IM and Presence サービス リリース 12.0(1) Microsoft Outlook 予定表統合ガイド

IM and Presence サービス リリース 12.0(1) Microsoft Outlook 予 定表統合ガイド

初版：2017年08月17日 最終更新：2017年12月22日

シスコシステムズ合同会社

〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp

お問い合わせ先：シスコ コンタクトセンター 0120-092-255 （フリーコール、携帯・PHS含む）

電話受付時間：平日 10:00～12:00、13:00～17:00 http://www.cisco.com/jp/go/contactcenter/

【注意】シスコ製品をご使用になる前に、安全上の注意（ www.cisco.com/jp/go/safety_warning/ ） をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更され ている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容 については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販 売パートナー、または、弊社担当者にご確認ください。

©2018 Cisco Systems, Inc. All rights reserved.

目 次

はじめに 1

はじめに 1 対象読者 1 ブック構造 1 表記法 2

マニュアルの入手方法およびテクニカル サポート 3 概要 5

概要 ₅ 展開 5

Exchange Webサービス 5

IM and PresenceサービスでのMicrosoft Outlookの予定表ステータス ₆ 制約事項と制限 7

予定表統合の計画 9

前提条件 ₉

コンフィギュレーションの考慮事項 10

交換WebサービスによるMicrosoft Exchangeサーバとの統合 11

Exchangeサーバの管理役割と権限 ₁₁

Exchangeサーバの統合におけるプレゼンス ゲートウェイの設定 12

交換Webサービスの統合の既知の問題 13 セキュリティの考慮事項 ₁₃

Windowsセキュリティ ポリシーの設定 13

参考情報の入手 13 Microsoft Exchangeの設定 15

予定表統合用のMicrosoft Exchangeの設定 15 Microsoft Exchange 2007設定タスク フロー 15

Windowsのセキュリティ設定の確認 17

Windows Server 2008でのMicrosoft Exchange 2007の設定 19 サーバ レベルでの偽装権限の設定 19

サービス アカウントのActive Directoryサービス拡張権限の設定 20

サービス アカウントおよびユーザ メールボックスへのSend As権限の付与 21 サービス アカウントおよびユーザ メールボックスへの偽装権限の付与 22 Microsoft Exchange 2007アカウントの権限の確認 23

Windows Server 2003を実行するExchange 2007の認証の有効化 24 Microsoft Exchange 2010/2013/2016設定タスク フロー 24

Windowsセキュリティ設定の確認 26

Exchange 2010の特定のユーザまたはグループのExchange偽装権限の設定 26 Exchange 2013または2016の特定のユーザまたはグループのExchange偽装権限の

設定 28

Microsoft Exchange 2010アカウントでの権限の確認 30

Microsoft Exchange 2013または2016アカウントの権限の確認 32

Windows Server 2008を実行するExchange 2010、2013、または2016の認証の有効 化 34

SANおよびワイルドカード証明書のサポート ₃₄ Exchange Server用の証明書の設定タスク フロー 35

Windows Server 2003でのCAのインストール 36 Windows Server 2008でのCAのインストール ₃₇ CSRの作成：Windows Server 2003の実行 38 CSRの作成：Windows Server 2008の実行 40 CAサーバ/認証局へのCSRの提出 ₄₁ 署名付き証明書のダウンロード 42

署名付き証明書のアップロード：Windows 2003の実行 43 署名付き証明書のアップロード：Windows 2008の実行 ₄₅ ルート証明書のダウンロード 46

IM and Presenceサービス ノードへのルート証明書のアップロード 46

Microsoft Office 365の設定 51 目次

IM and PresenceサービスへのMicrosoft証明書のアップロード 52 IM and Presenceサービスの設定 55

IM and Presence予定表統合タスク フロー 55 プレゼンス ゲートウェイの設定 56 Office 365統合用のプル間隔の設定 57

Exchange統合用のサービス パラメータの設定 58

Cisco Presence Engineの再起動 59 LDAP同期ユーザの予定表の有効化 60

機能グループ テンプレートへの予定表統合の追加 60 LDAP同期への機能グループ テンプレートの追加 61 予定表統合の一括有効化 62

ユーザの予定表統合の有効化 62

Exchange予定表統合のトラブルシューティング ₆₅

Exchangeサーバの接続ステータスに関するトラブルシューティング 65

SSL接続と証明書のステータスのトラブルシューティング 66

Microsoft Exchangeの統合に影響することが確認されている問題 ₇₁

予定表の統合に関する規模の上限 72

ユーザがMicrosoft Exchangeサーバ間で移動すると、予定表ステータスが更新されな

い 72

LDAPユーザの削除がIM and Presenceサービスにレプリケートされるまで24時間以 上かかる ₇₂

Microsoft Exchange Server URLにカレンダーの訳語が含まれているかどうかの確 認 73

目次

目次

第

1

はじめに

• はじめに, 1 ページ

• 対象読者, 1 ページ

• ブック構造, 1 ページ

• 表記法, 2 ページ

• マニュアルの入手方法およびテクニカル サポート, 3 ページ

はじめに

Microsoft ExchangeとIM and Presenceサービスの統合により、ユーザはMicrosoft Outlookの予定 表/会議のステータスをIM and Presenceサービスのアベイラビリティ ステータスに組み込むこと ができます。

対象読者

この出版物は、IM and PresenceサービスとのMicrosoft Exchangeの統合を設定および管理する経験 豊富なユーザを対象としています。

ブック構造

このガイドは以下の章で構成されています。

説明 タイトル

章

この章には、このガイドのブック構造、対象読者、

および目的に関する情報が含まれています。

はじめに, （1ページ）

1

説明 タイトル

章

この章では、IM and PresenceサービスのMicrosoft

Outlook予定表統合機能を紹介します。

概要, （5ページ）

2

この章には、予定表統合を計画するための前提条件 に関する情報が含まれています。

予定表統合の計画, （9ペー ジ）

3

この章は、Outlook予定表統合のためにオンプレミス Microsoft Exchange Serverに接続している場合にのみ 参照してください。この章では、統合用のExchange

Serverの設定方法について説明します。

Microsoft Exchangeの設定, （

15ページ）

4

この章は、Outlook予定表統合のためにクラウド ホ

スト型Office 365サーバに接続している場合にのみ

参照してください。この章では、統合用のOffice 365 サーバの設定方法について説明します。

Microsoft Office 365の設定, （

51ページ）

5

この章は、IM and PresenceサービスをOutlook予定表 統合用に設定する場合に参照してください。この章 は、オンプレミスExchange Serverに接続しているの か、クラウド ホスト型Office 365サーバに接続して いるのかに関係なく、使用してください。

IM and Presenceサービスの設 定, （55ページ）

6

この章では、一般的な問題のトラブルシューティン グ タスクと修正プログラムについて説明します。

Exchange予定表統合のトラブ

ルシューティング, （65ペー ジ）

7

表記法

このマニュアルでは、次の表記法を使用しています。

表示 表記法

コマンド、キーワード、およびユーザが入力す るテキストは、boldフォントで記載されます。

boldフォント

ドキュメント名、新規用語または強調する用 語、値を指定するための引数は、italicフォント で記載されます。

イタリック体フォント

はじめに 表記法

「注釈」です。役立つ情報やこのマニュアルに記載されていない参照資料を紹介しています。

（注）

問題の解決に役立つ情報であることを示します。ヒントには、トラブルシューティングや操作 方法ではなく、ワンポイントアドバイスと同様に知っておくと役立つ情報が記述される場合も あります。

ヒント

「要注意」の意味です。機器の損傷またはデータ損失を予防するための注意事項が記述されて います。

注意

マニュアルの入手方法およびテクニカル サポート

マニュアルの入手方法、テクニカルサポート、その他の有用な情報について、次のURLで、毎月 更新される『What's New in Cisco Product Documentation』を参照してください。シスコの新規およ び改訂版の技術マニュアルの一覧も示されています。

http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html

『What's New in Cisco Product Documentation』はRSSフィードとして購読できます。また、リー ダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定するこ ともできます。RSSフィードは無料のサービスです。シスコは現在、RSSバージョン2.0をサポー トしています。

はじめに

マニュアルの入手方法およびテクニカル サポート

はじめに マニュアルの入手方法およびテクニカル サポート

第

2

概要

• 概要, 5 ページ

• 展開, 5 ページ

• IM and PresenceサービスでのMicrosoft Outlookの予定表ステータス, 6 ページ

• 制約事項と制限, 7 ページ

概要

Microsoft Outlook予定表とIM and Presenceサービスの統合では、Microsoft Outlookの予定表/会議 のステータスをIM and Presenceサービス サーバの可用性ステータスに組み込むことができます。

この統合は、IM and PresenceサービスをオンプレミスMicrosoft Exchange Serverまたはホスト型

Office 365サーバに接続することによって実現できます。

展開

Exchange Web サービス

Exchange Webサービス（EWS）では、HTTPを介してMicrosoft Exchangeのメールボックスおよ びコンテンツとのやりとりを行えます。EWSは、Microsoft Outlookを介して利用できるデータと

ほぼ同じデータにアクセスできます。EWSは、クライアント コンピュータからサーバにいくつか の責任を移動します。

図 1：EWS を介したIM and Presence サービスとの Microsoft Exchange 統合

IM and Presence サービスでの Microsoft Outlook の予定表 ステータス

Microsoft ExchangeまたはOffice 365経由のMicrosoft OutlookとIM and Presenceサービスの統合で は、Microsoft Outlookの予定表/会議のステータスをIM and Presenceサービスの可用性ステータス に組み込むことができます。次の表は、到達可能性のマッピングと、IM and Presenceサービスに おいて会議ステータス（Microsoft Outlook予定表に表示される）とIM and Presenceサービスのユー ザのアベイラビリティ ステータスがどのように対応付けられるかを示しています。

表 1：予定表ステータスに基づく集約されたアベイラビリティ ステータス

IM and Presenceサービスのステータス Microsoft Outlookのステータス

応対可 空き時間/仮の予定

会議中 ビジー

退席中 勤務時間外¹

退席中 退席中²

概要 IM and Presence サービスでの Microsoft Outlook の予定表ステータス

制約事項と制限

次に示すのは、IM and PresenceサービスとMicrosoft Exchangeの統合に関する制限事項です。

• 1台以上のEWSサーバを追加、更新、または削除できます（上限はありません）。ただし、

[プレゼンス ゲートウェイ（Presence Gateway）]ウィンドウの[トラブルシュータ

（Troubleshooter）] は、設定した最初の10台までのEWSサーバのステータスのみを検証

し、レポートするよう作られています。

• IM and Presenceサービスの本リリースでは、Exchangeの自動検出サービスに対応していませ

ん。自動検出サービスでは、ロードバランシング機構がすでにクライアント アクセス サー バ（CAS）またはサーバに配置されていることが前提となっています。

• Exchange ServerとOffice 365サーバの両方をプレゼンス ゲートウェイとして設定することは

できません。IM and Presenceサービス展開と両方のタイプのMicrosoft展開を統合する場合 は、Exchange Serverをプレゼンス ゲートウェイとして設定し、Microsoft展開からMicrosoft ExchangeとOffice 365間の統合を設定する必要があります。

概要

制約事項と制限

概要 制約事項と制限

第

3

予定表統合の計画

• 前提条件, 9 ページ

• コンフィギュレーションの考慮事項, 10 ページ

• セキュリティの考慮事項, 13 ページ

• 参考情報の入手, 13 ページ

前提条件

Microsoft Outlook予定表とIM and Presenceサービスの統合を設定する前に、次の互換性マトリク スを参照し、統合に必要なコンポーネントのインストールおよび設定が完了していることを確認 してください。

表 2：互換性マトリクス

互換性のあるバージョン コンポーネント

• Windows Server 2003（SP2）サービス パック

• Windows Server 2008（SP2）サービス パック

• Windows Server 2012（Standard）サービス パック Windows Server

標準展開では、Cisco Unified Communications ManagerとIM

and Presenceサービスのリリース バージョンが一致する必要

があります。

リリース11.5(1)SU4以降では、IM and Presence集中展開機能 により、テレフォニー クラスタとは異なるバージョンを使用 して、IM and Presenceクラスタを展開できます。

Cisco Unified Communications Manager

互換性のあるバージョン コンポーネント

標準展開では、Cisco Unified Communications ManagerとIM

and Presenceサービスのリリース バージョンが一致する必要

があります。

リリース11.5(1)SU4以降では、IM and Presence集中展開機能 により、テレフォニー クラスタとは異なるバージョンを使用 して、IM and Presenceクラスタを展開できます。

IM and Presence Service

Microsoft Exchange 2007（SP1）サービス パック Microsoft Exchange Server 2007

Microsoft Exchange 2010（SP1）サービス パック Microsoft Exchange Server 2010

Microsoft Exchange 2013（SP1）サービス パック Microsoft Exchange Server 2013

Microsoft Exchange 2016 Microsoft Exchange Server 2016

ホスト型Office 365サーバの展開に関する詳細については、

Microsoftのマニュアルを参照してください。

Microsoft Office 365

• Active Directory 2003とWindows Server 2003（SP2）

• Active Directory 2008とWindows Server 2008（SP2）

• Active Directory 2012とWindows Server 2012

Active Directory内のユーザ名は、Cisco Unified Communications Managerに定義されたユーザ名と一 致している必要があります。

（注）

Active Directory

証明書を作成するためには、これらのいずれかが必要。

Microsoft ExchangeとIM and Presenceサービスの統 合では、RSA 1024または2048ビット キーとSHA1

およびSHA256署名アルゴリズムを使用した証明書

をサポートします。

サードパーティの証明書または証 （注）

明書サーバ

Exchange Server 2007、2010、2013、および2016は、Exchange Webサービス（EWS）をサポート します。

コンフィギュレーションの考慮事項

本書には、オンプレミスMicrosoft Exchange展開またはホスト型Office 365展開におけるIM and

予定表統合の計画 コンフィギュレーションの考慮事項

表 3：Microsoft 展開用の設定タスク

次の設定の章を完了します。

Microsoft 展開

•Microsoft Exchangeの設定, （15ページ）

•IM and Presenceサービスの設定, （55ペー ジ）

Microsoft Exchange (2007、2010、2013、2016)

•Microsoft Office 365の設定, （51ページ）

•IM and Presenceサービスの設定, （55ペー ジ）

Microsoft Office 365

交換 Web サービスによる Microsoft Exchange サーバとの統合

Microsoft Exchangeサーバ2007では、Exchange Webサービス（EWS）が導入され、Simple Object

Access Protocol（SOAP）に似たインターフェイスを使用してExchangeサーバに予定表を統合でき

ます。

Cisco Unified CM IM and Presence Service Administrationユーザ インターフェイスでExchange統 合用にEWSプレゼンス ゲートウェイを設定する場合は、次の点に注意してください。

• 1台以上のEWSサーバを追加、更新、または削除できます（上限はありません）。ただし、

[プレゼンス ゲートウェイ設定（Presence Gateway Configuration）]ウィンドウの[トラブル シュータ（Troubleshooter）]は、設定した最初の10台までのEWSサーバのステータスのみ を検証し、レポートするように作成されています。

• EWSサーバ ゲートウェイは、最初のEWSサーバ ゲートウェイに対して設定したクレデン

シャル（アカウント名とパスワード）を共有します。1つのEWSサーバ ゲートウェイのク レデンシャルを変更すると、設定されたすべてのEWSゲートウェイのクレデンシャルもそ れに準じて変更されます。

• 1つ以上のEWSサーバを追加、更新、または削除した後に設定の変更を反映するには、Cisco

Presence Engineを再起動する必要があります。複数のEWSサーバを連続して追加した場合

は、すべての変更を同時に反映するようCisco Presence Engineを一度だけ再起動することが できます。

Exchange サーバの管理役割と権限

Exchange Webサービス（EWS）では、すべてのユーザの予定表情報へのアクセスを有効にするた

めに特別なアカウントが必要になります。このアカウントは偽装アカウントと呼ばれます。

予定表統合の計画

交換 Web サービスによる Microsoft Exchange サーバとの統合

Microsoft Exchange Server 2007

呼び出し元がExchange Server 2007で別のユーザの電子メール アカウントにアクセスするには、

EWSの統合には偽装権限を持つアカウントが必要となります。呼び出し元は、呼び出し元のアカ ウントと関連付けられた権限ではなく、偽装したアカウントに関連付けられた権限を使用し、指 定したユーザ アカウントを偽装します。

偽装アカウントは、Exchange 2007を実行するクライアント アクセス サーバ（CAS）上で ms-Exch-EPI-Impersonation権限が付与される必要があります。これで、CASを使用してユーザ の電子メール アカウントを偽装する権限が呼び出し元に与えられます。さらに、呼び出し元は、

メールボックス データベースとディレクトリ内の個々のユーザ オブジェクトのいずれかで ms-Exch-EPI-MayImpersonate権限も付与される必要があります。

個々のユーザのアクセス コントロール リスト（ACL）がメールボックス データベース設定に優 先するため、呼び出し元にデータベース内のすべてのメールボックスへのアクセスを許可し、必 要に応じて同じデータベース内の特定のメールボックスへのアクセスを拒否できます。

Microsoft Exchange Server 2010 および 2013

Microsoft Exchange Server 2010および2013は、ロールベース アクセス コントロール（RBAC）を 使用して偽装アカウントに権限を付与し、ユーザに組織での職務に関連するタスクの実行を許可 します。RBAC権限を適用するには主に2つの方法があり、ユーザが管理者またはスーパー ユー ザであるかエンドユーザであるかによって使い分けます。

•管理役割グループ：Exchangeのセットアップ プロセス中に11のデフォルト管理役割グルー プが提示されます。各グループには、その役割に固有の権限が関連付けられています。組み 込まれている役割グループの例として、「受信者の管理」と「ヘルプ デスク」があります。

一般に、特定のタスクを実行する必要があるスーパー ユーザには適切な管理役割グループが 割り当てられ、それに関連付けられた権限を継承します。たとえば、Exchange組織内の任意 のユーザの連絡先情報を修正する必要のある製品サポート担当者は、「ヘルプ デスク」管理 役割グループのメンバーとして割り当てられます。

•管理役割割り当てポリシー：管理者またはスーパー ユーザではない一般ユーザの場合、管理 役割割り当てポリシーは、ユーザが修正できるメールボックスの種類を制御します。

New-ManagementRoleAssignmentコマンドレットを使用してユーザにApplicationImpersonation 役割を割り当てると、アカウントが組織内のユーザを偽装し、そのユーザの代わりにタスク を実行できます。役割の割り当て範囲は、New-ManagementScopeコマンドレットを使用し て個別に管理され、特定の受信者やサーバを対象として絞り込むことができます。

RBACでは、Exchange Server 2007で求められるようにACLを修正および管理する必要はあり

ません。

（注）

Exchange サーバの統合におけるプレゼンス ゲートウェイの設定

予定表統合の計画 交換 Web サービスによる Microsoft Exchange サーバとの統合

また、次のラウンド ロビン方式を使用することで、遭遇するトラフィック負荷をサポートしま す。

•最初にユーザの予定表購読を有効にしたときには、そのユーザには管理者によって設定され た対象CASホストのプールからCASが割り当てられます。

•ユーザへの割り当ては、そのユーザの予定表購読が失敗するまで保持されます。

•ユーザの予定表購読が失敗した場合は、対象CASホストのプールからCASがユーザに再度 割り当てられます。

交換 Web サービスの統合の既知の問題

• Exchange Webサービス（EWS）の統合に影響することが確認されている問題については、こ

のガイドの「Exchange予定表統合のトラブルシューティング, （65ページ）」の章を参照し てください。

•Microsoft Exchangeの統合に影響することが確認されている問題, （71ページ）を参照して

ください。

セキュリティの考慮事項

Windows セキュリティ ポリシーの設定

Microsoft ExchangeとのIM and Presenceサービスの統合では、Windows統合認証（NTLM）などの さまざまな認証方式がサポートされます。

IM and Presenceサービスは、NTLMv1およびNTLMv2の2つのWindows統合認証をサポートし、

デフォルトでNTLMv2を使用します。

[Lan Manager認証レベル（Lan Manager authentication level）]を[NTLMv2応答のみを送信（Send NTLMv2 response only）]を送信します。Windowsドメイン コントローラの[LMおよびNTLMを 拒否（Refuse LM & NTLM）]は、ドメインでNTLMv2認証を強制します。

IM and Presenceサービスは、NTLMv2セッション セキュリティをサポートしません。メッセー

ジの機密性と整合性は、セキュアなhtttp（https）によって提供されます。

（注）

参考情報の入手

Cisco Unified Communications ManagerおよびIM and Presence サービスのマニュアル http://www.cisco.com/en/US/products/sw/voicesw/ps556/tsd_products_support_series_home.html

予定表統合の計画

セキュリティの考慮事項

Microsoft Exchange 2007 のマニュアル

http://technet.microsoft.com/en-us/library/bb124558(EXCHG.80).aspx

Microsoft Exchange 2010 のマニュアル

http://technet.microsoft.com/en-us/library/bb124558.aspx

Microsoft Exchange 2013 のマニュアル

http://technet.microsoft.com/en-us/library/bb124558%28exchg.150%29.aspx

Microsoft Active Directory 2008 のマニュアル

http://www.microsoft.com/windowsserver2008/en/us/ad-main.aspx

予定表統合の計画 参考情報の入手

第

4

Microsoft Exchange の設定

• 予定表統合用のMicrosoft Exchangeの設定, 15 ページ

• Microsoft Exchange 2007設定タスク フロー, 15 ページ

• Microsoft Exchange 2010/2013/2016設定タスク フロー, 24 ページ

• SANおよびワイルドカード証明書のサポート, 34 ページ

• Exchange Server用の証明書の設定タスク フロー, 35 ページ

予定表統合用の Microsoft Exchange の設定

オンプレミスMicrosoft Exchange Serverを展開する場合は、この章の手順を実行して、Microsoft ExchangeをIM and PresenceサービスとMicrosoft Outlook間の予定表統合用に設定します。IM and

Presenceサービスは、次のMicrosoft展開タイプのそれぞれと統合できます。

表 4：IM and Presence サービスとの予定表統合用の Microsoft Exchange の設定 Microsoft の設定 Microsoft Exchange の展開

Microsoft Exchange 2007設定タスク フロー, （

15ページ）

Microsoft Exchange 2007

Microsoft Exchange 2010/2013/2016設定タスク フロー, （24ページ）

Microsoft Exchange 2010、2013、または2016

Microsoft Exchange 2007 設定タスク フロー

IM and PresenceサービスとのOutlook予定表統合用にMicrosoft Exchange 2007展開を設定するに は、次のタスクを実行します。

手順

目的 コマンドまたはアクション

NTLM要件などのWindowsセキュリティ設 定を確認します。

Windowsのセキュリティ設定の確認,

（17ページ）

ステップ 1

Exchange偽装を機能させるには、

すべてのMicrosoft Exchange Server をWindows Authorization Access

Groupのメンバーにする必要があ

ります。

サービス アカウントは、Exchange 管理グループのメンバであっては なりません。Exchangeは、これら のグループのすべてのアカウント の偽装を明示的に拒否します。

ユーザにローカルでサインインする権 （注）

限を付与するようにExchange Serverを 設定します。

ステップ 2

•Windows Server 2003での Microsoft Exchange 2007の設定,

（18ページ）

•Windows Server 2008での Microsoft Exchange 2007の設定,

（19ページ）

権限は、サーバ、データベース、ユーザ、

および連絡先のレベルで付与します。

サーバ レベルでの偽装権限の設定,（

19ページ）

ステップ 3

偽装を実行するサービス アカウント用の権 限は、クライアント アクセス サーバ

（CAS）上で設定する必要があります。

サービス アカウントのActive Directory サービス拡張権限の設定, （20ペー ジ）

ステップ 4

サービス アカウントとユーザ メールボック

スにSend As権限を付与します。

サービスアカウントおよびユーザメー ルボックスへのSend As権限の付与,

（21ページ）

ステップ 5

サービス アカウントとユーザ メールボック スに偽装権限を付与します。

サービスアカウントおよびユーザメー ルボックスへの偽装権限の付与, （22 ページ）

ステップ 6

権限がメールボックス レベルに伝播するこ とと、指定されたユーザがメールボックス Microsoft Exchange 2007アカウントの

権限の確認, （23ページ）

ステップ 7

にアクセスして、他のユーザのアカウント を偽装できることを確認します。

Exchange Serverで認証を有効にします。

Windows Server 2003を実行する Exchange 2007の認証の有効化, （24 ページ）

ステップ 8

Microsoft Exchange展開用の証明書を設定す るには、このタスク フローを実行します。

Exchange Server用の証明書の設定タス ク フロー, （35ページ）

ステップ 9

Microsoft Exchange の設定 Microsoft Exchange 2007 設定タスク フロー

Windows のセキュリティ設定の確認

手順

ステップ 1 Exchangeを実行しているWindowsドメイン コントローラおよびサーバで、[スタート（Start）] >

[管理ツール（Administrative Tools）] > [ローカル セキュリティ ポリシー（Local Security Policy）]

を選択します。

ステップ 2 [セキュリティ設定（Security Settings）] > [ローカル ポリシー（Local Policies）] > [セキュリティ オプション（Security Options）]に移動します。

ステップ 3 [ネットワーク セキュリティ：NTLM SSPベース（セキュアRPCなど）サーバのための最低限の セッション セキュリティ（Network Security: Minimum session security for NTLM SSP based (including secure RPC) servers）]を選択します。

ステップ 4 [NTLMv2セッション セキュリティが必要（Require NTLMv2 session security）]チェックボックス がオフになっていることを確認します。

ステップ 5 [NTLMv2セッション セキュリティが必要（Require NTLMv2 session security）]チェックボックス がオンになっている場合は、次の手順を完了します。

a) [NTLMv2セッション セキュリティが必要（Require NTLMv2 session security）]チェックボック スをオフにします。

b) [OK]をクリックします。

ステップ 6 新しいセキュリティ設定を適用するには、Exchangeを実行しているWindowsドメイン コントロー ラとサーバをリブートします。

セキュリティ ポリシー設定が変更されたサーバ以外にリブートは必要ありませ ん。

（注）

Microsoft Exchange の設定

Windows のセキュリティ設定の確認

Windows Server 2003 での Microsoft Exchange 2007 の設定

手順

ステップ 1 Exchange View Only Administratorロールを委任されたサービス アカウントを使用して[Exchange

サーバ2007（Exchangeサーバ2007）]ユーザ インターフェイスにログインします。

ステップ 2 左ペインの[Security Settings]下で、[Local Policies] > [User Rights Assignments]に移動します。

ステップ 3 コンソールの右側のペインで、[ローカル ログオンを許可する（Allow Log On Locally）]をダブル クリックします。

ステップ 4 [ユーザまたはグループを追加する（Add User or Group）]を選択し、作成済みのサービス アカウ ントに移動して選択します。

ステップ 5 [名前の確認（Check Names）]を選択し、指定されたユーザが正しいことを確認します。

ステップ 6 [OK]をクリックします。

次の作業

サーバ レベルでの偽装権限の設定, （19ページ）

Microsoft Exchange の設定 Windows Server 2003 での Microsoft Exchange 2007 の設定

Windows Server 2008 での Microsoft Exchange 2007 の設定

手順

ステップ 1 Exchange View Only Administratorロールを委任されたサービス アカウントを使用してExchange サーバ2007にログインします。

ステップ 2 [スタート（Start）]を選択します。

ステップ 3 gpmc.mscと入力します。

ステップ 4 [Enter]を選択します。

ステップ 5 Exchangeサーバで[ドメイン コントローラ セキュリティの設定（Domain Controller Security Settings）] ウィンドウを開きます。

ステップ 6 左ペインの[セキュリティ設定（Security Settings）]下で、[ローカル ポリシー（Local Policies）] >

[ユーザ権限の割り当て（User Rights Assignments）]に移動します。

ステップ 7 コンソールの右側のペインで、[ローカル ログオンを許可する（Allow Log On Locally）]をダブル クリックします。

ステップ 8 [これらのポリシーの設定を定義する（Define these policy settings）]チェックボックスがオンになっ ていることを確認します。

ステップ 9 [ユーザまたはグループの追加（Add User or Group）]を選択し、作成済みのサービス アカウント に移動して選択します。次に、[OK]をクリックします。

ステップ 10 [名前の確認（Check Names）]を選択し、指定されたユーザが正しいことを確認します。次に、

[OK]をクリックします。

ステップ 11 [ローカル ログオンを許可する（Allow Log On Locally）]プロパティのダイアログ ボックスで[適 用（Apply）]と[OK]をクリックします。

ステップ 12 ユーザSMTPアドレスがalias@FQDNであることを確認します。そうでない場合は、ユーザ プリ ンシパル名（UPN）を使用して偽装する必要があります。これはalias@FQDNと定義されます。

次の作業

サーバ レベルでの偽装権限の設定, （19ページ）

サーバ レベルでの偽装権限の設定

次の手順のコマンドは、サーバ レベルで偽装権限を許可することができます。また、データベー ス、ユーザ、および連絡先レベルでも権限を付与することもできます。

はじめる前に

•個々のMicrosoft Exchangeサーバにアクセスするサービス アカウントの権限のみを付与する

場合は、

Get-OrganizationConfig Microsoft Exchange の設定

Windows Server 2008 での Microsoft Exchange 2007 の設定

の文字列を下記に置き換えます。

Get-ExchangeServer -Identity ServerName

ServerNameはExchangeサーバの名前です。

例

Add-ADPermission -Identity (Get-ExchangeServer -Identity

exchangeserver1).DistinguishedName -User (Get-User -Identity user | select-object).identity -ExtendedRights Send-As

•ユーザのSMTPアドレスがalias@FQDNとして定義されていることを確認します。そうでな い場合は、ユーザ プリンシパル名（UPN）を使用してユーザ アカウントを偽装する必要が あります。

手順

ステップ 1 コマンド ライン入力を行うためにExchange管理シェル（EMS）を開きます。

ステップ 2 このAdd-ADPermissionコマンドを実行し、サーバに偽装権限を追加します。

構文

Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity User | select-object).identity -AccessRights GenericAll -InheritanceType Descendents

例

Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity Ex2007 | select-object).identity -AccessRights GenericAll -InheritanceType Descendents

次の作業

サービス アカウントのActive Directoryサービス拡張権限の設定, （20ページ）

サービス アカウントの Active Directory サービス拡張権限の設定

はじめる前に

これらの権限は、クライアント アクセス サーバ（CAS）上で、偽装を実行するサービス アカウン トに対して設定する必要があります。

• CASがロードバランサの背後に配置されている場合は、ロードバランサの背後にあるすべて

のCASのMicrosoft Exchange 2007アカウントに対してms-Exch-EPI-Impersonation権限を付 与します。

Microsoft Exchange の設定 サービス アカウントの Active Directory サービス拡張権限の設定

•この権限は、[Active Directoryサイトとサービス（Active Directory Sites and Services）]または [Active Directoryユーザとコンピュータ（Active Directory Users and Computers）]ユーザ イン ターフェイスを使用して設定することもできます。

手順

ステップ 1 Exchange管理シェル（EMS）を開きます。

ステップ 2 EMSで次のAdd-ADPermissionコマンドを実行して、指定したサービス アカウント（Exchange 2007 など）のサーバに対する偽装権限を追加します。

構文

Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity User | select-object).identity -ExtendedRight ms-Exch-EPI-Impersonation

例

Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity Ex2007 | select-object).identity -ExtendedRight ms-Exch-EPI-Impersonation

ステップ 3 EMSで次のAdd-ADPermissionコマンドを実行して、サービス アカウントに偽装する各メールボッ クスへの偽装権限を追加します。

構文

Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity User | select-object).identity -ExtendedRight ms-Exch-EPI-May-Impersonate

例

Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity Ex2007 | select-object).identity -ExtendedRight ms-Exch-EPI-May-Impersonate

次の作業

サービス アカウントおよびユーザ メールボックスへのSend As権限の付与, （21ページ）

サービス アカウントおよびユーザ メールボックスへの Send As 権限の 付与

サービス アカウントおよびユーザ メールボックスにSend As権限を付与するには、次の手順に 従ってください。

この手順を実行するために、Microsoft Exchange管理コンソール（EMC）を使用することはで きません。

（注）

Microsoft Exchange の設定

サービス アカウントおよびユーザ メールボックスへの Send As 権限の付与

手順

ステップ 1 Exchange管理シェル（EMS）を開きます。

ステップ 2 EMSで次のAdd-ADPermissionコマンドを実行して、サービス アカウントおよび関連するすべて のユーザ メールボックス ストアにSend As権限を付与します。

構文

Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity User | select-object).identity -ExtendedRights Send-As

例

Add-ADPermission -Identity (Get-OrganizationConfig).DistinguishedName -User (Get-User -Identity Ex2007 | select-object).identity -ExtendedRights Send-As

次の作業

サービス アカウントおよびユーザ メールボックスへの偽装権限の付与, （22ページ）

サービス アカウントおよびユーザ メールボックスへの偽装権限の付 与

サービスアカウントおよびユーザメールボックスに偽装権限を付与するには、次の手順に従って ください。

この手順を実行するために、Microsoft Exchange管理コンソール（EMC）を使用することはで きません。

（注）

手順

ステップ 1 Exchange管理シェル（EMS）を開きます。

ステップ 2 サービスアカウントの偽装権限に関連付けられているすべてのメールボックスストアを許可する EMSで次のAdd-ADPermissionコマンドを実行してください。

構文

Add-ADPermission -Identity (Get-OrganizationConfig) .DistinguishedName -User (Get-User -Identity User | select-object) .identity -ExtendedRights Receive-As

例

Add-ADPermission -Identity (Get-OrganizationConfig) .DistinguishedName -User (Get-User Microsoft Exchange の設定 サービス アカウントおよびユーザ メールボックスへの偽装権限の付与

IM and Presenceサービスでは、Exchangeサーバへの接続時にそのアカウントへログイン するのに必要なのはアカウントに対する偽装権限のみです。このアカウントは、通常、

メールを受信しないため、領域の割り当てについて考慮する必要はありません。

（注）

次の作業

Microsoft Exchange 2007アカウントの権限の確認, （23ページ）

Microsoft Exchange 2007 アカウントの権限の確認

Exchange 2007アカウントに権限を割り当てた後は、その権限がメールボックスのレベルまで伝播

し、選択されたユーザがメールボックスにアクセスしたり別のユーザのアカウントを偽装したり することが可能なことを確認する必要があります。Exchange 2007では、権限がメールボックスに 伝播されるまでに時間を要します。

手順

ステップ 1 Exchange Server 2007のExchange管理コンソール（EMC）で、コンソール ツリーの[Active Directory サイトとサービス（Active Directory Sites and Services）]を右クリックします。

ステップ 2 [表示（View）]をポイントし、[サービス ノードの表示（Show Services Node）]を選択します。

ステップ 3 サービス ノード（Services/MS Exchange/First Organization/Admin Group/Exchange Admin Group/Serversなど）を展開します。

ステップ 4 クライアント アクセス サーバ（CAS）が、選択したサービス ノードに表示されていることを確認 します。

ステップ 5 各CASサーバの[プロパティ（Properties）]“ ”を表示し、[セキュリティ（Security）]タブで以下 を確認します。

a) サービス アカウントがリストされている。

b) サービス アカウントに付与されている権限が（オンになっているチェックボックスにより）ア カウントにExchange Webサービスの偽装権限が付与されていることを示している。

アカウントまたは偽装権限が手順5のとおりに表示されない場合は、サービス アカウ ントを再度作成し、必要な偽装権限をアカウントに付与する必要があります。

（注）

ステップ 6 サービス アカウント（Ex2007など）にストレージ グループおよびメールボックス ストアに対す

るAllow impersonationpermissionが付与され、個人情報の交換や別のユーザ アカウントでの送受信

が可能であることを確認します。

ステップ 7 変更を有効にするために、Exchangeサーバの再起動が必要となる場合があります。これはテスト によって確認されています。

次の作業

Windows Server 2003を実行するExchange 2007の認証の有効化, （24ページ）

Microsoft Exchange の設定

Microsoft Exchange 2007 アカウントの権限の確認

Windows Server 2003 を実行する Exchange 2007 の認証の有効化

手順

ステップ 1 [管理ツール（Administrative Tools）]から[インターネット情報サービス（Internet Information

Services）]を開き、サーバを選択します。

ステップ 2 [Webサイト（Web Sites）]を選択します。

ステップ 3 [デフォルトWebサイト（Default Web Site）]を選択します。

ステップ 4 [EWS]ディレクトリ フォルダを右クリックし、[プロパティ（Properties）]を選択します。

ステップ 5 [ディレクトリ セキュリティ（Directory Security）]タブを選択します。

ステップ 6 [認証およびアクセス コントロール（Authentication and access control）]で、[編集（Edit）]をク リックします。

ステップ 7 [認証方法（Authentication Methods）]で、次のチェックボックスがオフになっていることを確認し ます。

• [匿名アクセスを有効化（Enable anonymous access）]

ステップ 8 [認証方法：認証付きアクセス（Authentication Methods Authenticated Access）]で、次のチェック ボックスの両方がオンになっていることを確認します。

• Integrated Windows Authentication

• Basic Authentication (password is sent in clear text) ステップ 9 [OK]をクリックします。

次の作業

Exchange Server用の証明書の設定タスク フロー, （35ページ）

Microsoft Exchange 2010/2013/2016 設定タスク フロー

IM and PresenceサービスとのOutlook予定表統合用にMicrosoft Exchange 2010、2013、または2016 展開を設定するには、次のタスクを実行します。

Microsoft Exchange の設定 Windows Server 2003 を実行する Exchange 2007 の認証の有効化

手順

目的 コマンドまたはアクション

Windows統合認証（NTLM）用の

Windowsセキュリティ設定を確認しま

す。

Windowsセキュリティ設定の確認, （26 ページ）

ステップ 1

特定のユーザまたはユーザ グループ用

のExchange偽装権限を設定します。

お使いのリリース用のExchange権限を設定 します。

ステップ 2

•Exchange 2010の特定のユーザまたは グループのExchange偽装権限の設定,

（26ページ）

•Exchange 2013または2016の特定の ユーザまたはグループのExchange偽 装権限の設定, （28ページ）

権限がメールボックス レベルに伝播す ることと、指定されたユーザがメール お使いのリリース用の権限を確認します。

ステップ 3

•Microsoft Exchange 2010アカウントで

の権限の確認, （30ページ） ボックスにアクセスして、他のユーザ のアカウントを偽装できることを確認

•Microsoft Exchange 2013または2016ア します。

カウントの権限の確認,（32ページ）

基本認証とWindows統合認証のどちら かまたはその両方をExchange Serverの Windows Server 2008を実行するExchange

2010、2013、または2016の認証の有効化,

（34ページ）

ステップ 4

EWS仮想ディレクトリ（/EWS）で有効 にする必要があります。

Microsoft Exchange展開用の証明書を設 定するには、このタスク フローを実行 します。

Exchange Server用の証明書の設定タスク フ ロー, （35ページ）

ステップ 5

Microsoft Exchange の設定

Microsoft Exchange 2010/2013/2016 設定タスク フロー

Windows セキュリティ設定の確認

手順

ステップ 1 Exchangeを実行しているWindowsドメイン コントローラおよびサーバで、[スタート（Start）] >

[管理ツール（Administrative Tools）] > [ローカル セキュリティ ポリシー（Local Security Policy）]

を選択します。

ステップ 2 [セキュリティ設定（Security Settings）] > [ローカル ポリシー（Local Policies）] > [セキュリティ オプション（Security Options）]に移動します。

ステップ 3 [ネットワーク セキュリティ：NTLM SSPベース（セキュアRPCなど）サーバのための最低限の セッション セキュリティ（Network Security: Minimum session security for NTLM SSP based (including secure RPC) servers）]を選択します。

ステップ 4 [NTLMv2セッション セキュリティが必要（Require NTLMv2 session security）]チェックボックス がオフになっていることを確認します。

ステップ 5 [NTLMv2セッション セキュリティが必要（Require NTLMv2 session security）]チェックボックス がオンになっている場合は、次の手順を完了します。

a) [NTLMv2セッション セキュリティが必要（Require NTLMv2 session security）]チェックボック スをオフにします。

b) [OK]をクリックします。

ステップ 6 新しいセキュリティ設定を適用するには、Exchangeを実行しているWindowsドメイン コントロー ラとサーバをリブートします。

セキュリティ ポリシー設定が変更されたサーバ以外にリブートは必要ありませ ん。

（注）

Exchange 2010 の特定のユーザまたはグループの Exchange 偽装権限の 設定

特定のユーザまたはユーザ グループにExchangeの偽装権限を設定するには、Microsoft Exchange 管理シェル（EMS）を使用して次の手順を実行します。

これらは、Exchangeサーバ2010向けのコマンドと設定です。Exchange Server 2013を使用してい る場合は、Exchange 2013または2016の特定のユーザまたはグループのExchange偽装権限の設定 , （28ページ）のステップに従います。

Microsoft Exchange の設定 Windows セキュリティ設定の確認

手順

ステップ 1 Active Directoryでアカウントを作成します。

ステップ 2 コマンド ライン入力を行うためにEMSを開きます。

ステップ 3 EMSでNew-ManagementRoleAssignmentコマンドを実行し、他のユーザ アカウントを偽装する権 限を指定する既存のドメイン サービス アカウント（Ex2010など）に付与します。

構文

New-ManagementRoleAssignment -Name:_suImpersonateRoleAsg -Role:ApplicationImpersonation -User:user@domain

例

New-ManagementRoleAssignment -Name:_suImpersonateRoleAsg -Role:ApplicationImpersonation -User:[email protected]

ステップ 4 このNew-ManagementRoleAssignmentコマンドを実行し、偽装権限が適用される範囲を定義しま す。この例では、指定されたExchangeサーバのすべてのアカウントを偽装する権限が、Ex2010 アカウントに付与されます。

構文

New-ManagementScope -Name:_suImpersonateScope -ServerList:server_name

例

New-ManagementScope -Name:_suImpersonateScope -ServerList:nw066b-227

ステップ 5 New-ThrottlingPolicyコマンドを実行し、下の表の推奨値を使用して新しいスロットリング ポリ シーを作成します。

構文

New-ThrottlingPolicy -Name:Policy_Name -EwsMaxConcurrency:100 -EwsPercentTimeInAD:50 -EwsPercentTimeInCAS:90 -EwsPercentTimeInMailboxRPC:60 -EwsMaxSubscriptions:NULL -EwsFastSearchTimeoutInSeconds:60 -EwsFindCountLimit:1000

例

New-ThrottlingPolicy -Name:IM_and_Presence_ThrottlingPolicy -EwsMaxConcurrency:100 -EwsPercentTimeInAD:50 -EwsPercentTimeInCAS:90 -EwsPercentTimeInMailboxRPC:60 -EwsMaxSubscriptions:NULL -EwsFastSearchTimeoutInSeconds:60 -EwsFindCountLimit:1000

表 5：Exchange サーバ 2010 で推奨されるスロットル ポリシーの設定 推奨設定値：Exchange サーバ 2010 パラメータ

60 EWSFastSearchTimeoutInSeconds

1000 EWSFindCountLimit

100¹ EWSMaxConcurrency

Microsoft Exchange の設定

Exchange 2010 の特定のユーザまたはグループの Exchange 偽装権限の設定

推奨設定値：Exchange サーバ 2010 パラメータ

Null EWSMaxSubscriptions

50 EWSPercentTimeInAD

90 EWSPercentTimeInCAS

60 EWSPercentTimeInMailboxRPC

1シスコの試験時には、予定表を使用するユーザ50%に対応するにはデフォルトのスロットル ポリシー値で十分でした。Client

Access Server（CAS）へのEWSリクエストの負荷が高い場合は、パラメータを100に増やすことを推奨します。

注：サポートされるExchange SP1でのみ使用可能です。

ステップ 6 Set-ThrottlingPolicyAssociationコマンドを実行し、新しいスロットリング ポリシーと手順2で使用 されたサービス アカウントを関連付けます。

構文

Set-ThrottlingPolicyAssociation -Identity Username -ThrottlingPolicy Policy_Name

例

Set-ThrottlingPolicyAssociation -Identity Ex2010 -ThrottlingPolicy IM_and_Presence_ThrottlingPolicy

次の作業

Microsoft Exchange 2010アカウントでの権限の確認, （30ページ）

関連トピック

Exchangeサーバ2010 Exchangeサーバ2013

Exchange 2013 または 2016 の特定のユーザまたはグループの Exchange 偽装権限の設定

特定のユーザまたはユーザ グループにExchangeの偽装権限を設定するには、Microsoft Exchange 管理シェル（EMS）を使用して次の手順を実行します。

Exchange Server 2013または2016のコマンドと設定を以下に示します。Exchange Server 2010を使 用している場合は、Exchange 2010の特定のユーザまたはグループのExchange偽装権限の設定,（

Microsoft Exchange の設定

Exchange 2013または 2016の特定のユーザまたはグループの Exchange 偽装権限の設定

手順

ステップ 1 Active Directoryでアカウントを作成します。

ステップ 2 コマンド ライン入力を行うためにEMSを開きます。

ステップ 3 EMSでNew-ManagementRoleAssignmentコマンドを実行し、指定された既存のドメイン サービス アカウント（Ex2013など）に他のユーザ アカウントを偽装する権限を付与します。

構文

New-ManagementRoleAssignment -Name:_suImpersonateRoleAsg -Role:ApplicationImpersonation -User:user@domain

例

New-ManagementRoleAssignment -Name:_suImpersonateRoleAsg -Role:ApplicationImpersonation -User:[email protected]

ステップ 4 このNew-ManagementRoleAssignmentコマンドを実行し、偽装権限が適用される範囲を定義しま す。この例では、指定されたExchange Serverのすべてのアカウントを偽装する権限が、Ex2013ア カウントに付与されます。

構文

New-ManagementScope -Name:_suImpersonateScope -ServerList:server_name

例

New-ManagementScope -Name:_suImpersonateScope -ServerList:nw066b-227

ステップ 5 New-ThrottlingPolicyコマンドを実行し、下の表で定義された推奨値を使用して新しいスロットリ ング ポリシーを作成します。

構文

New-ThrottlingPolicy -Name:Policy_Name -EwsMaxConcurrency:100 -EwsMaxSubscriptions:NULL -EwsCutoffBalance 3000000 -EwsMaxBurst 300000 –EwsRechargeRate 900000

例

New-ThrottlingPolicy –Name IMP_ThrottlingPolicy -EwsMaxConcurrency 100 -EwsMaxSubscriptions unlimited –EwsCutoffBalance 3000000 -EwsMaxBurst 300000 –EwsRechargeRate 900000

表 6：Exchange Server 2013または 2016で推奨されているスロットル ポリシー設定 推奨設定値：Exchange Server 2013および 2016 パラメータ¹

3000000 EwsCutoffBalance

300000 EwsMaxBurst

EwsMaxConcurrency 100

無制限（Unlimited）

EwsMaxSubscriptions

900000 EwsRechargeRate

Microsoft Exchange の設定

Exchange 2013または 2016の特定のユーザまたはグループの Exchange 偽装権限の設定

推奨設定値：Exchange Server 2013および 2016 パラメータ¹

1これらは、Exchangeサーバ2013で変更できる唯一のEWSパラメータです。

注：サポートされるExchange SP1でのみ使用可能です。

ステップ 6 Set-ThrottlingPolicyAssociationコマンドを実行し、新しいスロットリング ポリシーと手順2で使用 されたサービス アカウントを関連付けます。

構文

Set-ThrottlingPolicyAssociation -Identity Username -ThrottlingPolicy Policy_Name

例

Set-ThrottlingPolicyAssociation -Identity ex2013 -ThrottlingPolicy IMP_ThrottlingPolicy

次の作業

Microsoft Exchange 2013または2016アカウントの権限の確認, （32ページ）

Microsoft Exchange 2010 アカウントでの権限の確認

Exchange 2010アカウントに権限を割り当てた後で、その権限がメールボックスのレベルまで伝播

し、選択されたユーザがメールボックスにアクセスしたり別のユーザのアカウントを偽装したり できることを確認する必要があります。Exchange 2010では、権限がメールボックスに伝播される までに時間を要します。

これらは、Exchangeサーバ2010向けのコマンドです。Exchange Server 2013を使用している場合 は、Microsoft Exchange 2013または2016アカウントの権限の確認, （32ページ）のステップに従 います。

手順

ステップ 1 Active Directoryサーバで、偽装アカウントが存在することを確認します。

ステップ 2 コマンド ライン入力を行うためにExchange管理シェル（EMS）を開きます。

ステップ 3 Exchangeサーバで、サービス アカウントに必要な次の偽装権限が付与されていることを確認しま す。

a) EMSで次のコマンドを実行します。

Get-ManagementRoleAssignment role: ApplicationImpersonation

b) コマンド出力に、指定アカウントに対するApplicationImpersonationの役割割り当てが示される ことを確認します。

Microsoft Exchange の設定 Microsoft Exchange 2010 アカウントでの権限の確認

Effective UserName Assignment

Method- - - Role

AssigneeType- Role

AssigneeName- Role - - -

Name - - - -

ex2010 Direct

ユーザ

（User）

ex2010 Application

Impersonation _suImpersonate

RoleAs

ステップ 4 サービス アカウントに適用される管理の範囲が正しいことを確認します。

a) EMSで次のコマンドを実行します。

Get-ManagementScope _suImpersonateScope

b) 次のように、コマンド出力に偽装アカウント名が含まれていることを確認します。

例：コマンド出力

Server Filter- - - Recipient

Filter - Recipient

Root - - Exclusive

Scope

RestrictionType Name - - -

識別名

（Distinguished Name）

Direct ユーザ

（User）

いいえ

（False）

ServerScope _suImpersonate

Scope

ステップ 5 EMSで次のコマンドを実行して、ThrottlingPolicyパラメータが下の表で定義されている内容と一 致することを確認します。

Get-ThrottlingPolicy -Identity Policy_Name | findstr ^EWS

表 7：Exchange サーバ 2010 で推奨されるスロットル ポリシーの設定 推奨設定値：Exchange サーバ 2010 パラメータ

60 EWSFastSearchTimeoutInSeconds

1000 EWSFindCountLimit

100¹ EWSMaxConcurrency

Null EWSMaxSubscriptions

50 EWSPercentTimeInAD

90 EWSPercentTimeInCAS

60 EWSPercentTimeInMailboxRPC

1シスコの試験時には、予定表を使用するユーザ50%に対応するにはデフォルトのスロットル ポリシー値で十分でした。Client

Access Server（CAS）へのEWSリクエストの負荷が高い場合は、パラメータを100に増やすことを推奨します。

Microsoft Exchange の設定

Microsoft Exchange 2010 アカウントでの権限の確認

次の作業

Exchange仮想ディレクトリの認証のイネーブル化

関連トピック

Exchangeサーバ2010 Exchangeサーバ2013

Microsoft Exchange 2013 または 2016 アカウントの権限の確認

Exchange 2013または2016アカウントに権限を割り当てた後で、その権限がメールボックスのレ

ベルまで伝播し、指定されたユーザがメールボックスにアクセスしたり別のユーザのアカウント を偽装したりできることを確認する必要があります。権限がメールボックスに伝播されるまでに 時間を要します。

Exchange Server 2010を使用している場合は、Microsoft Exchange 2010アカウントでの権限の確 認, （30ページ）のステップに従います。

（注）

手順

ステップ 1 Active Directoryサーバで、偽装アカウントが存在することを確認します。

ステップ 2 コマンド ライン入力を行うためにExchange管理シェル（EMS）を開きます。

ステップ 3 Exchangeサーバで、サービス アカウントに必要な次の偽装権限が付与されていることを確認しま す。

a) EMSで次のコマンドを実行します。

Get-ManagementRoleAssignment role: ApplicationImpersonation

b) コマンド出力に、指定アカウントに対するApplicationImpersonationの役割割り当てが示される ことを確認します。

例：コマンド出力

Effective UserName Assignment

Method- - -

Role

AssigneeType- Role

AssigneeName- Role - - -

Name - - - -

ex2010 Direct

ユーザ

（User）

ex2010 Application

Impersonation _suImpersonate

RoleAs

Microsoft Exchange の設定 Microsoft Exchange 2013または 2016アカウントの権限の確認

Get-ManagementScope _suImpersonateScope

b) 次のように、コマンド出力に偽装アカウント名が含まれていることを確認します。

例：コマンド出力

Server Filter- - -

Recipient Filter - Recipient

Root - - Exclusive

Scope

RestrictionType Name - - -

識別名

（Distinguished Name）

Direct ユーザ

（User）

いいえ

（False）

ServerScope _suImpersonate

Scope

ステップ 5 EMSで次のコマンドを実行して、ThrottlingPolicyパラメータが下の表で定義されている内容と一 致することを確認します。

Get-ThrottlingPolicy -Identity IMP_ThrottlingPolicy | Format-List | findstr ^Ews

表 8：Exchange Server 2013または 2016で推奨されているスロットル ポリシー設定 推奨設定値：Exchange Server 2013および 2016 パラメータ¹

3000000 EwsCutoffBalance

300000 EwsMaxBurst

EwsMaxConcurrency 100

無制限（Unlimited）

EwsMaxSubscriptions

900000 EwsRechargeRate

1これらは、Exchangeサーバ2013で変更できる唯一のEWSパラメータです。

ステップ 6 ThrottlingPolicyがExchangeアカウントに関連付けられていることを確認します。

Get-ThrottlingPolicyAssociation -Identity ex2013 Microsoft Exchange の設定

Microsoft Exchange 2013または 2016アカウントの権限の確認