EAC でのフェデレーションの共有の管理
原文の記事の投稿日: 2012 年 10 月 31 日 (水曜日)
Exchange Server 2013 を使用したときの最大のメリットの 1 つは、異なる組織内の異なるユーザーの間で個人情報を共有できることです。電子メール自体も、考えていること、画像、添付ファイルなどを簡単に共有できるので、共有の有力な例です。しかし、Exchange 2013 のフェデレーションの共有を使用すると、電子メール以外のものも共有できます。フェデレーションの共有を使用することで、ユーザーは、予定表の空き時間情報や、追加の予定表/連絡先情報を、異なる Exchange 組織のユーザーと共有できます。
この投稿では、Exchange 管理センター (EAC) を使用して社内 Exchange 2013 組織または Office 365 Exchange Online 組織用にフェデレーションの共有をセットアップして構成する基本手順について説明します。フェデレーションの共有の詳細については、「フェデレーションの共有について」を参照してください。
Exchange 2013 で導入された EAC によって管理環境は大きく変わりましたが、フェデレーションの共有を構成する基本的な処理に関しては Exchange 2010 と大きな違いはありません。Exchange 2010 でのフェデレーションの共有の構成方法を既に理解しているユーザーのために、Exchange 2013 での一般的な構成手順を次にまとめておきます。
フェデレーション信頼を構成する 社内で Exchange 2013 を運用する組織の場合、Microsoft Federation Gateway (MFG) との "フェデレーション信頼" を構成する必要があります。MFG は Microsoft が提供するクラウド ベースのサービスであり、社内 Exchange 2013 組織と他のフェデレーション Exchange 2010 および Exchange 2013 組織との間の "信頼ブローカー" として機能します。フェデレーション信頼の詳細については、「フェデレーションについて」を参照してください。
Office 365 テナントの一部として Exchange Online のみを使用する組織のフェデレーションの共有を構成する場合は、フェデレーション信頼を構成する必要はありません。Microsoft Federation Gateways とのフェデレーション信頼は Office 365 サービスにサインアップするときに自動的に構成され、Office 365 テナントにカスタム ドメインを追加すると自動的に更新されます。
組織の関係を構成する "組織の関係" により、異なる Exchange 組織のユーザー間で予定表の空き時間情報を共有できます。組織の関係は 2 つの Exchange 組織間の 1 対 1 の関係であり、Exchange 組織内の個別のユーザー間の関係ではありません。組織の関係の詳細については、「フェデレーションの共有について」を参照してください。
共有ポリシーを構成する "共有ポリシー" により、異なる種類の外部ユーザーとの予定表および連絡先の情報の共有をユーザーが確立できます。共有ポリシーの詳細については、「フェデレーションの共有について」を参照してください。
フェデレーションの共有 - EMC と EAC
Exchange 2010 組織でフェデレーションの共有を管理したことがあるなら、おそらく Exchange 管理コンソール (EMC) のことはよくご存じでしょう。EMC で社内 Exchange 組織のフェデレーション信頼および組織の関係を作成および管理するには、[組織の構成] (Organization Configuration)ノードを使用します。図 1 のように、各領域の [組織の構成] (Organization Configuration) ノードには固有のサブノードがあり、構成ウィザードを起動して構成設定を変更できました。共有ポリシーの場合は、[メールボックス] (Mailbox)サブノードに移動し、[共有ポリシー]タブ (結果ウィンドウ) および [共有ポリシーの新規作成]ウィザード (操作ウィンドウ) を使用します。
EMC でのフェデレーションの共有の管理操作手順は、効率的で簡単ではありますが、フェデレーションの共有を構成するために実行する必要のある直感的な基本手順とは異なっており、構成ミスが発生する可能性が高くなります。
図 1 EMC でのフェデレーション信頼と組織の関係の管理
Exchange 2013 の EAC では、さらに機能的かつ集中的な方法でフェデレーションの共有をセットアップおよび管理できます。EAC では、社内運用組織と Exchange Online 組織の両方に関するフェデレーション信頼 (社内運用組織の場合のみ)、組織の関係、共有ポリシーを管理するためのコントロールが、[組織] (Organization) 機能領域の [共有] (Sharing) タブにまとめられています。また、EAC では、[共有] (Sharing) タブに初めてアクセスしたときに、MFG とのフェデレーション信頼を有効にして構成するかどうかをユーザーに明示的に確認することによって、フェデレーションの共有を構成するプロセスが示されます (図 2 を参照)。
図 2 EAC でのフェデレーションの共有への入口
社内 Exchange 組織のフェデレーション信頼の作成と構成
フェデレーション信頼の作成
図 2 で示すように、社内 Exchange 組織でフェデレーションの共有を有効にするときの最初のステップは、フェデレーション信頼を作成することです。[有効にする] (enable) ボタンをクリックすると、EAC によってフェデレーション信頼オブジェクトが作成され、フェデレーション信頼を構成する手順が示されます。
重要 Exchange Online のみの組織に対するフェデレーションの共有のセットアップでは、フェデレーション信頼の作成と構成はスキップされます。Office 365 サービスにサインアップすると Microsoft Federation Gateways とのフェデレーション信頼が自動的に構成され、Office 365 テナントにカスタム ドメインを追加すると自動的に更新されます。
[有効にする] (Enable)をクリックすると、EAC によって次の処理が行われます。
- フェデレーション信頼の自己署名証明書が作成されます。
- その自己署名証明書を使用して、New-FederationTrust コマンドレットによりフェデレーション信頼が作成されます。
[有効にする] (Enable)をクリックすると、フェデレーション信頼作成処理の状態がプログレス バーに表示されます。完了すると、確認ウィンドウが開き、フェデレーション信頼が正常に有効にされたことが示されます。
フェデレーション信頼オブジェクトが作成された後、EAC の [共有] (Sharing) タブには、[組織の共有] (Organization Sharing) 管理セクションと [個別共有] (Individual Sharing) 管理セクションが表示されます (図 4 を参照)。フェデレーションの共有のほとんどの機能にはフェデレーション信頼が必要なので、EAC の構成処理では、常に、最初にフェデレーション信頼オブジェクトの有効化と作成が行われます。ただし、フェデレーション信頼を完全なものにするために設定する必要のあるフェデレーション信頼構成項目がまだいくつかあります。フェデレーション信頼を完全に有効にする前に組織の関係を構成する必要がある場合は、Exchange 管理シェルを使用して処理を完了する必要があります。ただし、組織でフェデレーションの共有の機能をすべて有効にするには、最初にフェデレーション信頼を完全に有効にして構成した後、組織の関係と共有ポリシーを構成することを強くお勧めします。
![スクリーンショット: EAC の [組織の共有] (Organization Sharing) および [個別共有] (Individual Sharing) セクション](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/31/06/postimages/1256.ManagingFederation-Fig3.png)
図 3 EAC の [組織の共有] (Organization Sharing) および [個別共有] (Individual Sharing) セクション
フェデレーション信頼の構成
[共有] (Sharing)タブの [フェデレーションの信頼] (Federation Trust)セクションで、[共有有効ドメインを編集] (modify) ボタンをクリックして [共有が有効なドメイン] (Sharing-Enabled Domains)ページを表示します。このページでは、フェデレーション信頼のためにフェデレーション ドメインを構成する手順が示されます。
図 4 [共有が有効なドメイン] (Sharing-Enabled Domains) ページ
EAC でフェデレーションの共有の管理環境に関して最も大きく向上した点の 1 つは、各操作の正しい順序がわかることです。図 5 を見るとわかるように、2 つのステップが示されています。
- 承認されたドメインを選択する 最初に、フェデレーション信頼の "プライマリ共有ドメイン" として使用する承認されたドメインを追加する必要があります。プライマリ共有ドメインという用語は、フェデレーション信頼の正しい構成手順がわかりやすいように、EAC で導入された新しい用語です。プライマリ共有ドメインは、フェデレーション信頼に対する組織識別子 (OrgID) として使用される一意のアカウント名前空間であり、アカウント名前空間としてのプライマリ共有ドメインの前には定義済みの文字列 FYDIBOHF25SPDLT が追加されます。たとえば、フェデレーション信頼のプライマリ共有ドメインとして承認されたドメイン contoso.com を指定した場合、Exchange 組織のフェデレーション信頼に対する OrgID として FYDIBOHF25SPDLT.contoso.comアカウント名前空間が自動的に作成されます。
- 共有を有効にするドメインを追加する このセクションを使用して、フェデレーション信頼に対する "フェデレーション ドメイン" として承認されたドメインを追加します。
ステップ 1: プライマリ共有ドメインを選択する
[参照] (Browse)をクリックし、共有に対するプライマリ ドメインとして有効にする承認されたドメインを選択します。通常、これは組織のプライマリ SMTP ドメインです。次に、パブリック DNS サーバーでプライマリ共有ドメインの TXT レコード を追加して、そのドメインの所有権を証明する必要があります。プライマリ共有ドメインである承認されたドメインを選択すると、EAC によって TXT レコードの検証文字列が自動的に生成されます。
図 5 ドメインの所有権を証明する TXT レコードを作成するために使用する必要のある文字列
TXT レコードがパブリック DNS に伝達された後、[更新] (Update)をクリックして、プライマリ共有ドメインとしてそのドメインを追加する要求を Microsoft Federation Gateway に送信します。[更新] (Update) をクリックすると、EAC は Set-FederatedOrganizationIdentifier コマンドレットを使用して、フェデレーション信頼のアカウント名前空間を作成します。完全なコマンドは次のとおりです。
Set-FederatedOrganizationIdentifier –AccountNamespace <選択したプライマリ共有ドメイン>
重要 Exchange 2013 では、Exchange 2010 SP2 と同様に、アカウント名前空間として exchangedelegation で始まるドメインを指定する必要はありません。アカウント名前空間の基になっている詳細を気にすることなく、どのような承認されたドメインでもプライマリ共有ドメインとして使用できます。
[共有が有効なドメイン] (Sharing-Enabled Domains) ページを再び開くと、プライマリ共有ドメインとアカウント名前空間が正しく設定されていることがわかります。
図 6 準備が完了したアカウント名前空間とプライマリ共有ドメイン
ステップ 2: 共有を有効にするドメインを追加する
必要な場合は、次に、フェデレーション ドメインとしてフェデレーション信頼にドメインを追加します。小規模な会社では (そして、ユーザーの電子メール アドレス用にドメインを 1 つだけ使用している場合)、プライマリ共有ドメインの共有を有効にするだけで十分な場合があります。しかし、組織に複数のセグメントがあるような大規模な企業ではそうはいかず、異なるサブドメインの共有を有効にすることが必要になる場合があります。
共有にさらにドメインを追加する必要がある場合は、[+]ボタンをクリックして [承認済みドメインの選択]ページを開き、フェデレーションを行うドメインを選択します。次に、選択したドメインのドメイン所有権を証明するために、パブリック DNS に各追加ドメインの TXT レコードを追加する必要があります。ステップ 1 と同じように、Exchange によって自動的に追加ドメインの検証文字列が生成され、右側のウィンドウの追加ドメインの一覧の隣に表示されます。
図 7 EAC に表示された各追加フェデレーション ドメインの TXT レコードを作成するために使用する必要のある文字列
TXT レコードがパブリック DNS に伝達された後、[更新] (Update)をクリックして、追加フェデレーション ドメインとしてドメインを追加する要求を Microsoft Federation Gateway に送信します。[更新] (Update) をクリックすると、EAC は Add-FederatedDomain コマンドレットと追加のドメインを使用して、フェデレーション信頼を更新します。完全なコマンドは次のとおりです。
Add-FederatedDomain –DomainName <追加共有ドメイン>
空き時間情報の共有および予定表/連絡先の共有に関しては、これらの追加ドメインはプライマリ共有ドメインとまったく同じように動作します。
[共有が有効なドメイン] (Sharing-Enabled Domains)ページを再び開くと、追加共有ドメインがフェデレーション信頼に正常に追加されていることがわかります。
図 8 正常に追加された追加フェデレーション ドメイン
フェデレーション信頼が正常に構成されました。予定表の空き時間情報および追加の予定表/連絡先の共有を有効にする場合は、組織の関係および共有ポリシーも組織に構成する必要があります。
社内 Exchange 組織または Exchange Online 組織の組織の関係の構成
組織の関係を作成して構成することにより、自分の組織と別のフェデレーション Exchange 組織の間で、組織レベルの空き時間情報の共有を有効にできます。両方の組織のユーザーは、組織の関係の設定に従って、予定表の空き時間情報を相互に表示および共有できます。組織の関係を作成および構成するには、EAC の [エンタープライズ] (Enterprise) 領域または [Office 365] (Office 365) 領域で [組織] (Organization)、[共有] (Sharing)、[組織の共有] (Organization Sharing) に移動します。
![スクリーンショット: EAC の Enterprise バージョンの [組織の共有] (Organization Sharing)](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/31/06/postimages/7444.ManagingFederation-Fig9.png)
図 9 EAC の Enterprise バージョンの [組織の共有] (Organization Sharing)
組織の関係を作成および構成するには、[+]ボタンをクリックして、[組織上の関係] (Organization Relationship)ページを開き、以下の設定を入力します。
- 関係名: 組織の関係の憶えやすい名前です。
- 共有するドメイン: 自分の組織で共有を有効にする外部フェデレーション Exchange 組織のドメインです。
- 予定表の空き時間情報の共有レベル: 外部 Exchange 組織のユーザーに対して許可する、自分の組織のユーザーの予定表空き時間情報の共有レベルです。
- 予定表の空き時間情報を共有するユーザー: 外部 Exchange 組織と予定表の空き時間情報を共有する、自分の組織のユーザーまたはグループです。
![スクリーンショット: [組織上の関係の新規作成] (New Organization Relationship) ページ](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/31/06/postimages/6406.ManagingFederation-Fig10.png)
図 10 組織の関係の作成
メールヒント やメールボックスの移動の有効化や無効化など、組織の関係の他の設定を構成する必要がある場合は、シェルの OrganizationRelationship コマンドレットを使用する必要があります。
社内 Exchange 組織または Exchange Online 組織の共有ポリシーの構成
共有ポリシーを構成すると、異なる種類の外部ユーザーとの間での、予定表および連絡先の情報のユーザーが確立するユーザー間の共有を有効にできます。共有ポリシーはユーザーのメールボックスに割り当てられ、ユーザーは空き時間および連絡先の情報 ([予定表] および [連絡先] フォルダーを含みます) を自分で管理し、他の外部フェデレーション組織の受信者と共有できます。外部フェデレーション組織ではないユーザーまたは Exchange 組織ではないユーザーの場合も、共有ポリシーにより、インターネット予定表の公開を使用することで匿名ユーザーと予定表情報をユーザー間で共有できます。
共有ポリシーを作成および構成するには、EAC の [エンタープライズ] (Enterprise) 領域または [Office 365] (Office 365) 領域で、[組織] (Organization)、[共有] (Sharing)、[個別共有] (Individual Sharing) に移動します。
![スクリーンショット: EAC の Enterprise バージョンの [個別共有] (Individual Sharing)](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/31/06/postimages/6131.ManagingFederation-Fig11.png)
図 11 EAC の Enterprise バージョンの [個別共有] (Individual Sharing)
共有ポリシーを作成および構成するには、[+]ボタンをクリックして、[共有ポリシー] (Sharing Policy)ページを開きます。以下の設定を定義する必要があります。
- ポリシー名: 共有ポリシーの憶えやすい名前です。
- このポリシーの共有ルールの定義: この共有ポリシーに適用するルールです。共有するドメイン、予定表情報の共有レベル、および [連絡先] フォルダーを共有するかどうか、を含みます。
- 既定の共有ポリシー: このポリシーを組織の既定の共有ポリシーにするかどうかです。
![スクリーンショット: EAC の [共有ポリシーの新規作成] (New Sharing Policy) ページ](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/31/06/postimages/8358.ManagingFederation-Fig12.png)
図 12 EAC の [共有ポリシーの新規作成] (New Sharing Policy) ページ
共有ポリシーの共有ルールを作成および構成するには、[+]をクリックして [共有ルール] (Sharing Rule)ページを開きます。以下の設定を定義する必要があります。
- 予定表/連絡先情報を共有するユーザー
- 共有する情報
- [連絡先] フォルダーを共有するかどうか
![スクリーンショット: EAC の [共有ルール] (Sharing Rule) ページ](https://msdntnarchive.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/31/06/postimages/2055.ManagingFederation-Fig14.png)
図 13 EAC の [共有ルール] (Sharing Rule) ページ
ポリシーで定義されている各ルールは、個人間の共有関係にマップされます。ユーザーは、共有ポリシーの制御の下で、複数の異なるユーザーとの共有関係を開始できます。たとえば、次のような 2 つのルールを共有ポリシーで作成できます。
- contoso.com と予定表の空き時間情報を共有する
- fabrikam.com と予定表の空き時間情報、件名、場所、[連絡先] フォルダーを共有する
この共有ポリシーを Jim という名前のユーザーに割り当てた場合、Jim は予定表および連絡先の情報を、contoso.com 組織および fabrikam.com 組織と異なる方法で共有できます。
Exchange 2013 と EAC の新しいフェデレーションの共有環境が皆さんにとって役に立つものであることを望みます。詳細については、「フェデレーションの共有について」を参照してください。
Elber Ren、Robert Mazzoli
これはローカライズされたブログ投稿です。原文の記事は「Managing Federated Sharing with the EAC」をご覧ください。