フェデレーション委任について

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

インフォメーション ワーカーは、Exchange 組織外部のパートナー、顧客、ベンダー、またはその他の連絡先との共同作業が頻繁に必要になります。組織間の共同作業を効率的に行うために、ユーザーは会議を予定するための空き時間情報 (予定表の空き時間) を共有することが必要となる場合があります。取引関係の性質に応じて、ユーザーはより詳細な予定表情報を共有することが必要となる場合があります。同様に、ユーザーはこれらの外部受信者と連絡先を共有することが必要になる場合もあります。Microsoft Exchange Server 2010 では、フェデレーション委任によってこれらの目標を達成することができます。

フェデレーション委任に関連する管理タスクについては、「フェデレーションの共有の管理」を参照してください。

目次

Exchange 2010 以前の共同作業とフェデレーション委任

フェデレーション委任

フェデレーション委任のファイアウォールに関する考慮事項

Exchange 2007 との共存

Exchange 2003 との共存

組織の関係と共有ポリシーの確立

Exchange 2010 以前の共同作業とフェデレーション委任

以前のバージョンの Exchange には共有機能に制限があり、複雑なセットアップと継続的な保守が必要でした。たとえば、別の Exchange 組織内のユーザーと空き時間情報を共有するには、Inter-Organization Replication (組織間のレプリケーション) ツールを使用して Exchange 組織間でパブリック フォルダーをレプリケートする必要がありました。この処理には、サービス アカウント資格情報の管理だけでなく、両方の組織間での Active Directory 信頼の作成が必要でした。

受信者を Exchange アドレス一覧に表示するために、多くの組織が GALSync などさまざまなツールを使用して 1 つの組織の受信者を別の組織に同期させました。信頼のセットアップ、資格情報の管理、および複数の外部組織とのレプリケーションは、困難で煩雑な作業でした。Active Directory フォレストまたはドメインの信頼の作成や資格情報の管理には、セキュリティ上の影響もありました。2 つの組織間でファイアウォールに追加のポートを開くか、仮想プライベート ネットワーク (VPN) を構築することも必要でした。

Exchange Web サービス、空き時間情報サービス、および Exchange Server 2007 のクライアント アクセス サーバーの役割を導入することにより、パブリック フォルダーの空き時間情報データをレプリケーションする必要がなくなりました。しかし、空き時間情報を外部組織で利用できるようにするには、信頼または資格情報とグローバル アドレス一覧 (GAL) の同期が必要でした。

また、予定表や連絡先フォルダーを共有するには、信頼された組織のユーザーにフォルダーへのアクセス許可を割り当てる必要がありました。これを行う唯一の方法は、2 つの組織間に Active Directory の信頼を作成することでしたが、これにはさらにセキュリティ上の影響がありました。

詳細については、「フォレスト間のトポロジの空き時間情報サービスを構成する方法」を参照してください。

Exchange 2010 以前の共同作業とフェデレーション委任

フェデレーション委任

Exchange 2010 でフェデレーション委任を使用すると、ユーザーは 2 つの Exchange 2010 組織間でフェデレーション信頼を確立して組織の関係を作成することによって、外部フェデレーション組織の受信者と情報を共有できます。また、外部組織の受信者との個別の共有関係をユーザーが作成できる共有ポリシーを使用することもできます。フェデレーション委任では、Microsoft のクラウドベースのサービスである Microsoft Federation Gateway が 2 つのフェデレーション組織間で信頼ブローカーとして使用されます。情報を共有する各組織で、Microsoft Federation Gateway とのワンタイム フェデレーション信頼を確立し、互いの組織の関係または共有ポリシーのいずれかを構成するだけで、フェデレーション委任を有効にすることができます。

重要

フェデレーションの組織識別子をユーザーの Exchange 2010 組織に対して無効にする場合、すべてのフェデレーション機能が組織内で無効になります。

Microsoft Federation Gateway およびフェデレーション信頼の詳細については、以下を参照してください。

フェデレーション信頼では、ユーザーが外部の受信者と予定表や連絡先の情報を共有するために、組織の関係と共有ポリシーという 2 種類の方法が用意されています。

組織の関係

組織の関係によって、両方の組織内のユーザー間で空き時間情報を共有する目的で、別のフェデレーション組織とのフェデレーション委任を有効にすることができます。組織の関係は、2 つの組織間の一対一の関係です。2 つの組織間で複雑な Active Directory フォレストまたはドメイン信頼を構成する必要がなく (両方の組織のファイアウォールで複数のポートを開いたり、 VPN を確立したりする必要もなく)、両方の組織は互いに組織の関係を構成する前に、Microsoft Federation Gateway との単一のフェデレーション信頼を確立し、フェデレーション組織 ID を構成するだけで済みます。

組織の関係の要件

組織の関係には、以下の条件が必要です。

  • Exchange 2010 クライアント アクセス サーバーが、各 Exchange 組織内に存在する。

  • 各 Exchange 組織で、Microsoft Federation Gateway とのフェデレーション信頼を作成している。

  • 各 Exchange 組織で、フェデレーション組織 ID を構成している。ユーザーの電子メール アドレスの生成に使用するドメインが組織 ID に追加されている。

  • 組織の関係がそれぞれ対応する組織内に存在する。

  • ユーザー メールボックスをホストしているメールボックス サーバーは、Microsoft Federation Gateway サーバー、およびフェデレーション パートナー組織の CAS サーバーにアクセスできます。

注意

Office Outlook 2007 ユーザーは、外部の受信者の SMTP アドレスを指定して空き時間情報を表示できない。受信者は GAL から選択する必要があるので、外部組織との GAL 同期が必要になります。 Outlook 2007 Service Pack 2 (SP2) メールボックス サーバーにメールボックスがある Exchange 2007 ユーザーは、Office Outlook Web Access SP2 クライアント アクセス サーバー上で Exchange 2007 を使用できます。

組織の関係の作成

外部組織との組織の関係を作成すると、外部組織のユーザーが組織内のユーザーの空き時間情報にアクセスできます。GAL 情報のレプリケーションは不要です。この構成を設定すると、Outlook 2010 および Office Outlook Web App ユーザーが会議のスケジュール設定時に外部受信者の SMTP アドレスを簡単に入力することができます。

組織の関係を作成する際、予定表の空き時間へのアクセスについて、次の 3 つのレベルのいずれかを指定できます。

  • [空き時間情報にアクセス無し]

  • [時刻のみを指定して空き時間情報にアクセス]

  • [時刻、件名、場所を指定して空き時間情報にアクセス]

組織内のユーザーが外部ユーザーの空き時間情報にアクセスできるようにしたり、空き時間情報を外部組織と一方向で共有できるようにしたりするには、外部組織の管理者も、こちらの組織との組織の関係を作成する必要があります。ただし、外部の管理者はその組織内のユーザーにこちらの組織で指定したレベルとは異なるアクセスのレベルを指定することができます。一方向の共有の例では、外部組織の管理者は、ユーザーの空き時間情報をこちらの組織のユーザーと共有しないように、組織の関係を構成します。一方で、こちらのユーザーの空き時間情報は、組織の関係の設定に基づいて、外部組織のユーザーに見えるようになっています。

注意

ユーザーが空き時間情報を他のユーザーと共有しない場合、Outlook で既定のアクセス許可エントリを変更できます。これを行うには、ユーザーは [予定表プロパティ] > [アクセス許可] タブに移動して、[既定] アクセス許可を選択し、[アクセス許可レベル] リストから [なし] を選択します。ユーザーの空き時間情報は、外部組織との組織の関係が存在する場合でも、内部または外部ユーザーに対して表示されません。組織の関係は、ユーザーが設定したアクセス許可を使用します。

組織の関係を作成すると、Exchange 2010 は外部組織によって公開される自動検出 Web サービスに接続して、空き時間情報サービス エンドポイントを取得します。関係の作成時に、外部組織の空き時間情報サービス エンドポイントを手動で指定することもできます。

外部組織との組織の関係を作成するには、Exchange 管理コンソール (EMC) で組織上の関係の新規作成ウィザードを使用するか、Exchange 管理シェルで New-OrganizationRelationship コマンドレットを使用できます。

組織の関係を作成する詳細な手順については、「組織の関係の作成」を参照してください。

[共有ポリシー]

他の Exchange 組織の受信者との空き時間情報の共有を可能にするだけの組織の関係とは異なり、共有ポリシーでは、予定表情報と連絡先情報の両方について、異なるタイプの外部ユーザーと、ユーザーによって設定されたユーザー間の共有を行うことができます。共有ポリシーにより、組織内のユーザーは予定表情報と連絡先情報の両方 (予定表フォルダーと連絡先フォルダーを含む) を、他の外部のフェデレーション組織の受信者と共有することができます。外部フェデレーション組織に属さない受信者、または Exchange を使用していない組織の受信者に対しては、共有ポリシーによって、インターネット予定表の公開を通じた匿名ユーザーとの予定表情報のユーザー間の共有が可能になります。

共有ポリシーでは、ユーザーの共同作業の関係を管理する必要はありません。代わりに、ユーザーはどの外部受信者と共同作業するかを決定します。ユーザーは Outlook 2010 または Outlook Web App を使用して、予定表または連絡先フォルダーにアクセスできるように他のフェデレーション ドメインの外部受信者を招待し、また、外部受信者の情報を共有できるよう依頼することができます。ユーザーは、インターネット アクセスが可能なすべての個人に対して、予定表情報への匿名アクセスを許可することもできます。共有ポリシーでは、情報を共有できるユーザーのタイプと、共有できる情報の範囲のみを制御します。必要に応じて、ユーザーまたはグループの共有ポリシーを無効にすることもできます。

共有ポリシーは、メールボックスのユーザーに割り当てられます。ユーザーに適用される既定の共有ポリシーでは、空き時間情報をすべての外部フェデレーション ドメインと共有できるようになっています。Microsoft Federation Gateway でフェデレーション信頼を作成してフェデレーションの組織識別子を設定した後に、ユーザーは外部のフェデレーション組織のユーザーを招待して、予定表および連絡先の情報を共有できます。

重要

フェデレーション委任に参加するには、外部ユーザーの組織が Microsoft Federation Gateway とのフェデレーション信頼を確立し、フェデレーション組織 ID を構成することも必要です。

家族や友人、Exchange を使用していない組織のユーザーなど、非フェデレーション ドメイン組織の受信者がユーザーのカレンダーにアクセスできるようにするには、インターネット予定表の公開を使用した匿名の予定表アクセスを許可する個別の共有ポリシーを作成する必要があります。詳細については、「インターネット予定表の公開を有効にする」を参照してください。

共有ポリシーには、ドメイン名と、そのドメインのユーザーに許可された共有アクションの組み合わせを含めることができます。下図に示すように、共有ポリシーに指定された外部ドメインに適用する以下のアクションを指定できます。

  • 空き時間情報のみの予定表共有

  • 予定表の共有 (空き時間情報 + 件名、場所)

  • 予定表の共有 (空き時間情報 + 件名、場所、本文)

  • 連絡先の共有

  • 予定表の共有 (空き時間情報のみ)、連絡先の共有

  • 予定表の共有 (空き時間情報 + 件名、場所)、連絡先の共有

  • 予定表の共有 (空き時間情報 + 件名、場所、本文)、連絡先の共有

予定表の共有アクション

共有への招待を作成する場合、アクションがユーザーの共有ポリシーによって許可されているならば、ユーザーが共有したい情報を選択できます。たとえば、以下の設定で Fabrikam と他のフェデレーション ドメイン組織の共有ポリシーを作成するとします。

  • Fabrikam.com の外部ユーザーのための [空き時間情、件名および場所の予定表の共有]

  • その他すべてのフェデレーション ドメイン組織の外部ユーザー (アスタリスク * 記号で表される) のための [空き時間情報のみの予定表共有]

このポリシーが適用されたユーザーは、Fabrikam.com からユーザーを招待する場合、予定表の空き時間情報を他のフェデレーション ドメイン組織と共有するか、または追加の制限された詳細情報も共有することができます。

共有ポリシーの作成方法については、「共有ポリシーの作成」を参照してください。

ユーザーに共有ポリシーを適用する方法については、「メールボックスに共有ポリシーを適用する」を参照してください。

フェデレーション共有ポリシーの要件

フェデレーション ドメイン組織間の共有ポリシーでは、以下の要件を満たしている必要があります。

  • Exchange 2010 クライアント アクセス サーバーが、各 Exchange 組織内に存在する。

  • 各 Exchange 組織で、Microsoft Federation Gateway とのフェデレーション信頼を作成している。

  • 各 Exchange 組織で、フェデレーション組織 ID を構成している。ユーザーの電子メール アドレスの生成に使用するドメインが組織 ID に追加されている。

  • ユーザー メールボックスが、各 Exchange 2010 組織内の Exchange メールボックス サーバー上に配置されている。

  • Outlook 2010 および Outlook Web App ユーザーのみが共有への招待を作成できる。

非フェデレーション共有ポリシーの要件

非フェデレーション ドメイン組織または個別の匿名アクセスとの共有ポリシーでは、以下の要件を満たしている必要があります。

  • Exchange 2010 クライアント アクセス サーバーが、ユーザーの予定表情報を共有する Exchange 組織内に存在する。

  • ユーザー メールボックスが、ユーザーの予定表情報を共有する Exchange 組織内の Exchange 2010 メールボックス サーバー上に配置されている。

  • クライアント アクセス サーバーで、Outlook Web App アクセスが有効になっている。

組織の関係と共有ポリシーの比較

組織の関係と共有ポリシーは、外部ユーザーとの空き時間情報の共有を可能にしますが、それぞれの目的は異なっています。組織の関係は、外部組織と共同で作業するために作成され、空き時間情報の共有のみに制限されます。共有ポリシーでは、ユーザーが外部のフェデレーション組織、非フェデレーション Exchange 組織、Exchange を使用していない組織のユーザーおよび匿名ユーザーと、どの予定表や連絡先の情報を共有できるかを制御します。

以下の表は、組織の関係と共有ポリシーの違いを示します。

組織の関係と共有ポリシー

機能 組織の関係 共有ポリシー

組織のフェデレーション信頼が必要

はい

はい (他のフェデレーション ドメイン組織と共有する場合)。インターネット共有ポリシーでは不要です。

外部ドメインのフェデレーションを推奨

はい

はい (他のフェデレーション ドメイン組織と共有する場合)。インターネット共有ポリシーでは不要です。

多数のユーザーのセットについて、外部組織との空き時間情報 (件名と場所を含む) の共有が可能

はい

いいえ

予定表フォルダーの共有 (空き時間情報) が可能

いいえ

はい

予定表フォルダーの共有 (件名と本文を含む空き時間情報) が可能

いいえ

はい

連絡先の共有が可能

X

はい (他のフェデレーション ドメイン組織と共有する場合)。インターネット共有ポリシーでは不要です。

ユーザーが外部受信者に共有への招待を送信する必要がある

いいえ

はい

アクセス方法を提供

クライアント アクセス サーバーは、外部組織のクライアント アクセス サーバーにアクセスし、要求に応じて外部ユーザーの空き時間情報を取得します。

クライアント アクセス サーバーは、外部組織のクライアント アクセス サーバーにアクセスし、フェデレーション ドメイン組織の外部ユーザーの予定表フォルダーまたは連絡先フォルダーを購読します。インターネット共有ポリシーの場合、外部ユーザーはクライアント アクセス サーバー上の制限された URL またはパブリック URL のいずれかにアクセスします。

すべての外部ドメインに適用可能

いいえ (2 つの Exchange 2010 組織間で一対一の関係)

はい

異なる種類の外部受信者との共有をユーザーに提供

いいえ

はい、適用されている共有ポリシーに基づく

一部のユーザーの共有を無効にする

はい、組織の関係にセキュリティ配布グループを指定することによって

はい、適用されている共有ポリシーを無効にすることによって

メールボックスが Exchange 2010 メールボックス サーバー上にあることが必要

いいえ

はい

Exchange 2010 以前の共同作業とフェデレーション委任

フェデレーション委任のファイアウォールに関する考慮事項

フェデレーション委任機能は、組織内のメールボックスとクライアント アクセス サーバーによる HTTPS を使用したインターネットへの送信アクセスを必要とします。組織内のすべての Exchange 2010 メールボックスとクライアント アクセス サーバーからの送信 HTTPS アクセス (TCP ポート 443) を許可する必要があります。

外部組織が組織の空き時間情報にアクセスするには、クライアント アクセス サーバーをインターネットに公開する必要があります。これには、インターネットからクライアント アクセス サーバーへの受信 HTTPS アクセスが必要です。クライアント アクセス サーバーをインターネットに公開していない Active Directory サイトのクライアント アクセス サーバーは、インターネットからアクセスできるその他の Active Directory サイトのクライアント アクセス サーバーを使用できます。インターネットに公開されていないクライアント アクセス サーバーは、外部組織から可視の URL で設定された Web サービス仮想ディレクトリの外部 URL が必要です。

Exchange 2010 以前の共同作業とフェデレーション委任

Exchange 2007 との共存

Exchange 2010 および Exchange 2007 の両方のサーバーを使用している組織では、Exchange 2007 メールボックス サーバー上にメールボックスがあるユーザーは、組織の関係を使用して、外部フェデレーション ドメイン組織の受信者と空き時間情報を共有することができます。メールボックス サーバーでは Exchange 2007 SP2 以降を実行している必要があり、Exchange 2010 組織内に少なくとも 1 つの Exchange クライアント アクセス サーバーが必要です。組織の関係を使用するには、組織内に単一の Exchange 2010 クライアント アクセス サーバーを導入します。これにより、空き時間情報を同期し GAL 同期を必要とするソリューションよりも堅牢なソリューションを提供します。

Outlook 2010 または Outlook Web App を使用して Exchange 2007 サーバー上で会議のスケジュールを設定する場合、Exchange 2007 サーバー上にメールボックスがあるユーザーは、外部組織のユーザーの空き時間情報を確認できます。Exchange 2007 メールボックスの空き時間情報は、外部組織の受信者に対して表示可能です。

共有ポリシーは、Exchange 2010 メールボックス ユーザーに割り当てられます。共有ポリシーを使用するには、Exchange 2010 メールボックス サーバー上にメールボックスがなければなりません。共有の招待の生成、または共有の招待への応答には、Outlook 2010 および Outlook Web App クライアントのみを使用できます。

Exchange 2010 以前の共同作業とフェデレーション委任

Exchange 2003 との共存

Exchange 2010 および Exchange 2003 の両方のサーバーを使用している組織では、Exchange 2003 サーバー上にメールボックスがあるユーザーは、組織の関係を使用して、外部フェデレーション ドメイン組織の受信者と空き時間情報を共有することができます。メールボックス サーバーでは Exchange Server 2003 SP2 以降を実行している必要があり、Exchange 2010 組織内に少なくとも 1 つの Exchange 2003 クライアント アクセスおよびパブリック フォルダー サーバーが必要です。クライアント アクセス サーバーは受信および送信するすべての空き時間要求のプロキシとして機能し、組織の関係のプロパティを構成するために使用されます。パブリック フォルダー サーバーは、他のフェデレーション Exchange 2003 組織による空き時間情報のアクセスのために、Exchange 2010 パブリック フォルダー データのレプリカを保持して管理します。

内部および外部の Exchange メールボックス ユーザーは、Exchange 2003、Outlook 2003、Outlook 2007、または Outlook 2010 を使用して、Outlook Web App 組織内の空き時間情報を確認できます。共有ポリシーは、Exchange 2010 メールボックス ユーザーのみに割り当てられます。共有ポリシーを使用するには、Exchange 2010 メールボックス サーバー上にメールボックスが存在する必要があります。Exchange 2003 サーバー上にあるメールボックスに共有ポリシーを適用することはできません。

Exchange 2010 以前の共同作業とフェデレーション委任

組織の関係と共有ポリシーの確立

この例では、ユーザーが Contoso, Ltd. の管理者であると仮定します。ユーザーの組織は Fabrikam, Inc. との契約を結んで、両方の組織によって共同販売する製品を開発します。2 つの組織間で共同作業を有効にするには、両方の組織のマーケティングおよびエンジニアリング部門が互いに空き時間情報にアクセスする必要があります。この共同作業は、ユーザーの負担を最小限またはゼロに抑えて行われるようにします。

Contoso は、Litware, Inc. とも共同で作業します。この共同作業はユーザーの小さいグループに制限されます。両方の組織のユーザーは、互いに共有関係を確立できる必要があります。連絡先および空き時間情報の共有を許可する必要があります。その他の予定表情報を共有する必要はありません。

また、Contoso ユーザーは、Outlook で管理する外部アクティビティの調整を行うために、予定表情報を家族と共有したいと考えています。

最後に、共有は以下の作業の必要なしに実現することが望ましいです。

  • Active Directory フォレストまたはドメイン信頼の作成

  • 組織間または個人間の資格情報の交換

  • 組織間または個人間の VPN の確立

このシナリオを実現するには、次の操作を行います。

  1. Fabrikam および Litware とのフェデレーション委任を構成するには、Microsoft Federation Gateway とのフェデレーション信頼を作成します (まだ作成されていない場合)。これは、Contoso ユーザーとの家族と情報を共有する場合には不要です。この 1 回限りの手順は、Exchange 2010 フェデレーション機能を使用するために必要です。手順では、X.509 証明書を Microsoft Federation Gateway によって信頼された証明機関によって発行する必要があります。詳細については、「フェデレーションの信頼の作成」を参照してください。

  2. フェデレーションの組織識別子を構成します (まだ構成されていない場合)。この手順では、フェデレーションを有効にしたい組織の承認済みドメインを組織識別子に追加する必要があります。この 1 回限りの手順は、Exchange 2010 フェデレーション機能を使用するために必要です。詳細については、「フェデレーションの管理」を参照してください。

  3. Fabrikam, Inc. との組織の関係を作成します。 詳細については、「組織の関係の作成」を参照してください。次の操作を行います。

    • Fabrikam 組織が既にフェデレーションを確立しているかどうかを確認するには、Get-FederationInformation コマンドレットを使用します。

    • マーケティングおよびエンジニアリング部門のメンバーを含む配布グループを選択します。これらのユーザーの空き時間情報が Fabrikam 社のユーザーに表示されるようになります。

  4. 両方の組織のユーザーが空き時間情報を互いに表示できるためには、Fabrikam, Inc. の管理者がユーザーの組織と組織の関係を作成することも必要です。

  5. Litware.com ドメイン内のユーザーとの共同作業が必要なユーザー用に共有ポリシーを作成します。詳細については、「共有ポリシーの作成」を参照してください。共有ポリシーを次の条件で作成します。

    • Litware 組織が既にフェデレーションを確立しているかどうかを確認するには、Get-FederationInformation コマンドレットを使用します。

    • Litware.com ドメインを共有ポリシーに追加します。

    • ポリシー用に [空き時間情報のみの予定表の共有、連絡先の共有] アクションを選択します。

    • Litware のユーザーとの共同作業が必要な組織のユーザーに対して、ポリシーを割り当てます。詳細については、「メールボックスに共有ポリシーを適用する」を参照してください。

  6. 家族と共同作業を行う必要がある Contoso ユーザー用に、匿名共有ポリシーを作成します。詳細については、「共有ポリシーの作成」を参照してください。共有ポリシーを次の条件で作成します。

    • クライアント アクセス サーバー上の仮想ディレクトリの公開を設定します。詳細については、「Set-OwaVirtualDirectory」を参照してください。

    • メールボックス サーバーの Webproxy URL を設定します。これを行うには、set-ExchangeServer コマンドレットを使用して InternetWebProxy パラメーターを指定します。

    • 匿名公開用のクライアント アクセス サーバー仮想ディレクトリを有効にします。

Fabrikam, Inc. との組織の関係と、Litware, Inc. および Contoso ユーザー用の共有ポリシーを作成した後に、以下の機能が使用可能になります。

  • すべてのユーザーは、Fabrikam のマーケティングおよびエンジニアリング部門のユーザーの空き時間情報を表示することができます。

  • 組織内で新しく共有ポリシーを適用されたユーザーは、Litware, Inc. のユーザーに個別の共有の招待を送信することができます。

  • Contoso ユーザーは、公開済み予定表へのリンクを提供することで、友人や家族に対して自分の予定表情報を表示できます。家族は、この情報にアクセスするために特別な資格情報を必要としません。

Exchange 2010 以前の共同作業とフェデレーション委任

 © 2010 Microsoft Corporation.All rights reserved.