、削除、変更、または表示することはできません。When you create a database scope, it's only applied to users who connect to servers running Exchange 2010 SP1 or later. Users who connect to pre-Exchange 2010 SP1 servers won't have any role assignments associated with database scopes applied to them. This means that any permissions provided by these role assignments won't be granted to users when they connect to pre-Exchange 2010 SP1 servers. Database scopes can't be created, removed, modified, or viewed from pre-Exchange 2010 SP1 servers.

データベース スコープには、Exchange 組織に任意のデータベースを指定できます。これには Exchange Server 2007、Exchange 2010、そして Exchange 2013 サーバーが含まれます。これにより、Exchange バージョンに関係なく、そのユーザーが管理できるデータベースを制御できるようになります。他のデータベース スコープと同様に、Exchange 2007 と Exchange 2010 のデータベースが含まれるデータベース スコープに関連付けられた役割割り当ては、ユーザーが Exchange 2010 SP1 以降のサーバーに接続するときだけに適用されます。A database scope can include any database in your Exchange organization. This includes Exchange Server 2007, Exchange 2010, and Exchange 2013 servers. This enables you to control which databases, regardless of Exchange version, that users can manage. As with other database scopes, role assignments associated with database scopes that contain Exchange 2007 and Exchange 2010 databases are only applied to users when they connect to an Exchange 2010 SP1 or later server.

Exchange 2010 SP1 より前のサーバーに接続するユーザーは、データベース スコープに関連付けられた役割割り当ての表示と変更ができます。これには、データベース スコープに現在関連付けられている場合、サーバー スコープへの既存の役割割り当てで構成スコープを変更することが含まれます。ただし、役割割り当ての構成スコープをサーバー スコープに変更した後、ユーザーがデータベース スコープに戻す場合、またはユーザーが構成スコープを別のデータベース スコープに変更する場合、ユーザーは Exchange 2010 SP1 以降のサーバーに接続している間に変更する必要があります。Exchange 2010 SP1 より前のサーバーに接続している場合、ユーザーがサーバー スコープを指定できるのは、役割割り当ての構成スコープの変更時だけです。Users who connect to a pre-Exchange 2010 SP1 server can view and modify role assignments associated with database scopes. This includes changing the configuration scope on an existing role assignment to a server scope if it's currently associated with a database scope. However, if the configuration scope on a role assignment is changed to a server scope and a user later wants to change it back to a database scope, or if the user wants to change the configuration scope to another database scope, the user must make the change while connected to an Exchange 2010 SP1 or later server. Users can only specify server scopes when they change the configuration scope on a role assignment if they're connected to a pre-Exchange 2010 SP1 server.