ユーザーの条件に基づいたクラウド (パート 1): ハイブリッドの展開

  • Article

原文の記事の投稿日: 2012 年 9 月 21 日 (金曜日)

Office 365 for enterprises の Exchange Server 2013 と Exchange Online を使用することで、ユーザーは引き続き、カットオーバー移行によるクラウドへの完全な切り換え、時間をかけた段階的な移行、Exchange のハイブリッド展開による社内とオンラインの双方でのメールボックス管理など、各自の条件に基づいたクラウドへの移行を柔軟に行うことができます。こうした独特のハイブリッド オプションにより、ユーザーは自らのペースでクラウドに移行できると同時に、予定表の空き時間情報を共有する機能の活用、Exchange Online Archiving によるクラウド内のメールボックス アーカイブのホスト、2 つの組織のユーザーによる相互接続とシームレスな作業が可能になります。

ハイブリッド展開の簡単な歴史

Exchange 2010 SP1 でのハイブリッド展開の導入以来、ハイブリッド展開を使用した社内の Exchange 組織と Office 365 組織との接続は、手間のかかる手動構成の手順から、6 つの質問による簡単なウィザード方式へと成熟を遂げました。最初の Exchange 2010 SP1 では、Office 365 にホストされた Exchange Online 組織と接続しようとする管理者が、MRS プロキシ サービス、組織上の関係、リモート ドメイン、仮想ディレクトリ、および電子メール アドレスのポリシーの構成など、大量のハイブリッド展開パラメーターを手動で構成する必要がありました。このプロセスは煩雑で、Exchange 管理者が誤った構成を行ってしまうことも少なくありません。こうしたハイブリッド展開のプロセスを簡素化し、構成上の誤りが発生する可能性を低く抑えるために、Exchange 2010 SP2 のリリースでは、ハイブリッド構成ウィザードを導入しました。このウィザードにより、ハイブリッド構成プロセスの大部分が自動化され、ハイブリッド構成のエラーが発生する可能性は大幅に低下しました。しかし、このウィザードは、社内組織でのエッジ トランスポート サーバーの展開など、いくつかの一般的な展開シナリオに対応しておらず、Exchange Server 2013 のリリースに付随するアーキテクチャ上の変更に対処する必要がありました。

Exchange Server 2013 でのハイブリッド展開の改良点

Exchange Server 2013 では、展開の容易化と管理の簡素化という双方の点で Office 365 のサポートが向上しています。2 回にわたる投稿の 1 回目となるこの投稿では、ハイブリッド展開のエクスペリエンスに対して行われた変更点について説明します。ハイブリッド管理の改良点について説明する 2 回目の投稿も、近日中に予定しています。

注意: Office 365 プレビュー テナントを伴う Exchange 2013 プレビュー サーバーベースのハイブリッド展開は、プレビュー期間中のサポートが行われないので、運用環境では使用しないでください。Exchange 2013 サーバーベースのハイブリッド展開を運用環境に展開しようとする組織は、更新された Office 365 サービスが公式にリリースされるまで待つ必要があります。

Exchange Server 2013 でのハイブリッド展開の改良点は、次のとおりです。

  1. 適応型のハイブリッド構成ウィザード - ハイブリッド構成ウィザードは、個別のセットアップ要件に適応するようになり、ユーザーのハイブリッド展開の構成に必要な質問のみを提示します。このウィザードは、回答を自動的に収集したり、論理的に判断したりできる構成上の質問をスキップします。これにより、ハイブリッド構成のプロセスが簡素化され、Exchange 管理者にかかる展開の負担が軽くなります。
  2. Exchange 2010 エッジ トランスポート サーバーのサポートの統合 - Exchange 2013 のハイブリッド構成ウィザードは、Exchange 2010 エッジ トランスポート サーバーの構成もウィザード内で直接サポートするようになりました。これにより、残りの手動によるハイブリッド構成の手順が削減され、より包括的なハイブリッド トランスポート オプション群が提供されます。エッジ トランスポート サーバーの役割は、まだ使用できず、追って Exchange Server 2013 のアーキテクチャで導入されるので、ハイブリッド展開でエッジ トランスポート サーバーを使用する Exchange 組織は、内部の Exchange Server 2013 サーバーを直接インターネットに公開したくない場合、Exchange 2010 エッジ トランスポート サーバーを展開できます。
  3. セキュリティで保護されたメールの強化 - 社内組織と Exchange Online 組織間のセキュリティで保護されたメールは、構成がずっと簡単になり、もうコネクタ選択のために静的 IP アドレスを使用する必要はありません。Office 365 テナント内の Exchange Online Protection (EOP) サービスは、社内組織を接続元とするハイブリッド トランスポート接続のエンドポイントであり、Exchange Online から社内組織へのハイブリッド トランスポート接続のソースです。EOP サービスとハイブリッド構成ウィザードでは、双方の組織がトランスポート層セキュリティ (TLS) で使用する証明書を使用しており、このプロセスは EOP コネクタの静的 IP アドレスから脱却しています。これにより、管理者が EOP コネクタ上の IP アドレスの一覧を管理する必要はなくなりました。
  4. 集中管理されたメール転送の改良 - 集中管理されたメール転送 (Exchange Online ユーザーによって外部の受信者に送信されたすべての送信メール メッセージが社内の Exchange 組織を介してルーティングされるハイブリッド構成) が更新され、受信インターネット メール フローの構成方法に関する制限がなくなりました。これまで、集中管理されたメール転送は、組織のメール エクスチェンジャー (MX) が社内組織ではなく EOP サービスに指定されていた場合、ハイブリッド展開でサポートされていませんでした。今回の集中管理されたメール転送では、受信インターネット メール フローのすべてのオプションをサポートしています。
  5. Exchange Online 保護サポートの向上 - ハイブリッド メール フロー構成では、MX レコードの更新や、組織のすべての受信インターネット メールの EOP への振り向けを、ハイブリッド展開の任意の段階 (ハイブリッド構成中またはその前後) でサポートするようになりました。受信および送信インターネット メールを社内組織と Exchange Online 組織の両方で EOP によってフィルターしたり、ハイブリッド メール フローのトラフィックをルーティングしたりすることも容易になっています。
  6. 統合されたメールボックス移動ウィザード - 新しいバージョンの Office 365 のメールボックス移動ウィザードでは、使用するプロトコルやメールボックス間の移動の向きに関係なく、これ 1 つでメールボックスの移動ができます。IMAP 移行の一環、Outlook Anywhere によるカットオーバー移行または段階的な移行、あるいは Mailbox Replication サービスによるハイブリッド展開の一環のいずれであっても、メールボックス データの移動は、すべて同じ場所から実行されるようになりました。

ハイブリッド構成ウィザードによる展開プロセス

ここでは、新しいハイブリッド展開プロセスと新しい Exchange 管理センター (EAC) のユーザー インターフェイスについて簡単に説明します。ユーザー インターフェイスは大幅に変更されていますが、プロセスの面では要件やタスクの順序が Exchange 2012 SP 2 の場合と非常によく似ています。

Office 365 ハイブリッド展開の前提条件

ハイブリッド構成ウィザードによるハイブリッド展開プロセスを開始する前に、ハイブリッド展開を開始できるように以下のものを用意する必要があります。

  1. Office 365 for enterprises テナント - Office 365 テナントのバージョンは、Exchange Server 2013 によるハイブリッド展開を構成するために 15.0.000.0 以上である必要があります。Exchange Server 2013 のセットアップとハイブリッド構成ウィザードはどちらも、Office 365 テナントのバージョンのチェックを行います。
  2. Office 365 へのカスタム ドメインの登録 - この操作は、Office 365 管理ポータルを使用するか、必要に応じて社内組織で Active Directory フェデレーション サービス (AD FS) を構成することによって実行できます。
  3. Office 365 ディレクトリ同期の展開 - ディレクトリ同期は、社内組織に展開されている必要があります。

Exchange Server 2013 組織のための Office 365 テナントの互換性

Office 365 サービスでは改良や新機能の追加が引き続き行われているので、Office 365 のバージョン変更が Exchange 2013 ハイブリッド展開に与える影響を理解しておくことが重要です。ネイティブの Exchange Server 2013 組織や、Exchange Server 2013 サーバーの展開を予定している Exchange 2007 および Exchange 2010 組織の場合、ハイブリッド展開を構成するには、Office 365 テナントのバージョンが 15.0.000.00 以上になっている必要があります。Exchange Server 2013 のクライアント アクセス サーバーとメールボックス サーバーでは、新しいバージョンの Office 365 によるハイブリッド機能のみがサポートされます。Exchange Server 2013 のセットアップとハイブリッド構成ウィザードには、最終的に不適切な状態に陥らないためのチェック項目が組み込まれています。

Exchange 2010 ベースのハイブリッド組織のための Office 365 テナントの互換性

更新された Office 365 サービスでも、以前にハイブリッド展開を構成していた Exchange 2010 組織や、ハイブリッド展開をサポートするために Exchange 2010 サーバーを追加した Exchange 20003 および Exchange 2007 組織が引き続きサポートされます。ただし、いくつかの特定の管理機能については更新プログラムが必要になり、詳細な情報はそれらのリリース時に通知されます。

新しいハイブリッド展開を計画している組織では、改良された展開プロセスと管理エクスペリエンスを活用するために、Exchange Server 2013 を展開することをお勧めします。

注意: Office 365 プレビューのテナントは、このサービスのプレビュー期間中、既存の Exchange Server 2010 SP2 ハイブリッド展開ではサポートされていません。Exchange Server 2010 ハイブリッド展開の完全なサポートについては、Exchange Server 2010 に対する今後の更新プログラムにより、Office 365 サービスの公式リリース時に対応する予定です。

社内の Exchange 構成

Exchange の社内構成の観点からは、以下の展開タスクを実行する必要があります。

  1. Exchange Server 2013 のクライアント アクセスおよびメールボックスの役割のインストール - これらのサーバーの役割は、1 台のサーバーまたは別々のサーバーにインストールできます。クライアント アクセス サーバーの役割とメールボックス サーバーの役割はどちらも、ハイブリッド展開用の社内組織にある各 Exchange サーバーにインストールすることをお勧めします。
  2. クライアント アクセス サーバー用の HTTPS および SMTP プロトコルのインターネットへの公開 - 社内組織でエッジ トランスポート サーバーを使用する場合は、クライアント アクセス サーバーではなく、エッジ トランスポート サーバー上で SMTP を公開します。
  3. パブリック自動検出 DNS レコードの更新 - パブリック自動検出レコードは、Exchange Server 2013 のクライアント アクセスの役割を持つ社内サーバーを参照している必要があります。
  4. 証明書 - 社内組織と Exchange Online 組織との間のセキュリティで保護されたハイブリッド メール転送を行うために、公式な認証機関 (CA) によって発行された証明書を用意する必要があります。自己署名証明書はサポートされていません。また、自動検出および Exchange Web サービス (EWS) 用のパブリック証明書も必要です。これらの証明書は、インターネットに接続しているすべての Exchange Server 2013 クライアント アクセス サーバーと、ハイブリッド構成ウィザード内でメール フロー用に選択したクライアント アクセスおよびメールボックス サーバーにインストールされている必要があります。

Exchange Server 2013 ハイブリッド展開のすべての要件の完全な一覧については、「ハイブリッド展開の前提条件」を参照してください。

これらのタスクが完了したら、ハイブリッド構成ウィザードを実行して、フェデレーション信頼関係、組織上の関係、およびメール フロー コネクタの構成を完了します。

ハイブリッド構成ウィザード

ハイブリッド構成ウィザードは、以下に示す Exchange 管理センター内の場所にあります。

image

ハイブリッド構成ウィザードを起動した後、いくつかの手順を実行します。

image

最初に、フェデレーションおよび承認が行われたドメインをハイブリッド展開の構成用に選択します。組織のプライマリ SMTP ドメインと、ハイブリッド展開で使用されるその他すべての承認済みドメインを選択する必要があります。ハイブリッド構成ウィザードが適応型になったので、この手順は提示されないことがあります。Office 365 テナントに追加された社内の承認済みドメインが 1 つしかない場合は、そのドメインが自動的に選択され、ウィザードではこの手順がスキップされます。

image

次に、ハイブリッド展開に含めるために選択したドメインのドメイン証明トークン情報が提示される可能性があります。このドメインの所有権を証明するために、パブリック DNS 上に TXT レコードを作成する必要があります。ドメインのフェデレーションが既に行われている場合、ハイブリッド構成ウィザードではこの手順がスキップされます。

image

次に、社内組織と Exchange Online 組織との間でのセキュリティで保護された双方向のメール転送用に構成するサーバーの役割を選択します。Exchange Online の送信メール転送については、集中管理された転送を有効にすることもできます。回答の内容によって、社内組織での Exchange Server 2013 メールボックスまたは Exchange 2010 エッジ トランスポート サーバーの構成のどちらかがウィザードによって行われます。ここでは、クライアント アクセスおよびメールボックス サーバーの構成を選択します。

image

次に、社内の Exchange 組織と Exchange Online 組織との間のセキュリティで保護された双方向のメール転送用に構成する社内クライアント アクセス サーバーを 1 つ以上選択します。

image

次に、社内の Exchange 組織と Exchange Online 組織との間のセキュリティで保護された双方向のメール転送用に構成するメールボックス サーバーを 1 つ以上選択します。

image

次に、セキュリティで保護されたメール転送で使用するデジタル証明書を選択します。この証明書は、サードパーティの認証機関 (CA) によって発行され、これまでの手順で選択したサーバー上にインストールされたものでなければなりません。

image

次に、社内クライアント アクセス サーバーの外部からアクセス可能な FQDN を入力します。Office 365 の EOP サービスでは、この FQDN を使用して、Exchange 組織間のセキュリティで保護されたメール転送用のサービス コネクタを構成します。

image

最後に、社内と Office 365 の双方のテナントでアカウントの資格情報を入力します。これらのアカウントはどちらも、Organization Management 役割グループのメンバーでなければなりません。

image

image

これで完了です。ハイブリッド構成ウィザードでは、この情報が使用され、社内組織と Exchange Online 組織がハイブリッド用に自動構成されます。

image

手順の完了後、双方の組織のユーザーは空き時間に関する予定表の情報へのアクセスや、セキュリティで保護された方法による両組織間での電子メールの送信を相互に行えるようになり、管理者は 2 つの組織間でユーザー メールボックスを移動できます。

ハイブリッド展開に関するその他の改良点

ログ

最新のハイブリッド構成ログでは、レビューやトラブルシューティングを簡単にするために、ハイブリッド構成の各手順を明確に区別されたセクションに分離しています。また、このログでは、ハイブリッド構成の各タスクが実行された場所 (社内の Exchange 組織、または Exchange Online 組織) が明確になっています。

電子メール アドレス ポリシー

ハイブリッド構成エンジンは、ハイブリッド構成ウィザード内で選択されたドメインに一致する電子メール アドレス ポリシー (EAP) を検索し、Office 365 テナント サービスによる自動生成ドメインに基づいた電子メール アドレスが含まれるようにそれらのポリシーを更新するようになりました。共存ドメインと呼ばれるこのドメインは、それぞれの Office 365 テナントに対して <ドメイン>.mail.onmicrosoft.com という形式で作成されたドメインです。たとえば、Contoso の共存ドメインは、contoso.com ドメインがフェデレーション ドメインとして Office 365 に追加された後、"contoso.mail.onmicrosoft.com" のようになります。

私たちが Exchange 2010 SP2 ユーザーから学んだのは、一部のハイブリッド ユーザーが、Exchange ツールを使用せずに共存ドメインを含めるために手動で電子メール アドレスを編集したり、こうした作業を電子メール アドレス ポリシーからそのユーザーを除外せずに行っていることでした。これは、電子メール アドレス ポリシーのロジックがトリガーされた場合 (Exchange 内の数種類の方法によって思いがけず発生することがあります)、そのユーザーのプライマリ SMTP アドレスがポリシー テンプレートに一致するように変更されてしまう可能性があることを意味します。こうした変更は、一部の該当ユーザーにとっては予期しないものであり、多くの場合、ハイブリッド メール転送に関する問題を引き起こします。Exchange Server 2013 では、ハイブリッド構成エンジンがユーザー向けの共存ドメイン用に特別な電子メール アドレスを追加できる新しいスイッチをサポートするための変更が行われています。この処理は、組織がユーザーの電子メール アドレスを手動で編集した場合にも行われます。このトピックについては、手動の方法による電子メール アドレスの編集時にこうした問題を回避する方法をユーザーに確実に伝えるために、別のブログ投稿で詳しく説明する予定です。

自動検出ドメイン

ユーザーからのフィードバックに直接基づいて行われたもう 1 つの改良が、"自動検出ドメイン" を指定するためのサポートです。自動検出ドメインを指定することで、ユーザーは社内のフェデレーション自動検出要求に対して使用するハイブリッド ドメインを制御できます。これは、多数のドメインや絶えず変化するドメイン リストを持つ組織では特に便利です。自動検出をすべてのドメインではなく特定のドメインに対して公開したり、ドメインの追加状況に応じて変更したりできます。

Exchange Server Deployment Assistant によるハイブリッド シナリオ

Exchange 2013 の展開向け、および Exchange 2013 サーバーを展開する従来の Exchange 2007 および 2010 組織向けのハイブリッド展開シナリオは、2013 年初めの新しい Exchange 2013 Deployment Assistant のリリースでサポートされます。新しい Deployment Assistant に関する通知については、今後の投稿をお待ちください。

Exchange 2013 ハイブリッド展開の詳細については、こちらを参照してください。

ハイブリッド構成ウィザードの新たな変更点について関心をお持ちいただければ幸いです。ハイブリッド構成のトラブルシューティング、マルチフォレスト サポート、削除といったトピックについては、近日中に別の記事で解説する予定です。

Ben Appleby、Robert Mazzoli、およびハイブリッド構成ウィザード チーム

これはローカライズされたブログ投稿です。原文の記事は、「The Cloud On Your Terms (PART I): Deploying Hybrid」をご覧ください。