管理役割グループについて

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2015-03-09

管理役割グループは、Microsoft Exchange Server 2010 の役割ベースのアクセス制御 (RBAC) アクセス許可モデルで使用されるユニバーサル セキュリティ グループ (USG) です。 管理役割グループを使用すると、ユーザーのグループに対する管理役割の割り当てが簡略化されます。1 つの役割グループのすべてのメンバーが、同じ役割セットに割り当てられます。役割グループには、組織の管理、受信者の管理、その他のタスクなど、Exchange 2010 で重要な管理タスクを定義する管理者および専門家の役割が割り当てられます。役割グループを使用すると、管理者または専門家ユーザーのグループに一連の広範なアクセス許可をより簡単に割り当てることができます。

注意

ここでは、RBAC の高度な機能について説明します。基本的な Exchange 2010 アクセス許可を管理する場合 (Exchange コントロール パネル (ECP) を使用して役割グループ間のメンバーの追加と削除、役割グループの作成と変更、役割割り当てポリシーの作成と変更を行う場合など) は、「アクセス許可について」を参照してください。

目次

役割グループ レイヤー

役割グループの管理

組み込みの役割グループ

リンクされた役割グループ

役割グループの委任

役割グループ メンバーシップ

役割グループ作成ワークフロー

注意

ユーザーに自分のメールボックスまたは配布グループを管理するためのアクセス許可を割り当てる場合は、「管理役割の割り当てポリシーについて」を参照してください。

役割グループ レイヤー

役割グループ モデルを構成するレイヤーを次に示します。

  • 役割の所有者   役割の所有者は、役割グループのメンバーとして追加できるメールボックスです。メールボックスが役割グループのメンバーとして追加された場合、管理役割と役割グループ間で行われた割り当てが、そのメールボックスに適用されます。これにより、管理役割のすべてのアクセス許可がメールボックスに付与されます。

  • 管理役割グループ   管理役割グループは、役割グループのメンバーであるメールボックスを含む特殊な USG です。メンバーの追加や削除を行う場所であり、管理役割もここに割り当てられます。役割グループのすべての役割の組み合わせによって、役割グループに追加されたユーザーが Exchange 組織で管理できるものがすべて定義されます。

  • 管理役割の割り当て   管理役割の割り当ては、管理役割と役割グループを関連付けます。管理役割を役割グループに割り当てると、役割グループのメンバーに管理役割で定義されたコマンドレットとパラメーターを使用する権限が付与されます。役割の割り当てでは、割り当てを使用できる場所を制御するため管理スコープを使用できます。詳細については、「管理役割の割り当てについて」を参照してください。

  • 管理役割スコープ   管理役割スコープは、役割の割り当てに影響を及ぼす範囲です。役割をスコープ付きで役割グループに割り当てた場合、割り当てで管理できるオブジェクトが管理スコープの対象となります。割り当ておよびそのスコープが役割グループのメンバーに適用され、これによってメンバーが管理できるものが制限されます。スコープは、サーバーまたはデータベース、組織単位、あるいはサーバー、データベース、または受信者オブジェクトに対するフィルターで構成できます。詳細については、「管理役割スコープについて」を参照してください。

  • 管理役割   管理役割は、管理役割エントリのグループ化用のコンテナーです。役割は、その役割に割り当てられた役割グループのメンバーによって実行できる特定のタスクを定義するために使用されます。詳細については、「管理の役割について」を参照してください。

  • 管理役割エントリ   管理役割エントリは、特定タスクを実行するためのアクセスを可能にするコマンドレット、スクリプト、およびその他の特別なアクセス許可を提供する、管理役割に関する個々のエントリです。ほとんどの場合、役割エントリは 1 つのコマンドレットとパラメーターから構成され、管理役割、したがって役割が割り当てられている役割グループによってアクセスできます。

次の図は、前の一覧の各役割グループ レイヤーと、各レイヤーが他のレイヤーとどう関連するかを示しています。

管理役割グループ レイヤー

管理役割グループ レイヤー

RBAC の詳細については、「役割ベースのアクセス制御について」を参照してください。

ページのトップへ

役割グループの管理

役割グループを作成する場合、役割グループのメンバーを保持する USG を作成し、役割グループと指定する管理役割間の割り当てを作成します。必要に応じて、役割の割り当てに適用する管理スコープも指定できます。また、新しい役割グループのメンバーにする任意のメールボックスを追加できます。

役割グループを作成すると、各レイヤーが独立したオブジェクトになります。役割グループは、引き続きすべてのレイヤーが結合される中心点として機能しますが、各レイヤーは個別に管理されます。たとえば、作成時に役割グループに適用した管理スコープを変更するには、役割グループを作成した後に個々の役割の割り当てでスコープを変更する必要があります。役割グループ モデルの管理を実行するには、役割グループ モデルの個々のレイヤーを管理するコマンドレットを使用します。

次の表は、役割グループ レイヤーと各レイヤーの管理に使用できる手順のトピックを示しています。

役割グループの管理のトピック

役割グループ モデル レイヤー 管理のトピック

役割の所有者

役割グループにメンバーを追加する

役割グループからメンバーを削除する

役割グループ

役割グループを作成する

リンクされた役割グループのリンクされた外部 USG を変更する

役割グループの委任を追加または削除する

役割グループを削除する

管理役割および割り当て

役割グループに役割を追加する

役割グループから役割を削除する

役割グループ内の役割の割り当てのスコープを変更する

管理役割エントリ

役割エントリを役割に追加する

役割エントリを変更する

役割から役割エントリを削除する

注意

役割グループで管理役割の管理役割エントリを変更する作業は、高度なタスクで、通常ほとんどの場合は必要ありません。代わりに、要件に合った既存の管理役割を使用できる場合があります。詳細については、「組み込みの役割グループ」を参照してください。

ページのトップへ

組み込みの役割グループ

組み込みの役割グループは、Exchange 2010 に付属している役割です。さまざまなレベルの管理アクセス許可をユーザーのグループに提供するために使用できる、一連の役割グループが得られます。組み込みの役割グループに対してユーザーを追加または削除できます。ほとんどの役割グループに対して役割の割り当てを追加または削除することもできます。ただし、以下のような例外があります。

  • 組織の管理 役割グループから、委任の役割の割り当てを削除することはできません。

  • 組織の管理 役割グループから、"Role Management/役割管理" 役割を削除することはできません。

次の表は、Exchange 2010 に付属しているすべての組み込みの役割グループの一覧です。組み込みの役割グループの詳細については、「組み込みの役割グループ」を参照してください。

組み込みの役割グループ

役割グループ 説明

組織の管理

組織の管理 役割グループのメンバーである管理者は、Exchange 2010 組織全体に対する管理アクセスを持ち、Exchange 2010 オブジェクトに対してほぼすべてのタスクを実行できます。

表示専用組織の管理

組織の管理のみ表示 役割グループのメンバーである管理者は、Exchange 組織の任意のオブジェクトのプロパティを表示できます。

受信者の管理

Recipient Management 役割グループのメンバーである管理者は、Exchange 2010 組織内の Exchange 2010 受信者を作成または変更するための管理アクセスを持ちます。

UM 管理

UM 管理役割グループのメンバーである管理者は、ユニファイド メッセージング サーバー構成、メールボックスの UM プロパティ、UM プロンプト、UM 自動応答の構成など、Exchange 組織のユニファイド メッセージング (UM) 機能を管理できます。

検出の管理

証拠開示管理 役割グループのメンバーである管理者またはユーザーは、Exchange 組織のメールボックスで特定の条件を満たすデータを検索できます。

レコードの管理

Records Management 役割グループのメンバーであるユーザーは、アイテム保持ポリシー タグ、メッセージ分類、トランスポート ルールなどの準拠機能を構成できます。

サーバー管理

"Server Management/サーバーの管理" 役割グループのメンバーである管理者は、Exchange 2010 サーバーの構成への管理アクセスを持っています。Exchange 2010 受信者の構成を管理するためのアクセスはありません。

Help Desk (ヘルプ デスク)

"Help Desk/ヘルプ デスク" 役割グループのメンバーであるユーザーは、Exchange 2010 受信者の制限された受信者管理を実行できます。

検疫管理

"Hygiene Management/検疫管理" 役割グループのメンバーである管理者は、Exchange 2010 のウィルス対策およびスパム対策機能を構成できます。Exchange 2010 に統合されているサードパーティ製プログラムによって、この役割グループにサービス アカウントが追加でき、Exchange の構成の取得および構成に必要なコマンドレットへのアクセスが許可されます。

パブリック フォルダーの管理

"Public Folder Management/パブリック フォルダーの管理" 役割グループのメンバーである管理者は、Exchange 2010 サーバーでパブリック フォルダーとデータベースを管理できます。

委任されたセットアップ

"Delegated Setup/委任セットアップ" 役割グループのメンバーである管理者は、すでに準備済みの Exchange 2010 サーバーを展開できます。

ページのトップへ

リンクされた役割グループ

リンクされた役割グループは、Exchange 2010 を専用リソース フォレストにインストールし、ユーザーを他の信頼された外部フォレストに配置する組織で使用されます。リンクされた役割グループは、その名前が示すように、Exchange フォレストの役割グループと外部フォレストの USG 間にリンクを作成します。これは、Exchange を管理する管理者の Active Directory Domain Services (AD DS) ユーザー アカウントが、Exchange と同じリソース フォレストに存在しないときに便利です。リンクされた役割グループは 1 つの外部 USG にだけ関連付けることができます。また、Exchange フォレストと外部フォレスト間に双方向の信頼関係を作成する必要はありません。Exchange フォレストは、外部フォレストを信頼する必要がありますが、外部フォレストは、Exchange フォレストを信頼する必要がありません。

複数フォレスト トポロジでのアクセス許可の詳細については、「複数フォレストのアクセス許可について」を参照してください。

リンクされた役割グループは 2 つの部分で構成されます。

  • リンクされた役割グループ   リンクされた役割グループは、外部 USG を、役割グループに割り当てられた管理役割の割り当てと関連付けるコンテナー オブジェクトです。

  • 外部 USG   外部 USG には、リンクされた役割グループによって提供されるアクセス許可を付与する必要があるメンバーが含まれます。

リンクされた役割グループを作成する際、Exchange フォレストを管理するために必要なユーザーを含む外部フォレストおよびこれらのユーザーをメンバーとして含む USG、外部 USG 名、および外部フォレストへのアクセスに必要な資格情報にドメイン コントローラーを提供します。Exchange は、外部 USG のセキュリティ識別子 (SID) をリンクされた役割グループに追加します。USG SID は外部 USG の唯一の ID であるため、複数の外部フォレストがある場合、役割グループの名前に外部フォレストを指定することを強くお勧めします。

リンクされた役割グループにはメンバーが含まれていません。役割グループのすべてのメンバーは、外部 USG を使用して管理されます。つまり、役割グループのメンバーの追加または削除に Update-RoleGroupMemberAdd-RoleGroupMember、または Remove-RoleGroupMember コマンドレットを使用することはできません。メンバーを外部 USG に追加する場合、メンバーにはリンクされた役割グループによって提供されるアクセス許可が付与されます。

独自のメンバーが含まれる標準役割グループを、リンクされた役割グループに変更することはできません。その逆も同じです。役割グループを標準役割グループからリンクされた役割グループに変更する場合は、新しいリンクされた役割グループを作成し、標準役割グループに存在する管理役割の割り当てをリンクされた役割グループにレプリケートする必要があります。組み込みの役割グループは標準役割グループであるため、組み込みの役割グループの場合も同じです。Exchange フォレストのすべての管理を外部フォレストから実行する場合、新しいリンクされた役割グループを作成し、組み込みの役割グループに存在する管理役割を新しいリンクされた役割グループに追加します。 実行方法の詳細については、「組み込みの役割グループをミラーするリンクされた役割グループを作成する」を参照してください。

リソース フォレストでの Exchange の展開の詳細については、「 Exchange リソース フォレストのトポロジに Exchange 2010 を展開する」を参照してください。

ページのトップへ

役割グループの委任

既定では、組織の管理 役割グループのメンバーは役割グループに対してメンバーを追加および削除できます。ただし、組織の管理 役割グループのメンバーでないユーザーが役割グループのメンバーを追加および削除できるようにしたい場合があります。その場合は、役割グループの委任を使用できます。

役割グループの委任は、各役割グループの ManagedBy プロパティによって制御されます。ManagedBy プロパティには、その役割グループに対してメンバーを追加および削除できるユーザー、または役割グループの構成を変更できるユーザーの一覧が含まれます。ユーザーには、役割グループのメンバーでない限り、役割グループによって付与されるアクセス許可は割り当てられません。

役割グループで ManagedBy プロパティが設定されている場合、そのプロパティで役割グループ マネージャーとして一覧に示されているユーザーだけが、既定で役割グループまたは役割グループのメンバーシップを変更できます。ただし、役割グループまたは役割グループ メンバーシップを変更するコマンドレットのオプション パラメーターにより、その制限を無視できます。BypassSecurityGroupManagerCheck スイッチは、組織の管理 役割のメンバーであるか、直接的または間接的に "Role Management/役割管理" 管理役割が割り当てられているユーザーが使用できます。このスイッチを使用すると、ManagedBy プロパティが無視され、ユーザーは役割グループまたは役割グループ メンバーシップを変更することができます。

ManagedBy プロパティが役割グループに設定されていない場合、組織の管理 役割のメンバーであるか、直接的または間接的に "Role Management/役割管理" 管理役割が割り当てられているユーザーだけが、役割グループまたは役割グループ メンバーシップを変更できます。

注意

役割グループに割り当てられた役割を、役割の割り当ての委任を使用して割り当てることができる場合があります。役割の割り当ての委任を使用すると、委任された役割に割り当てられている役割グループのメンバーが、その役割を別の役割グループ、割り当てポリシー、ユーザー、または USG に割り当てることができます。役割グループのメンバーは、ManagedBy プロパティにも追加されていない限り、その役割を割り当てることができるだけで、役割グループを委任できません。委任された役割の割り当ての詳細については、「管理役割の割り当てについて」を参照してください。

役割グループの委任を管理する方法の詳細については、「役割グループの委任を追加または削除する」を参照してください。

ページのトップへ

役割グループ メンバーシップ

ユーザーが役割グループのメンバーになると、役割グループに割り当てられた管理役割がユーザーに割り当てられます。ユーザーが複数の役割グループのメンバーである場合、各役割グループの管理役割が集約されて、ユーザーに割り当てられます。ユーザー、USG、およびその他の役割グループは、役割グループのメンバーになることができます。

組織の管理 または "Role Management/役割管理" 役割グループのメンバーであるユーザーと、役割グループに対してユーザーの追加および削除の権限を委任されたユーザーだけが、役割グループのメンバーシップを管理できます。

役割グループのメンバーシップを管理する方法の詳細については、以下のトピックを参照してください。

役割グループ作成ワークフロー

前述のように、役割グループは複数のレイヤーで構成されます。役割グループを作成したときに何が起こるかを理解するため、次の新しい役割グループを作成する例について考えます。

New-RoleGroup -Name "Seattle Recipient Management" -Roles "Mail Recipients", "Distribution Groups", "Move Mailboxes", "UM Mailboxes" -CustomRecipientWriteScope "Seattle Users", -ManagedBy "Brian", "David", "Katie" -Members "Ray", "Jens", "Maria", "Chris", "Maira", "Carter", "Jesse", "Lukas", "Isabel", "Rick", "Katie"

上記のコマンドを実行すると、次の処理が行われます。

  1. 特殊な USG である、シアトルの受信者の管理という新しい役割グループ オブジェクトが作成されます。

  2. Ray、Jens、Maria、Chris、Maira、Carter、Jesse、Lukas、Isabel、Rick、Katie のメールボックスが役割グループのメンバーとして追加されます。これらのユーザーには、この役割グループによって提供されているアクセス許可が付与されます。

  3. ユーザー Brian と David が役割グループの ManagedBy プロパティに追加されます。これらのユーザーは役割グループに対してメンバーを追加および削除できますが、メンバーではないため、役割グループによって提供されるアクセス許可は付与されません。Katie も役割グループの ManagedBy プロパティに追加されます。彼女は ManagedBy プロパティに追加されており、役割グループのメンバーであるため、その役割グループに対してメンバーを追加および削除できます。また、役割グループによって提供されるアクセス許可も付与されます。

  4. 次の管理役割の割り当てが作成されます。役割の割り当ては、コマンドで指定された各管理役割を役割グループに割り当てます。"Seattle Users/Seattle ユーザー" という管理スコープが、各役割の割り当てに追加されます。各役割の割り当ての名前は、割り当て中の管理役割と役割グループ名の組み合わせになります。

    1. Mail Recipients_Seattle Recipient Management

    2. Distribution Groups_Seattle Recipient Management

    3. Move Mailboxes_Seattle Recipient Management

    4. UM Mailboxes_Seattle Recipient Management

このコマンドの結果をトピックの管理役割グループ レイヤーの図と比較すると、各ステップが役割グループ レイヤーと関連する場所がわかります。次にこのトピックの「役割グループの管理」で示した管理役割グループの管理トピックを参照して、各役割グループ レイヤーを管理することができます。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.