役割ベースのアクセス制御についてUnderstanding Role Based Access Control

に適用されます: オンラインの交換、Exchange Server 2013Applies to: Exchange Online, Exchange Server 2013

Role Based Access Control (RBAC) は、Microsoft Exchange Server 2013 で使用されるアクセス許可モデルです。RBAC を使用すると、Exchange Server 2007 で行っていたようなアクセス制御リスト (ACL) の変更や管理を行う必要はありません。Exchange 2007 では、ACL には、予期しない結果が発生しないように ACL を変更する、アップグレード中に ACL の変更を維持する、標準的以外の方法で ACL を使用したため発生した問題をトラブルシューティングするといった課題がありました。Role Based Access Control (RBAC) is the permissions model used in Microsoft Exchange Server 2013. With RBAC, you don't need to modify and manage access control lists (ACLs), which was done in Exchange Server 2007. ACLs created several challenges in Exchange 2007, such as modifying ACLs without causing unintended consequences, maintaining ACL modifications through upgrades, and troubleshooting problems that occurred due to using ACLs in a nonstandard way.

RBAC を使用すると、管理者およびエンド ユーザーが実行できる操作を、広範なレベルと詳細なレベルの両方で制御できます。また、RBAC を使用すると、ユーザーと管理者に割り当てる役割を、組織内で保持する実際の役割に合わせることができます。Exchange 2007 では、サーバー アクセス許可モデルは、Exchange 2007 インフラストラクチャを管理する管理者のみに適用されていました。Exchange 2013 では、RBAC によって、実行可能な管理タスクとユーザーが自分のメールボックスと配布グループを管理できる範囲の両方を管理できるようになりました。RBAC enables you to control, at both broad and granular levels, what administrators and end-users can do. RBAC also enables you to more closely align the roles you assign users and administrators to the actual roles they hold within your organization. In Exchange 2007, the server permissions model applied only to the administrators who managed the Exchange 2007 infrastructure. In Exchange 2013, RBAC now controls both the administrative tasks that can be performed and the extent to which users can now administer their own mailbox and distribution groups.

RBAC では、管理役割グループおよび管理役割割り当てポリシーの 2 つの主要な方法を使用して、ユーザーが管理者、専門家ユーザー、またはエンドユーザーであるかに応じて、組織内のユーザーにアクセス許可を割り当てます。各方法により、ユーザーは、ジョブの実行に必要なアクセス許可に関連付けられます。3 つ目として、直接ユーザー役割を割り当てるという、さらに高度な方法も使用することができます。このトピックの以下のセクションでは、RBAC を説明し、使用方法の例を示します。RBAC has two primary ways of assigning permissions to users in your organization, depending on whether the user is an administrator or specialist user, or an end-user: management role groups and management role assignment policies. Each method associates users with the permissions they need to perform their jobs. A third, more advanced method, direct user role assignment, can also be used. The following sections in this topic explain RBAC and provide examples of its use.

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2013 アクセス許可を管理する場合 (Exchange 管理センター (EAC) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可」を参照してください。This topic focuses on advanced RBAC functionality. If you want to manage basic Exchange 2013 permissions, such as using the Exchange admin center (EAC) to add and remove members to and from role groups, create and modify role groups, or create and modify role assignment policies, see Permissions.

内容Contents

管理役割グループManagement role groups

管理役割の割り当てポリシーManagement role assignment policies

直接のユーザー役割の割り当てDirect user role assignment

概要および例Summary and examples

詳細情報For more information

管理役割グループManagement role groups

管理の役割グループは、管理者または専門家ユーザーのグループに管理役割を関連付けます。管理者は、さまざまな Exchange の組織や受信者の構成を管理します。スペシャ リストのユーザーは、コンプライアンスなど、Exchange の特定の機能を管理します。または、ヘルプ デスクのメンバーなどの管理機能を制限しているが、広範な管理権限が指定されていません。役割グループは、通常、組織や受信者の構成を管理するには、管理者およびユーザーのスペシャ リストを有効にする管理者の管理役割を関連付けます。たとえば、管理者は受信者を管理する、またはメールボックス検出機能を使用するかどうか制御の役割グループを使用します。Management role groups associate management roles to a group of administrators or specialist users. Administrators manage a broad Exchange organization or recipient configuration. Specialist users manage the specific features of Exchange, such as compliance. Or they may have limited management abilities, such as Help desk members, but aren't given broad administrative rights. Role groups typically associate administrative management roles that enable administrators and specialist users to manage the configuration of their organization and recipients. For example, whether administrators can manage recipients or use mailbox discovery features is controlled using role groups.

役割グループへのユーザーの追加、または役割グループからのユーザーの削除は、管理者または専門家ユーザーにアクセス許可を割り当てる場合に最も頻繁に使用する方法です。詳細については、「管理役割グループについて」を参照してください。Adding or removing users to or from role groups is how you most often assign permissions to administrators or specialist users. For more information, see Understanding management role groups.

役割グループは、管理者と専門家ユーザーが実行できる操作を定義する次のコンポーネントから構成されます。Role groups consist of the following components that define what administrators and specialist users can do:

  • 役割グループの管理 管理役割グループは、メールボックス、ユーザー、Usg、およびその他の役割グループの役割グループのメンバーであるを含む特別なユニバーサル セキュリティ グループ (USG) です。これは、場所の追加し、削除、メンバーに割り当てられている管理の役割も。役割グループのすべてのロールの組み合わせでは、Exchange 組織内の役割グループに追加されたユーザーを管理するすべてのものを定義します。Management role group The management role group is a special universal security group (USG) that contains mailboxes, users, USGs, and other role groups that are members of the role group. This is where you add and remove members, and it's also what management roles are assigned to. The combination of all the roles on a role group defines everything that users added to a role group can manage in the Exchange organization.

  • 管理の役割 管理の役割は、管理役割のエントリのグループのコンテナーです。ロールを使用して、ロールが割り当てられている役割グループのメンバーによって実行できる特定のタスクを定義します。の管理役割のエントリは、コマンドレット、スクリプト、または実行する役割の各特定のタスクを有効にする特殊なアクセス許可です。詳細については、管理役割の理解を参照してください。Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that can be performed by the members of a role group that's assigned the role. A management role entry is a cmdlet, script, or special permission that enables each specific task in a role to be performed. For more information, see Understanding management roles.

  • 管理役割の割り当て管理役割の割り当ては、役割と役割グループをリンクします。ロール グループにロールを割り当てるには、ロールで定義されたパラメーター、コマンドレットを使用する機能の役割グループのメンバーが与えられます。ロールの割り当ては、割り当てを使用することができますコントロールする管理スコープを使用できます。詳細については、知識管理役割の割り当てを参照してください。Management role assignment A management role assignment links a role and a role group. Assigning a role to a role group grants members of the role group the ability to use the cmdlets and parameters defined in the role. Role assignments can use management scopes to control where the assignment can be used. For more information, see Understanding management role assignments.

  • 管理役割の権限適用範囲 管理役割の権限適用範囲は、影響を与えるまたは役割の割り当てに与える影響の範囲です。役割グループにスコープを持つ役割が割り当てられると、管理の範囲は、具体的にどのようなオブジェクトを管理するために割り当てを許可することをターゲットです。割り当ておよびそのスコープでは、役割グループのメンバーが表示され、それらのメンバーが管理できるものを制限します。スコープは、サーバーまたはデータベース、組織単位 (Ou)、またはオブジェクトのサーバー、データベース、または受信者のフィルターの一覧で構成できます。詳細については、管理役割のスコープを理解するを参照してください。Management role scope A management role scope is the scope of influence or impact on a role assignment. When a role is assigned with a scope to a role group, the management scope targets specifically what objects that assignment is allowed to manage. The assignment, and its scope, are then given to the members of the role group, and restrict what those members can manage. A scope can consist of a list of servers or databases, organizational units (OUs), or filters on server, database or recipient objects. For more information, see Understanding management role scopes.

ユーザーを役割グループに追加すると、ユーザーには、役割グループに割り当てられたすべての役割が与えられます。スコープが、役割グループと役割間でいずれかの役割の割り当てに適用されている場合、これらのスコープは、ユーザーが管理可能なサーバーの構成または受信者を制御できます。When you add a user to a role group, the user is given all of the roles assigned to the role group. If scopes are applied to any of the role assignments between the role group and the roles, those scopes control what server configuration or recipients the user can manage.

役割グループに割り当てられている役割を変更する場合、役割グループと役割を関連付けている役割の割り当てを変更する必要があります。Exchange 2013 に組み込まれている割り当てがニーズに合わない場合以外は、これらの割り当てを変更する必要はありません。詳細については、「管理役割の割り当てについて」を参照してください。If you want to change what roles are assigned to role groups, you need to change the role assignments that link the role groups to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

役割グループの詳細については、「管理役割グループについて」を参照してください。For more information about role groups, see Understanding management role groups.

管理役割の割り当てポリシーManagement role assignment policies

管理役割の割り当てポリシーは、エンドユーザーの管理役割をユーザーに関連付けます。役割の割り当てポリシーは、ユーザーが自分のメールボックスまたは配布グループでできることを制御する役割で構成されます。これらの役割は、ユーザーと直接関連付けられた機能を管理することを許可しません。役割の割り当てポリシーを作成するときに、ユーザーが自分のメールボックスに対して行える操作をすべて定義できます。たとえば、役割の割り当てポリシーを使用すれば、ユーザーに表示名の設定、ボイス メールの設定、および受信トレイ ルールの構成を許可することができます。別の役割の割り当てポリシーでは、ユーザーにアドレスの変更、テキスト メッセージングの使用、および配布グループの設定を許可する場合があります。管理者を含む Exchange 2013 メールボックスを持つすべてのユーザーには、既定で役割の割り当てポリシーが与えられています。既定で割り当てるべき役割の割り当てポリシーを決定したり、既定の役割の割り当てポリシーに含むべきものを選択したり、特定のメールボックスに既定値を上書きしたり、既定で役割の割り当てポリシーを一切割り当てないようにしたりすることができます。Management role assignment policies associate end-user management roles to users. Role assignment policies consist of roles that control what a user can do with his or her mailbox or distribution groups. These roles don't allow management of features that aren't directly associated with the user. When you create a role assignment policy, you define everything a user can do with his or her mailbox. For example, a role assignment policy may allow a user to set the display name, set up voice mail, and configure Inbox rules. Another role assignment policy might allow a user to change the address, use text messaging, and set up distribution groups. Every user with an Exchange 2013 mailbox, including administrators, is given a role assignment policy by default. You can decide which role assignment policy should be assigned by default, choose what the default role assignment policy should include, override the default for certain mailboxes, or not assign role assignment policies by default at all.

割り当てポリシーにユーザーを割り当てることは、自分のメールボックスや配布グループのオプションを管理するのにユーザーが必要とするアクセス許可を管理する場合に最も頻繁に使用する方法です。詳細については、「管理役割の割り当てポリシーについて」を参照してください。Assigning a user to an assignment policy is how you most often manage permissions for users to manage their own mailbox and distribution group options. For more information, see Understanding management role assignment policies.

役割の割り当てポリシーは、ユーザーが自分のメールボックスに対して実行できる操作を定義する次のコンポーネントから構成されます。同じコンポーネントの一部も役割グループに適用されることに注意してください。役割の割り当てポリシーと共に使用する場合、これらのコンポーネントは制限され、ユーザーは自分のメールボックスのみを管理できます。Role assignment policies consist of the following components that define what users can do with their own mailboxes. Notice that some of the same components also apply to role groups. When used with role assignment policies, these components are limited to enable users to manage only their own mailbox:

  • 管理役割の割り当てポリシー 管理役割の割り当てポリシーは、Exchange 2013 の特別なオブジェクトです。ユーザーは、自分のメールボックスが作成されるとき、またはメールボックスの役割の割り当てポリシーを変更する場合、役割の割り当てポリシーに関連付けられています。これは、エンドユーザーの管理役割を割り当てます。役割の割り当てポリシーのすべてのロールの組み合わせは、自分のメールボックスまたは配布グループにユーザーを管理するすべてのものを定義します。Management role assignment policy The management role assignment policy is a special object in Exchange 2013. Users are associated with the role assignment policy when their mailboxes are created or if you change the role assignment policy on a mailbox. This is also what you assign end-user management roles to. The combination of all the roles on a role assignment policy defines everything that the user can manage on his or her mailbox or distribution groups.

  • 管理の役割 管理の役割は、管理役割のエントリのグループのコンテナーです。ロールを使用して、自分のメールボックスまたは配布グループにユーザーが実行できる特定のタスクを定義します。の管理役割のエントリは、コマンドレット、スクリプト、または実行する管理役割の各特定のタスクを有効にする特殊なアクセス許可です。エンド ・ ユーザーの役割は、役割の割り当てポリシーでのみ使用できます。詳細については、管理役割の理解を参照してください。Management role A management role is a container for a grouping of management role entries. Roles are used to define the specific tasks that a user can do with his or her mailbox or distribution groups. A management role entry is a cmdlet, script or special permission that enables each specific task in a management role to be performed. You can only use end-user roles with role assignment policies. For more information, see Understanding management roles.

  • 管理役割の割り当て管理役割の割り当ては、役割と役割の割り当てポリシー間のリンクです。役割の割り当てポリシーに役割を割り当てるには、ロールで定義されたパラメーター、コマンドレットを使用することが与えられます。役割の割り当てポリシーと役割間の役割の割り当てを作成するときは、任意のスコープを指定できません。割り当てによって適用されるスコープは、いずれかのSelfまたはMyGAL。すべてのロールの割り当ては、ユーザーのメールボックスまたは配布グループに適用されます。詳細については、知識管理役割の割り当てを参照してください。Management role assignment A management role assignment is the link between a role and a role assignment policy. Assigning a role to a role assignment policy grants the ability to use the cmdlets and parameters defined in the role. When you create a role assignment between a role assignment policy and a role, you can't specify any scope. The scope applied by the assignment is either Self or MyGAL. All role assignments are scoped to the user's mailbox or distribution groups. For more information, see Understanding management role assignments.

役割の割り当てポリシーに割り当てられている役割を変更する場合、役割の割り当てポリシーと役割を関連付けている役割の割り当てを変更する必要があります。Exchange 2013 に組み込まれている割り当てがニーズに合わない場合以外は、これらの割り当てを変更する必要はありません。詳細については、「管理役割の割り当てについて」を参照してください。If you want to change what roles are assigned to role assignment policies, you need to change the role assignments that link the role assignment policies to roles. Unless the assignments built into Exchange 2013 don't suit your needs, you won't have to change these assignments. For more information, see Understanding management role assignments.

詳細については、「管理役割の割り当てポリシーについて」を参照してください。For more information, see Understanding management role assignment policies.

直接のユーザー役割の割り当てDirect user role assignment

直接の役割の割り当ては、役割グループまたは役割の割り当てポリシーを使用しないで、管理役割を直接ユーザーまたは USG に割り当てる高度な方法です。直接の役割の割り当ては、特定のユーザーだけに詳細なアクセス許可のセットを与える必要がある場合に役立ちます。ただし、直接の役割の割り当てを行うと、アクセス許可モデルが極めて複雑になる可能性があります。ユーザーの職務が変更されたり、またはユーザーが退社したりした場合、手動で割り当てを削除してから、新しい従業員に割り当てを追加する必要があります。管理者と専門家ユーザーにアクセス許可を割り当てるには役割グループを使用し、アクセス許可をユーザーに割り当てるには役割の割り当てポリシーを使用することをお勧めします。Direct role assignment is an advanced method for assigning management roles directly to a user or USG without using a role group or role assignment policy. Direct role assignments can be useful when you need to provide a granular set of permissions to a specific user and no others. However, using direct role assignments can significantly increase the complexity of your permissions model. If a user changes jobs or leaves the company, you need to manually remove the assignments and add them to the new employee. We recommend that you use role groups to assign permissions to administrators and specialist users, and role assignment policies to assign permissions to users.

直接ユーザーを割り当てる方法の詳細については、「管理役割の割り当てについて」を参照してください。For more information about direct user assignment, see Understanding management role assignments.

概要および例Summary and examples

以下の図は、RBAC のコンポーネントと、これらのコンポーネントがどのように関連しているかを示しています。The following figure shows the components in RBAC and how they fit together:

  • 役割グループ:Role groups:

    • 1 人または複数の管理者が役割グループのメンバーになることができます。これらの管理者は 1 つ以上の役割グループのメンバーになることもできます。 One or more administrators can be members of a role group. They can also be members of more than one role group.

    • 役割グループには、1 つまたは複数の役割の割り当てが割り当てられます。これらによって、役割グループが、実行可能なタスクを定義する 1 つまたは複数の管理役割に関連付けられます。 The role group is assigned one or more role assignments. These link the role group with one or more administrative roles that define what tasks can be performed.

    • 役割の割り当てには、役割グループのユーザーが操作を実行できる場所を定義する管理スコープを含むことができます。このスコープによって、役割グループのユーザーが構成を変更できる場所を決定できます。 The role assignments can contain management scopes that define where the users of the role group can perform actions. The scopes determine where the users of the role group can modify configuration.

  • 役割割り当てポリシー:Role assignment policies:

    • 1 人または複数のユーザーを役割割り当てポリシーに関連付けることができます。One or more users can be associated with a role assignment policy.

    • 役割割り当てポリシーには、1 つまたは複数の役割の割り当てが割り当てられます。これらによって、役割割り当てポリシーが 1 つまたは複数のエンド ユーザー役割に関連付けられます。エンド ユーザー役割は、ユーザーが自分のメールボックスに構成可能なものを定義します。The role assignment policy is assigned one or more role assignments. These link the role assignment policy with one or more end-user roles. The end-user roles define what the user can configure on his or her mailbox.

    • 役割の割り当てポリシーと役割間の役割の割り当てには、割り当てのスコープをユーザー自身のメールボックスまたは配布グループに制限する組み込みのスコープが用意されています。 The role assignments between role assignment policies and roles have built-in scopes that restrict the scope of assignments to the user's own mailbox or distribution groups.

  • 直接の役割の割り当て (詳細)Direct role assignment (advanced):

    • 役割の割り当ては、ユーザーまたは USG と 1 つ以上の役割との間に直接作成できます。役割は、ユーザーまたは USG が実行できるタスクを定義します。A role assignment can be created directly between a user or USG and one or more roles. The role defines what tasks the user or USG can perform.

    • 役割の割り当てには、ユーザーまたは USG が操作を実行できる場所を定義する管理スコープを含むことができます。スコープは、ユーザーまたは USG が構成を変更できる場所を決定します。The role assignments can contain management scopes that define where the user or USG can perform actions. The scopes determine where the user or USG can modify configuration.

RBAC 概要RBAC overview

RBAC コンポーネントの関係RBAC component relationships

上の図に示すように、RBAC の多くのコンポーネントは相互に関連しています。各コンポーネントの組み合わせ方法によって、各管理者またはユーザーに適用されるアクセス許可が定義されます。次の例では、この他にいくつかの状況を示し、組織内での役割グループと役割の割り当てポリシーの使用方法について説明します。 As shown in the preceding figure, many components in RBAC are related to each other. It's how each component is put together that defines the permissions applied to each administrator or user. The following examples provide some additional context about how role groups and role assignment policies are used in an organization.

管理者 JaneJane the Administrator

Jane は、中規模の企業 Contoso の管理者です。彼女は、Vancouver のオフィスでこの会社の受信者を管理する責任者です。Contoso のアクセス許可モデルが作成されたとき、Jane は Recipient Management - Vancouver カスタム役割グループのメンバーになりました。Recipient Management - Vancouver カスタム役割グループは、彼女の職務に最も合っています。彼女の職務は、メールボックスや連絡先のような受信者の作成と削除、配布グループ メンバーシップとメールボックスのプロパティの管理、その他同様のタスクの実行です。Jane is an administrator for the medium-size company, Contoso. She's responsible for managing the company's recipients in their Vancouver office. When the permissions model for Contoso was created, Jane was made a member of the Recipient Management - Vancouver custom role group. The Recipient Management - Vancouver custom role group most closely matches her job's duties, which include creating and removing recipients, such as mailboxes and contacts, managing distribution group membership and mailbox properties, and similar tasks.

Recipient Management - Vancouver カスタム役割グループに加えて、Jane には、自分のメールボックスの構成設定を管理するための役割の割り当てポリシーも必要です。組織の管理者は、上級管理職を除くすべてのユーザーが、自分のメールボックスを管理する場合に、同じアクセス許可を持つようにすることを決定しています。ユーザーは、ボイス メールの構成、アイテム保持ポリシーの設定、およびアドレス情報の変更を行うことができます。Exchange 2013 で指定された既定の役割の割り当てポリシーは、これらの要件を反映しています。In addition to the Recipient Management - Vancouver custom role group, Jane also needs a role assignment policy to manage her own mailbox's configuration settings. The organization administrators have decided that all users, except for senior management, receive the same permissions when they manage their own mailboxes. They can configure their voice mail, set up retention policies and change their address information. The default role assignment policy provided with Exchange 2013 now reflects these requirements.

注意

既にお気づきかもしれませんが、Jane は Recipient Management - Vancouver カスタム役割グループのメンバーなので、このようにすると、Jane には彼女自身のメールボックスを管理するアクセス許可が与えられるはずです。確かにそのとおりですが、この役割グループでは、Jane のメールボックスの全機能を管理するためのアクセス許可がすべて与えられるわけではありません。ボイス メールとアイテム保持ポリシーの設定を管理するためのアクセス許可は、この役割グループには含まれていません。このアクセス許可は、既定の役割の割り当てポリシーを彼女に割り当てることでのみ与えられます。You may have noticed that because Jane is a member of the Recipient Management - Vancouver custom role group, that should give her permissions to manage her own mailbox. This is true; however, the role group doesn't provide her all of the permissions necessary to manage all of the features of her mailbox. The permissions needed to manage voice mail and retention policy settings aren't included in her role group. Those are provided only by the default role assignment policy assigned to her.

このことを実現するには、次のように、Vancouver の受信者に対する Jane の管理アクセス許可を含む役割グループを検討します。To allow for this, consider the role group, which provides Jane's administrative permissions over the recipients in Vancouver:

  1. Recipient Management - Vancouver と呼ばれるカスタム役割グループが作成されました。このカスタム役割グループが作成されたときに次のことが発生しました。A custom role group called Recipient Management - Vancouver was created. When it was created, the following occurred:

    1. 役割グループに、Recipient Management 組み込み役割グループにも割り当てられている同じ管理役割がすべて割り当てられました。このため、Recipient Management - Vancouver 役割グループに追加されたユーザーに、Recipient Management 役割グループに追加されたユーザーと同じアクセス許可が与えられます。ただし、次の手順によりこれらのアクセス許可を使用できる場所が制限されます。The role group was assigned all of the same management roles that are also assigned to the Recipient Management built-in role group. This gives users added to the Recipient Management - Vancouver custom role group the same permissions as those users added to the Recipient Management role group. However, the following steps limit where they can use those permissions.

    2. Vancouver に勤務する受信者のみが該当する Vancouver 受信者カスタム管理スコープが作成されました。ユーザーの市区町村またはその他の一意の情報でフィルターして、この操作を行いました。The Vancouver Recipients custom management scope was created, which matches only recipients who are located in Vancouver. This was done by creating a scope that filters on a user's city or other unique information.

    3. 役割グループは、Vancouver 受信者カスタム管理スコープによって作成されました。これは、Recipient Management - Vancouver カスタム役割グループに追加された管理者は、受信者管理の完全なアクセス許可を持ち、Vancouver に勤務する受信者に対してのみこのアクセス許可を使用できるということを意味します。The role group was created with the Vancouver Recipients custom management scope. This means while administrators added to the Recipient Management - Vancouver custom role group have full recipient management permissions, they can only use those permissions against recipients based in Vancouver.

    カスタム役割グループの作成の詳細については、「役割グループの管理」を参照してください。For more information about creating a custom role group, see Manage role groups.

  2. Jane は、Recipient Management - Vancouver カスタム役割グループのメンバーとして追加されます。Jane is then added as a member of the Recipient Management - Vancouver custom role group.

    役割グループへのメンバー追加の詳細については、「役割グループのメンバーの管理」を参照してください。For more information about adding members to a role group, see Manage role group members.

秋山さんに自分のメールボックスの設定を管理する機能を与えるには、役割の割り当てポリシーは、必要なアクセス許可を構成する必要があります。既定の役割の割り当てポリシーを使用して、ユーザー自身のメールボックスを構成する必要があるアクセス許可をユーザーに提供します。以外の既定の役割の割り当てポリシーからエンドユーザーのすべてのロールが削除されます: MyBaseOptionsMyContactInformationMyVoicemailMyRetentionPoliciesMyBaseOptionsため、この管理役割には、受信トレイ ルール、予定表の構成、およびその他のタスクなどの Outlook Web App では、基本的なユーザー機能が用意されています。To give Jane the ability to manage her own mailbox settings, a role assignment policy needs to be configured with the required permissions. The default role assignment policy is used to provide users with the permissions they need to configure their own mailbox. All end-user roles are removed from the default role assignment policy, except for: MyBaseOptions, MyContactInformation, MyVoicemail, and MyRetentionPolicies. MyBaseOptions is included because this management role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

Jane には既定の役割の割り当てポリシーが既に割り当てられているため、他に必要な操作はありません。これは、その役割の割り当てポリシーへの変更が、直ちに彼女のメールボックスに適用され、既定の役割の割り当てポリシーに割り当てられているその他のすべてのメールボックスにも適用されることを意味します。Nothing else needs to be done because Jane is already assigned the default role assignment policy. This means that the changes made to that role assignment policy are immediately applied to her mailbox, and any other mailboxes also assigned to the default role assignment policy.

既定の役割の割り当てポリシーのカスタマイズの詳細については、「役割の割り当てポリシーの管理」を参照してください。For more information about customizing the default role assignment policy, see Manage role assignment policies.

スペシャリスト JoeJoe the Specialist

Joe は、Jane と同じ会社 Contoso に勤務しています。彼は、組織全体に対して、法的な情報開示の実施、保持ポリシーの設定、およびトランスポート ルールとジャーナルの構成を担当しています。Jane と同様に、Contoso のアクセス許可モデルが作成されたとき、Joe は彼の職務に合った役割グループに追加されました。Records Management 役割グループは、Joe に保持ポリシー、ジャーナル、およびトランスポート ルールを構成するためのアクセス許可を与えます。Discovery Management 役割グループにより、Joe はメールボックス検索を実行することができます。Joe works for Contoso, the same company that Jane works for. He's responsible for performing legal discovery, setting the retention policies, and configuring transport rules and journaling for the whole organization. As with Jane, when the permissions model for Contoso was created, Joe was added to the role groups that match his job duties. The Records Management role group provides Joe with the permissions to configure retention policies, journaling, and transport rules. The Discovery Management role group provides him with the ability to perform mailbox searches.

Jane と同様に、Joe も自分のメールボックスを管理するためのアクセス許可が必要です。Joe には Jane と同じ権限が与えられます。彼は、自分のボイス メールとアイテム保持ポリシーの設定、およびアドレス情報の変更を行うことができます。As with Jane, Joe also needs permissions to manage his own mailbox. He is given the same permissions as Jane: He can set up his voice mail and retention policies, and change his address information.

Joe に職務を遂行するためのアクセス許可を与えるには、Joe を Records Management および Discovery Management 役割グループに追加します。これらの役割グループを変更する必要はまったくありません。これらの役割グループは、彼に必要なアクセス許可を既に与えており、適用されている管理スコープが組織全体にわたっているためです。To give Joe the permissions to perform his job duties, Joe is added to the Records Management and Discovery Management role groups. The role groups don't need to be changed in any way because they already provide him with the permissions he needs, and the management scopes applied to them encompass the entire organization.

ユーザーを役割グループに追加する方法の詳細については、「役割グループのメンバーの管理」を参照してください。For more information about adding a user to a role group, see Manage role group members.

Joe のメールボックスにも、Jane のメールボックスに適用されているのと同じ既定の役割の割り当てポリシーが割り当てられています。彼は自分のメールボックスの管理を許可されていますが、このことによって、自分のメールボックスの機能の管理に必要なアクセス許可もすべて彼に与えられます。Joe's mailbox is also assigned the same default role assignment policy that's applied to Jane's mailbox. This gives him all the permissions he needs to manage the features of his mailbox that he's allowed to manage.

Isabel 担当副社長Isabel the Vice President

Isabel は、Contoso 社のマーケティング担当副社長です。Contoso の上級管理職チームの一員として、Isabel には、通常のユーザーよりも多くのアクセス許可が与えられます。この中には、自分のメールボックスを管理するために与えられたアクセス許可が含まれます。ただし、1 つ例外があります。Isabel は法令遵守の理由から、自分自身の保持ポリシーを管理することが許可されていません。Isabel は自分のボイス メールの構成、連絡先情報の変更、プロファイル情報の変更、自分自身の配布グループの作成と管理、および他のユーザーが所有する既存の配布グループに対する自分自身の追加と削除を行うことができます。Isabel is the Vice President of Marketing at Contoso. Isabel, as part of the senior leadership team of Contoso, is given more permissions than the average user. This includes the permissions she's provided to manage her mailbox, with one exception: Isabel isn't allowed to manage her own retention policies for legal compliance reasons. Isabel can configure her voice mail, change her contact information, change her profile information, create and manage her own distribution groups, and add or remove herself from existing distribution groups owned by others.

そのため、Isabel には、自分自身のメールボックス上で別のアクセス許可が与えられます。Contoso 社のユーザーの大部分は、既定の役割の割り当てポリシーに割り当てられます。ただし、上級管理職は上級管理職の役割の割り当てポリシーに割り当てられます。カスタムの役割の割り当てポリシーを作成するには次の操作を実行します。So, Isabel is given different permissions on her own mailbox. Most users at Contoso are assigned to the default role assignment policy. However, senior leadership is assigned to the Senior Leadership role assignment policy. The following is done to create the custom role assignment policy:

  1. 経営上層部と呼ばれるカスタムの役割の割り当てポリシーが作成されます。役割の割り当てポリシーが割り当てられている、 MyBaseOptionsMyContactInformationMyVoicemailMyProfileInformationMyDistributionGroupMembership、およびMyDistributionGroupsの役割です。MyBaseOptionsため、このロールには、受信トレイ ルール、予定表の構成、およびその他のタスクなどの Outlook Web App では、基本的なユーザー機能が用意されています。A custom role assignment policy called Senior Leadership is created. The role assignment policy is assigned the MyBaseOptions, MyContactInformation, MyVoicemail, MyProfileInformation, MyDistributionGroupMembership, andMyDistributionGroups roles. MyBaseOptions is included because this role provides the basic user functionality in Outlook Web App, such as Inbox rules, calendar configuration, and other tasks.

  2. Isabel は手動で上級管理職の役割の割り当てポリシーを割り当てられます。Isabel is then manually assigned the Senior Leadership role assignment policy.

これで、Isabel のメールボックスには、「上級管理職チーム」役割の割り当てポリシーによって、アクセス許可が与えられています。この役割の割り当てポリシーへのすべての変更が自動的に彼女のメールボックスに適用され、既定の役割の割り当てポリシーに割り当てられているその他のすべてのメールボックスにも適用されます。Isabel's mailbox now has the permissions provided by the Senior Leadership role assignment policy. Any changes made to this role assignment policy are automatically applied to her mailbox, and any other mailboxes also assigned to the same role assignment policy.

詳細情報For more information

役割の割り当てポリシーの管理Manage role assignment policies

メールボックスの割り当てポリシーを変更するChange the assignment policy on a mailbox