Exchange Onlineでメール転送を禁止する

会社のセキュリティポリシーなどの理由で、会社のメールを個人のメールアドレスに転送することを禁止しているケースがあると思います。そのような転送禁止設定をExchange Onlineで行いたい場合、どうすればよいか?というご質問を先日いただきました。
そこで、転送禁止設定をExchange Onlineで実装する方法を記しておきます。

設定は簡単。Exchange Onlineに接続して、次のコマンドレットを実行すればよいだけです。

Set-RemoteDomain Default -AutoForwardEnabled $false

Exchange管理コンソールからExchange Onlineを操作できる環境であれば、
[組織の構成]-[ハブトランスポート]-[リモートドメイン]にあるDefaultのプロパティを開き、
[メッセージ形式]タブの[自動転送を許可する]のチェックを外しても、同じく転送を禁止できます。

365forwardingsmtpaddress

転送禁止設定は、既に転送設定が施されているメールボックスには適用されない(国井調べ)ので、
転送禁止設定を行うときは、Exchange Onlineの利用開始前に設定しておくか、
転送設定を行っているユーザーがいないか確認してから、行うとよいでしょう。
最後に、転送設定を行っているユーザーと転送先を一覧表示するコマンドレットを紹介しておきます。

Get-Mailbox | Select-Object displayname, ForwardingSmtpAddress

お試しあれ。

Exchange管理コンソールからExchange Onlineを管理

Exchange Serverを持っている方がOffice365のExchange Onlineを利用するメリットは
Exchange管理コンソールからExchange Onlineを利用できる点にあります。

ここでは備忘録として、Exchange管理コンソールにExchange Onlineを登録したときのUIと
Exchange ServerのUIを比較し、できる操作の違いについて、概要を記しておきます。

■Exchange管理コンソールへのExchange Onlineの登録
Exchange管理コンソールから[Exchangeフォレストの追加]をクリックしてOffice365テナントを登録します。

exm01

Exchangeフォレストの名前(何でもよい)とリモートPowerShellインスタンスを実行するサーバーのFQDN欄に
Exchange Onlineを選択して、OKをクリックします。すると、Office365管理者アカウントを入力することになります。

exm02

認証に成功すると、Exchange Onlineの管理項目が登録されます。
[Office365]部分がExchange Onlineの管理項目なのですが、
さすがにExchange Serverと比べて項目が少ないことが確認できると思います。
(※そもそも[サーバーの構成]がExchange Onlineにはないですね)

exm05

 

■[組織の構成]-[メールボックス]部分
メールボックスデータベース関連の項目は一切なく、アイテム保持ポリシー関連の
設定項目だけが設定できるようになっています。(メールボックスアーカイブの設定するときにアイテム保持ポリシーの
設定を使うことが多いと思います)

・Exchange Onlineの設定画面
exm06

・Exchange Serverの設定画面
image

 

■[組織の構成]-[クライアントアクセス]部分
一緒です。特筆すべきことは何もありません。

■[組織の構成]-[ハブトランスポート]部分
エッジサブスクリプションや送信コネクタなど、Exchange Onlineでは不要な項目が除外されています。
[トランスポートルール]はOWAから設定できますが、Exchange管理コンソールが使えるのは結構便利だったりします。
ちなみに[承認済みドメイン]はExchange ServerとExchange Onlineの連携を行うときに必須の設定項目です。

・Exchange Onlineの設定画面
exm07

・Exchange Serverの設定画面
image

 

■[受信者の構成]-[メールボックス]部分
この画面はExchange ServerもExchange Onlineも同じなので、
Exchange Onlineの画面だけ載せておきますが、
何と言っても、Exchange管理コンソールからメールボックスの作成と管理ができるのは便利ですね。

・Exchange Onlineの設定画面
exm08

こちらはメールボックスのプロパティを開いた画面
Exchange Serverのメールボックスと全く同じ項目が用意されていますが、
ユーザーログオン名などの一部設定はグレーアウトして設定不可になっています。

exm09image

 

■[ツールボックス]画面
こちらはほとんどなくなっています。Exchange Onlineで利用できるのは、
アクセス許可設定(RBACユーザーエディター)ぐらいでしょうか。

・Exchange Onlineの設定画面
exm11

・Exchange Serverの設定画面
image

VSS完全バックアップとDAG

以前、Windows Server 2008のバックアッププログラムにある、「VSS完全バックアップ」について書かせていただきました。
そのとき、Exchange Serverのバックアップを例にVSS完全バックアップとVSSコピーバックアップの特徴を紹介しました。

その後、Exchange Server 2010では、DAG(Data Availability Group)というメールボックスデータベースのログコピー(ログシッピング)機能が登場し、メールボックスデータベースの内容を簡単に2重化できるようになりました。そのとき、私は「DAGを使っている環境でVSS完全バックアップを行ったら、切りつめられたログはもう片方のメールボックスデータベースに反映されるのだろうか?」という疑問を持ちました。
というわけで、DAGの環境でVSS完全バックアップを実際に試してみることにしました。

■ ■ ■

まず、Exchange Server 2010の環境で、DAGを構成しました。
(ここでは、DAGを構成した2つのサーバーをサーバーAとサーバーBとします)
以下はバックアップを実行する前のメールボックスデータベースのファイル構成です。

VSS0723-2

上の画面はサーバーAのメールボックスデータベースの内容。

VSS0723-4

上の画面はサーバーBのメールボックスデータベースの内容。
カレントログ(E02.log)を除く、すべてのログがサーバーAからコピーされていることがわかります。

この状態で、サーバーAでVSS完全バックアップを実行しました。
すると、以下の画面のように、サーバーAのログは切り詰められました。

VSS0723-3

このとき、サーバーBではどうなっているか見てみると、
以下の画面のように、サーバーAで切りつめられた情報は反映されず、そのままログファイルが
残されたままの状態になってしまいました。

VSS0723-5

VSS完全バックアップを実行する前は、サーバーAとサーバーBは同じファイル構成だったのに、
VSS完全バックアップ実行後は、サーバーAとサーバーBは同じメールボックスデータベースであるにもかかわらず、
異なるファイル構成になってしまいました。
(DAGは単なるログシッピング機能ですから、当たり前の結果でしたね)

 

確かに、ファイル構成が違っても結果的に同じ情報を持っているのだから、
どうでも良いのかもしれませんが、見ていてあまり気持ちの良いものではないですよね。

Exchange Server 2010 のベストプラクティスガイド

VMware社でExchange Server 2010のベストプラクティスガイドというドキュメントを
出しているのを見つけたので、備忘録代わりに。

■Microsoft Exchange 2010 on VMware – Best Practice Guide (英語)
http://www.vmware.com/files/pdf/Exchange_2010_on_VMware_-_Best_Practices_Guide.pdf

メールボックスサーバーやハブトランスポートサーバーなど、サーバー役割ごとのキャパシティプランニングに
関する情報や、サイジングの情報など、VMwareに限らずExchange Server 2010を展開するときにも
役立ちそうな情報が掲載されていました。
もちろん、資料はVMwareをベースを作っているので、Hyper-Vで使うときなんかは鵜呑みにできないとは思いますが。。

Exchange予定表のアクセス許可設定

最近、Exchange OnlineやSharePoint Onlineを使う機会が多く、
「こんなカスタマイズはできないものだろうか?」という疑問が出てきては、
調べて「ほほぅ、そういうことか!」と納得させられる毎日です。
先日もTechEd 2010のセッション「T1-310 Microsoft Online Services 展開時の実践テクニック」で
Exchange Onlineの予定表のアクセス許可をまとめて変更する方法を知り、感銘を受けたところでした。

ところで、オンプレミスで運用しているExchange Server 2010の予定表のアクセス許可を
Outlookからではなく、Exchane Server側からまとめて行う方法ってないのだろうか、とふと思いました。

どういうことかと言うと、
Exchangeの予定表は、自分以外のユーザーに対しては既定で、予定あり/なしの情報が表示されるようになっており、
自分の予定表を会社のほかのメンバーが確認しようとしても既定の設定ではできません。

schedule1

そこで、予定表の情報を共有したいユーザーに対して自分の予定表のアクセス許可をOutlookから設定すると
アクセス許可を与えられたユーザーは自分以外のユーザーの予定表の詳細を見ることができるようになります。

schedule2

しかし、Outlookから設定というのはユーザーにアクセス許可を設定してもらうということになるので、
管理者としては少し憂鬱ですね。
そんなときに利用できるサーバー側から一括で設定する方法を掲載しておきます。

  
予定表のアクセス許可はExchange Server 2010ではAdd-MailboxFolderPermissionコマンドレットを使います。
使い方はこんな感じ。


PS C:\> Add-MailboxFolderPermission –Identity “kunii@example.com:\予定表” ` 
–user tsuboi@example.com –accessrights reviewer

スイッチについて説明しておくと、

-Identity 予定表を設定するユーザーの指定
-user 予定表にアクセスするユーザーの指定
-accessrights 予定表に設定するアクセス許可

ですので、上の例だとkunii@example.comさんの予定表に対する
参照アクセス許可をtsuboi@example.comさんに与えるということになります。

ちなみに、Add-MailboxFloderPermission コマンドレットはユーザーに新しくアクセス許可を割り当てるときに使うコマンドレットであって、
既に設定したアクセス許可を変更するときには、Exchange Server 2010 SP1から提供されている
Set-MailboxFolderPermissionコマンドレットを使うことができます。

では、本題の複数のユーザーに対して予定表のアクセス許可をまとめて設定するときはどのように設定すればよいか見ていきます。
Exchange Serverでは、メールボックスユーザーのプロパティで会社名や部署名などを設定することができるので、
これを条件にユーザーを絞り込み、条件に合ったユーザーだけにアクセス許可を割り当てます。
ここでは、部署が「営業部」になっている人に予定表のアクセス許可を割り当てみたいと思います。


Get-User | Where-Object {$_.department –eq “営業部”} | Foreach{Add-MailboxFolderPermission  `
–Identity kunii@example.com:\予定表” –user $_.name –accessrights reviewer

 

これで出来上がり。ここでは、部署名(department)を使いましたが、ほかの属性を使うことも可能です。
Exchangeメールボックスユーザーがどのような属性を持っているかについては、
Get-User | Format-List と実行すれば確認することができます。

-Identtityオプションのところで「kunii@example.com:\」となっているところを見て、これはドライブ文字と同じだな、と思い
「kunii@example.com:\受信トレイ」などと設定しようとしましたが、これは設定できませんでした。