※ この記事は、Demystifying Exchange Online Provisioning: Architecture, Exchange Object Types, and Attributes の抄訳です。最新の情報はリンク先をご確認ください。
Exchange Online のさまざまな受信者オブジェクトの同期とプロビジョニングのプロセスを解明したいと考えました。このコンテンツの一部はすでにご存知かもしれませんが、新しい情報を含め、Exchange オブジェクトのプロビジョニングに関するほとんどの問題を理解し、トラブルシューティングするのに役立つことを願っています。このトピックの範囲が広いため、1 つのブログ投稿ではなく、今後シリーズのブログとして投稿する予定です。また、経験に関係なく、すべての人がコンテンツを理解できるように、基本から始めます。
アーキテクチャの基本
オンプレミスの Exchange において最も単純なアーキテクチャは、「シングル フォレスト」トポロジです。この場合、ローカルの Active Directory (AD) と Microsoft Exchange 組織が同じフォレストにあります。したがって、Exchange が有効化された場合でもユーザー オブジェクトは単一となります。
Exchange Online では、シングル フォレスト トポロジとは異なり、リソース フォレスト トポロジの概念のように別の Active Directory のインスタンス (Exchange Online Directory Services と呼びます) が存在します。すべてのユーザー アカウントの認証は Microsoft Entra ID (旧称 Azure Active Directory) で行われます。これにより、2 つの Active Directory が存在し、1 つのユーザーあたり 2 つのオブジェクトが存在します。
ユーザー アカウント (およびその他のメールが有効なオブジェクト) は、ForwardSync および Dual Write として知られるプロセスを使用して Microsoft Entra ID と Exchange Online の間で同期されます。Exchange Online のオブジェクトは、ExternalDirectoryObjectID プロパティを介して Microsoft Entra ID 内の対応するユーザー アカウントとリンクされています。ExternalDirectoryObjectID プロパティは、Microsoft Entra ID の対応するユーザー アカウントの ObjectID の値を保持しています。
SharePoint Online、Teams などの他のワークロードにも同様の設計が利用されています。
次に、新しい要素として Microsoft Exchange ハイブリッド環境を紹介します。Microsoft Exchange ハイブリッド環境を簡潔に言い表すと、オンプレミスの Active Directory と Microsoft Entra ID という 2 つの Microsoft Exchange 組織が同期されている環境と言えます。ハイブリッド構成ウィザード (HCW) のおかげで、これは 1 つの組織として動作します。
HCW はハイブリッド環境を機能させる唯一の要素ではありません。実際には、HCW は双方の Exchange 組織が多くの面で互いを信頼して様々な機能が動作するよう構成変更を行うだけであり、受信者オブジェクトを 2 つのディレクトリ間で同期させる必要もあります。
そして、上記の同期を行うためにトポロジ内に必要なもう 1 つの要素が Microsoft Entra Connect です (このコンポーネントは何度か名前が変更されており、DirSync、AAD Sync、AAD Connect として知られているかもしれません)。Microsoft Entra Connect は、オンプレミスの Active Directory と Microsoft Entra ID 間でオブジェクトが同期されることを保証します。「Exchange Hybrid オプション機能」が有効になっている (Microsoft Entra Connect の構成時にチェックされている場合) と、オブジェクトが持つ可能性のあるすべての Exchange プロパティも同期に含まれます。Microsoft Entra ID から、それらのオブジェクトが自動的に Exchange Online Directory Service に同期されるのは、すでに述べた ForwardSync および Dual Write 処理のおかげです。
したがって、ForwardSync と Dual Write は、Microsoft Entra Connect と同様に、Microsoft Entra ID と Exchange Online Directory Services オブジェクトの同期状態を維持するための同期エンジンを形成します。ただし、Microsoft Entra Connect と異なる点もあります。Microsoft Entra Connect は変更があると Microsoft Entra ID にプッシュしますが、ForwardSync は技術的には Microsoft Entra ID から Exchange Online Directory Services に変更をプッシュしません。代わりに、Exchange Online Directory Services は定期的に Microsoft Entra ID にクエリを実行し、同期が必要な変更があるかどうかを確認し、ある場合はそれらを同期します。
すべての要素がどのように連携しているかについて、以下の図にまとめました。
オブジェクトの種類
Microsoft Exchange はメールボックスだけでなく、メールが有効になっていないプレーン ユーザー、メールが有効なユーザー、グループ、連絡先などの他のオブジェクトも扱います。
ただし、Exchange Online とオンプレミスの Exchange ではオブジェクトの種類が異なり、一部のオブジェクトの種類はこれらの環境のいずれかでしか使用できない場合があります。下図は、左側にオンプレミスの Exchange のオブジェクトの種類を示し、右側に Exchange Online のオブジェクトの種類を示しています。
両方の環境でプレーン ユーザーというオブジェクトの種類を持つことはできますが、Exchange Online ではリモート メールボックスのオブジェクトの種類がなく (少なくともテナント管理者には公開されません)、オンプレミスの Exchange にはあります。同じことが、Exchange Online で Microsoft 365 グループ (Unified Group) にも当てはまりますが、オンプレミスの Exchange では Microsoft 365 グループがありません。
もう一つ考慮すべき点は、動的配布グループが両方の環境で扱われているにもかかわらず、Microsoft Entra Connect によって同期されないことです。Exchange Online の動的配布グループは純粋なクラウド オブジェクトです。その理由は非常に簡単です。動的配布グループのメンバーシップは特定のフィルターに基づいており、仮に同じフィルターで同期されたとしても、両方の環境でメンバーシップが異なってしまいます。
いずれの Exchange 組織においても、オブジェクトの種類を定義するものは何でしょうか? 答えは属性です。オンプレミスの Exchange サーバーのバージョンによっては、あるオブジェクトが他のオブジェクトよりも多くの属性を持つ場合があります。
オブジェクトを構成する多くの属性の中で、オブジェクトの種類を定義する特定の 3 つの属性があります。それらは、msExchRecipientDisplayType、msExchRecipientTypeDetails、および msExchRemoteRecipientType であり、それぞれ RecipientType、RecipientTypeDetails、および RemoteRecipientType プロパティにマッピングされます。これらは、Get-Recipient、Get-MailUser、または Get-RemoteMailbox などのコマンドレットを実行するときに確認できます:
さて、属性について話しているところですが、Exchange オブジェクトを作成または変更するためにサポートされている唯一の方法は、Exchange Management Shell (EMS) と Exchange Admin Center (EAC) を使用することであることをご存知ですか?たとえ Set-ADUser を EMS で実行している場合でも、サポートしていません (明示的に Microsoft サポートの監督下にある場合を除きます)。その理由は、Set-ADUser、属性エディター、ADSIEdit、またはサード パーティのツールは、検証なしで特定の属性に必要な値をスタンプするだけですが、EMS と EAC は、プロパティにスタンプしようとしている値が有効であるかや、別のオブジェクトによって使用されているかどうかの確認まで行うためです (電子メール アドレスはよい例です)。また、EMS と EAC は他の必要な属性も一緒に設定をしてくれます (例えば、アーカイブを有効にするために ArchiveGuid をスタンプするだけでは、アーカイブを機能させるために十分ではありません) 。
ここですべてのマッピングを説明することはしませんが、以下に最も関連性の高いものを示します。
オンプレミスの Exchange の MailUser は、Exchange Online では MailUser または UserMailbox のいずれかになります (Exchange Online のライセンスが割り当てられているかどうかによります)。
オンプレミスの Exchange の RemoteMailbox オブジェクトは MailUser のサブタイプですが、Get-MailUser を実行して一覧表示することはできません。代わりに Get-RemoteMailbox を使用してください。このオブジェクトは Exchange Online ではメールボックスとして表示されることが期待されます。ちなみに、すべてのメールボックスがライセンスを必要とするわけではありません。共有メールボックスまたはリソース メールボックスには必ずしもライセンスは必要ありません。通常のメールボックスはライセンスが必要であり、ライセンスが割り当てられていない場合、それらはメールボックスとしてではなく MailUser として表示されることになるかもしれません。これについては後で説明します。
動的配布グループは、オンプレミスの Exchange から Exchange Online に同期されないため、どちらかの環境に動的配布グループが表示されている場合は、そのオブジェクトは同期されず、その環境でのみ作成されているため、対象オブジェクトに適用された変更が他方に同期されることを期待しないでください。
Microsoft 365 グループについて。オンプレミスの Exchange はそれらを全く認識しませんが、Microsoft Entra Connect Group Writeback 機能が有効になっている場合、グループごとに対してオンプレミスの Exchange にメールが有効なユニバーサル配布グループが作成されます。これは Microsoft Entra Connect で手動で有効にする必要があるオプション機能です。
プロビジョニング
次に、Exchange Online のさまざまなオブジェクトの種類に対するプロビジョニングのしくみについて説明します。
これを説明する最も簡単な方法は、配布グループまたはセキュリティ グループで例をあげることです。例えば、オンプレミスで 3 人のメンバーを持つグループを作成し、Microsoft Entra Connect が同期すると、Microsoft Entra ID にプッシュされ、そこから Forwardsync/DualWrite を介して Exchange Online Directory Services に送信されます。簡単に聞こえますでしょうか。3 人のメンバーを持つグループを同期するには、Microsoft Entra ID でいくつかのサブステップを経る必要があります。そのうちの 1 つは「正規化」と呼ばれ、このステップでは 1 つのタスクをより簡単なタスクに分割します。
先ほど述べたグループを例にとると、一連の処理はグループの作成とメンバーの追加という 2 つの異なるタスクに分かれます。さらに、メンバーの追加も 3 つのアクションに分けられます。各ユーザーついてグループのメンバーとして追加する処理です。
メールボックスのプロビジョニング – 注意点
権限のソース
Microsoft Exchange のハイブリッド環境でのメールボックスのプロビジョニングについて説明する前に、すべてのユーザー ID をオンプレミスで作成および管理できることがこの環境の大きな利点であることを理解する必要があります。同じオブジェクトが異なるディレクトリで更新される状況を避けるために、常に一方が他方に優先される側に存在する必要があります。これは権限のソース (Source of Authority、SOA) と呼ばれ、この環境 (ハイブリッドで、Microsoft Entra Connect が Exchange 属性を同期している) では、オンプレミスのディレクトリが SOA となります (ごく少数の例外を除く) 。これを念頭に置いておくことが、特定の動作を理解するための鍵となります。
30日間の猶予期間
オンプレミスで新しいリモート メールボックスをプロビジョニングする場合でも、Exchange Online ライセンスを付与されていないメールボックスを Exchange Online に移行する場合でも、ユーザーに Exchange Online ライセンスを割り当てるまで 30 日間の猶予期間がサービスによって管理者に与えられます。これは 30 日間の無料サービスを提供するためのものではなく、お客様それぞれのプロビジョニング プロセスを尊重し、通常のメールボックスに Exchange Online ライセンスを割り当てが終わるまでの間に一定の時間を与えるためのものです。Exchange Online でメールボックスがプロビジョニングされたことを確認した後、または移行シナリオでは移行が完了する前にライセンスを割り当てることをお勧めします。
リモート ルーティング アドレスとその他のプロパティ
次に知っておくべきことは、オンプレミスの Exchange 受信者のリモート ルーティング アドレス (@YourDomain.mail.onmicrosoft.com のメール アドレス) を誰がスタンプするかです。オンプレミスの Exchange は、次のシナリオに応じてスタンプします。
オンプレミスの Exchange を使用しているすべてのユーザー向け:
既定の電子メール アドレス ポリシーは、ハイブリッド構成ウィザード (HCW) によって変更され、すべてのオンプレミスの受信者のセカンダリ アドレスに YourDomain.mail.onmicrosoft.com アドレスが追加されます。このメール アドレス ポリシーが有効になっている場合、オブジェクトに一致する優先度の高い他のポリシーがなく、受信者の “EmailAddressPolicyEnabled” プロパティが “True” に設定されている場合、このアドレスはユーザーの “EmailAddresses” プロパティに表示されます。(“proxyaddresses” AD 属性にマッピングされます)
メールボックスが Exchange Online に移行される場合:
オンプレミス ユーザーの “ExternalEmailAddress” プロパティ (“TargetAddress” AD 属性にマッピングされます) は、メールボックスのハイブリッド移行が完了すると、メールボックス レプリケーション サービス (MRS) によってリモート ルーティング アドレス値 (該当ユーザーの “EmailAddresses” に既に存在する必要があります) にスタンプされます。
リモート メールボックスがオンプレミスからプロビジョニングされる場合:
リモート メールボックスをプロビジョニングする方法 (Enable-RemoteMailbox、New-RemoteMailbox、または EAC を使用) に関係なく、必須のパラメーターである “RemoteRoutingAddress” に YourDomain.mail.onmicrosoft.com のアドレスを値として指定する必要があります。これは、Exchange オンプレミスから Get-RemoteMailbox コマンドレットを実行すると、”RemoteRoutingAddress” プロパティと “EmailAddresses” のセカンダリ アドレスとして表示されます。
リモート ルーティング アドレスは、Autodiscover、ハイブリッド メール フロー (トランスポート)、または空き時間情報のリクエストなどの他の Exchange 関連サービスを Exchange Online にリダイレクトするために重要です。
リモート ルーティング アドレス (YourDomain.mail.onmicrosoft.com) と Microsoft Online Email Routing Address (MOERA) (YourDomain.onmicrosoft.com) を混同しないでください。リモート ルーティング アドレスはオンプレミスの Exchange によってスタンプされますが、MOERA は Microsoft Entra ID によってスタンプされます (ただし、ユーザーを Microsoft Entra ID で直接作成し、その時点で Exchange Online ライセンスが割り当てられていない場合を除きます。その場合、オブジェクトには MOERA がスタンプされません)。
もう 1 つ重要なプロパティは LegacyExchangeDN です。オンプレミスから同期されたオブジェクトが Exchange Online にメールボックスを持つ場合、Exchange Online の LegacyExchangeDN が X500 アドレスとしてオンプレミスのリモート メールボックス オブジェクトに書き戻されます。
ExchangeGuid は、最初にメールボックスを作成した Microsoft Exchange 組織によって生成されます。
- オンプレミスの Exchange Management Shell から New-RemoteMailbox、Enable-RemoteMailbox を実行するか、Exchange Admin Center から Exchange Online メールボックスを作成することにより、メールボックスがオンプレミスからプロビジョニングされた場合、Exchange Online で ExchangeGuid を生成します。
- オンプレミスの Exchange でメールボックスを作成し、その後 Exchange Online に移行した場合、オンプレミスの Exchange で ExchangeGuid を生成します。
ArchiveGuid プロパティは、ホストする Exchange 組織 (オンプレミスまたはオンライン) に関係なく、常に Exchange オンプレミスによって生成され、これが Exchange Online に同期されます。
Exchange Online でのプロビジョニングまたは変更は、最大 24 時間かかる場合があります。ほとんどの場合、ほぼ即時に処理されますが、リソースが通常よりも多く消費されると、遅延が発生する場合があります。詳細については、この記事と自己診断ツールへのリンクをご覧ください。
これで、プロビジョニング シリーズ記事の Part1 が終わります。Part2 をお楽しみに!
Alberto Pascual Montoya と Ben Winzenz