Exchange Onlineでは、ユーザーが配布グループを管理できる機能があります。
しかし、組織のポリシーによっては、ユーザーによる配布グループの編集は許可し、作成・削除のみ制御したい場合があります。
本記事では、ユーザーの役割に含まれる「MyDistributionGroups」権限を編集することで、ユーザーによる配布グループの管理権限を制御する方法をご紹介します。
※ユーザーの役割の [MyDistributionGroups] 権限とは、Outlook on the Web の [全般] > [配布グループ] > [所有する配布グループ] にて、ユーザーが配布グループを作成・削除・編集する際に必要となる権限です。
役割の新規作成
まず、既定のポリシー MyDistributionGroups をコピーして、新しいポリシーを作成します。
この操作は管理センターからは実施できないため、PowerShellで行います。
PowerShell実行前提作業
PowerShellでExchange Onlineに接続する手順を記載します。
- PowerShellを管理者権限で開きます。
- 下記コマンドでExchange Onlineに管理者アカウントで接続します。
Connect-ExchangeOnline
ポリシー作成
下記の構文を入力し、既定のポリシー MyDistributionGroups をコピーして、新しいポリシーを作成します。
[構文]
New-ManagementRole -Parent <コピー元の役割> -Name <新しい役割名>
[実行例]
New-ManagementRole -Parent "MyDistributionGroups" -Name "NewMyDistributionGroups"
※ 上記実行例では、新しい役割名を NewMyDistributionGroups に設定しています。
作成した役割のカスタマイズ
次に、下記の構文を入力し、作成した役割をカスタマイズします。
この操作によりユーザーは配布グループの作成・削除ができなくなります。所有している既存グループのメンバー編集は可能です。
[配布グループの作成を制限]
Remove-ManagementRoleEntry "NewMyDistributionGroups\New-DistributionGroup" -Confirm:$False
[配布グループの削除を制限]
Remove-ManagementRoleEntry "NewMyDistributionGroups\Remove-DistributionGroup" -Confirm:$False
※こちらは必要に応じて実施してください。
作成した役割を既定の ポリシーに設定
作成した役割項目を既定の [Default Role Assignment Policy] に設定します。この操作はExchange 管理センター及びPowerShell で設定が可能です。
本記事は、Exchange 管理センターでのポリシー設定手順を記載します。
- 管理者権限にて、Exchange 管理センターにアクセスします。
- [役割] > [ユーザーの役割] をクリックします。
- [Default Role Assignment Policy] をクリックします。
- [アクセス許可の管理]の[MyDistributionGroups] のチェックが外れている状態で[DistributionGroupsMembership] のチェックを入れ、それ以外の役割も任意のものにチェックをいれ、[保存] をクリックします。
※ 組織のグローバル管理者と Exchange 管理者は制御されない動作となります。
最後に
Exchange Onlineでは、ユーザーの役割をカスタマイズすることで、配布グループの作成・削除を制御できます。
ユーザーによる配布グループの乱立を防ぎたい場合や、編集は許可しつつ作成・削除のみ制御したい場合に参考にしていただければ幸いです。
最後までお読みいただきありがとうございます。
