次の方法で共有


Exchange の偽装と EWS

Exchange サービス アプリケーションで偽装を使用する方法とタイミングについて説明します。

ユーザーが他のユーザーのメールボックスにアクセスできるようにするには、次の 3 つの方法のいずれかを使用できます。

  • デリゲートを追加し、各デリゲートのアクセス許可を指定します。

  • フォルダーのアクセス許可を直接変更します。

  • 偽装を使用します。

委任またはフォルダーのアクセス許可よりも偽装を選択する必要があるのはいつですか? 次のガイドラインは、決定に役立ちます。

  • フォルダーに対してユーザー アクセスを提供するものの、ユーザーに "代理人として送信する" アクセス許可を付与しない場合は、フォルダーのアクセス許可を使用します。

  • あるユーザーに別のユーザーの代わりに作業を実行するアクセス許可を付与する場合は、デリゲート アクセスを使用します。 通常、これは 1 対 1 または 1 対 1 のアクセス許可です。たとえば、管理者の予定表を管理する 1 つの管理アシスタントや、ミーティング ルームのグループの予定表を管理するシングル ルーム スケジューラです。

  • 複数のメールボックスにアクセスしてメールボックスの所有者として "操作を行う" 必要のあるサービス アプリケーションがある場合は、偽装を使用します。

偽装は、1 つのサービス アカウントにデータベース内のすべてのメールボックスへのアクセスを簡単に許可できるため、複数のメールボックスを処理するときに最適です。 委任、およびフォルダーのアクセス許可は、各メールボックスに個別にアクセス許可を追加する必要があるため、少数のユーザーにのみアクセス許可を付与する場合に最適です。 図 1 は、それぞれのアクセス許可の種類ごとの違いを示しています。

図 1. 他のユーザーのメールボックスにアクセスする方法

メールボックスのアクセス タイプ、各タイプのメールボックス所有者と代理人の関係、およびアクセス許可のタイプを示す図。委任用のアクセス許可またはフォルダー アクセス許可のために送信します。偽装のためのアクセス許可として送信します。

偽装は、Exchange Online、Office 365 の一部としての Exchange Online、およびオンプレミス バージョンの Exchange に接続し、メールのアーカイブ、休暇中のユーザーへの OOF の自動設定、アプリケーションがメールボックスの所有者として動作する必要のある他のすべてのタスクなどの操作を実行するアプリケーションに最適です。 アプリケーションでメッセージを送信するのに偽装を使用すると、メールがメールボックスの所有者から送信されたものとして表示されます。 サービス アカウントによって送信されたメールであることを受信者が確認する手段はありません。 一方、委任は、別のメールボックス アカウントに対して、メールボックスの所有者の代わりに動作するためのアクセス許可を付与します。 代理人によってメール メッセージが送信される場合、"from" 値はメールボックスの所有者になり、"sender" 値はメールを送信した代理人になります。

偽装のセキュリティの考慮事項

偽装を使用すると、発信者は指定されたユーザー アカウントを偽装できます。 これにより、発信者は自分のアカウントに関連付けられているアクセス許可ではなく、偽装されたアカウントに関連付けられているアクセス許可を使用して操作を実行できます。 このため、次のセキュリティの考慮事項に留意する必要があります。

  • Exchange サーバー管理者によって ApplicationImpersonation 役割が付与されているアカウントのみが偽装を使用できます。

  • Exchange オンプレミスの場合は、権限借用を指定されたアカウント グループに制限する管理スコープを作成する必要があります。 管理スコープを作成しないと、 ApplicationImpersonation 役割が組織内のすべてのアカウントに付与されます。 ハイブリッド 先進認証を構成している場合は、条件付きアクセスMicrosoft Entra使用してアクセス制御を適用することもできます。

  • Exchange Onlineでは、権限借用を指定されたアカウント グループに制限する管理スコープを作成する必要があります。 管理スコープを作成しないと、 ApplicationImpersonation 役割が組織内のすべてのアカウントに付与されます。 Microsoft Entra条件付きアクセスを使用して、アクセス制御を適用することもできます。

  • 通常、 ApplicationImpersonation 役割はユーザー アカウントではなく、特定のアプリケーションまたはアプリケーションのグループ専用のサービス アカウントに付与されます。 必要に応じて、必要な数のサービス アカウントを作成できます。

偽装の構成についての詳細を読むこともできますが、Exchange 管理者と相談して、必要とするサービス アカウントが組織のセキュリティ要件を満たすアクセス許可やアクセスを持つものとして作成されるようにしなければなりません。

このセクションの内容

EWS の偽装のパフォーマンスに関する考慮事項

EWS の偽装を使用する場合、X-AnchorMailbox が常に正しく設定されている必要があります。 そうでない場合は、500 または 503 のエラー メッセージが表示されることがあります。 これは、パフォーマンスにおいても、Exchange Online または Exchange 2013 の通知においても重要です。 設定をしない場合、呼び出しを完了するまでに 2 倍以上の時間がかかる可能性があります。 場合によっては、タイムアウトになることもあります。

関連項目