Azure AD ゲスト アカウントと Exchange Online メール連絡先の比較

Azure AD ゲスト アカウントと Exchange Online メール連絡先の比較

ゲストアカウントはメール連絡先よりも優れていますか?

Azure ADからの未引き換えの招待でゲストアカウントを削除する方法に関する私の記事の公開後のオンラインディスカッションで、MicrosoftのJef Kazimerは、ゲストがサインインしなくても、ゲストアカウントのライフサイクル管理が優れているため、多くのMicrosoft 365組織がメール連絡先の代わりにゲストアカウントを使用しているのを見ていると述べました。

その考えは私に考えさせました。Exchange Online は最大の Microsoft 365 ワークロードであり、組織によってはさまざまな理由で何千ものメール連絡先が作成されます。たとえば、パートナー組織のユーザーの連絡先を用意して、ユーザーがグローバル アドレス一覧 (GAL) でそれらの連絡先を簡単に見つけられるようにすることができます。メール連絡先は Exchange Server にも存在し、現在 Exchange Online にある連絡先の多くは発信元です。ハイブリッド組織は、 オンプレミスの連絡先を Azure AD に同期するただし、これらのオブジェクトの管理はオンプレミスで実行する必要があります。

メール連絡先について

メール連絡先と Azure AD ゲスト アカウントを比較する前に、メール連絡先とは何かを理解する必要があります。メール連絡先オブジェクトは、Exchange ディレクトリ (EXODS) と Azure AD の両方に存在します。たとえば、メール連絡先を作成するには、 新着メール連絡先 コマンドレット:

New-MailContact -Name Jef.Kazimer -DisplayName "Jef Kazimer" -ExternalEmailAddress "Jef.Kazimer@contoso.com" -FirstName "Jef" -LastName "Kazimer"

このアクションにより、Exchange Online と Azure AD の両方に連絡先オブジェクトが作成されます。Exchange オブジェクトは、メール連絡先について考えるときにユーザーが考えるものです。Azure AD オブジェクトは、電子メール処理とは無関係のプロパティを保持するために存在します。メール連絡先をアドレス指定可能な電子メール受信者として使用するため、Exchange Online が本当に気にするのは電子メール アドレスだけです。オブジェクトに電子メール アドレスが設定されると、Exchange はそのオブジェクトにメッセージをルーティングし、そのオブジェクトを配布リストに参加させることができます。ザ メール連絡先の取得 コマンドレットは、新しい連絡先オブジェクトの詳細を確認します。

Get-MailContact -Identity Jef.Kazimer | Format-Table DisplayName, ExternalEmailAddress

DisplayName ExternalEmailAddress
----------- --------------------
Jef Kazimer SMTP:Jef.Kazimer@contoso.com

メール連絡先に格納されている外部ディレクトリ オブジェクト識別子は、Azure AD オブジェクトを指し、これを使用して取得できます。 Get-MgContact Microsoft Graph PowerShell SDK のコマンドレット:

Get-MgContact -OrgContactId (Get-MailContact -Identity Jef.Kazimer).ExternalDirectoryObjectId | Format-Table displayName, proxyAddresses

DisplayName ProxyAddresses
----------- --------------
Jef Kazimer {SMTP:Jef.Kazimer@contoso.com}

メール連絡先は、これまでのところスパースオブジェクトです。GAL (図 1) でユーザーに表示するその他のプロパティを設定するには、 セット-接触 コマンドレットを使用して Azure AD オブジェクトを更新します。

Set-Contact -Identity Jef.Kazimer -StreetAddress "14, Preston Villas" -City "Bellevue" -StateorProvince "Washington" -PostalCode "98004" -Phone "+1 425-214-765" -MobilePhone "+1 425-214-705" -Pager $Null -HomePhone "+1 425-270-765" -Company "Contoso" -Title "Azure AD Guru" -Department "Information Technology" -Fax "+1 425-214-761" -Initials "JK" -Notes "Distinguished Person" -Office "Liberty Square" -CountryOrRegion "United States"
Outlook for Windows で表示される、完全に入力されたメール連絡先
図 1: Outlook for Windows で見た、完全に入力されたメール連絡先

Get-MgContact コマンドレットは、新しく設定されたプロパティを次のように報告します Get-ExoRecipient コマンドレット。いくつかの例外と注意点があります。

  • 忘れずに プロパティセットすべて 強制するパラメータ Get-ExoRecipient をクリックして、プロパティの完全なセットを取得します。
  • Get-ExoRecipient は、GAL に含まれていないため、住所を取得しません。
  • Get-MgContact 複合プロパティを使用して、いくつかの情報を保持します。たとえば、連絡先のアドレスの要素を表示するには、に格納されているプロパティを展開する必要があります。 アドレス 財産:
Get-MgContact -OrgContactId (Get-MailContact -Identity Jef.Kazimer).ExternalDirectoryObjectId | Select-Object -ExpandProperty Addresses


City     CountryOrRegion OfficeLocation PostalCode State      Street
----     --------------- -------------- ---------- -----      ------
Bellevue United States   Liberty Square 98004      Washington 14, Preston Villas

メール連絡先の管理

ある メール連絡先の設定 コマンドレットを使用して、メールが有効なすべてのオブジェクトで使用できるカスタム属性のセットなど、Exchange オブジェクトのプロパティを更新できます。ザ セット-接触 コマンドレットは、上記の住所データなど、Azure AD 連絡先オブジェクトに保持されている情報を更新します。

管理者が Microsoft 365 管理センターまたは Exchange 管理センターを使用してメール連絡先を管理する場合、Exchange Online と Azure AD の両方のオブジェクト プロパティを操作できます。GUI は、メールボックスが有効なユーザー アカウントを管理するときに Azure AD と Exchange の間の相互作用を偽装するのと同じように、管理者に表示される設定が 2 つのディレクトリから取得されるという事実を隠します。

ゲスト アカウントとゲスト メール ユーザ

メール連絡先について理解したところで、Exchange Online と Azure AD ゲスト アカウントの関係について説明しましょう。ゲストアカウントの作成に続いて、バックグラウンドプロセスによって、特別なタイプのメールユーザーオブジェクトが作成されます。 受信者タイプの詳細 設定 ゲストメールユーザー ゲスト アカウントのプロパティに基づきます。メールユーザーオブジェクトでは、次のことができます。

  • Outlook グループのゲスト メンバーは、電子メールでグループ会話に参加します。
  • ゲストアカウントへのメールルーティング。
  • GAL およびその他の Exchange アドレス一覧に表示されるゲスト アカウント。

ゲスト メール ユーザー オブジェクトは、リンクされたゲスト アカウントが Azure AD から削除されるまで、Exchange ディレクトリに存在します。Exchange 管理センターを使用してゲスト メール ユーザー オブジェクトを表示できますが、GUI ではプロパティを更新できません。ゲスト アカウントの変更は、Azure AD 管理センターまたは Graph API (Microsoft Graph PowerShell SDK コマンドレットを含む) を使用して行う必要があります。Exchange 固有のプロパティは、 Set-MailUser コマンドレット。

ゲストメールユーザーオブジェクトのセットを表示するには、 Get-ExoRecipient コマンドレット:

Get-ExoRecipient -RecipientTypeDetails GuestMailUser | Format-Table DisplayName, PrimarySmtpAddress, HiddenFromAddressListsEnabled

最後のプロパティは、ゲスト アカウントが Exchange アドレス一覧に表示されない場合の True (既定値) です。を実行します。 Set-MailUser 更新するコマンドレット HiddenFromAddressListsEnabled を True に設定すると、オブジェクトが公開されます。次に例を示します。

Set-MailUser -Identity warren.gatland@o365maestro.onmicrosoft.com -HiddenFromAddressListsEnabled $False

新しく公開されたオブジェクトがオフライン アドレス ルック (OAB) に表示されるまでに少なくとも 1 日かかることに注意してください。

配布リストへのゲスト メール ユーザの追加

ゲスト メール ユーザーはルーティング可能なオブジェクトであるため、配布リストに追加できます。この例では詳しく説明していますが、オブジェクトをフェッチする手間をかけずに、表示名または電子メールアドレスを渡すことで、ゲストメールユーザーを配布リストに追加することができます。 Get-MailUser.

$GuestMailUser = Get-MailUser Get-MailUser -Filter {DisplayName -eq "Warren Gatland" -and RecipientTypeDetails -eq "GuestMailUser"}
Add-DistributionGroupMember -Identity "o365maestro Contacts" -Member $GuestMailUser.Name

ゲストアカウントに移動するか、メール連絡先にとどまる

元のポイントに戻ると、Jefはゲストアカウントのライフサイクル管理が優れていると言います。つまり、組織がメール連絡先ではなくゲスト アカウントの作成に投資する場合、Azure AD が外部 ID を管理する方法を改善するために Microsoft が行う作業の恩恵を受けることができます。

ここにはいくつかの真実があります。Azure AD ゲスト アカウントは、カスタム セキュリティ属性を含むより多くのプロパティをサポートし、動的 Azure AD グループをサポートします。 動的な Azure AD 管理単位.これらは、Exchange Online だけに制限されるのではなく、Microsoft 365 エンティティです。ゲスト アカウントを含む外部 ID の Azure AD 開発はアクティブですが、Exchange メール連絡先の開発作業は、数年前に “バグのみを修正する" メンテナンス段階に入ったと思います。一方、メール連絡先はシンプルで効果的であり、ハイブリッドExchange組織間で機能します。

クラウドのみの組織の場合は、どちらかを使用する選択肢があります。Azure AD ゲスト アカウントを使用する場合は、ゲスト メール ユーザー オブジェクトが存在すると移行がスムーズになり、アドレス一覧、配布リスト、電子メール ルーティングが引き続き機能するようになります。Azure AD ゲスト アカウントは長期的な賭けとして適していますが、だからといってすぐに切り替える必要があるわけではありません。

Exchange Online や Azure AD などの Microsoft 365 アプリケーションが実際に継続的にどのように動作するかについては、 IT プロフェッショナル向け Office 365 電子書籍。毎月の更新により、サブスクライバーは Office 365 エコシステム全体で何が重要かを通知できます。

Office

Posted by admin