Exchange の偽装と EWS

Exchange サービス アプリケーションで偽装を使用する方法とタイミングについて説明します。

ユーザーが他のユーザーのメールボックスにアクセスできるようにするには、次の 3 つの方法のいずれかを使用できます。

• 代理人を追加し、各代理人にアクセス許可を指定します。

• フォルダーのアクセス許可を直接変更します。

• 偽装を使用します。

委任またはフォルダーのアクセス許可よりも偽装を選択する必要があるのはいつですか? 次のガイドラインを使用すると、次の決定に役立ちます。

• フォルダーに対してユーザー アクセスを提供するものの、ユーザーに "代理人として送信する" アクセス許可を付与しない場合は、フォルダーのアクセス許可を使用します。

• あるユーザーに別のユーザーに代わって作業を実行するアクセス許可を付与する場合は、デリゲート アクセスを使用します。 通常、これは 1 対 1 または 1 対 2 のアクセス許可です。たとえば、管理者の予定表を管理する 1 つの管理アシスタントや、会議室のグループの予定表を管理するシングル ルーム スケジューラです。

• 複数のメールボックスにアクセスしてメールボックスの所有者として "操作を行う" 必要のあるサービス アプリケーションがある場合は、偽装を使用します。

偽装は、1 つのサービス アカウントにデータベース内のすべてのメールボックスへのアクセスを簡単に許可できるため、複数のメールボックスを処理するときに最適です。 委任、およびフォルダーのアクセス許可は、各メールボックスに個別にアクセス許可を追加する必要があるため、少数のユーザーにのみアクセス許可を付与する場合に最適です。 図 1 は、それぞれのアクセス許可の種類ごとの違いを示しています。

図 1. 他のユーザーのメールボックスにアクセスする方法

偽装は、Exchange Online、Office 365 の一部としての Exchange Online、およびオンプレミス バージョンの Exchange に接続し、メールのアーカイブ、休暇中のユーザーへの OOF の自動設定、アプリケーションがメールボックスの所有者として動作する必要のある他のすべてのタスクなどの操作を実行するアプリケーションに最適です。 アプリケーションでメッセージを送信するのに偽装を使用すると、メールがメールボックスの所有者から送信されたものとして表示されます。 サービス アカウントによって送信されたメールであることを受信者が確認する手段はありません。 一方、委任は、別のメールボックス アカウントに対して、メールボックスの所有者の代わりに動作するためのアクセス許可を付与します。 代理人によってメール メッセージが送信される場合、"from" 値はメールボックスの所有者になり、"sender" 値はメールを送信した代理人になります。

偽装のセキュリティの考慮事項

偽装を使用すると、発信者は指定されたユーザー アカウントを偽装できます。 これにより、発信者は自分のアカウントに関連付けられているアクセス許可ではなく、偽装されたアカウントに関連付けられているアクセス許可を使用して操作を実行できます。 このため、次のセキュリティの考慮事項に留意する必要があります。

• Exchange サーバー管理者によって ApplicationImpersonation 役割が付与されているアカウントのみが偽装を使用できます。

• Exchange オンプレミスの場合は、権限借用を指定されたアカウント グループに制限する管理スコープを作成する必要があります。 管理スコープを作成しないと、 ApplicationImpersonation 役割が組織内のすべてのアカウントに付与されます。

• Exchange Onlineの場合は、偽装のスコープを制限するアプリケーション アクセス ポリシーを作成する必要があります。 New-ApplicationAccessPolicy コマンドレットを参照してください。 アプリケーション アクセス ポリシーを作成しない場合は、テナント内のすべてのアカウントに full_access_as_app アクセス許可が付与されます。

• 通常、 ApplicationImpersonation 役割はユーザー アカウントではなく、特定のアプリケーションまたはアプリケーションのグループ専用のサービス アカウントに付与されます。 必要に応じて、必要な数のサービス アカウントを作成できます。

偽装の構成についての詳細を読むこともできますが、Exchange 管理者と相談して、必要とするサービス アカウントが組織のセキュリティ要件を満たすアクセス許可やアクセスを持つものとして作成されるようにしなければなりません。

このセクションの内容

• 偽装を構成する

• 偽装するアカウントを識別する

• Exchange の偽装を使用して予定を追加する

EWS の偽装のパフォーマンスに関する考慮事項

EWS の偽装を使用する場合、X-AnchorMailbox が常に正しく設定されている必要があります。 そうでない場合は、500 または 503 のエラー メッセージが表示されることがあります。 これは、パフォーマンスにおいても、Exchange Online または Exchange 2013 の通知においても重要です。 設定をしない場合、呼び出しを完了するまでに 2 倍以上の時間がかかる可能性があります。 場合によっては、タイムアウトになることもあります。

関連項目

• Exchange 用の Web サービス クライアントの開発

• Exchange での代理人アクセスと EWS

• Exchange 2013 アクセス許可