TAP: Outlook Mobile でオンプレミス版 Exchange と Microsoft Enterprise Mobility + Security のサポートを開始

(この記事は 2017 年 9 月 27 日に Exchange Team Blog に投稿された記事 TAP: Outlook mobile support for Exchange on-premises with Microsoft Enterprise Mobility + Security の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

Ignite 2017 で発表 (英語) されたとおり、Outlook for iOS/Android は、オンプレミス版 Exchange でのハイブリッド利用に向けて、近日中に完全なマイクロソフトのクラウド基盤に移行します。今回の更新では、Enterprise Mobility + Security (EMS) の Microsoft Intune 管理機能もサポートいたします。今回の記事では、この変更がもたらすメリットと、新しいアーキテクチャに関する Technology Adoption Program (TAP) への参加方法をご紹介します。

Exchange Server のお客様向けの新しいマイクロソフト クラウド アーキテクチャ

Exchange Server のメールボックスに関して、Outlook Mobile の新アーキテクチャは従来の設計と比べても大きな違いはありません。ただし、サービスが (Office 365 と Azure を使用する) マイクロソフトのクラウド サービスに直接組み込まれることで、Office 365 セキュリティ センターや Azure セキュリティ センター (英語) で、セキュリティ、プライバシー、コンプライアンス、透明性のある運営が保証されるというメリットがあります。

Exchange Online から Outlook アプリへのデータ送信では、TLS で保護された接続を利用します。Azure 上のプロトコル トランスレーターは、データ、コマンド、通知のルーティングなどを実行しますが、データそのものを読み取ることはできません。

Exchange ActiveSync (EAS) を利用すると、Exchange Online とオンプレミス環境を接続してオンプレミス データを Exchange Online テナントに同期できます。4 週間分のメール、すべての予定表データ、すべての連絡先データ、不在ステータスを保存でき、30 日間使用されなかった場合には Exchange Online から自動的に削除されます。

オンプレミス環境と Exchange Online のデータ同期は、ユーザー操作に関係なく実行されるため、デバイスに新しいメッセージをすばやく送信することができます。

新しいマイクロソフトのクラウドベースのアーキテクチャのメリット

Outlook for iOS/Android は、最良のエクスペリエンスを提供するためのクラウド基盤アプリとして開発されました。つまり、ローカルにインストールされたアプリも、安全でスケーラブルなマイクロソフト クラウドのサービスを活用しているということです。

マイクロソフトのクラウド上で情報処理を行うことにより、優先受信トレイのメール分類などの高度な機能、出張や予定表のエクスペリエンスのカスタマイズ、検索速度の向上といったメリットが得られます。また、負荷の高い処理をクラウドで実行することで、ユーザー デバイスのリソース負荷を最小限に抑えられるため、Outlook のパフォーマンスと安定性が向上します。さらに、基盤サーバーの性能 (Exchange や Office 365 のバージョンの違いなど) に関係なく、すべてのメール アカウントで利用可能な機能を構築することができます。

新しいアーキテクチャで実現する具体的なメリットは以下のとおりです。

1. 1. EMS のサポート: Microsoft Intune と Azure Active Directory Premium を組み合わせた Microsoft Enterprise Mobility + Security (EMS) を活用して、条件付きアクセス ポリシーと Intune App Protection ポリシーを有効化し、モバイル デバイス上の企業のメッセージ データを制御および保護することができます。
   2. 完全なマイクロソフト クラウド基盤: AWS のメールボックス キャッシュを廃止し、Exchange Online にネイティブに組み込んだことで、マイクロソフトの Office 365 セキュリティ センターで保証されるセキュリティ、プライバシー、コンプライアンス、透明性のある運営といったメリットを得られるようになります。
   3. OAuth によるユーザー パスワードの保護: Outlook では OAuth を利用してユーザーの資格情報を保護します。OAuth は、Outlook がユーザーの資格情報を編集したり保存したりすることなく Exchange データにアクセスできる安全な認証メカニズムです。サインイン時に、ID プラットフォーム (Azure AD または ADFS などのオンプレミス ID プロバイダー) に対して直接ユーザー認証を実行し、アクセス トークンが返されると Outlook がユーザーのメールボックスやファイルにアクセスできるようになります。サービスがユーザーのパスワードにアクセスすることはありません。
   4. 一意のデバイス ID を提供: Outlook の各接続は Microsoft Intune に個別に登録され、一意の接続として管理することができます。
   5. iOS および Android 向けの新機能: 今回の更新により、これまでオンプレミス版 Exchange でサポートされていなかった Office 365 のネイティブ機能 (Exchange Online 検索のフル機能や優先受信トレイなど) を Outlook アプリで利用できるようになります。これらの機能は、Outlook for iOS/Android アプリのみで提供されます。

Outlook Mobile、Exchange Server、EMS に関するその他の注意事項

• モバイル デバイスの管理: デバイス管理やワイプ操作を実行する場合には、Microsoft Intune が必要です。オンプレミスの Exchange 環境で個々のデバイス ID を管理することはできません。
• Exchange Server 2007 のサポート: Exchange Server 2007 のメインストリーム サポート終了により、Exchange Server 2007 のメールボックスを使用しているユーザーは、Outlook for iOS/Android のメールと予定表にアクセスできなくなります。
• Exchange Server 2010 のサポート: Exchange Server 2010 SP3 のメインストリーム サポート終了により、Intune で管理される Outlook Mobile を利用できなくなります。新アーキテクチャでは、Outlook Mobile の認証メカニズムに OAuth が使用されます。オンプレミスの構成変更の一環として、マイクロソフトのクラウド サービスへの OAuth エンドポイントを既定の認証エンドポイントに設定することができます。これを適用すると、各クライアントは OAuth 使用のネゴシエーションを開始できるようになります。組織全体の変更になるため、Exchange 2013 または 2016 をフロントエンドに置いた Exchange 2010 メールボックスがある場合は、OAuth を実行できると誤認識し、接続が解除されてしまいます。Exchange 2010 の認証メカニズムでは OAuth はサポートされません。

技術要件とライセンス要件

新しいアーキテクチャの技術要件は以下のとおりです。

1. オンプレミス版 Exchange の構成:
   • すべての Exchange サーバーに累積更新プログラム (Exchange Server 2016 CU6 または Exchange Server 2013 CU17 以上) を展開すること
   • すべての Exchange 2007 または Exchange 2010 サーバーを環境から除外すること
2. Active Directory の同期: Azure AD Connect を使用して Azure Active Directory との Active Directory 同期を実行すること。以下の属性が同期の対象になっていることを確認します。
   • Office 365 ProPlus
   • Exchange Online
   • Exchange ハイブリッド展開のライトバック
   • Azure RMS
   • Intune
3. Exchange のハイブリッド構成: オンプレミス版 Exchange と Exchange Online の完全なハイブリッド関係を構成すること
   • Office 365 テナントを完全なハイブリッド モードで構成し、ハイブリッド構成ガイドの指定どおりにセットアップする必要があります。
   • Office 365 Enterprise、Business、Education のいずれかのテナントが必要です。
   • メールボックス データは、Office 365 テナントをセットアップしたデータセンター リージョンで同期されます。Office 365 データの格納場所の詳細については、Office 365 セキュリティ センターの「データの格納場所 (英語)」のセクションを参照してください。
   • 提供開始時点では、Office 365 US Government Community/Defense、Office 365 Germany、21Vianet テナントが運営する Office 365 China ではサポートされません。
   • EAS の外部 URL ホスト名は、ハイブリッド構成ウィザードを使用して AAD にサービス プリンシパルとして公開する必要があります。
   • 自動検出および EAS の名前空間では、インターネットからのアクセスと匿名接続のサポートが必要です。
4. EMS の構成: Intune のクラウド展開とハイブリッド展開の両方をサポート (Office 365 の MDM は非対応)。
5. Office 365 のライセンス*: 各ユーザーに対して、Outlook for iOS/Android の商用利用に必要な Office クライアント アプリケーションを含む以下のいずれかのライセンスが付与されていること
   • 企業向け: Enterprise E3、Enterprise E5、ProPlus、Business ライセンス
   • 政府機関向け: US Government Community G3、US Government Community G5
   • 教育機関向け: Office 365 Education E3、Office 365 Education E5
6. EMS のライセンス*: 各ユーザーに対して以下のいずれかのライセンスが付与されていること
   • スタンドアロンの Intune + スタンドアロンの Azure Active Directory Premium
   • Enterprise Mobility + Security E3、Enterprise Mobility + Security E5

*Microsoft Secure Productive Enterprise (SPE) には、Office 365 および EMS に必要なすべてのライセンスが含まれています。

データ セキュリティ、アクセス、監査制御

Exchange Online のデータは、さまざまなメカニズムによって保護されています。コンテンツ暗号化 (英語) に関するホワイトペーパーでは、BitLocker を使用したボリューム レベルの暗号化について説明しています。このアーキテクチャでは、コンテンツ暗号化 (英語) に関するホワイトペーパーで説明している Customer Key を使用したサービス暗号化をサポートしていますが、暗号化ポリシーを割り当てるには、Office 365 Enterprise E5 (または政府機関/教育機関向けプランの対応するバージョンの) ライセンスが必要です。

既定では、マイクロソフトのエンジニアが、管理者特権や Office 365 内のお客様コンテンツに対するアクセス権を常時保有することはありません。管理者のアクセス (英語) に関するホワイトペーパーでは、人員の審査、身元確認、ロックボックスとカスタマー ロックボックスなどについて説明しています。

サービス アシュアランスの ISO 監査済みの制御機能 (英語) のドキュメントには、Office 365 に実装された国際的な情報セキュリティ標準および規制における監査済みの制御機能のステータスを記しています。

Technology Adoption Program (TAP) への参加

すべてのお客様に新しいアーキテクチャの提供を開始する前に、TAP にご参加いただけるお客様を募集いたします。TAP では、マイクロソフトがお客様と緊密に協力して、ニーズや要件を確認しながらソリューションを展開することを目指しています。

TAP に参加するメリット

• 製品エンジニアによる直接の対応とサポート
• 展開支援とサポート
• 初期の製品トレーニング
• 定期的な電話会議
• 意見やフィードバックが製品に反映される可能性

TAP の参加条件

• マイクロソフトとの秘密保持契約を締結すること
• TAP プログラムの期間中にマイクロソフトと密接に協力し、問題、バグ、フィードバックを共有する意思があること
• コードの展開: プレリリース版の Exchange Server ソフトウェアを運用環境に展開すること
• ユーザーが実際に利用している 25 台以上のデバイスに展開する意思があること
• 運用環境のさまざまなサイズ (中、大、特大) のメールボックスに展開すること

TAP へのご応募を希望される場合は、担当のアカウント チームまでご連絡ください。

TAP 参加に関する追加の技術要件

上記の恒常的な技術要件に加えて、TAP プログラムの期間中には、以下の要件が追加適用されます。

• 認証サポート: 利用できる認証メカニズムは OAuth のみです。
• Exchange モバイル デバイスのアクセス ポリシー (ABQ ポリシー) はサポートされていません。オンプレミス版 Exchange Server の ABQ ポリシーを適用すると、クラウドからの同期がブロックされます。Office 365 で設定した ABQ ポリシーを適用することはできません。
• Exchange モバイル デバイスのメールボックス ポリシー (EAS ポリシー) は Outlook Mobile には適用されません。ユーザーにセキュリティ ポリシーを割り当てるには Intune で管理する必要があります。

ご不明な点がありましたら、お気軽にお問い合わせください。

Ross Smith IV
Office 365 カスタマー エクスペリエンス担当
主任プログラム マネージャー

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。