シナリオ: アドレス帳ポリシーの展開

製品: Exchange Server 2013

次の 3 つのシナリオでは、3 種類のorganizationに対して可能なデプロイ ソリューションについて説明します。 さらに多くのシナリオがありますが、ここでは最も人気のあるシナリオについて説明します。 これらのシナリオのアドレス一覧とグローバル アドレス一覧 (CAL) は、オブジェクトを論理的にグループ化したフィルター (カスタム属性など) に基づいて作成されました。

このシナリオは、インフラストラクチャを共有しているが、レポート チェーンがなく、一般的な従業員がいない政府機関、部門、または部門に適用されます。 さらに、部門には特別なセキュリティやプライバシーに関する懸念はありません。 このシナリオでは、GAL を表示するとき、または他の配布グループのメンバーシップを確認するときに、従業員が同じorganizationのメンバーのみを表示できる 2 つのアドレス帳ポリシー (ACP) が作成されます。 また、organization全体にわたる配布グループのメンバーとなるユーザーはいません。

Contoso と Humongous Insurance の ABP は、次のアドレス一覧、グローバル アドレス一覧、会議室リスト、および OAB を使用して作成されました。これは、オブジェクトをカスタム属性などのフィルターでグループ化した受信者フィルターを使用して作成されました。 2 つの会社は、2 つの会社間の相互作用なしに分離されているため、共通のアドレス一覧はありません。

このシナリオでは、Fabrikam と Tailspin Toys が同じ Exchange organizationと同じ CEO を共有します。 CEO は、2 つの会社間の唯一の一般的な人物です。 このシナリオでは、次の特性を持つ 3 つの ABP が必要です。

• Tailspin Toys のユーザーは、GAL を参照するときにのみ Tailspin Toys ユーザーを表示できます。
• Fabrikam のユーザーは、GAL を参照するときにのみ Fabrikam ユーザーを表示できます。
• 各会社には、その会社の上級リーダーと CEO を含む SeniorLeaders 配布グループがあります。
• CEO のグループ メンバーシップを確認したユーザーには、ユーザーの会社に属するグループのみが表示されます。 自分の会社にないグループは表示されません。
• Fab、Tail、CEO の 3 つの ABP が作成されます。

CEO が各organizationの配布グループに追加され、各会社の ABP の範囲内に収まると、CEO は各会社に表示されます。 CEO は、両方の会社にまたがる配布グループを作成でき、各会社の GAL 内に表示されますが、配布グループのメンバーは、自分のorganization内にあるグループのメンバーのみを表示できます。

このシナリオは、学生のプライバシーを確保するためにクラス ルームの部門が必要な学校または大学に適用されます。 Education シナリオには、次の特性があります。

• 各クラスの生徒は、自分のクラスの他の生徒と教師、校長のみを閲覧できる。
• 教師は、自分の教室の学生のみ使用できます。
• 教師は、他のすべての教師と校長を見ることができます。
• 配布グループは、クラスの保護者と教職員ごとに作成されます。

organizationで ABP を使用する場合は、次の点を考慮してください。

• ABP が正常に動作するには、ABP を適用するユーザー メールボックスが Exchange 2010 SP3 または Exchange 2013 サーバー上にある必要があります。

• グローバル カタログ サーバーで Exchange 2010 クライアント アクセス サーバーの役割を実行しないでください。 これにより、Microsoft Exchange アドレス帳サービスではなく、名前サービス プロバイダー インターフェイス (NSPI) に Active Directory が使用されます。 グローバル カタログ サーバーで Exchange 2013 サーバーの役割を実行し、AP を正常に動作させることができますが、ドメイン コントローラーに Exchange をインストールすることはお勧めしません。

• 階層型アドレス帳 (HAB) と ABP を同時に使用することはできません。 詳細については、「 階層型アドレス帳」を参照してください。

• ABP を割り当てられたすべてのユーザーは、独自の GAL に存在する必要があります。

• クライアント アプリケーションが LDAP を介して Active Directory に直接アクセスできるようにする場合、ACP に組み込まれているロジックはバイパスされます。 Outlook for Mac 2011 および Entourage 2008 では直接 LDAP クエリを使用して Active Directory にアクセスするため、ドメイン コントローラーまたはグローバル カタログ サーバーが自動検出サービスによって指定または提供されている場合、それらのクライアント アプリケーションは AGP で正しく機能しません。 Outlook for Mac 2011 では、EWS またはローカル OAB を使用してディレクトリ情報にアクセスできます。 ただし、Outlook for Mac 2011 が LDAP サービスに直接アクセスできる場合は、そのアクセスが試行されます。

• ABP で使用される GAL には、少なくとも、ABP で定義および指定された会議室アドレス一覧を含むすべてのアドレス一覧が含まれている必要があります。 同じ ABP 内のどのアドレス リストよりも少ないオブジェクトを含む GAL を作成しないでください。

• 仮想organization境界を越えない配布グループを作成することをお勧めします。 複数の仮想組織のメンバーを含む配布グループを作成すると、次の問題が発生します。

  • 配布グループにメールを送信するときにグループ メンバーが配信を要求したり、領収書を読み取ったりした場合、他の仮想組織のグループ メンバーのメール アドレスを確認できます

  • 暗号化されたメッセージが配布グループに送信され、一部のグループ メンバーに有効なデジタル ID がない場合、送信者は、有効な ID を持たないメンバーの総数とそのメール アドレスの一覧を含む警告メッセージを受け取ります。 ただし、有効なデジタル ID を持たないメンバーの一部が送信者とは異なるorganizationにある場合、警告メッセージには正しい数が含まれますが、他のorganizationにメンバーのメール アドレスは含まれません。 その結果、合計カウントがメンバー アドレスの一覧と一致しません。

    たとえば、配布グループに、エージェンシー A とエージェンシー B の 2 つの組織の合計 5 人のメンバーが含まれているとします。3 人のグループ メンバーがエージェンシー A の出身で、そのうちの 1 人が無効なデジタル ID を持っています。 他の 2 人のメンバーはエージェンシー B のメンバーで、どちらも無効なデジタル ID を持っています。 エージェンシー A のメンバーが暗号化されたメッセージを配布グループに送信すると、そのメンバーは、有効なデジタル ID を持たない受信者が合計 3 人であることを示す警告メッセージを受け取ります。 ただし、機関 A の受信者のメール アドレスのみが警告メッセージに表示されます。

  • ABP は Get-Group コマンドレットには適用されません。 そのため、 Get-Group を実行できるユーザーまたはプロセスには、アクセス権を持つすべてのグループのすべてのメンバーが表示されます。

    ユーザーが Outlook Web App を使用してグループを管理できないように、OWA オプションのグループ管理設定を変更することをお勧めします。 ユーザーが OWA オプションを使用してグループを管理できないようにするには、MyDistributionGroupMembership RBAC ロールからユーザーを除外します。 詳細については、「 MyDistributionGroupMembership ロール」を参照してください。

  • ユーザーが Outlook またはOutlook Web Appを使用してグループを管理できるようにする場合、グループ所有者はグループ メンバーシップ リストを完全に表示する必要があります。

• すべての ABP に、会議室アドレス一覧が含まれている必要があります。 ただし、organizationで会議室アドレス一覧が使用されていない場合は、既定の空の会議室アドレス一覧を作成できます。

• ABP の展開によって、ある仮想組織のユーザーが他の仮想組織のユーザーに電子メールを送信できないようにすることはできません。 ユーザーが組織全体にメールを送信できないようにする場合は、トランスポート ルールを作成することをお勧めします。 たとえば、Contoso ユーザーが Fabrikam ユーザーからメッセージを受信できないようにし、Fabrikam のシニア リーダーシップ チームが Contoso ユーザーにメッセージを送信できるようにするトランスポート ルールを作成するには、次の Shell コマンドを実行します。

  New-TransportRule -Name "StopFabrikamtoContosoMail" -FromMemberOf "AllFabrikamEmployees" -SentToMemberOf "AllContosoEmployees" -DeleteMessage -ExceptIfFrom seniorleadership@fabrikam.com
  

• Lync クライアントで ABP のような機能を適用する場合は、特定のユーザー オブジェクトに msRTCSIP-GroupingID 属性を設定できます。 詳細については、「 PartitionByOU を msRTCSIP-GroupingID に置き換える 」トピックを参照してください。

organization「Exchange 2007 での仮想組織とアドレス一覧の分離の構成」の手順を使用して Exchange 2007 アドレス一覧の分離ソリューションを構成している場合は、「Exchange Server に移行する」で説明されている手順を使用して、最初に Exchange Server 2010 に移行する必要があります。Exchange Server 2007 アドレス一覧の分離からの 2010 アドレス帳ポリシー。 この手順では、organizationにいくらかのダウンタイムが必要なため、それに応じて計画する必要があります。

organizationが Exchange 2013 AGP を展開していて、Exchange 2007 アドレス一覧の分離を使用していない場合は、次の手順を使用して、organizationに ACP を展開できます。

このセクションの手順では、シナリオ 2: CEO を共有する 2 つの会社について説明します。 このシナリオでは、2 つの会社 (Fabrikam と Tailspin Toys) は別々ですが、CEO とシニア リーダーシップ チームを共有します。

ABP を使用しており、個別の仮想組織内のユーザーにお互いの個人情報の可能性がある内容を表示したくない場合は、アドレス帳ポリシー ルーティング エージェントをオンにします。 アドレス帳ポリシー ルーティング エージェントは、メールボックス サーバー上で実行されるトランスポート エージェントであり、organizationでの受信者の解決方法を制御します。 アドレス帳ポリシー ルーティング エージェントをインストールして構成すると、異なる GAL が割り当てられているユーザーは、外部受信者の連絡先カードを表示できないという点で外部受信者として表示されます。

詳細な手順については、「 アドレス帳ポリシー ルーティング エージェントをインストールして構成する」を参照してください。

組織を分割する方法を開発する必要があります。 次の理由で仮想組織を分割するには、会社、部署、StateOrProvince などの事前に設定された条件付き属性ではなく、メールボックス、連絡先、およびグループで CustomAttribute1-15 プロパティを使用することをお勧めします。

• すべての受信者の種類のオブジェクトに、Active Directory に事前に設定された条件付き属性があるわけではありません。 たとえば、配布グループと動的配布グループは、会社、部署、または状態の属性をサポートしていません。

• 一部の受信者のコマンドレットで、事前に設定されたすべての条件付き属性が公開されるわけではありません。 たとえば、 会社、 部署、 および StateOrProvince パラメーターは、メール ユーザー、連絡先、配布グループ、およびメールが有効なパブリック フォルダーのコマンドレットで公開されているでは使用できません。

• 事前に設定された条件付き属性を使用する場合は、受信者を分離するために複数のコマンドレットが必要です。 たとえば、New-Mailbox コマンドレットまたは Set-Mailbox コマンドレットを実行した後、UserMailbox の Company、Department、StateOrProvince にタグを付けるために、Set-User を実行する必要があります。

• CustomAttributeX パラメーターはすべて、各受信者の種類の Set-* コマンドレットで公開されており、単一の Set- コマンドレットを使用してその型のすべての分離を完了できます

• CustomAttributeX 属性は、organizationのカスタマイズ用に明示的に予約されており、完全にorganization管理者の制御下にあります。

organizationを分離するときに実装することを検討するもう 1 つのベスト プラクティスは、配布グループと動的配布グループの名前で会社の識別子を使用することです。 Exchange には、配布グループの Company、StateorProvince、Title、CustomAttribute1 の作成者など、配布グループを作成するユーザーの多くの属性に基づいて、配布グループの名前にサフィックスまたはプレフィックスを自動的に追加するグループの名前付けポリシー機能があります。 グループの名前付けポリシーは、ユーザーが独自の配布グループを作成できるようにする場合に特に重要です。 詳細については、「配布グループ名前付けポリシーを作成する」を参照してください。

グループの名前付けポリシーは動的配布グループには適用されないため、それらを手動で分離し、名前付けポリシーを手動で適用する必要があります。

アドレス一覧とグローバル アドレス一覧を作成するときに、ConditionalCompany や ConditionalCustomAttribute5 などの "IncludedRecipient" パラメーターと "ConditionalX" パラメーターは使用しません。 代わりに受信者フィルターを使用する必要があります。 シェルを使用して受信者フィルターを作成する必要があります。 受信者フィルターの詳細については、「エッジ トランスポート サーバーでの受信者フィルター処理」を参照してください。

ABP の作成では、ユーザーが Outlook または Outlook Web Appでアドレス一覧を表示する方法に基づいて、複数のアドレス一覧を作成します。 このorganizationには、次の 4 つのアドレス一覧があります。

• AL_FAB_Users_DGs

• AL_FAB_Contacts

• AL_TAIL_Users_DGs

• AL_TAIL_Contacts

この例では、アドレス一覧AL_TAIL_Users_DGsを作成します。 アドレス一覧には、CustomAttribute15 が TAIL と等しいすべてのユーザーと配布グループが含まれています。

New-AddressList -Name "AL_TAIL_Users_DGs" -RecipientFilter "((RecipientType -eq 'UserMailbox') -or (RecipientType -eq 'MailUniversalDistributionGroup') -or (RecipientType -eq 'DynamicDistributionGroup')) -and (CustomAttribute15 -eq 'TAIL')"

受信者フィルターを使用したアドレス一覧の作成の詳細については、「受信者フィルターを 使用してアドレス一覧を作成する」を参照してください。

ABP を作成するには、ルーム アドレス一覧を指定する必要があります。 organizationに会議室や備品用メールボックスなどのリソース メールボックスがない場合は、空の会議室アドレス一覧を作成することをお勧めします。 次の例では、organizationに会議室メールボックスがないため、空白の会議室アドレス一覧を作成します。

New-AddressList -Name AL_BlankRoom -RecipientFilter "(Alias -ne `$null) -and ((RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox'))"

ただし、このシナリオでは、Fabrikam と Contoso の両方に会議室メールボックスがあります。 この例では、CustomAttribute15 が FAB と等しい受信者フィルターを使用して Fabrikam の会議室リストを作成します。

New-AddressList -Name AL_FAB_Room -RecipientFilter "(Alias -ne `$null) -and (CustomAttribute15 -eq 'FAB') -and (RecipientDisplayType -eq 'ConferenceRoomMailbox') -or (RecipientDisplayType -eq 'SyncedConferenceRoomMailbox')"

ABP で使用されるグローバル アドレス一覧は、アドレス一覧のスーパーセットである必要があります。 ABP 内のアドレス一覧の一部または全部に存在するオブジェクトよりも少ない GAL を作成しないでください。 次の使用例は、アドレス一覧と会議室アドレス一覧に存在するすべての受信者を含む Tailspin Toys のグローバル アドレス一覧を作成します。

New-GlobalAddressList -Name "GAL_TAIL" -RecipientFilter "(CustomAttribute15 -eq 'TAIL')"

詳細については、「 グローバル アドレス一覧の作成」を参照してください。

OAB を作成するときは、エントリが予期せず見つからないように、New または Set-OfflineAddressBook の AddressLists パラメーターを指定するときに適切な GAL を含める必要があります。 基本的には、New/Set-OfflineAddressBook の AddressLists で AddressLists の一覧を指定することで、ユーザーが OAB のダウンロード サイズを表示または縮小する一連のエントリをカスタマイズできます。 ただし、ユーザーに OAB 内の GAL エントリの完全なセットを表示する場合は、アドレス一覧に GAL を含める必要があります。

この例では、OAB_FAB という名前の Fabrikam の OAB を作成します。

New-OfflineAddressBook -Name "OAB_FAB" -AddressLists "GAL_FAB"

詳細については、「 オフライン アドレス帳を作成する」を参照してください。

必要なすべてのオブジェクトを作成したら、ABP を作成できます。 この例では、ABP_TAIL という名前の ABP を作成します。

New-AddressBookPolicy -Name "ABP_TAIL" -AddressLists "AL_TAIL_Users_DGs"," AL_TAIL_Contacts" -OfflineAddressBook "\OAB_TAIL" -GlobalAddressList "\GAL_TAIL" -RoomList "\AL_TAIL_Rooms"

詳細については、「アドレス帳ポリシーの作成」を参照してください。

ABP をユーザーに割り当てることは、プロセスの最後の手順です。 ユーザーのアプリケーションがクライアント アクセス サーバー上の Microsoft Exchange アドレス帳サービスに接続すると、ABP が有効になります。 ユーザーが既に Outlook に接続している場合、または ABP がアカウントに適用されたときにOutlook Web Appしている場合は、新しいアドレス一覧と GAL を表示する前にクライアント アプリケーションを閉じて再起動する必要があります。

この例では、CustomAttribute15 が "FAB" と等しいすべてのメールボックスにABP_FABを割り当てます。

Get-Mailbox -resultsize unlimited | where {$_.CustomAttribute15 -eq "TAIL"} | Set-Mailbox -AddressBookPolicy "ABP_TAIL"

詳細については、「 メール ユーザーへのアドレス帳ポリシーの割り当て」を参照してください。