アプリにカスタム役割を追加するには、先に Exchange 管理センターでグループ新しい役割グループを追加してカスタム役割を追加し、その後アプリをグループに追加する必要があります。
新しい役割グループを追加して、そのグループにカスタム役割を追加するには、以下の説明を参照してください。
1. Exchange 管理センターで、役割 > 管理者の役割 に移動します。
2. 管理者の役割 ページで、[役割グループを追加する] をクリックします。役割グループの追加 ページが表示されます。
3. 基本情報 ステップで名前および説明 (説明は必須ではありません) を入力します。
4. [次へ] をクリックして、アクセス許可 ステップに移動します。
5. アプリ タイプに基づいてグループに対して以下の役割を選択します。
|
タイプ |
権限名 |
必要となる理由 |
|
移行元 |
Mail Recipients |
メールボックス権限の移行、メールボックス エイリアスの移行、メール転送などを実行する際にメールボックスを取得します。 |
|
Distribution Groups |
配布リストまたは動的配布リストを移行する場合に必要です。 | |
|
移行先 |
Mail Recipients |
メールボックス権限の移行、メールボックス エイリアスの移行などを実行する際にメールボックスを取得します。 |
|
Mail Recipients Creation |
移行先に共有メールボックス、リソース メールボックス、動的配布リストを作成する場合は必要です。 | |
|
Distribution Groups |
配布リストまたは動的配布リストを移行する場合に必要です。 | |
|
Security Group Creation and Membership |
移行先でメールが有効なセキュリティ グループを作成する場合に必要です。 |
6. [次へ] をクリックして、管理者 ステップに移動します。
7. 管理者 ステップをスキップして [次へ] をクリックして、確認と完了 ステップに移動します。
8. [役割グループの追加] をクリックして、選択したアクセス許可を持つグループを追加します。
新しい役割グループの追加後、以下のステップを参照して Windows PowerShell を使用してカスタム役割をアプリに追加することができます。
1. PowerShell を使用して Exchange Online に接続します。詳細については、Exchange Online PowerShell への接続 を参照してください。
2. Windows PowerShell を開き、Windows PowerShell ウィンドウに以下のコマンドを入力し、キーボードの Enter キーを押してアプリケーションのサービス プリンシパル オブジェクトを作成します。
New-ServicePrincipal -AppId xxxxx –ObjectId xxxxx -DisplayName "Display name"
*注意: アプリのアプリケーション ID およびオブジェクト ID を取得するには、Microsoft Entra 管理センター > ID > アプリケーション > エンタープライズ アプリケーションに移動して、アプリをクリックします。
3. 以下のコマンドを入力し、キーボードの Enter キーを押して、サービス プリンシパルの詳細を変数に保存します。
$SP = Get-ServicePrincipal -Identity "Display name"
4. 以下のコマンドを入力し、キーボードの Enter キーを押して、サービス プリンシパルをカスタム役割グループのメンバーとして追加します。
Add-RoleGroupMember -Identity "Name of custom role group" -Member $SP.Identity
5. 以下のコマンドを入力し、キーボードの Enter キーを押して、サービス プリンシパルがカスタム役割グループに追加されているかどうかを検証します。
Get-RoleGroupMember "Name of custom role group"
詳細については、Exchange Online PowerShell とセキュリティ & コンプライアンス PowerShell での無人スクリプトのアプリ専用認証 を参照してください。