Microsoft Entra ID サービスで Microsoft Entra テナントの 配布リスト または メールが有効なセキュリティ グループ を保護する場合、または 管理ポータル設定 サービスで Microsoft 365 Defender または Exchange 管理センターの設定を保護する場合、Microsoft Entra ID および 管理ポータル設定 サービスのために作成されたアプリに Exchange 管理者ロールを割り当てることを選択できます。カスタム アプリを使用しており、かつ Exchange 管理者ロールをアプリに割り当てない場合、Exchange 管理センターで最小権限を持つ役割グループを作成し、グループ メンバーとしてアプリを追加することができます。
この構成は、カスタム アプリにのみ適用されます。
カスタム役割グループを作成するには、以下の説明を参照してください。
1. 管理者アカウントで Exchange 管理センターにサインインします。
2. 役割 > 管理者の役割 に移動します。
3. [役割グループを追加する] をクリックします。
4. 役割グループの基本情報を入力して、アクセス許可 ステップに移動します。
5. アクセス許可を追加 ページで、以下のアクセス許可を選択します。
•Mail Recipients
•View-Only Configuration
•View-Only Recipients
6. [次へ] をクリックしてその他の設定を構成します。[役割グループの追加] をクリックしてグループを完了します。
7. 必要な権限を持つ役割グループの作成後、グループ メンバーとしてアプリを追加するには、以下の説明を参照してください。
a. コンピューターで管理者として PowerShell を実行します。
b. 以下のコマンド ラインを使用して PowerShell で Exchange Online をインストールします。
Install-Module -Name ExchangeOnlineManagement -RequiredVersion 3.4.0
Set-ExecutionPolicy RemoteSigned
c. 以下のコマンド ラインを実行して、アプリを作成した役割グループのメンバーとして追加します。
*注意: アプリの アプリケーション ID、オブジェクト ID、表示名 を提供する必要があります。Azure ポータル > エンタープライズ アプリケーション ページに移動して、アプリ情報を確認することができます。
Connect-ExchangeOnline
New-ServicePrincipal -AppId <Application ID on Azure Portal> -ObjectId <Object ID on Azure Portal> -DisplayName <Same name as in Azure Portal>
Add-RoleGroupMember "<Roles Groups Name on Exchange Admin page>" -Member <ServicePrincipal Object ID>