ユーザーの条件に基づいたクラウド (パート 2): ハイブリッドの管理

  • [アーティクル]

原文の記事の投稿日: 2012 年 9 月 21 日 (金曜日)

ハイブリッド管理の簡単な歴史

Exchange Server 2010 のリリースでは、現在は Office 365 の Exchange Online と呼ばれている革新的なクラウド ベース サービスが導入されました。クラウドの創成期には、多大な時間と労力がユーザーおよび組織データの迅速な移行に費やされ、その際には社内の Exchange エンタープライズ展開と Web ベースのテナントとの間の共存の展開およびサポートがある程度重視されました。ただし、比較的大きな組織 (LORG) からは、データ移行の効率性に加えて、社内とクラウドの共存のより長期的な状態を十分にサポートすることの必要性が非常に高い、という強いフィードバックがありました。こうした LORG は、社内ベースおよびクラウド内のメールボックスの、確度が高く、妥協のない管理エクスペリエンスについて言及し、そうしたエクスペリエンスを求めていました。

Exchange Server 2010 は、Exchange 管理コンソール (EMC) で提供される既存の機能を拡張することで、社内と Exchange Online のクロスプレミス共存ソリューションを初めて実現しました。EMC は Windows MMC ベースのクライアントであり、その当初のねらいは、現在は単に "ハイブリッド" と呼ばれている事実上の Exchange Server コンソールへと後に発展したエンタープライズ サーバーの大規模な展開を管理することでした。EMC は、クラウド (Office 365) への効率的なデータ移行を促進し、大量の編集を伴うクロスプレミスの受信者管理の実現と、組織レベルのほとんどのポリシーおよびオブジェクトの管理の容易化を果たしました。

通常、EMC の使用は、Exchange Server の役割をホストしている個々の x64 サーバー上で行われるか、"管理ツール専用" のインストールによってワークステーション上で別々に行われます。EMC は Windows 専用の管理ツールであり、これは EMC が WinRM のようなローカル サービスに依存して PowerShell プロトコル経由でリモート サーバーと通信することを意味します。

image
図 1: Exchange Server 2010 によるハイブリッド管理

ハイブリッド管理では、EMC により、すべての受信者の表示、メールボックス移行の実行、および Exchange Online テナントに関連する組織オブジェクトの管理を行うために第 2 の "ツリー" を追加できる機能が管理者に提供されます。純粋に Exchange Online のみの展開では、EMC を管理用に適用する必要はなく、簡素化された "Exchange コントロール パネル" (ECP) コンソール (これも Exchange Server 2010 の新機能でした) が代わりに使用されます。

ハイブリッドとは

ハイブリッドを Exchange サーバー自体の固有のオファリングとは考えないでください。むしろ、ハイブリッドは、社内設置のサーバーがインターネット ベースのサービスと協調して相互作用を行っていることを示す共存の状態です。ハイブリッドの概念は、Exchange 製品ラインに固有のものではなく、SharePoint や Lync のような Microsoft Office サーバーの幅広い製品ファミリの随所に見られます。

Exchange のハイブリッドの場合は、通常、一連のメールボックスおよびポリシーが社内と Office 365 の全域に配布され、1 つの "仮想" 組織として機能することを示しています。ハイブリッドのセットアップと展開に関する以前のブログ エントリで、2 つの構内の観点からはこうした共存の状態が内部の展開として見えることを説明しました。たとえば、Office 365 テナントから社内の受信者へのクロスプレミスのメール フローでは、証明書が自動的に追加されるため、配信されたメールは実際には専用のハイブリッド メール コネクタを使用してインターネット経由で届いたにもかかわらず、その組織自体の内部から発信されたかのように信頼されます。

社内および Office 365 サービス全体の受信者を組織のニーズに合うように整理する方法については、多くの可能性と組み合わせが存在します。たとえば、社内の受信者の 100% を 2 年以内にテナントに移動するように計画している組織もあれば、すべての会議室リソース メールボックスを Office 365 テナントに直ちに追加しようとする組織や、オンライン テナントを使用してセキュリティが保護された状態でオンライン アーカイブ メールボックスをホストしようとする組織もあります。重要なのは、ビジネスのニーズを満たすように設計されたハイブリッドによって柔軟性を実現しようとしていることです。

新しい Exchange 用のハイブリッド管理の導入

このブログ投稿では、「条件に基づいたクラウド - パート 1」の続編として、特に最も一般的なシナリオに基づいたハイブリッド管理の "定常状態" に主として注目します。

この投稿の目的上、以下の前提条件は既に満たされているものと仮定します。

  • 少なくとも 1 つの Exchange Server 2013 クライアント アクセス サーバー (CAS15) およびメールボックス サーバー (MBX15) の役割がインストールされている (それぞれの種類が別々にインストールされているか、または双方が、たとえば、前エディションの Exchange Server を備えた相互運用環境内の、1 台のサーバー上に存在する)。
  • Office 365 テナントのバージョンは、Exchange Server 2013 を備えたハイブリッド展開を構成するために 15.0.000.0 以上でなければならない (ライセンスおよび価格設定プランの最新の詳細情報に関する Office 365 サイトを参照)。
  • Office 365 管理ポータルによって共存が有効にされており、共存ドメインの所有権の証明を含むその他すべての前提条件となる手順が記載どおりに実行されている。
  • Office 365 テナントへのアクセスに必要な、"テナント管理者" の Microsoft アカウント資格情報にアクセスできる。
  • 社内のすべての依存関係が用意されている (Active Directory 同期のインストールなど)。
  • ハイブリッド構成ウィザードの実行が正常に行われている (Exchange 2010 と Office 365 によるハイブリッドを既に使用していた場合は、これに以前のハイブリッド構成設定のアップグレードが含まれることがある)。
  • あらかじめ登録された "Administrator" 受信者アカウントを使用していない (これがハイブリッド管理でサポートされていない理由の詳細については後述)。

image
図 2: Ben Appleby による前回の投稿で説明した新しい Exchange 用のハイブリッド構成ウィザード

新しい Exchange 管理センターのハイブリッド コンソール

説明を始めるにあたり、ここでは新しい Exchange 向けの Exchange 管理センター (EAC) による新たなハイブリッド管理コンソールの注釈付きガイドを示します。

image

A) [エンタープライズ] (Enterprise) および [Office 365] ピボット - 社内の展開とオンラインの Office 365 テナントを切り換えるために使用します。

B) 中心となる単一の統合リスト - 生成された場所や現在使用しているピボットに関係なく、すべての通知が表示されます (社内から Office 365 へのメールボックス移行の追跡用など)。

C) 双方の構内にいるすべての受信者が含まれる単一のリスト ビュー

D) リモート (Office 365) でホストされたメールボックス用の "詳細ウィンドウ"

E) ナビゲーション タブを介したメールボックス移行のエントリ ポイント

Exchange 用ハイブリッド管理の新機能

新しい Exchange 用のハイブリッドの理念は、きわめて単純であり、クロスプレミスの組織のあらゆる面を管理するためにほぼどんな場所からでも使用できる馴染みやすい単一のコンソールを管理者に提供することです。

以下に、新機能の簡単なリストを示します。

1) Exchange 管理者向けのフル機能のブラウザーベース コンソールを活用しています。これは、ハイブリッドの "管理ツール" インストールを最新の状態に維持するのに必要なメンテナンス コストを削減できることを意味します。Exchange Server 2013 メールボックス サーバーを更新するだけで、すべての EAC 管理が最新の状態に維持されます。

2) メールボックス サーバー上の ECP (EAC のプロトコル名) IIS 仮想ディレクトリのセキュリティ構成に応じて、外部と内部の両方の管理者アクセスを許可したり、ドメインに参加しているコンピューターに対する内部アクセスのみを許可したりできます。

3) 1 つのブラウザー タブで、すべての受信者と組織オブジェクト (アドレス リスト、ポリシーなど) を管理できます。

4) すべての構内にわたる Exchange の通知が 1 つのセットに統合されています。

5) ADFS 2.0 によるシングル サインオンがサポートされます。近日中に提供される今後のトピックでは、シングル サインオンの展開と管理に注目する予定です。シングル サインオンを使用するための準備の詳細については、Office 365 のページを参照してください。

image
図 4: ハイブリッド モード用の ADFS シングル サインオン モジュール

6) "別のユーザー" をクロスプレミスで管理できます。休暇中の別のユーザーに代わって不在メッセージを設定するといったヘルプデスク シナリオを実行する場合は、コンソール右上の表示名の横にある [他のユーザー] オプションを使用するだけで、すべての構内に存在する受信者の完全なリストを表示できます。

image
図 5: [他のユーザー] でマージされた受信者ビューの管理

Exchange Server 2013 用のハイブリッド管理モードの使用を開始する

ハイブリッド構成ウィザード (HCW) の実行、または PowerShell での Update-HybridConfiguration コマンドレットの直接実行を既に行ったことがある場合は、EAC のハイブリッド モードを既に使用していることになります。実際、EAC の [ハイブリッド] (Hybrid) タブで一度でも [有効にする] (enable) をクリックすると、Microsoft アカウント資格情報の入力を求められ、テナントが見つかった後は EAC に戻ってきますが、その際にはハイブリッド モードで EAC が動作しています。

それ以降は、HCW が正常に実行された後にハイブリッド モードに入るために何か特別なことを行う必要はありません。これは、メール フロー サービスやデータ共有 (空き時間情報) サービスのような重要なシナリオがクロスプレミスで有効になると共に、このウィザードにより、表示の際に EAC でハイブリッド モードを自動的に有効にするアーティファクトが社内に作成されるからです。具体的には、(HCW による) Update-HybridConfiguration の実行で、特別なリモート ドメイン オブジェクトが作成されます。このオブジェクトは、EAC によって -TargetDeliveryDomain (TDD) プロパティが検出されると、自動的にハイブリッド モードで EAC を起動します。

ハイブリッド モードの使用時に気付く特に大きなの違いの 1 つは、[Office 365] タブをクリックすると、Microsoft アカウントまたは ADFS のどちらかの資格情報によるオンライン テナントへのサインインを促すメッセージが表示されることです。パフォーマンス上の理由から、EAC では、ハイブリッド モードを使用するかどうかの情報をキャッシュして、ログインのたびにチェックを行うことを避けています (キャッシュの状態は 30 分ごとに自動的にリフレッシュされます)。TDD によってリモート ドメインを手動で作成していて、ハイブリッド モードの使用を直ちに開始する必要がある場合は、Exchange Server 2013 メールボックス サーバーで IIS を再起動してください。

image
図 6: ハイブリッド構成ウィザードのエントリ ポイント

社内の相互運用展開でのハイブリッドの管理

Exchange 2010 サーバーや Exchange 2007 サーバーが存在する社内の相互運用環境でハイブリッドを管理する場合、考慮すべき細かい点はほとんどありません。

相互運用展開では、管理者用メールボックスが新しい Exchange 上にない場合、ログオンの際に展開にアクセスするための URI と一緒に使用する追加機能が存在します。ほとんどの場合、これらの URI キーが管理者のために既定で追加されることはありませんが、事前に作成されたリンクを備える可能性がある今後のリリースに関する詳細情報に引き続き注目してください。ここでは、参照を容易にするための必要なキーと値のペアによって URI のブックマーク設定を行うことを強くお勧めします。

相互運用機能 メモ

管理者用メールボックスが新しい Exchange にまだ移行されていない場合は、"ExchClientVer=15" というキーと値を使用して、メールボックス ストアが存在するサーバーではなく、Exchange Server 2013 メールボックス サーバーに確実にルーティングされるようにする必要があります。

 

これは、ストアを持たない "メール ユーザー" アカウントにも当てはまります。

 

例:

https://contoso.com /ecp?ExchClientVer=15

これは、純粋に社内の管理にも当てはまります。Exchange Server 2013 クライアント アクセス サーバーは、既定では、資格情報に関連付けられた同じバージョンのメールボックスに基づいたメールボックス サーバーへのルーティングを行います。

これは、"メール ユーザー" にも当てはまります。メール ユーザーは、メールボックス ストアを持ちませんが、それまでに移行が行われていない限り、アカウントが最初に作成された SYSTEM メールボックスへの参照を格納しているからです。

Exchange Server 2013 を社内にインストールする場合、インストーラーの最後の段階で表示されるリンクでは、EAC へのナビゲーションが容易に行えるように "ExchClientVer=15" が自動的に追加されます。

シングル サインオン用の ADFS 認証モードを使用するための指示として "cross=1" を使用します。

 

例:

https://contoso.com /ecp?ExchClientVer=15&cross=1

共有された OWA および ECP プロトコル認証モジュールは、ADFS モードを使用するための指示を必要とします。

現在、Outlook Web App の仮想ディレクトリは、ADFS の認証方法をサポートしていません。

Exchange Server のあらかじめ登録された "Administrator" アカウントは、ハイブリッド管理では使用しないでください。

ADFS によるシングル サインオン (SSO) で "Administrator" アカウントの使用を試みると、ハイブリッド展開の "Office 365" サイドを管理できなくなります。

このベスト プラクティスは、相互運用環境とそれ以外の環境の双方に適用されます。

 

Exchange のあらかじめ登録された "Administrator" アカウントの社内と Office 365 テナント間での同期は、Microsoft Online ディレクトリ同期 ("DirSync") では行われません。

 

ハイブリッド テナント側を管理するために "Administrator" の使用を試みると、対応する "メール ユーザー" アカウントが Office 365 に存在しないので、ADFS のエラーが表示されます。

 

"Administrator" ユーザーは、オブジェクト プロパティにおける isCriticalSystemObject = TRUE のようなディレクトリ同期ルールに従って同期されません。

ハイブリッド モードでの受信者の管理

すべての受信者の完全なリストは、[メールボックス] タブの [エンタープライズ] (Enterprise) ピボットで参照できます。ハイブリッド モードで新しい受信者を作成および管理する際に注意が必要な項目は、ほとんどありません。

ハイブリッドで受信者のプロビジョニングまたは変更を行う際に従うべき単純なルールは、常に社内の "エンタープライズ" サイドを使用することです。これは主として MSO ディレクトリ同期サービスの一方向の同期特性によるものであり、社内とテナントの双方が受信者の Active Directory 詳細情報のすべてについて同じコピーを持つことになります。

image
図 7: Office 365 テナントでメール ユーザーとして表示されている社内のメールボックス

受信者の種類 メモ
社内のユーザー メールボックス

[エンタープライズ] (Enterprise) ピボットの標準として作成します。

テナントとの同期が取られ、[Office 365] の [連絡先] (contacts) タブを表示することで同期の状態を確認できます (上の図を参照)。ここでは、テナント内の "メール ユーザー" として作成されています。

オンラインで "メール ユーザー" として反映されたユーザーがいれば、完全なグローバル アドレス一覧をコンパイルできます。
社内ではプライマリ メールボックスを、Office 365 テナントではアーカイブ メールボックスを持つユーザー

社内のプライマリ メールボックス用のアーカイブ メールボックスは、テナント上で最初に作成することも (下の図を参照)、社内から移行することもできます。
Office 365 のプライマリ メールボックスを持つユーザー

[エンタープライズ] (Enterprise) サイドの "Office 365" メールボックスとして反映されます。

PowerShell での表示の際に "RecipientTypeDetails" という Get-Mailbox コマンドレットの出力に対応するリモート オブジェクトは、Microsoft Online ディレクトリ同期に対してこのメール ユーザーを Office 365 テナントに同期するように指示する特別なパラメーター (具体的には RemoteRoutingAddress) が追加されたメール ユーザーに類似しています。
メール連絡先と配布グループ

これらのオブジェクトの種類は、Office 365 サイドに対する同期が自動的に行われ、どちらのサイドでも同じ場所に存在します。

現在、メンバー数が 15,000 を超える社内のグループは、ディレクトリ同期サービスによってフィルターで除外されます (同期されません)。

Office 365 での新しいメールボックスのプロビジョニング

ハイブリッド モードで新しい Office 365 メールボックスのプロビジョニングを行うには、最初に社内の [メールボックス] (mailbox) タブをクリックし、新しいアイコンのドロップダウン リストで "Office 365" というメールボックスの種類を選択します。テナントでの新しいメールボックスの作成は、使用できるクライアント ライセンスに影響を与えることがあります。使用できるライセンスおよびプランについては、Microsoft アカウントの資格情報を使用して Office 365 ポータルで確認してください。

image
図 8: Office 365 メールボックスの作成

[Office 365] サービス サイドには、ハイブリッド モードの EAC でメールボックスを作成するオプションが存在しません。そのため、すべての新規メールボックスのプロビジョニングは、受信者のコピーを完全なものにするために社内側で行われることになります。新しい Office 365 メールボックスのプロビジョニングを Office 365 ポータルから直接行うこともできますが、そうしたメールボックスは Office 365 から社内への "逆同期" が行われず、メール フローの問題が発生する可能性があるので、この方法は使用しないでください

また、ハイブリッド モードの [Office 365] サイドでは、受信者を変更することの推奨や許可も行われていません。こうした変更の結果、クロスプレミス展開の一方で受信者が最新の状態でなくなるからです。実際、この操作は、コピー間の相違を回避するために、役割ベースのアクセス制御 (RBAC) によるランタイム検証ルールでブロックされます (以下のエラーメッセージを参照)。

image
図 9: 相違を回避するためにブロックされたサービス側での受信者の編集

今後予定している内容

Exchange 管理センターの新しいハイブリッド モードについて興味をお持ちいただければ幸いです。ハイブリッド向けの移行、ADFS によるシングル サインオン、およびデバッグについては、近日中に別の記事で解説する予定です。

Warren Johnson

これはローカライズされたブログ投稿です。原文の記事は、「The Cloud On Your Terms (PART II): Managing Hybrid」をご覧ください。