スタンドアロン EOP で役割グループを管理する
Exchange Online メールボックスのないスタンドアロン Exchange Online Protection (EOP) 組織では、Exchange 管理センター (EAC) を使用して、ユーザーを役割グループに追加できます。 ロール グループにユーザーを追加すると、特定の管理タスクを実行するアクセス許可がユーザーに付与されます。 ロール グループからユーザーを削除することもできます。
ロールとロール グループの詳細については、「 スタンドアロン EOP でのアクセス許可」を参照してください。
はじめに把握しておくべき情報
EAC は で https://admin.exchange.microsoft.com使用できます。 スタンドアロン EOP での EAC の詳細については、「スタンドアロン EOP の Exchange 管理センター」を参照してください。
スタンドアロン EOP PowerShell を開くには、「Exchange Online Protection PowerShell に接続する」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
- Exchange Online Protectionアクセス許可: 既定で Organization Management ロール グループに割り当てられているロール管理ロールが必要です。
- Microsoft Entraアクセス許可: グローバル管理者ロールのメンバーシップ。
この記事の手順に適用される可能性があるキーボード ショートカットについては、「Exchange Onlineの Exchange 管理センターのキーボード ショートカット」を参照してください。
EAC を使用して役割グループを管理する
の EAC でhttps://admin.exchange.microsoft.com、[アクセス許可管理ロール] に移動します>。 または、[ロールの管理] ページに直接移動するには、 を使用https://admin.exchange.microsoft.com/#/adminRolesします。
EAC を使用して役割グループと役割グループの詳細を表示する
EAC の [管理ロール] ページにはhttps://admin.exchange.microsoft.com/#/adminRoles、すべての組み込みロール グループと顧客ロール グループに関する次の情報が表示されます。
- 役割グループ: 役割グループの名前。
- 説明
役割グループの一覧を並べ替えるには、列ヘッダーをクリックします。
エントリの一覧を通常の間隔からコンパクト間隔に変更するには、[ビューの変更] を選択し、[コンパクト リスト] を選択します。
[検索] ボックスと対応する値を使用して、特定の役割グループを検索します。
ロール グループの詳細を表示するには、名前をクリックして一覧からグループを選択します。 開く詳細ポップアップには、次のタブが含まれています。
[全般 ] タブ: このタブには、ロールに関する次の情報が含まれています。
- 名前
- 説明: [ 基本の編集] を 選択して名前を変更します。
- マネージド
- 書き込みスコープ
[割り当て済み ] タブ: このタブには、ロールのメンバーであるユーザーが表示されます。 タブには、メインロール グループ ビューと同じ変更ビューと検索機能があります。
グループ メンバーシップを変更するには、 セクションを参照してください。
EAC を使用して役割グループを作成する
の EAC の [管理ロール] ページでhttps://admin.exchange.microsoft.com/#/adminRoles、次のいずれかの手順を実行します。
- 新しい役割グループをCreateする: 役割グループが選択されていないことを確認し、[役割グループの追加] を選択します。
- 既存の役割グループをコピーする: ロール グループ名列の横にある空白領域に表示されるラウンド チェック ボックスを選択して、コピーする役割グループを選択し、表示される [役割グループのコピー] アクションを選択します**。
残りの手順の説明に従って、いずれかの手順でロール作成ウィザードが起動します。
[基本] ページで、次の設定を構成します。
- [名前]: 役割グループの一意の名前を入力します。
- 説明: 役割グループの説明 (省略可能) を入力します。
- 書き込みスコープ: 既定値のままにします。既定値のままにするか、PowerShell で以前に作成した既存の書き込みスコープ オブジェクトを選択します。
ロール グループをコピーする場合、既定の [名前] の値は [役割グループ名>のコピー] で、既存の <[説明] の値がコピーされますが、これらの値は変更できます。
[ 基本 ] ページが完了したら、[ 次へ] を選択します。
[アクセス許可] ページで、[ロール] 列の横にある [チェック] ボックスを選択して、役割グループに割り当てるロールを選択します。
ロールを並べ替えるには、列見出しをクリックします。
- ロール
- 説明
- 既定の受信者スコープ
- 既定の構成スコープ
エントリの一覧を通常の間隔からコンパクト間隔に変更するには、[ビューの変更] を選択し、[コンパクト リスト] を選択します。
[検索] ボックスと対応する値を使用して、特定の役割グループを見つけます。
ロール グループをコピーする場合は、元の役割グループのアクセス許可が既に選択されていますが、変更することはできます。
[アクセス許可] ページが完了したら、[次へ] を選択します。
[ 管理者 ] ページで、ロール グループに追加するユーザーを選択します。
ボックス内をクリックして、選択する対象となるすべてのアカウントと役割グループを表示するか、名前または表示名の入力を開始して結果をフィルター処理します。
ロール グループをコピーする場合、元の役割グループのメンバーは既に選択されていますが、変更することはできます。
グループからユーザーを削除するには、エントリで [削除] を選択します。
[管理者] ページが完了したら、[次へ] を選択します。
[ 確認と終了 ] ページで、選択内容を確認します。
各セクションの [編集] リンクを使用して値を変更するか、[ 戻る ] ボタンを使用します。
[ レビューと完了 ] ページが完了したら、[ 役割グループの追加] または [役割グループ のコピー] を選択して 役割 グループを作成します。
EAC を使用して役割グループを変更する
ヒント
組み込みの役割グループの名前や説明を変更することはできません。
組み込みの役割グループに割り当てられているロールは変更しないでください。 既存の役割グループをコピーしてコピーを変更するか、代わりにカスタム ロール グループを作成します。
EAC の [管理ロール] ページでhttps://admin.exchange.microsoft.com/#/adminRoles、役割グループ名をクリックして役割グループを選択します。
開いた詳細ポップアップで、次の 1 つ以上の設定を構成します。
[全般 ] タブ: [ 基本の編集] を選択して、表示されるポップアップ内のグループの名前または説明を変更し、[保存] を選択 します。
[割り当て済み ] タブ: 役割グループのメンバーシップを変更します。
メンバーの追加: [追加] を選択します。 開いた [ 管理者の追加 ] ポップアップで、ボックス内をクリックして、選択する対象となるすべてのアカウントと役割グループを表示するか、名前または表示名の入力を開始して結果をフィルター処理します。 ボックスの下のエントリをクリックしてユーザーを選択し、[ 追加] を選択します。
メンバーの削除: 一覧の 1 つ以上の既存のメンバーの横にある [チェック] ボックスを選択し、表示される [削除] アクションを選択し、確認ダイアログで [はい]、[削除] の順に選択します。
[アクセス許可] タブ: [ロール] 列の横にある [チェック] ボックスを選択して、役割グループに割り当てるロールを選択します。
ロールを並べ替えるには、列見出しをクリックします。
- 役割
- 既定の受信者スコープ
- 既定の構成スコープ
エントリの一覧を通常の間隔からコンパクト間隔に変更するには、[ビューの変更] を選択し、[コンパクト リスト] を選択します。
[検索] ボックスと対応する値を使用して、特定の役割グループを見つけます。
タブが終了したら、[保存] を選択 します。
ヒント
役割グループに対してメンバーを追加または削除した後、ユーザーは自身の管理者権限の変更を確認するためにサインアウトしてから、再度サインインしなければならない場合があります。
EAC を使用して役割グループを削除する
組み込みの役割グループを削除することはできませんが、カスタム ロール グループを削除することはできます。
EAC の [管理ロール] ページでhttps://admin.exchange.microsoft.com/#/adminRoles、役割グループ名列の横にある空白領域に表示されるラウンド チェック ボックスを選択して、削除する役割グループを選択し、表示される削除アクションを選択します。
開いた確認ポップアップで、[確認] を選択 します。
Exchange Online Protection PowerShell を使用して役割グループを管理する
PowerShell Exchange Online Protectionに接続するには、「PowerShell に接続する」Exchange Online Protection参照してください。
EOP PowerShell を使用してロール グループを表示する
役割グループを表示するには、次の構文を使用します。
Get-RoleGroup [-Identity "<Role Group Name>"] [-Filter <Filter>]
この例では、すべてのロール グループの概要リストを返します。
Get-RoleGroup
次の使用例は、受信者管理者という名前の役割グループの詳細情報を返します。
Get-RoleGroup -Identity "Recipient Administrators" | Format-List
この例では、ユーザー Julia がメンバーであるすべてのロール グループを返します。 Julia には DistinguishedName (DN) 値を使用する必要があります。この値は、 コマンド Get-User -Identity Julia | Format-List DistinguishedName
を実行することで確認できます。
Get-RoleGroup -Filter "Members -eq 'CN=Julia,OU=contoso.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=NAMPR001,DC=PROD,DC=OUTLOOK,DC=COM'"
構文およびパラメーターの詳細については、「Get-RoleGroup」を参照してください。
EOP PowerShell を使用してロール グループを作成する
新しい役割グループを作成する場合は、すべての設定を手動で構成できます (グループの作成中以降)。 または、既存の役割グループをコピーして変更することもできます。
新しいロール グループを手動で作成するには、次の構文を使用します。
New-RoleGroup -Name "Unique Name" -Description "Descriptive text" -Roles <"Role1","Role2"...>
- Roles パラメーターは、次の構文を使用して、役割グループに割り当てる管理ロールを指定します
"Role1","Role1",..."RoleN"
。 Get-ManagementRole コマンドレットを使用して、使用できる役割を確認できます。 - Members パラメーターは、次の構文を使用して、ロール グループのメンバーを指定します
"Member1","Member2",..."MemberN"
。 ユーザー、メールが有効なユニバーサル セキュリティ グループ (USG)、またはその他の役割グループ (セキュリティ プリンシパル) を指定できます。
この例では、次の設定を使用して、"制限付き受信者管理" という名前の新しいロール グループを作成します。
- [メール受信者] ロールが役割グループに割り当てられます。
- ユーザーの Kim と Martin がメンバーとして追加されます。
New-RoleGroup -Name "Limited Recipient Management" -Roles "Mail Recipients" -Members "Kim","Martin"
- Roles パラメーターは、次の構文を使用して、役割グループに割り当てる管理ロールを指定します
既存の役割グループをコピーするには、次の手順を実行します。
以下の構文を使用して、変数にコピーする役割グループを格納します。
$RoleGroup = Get-RoleGroup "<Existing Role Group Name>"
次の構文を使用して、新しいロール グループをCreateします。
New-RoleGroup -Name "<Unique Name>" -Roles $RoleGroup.Roles [-Members <Members>]
Members パラメーターは、次の構文を使用して、ロール グループのメンバーを指定します
"Member1","Member2",..."MemberN"
。 ユーザー、メールが有効なユニバーサル セキュリティ グループ (USG)、またはその他の役割グループ (セキュリティ プリンシパル) を指定できます。次の使用例は、組織管理役割グループを "Limited Organization Management" という名前の新しい役割グループにコピーします。 ロール グループのメンバーは、Isabelle、Carter、および Lukas です。
$RoleGroup = Get-RoleGroup "Organization Management" New-RoleGroup "Limited Organization Management" -Roles $RoleGroup.Roles -Members "Isabelle","Carter","Lukas"
構文とパラメーターの詳細については、 New-RoleGroup を参照してください。
EOP PowerShell を使用してロール グループ内のメンバーの一覧を変更する
- Add-RoleGroupMember コマンドレットと Remove-RoleGroupMember コマンドレットは、個々のメンバーを一度に 1 つずつ追加または削除します。 Update-RoleGroupMember コマンドレットは、メンバーの既存のリストを置き換えたり変更したりできます。
- ロール グループのメンバーには、ユーザー、メールが有効なユニバーサル セキュリティ グループ (USG)、またはその他の役割グループ (セキュリティ プリンシパル) を指定できます。
ロール グループのメンバーを変更するには、次の構文を使用します。
Update-RoleGroupMember -Identity "<Role Group Name>" -Members <Members>
- メンバーの既存のリストを指定した値に置き換えるには、次の構文を使用します。
"Member1","Member2",..."MemberN"
- メンバーの既存のリストを選択的に変更するには、次の構文を使用します。
@{Add="Member1","Member2"...; Remove="Member3","Member4"...}
次の使用例は、ヘルプ デスク ロール グループのすべての現在のメンバーを、指定したユーザーに置き換えます。
Update-RoleGroupMember -Identity "Help Desk" -Members "Gabriela Laureano","Hyun-Ae Rim","Jacob Berger"
次の使用例は、Akai 大五郎を追加し、ヘルプ デスクの役割グループのメンバーの一覧から Valeria Barrio を削除します。
Update-RoleGroupMember -Identity "Help Desk" -Members @{Add="Daigoro Akai"; Remove="Valeria Barrios"}
構文とパラメーターの詳細については、「 Update-RoleGroupMember」を参照してください。
EOP PowerShell を使用して役割グループを削除する
組み込みの役割グループを削除することはできませんが、カスタム ロール グループを削除することはできます。
カスタム ロール グループを削除するには、次の構文を使用します。
Remove-RoleGroup -Identity "<Role Group Name>" [-BypassSecurityGroupManagerCheck]
この例では、Training Administrators 役割グループを削除します。
Remove-RoleGroup -Identity "Training Administrators"
構文およびパラメーターの詳細については、「Remove-RoleGroup」を参照してください。
正常な動作を確認する方法
ロール グループが正常に作成、変更、または削除されたことを確認するには、次のいずれかの手順を実行します。
EAC で、 の [ロールの管理] ページhttps://admin.exchange.microsoft.com/#/adminRolesに移動し、役割グループが一覧表示されていることを確認します (または一覧に表示されていないこと)。 名前をクリックし、開いた詳細ポップアップの設定を確認して、役割グループを選択します。
powerShell Exchange Onlineで、役割グループ名>を役割グループの名前に置き換え<、次のコマンドを実行して、役割グループが存在することを確認 (または存在しない) し、設定を確認します。
Get-RoleGroup -Identity "<Role Group Name>" | Format-List