アドレス帳ポリシーについて
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2016-11-28
グローバル アドレス一覧 (GAL) セグメンテーション (GAL 分離とも呼ばれる) は、管理者がユーザーを特定グループに分割して、組織の GAL のカスタマイズされた表示を提供するプロセスです。MicrosoftExchange Server 2007 以前のバージョンの GAL の分割は複雑で、クエリ ベース DN (ディレクトリ検索のルートとして機能する) またはアクセス制御リスト (ACL) を使用して、各アドレス一覧へのアクセスを許可または拒否する必要がありました。Exchange 2007 での GAL セグメンテーションの構成の詳細については、「White Paper: Configuring Virtual Organizations and Address List Segregation in Exchange 2007 (英語)」を参照してください。
このプロセスを簡素化するため、MicrosoftExchange Server 2010 Service Pack 2 (SP2) ではアドレス帳ポリシー (ABP) が導入されました。ABP の作成時には、GAL、オフライン アドレス帳 (OAB)、会議室一覧、1 つ以上のアドレス一覧をポリシーに割り当てます。次に ABP をメールボックス ユーザーに割り当て、カスタマイズされた GAL にメールボックス ユーザーが Outlook と Outlook Web App でアクセスできるようにします。目標は、複数の GAL を必要とする社内組織で GAL セグメンテーションを完成するメカニズムを単純にすることです。
注意
ABP は、各ユーザー グループの GAL を最適化するためのものであり、ユーザー同士を見えないようにしたり、組織内の他のユーザーを解決できないようにするものではありません。ABP は、法的な分離ではなく、ユーザーの仮想的な分離のみを行います。
重要
ABP は、Office 365 では使用できません。そのため、ハイブリッド展開の場合、クラウドベースのメールボックスを持つユーザーにアドレス帳全体が表示されます。
ABP の仕組み
ABP には次の一覧が含まれます。
1 つの GAL
1 つの OAB
1 つの会議室一覧 (予約目的)
1 つまたは複数のアドレス一覧
次の図では、アドレス帳ポリシー A は、組織内のさまざまなアドレス オブジェクトのサブセット (図の下半分) から構成されています。結果的に、ABP の範囲は、ポリシーに含まれる GAL (この例では GAL1) の範囲と等しくなります。ABP が作成され、ユーザーに割り当てられると、ABP のアドレス オブジェクトは、ユーザーが閲覧できる範囲のオブジェクトになります。
次の方法で ABP を個々のメールボックス ユーザーに割り当てることができます。
新規/既存メールボックス | シェル | Exchange 管理コンソール |
---|---|---|
新規作成 |
New-Mailbox コマンドレットと AddressBookPolicy パラメーター |
[メールボックスの新規作成] ウィザードの [メールボックスの設定] タブ |
既存 |
Set-Mailbox コマンドレットと AddressBookPolicy パラメーター |
メールボックスのプロパティ ページの [メールボックスの設定] タブ |
ユーザーのクライアント アプリケーションがクライアント アクセス サーバーの Microsoft Exchange アドレス帳サービスに接続すると、ABP が有効になります。管理者が ABP を変更した場合、ユーザーが OutlookOutlook Web Access を再起動するまで、または管理者が Microsoft Exchange アドレス帳サービスを再起動するまで、更新された ABP は有効になりません。詳細については、「アドレス帳サービスについて」を参照してください。
Entourage、Outlook for Mac、および ABP
ABP は、企業内ネットワークに接続する Entourage ユーザーや Outlook for Mac ユーザーには機能しません。企業内ネットワークでは、Entourage と Outlook for Mac クライアントは、グローバル カタログ サーバーに直接接続し、Microsoft Exchange アドレス帳サービスを使用せずに Active Directory に直接照会します。ただし、インターネット経由で接続する Outlook for Mac 2011 クライアントは、OAB または Exchange Web サービス (EWS) を使用できます。そのため、これらのクライアントは、割り当てられた ABP に基づいて GAL を照会できます。Outlook for Mac 2011 の管理の詳細については、「Planning for Outlook for Mac 2011 (英語)」を参照してください。
ABP の展開
ここでは、ベスト プラクティス、シナリオ、一般的な手順など、組織での ABP の展開に関する情報を提供します。ABP のすべての管理タスクを確認するには、「アドレス帳ポリシーの管理」を参照してください。
考慮事項とベスト プラクティス
組織内で ABP を設定する際は、以下のことを考慮してください。
ABP を正しく動作させるには、ABP を割り当てるユーザー メールボックスが MicrosoftExchange Server 2010 SP2 サーバー上にある必要があります。
クライアント アクセス サーバーの役割をグローバル カタログ サーバー上で実行しないでください。実行すると、Microsoft Exchange アドレス帳サービスではなく、Active Directory が NSPI (Name Service Provider Interface) に使用されます。
階層型アドレス帳 (HAB) と ABP を同時に使用することはできません。HAB の詳細については、「階層型アドレス帳について」を参照してください。
ABP を割り当てられているどのユーザーも、各自の GAL に含まれている必要があります。
LDAP によってクライアント アプリケーションが Active Directory に直接アクセスできるようにすると、クライアント アプリケーションは ABP に組み込まれたロジックをバイパスするようになります。Outlook 2011 と Entourage 2008 はダイレクト LDAP クエリを使用して Active Directory にアクセスするため、ドメイン コントローラーまたはグローバル カタログ サーバーが設定されているか、または自動検出サービスによって提供される場合、Outlook 2011 と Entourage 2008 のクライアント アプリケーションで ABP は正しく動作しません。Outlook 2011 は、EWS またはローカルの OAB を使用してディレクトリ情報にアクセスします。ただし、Outlook 2011 が LDAP サービスに直接アクセス可能な場合は、LDAP サービスへの直接アクセスを試行します。
ABP で使用される GAL には、少なくとも、会議室アドレス一覧など、ABP で定義され、設定されたアドレス一覧がすべて含まれています。同じ ABP 内のどのアドレス一覧よりも含まれているオブジェクト数が少ない GAL は作成しないでください。
仮想組織の境界をまたがずに配布グループを作成することをお勧めします。複数の仮想組織のメンバーを含めた配布グループを作成すると、次のような問題が発生します。
グループ メンバーが配布をリクエストしたり、配布グループにメールを送信する際の確認メッセージを読むと、仮想組織のグループ メンバーの電子メール アドレスを閲覧できるようになります。
暗号化されたメッセージが配布グループに送信される際に、一部のグループ メンバーが有効なデジタル ID を持っていないと、送信者は、有効な ID を持っていないメンバーの合計人数とその電子メール アドレスの一覧が記載された警告メッセージを受け取ります。ただし、有効な ID を持っていないこうしたメンバーの一部が送信者と別の組織に属している場合は、警告メッセージには、正確な人数が記載されますが、別の組織のメンバーの電子メール アドレスは記載されません。そのため、合計人数とメンバーのアドレスの一覧は一致しません。
たとえば、配布グループに機関 A と機関 B の 2 つの組織から合計 5 人のメンバーが含まれているとします。3 人のグループ メンバーは機関 A に属し、そのうち 1 人は無効なデジタル ID を持っています。残りの 2 人は機関 B に属し、2 人とも無効な ID を持っています。機関 A のメンバーが暗号化されたメッセージを配布グループに送信すると、そのメンバーは、有効なデジタル ID を持っていない受信者の合計人数が 3 人と記載された警告メッセージを受け取ります。しかし、その警告メッセージに記載される電子メール アドレスは、機関 A の受信者の電子メール アドレスのみです。
ABP は、Get-group コマンドレットには適用されません。そのため、Get-Group を実行できるユーザーまたはプロセスは、アクセスできるグループのメンバー全員を閲覧できます。
ユーザーが Exchange コントロール パネル (ECP) 使用してグループを管理できないように、ECP のグループ管理設定を変更することをお勧めします。ユーザーが ECP を使用してグループを管理できないようにするには、ユーザーを MyDistributionGroupMembership RBAC の役割から除外します。詳細については、「MyDistributionGroupMembership 役割」および「配布グループを作成するユーザーの機能をオフにする」を参照してください。
ユーザーが Outlook または Outlook Web App を使用してグループを管理できるようにする場合は、グループ オーナーにグループ メンバーシップ一覧に対する完全な可視性が必要です。
すべての ABP に、会議室アドレス一覧が含まれている必要があります。ただし、その組織が会議室アドレス一覧を使用しない場合は、既定の空の会議室アドレス一覧を作成できます。
ABP の展開によって、ユーザーが他の仮想組織のユーザーに電子メールを送信できないようにすることはできません。ユーザーが組織外に電子メールを送信しないようにする場合は、トランスポート ルールを作成することをお勧めします。たとえば、Contoso のユーザーが Fabrikam のユーザーからメッセージを受信できず、Fabrikam の幹部が Contoso のユーザーにメッセージを送信できるようにトランスポート ルールを作成するには、次のシェル コマンドを実行します。
New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com
詳細については、「トランスポート ルールの作成」を参照してください。
Lync クライアントに ABP を適用するには、特定のユーザー オブジェクトに
msRTCSIP-GroupingID
属性を設定します。詳細については、「PartitionByOU から msRTCSIP-GroupingID への置き換え (英語の場合があります)」を参照してください。
展開シナリオ
次の 3 つのシナリオは、3 つのタイプの組織で可能な展開ソリューションについて説明しています。この他にも多くのシナリオがありますが、ここでは最も一般的なシナリオについて取り上げます。このシナリオのアドレス一覧と GAL は、カスタム属性など、オブジェクトを理論的にグループ化するフィルターに基づいて作成されました。
シナリオ 1: 2 つの個別の企業 - 1 つの Exchange 組織
このシナリオは、個々に機関、事業部、部署を持つ、次のような企業に当てはまります。
同じ Exchange 組織に属している。
共通の従業員はいない。
指揮系統を共有していない。
また、機関、事業部、部署には、セキュリティやプライバシーに関する特殊な懸念事項はありません。
このシナリオでは、2 つの ABP が次のような設定で作成されます。
GAL または配布グループ メンバーを閲覧する従業員は、自社の受信者のみを閲覧できる。
両企業にまたがる配布グループはない。
次の表は、Contoso および Humongous Insurance の ABP に含まれるアドレス一覧、GAL、会議室一覧、OAB を一覧にしたものです。ABP コンポーネントは、オブジェクトをグループ化する CustomAttribute15 パラメーターを使用して作成されました。この 2 つの企業は交流のない個別の企業であるため、共有するアドレス一覧はありません。
ABP コンポーネント |
Contoso |
Humongous Insurance |
アドレス一覧 |
AL_CON_Groups AL_CON_Users_DGs AL_CON_Contacts |
AL_HI_Groups AL_HI_Users_DGs AL_HI_Contacts |
GAL |
GAL_CON |
GAL_HI |
会議室一覧 |
AL_CON_Rooms |
AL_HI_Rooms |
OAB |
OAB_CON |
OAB_HI |
シナリオ 2: CEO が共通の 2 つの企業
このシナリオは、次のような企業に当てはまります。
同じ Exchange 組織に属している。
CEO が共通している。
共通の従業員はいない。
このシナリオでは、3 つの ABP が次のような設定で作成されます。
GAL または配布グループ メンバーを閲覧する従業員は、自社の受信者のみを閲覧できる。
各企業に、各企業の幹部と共通の CEO が含まれている SeniorLeaders という名前の配布グループがある。
CEO のグループ メンバーを閲覧する従業員は、自社のグループのみを閲覧できる。
3 つの ABP、Fabrikam、Tailspin Toys、CEO が作成される。
ABP コンポーネント |
Fabrikam |
Tailspin Toys |
CEO |
アドレス一覧 |
AL_FAB_Users_DGs AL_FAB_Contacts |
AL_TAIL_Users_DGs AL_TAIL_Contacts |
AL_FAB_Users_DGs AL_FAB_Contacts AL_TAIL_Users_DGs AL_TAIL_Contacts |
GAL |
GAL_FAB |
GAL_TAIL |
既定の GAL |
会議室一覧 |
AL_FAB_Rooms |
AL_TAIL_Rooms |
既定のすべての会議室 |
OAB |
OAB_FAB |
OAB_TAIL |
既定の OAB |
CEO が各企業の配布グループに追加され、各企業の ABP の範囲内にある場合、CEO が各企業から閲覧可能になります。CEO は、Fabrikam および Tailspin Toys 両社の GAL に表示され、両社にまたがる配布グループを作成できます。ただし、配布グループのメンバーが閲覧できるのは、自社のメンバーのみです。
シナリオ 3: 教育
このシナリオは、クラス単位で生徒のプライバシーを確保する必要のある学校や大学に当てはまります。
このシナリオでは、ABP が次のような設定で作成されます。
生徒は、自分のクラスの他の生徒と教師、校長のみを閲覧できる。
教師は、自分のクラスの生徒、教師全員、校長のみを閲覧できる。
各クラスの父兄および教職員用の配布グループが作成される。
|
Students_ClassA |
Teachers_ClassA |
校長 |
アドレス一覧 |
AL_ClassA AL_Principal |
AL_ClassA AL_AllTeachers AL_AllGroups AL_Principal |
AL_ClassA AL_ClassB AL_AllTeachers AL_AllStudents AL_AllGroups |
グローバル アドレス一覧 |
GAL_StudentsClassA |
GAL_TeachersClassA |
GAL_Everyone |
会議室アドレス一覧 |
AL_BlankRoom |
AL_BlankRoom |
既定のすべての会議室 |
オフライン アドレス帳 |
OAB_StudentsClassA |
OAB_TeachersClassA |
既定の OAB |
一般的な展開手順
ここでは、Exchange 2007 アドレス一覧セグメンテーションからの移行方法など、組織内での ABP の一般的な展開手順について説明します。
アドレス一覧セグメンテーションから ABP への移行
現在、(ホワイト ペーパー「Configuring Virtual Organizations and Address List Segregation in Exchange 2007 (英語)」の手順に従って) Exchange 2007 アドレス一覧セグメンテーションを使用しており、ABP に移行する場合は、「Exchange 2007 アドレス一覧セグメンテーションから Exchange 2010 アドレス帳ポリシーへの移行」で説明されている手順に従ってください。この手順には、一部組織のダウンタイムが伴うため、適宜計画を立てる必要があります。
ABP の新規展開
Exchange 2007 アドレス一覧セグメンテーションを使用していない場合、このシナリオに記載されている手順に従って組織内に ABP を展開します。
次の手順は、シナリオ 2: CEO が共通の 2 つの企業 に適用されます。このシナリオでは、Fabrikam と Tailspin Toys は、CEO と幹部が共通の個別の企業です。このシナリオには、次の 3 つの ABP が必要です。
ABP_FAB
ABP_TAIL
ABP_CEO
手順 1:仮想組織の分割
組織を仮想組織に分割する方法を策定する必要があります。この事業部を作成する際に、メールボックス、連絡先、グループに、既定の条件属性 ([会社名]、[部署]、[都道府県] など) ではなく、カスタム属性プロパティを使用することをお勧めします。既定の属性ではなくカスタム属性を使用すると、次のような利点があります。
すべてのタイプの受信者が、Active Directory 内に既定の条件属性を持つわけではありません。たとえば、Active Directory オブジェクトである [配布グループ] と [動的配布グループ] は [会社名]、[部署]、または [都道府県] をサポートしません。
一部の受信者のコマンドレットでは、すべての既定の条件属性は表示されません。たとえば、メール ユーザー、連絡先、配布グループ、メールが有効なパブリック フォルダーのコマンドレットでは、Company、Department、および StateOrProvince パラメーターは使用できません。
既定の条件属性を使用して受信者を分割するには、複数のコマンドレットが必要です。たとえば、ユーザー メールボックスに Company、Department、またはStateOrProvince パラメーターを設定するには、New-Mailbox または Set-Mailbox コマンドレットを実行した後に、Set-User コマンドレットを実行する必要があります。
ただし、各受信者タイプの Set-* コマンドレットでは、CustomAttribute パラメーターが表示されるため、Set-User コマンドレットも実行する必要はありません。
カスタム属性プロパティは、組織をカスタマイズするために明示的に予約され、組織の管理者によって完全に制御されます。
カスタム属性の詳細については、「カスタム属性について」を参照してください。
組織を分割する際に考慮すべきもう 1 つのベスト プラクティスとして、配布グループと動的配布グループの名前に企業識別子を使用する例があります。これを行う方法の 1 つに、グループの名前付けポリシーの使用があります。このポリシーによって、プリフィックス、サフィックス、または両方を配布グループ名に適用するように指定することができます。これらのポリシーを使用して、配布グループの作成者の**[会社名]、[都道府県]、[部署]**、カスタム属性プロパティなどのユーザー属性に基づいてサフィックスまたはプリフィックスを指定できるため、組織を分割する際にこの方法は有効です。この方法は、ユーザーが独自の配布グループを作成できるようにする場合に、特に重要です。詳細については、「配布グループの名前付けポリシーを作成する」を参照してください。
注意
グループ名前付けポリシーは動的配布グループに適用されないため、名前付けポリシーを手動で適用する必要があります。
手順 2:アドレス一覧、会議室一覧、GAL、および OAB の作成
アドレス一覧と GAL を作成する際に、ConditionalCompany や ConditionalCustomAttribute5 など、IncludedRecipient および ConditionalX パラメーターは使用しないでください。代わりに、受信者フィルターを使用することをお勧めします。受信者フィルターの詳細については、「受信者コマンドのフィルターの作成」を参照してください。
注意
EMC を使用して受信者フィルターを作成することはできないため、このセクションの手順はすべて、シェル コマンドを使用します。
アドレス一覧の作成
ABP を作成する際に、ユーザーが Outlook または Outlook Web App でどのように一覧を閲覧できるようにするかに基づいて、複数のアドレス一覧を含めます。このシナリオでは、次の 4 つのアドレス一覧が必要です。
AL_FAB_Users_DGs
AL_FAB_Contacts
AL_TAIL_Users_DGs
AL_TAIL_Contacts
この例では、アドレス一覧 list AL_TAIL_Users_DGs を作成します。このアドレス一覧には、CustomAttribute15 が TAIL
となっているすべてのユーザーと配布グループが含まれています。
New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter {((RecipientType -eq 'UserMailbox') -or (RecipientType -eq "MailUniversalDistributionGroup") -or (RecipientType -eq "DynamicDistributionGroup") -and (CustomAttribute15 -eq "TAIL"))}
そして残りのアドレス一覧を作成するために、上記のコマンドが実行されます。AL_FAB_Users_DGs、AL_FAB_Contacts、および AL_TAIL_Contacts。
構文およびパラメーターの詳細については、「New-AddressList」を参照してください。
受信者フィルターを使用したアドレス一覧の作成の詳細については、「受信者フィルターを使用してアドレス一覧を作成する」を参照してください。
会議室一覧の作成
このシナリオでは、次の 3 つの会議室一覧が必要です。
AL_FAB_Rooms
AL_TAIL_Rooms
既定のすべての会議室 (既定で作成)
ABP には、会議室一覧が含まれている必要があります。組織にリソース メールボックス (会議室や備品用メールボックスなど) がない場合、空の会議室一覧を作成することをお勧めします。次の例では、空の会議室一覧 AL_BlankRoom を作成します。
New-AddressList -Name AL_BlankRoom -RecipientFilter ((Alias -ne $null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')))
ただし、このシナリオでは、Fabrikam と Tailspin Toys 両社に会議室メールボックスがあります。このシナリオでは、CustomAttribute15 が TAIL
の受信者フィルターを使用して Tailspin Toys の会議室一覧を作成します。
New-AddressList -Name AL_TAIL_Rooms -RecipientFilter {(Alias -ne $null) -and (CustomAttribute15 -eq "TAIL")-and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')}
そして Fabrikam の会議室一覧 (AL_FAB_Rooms) を作成するために、上記のコマンドが実行されます。
構文およびパラメーターの詳細については、「New-AddressList」を参照してください。
GAL の作成
このシナリオには、3 つの GAL が必要です。
GAL_FAB
GAL_TAIL
既定の GAL (既定で作成)
ABP で使用される GAL は、アドレス一覧のスーパーセットである必要があります。ABP 内のどのアドレス一覧よりも含まれているオブジェクトが少ない GAL は作成しないでください。
この例では、Tailspin Toys の GAL を作成します。これには、アドレス一覧と会議室一覧内のすべての受信者が含まれています。
New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter {(CustomAttribute15 -eq "TAIL")}
そして Fabrikam の GAL (GAL_FAB) を作成するために、上記のコマンドが実行されます。
構文およびパラメーターの詳細については、「New-GlobalAddressList」を参照してください。
OAB の作成
このシナリオには、3 つの GAL が必要です。
OAB_FAB
OAB_TAIL
既定の OAB (既定で作成)
New-OfflineAddressBook または Set-OfflineAddressBook を使用して OAB を作成する場合、AddressLists パラメーターに適切なアドレス一覧や GAL を含めて、意図せずエントリが漏れないようにします。たとえば、ユーザーが OAB を閲覧する際に表示される一覧のセットをカスタマイズする場合や、OAB のダウンロード サイズを単に削減する場合に、AddressLists パラメーターを使用して、OAB に使用可能なアドレス一覧を指定することができます。ただし、ユーザーが OAB の GAL エントリのフル セットを閲覧できるようにする場合は、必ず AddressLists パラメーターに GAL を含めてください。
この例では、Tailspin Toys の OAB を作成します。GAL 全体 (GAL_TAIL) が OAB に含まれています。
New-OfflineAddressBook -Name "OAB_TAIL" -AddressLists "GAL_TAIL"
そして Fabrikam の OAB (OAB_FAB) を作成するために、上記のコマンドが実行されます。
構文およびパラメーターの詳細については、「New-OfflineAddressBook」を参照してください。
手順 3:ABP の作成
必要な一覧をすべて作成した後に、ABP を作成できます。
この例では、Tailspin Toys の ABP を作成します。
New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs","AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"
そして Fabrikam の ABP (ABP_FAB) と組織の CEO の ABP (ABP_CEO) を作成するために、上記のコマンドが実行されます。
構文およびパラメーターの詳細については、「New-AddressBookPolicy」を参照してください。
手順 4:メールボックスへの ABP の割り当て
このプロセスの最終ステップが、ABP のユーザーへの割り当てです。ユーザーのアプリケーションがクライアント アクセス サーバーの Microsoft Exchange アドレス帳サービスに接続すると、ABP が有効になります。ABP をユーザー アカウントに適用する際に既に Outlook または Outlook Web App に接続しているユーザーは、新しいアドレス一覧と GAL を閲覧する前にクライアント アプリケーションを終了して再起動する必要があります。
この例では、アドレス帳ポリシー ABP_TAIL を、CustomAttribute15 が TAIL
となっているすべてのメールボックスに割り当てます。
Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"}| Set-Mailbox -AddressBookPolicy "ABP_TAIL"
詳細については、「メール ユーザーへのアドレス帳ポリシーの割り当て」を参照してください。
© 2010 Microsoft Corporation.All rights reserved.