Exchange 2010 SP3 でのハイブリッド展開のアクセス許可について

  • [アーティクル]

 

適用先: Exchange Server 2010 SP3

トピックの最終更新日: 2016-05-19

Microsoft Office 365 の Exchange Online 組織は、Exchange 2010 をベースにしており、オンプレミスの組織と同様、役割ベースのアクセス制御 (RBAC) を使用してアクセス許可を制御します。管理者には管理役割グループを使用してアクセス許可が付与され、エンド ユーザーには管理役割の割り当てポリシーを使用してアクセス許可が付与されます。さらに、代理人の関係で構成されているメールボックスの移行を慎重に計画する必要があります。

RBAC の詳細情報: アクセス許可について

クロスプレミスのメールボックス アクセス許可

ユーザーが他のユーザーのメールボックスにアクセスすることを許可する場合 (たとえば、管理アシスタントが経営幹部の予定表にアクセスする場合)、メールボックスを Office 365 に移動する前に次の点を慎重に考慮する必要があります。

  • メールボックス アクセス許可の移行  代理送信、代理受信、フル アクセスなど、メールボックスに明示的に適用されているオンプレミスのメールボックス アクセス許可は、UNRESOLVED_TOKEN_VAL(exExchangeOnline) に移行されます。継承された (非明示的な) メールボックス アクセス許可とメールボックス以外のオブジェクト (配布リストや、メールが有効なユーザーなど) のアクセス許可は移行されません。そのため、自分の組織に該当する場合は、Office 365 でのこれらのアクセス許可の構成を計画する必要があります。たとえば、Add-RecipientPermission と Add-MailboxPermission の Windows PowerShell コマンドレットを使って、Office 365 でのアクセス許可を設定することができます。

  • クロスプレミスのメールボックス アクセス許可のサポートExchange ハイブリッド展開では、オンプレミスの Exchange 組織にあるメールボックスと Office 365 にあるメールボックスとの間で、フル アクセスのメールボックス アクセス許可の使用がサポートされます。オンプレミスの Exchange サーバーのメールボックスに、 Office 365 メールボックスへのフル アクセスのアクセス許可を付与することができ、その逆も可能です。たとえば、Office 365 メールボックスにはオンプレミスの共有メールボックスへのフル アクセスのアクセス許可を付与できます。

    注意

    初めて他の組織内のメールボックスにアクセスして、Outlook プロファイルに追加する際、ユーザーに対して追加の資格情報が求められる場合があります。

    しかし、オンプレミスの Exchange と Office 365 組織間では、ハイブリッド展開での Send-As、Receive-As、または Send on behalf of のメールボックス アクセス許可の使用はサポートされていません。これらのアクセス許可が使用できるのは、アクセス許可を付与しているメールボックスとアクセス許可を受け取るメールボックスの両方が同じ組織内にある場合のみです。これらのアクセス許可を別のメールボックスから受け取るすべてのメールボックスは、そのメールボックスと同時に移動する必要があります。1 つのメールボックスが複数のメールボックスからアクセス許可を受け取る場合、そのメールボックスと、そのメールボックスにアクセス許可を付与するすべてのメールボックスは、同時に移動する必要があります。これらのアクセス許可だけでなく、自動マッピング機能も、オンプレミスの Exchange 組織と Office 365 組織のメールボックス間で使用する場合はサポートされません。

管理者のアクセス許可

既定では、Office 365 サービスの作成に使用されたユーザーは、Exchange Online 組織の "組織管理" 役割グループのメンバーになります。このユーザーは、組織レベルの設定の構成や Exchange Online 受信者の管理を含め、Office 365 組織全体を管理できます。

実行する必要がある管理に応じて、Office 365 組織の管理者を追加することができます。組織管理者と受信者管理者をさらに追加したり、専門家ユーザーが証拠開示といった法令遵守のためのタスクや、カスタム アクセス許可の構成などを実行できるようにしたりできます。Office 365 管理者のアクセス許可の管理は、すべて Exchange コントロール パネル (ECP) かリモート PowerShell を使用して、Exchange Online 組織で実行する必要があります。

ただし、オンプレミス組織と Office 365 組織間では、アクセス許可の転送がされないことに注意することが重要です。オンプレミス組織で定義したアクセス許可は、Office 365 の組織で再作成する必要があります。

詳細については、以下のトピックを参照してください。

エンド ユーザーのアクセス許可

管理者のアクセス許可と同様に、Exchange Online のエンド ユーザーにもアクセス許可を付与できます。既定では、既定の役割の割り当てポリシーに従ってエンド ユーザーにアクセス許可が付与されます。このポリシーは Exchange Online 組織のすべてのメールボックスに適用されます。既定で付与されているアクセス許可で十分な場合、何も変更する必要はありません。

エンド ユーザーのアクセス許可をカスタマイズする場合は、既存の既定の役割の割り当てポリシーを変更するか、新しい割り当てポリシーを作成することができます。複数の割り当てポリシーを作成する場合、メールボックスの異なるグループに異なるポリシーを割り当て、それぞれの要件に応じて各グループに付与するアクセス許可を制御できます。クラウドベースのエンド ユーザーに対するアクセス許可の管理は、すべて ECP かリモート PowerShell を使用して、Exchange Online 組織で実行する必要があります。

管理者のアクセス許可と同様に、エンド ユーザーのアクセス許可は、オンプレミス組織と Exchange Online 組織間で転送されません。オンプレミス組織で定義したアクセス許可は、Exchange Online 組織で再作成する必要があります。

次の表に、Exchange Online 組織の既定の役割の割り当てポリシーによって付与されるアクセス許可を示します。

既定の役割の割り当てポリシーによるアクセス許可

管理役割 説明

MyBaseOptions

MyBaseOptions 管理役割を割り当てられた個々のユーザーは、自身のメールボックスの基本構成および関連付けられている設定を表示、変更することができます。

MyContactInformation

MyContactInformation 管理役割により、個々のユーザーは、住所と電話番号を含めた自分の連絡先情報を変更できます。

MyDistributionGroupMembership

MyDistributionGroupMembership 管理役割を割り当てられた個々のユーザーは、組織の配布グループ内のメンバーシップを表示、変更することができます。ただし、これは該当の配布グループがグループ メンバーシップの操作を許可していることが前提条件になります。

MyDistributionGroups

MyDistributionGroups 管理役割により、個々のユーザーは配布グループを作成、変更、および表示することと、自らが所有する配布グループでメンバーを変更、表示、削除、および追加することができます。

MyMailSubscription

MyMailSubscription 役割により、個々のユーザーは、メッセージ形式やプロトコルの既定値などの自分の電子メール サブスクリプション設定を表示および変更することができます。

MyProfileInformation

MyProfileInformation 管理役割は、個々のユーザーが自分の名前を変更できるようにします。

MyRetentionPolicies

MyRetentionPolicies 管理役割を割り当てられた個々のユーザーは、保持タグを表示することも、保持タグの設定および既定値を表示し変更することもできます。

MyTextMessaging

MyTextMessaging 管理役割を割り当てられた個々のユーザーは、テキスト メッセージ設定を作成、表示、および変更できます。

MyVoiceMail

MyVoiceMail 管理役割を割り当てられた個々のユーザーは、ボイス メール設定を表示、変更することができます。

詳細については、以下のトピックを参照してください。

 © 2010 Microsoft Corporation.All rights reserved.