New-ApplicationAccessPolicy
このコマンドレットは、クラウドベースのサービスでのみ使用できます。
重要
アプリ アクセス ポリシーは間もなく、アプリケーションのロール ベースのAccess Controlに置き換えられます。 詳細については、「Exchange アプリケーションのロール ベースのAccess Control」を参照してください。
New-ApplicationAccessPolicy コマンドレットを使用して、API (Outlook REST、Microsoft Graph、または Exchange Web Services (EWS)) を使用するアプリケーションによって、特定のメールボックス セットへのアクセスを制限または拒否します。 これらのポリシーは、アプリケーションによって宣言されたアクセス許可スコープに補完されます。
以下の構文セクションのパラメーター セットの詳細については、「Exchangeのコマンドレット構文」を参照してください。
構文
Default (既定)
New-ApplicationAccessPolicy
-AccessRight <ApplicationAccessPolicyRight>
-AppId <String[]>
-PolicyScopeGroupId <RecipientIdParameter>
[-Confirm]
[-Description <String>]
[-WhatIf]
[<CommonParameters>]
説明
このコマンドレットを実行する際には、あらかじめアクセス許可を割り当てる必要があります。 この記事ではコマンドレットのすべてのパラメーターを一覧表示しますが、割り当てられたアクセス許可にパラメーターが含まれていない場合は、一部のパラメーターにアクセスできない可能性があります。 コマンドレットを組織内で実行するために必要になるアクセス許可とパラメーターを調べるには、「 Find the permissions required to run any Exchange cmdlet」を参照してください。
一定の領域に基づいて、organizationに限られた数のポリシーを作成できます。 organizationこれらのポリシーの領域が不足すると、"アプリ アクセス ポリシーの合計サイズが制限を超えました" というエラーが表示されます。ポリシーの数を最大化し、ポリシーで使用される領域の量を減らすには、ポリシーの 1 つのスペース文字の説明を設定します。 この方法では、約 300 個のポリシー (以前の 100 ポリシーの制限) を使用できます。
Mail.Read や Calendar.Read などのスコープベースのリソース アクセスは、アプリケーションがメールボックス内のメールまたはイベントのみを読み取り、他の操作を行わないよう有効ですが、アプリケーション アクセス ポリシーを使用すると、管理者はメールボックスの一覧に基づく制限を適用できます。 たとえば、ある国/地域用に開発されたアプリは、他の国/地域のデータにアクセスできないようにする必要があります。 または、CRM 統合アプリケーションは、Sales organization 内の予定表にのみアクセスし、他の部門にはアクセスしないでください。
アプリケーションによって実行されるターゲット メールボックスに対する Outlook REST API または Microsoft Graph API を使用するすべての API 要求は、次の規則 (同じ順序で) を使用して検証されます。
- 同じアプリケーションとターゲット メールボックスのペアに複数のアプリケーション アクセス ポリシーがある場合、DenyAccess ポリシーは RestrictAccess ポリシーよりも優先されます。
- アプリケーション メールボックスとターゲット メールボックスに DenyAccess ポリシーが存在する場合、(RestrictAccess ポリシーが存在する場合でも) アプリのアクセス要求は拒否されます。
- アプリケーションとターゲット メールボックスに一致する RestrictAccess ポリシーがある場合、アプリにはアクセス権が付与されます。
- アプリケーションの制限ポリシーがあり、ターゲット メールボックスがそれらのポリシーのメンバーでない場合、アプリケーションはターゲット メールボックスへのアクセスを拒否されます。
- 上記の条件が満たされていない場合、アプリケーションには要求されたターゲット メールボックスへのアクセス権が付与されます。
例
例 1
New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5", "6ac794ca-2697-4137-8754-d2a78ae47d93" -PolicyScopeGroupId "Engineering Staff" -Description "Engineering Group Policy"
この例では、次の設定で新しいアプリケーション アクセス ポリシーを作成します。
- AccessRight: DenyAccess
- AppIDs: 3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5 および 6ac794ca-2697-4137-8754-d2a78ae47d93
- PolicyScopeGroupId: エンジニアリング スタッフ
- 説明: エンジニアリング グループ ポリシー
例 2
New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."
この例では、次の設定で新しいアプリケーション アクセス ポリシーを作成します。
- AccessRight: RestrictAccess
- AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
- PolicyScopeGroupId: EvenUsers@AppPolicyTest2.com
- 説明: このアプリのアクセスをセキュリティ グループ EvenUsers のメンバーに制限します。
例 3
New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId OddUsers@AppPolicyTest2.com -Description "Deny this app access to members of security group OddUsers."
この例では、次の設定で新しいアプリケーション アクセス ポリシーを作成します。
- AccessRight: DenyAccess
- AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
- PolicyScopeGroupId: OddUsers@AppPolicyTest2.com
- 説明: セキュリティ グループ OddUsers のメンバーに対するこのアプリのアクセスを拒否します。
パラメーター
-AccessRight
適用対象: Exchange Online、Exchange Online Protection
AccessRight パラメーターは、アプリケーション アクセス ポリシーで割り当てる制限の種類を指定します。 有効な値は次のとおりです。
- RestrictAccess: 関連付けられているアプリが、PolicyScopeGroupID パラメーターで指定されたメールボックスに関連付けられているデータにのみアクセスできるようにします。
- DenyAccess: 関連付けられているアプリが、PolicyScopeGroupID パラメーターで指定されたメールボックスに関連付けられていないデータにのみアクセスできるようにします。
パラメーターのプロパティ
| 型: | ApplicationAccessPolicyIdParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | True |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-AppId
適用対象: Exchange Online、Exchange Online Protection
Identity パラメーターは、ポリシーに含めるアプリの GUID を指定します。 アプリの GUID 値を確認するには、コマンド Get-App | Format-Table -Auto DisplayName,AppId を実行します。
複数のアプリ GUID 値をコンマで区切って指定することも、* を指定してすべてのアプリケーションを示すこともできます。
パラメーターのプロパティ
| 型: | String[] |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | True |
| パイプラインからの値: | True |
| プロパティ名別のパイプラインからの値: | True |
| 残りの引数からの値: | False |
-Confirm
適用対象: Exchange Online、Exchange Online Protection
Confirm スイッチは、確認プロンプトを表示するか非表示にするかを指定します。 このスイッチがコマンドレットにどのような影響を与えるかは、先に進む前にコマンドレットで確認が必要となるかどうかで決まります。
- データを破壊するコマンドレット (たとえば、Remove- コマンドレット) には、先に進む前にユーザーにそのコマンドの確認を強制する組み込みの一時停止があります。 これらのコマンドレットでは、正確な構文
-Confirm:$falseを使用して、確認プロンプトを省略できます。 - 他のほとんどのコマンドレット (たとえば、New-* や Set-* コマンドレット) には、組み込みの一時停止はありません。 これらのコマンドレットの場合、値なしで Confirm スイッチを指定すると、先に進む前に、一時停止してコマンドを確認する必要があります。
パラメーターのプロパティ
| 型: | SwitchParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
| Aliases: | cf |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-Description
適用対象: Exchange Online、Exchange Online Protection
Description パラメーターは、ポリシーの説明を指定します。 値にスペースが含まれている場合は、値を二重引用符 (") で囲んでください。
パラメーターのプロパティ
| 型: | String |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
-PolicyScopeGroupID
適用対象: Exchange Online、Exchange Online Protection
PolicyScopeGroupID パラメーターは、ポリシーで定義する受信者を指定します。 有効な受信者の種類は、Exchange Onlineのセキュリティ プリンシパルです (入れ子になったグループを含むユーザーまたはグループは、アクセス許可を割り当てることができます)。 例:
- 関連付けられたユーザー アカウントを持つメールボックス (UserMailbox)
- メール ユーザー (メールが有効なユーザー (MailUser) とも呼ばれます)
- メールが有効なセキュリティ グループ (MailUniversalSecurityGroup)
受信者を一意に識別する任意の値を使用できます。 たとえば、次の値を使用できます。
- 名前
- 名前
- 識別名 (DN)
- 電子メール アドレス
- GUID
受信者がセキュリティ プリンシパルであることを確認するには、 Get-Recipient -Identity <RecipientIdentity> | Select-Object IsValidSecurityPrincipal または Get-Recipient -ResultSize unlimited | Format-Table -Auto Name,RecipientType,RecipientTypeDetails,IsValidSecurityPrincipalのいずれかのコマンドを実行します。
このパラメーターでは、セキュリティ プリンシパルのみを指定できます。 たとえば、次の種類の受信者は機能しません。
- 探索メールボックス (DiscoveryMailbox)
- 動的配布グループ (DynamicDistributionGroup)
- 配布グループ (MailUniversalDistributionGroup)
- メール連絡先 (MailContact)
- メールが有効なパブリック フォルダー (PublicFolder)
- Microsoft 365 グループ (GroupMailbox)
- リソース メールボックス (RoomMailbox または EquipmentMailbox)
- 共有メールボックス (SharedMailbox)
ポリシーのスコープを共有メールボックスに設定する必要がある場合は、メールが有効なセキュリティ グループのメンバーとして共有メールボックスを追加できます。
パラメーターのプロパティ
| 型: | RecipientIdParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | True |
| パイプラインからの値: | True |
| プロパティ名別のパイプラインからの値: | True |
| 残りの引数からの値: | False |
-WhatIf
適用対象: Exchange Online、Exchange Online Protection
WhatIf スイッチは、コマンドの操作をシミュレートします。 このスイッチを使用すると、実際にその変更内容を適用せずに、発生する変更を確認できます。 このスイッチで値を指定する必要はありません。
パラメーターのプロパティ
| 型: | SwitchParameter |
| 規定値: | None |
| ワイルドカードのサポート: | False |
| DontShow: | False |
| Aliases: | ウィスコンシン |
パラメーター セット
(All)
| 配置: | Named |
| 必須: | False |
| パイプラインからの値: | False |
| プロパティ名別のパイプラインからの値: | False |
| 残りの引数からの値: | False |
CommonParameters
このコマンドレットでは、一般的なパラメーター -Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction、-WarningVariable の各パラメーターがサポートされています。 詳細については、「about_CommonParameters」を参照してください。