異なる Exchange 組織間での空き時間及び予定表参照について

  • Article

いつも Exchange Server をご利用いただきありがとうございます。
最近では多くのお客様でオンプレミス Exchange Server  (OnPrem Exchange)から Office 365 Exchange Online (EXO) への移行が進められており、移行関連のお問い合わも増えております。 OnPrem Exchange と EXO  のハイブリッド構成を組んで移行されるお客様ではハイブリッド構成に特化したトラブルも多くお寄せ頂いた頂いており、ハイブリッド環境のトラブルシューティング方法を以下のブログとして公開しておりおます。

Title: ハイブリッド構成について ~ まとめ編 ~
Url: https://blogs.technet.com/b/exchangeteamjp/archive/2014/10/03/3638722.aspx

上記のブログでも紹介しておりますが、ハイブリッド環境を構築する場合は、OnPrem Exchange にてハイブリッド構成ウィザードを実行することで自動的にハイブリッド構成に必要な設定が行えるため、非常に便利です。ただしお客様の利用用途としては OnPrem Exchange と EXO (または別の OnPrem Exchange ) がそれぞれ別の Exchange 組織である場合はハイブリッド構成ウィザードによる自動設定が適切ではないシナリオがあります。このような場合に、OnPrem Exchange と EXO (または別の OnPrem Exchange ) とで空き時時間参照や予定表参照を実現した場合は、どのようにするのでしょうか?ハイブリッド構成ウィザードが実行できないので、手動で設定する必要があるのですが、その手順は公開されているのですが、一つの手順として纏まっていなく設定方法に苦慮します。
そのため今回のブログではハイブリッド構成ウィザードを実行せずに、OnPrem Exchange と EXO (または別の OnPrem Exchange ) との間で空き時間参照や予定表参照を実現したい場合の手順やそもそもの空き時間参照や予定表参照がどういった機能なのかについて紹介させて頂きます。
ハイブリッド環境のお客様でも十分有益な情報だと思いますので、ご活用頂ければ幸いです。

2 種類の共有機能について
==================
まずはじめに空き時間情報の共有と予定表の共有はそれぞれ参照方法が全く異なっており、空き時間情報の共有は 組織の関係ベースの予定表参照そして予定表の共有は共有ポリシー ベースの予定表参照となります。Outlook 2013 でのそれぞれの利用方法は以下となりますが、それぞれの機能ごとの説明と参照フローを後述に解説します。

a) 空き時間情報の共有
-----------------------------
Outlook 2013 からスケジュール アシスタントを使用する

-参考情報
Title: 他のユーザーとの会議の予定を設定する
Url: https://support.office.com/ja-jp/article/e36314a5-0163-47d4-951f-886ba2a6d36b

Title:ビデオ: スケジュール アシスタントを使う
Url: https://support.office.com/ja-jp/article/a7bf1aee-bee6-46d6-a126-194ed04fbe09

b) 予定表の共有
-----------------
Outlook 2013 から予定表共有を依頼する電子メール メッセージを送受信する

-参考情報
Title: 他のユーザーの Exchange 予定表を開く
Url: https://support.office.com/ja-jp/article/2800edf7-a948-4ec9-836d-d4c40707986d

組織の関係ベースの予定表参照
====================
機能について
~~~~~~~~~
組織の関係ベースの予定表参照は、Azure Active Directory 認証システムとフェデレーション信頼を結んだ 2 つの Exchange 組織間での共有を構成することで予定表の空き時間情報を共有する機能となります。
組織の関係を作成すると、組織の関係オブジェクトのプロパティに、組織間での予定表の空き時間情報の共有を有効にするかどうか、および、共有する空き時間情報のレベルの定義がございます。
組織の関係において設定可能な共有する空き時間情報のレベルは、以下の 2 つです。
・時間だけの予定表の空き時間情報
・時間、件名、場所を含む予定表の空き時間情報

また組織の関係で許可した予定表の空き時間情報は、既定で作成される予定表のアクセス権限の 1 つである [既定] の権限に基づいてクロスプレミス (Exchange 組織を跨ぐ)で参照されます。

参照フローについて
~~~~~~~~~~
以下の環境を例に参照フローを記載します。

<環境>
参照元:
Exchange 組織 A
ExchSrvA ->Exchange サーバー
MBX_A ->メールボックス

参照先:
Exchange 組織 B
ExchSrvB ->Exchange サーバー
MBX_B ->メールボックス

クライアント:
Outlook 2013

<参照フロー>
1. Outlook 2013 から MBX_A から MBX_B に対して空き時間情報を取得するための EWS リクエスト(F/B リクエスト) を ExchSrvA に対して送信します。
2. ExchSrvA が Azure Active Directory 認証システム (旧 MFG) に対して代理トークン リクエストを送信します。
3. ExchSrvA が 2 にてリクエストしたトークンを取得します。
4. ExchSrvA がExchange 組織 Aの組織の関係の DomainNames プロパティに 1 が定義されている場合、TargetAutodiscoverEpr プロパティに定義されている URL に対して Autodiscover を実行し、Exchange 組織 B で定義されている EWS の ExternalUrl を取得します。
5. 2 にてリクエストしたトークンと共に 4 で取得した EWS の ExernalURL (ExchSrvB) に対して F/B リクエストを送信します。
6. ExchSrvB がExchange 組織 B の組織の関係の設定を照合し、問題なければ MBX_B  の空き時間情報(注)を ExchSrvA  へ返します。
7.MBX_A は MBX_B の予定表情報を確認できます。

注意)
1. 上記の参照フローにおける組織間での EWS 接続時に WS-Security (Web サービス セキュリティ) 認証が使用されます。既定では EWS 仮想ディレクトリでは WS-Security  認証が有効 (WSSecurityAuthentication がTrue) ですが、認証に関する問題がある場合は EWS 仮想ディレクトリで WS-Security  認証が有効かどうか確認下さい。

2. 時間、件名、場所を含む予定表の空き時間情報を参照したい場合は、組織の関係で "時間、件名、場所を含む予定表の空き時間情報" をチェックし、かつ参照先のメールボックスの予定表フォルダーの既定の対する権限を "空き時間、件名、場所" に対する読み取り権限(LimitedDetails) を有効にする必要があります。既定では空き時間情報のみ (AvailabilityOnly) のため、空き時間のみしか取得できません。

3. 参照先の別組織のユーザーに紐づくメール連絡先またはメール ユーザーが自組織上に作成されている場合は、上述の参照フローの 1 では参照先オブジェクトの TargetAddress 属性に定義されている SMTP アドレスを元に F/B リクエストを送付します。一方該当するメール連絡先またはメール ユーザーが作成されておらず、SMTP アドレスを直接入力する場合は、入力した SMTP アドレスを元に F/B リクエストを送付します。

共有ポリシー ベースの予定表参照
====================================
機能について
~~~~~~~~~~~
共有ポリシーとは、様々な種類の特定の外部ユーザーとの間での予定表情報および連絡先情報の共有を行うための機能です。
共有ポリシーでは、予定表情報の共有を行う対象のドメイン、予定表フォルダーおよび連絡先フォルダーの共有の有効・無効の設定、および、共有する予定表の情報のレベルを定義します。
共有ポリシーにおいて設定可能な共有する予定表の情報のレベルは、以下の 3 つです。
・時間だけの予定表の空き時間情報
・時間、件名、場所を含む予定表の空き時間情報
・時刻、件名、場所、役職などの予定表のすべての予定情報

共有ポリシー ベースの予定表参照を実施する際には、Outlook または OWA から予定表の共有依頼メッセージを送付する必要がございます。
予定表の共有依頼メッセージを送信すると予定表の公開先ユーザーに対して指定したアクセス権設定が追加されます。指定したアクセス権限に応じて、クロスプレミス (Exchange 組織を跨ぐ)で予定表情報の参照が可能となります。

- 参考情報
Title : 共有ポリシー
Url : https://technet.microsoft.com/JA-JP/library/jj657466(v=exchg.150).aspx

参照フローについて
~~~~~~~~~~~~~~~~~~~
参照元組織の Exchange サーバー上のメールボックス アシスタンス サービスによって参照先組織の Exchange サーバーに対して予定表を情報取得するため、上述の組織の関係ベースの予定表参照のフローと大きく異なります。
またどのレベル情報を取得するかどうかは共有ポリシーで設定されている共有レベルに順じます。

設定手順について
====================
組織の関係ベースの予定表参照と共有ポリシー ベースの予定表参照を実現するための設定方法について以下にご案内します。

<手順概要>
1. 各 Exchange 組織の名前解決の構成
2. フェデレーション信頼の構成
3. 組織の関係の作成
4. 共有ポリシーの作成
5. 共有ポリシーの適用

1. 各 Exchange 組織の名前解決の構成
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
組織間で空き時間情報・予定表を共有する際に、以下の 2 つの種類の HTTP(S) リクエストが到達することが必要となります。

・自動検出 (Autodiscover)
・EWS

自動検出には、"autodiscover.<ドメイン名>" の名前が使用されます。
また、EWS のエンドポイントには、WebServicesVirtualDirectory の ExternalUrl に定義された URL が使用されます。
それぞれの名前の HTTP リクエストが Exchange 2013 CAS サーバー に最終的に到達出来るよう、お客様の構成にあわせて名前解決の設定行います。

また、EWS のエンドポイントを定義していない場合は、Exchange 2013サーバーの Exchange 管理シェルより以下のコマンドで定義してください。

Set-WebServicesVirtualDirectory -Identity [仮想ディレクトリ名] -ExternalUrl [URL]

また Exchange 2013 サーバーからフェデレーション信頼の確認のために、インターネットへのアクセスが必要となります。
その際に、プロキシー サーバーを経由する構成となっている場合には、Exchange 2013サーバーの Exchange 管理シェルより以下のようにプロキシー サーバーの情報を各 Exchange サーバーに対して実施します。

Set-ExchangeServer -Identity [対象のサーバー名] -InternetWebProxy [プロキシー サーバーの URL]

補足)
・フェデレーション信頼の設定に関係なくExchange サーバーからインターネット接続が必要でかつプロキシー サーバーを経由してインターネット接続する構成の場合は、上述のSet-ExchangeServer  コマンドの InternetWebProxy パラメーターにてプロキシー サーバーの URL を設定する必要があります。
・自動検出 (Autodiscover) や EWS 通信が Exchange 組織間で正しく行われるには上記の設定に加え、各 Exchange 組織にて外部公開している Exchange サーバーに公的証明書機関から発行された証明書がインストールされていることが前提となります。

<参考情報>
Title: デジタル証明書と SSL
Url: https://technet.microsoft.com/ja-jp/library/dd351044(v=exchg.150).aspx

2. フェデレーション信頼の構成
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
以下の公開情報に従ってExchange 2013 組織間でフェデレーション信頼を構成します。

Title: フェデレーション信頼の構成
Url: https://technet.microsoft.com/JA-JP/library/jj657462(v=exchg.150).aspx

注意)
フェデレーション信頼を確立するためには、外部 DNS サーバーに TXT レコードを追加する必要があり、DNS レコードが他の 外部 DNS サーバーに反映されるまでに暫く時間がかかることがあります。

3. 組織の関係の作成
~~~~~~~~~~~~~~~~~~~~~~~
組織の関係ベースの予定表参照を実現するには 社内組織の Exchange 2013 サーバーで、Exchange 管理センター (EAC) を使用して組織の関係を作成します。

1. [組織] > [共有] に移動します。
2. [組織の共有] で、[新規作成][追加] アイコン をクリックします。
3. [組織上の関係の新規作成] の [関係の名前] ボックスに、組織上の関係のわかりやすい名前を入力します。
4. [共有するドメイン] ボックスに、予定表の表示を許可する社内の Exchange 組織のフェデレーション ドメインまたはフェデレーション サブドメインを入力します。外部組織の複数のドメインを入力する必要がある場合は、ドメインをコンマで区切ります。たとえば、contoso.com、service.contoso.com のようにします。
5.リストしたドメインとの予定表の共有を有効にするには、[予定表の空き時間情報の共有を有効にする] チェック ボックスをオンにします。予定表の空き時間情報の共有レベルを設定し、予定表の空き時間情報を共有できるユーザーを設定します。
空き時間情報のアクセス レベルを設定するには、次のいずれかを選択します。

・ [時刻のみを指定して予定表の空き時間情報にアクセス]
・ [予定表の空き時間情報のうち、空き時間、件名、場所情報へのアクセス]

予定表の空き時間情報を共有する内部ユーザーを設定するには、次のいずれかを選択します。

・ 組織内の全員
・ [指定したセキュリティ グループ]

セキュリティ グループを指定するには [参照] をクリックします。

6. [保存] をクリックして組織上の関係を作成します。

<参考情報>
Title: 組織の関係を作成する
Url: https://technet.microsoft.com/JA-JP/library/jj657451(v=exchg.150).aspx

4. 共有ポリシーの作成
~~~~~~~~~~~~~~~~~~~~~
共有ポリシー ベースの予定表参照を実現するには共有ポリシーが適切に構成されいるかどうか重要です。
共有ポリシーは、Exchange 管理センター (EAC) や Exchange 管理シェルから新たに作成することが可能ですが、既定で "Default Sharing Policy" という名前のポリシーが作成されております。
既定のポリシーを変更してご利用頂く場合は、新規作成を頂く必要はございません。新規に EAC から社内組織の Exchange 2013 サーバーで共有ポリシーを作成する場合は、以下の手順を実施します。

1.[組織] > [共有] に移動します。
2.リスト ビューの [個別共有] で、[新規作成][追加] アイコン をクリックします。
3. [共有ポリシーの新規作成] で、[ポリシー名] ボックスに共有ポリシーのフレンドリ名を入力します。
4. [追加] [追加] アイコン をクリックして、共有ポリシーの共有ルールを指定します。
5. [共有ルール] で、次のいずれかのオプションを選択して、共有するドメインを指定します。

・ [すべてのドメインと共有]
・ [特定のドメインと共有]

6. [特定のドメインと共有] を選択した場合は、共有するドメインの名前を入力します。この共有ポリシーに複数のドメインを入力する必要がある場合は、最初のドメインの設定を保存してから、共有ルールを編集してさらにドメインを追加します。
7. ポリシーに対して強制する予定表の共有レベルを定義するには、[予定表フォルダーを共有する] チェック ボックスをオンにし、次のいずれかのオプションを選択します。

・ [時刻のみを指定して予定表の空き時間情報にアクセス]
・[時間、件名、場所を含む予定表の空き時間情報]
・ [時刻、件名、場所、役職などの予定表のすべての予定情報]

8. 共有ポリシーのルールを設定するには、[保存]をクリックします。
9.この共有ポリシーを Exchange 組織におけるユーザーの既定の共有ポリシーにする場合は、[このポリシーを既定の共有ポリシーにする] チェック ボックスをオンにします。
10. 共有ポリシーを作成するには、[保存] をクリックします。

<参考情報>
Title: 共有ポリシーの作成
Url: https://technet.microsoft.com/JA-JP/library/jj657494(v=exchg.150).aspx

5. 共有ポリシーの適用
~~~~~~~~~~~~~~~~~~~~~~
既定の "Default Sharing Policy" のみを使用する場合は、既定で各メールボックスは "Default Sharing Policy" を利用するよう設定がされているため、明示的に共有ポリシーを適用する必要はありません。
新規に共有ポリシーを作成した場合は、Set-Mailbox コマンドを用いて各メールボックスと作成した共有ポリシーを関連づける必要がありますので、EAC から社内組織の Exchange 2013サーバーで、作成した共有ポリシーをメールボックスに適用する場合は、以下の手順を実施します。

1. [受信者] > [メールボックス] に移動します。
2.リスト ビューで、Ctrl キーを押しながら複数のメールボックスを選択します。
3.詳細ウィンドウでは、メールボックスのプロパティが構成されて一括編集されます。[その他のオプション] をクリックします。
4. [共有ポリシー] で、[更新] をクリックします。
5. [共有ポリシーの一括割り当て] で、[共有ポリシーを選択します] リストを使用してメールボックスに割り当てる共有ポリシーを選択します。
6. [保存] をクリックして、選択したメールボックスに共有ポリシーを適用します。

<参考情報>
Title: メールボックスに共有ポリシーを適用する
Url: https://technet.microsoft.com/JA-JP/library/jj657501(v=exchg.150).aspx

最後に
=========
長文になりましたが、以上がハイブリッド構成ウィザードを実行せずに、OnPrem Exchange と EXO (または別の OnPrem Exchange) とで空き時間参照や予定表参照を実現する方法となります。結構複雑という印象を持たれた方もいるかもしれませんが、空き時間参照や予定表参照の違いやそれぞれの設定手順を把握することでトラブル シューティングする場合は非常に役に立つと思います。
今後も OnPrem Exchange と EXO を連携した機能に関する情報をお知らせできればと思いますので、今後とも当ブログをどうぞ宜しくお願いします。