Successfully reported this slideshow.
Your SlideShare is downloading. ×

O365勉強会 オンプレexchangeの共存とadfs導入の注意点 20121202

More Related Content

Similar to O365勉強会 オンプレexchangeの共存とadfs導入の注意点 20121202

Related Audiobooks

Free with a 30 day trial from Scribd

See all

O365勉強会 オンプレexchangeの共存とadfs導入の注意点 20121202

  1. 1. Office365 オンプレ オンプレExchangeの共存 の共存 とADFS導入の注意点 導入の注意点 Office365 勉強会#3 日本ヒューレット・パッカード株式会社 2012/12/3 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  2. 2. Agenda 1. ExchangeからOffice365へ移行 1. Exchange環境からOffice365へ移行プロジェクトにおける要件例 2. システム構成例 2. オンプレExchangeとの共存の注意点 1. ディレクトリ同期ツール 2. msExchMailboxGuid削除の影響 3. Outlookプロファイル作成 4. MSOlineモジュール 3. ADFS導入の注意点 1. 自己証明書の期間延長 2. Office365パスワードポリシー 3. その他 • 免責事項 − 2012年11月現在の情報です。技術的な内容など変更されている可能性があります。 − 本資料に掲載されている情報について、その内容を保証するものではありません。 2 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  3. 3. . からOffice365へ移行 から 1.Exchangeから へ移行 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  4. 4. . からOffice365へ移行 から 1.Exchangeから へ移行 1.1. Exchange環境からOffice365へ移行プロジェクトにおける要件例 オンプレExchangeは残したい • オンプレ は残したい • 影響が少ないグループ会社から徐々に メールドメイン単位で移行 へ移行したい Office365へ移行したい へ移行 オンプレExchangeとOffice365両方のメール • オンプレ と 両方のメール オンプレExchangeとOffice365 オンプレ と ボックスをOutlookのプロファイル切り替え ボックスを のプロファイル切り替え 両方でメールボックス保持 で使い分けたい • オンプレとOffice365のグローバルアドレス オンプレと のグローバルアドレス オンプレExchangeとOffice365 オンプレ と 帳からお互いのメールアドレスを検索したい 帳からお互いのメールアドレスを検索したい 両方でメールボックス保持 両方でメールボックス保持 ユーザーに複雑なことをやらせたくない • ユーザーに複雑なことをやらせたくない ADFSによるパスワード一元管 によるパスワード一元管 によるパスワード一元 例:パスワードの複数管理 例:パスワードの複数管理 理 4 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  5. 5. . からOffice365へ移行 から 1.Exchangeから へ移行 1.2. システム構成例 Intranet DMZ ADFS ADFS Proxy Active Directory ディレクトリ同期 Exchange Office365 Exchange ユーザー ユーザー 5 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  6. 6. 2.オンプレExchangeとの共存の .オンプレ との共存の 注意点 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  7. 7. 2.オンプレExchangeとの共存の注意点 .オンプレ との共存の注意点 2.1.ディレクトリ同期ツール オンプレExchangeとOffice365両方でメールボックス保持 オンプレ と 両方でメールボックス保持 ■問題 • Office365から同一ユーザーがオンプレExchangeとOffice365両方にメールボックスを保持不可 ■解決策 Solution MS社 自動化 運用 制限 Support 負荷 にオンプレExchangeメー にオンプレ Office365 GALにオンプレ メー ディレクトリ同期ツールカスタマイズ※1 × ○ 低 ルアドレスが表示されない ソフトマッチでメールボックス作成※2 ? × 高 「電子メールの移行」機能を利用 ○ × 中 Outlook Anywareが有効 • ※1:日々徒然 ~ExchangeからOffice365移行の際の注意点~ − http://genkiw.wordpress.com/2011/10/03/ • ※2:日々徒然 ~ソフトマッチについて~ − http://genkiw.wordpress.com/2011/11/20/ 7 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  8. 8. 2.オンプレExchangeとの共存の注意点 .オンプレ との共存の注意点 msExchMailboxGuid削除の影響 オンプレ Office365 Exchange AD Mailbox A社ユーザー A社ユーザー × User ※BPOS時MailUserだったためGALに 表示されていた MailUser B社ユーザー B社ユーザー Mailbox Mailbox A社兼B社ユーザー A社兼B社ユーザー Mailbox グローバル グローバル アドレス帳 アドレス帳 8 A社ユーザー 移行後メール送信不可(NDR) B社ユーザー × © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  9. 9. 2.オンプレExchangeとの共存の注意点 .オンプレ との共存の注意点 2.2.Outlookプロファイル作成 メールボックス(Outlookプロファイル を切替えて運用 メールボックス プロファイル)を切替えて運用 プロファイル ■問題 • Office365のプロファイル作成時、オンプレExchangeの認証が求められプロファイル作成不可 ■解決策 • Outlookプロファイル作成時、初期入力されている「電子メールアドレス」など削除し再入力 • Office365へ接続されるようレジストリの追加(本来不要) − HKEY_CURRENT_USER¥Software¥Microsoft¥Office¥12.0¥Outlook¥AutoDiscover − ExcludeHttpRedirect REG_DWORD:0 − ExcludeHttpsAutodiscoverDomain REG_DWORD:1 − ExcludeHttpsRootDomain REG_DWORD:1 − ExcludeScpLookup REG_DWORD:1 − ExcludeSrvRecord REG_DWORD:1 9 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  10. 10. 2.オンプレExchangeとの共存の注意点 .オンプレ との共存の注意点 2.3.MSOnlineモジュール 用 PowerShell用 Microsoft Online Services モジュールのバージョン ■問題 • 同じバージョンのモジュールなのにオプションの有無が違う • バグが修正されたモジュールを再インストールしたはずが修正されていなかった • ダウンロードするリンクによりバージョンが異なる場合がある ■解決策 • 「C:¥Windows¥System32¥WindowsPowerShell¥v1.0¥Modules¥MSOnline¥Microsoft.Online.Adm inistration.Automation.PSModule.dll 」ファイルのプロパティから確認 − ファイルパスは以下のコマンドで確認 • Get-Module MSOnline | fl 10 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  11. 11. . 導入の注意点 3.ADFS導入の注意点 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  12. 12. . 導入の注意点 3.ADFS導入の注意点 3.1.自己証明書の期間延長 自己証明書の期間延長と自動ロールオーバー機能 ■問題 • 自己証明書の期間延長すると自動ロールオーバー機能が動作し、Office365へアクセスできな くなる ■解決策 • 期間延長は最大で50年程度に設定 − 期間が長すぎるとなぜか自動ロールオーバー機能が動作し、日々証明書を更新してしまう • 自動ロールオーバーを無効に設定 ※2重防止策 − Set-ADFSProperties -AutoCertificateRollover $false • AD FS 2.0 トークン署名証明書のロールオーバーの結果、Office 365 のすべてのサービスにア クセスできなくなる − http://community.office365.com/ja-jp/wikis/sso/2301.aspx • 日々徒然 ~ADFSの自己証明書の期間延長~ − http://genkiw.wordpress.com/2012/07/03/ 12 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  13. 13. . 導入の注意点 3.ADFS導入の注意点 3.2.Office365パスワードポリシー のパスワードポリシーの期間を14日~ のパスワードポリシーの期間を 日~200日 Office365のパスワードポリシーの期間を 日~ 日 ■問題 • Office365のパスワードポリシーの期間を14日~200日の間に収まっていない場合、フェデレー ションできない − ”Convert-MsolDomainToFederated : Microsoft.Online.Administration.Automation.IdentityInternalServiceException” ■解決策 • パスワードポリシーの期間を14日~200日に収める − コマンド実行例 • Set-MsolPasswordPolicy -DomainName contoso.com -ValidityPeriod:200 =NotificationDays:14 13 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  14. 14. . 導入の注意点 3.ADFS導入の注意点 3.3.その他 項目 問題 解決策 ・恐らく時間帯によりOffice365へ Convert-MsolDomainToFederated後、コマンド 反映されるまで時間がかかる 即座にフェデレーション環境 は正常終了するが即座にフェデレーション環 ・ユーザー影響の少ない時間帯を にならない場合がある 境にならず、AD/Office365どちらのパスワード 選ぶ でも認証できない ・夜間帯は混んでいる? ・パスワード管理・変更運用の検 共有メールボックスに紐づくアカウントは1つ 共有メールボックス利用・運 討が必要 のため、フェデレーション後今まで通りの利用 用方法の検討 ・WebブラウザのInPrivateモードの 方法が不可 利用を検討 ・フェデレーションドメインの構成を 複数のフェデレーションドメインのうち1つを 更新 フェデレーションドメインから Convert-MsolDomainToStandardでスタンダー http://support.microsoft.com/kb/ スタンダードドメインに戻す ドドメインに戻すと証明書信頼関係を失い全 2647048 ドメインフェデレーション不可 ・コマンドの不具合で現在修正中 管理者アカウントのドメイン 管理者アカウントのドメインをフェデレーション 管理者アカウントは事前に 変更 ドメインにすると、障害時ログイン不可 onmicrosoft.comドメインに変更 14 © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
  15. 15. Thank you © Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

×