o365勉強会オンプレexchangeの共存とadfs導入の注意点 20121202

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Office365オンプレオンプレオンプレオンプレExchangeの共存の共存の共存の共存ととととADFS導入の注意点導入の注意点導入の注意点導入の注意点

Office365 勉強会#3

日本ヒューレット・パッカード株式会社2012/12/3

© Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.2

Agenda1. ExchangeからOffice365へ移行

1. Exchange環境からOffice365へ移行プロジェクトにおける要件例

2. システム構成例

2. オンプレExchangeとの共存の注意点

1. ディレクトリ同期ツール

2. msExchMailboxGuid削除の影響

3. Outlookプロファイル作成

4. MSOlineモジュール

3. ADFS導入の注意点

1. 自己証明書の期間延長

2. Office365パスワードポリシー

3. その他

• 免責事項

− 2012年11月現在の情報です。技術的な内容など変更されている可能性があります。

− 本資料に掲載されている情報について、その内容を保証するものではありません。


1．．．．ExchangeからからからからOffice365へ移行へ移行へ移行へ移行


1.1. Exchange環境からOffice365へ移行プロジェクトにおける要件例


•オンプレオンプレオンプレオンプレExchangeは残したいは残したいは残したいは残したい

•影響が少ないグループ会社から徐々に影響が少ないグループ会社から徐々に影響が少ないグループ会社から徐々に影響が少ないグループ会社から徐々にOffice365へ移行へ移行へ移行へ移行したいしたいしたいしたい

� メールドメイン単位で移行メールドメイン単位で移行メールドメイン単位で移行メールドメイン単位で移行

•オンプレオンプレオンプレオンプレExchangeととととOffice365両方のメール両方のメール両方のメール両方のメールボックスをボックスをボックスをボックスをOutlookのプロファイル切り替えのプロファイル切り替えのプロファイル切り替えのプロファイル切り替えで使い分けたいで使い分けたいで使い分けたいで使い分けたい

�オンプレオンプレオンプレオンプレExchangeととととOffice365両方でメールボックス保持両方でメールボックス保持両方でメールボックス保持両方でメールボックス保持

•ユーザーユーザーユーザーユーザーに複雑なことをやらせたくないに複雑なことをやらせたくないに複雑なことをやらせたくないに複雑なことをやらせたくない

例：パスワードの複数例：パスワードの複数例：パスワードの複数例：パスワードの複数管理管理管理管理

� ADFSによるパスワード一元によるパスワード一元によるパスワード一元によるパスワード一元管管管管理理理理

•オンプレとオンプレとオンプレとオンプレとOffice365のグローバルアドレスのグローバルアドレスのグローバルアドレスのグローバルアドレス帳からお互いのメールアドレスを検索帳からお互いのメールアドレスを検索帳からお互いのメールアドレスを検索帳からお互いのメールアドレスを検索したいしたいしたいしたい

�オンプレオンプレオンプレオンプレExchangeととととOffice365両方でメールボックス両方でメールボックス両方でメールボックス両方でメールボックス保持保持保持保持


1.2. システム構成例


Intranet DMZ

Exchange

ユーザーOffice365

ユーザーExchange

Active Directory

ディレクトリ同期

ADFS ADFS Proxy


2．．．．オンプレオンプレオンプレオンプレExchangeとの共存のとの共存のとの共存のとの共存の注意点注意点注意点注意点


2.1．ディレクトリ同期ツール

2．．．．オンプレオンプレオンプレオンプレExchangeとの共存の注意点との共存の注意点との共存の注意点との共存の注意点

オンプレオンプレオンプレオンプレExchangeととととOffice365両方でメールボックス保持両方でメールボックス保持両方でメールボックス保持両方でメールボックス保持

■問題

• Office365から同一ユーザーがオンプレExchangeとOffice365両方にメールボックスを保持不可

■解決策

Solution MS社Support

自動化運用負荷

制限

ディレクトリ同期ツールカスタマイズ※1 ×××× ○○○○ 低低低低Office365 GALにオンプレにオンプレにオンプレにオンプレExchangeメーメーメーメールアドレスが表示されないルアドレスが表示されないルアドレスが表示されないルアドレスが表示されない

ソフトマッチでメールボックス作成※2 ？？？？ ×××× 高高高高

「電子メールの移行」機能を利用 ○○○○ ×××× 中中中中 Outlook Anywareが有効

• ※1：日々徒然～ExchangeからOffice365移行の際の注意点～

− http://genkiw.wordpress.com/2011/10/03/

• ※2：日々徒然～ソフトマッチについて～



AD

msExchMailboxGuid削除の影響


A社ユーザー

B社ユーザー

A社兼B社ユーザー

Mailbox

MailUser

Mailbox

グローバルアドレス帳

オンプレOffice365

A社ユーザー

B社ユーザー

A社兼B社ユーザー Mailbox

グローバルアドレス帳

User

Mailbox

××××

××××B社ユーザーA社ユーザー移行後メール送信不可（NDR）

Exchange

※BPOS時MailUserだったためGALに表示されていた


2.2．Outlookプロファイル作成


メールボックスメールボックスメールボックスメールボックス(Outlookプロファイルプロファイルプロファイルプロファイル)を切替えて運用を切替えて運用を切替えて運用を切替えて運用

■問題

• Office365のプロファイル作成時、オンプレExchangeの認証が求められプロファイル作成不可

■解決策

• Outlookプロファイル作成時、初期入力されている「電子メールアドレス」など削除し再入力

• Office365へ接続されるようレジストリの追加(本来不要)

− HKEY_CURRENT_USER¥Software¥Microsoft¥Office¥12.0¥Outlook¥AutoDiscover

− ExcludeHttpRedirect REG_DWORD：0

− ExcludeHttpsAutodiscoverDomain REG_DWORD：1

− ExcludeHttpsRootDomain REG_DWORD：1

− ExcludeScpLookup REG_DWORD：1

− ExcludeSrvRecord REG_DWORD：1


2.3．MSOnlineモジュール


PowerShell用用用用Microsoft Online Services モジュールのバージョンモジュールのバージョンモジュールのバージョンモジュールのバージョン

■問題

• 同じバージョンのモジュールなのにオプションの有無が違う

• バグが修正されたモジュールを再インストールしたはずが修正されていなかった

• ダウンロードするリンクによりバージョンが異なる場合がある

■解決策

• 「C:¥Windows¥System32¥WindowsPowerShell¥v1.0¥Modules¥MSOnline¥Microsoft.Online.Adm

inistration.Automation.PSModule.dll 」ファイルのプロパティから確認

− ファイルパスは以下のコマンドで確認

• Get-Module MSOnline | fl


3．．．．ADFS導入の注意点導入の注意点導入の注意点導入の注意点


3.1．自己証明書の期間延長


自己証明書の期間延長と自動ロールオーバー機能自己証明書の期間延長と自動ロールオーバー機能自己証明書の期間延長と自動ロールオーバー機能自己証明書の期間延長と自動ロールオーバー機能

■問題

• 自己証明書の期間延長すると自動ロールオーバー機能が動作し、Office365へアクセスできなくなる

■解決策

• 期間延長は最大で50年程度に設定

− 期間が長すぎるとなぜか自動ロールオーバー機能が動作し、日々証明書を更新してしまう

• 自動ロールオーバーを無効に設定 ※2重防止策

− Set-ADFSProperties -AutoCertificateRollover $false

• AD FS 2.0 トークン署名証明書のロールオーバーの結果、Office 365 のすべてのサービスにアクセスできなくなる

− http://community.office365.com/ja-jp/wikis/sso/2301.aspx

• 日々徒然～ADFSの自己証明書の期間延長～



3.2．Office365パスワードポリシー


Office365のパスワードポリシーの期間をのパスワードポリシーの期間をのパスワードポリシーの期間をのパスワードポリシーの期間を14日～日～日～日～200日日日日

■問題

• Office365のパスワードポリシーの期間を14日～200日の間に収まっていない場合、フェデレーションできない

− ”Convert-MsolDomainToFederated :

Microsoft.Online.Administration.Automation.IdentityInternalServiceException”

■解決策

• パスワードポリシーの期間を14日～200日に収める

− コマンド実行例

• Set-MsolPasswordPolicy -DomainName contoso.com -ValidityPeriod:200 =NotificationDays:14


3.3．その他


項目問題解決策

即座にフェデレーション環境にならない場合がある

Convert-MsolDomainToFederated後、コマンドは正常終了するが即座にフェデレーション環境にならず、AD/Office365どちらのパスワードでも認証できない

・恐らく時間帯によりOffice365へ反映されるまで時間がかかる・ユーザー影響の少ない時間帯を選ぶ・夜間帯は混んでいる？

共有メールボックス利用・運用方法の検討

共有メールボックスに紐づくアカウントは1つのため、フェデレーション後今まで通りの利用方法が不可

・パスワード管理・変更運用の検討が必要・WebブラウザのInPrivateモードの利用を検討

フェデレーションドメインからスタンダードドメインに戻す

複数のフェデレーションドメインのうち1つをConvert-MsolDomainToStandardでスタンダードドメインに戻すと証明書信頼関係を失い全ドメインフェデレーション不可

・フェデレーションドメインの構成を更新http://support.microsoft.com/kb/

2647048

・コマンドの不具合で現在修正中

管理者アカウントのドメイン変更

管理者アカウントのドメインをフェデレーションドメインにすると、障害時ログイン不可

管理者アカウントは事前にonmicrosoft.comドメインに変更


Thank you

o365勉強会 オンプレexchangeの共存とadfs導入の注意点 20121202

Documents

o365勉強会オンプレexchangeの共存とadfs導入の注意点 20121202