マイクロソフト株式会社 テクノロジー・ビジネス統轄本部 テクノロジー スペシャリスト 八木沼剛一郎

Exchange Server 2010 と次世代 Exchange Online の共存

セッション ID: T 1-303

3

セッションの目的とゴール Session Objectives and Takeaways

セッションの目的 次期バージョンの Exchange Online と Exchange Server 2010 で実現する親和性の 高い共存環境を構築する為に必要な技術、 設定方法を説明する

セッションのゴール メッセージング環境のクラウド化における 共存環境の優位性や、リッチな共存で実現可能なソリューションや必要な技術を理解して頂く

4

ご注意

本セッションでは、

現在開発中の製品を取り扱っています。

仕様および機能は変更される可能性があります。

5

アジェンダ

Exchange Online とは?

Exchange Server 2010 と

次世代 Exchange Online の共存 移行へのアプローチ

既存 Exchange Online における共存環境

リッチな共存とは?

構築方法 Exchange Online 側の設定

自社運用 Exchange 側の設定

デモ

まとめ

Exchange Online とは?

7

Exchange Online とは?

Business Productivity Online Suite (Microsoft Online Services)

リアル タイム コミュニケーション ノン リアル タイム コミュニケーション

インスタント メッセージング プレゼンス

音声・ビデオ通話/会議 データ共有会議

電子メール

ポータル コラボレーション

予定表

企業向けのグループウェアを Saas 型で 提供する Microsoft Online Services においてメッセージング環境を提供

8

Exchange Online

H 1 2010 2009

2009 年 9 月 • 1 サイト辺りの

ユーザー数増加 (30,000 ユーザー) • MAC サポートの 改善 • PowerShell を 一部解放 • POP サポート

2009 年 6 月 • 添付ファイル

のサイズ制限上限 UP

• Outlook 2003 サポート (一部制限有)

2009 年 7 月 • 移行ツールの ホスティング サービス対応 • トライアル 申し込みの 簡素化

2009 年 8 月 • SMTP リレー対応 • Exchange ジャーナリング サポート

2009 年 11 月 • PowerShell を 利用した メールボックスの 権限付与

2010 年 3 月 • ユーザー辺りのメールボックス サイズを 5 GB から 25 GB に拡張 • ドメイン管理の簡素化 • Mac OS X Snow Leopard サポート • サービスの稼働状況を通知する

RSS フィードの改善

2010 年 1 月 • Outlook 2003 コネクタ提供 • サービスリクエストベースで

Exchange Online 使用状況の レポート提供 • Exchange Online–CRM 連携 • Delegate Administration • マルチテナント型 Blackberry サポート (BRS) サービス提供開始

2010 年 7 月 • BES 管理ポータル提供開始

9

共存環境への対応 (社内設置-クラウド間)

空き時間情報の共有

Exchange 管理コンソール による管理の一元化

ネイティブ移行ツール

ユニファイド メッセージング (ボイス メール)

アーカイブの統合

保存ポリシーと法令順守

トランスポート ルール

複数メールボックスの 一括検索

会話履歴ビュー

メール ヒント

Web ベースにおける 管理性の向上

役割に基づいた アクセス制御

Remote PowerShell

Exchange Online

Exchange Server 2010 と次世代 Exchange Online の共存

11

移行方法

切り替え型 MX レコードをクラウド側に変更

全ユーザーが一日でクラウドに移行

既存環境 (自社運用) への追加設定や、

自社運用ハードウェアは必要無し

共存型 短～長期間をかけて実行される (週、月、年)

MX レコードをクラウド側に切り替える必要無し 無期限で共存環境 (クロス プレミス) を継続する事も可能

既存環境への追加設定や、

場合によってはハードウェアの追加が必要

12

共存型が選択される理由

メール データをそのままクラウド環境に 持って行きたい

管理者がデータを移行する事によりユーザーへの 負荷を低減

会社のポリシーや全面クラウド採用に障壁がある 一部ユーザーのデータを国外に持ち出せない

ユニークなコンプライアンス要件がある

会社の買収や急激な事業拡張により、既存環境を即時に増強したい

13

既存サービスでの共存環境実現方法

ローカル環境 Microsoft Online

Active Directory

Provisioning Web

Services

管理 センター

Ex サーバー

Active Directory

ExchangeOnline

ローカル アカウント SMTP: User@contosoX.com 代替受信者: (Contact for User)

ユーザーの連絡先: 宛先アドレス: User@contosoX.microsoftonline.com

メール 転送

AD 同期

ツール

同期ツールを用いてローカル AD の情報を Online Services のディレクトリへ同期

統一された GAL を実現

メッセージは自社運用型メール サーバーで受信し、

クラウドにメールボックスのあるユーザーへ転送

14

現行サービスにおける 共存環境実現時のチャレンジ

クロス プレミスでの空き時間情報、

カレンダー検索が出来ない

管理が別々になり、煩雑になってしまう オンライン サービスはオンライン サービスの管理画面 (MOAC)、自社運用は EMC、ECP 等のツールから管理

15

リッチな共存とは?

クラウドと自社運用の Exchange 組織が

単一の組織のように動作 共存環境におけるクラウド、自社運用型 Exchange での機能差をほぼ無くし、

ユーザーに単一の利用感を提供

クラウドと自社運用のメール ボックスが

シームレスに連動

メッセージ環境のクラウドへの移動や、

切り戻しをユーザーが関知する事無く実現

16

サポート予定環境

既存の Exchange フォレストは Exchange 2003 以降であれば OK

Exchange 2010 SP1 の CAS/HUB は追加必要

必要なコンポーネント

Active Directory

Exchange 2003/2007/2010

Exchange 2010

サーバー ディレクトリ同期ツール

ADFS v2

17

リッチな共存と現行の共存の比較 機能 シンプル

(現行) リッチ

自社運用とクラウド間でのメール ルーティング (両方に受信者がいる)

同じドメイン名を使ったメール ルーティング–両方で @contoso.com を使用

統合されたグローバル アドレス帳

クラウド-自社運用間の空き時間情報検索と予定表閲覧

クラウド-自社運用間でも社内向け不在通知を受け取る事が出来る。

メール ヒント、メッセージ追跡、メール ボックス検索がクラウド-自社運用環境間でも動作

単一の Outlook Web Apps 用 URL を提供

メール ヘッダー内の認証情報保持

自社運用の EMC GUI からクラウド、自社運用メールボックスを 管理可能

クラウド–自社運用間でのメール ボックスの移動

メール ボックス移行後に OST ファイルの再構築や Outlook の設定変更が必要無い

18

リッチな共存 実現機能 1

クロス プレミス ユーザー間で 会議開催や予定表を閲覧しても、同じ組織に所属している ユーザーと同じように利用可能 サポートされている Outlook であれば利用可能

Exchange Online Outlook 2007/2010

自社運用 Exchange Outlook 2003/2007/2010

自社運用の Exchange 2010 の CAS サーバー及び MS Federation Gateway

において重要な処理は実施 されるのでクライアント側 への依存は少ない

19

リッチな共存 実現機能 2

クロス プレミス環境で どの宛先が社内、 どの宛先が社外かを

正しく識別することが 出来る。

メールのサイズや、 配布リストに含まれる ユーザー数等の情報を Outlook 2010 ユーザー に提示し、 そのメッセージが適切で あるかの注意を促す事が 出来る。

20

リッチな共存 実現機能 3

自社運用、クラウド環境をスタート地点としてメッセージ追跡を 実施すると両方の 組織の統合する部分まで追跡を行う事が出来る。

21

リッチな共存 実現機能 4

管理者は自社運用/ クラウドどちらにある メール ボックスでも 選択し、検索をかける事 が出来る

選択したメール ボックスが自社運用環境のものかクラウドでホストされているものかは、

グラフィカルに識別可能 検索結果はメール

ボックスのロケーション を問わず全てを検索した 結果が返る

22

リッチな共存 実現機能 5

一意の URL 使い慣れた社内運用型の URL を用いてメール ボックスへアクセス可能

サービスへのログインを簡素化

ドメイン名を クラウド向けの URL に入れる事によりユーザーの利用感向上を実現

23

リッチな共存 実現機能 6

社内の組織ヘッダーを 保持、利用可能 認証情報を保持

メール ヘッダー内の 認証情報を保持する事 によりクラウドから 送られたメールを認証済みメッセージとして扱う事が可能になる

グローバル アドレス帳での名前解決可能

受信者向けに設定された 制限も尊重される

送信者のプロパティを開くと GAL カードが開く (SMTP アドレスのみでは

なくなる)

リッチな共存 環境構築方法

25

リッチな共存 環境構築方法

手順 詳細 必須/推奨

簡単セット アップを使用する。

Microsoft Online Services 管理センター内の 簡単セット アップを使用する事により、 リッチな共存環境を使用するためのステップを ウィザードベースで行う事が出来る

推奨

ID フェデレーション の設定

自社運用の ADFS サーバーを利用してローカルの ID を利用してサービスの認証を実現

推奨

ディレクトリ同期の設定

自社運用のグローバル アドレス帳をクラウドへ 同期

必須

"Dirsync Writeback" の 有効化

クラウドから自社運用環境に戻した際に、 過去メールへの返信を実現する

推奨

26

簡単セット アップ

簡単セット アップとは? Microsoft Online Services の管理センター内に用意されており、リッチな共存の環境設定をステップ毎に確認、実施可能

紹介されるステップの例

ドメイン追加と確認

ディレクトリ同期の設定

フェデレーション ID の設定

Federated Sharing の設定

Autodiscover の設定

27

ID フェデレーションとは?

ユーザー環境

Server Apps

AD FS 2.0

サーバー

Active Directory

クラウド 環境

Microsoft Online

Exchange Online

Live ID サービス

Microsoft Federation Gateway

Live Identity プラットフォーム

マネージド ドメイン

ID 提供者

自社運用の AD と Microsoft Federation Gateway を連携させる

自社運用 AD で認証をする事により クラウド サービスを利用可能になる。

(シングル サインオンを実現)

28

ディレクトリ同期とは?

アカウント情報の一元管理を実現 クラウドのアカウント情報管理に自社運用 AD を利用

ユーザー、グループ、連絡先を同期

お客様フォレスト

ドメイン コントローラー

お客様サイト

アカウント 管理システム

管理者

① お客様 AD 環境の Windows

アカウントの管理を実施 (作成・変更・削除)

Microsoft データセンター

インターネット

② 同期ツールに よる片方向同期

(手動 or 3 時間毎)

③ 同期完了後、 同期ユーザーの Activate 処理

Microsoft Online Services 側 AD

29

現行バージョンにおけるディレクトリ同期ツールの主な機能 一意のアドレス帳提供

リッチなメッセージング実現

インターネット越しに動作 (HTTPS)

アプライアンスのように容易にセット アップ可能

次期バージョン ディレクトリ同期ツールの主な機能 会議室 (リソース メールボックス) の同期

Identity Federation 機能

アプリケーション間共存 (Mail, OC)

セキュリティ グループの同期

同期可能属性の拡張

連絡先情報を変更せずに同期

リッチな共存に必要な情報の同期

同期情報のフィルタリング (時期は未定)

リッチな共存を実現するオプション機能を追加 空き時間情報閲覧

(自社運用 Exchange 2010 SP 1 CAS サーバー必要)

クラウド アーカイブ、フィルタリング共存

ディレクトリ同期ツール

30

共存とディレクトリ同期 シンプルな共存 (現行バージョン)

ID 情報の同期

自社運用の Exchange 2010 CAS サーバー

必要無し

リッチな共存 ID 情報の同期

自社運用の Exchange 2010 CAS サーバー必要

ディレクトリ同期ツールの "リッチな共存" 機能を有効化

ウィルス/スパム フィルターの共存: クロス プレミスで

セーフ リスト/ブロック リストをインポート/エクスポート

クラウド アーカイブ: 自社運用 EMC からどのユーザーに

クラウド アーカイブを有効化するか設定可能

31

クラウドから自社運用 AD への書き込み

Exchange "Full Fidelity" Feature Write Back To Attribute

フィルタリングの共存: クラウドで設定し

ていたセーフ リスト/ブロック

リストをインポート

SafeSendersHash

BlockedSendersHash

SafeRecipientHash

クラウド アーカイブ: ユーザーの

メールをクラウド上でアーカイブ

msExchArchiveStatus

クラウドからメールボックスを

自社に戻す

ProxyAddresses (LegacyExchangeDN

(cloud LegDn) as X 500)

UM (ユニファイド メッセージ) の有効化

クラウド上で持っているボイス メールを

自社運用型 OCS に通知する

cloudmsExchUCVoiceMailSettings

次期バージョン同期ツールを使い下記の 情報をクラウドから自社運用 AD に情報を

書き込む事によって親和性向上を実現

32

リッチな共存 環境構築

ステップ 詳細 必須/推奨

Exchange 2010 SP1 の インストール

自社運用環境に Exchange 2010 SP1 の CAS/HUB ロールのサーバーを追加 (ケースによっては MBX サーバーも必要)

必須

オートディスカバリ リダイレクションの設定

自社運用に向いている Outlook クライアントをクラウド側に リダイレクトする。

推奨

クラウド側の ポリシー設定を投入

自社運用とクラウドのポリシーを合わせるまたはクラウドは クラウド独自の設定を投入する。 (例–ActiveSync ポリシー、OWA ポリシー等)

推奨

クラウド向け RBAC の設定

ロール ベース アクセス コントロール (RBAC) の設定管理を 行い自社運用型と同様または保管する設定をクラウド側に行う

推奨

33

リッチな共存 環境構築

ステップ 詳細 必須/推奨

Federated Sharing の設定

クロス プレミスの federation を実現。この設定により 下記の機能をクロス プレミスで利用可能になる。

推奨

空き時間検索、 カレンダー閲覧

メールボックス検索

メール ヒント OWA リダイレクション (シングル URL)

メッセージ追跡 アーカイブ

クロス プレミスでのメール ルーティング 設定

この設定によりクロス プレミス間で送られたメールで正しくスパム対策/ヘッダーの処理を実現する。

推奨

34

Autodiscover の設定 クラウド ユーザーがアクセスしてきた際にクラウド側にリダイレクトする設定が必要

自社運用

Exchange 2010 CAS

Microsoft Online Services

CAS

Outlook/EAS

Autodiscover. msonline.contoso.com

IIS/302 Autodiscover-s. outlook.com

Robin@contoso.com TargetAddress: Robin@. msonline.contoso.com

"https://autodiscover-s. outlook.com/autodiscover/autodiscover.xml"

"https://autodiscover-s. outlook.com/autodiscover/autodiscover.xml"

Robin@msonline.contoso.com

35

ポリシー及び ロール ベース アクセス制御の設定

クロス プレミスで情報を共有できるような

ポリシーの設定が必要

考慮すべきポリシー Activesync ポリシー

OWA ポリシー

共有ポリシー

ロール ベース アクセス 制御 (RBAC)

境界間のアクセス許可

Contoso

ドメイン カレンダー

Msonline …

CalendarSharingFreeBusyReviewer

Mailbox: Joe Sharing Policy: Default Policy

Default Policy:

ドメイン カレンダー 連絡先

* Freebusy None

contoso sales.com

Reviewer Reviewer

Mailbox: Bill Sharing Policy: Sales Policy

Sales Policy:

36

リッチな共存環境実現のコアとなる機能

Microsoft Federation Gateway (MFG) が

トラスト ブローカーとなり二つの組織間で

フェデレーションを実現

Federated Sharing

Microsoft Online Services 自社運用

フェデレーション 信頼

フェデレーション 信頼

信頼関係

37

Federated Sharing のアクセスのフロー

Token request Alias: mary@msonline.contoso.com To: contoso.com For: Request

Federated Token Alias: mary@msonline.contoso.com.com To: contoso.com For: Request

Request joe@contoso.com

Org-Org relationship Domain: contoso.com Endpoint: https://... …

msonline.contoso.com Contoso

Org-Org relationship Domain: msonline.contoso.com.com Freebusy: true Level: CalendarSharingFreeBusyReviewerGroup: Department 1 …

Request joe@contoso.com

Free busy response joe@contoso.com

1

2

3 4

5

7

6

8

ターゲット組織内の情報を要求

Exchange CAS が ユーザーの替わりにトークンを要求する signed request を送信

Free busy response joe@contoso.com

暗号化されたトークンはリクエストしたユーザーの e-mail アドレスの情報を持つ。 トークンはターゲット組織のみで復号化可能

トークンを復号化し、リクエスト してきた組織の 情報を確認、 ポリシーに応じて情報を提供

トークンにサインをし、ターゲット組織の 公開鍵で暗号化

MFG が シグネチャを 確認し エイリアスが ドメインに マッチしているかをチェック

Federated Token

Microsoft Federation Gateway

Organization Id: C 293 … Domains: msonline.contoso.com

CAS CAS

Organization Id: A 154 … Domains: contoso.com

Mary

38

Exchange 2010 SP1 で提供されている EMC

から GUI ベースで設定可能

Federated Sharing

39

リッチな共存–GUI による管理

Exchange 2010 SP1 を自社環境にインストールし、Exchange Online に接続すると、EMC GUI を利用して設定を行う事が可能

40

リッチな共存における移行

管理者は自社運用の EMC を利用して

メールボックス移行やその他のクロス プレミス

環境での管理タスクを実行可能

ディレクトリ同期により、メール ボックスが

動いてもアドレス帳の情報は常に正しい状態

Exchange 2007

Exchange 2010

Exchange 2010 CAS

Exchange 2003

41

リッチな共存における移行

EMC 上に用意されている "Remote Move" の GUI を 利用して設定

"Federated Sharing" の 設定が施されていると、 "explicit-credentials" の 要求が免除される為、 クラウドへの メール ボックス移行/ 切り戻しをシームレスに 実行可能

42

どのようなケースでメールボックスを 自社運用型に戻す?

コンプライアンス要件 (例: 退職者のデータを 保持する等)

クラウド利用のパイロット テストを行ったが、 クラウド サービスでは要件が合わなかった

切り戻し時のポイント EMC を利用して切り戻し可能 MBX が Exchange 2010 である場合はオンラインでメールボックスを移動可能 MBX が Exchange 2003/2007 の場合はオフラインでの移動となる リッチな共存を使用していない場合、切り戻しは PST やパートナーのツールを使用して行う必要がある

リッチな共存における移行

デモ リッチな共存の 設定及び動作

リッチな共存環境 まとめ

45

リッチな共存

Exchange 2010 SP1 の CAS/HUB サーバーを導入する事によりクラウド + 自社運用の 連携性を飛躍的に向上できる

ディレクトリ同期によりアドレス帳の情報を 共有

MFG を介した "Federated Sharing" に

より様々なクロス プレミス間での機能を実現

メール ボックス切り戻しをオンラインで行うには Exchange 2010 の MBX が必要になる

Exchange 2003/2007 ではオフライン移動

Appendix

47

関連セッション

T 1-304: 次期 Microsoft Online Services の ID およびアクセス 管理～ AD FS 2.0 によるシングル サインオンの実現 1 ～

T 1-302: 次世代 Microsoft Online Services の最新情報

T 1-310: Microsoft Online Services 展開時の実践テクニック

T 1-306: Exchange Server のクラウド対応セキュリティ対策

T 1-301: 企業内 PC の運用を変える Windows Intune

48

リファレンス

Microsoft Online Services 製品情報 http://www.microsoft.com/japan/online/default.mspx

Microsoft Online Services のトライアル サイト http://www.microsoft.com/japan/online/trial.mspx

Microsoft Online Services 開発者向け情報 http://msdn.microsoft.com/ja-jp/ms. online.aspx

Microsoft Online Services 技術者向け情報 (TechCenter) http://technet.microsoft.com/ja-jp/msonline/default.aspx

Microsoft Online Services の体験サイト (手続きなしで利用可能) http://www.microsoft.com/japan/online/trial 2.mspx

ご清聴ありがとうございました。

T 1-303 アンケートにご協力ください。