Exchange の偽装と EWSImpersonation and EWS in Exchange

Exchange サービス アプリケーションで偽装を使用する方法とタイミングについて説明します。Learn how and when to use impersonation in your Exchange service applications.

ユーザーが他のユーザーのメールボックスにアクセスできるようにするには、次の 3 つの方法のいずれかを使用できます。You can enable users to access other users' mailboxes in one of three ways:

  • 代理人を追加し、各代理人にアクセス許可を指定します。By adding delegates and specifying permissions for each delegate.

  • フォルダーのアクセス許可を直接変更します。By modifying folder permissions directly.

  • 偽装を使用します。By using impersonation.

委任またはフォルダーのアクセス許可を使った方法よりも偽装を使った方法を選択するのが最善かどうかを判断するうえで、次のガイドラインが役に立ちます。When should you choose impersonation over delegation or folder permissions? The following guidelines will help you decide:

  • フォルダーに対してユーザー アクセスを提供するものの、ユーザーに "代理人として送信する" アクセス許可を付与しない場合は、フォルダーのアクセス許可を使用します。Use folder permissions when you want to provide a user access to a folder but do not want the user to have "send on behalf of" permissions.

  • 1 人のユーザーに別のユーザーの代わりに作業を実行するためのアクセス許可を付与する場合は、代理人アクセスを使用します。通常、これは 1 対 1 または 1 対多のアクセス許可です。たとえば、単一の管理アシスタントが管理者の予定表を管理している、または単一の会議室スケジューラが会議室のグループの予定表を管理している場合などです。Use delegate access when you want to give one user permission to perform work on behalf of another user. Typically, this is a one-to-one or one-to-a-few permission - for example, a single administrative assistant managing the calendar for an administrator, or a single room scheduler managing the calendars for a group of meeting rooms.

  • 複数のメールボックスにアクセスしてメールボックスの所有者として "操作を行う" 必要のあるサービス アプリケーションがある場合は、偽装を使用します。Use impersonation when you have a service application that needs to access multiple mailboxes and "act as" the mailbox owner.

偽装は、1 つのサービス アカウントにデータベース内のすべてのメールボックスへのアクセスを簡単に許可できるため、複数のメールボックスを処理するときに最適です。委任、およびフォルダーのアクセス許可は、各メールボックスに個別にアクセス許可を追加する必要があるため、少数のユーザーにのみアクセス許可を付与する場合に最適です。図 1 は、それぞれのアクセス許可の種類ごとの違いを示しています。Impersonation is the best choice when you're dealing with multiple mailboxes because you can easily grant one service account access to every mailbox in a database. Delegation and folder permissions are best when you're only granting access to a few users, because you have to add permissions individually to each mailbox. Figure 1 shows some of the differences between each type of access.

図 1. 他のユーザーのメールボックスにアクセスする方法Figure 1. Ways to access other users' mailboxes

メールボックスのアクセス タイプ、各タイプのメールボックス所有者と代理人の関係、およびアクセス許可のタイプを示す図。委任用のアクセス許可またはフォルダー アクセス許可のために送信します。偽装のためのアクセス許可として送信します。

偽装は、Exchange Online、Office 365 の一部としての Exchange Online、およびオンプレミス バージョンの Exchange に接続し、メールのアーカイブ、休暇中のユーザーへの OOF の自動設定、アプリケーションがメールボックスの所有者として動作する必要のある他のすべてのタスクなどの操作を実行するアプリケーションに最適です。アプリケーションでメッセージを送信するのに偽装を使用すると、メールがメールボックスの所有者から送信されたものとして表示されます。サービス アカウントによって送信されたメールであることを受信者が確認する手段はありません。一方、委任は、別のメールボックス アカウントに対して、メールボックスの所有者の代わりに動作するためのアクセス許可を付与します。代理人によってメール メッセージが送信される場合、"from" 値はメールボックスの所有者になり、"sender" 値はメールを送信した代理人になります。Impersonation is ideal for applications that connect to Exchange Online, Exchange Online as part of Office 365, and on-premises versions of Exchange and perform operations, such as archiving email, setting OOF automatically for users on vacation, or any other task that requires that the application act as the owner of a mailbox. When an application uses impersonation to send a message, the email appears to be sent from the mailbox owner. There is no way for the recipient to know the mail was sent by the service account. Delegation, on the other hand, gives another mailbox account permission to act on behalf of a mailbox owner. When an email message is sent by a delegate, the "from" value identifies the mailbox owner, and the "sender" value identifies the delegate that sent the mail.

偽装のセキュリティの考慮事項Security considerations for impersonation

偽装を使用すると、発信者は指定されたユーザー アカウントを偽装できます。これにより、発信者は自分のアカウントに関連付けられているアクセス許可ではなく、偽装されたアカウントに関連付けられているアクセス許可を使用して操作を実行できます。このため、次のセキュリティの考慮事項に留意する必要があります。Impersonation enables a caller to impersonate a given user account. This enables the caller to perform operations by using the permissions that are associated with the impersonated account, instead of the permissions that are associated with the caller's account. For this reason, you should be aware of the following security considerations:

  • Exchange サーバー管理者によって ApplicationImpersonation 役割が付与されているアカウントのみが偽装を使用できます。Only accounts that have been granted the ApplicationImpersonation role by an Exchange server administrator can use impersonation.

  • 指定されたアカウントのグループに偽装を限定する管理スコープを作成する必要があります。管理スコープを作成しないと、 ApplicationImpersonation 役割が組織内のすべてのアカウントに付与されます。You should create a management scope that limits impersonation to a specified group of accounts. If you do not create a management scope, the ApplicationImpersonation role is granted to all accounts in an organization.

  • 通常、 ApplicationImpersonation 役割はユーザー アカウントではなく、特定のアプリケーションまたはアプリケーションのグループ専用のサービス アカウントに付与されます。必要に応じて、必要な数のサービス アカウントを作成できます。Typically, the ApplicationImpersonation role is granted to a service account dedicated to a particular application or group of applications, rather than a user account. You can create as many or as few service accounts as you need.

偽装の構成についての詳細を読むこともできますが、Exchange 管理者と相談して、必要とするサービス アカウントが組織のセキュリティ要件を満たすアクセス許可やアクセスを持つものとして作成されるようにしなければなりません。You can read more about configuring impersonation, but you should work with your Exchange administrator to ensure that the service accounts that you need are created with the permissions and access that meet the security requirements of your organization.

このセクションの内容In this section

関連項目See also