IM and Presence Service と Microsoft Exchange の統合の計画
IM and Presence Service と Microsoft Exchange の統合の計画

IM and Presence Service と Microsoft Exchange の統合の計画

必要な設定タスク

Microsoft Exchange の IM and Presence Service との統合を設定する前に、次の互換性マトリクスを参照し、統合に必要なコンポーネントのインストールおよび設定が完了していることを確認してください。

表 1 互換性マトリクス

構成

互換性のあるバージョン

Windows Server

  • Windows Server 2003(SP2)サービス パック
  • Windows Server 2008(SP2)サービス パック

Cisco Unified Communications Manager

Cisco Unified Communications Manager のリリースは、IM and Presence Service のリリースと一致させる必要があります。

IM and Presence Service

IM and Presence Service のリリースは、Cisco Unified Communications Manager のリリースと一致させる必要があります。

Microsoft Exchange Server 2007

Microsoft Exchange 2007(SP1)サービス パック

Microsoft Exchange Server 2010

Microsoft Exchange 2010(SP1)サービス パック

Microsoft Exchange Server 2013

Microsoft Exchange 2013(SP1)サービス パック

Active Directory

  • Active Directory 2003 と Windows Server 2003(SP2)

    -- または --

  • Active Directory 2008 と Windows Server 2008(SP2)
(注)     

Active Directory 内のユーザ名は、Cisco Unified Communications Manager に定義されたユーザ名と一致している必要があります。

サードパーティの証明書または証明書サーバ

証明書を作成するためには、これらのいずれかが必要。

Exchange Server 2007、2010、および 2013 では、Exchange Web サービス(EWS)をサポートしています。

コンフィギュレーションの考慮事項

Exchange Web サービスによる Microsoft Exchange Server との統合

Microsoft Exchange Server 2007 では、Exchange Web サービス(EWS)が導入され、Simple Object Access Protocol(SOAP)に似たインターフェイスを使用して Exchange サーバに予定表を統合できます。

Exchange 統合のために EWS プレゼンス ゲートウェイを [Cisco Unified CM IM and Presence Service Administration] ユーザ インターフェイスで設定する場合は、次の点に注意してください。

  • 1 台以上の EWS サーバを追加、更新、または削除できます(上限はありません)。 ただし、[Presence Gateway Configuration] ウィンドウの [Troubleshooter] は、設定した最初の 10 台までの EWS サーバのステータスのみを検証し、レポートするように作成されています。
  • EWS サーバ ゲートウェイは、最初の EWS サーバ ゲートウェイに対して設定したクレデンシャル(アカウント名とパスワード)を共有します。 1 つの EWS サーバ ゲートウェイのクレデンシャルを変更すると、設定されたすべての EWS ゲートウェイのクレデンシャルもそれに準じて変更されます。
  • 設定の変更を反映するには、1 つ以上の EWS サーバを追加、更新、または削除した後に Cisco Presence Engine を再起動する必要があります。 複数の EWS サーバを連続して追加する場合は、Cisco Presence Engine を一度再起動するだけで、すべての変更を同時に有効にすることができます。

Exchange Server の管理役割と権限

Exchange Web サービス(EWS)では、すべてのユーザの予定表情報へのアクセスを有効にするために特別なアカウントが必要になります。 このアカウントは偽装アカウントと呼ばれます。

Microsoft Exchange Server 2007

呼び出し元が Exchange Server 2007 で別のユーザの電子メール アカウントにアクセスするには、EWS の統合には偽装権限を持つアカウントが必要となります。 呼び出し元は、呼び出し元のアカウントと関連付けられた権限ではなく、偽装したアカウントに関連付けられた権限を使用し、指定したユーザ アカウントを偽装します。

偽装アカウントは、Exchange 2007 を実行するクライアント アクセス サーバ(CAS)上で ms-Exch-EPI-Impersonation 権限が付与される必要があります。 これで、CAS を使用してユーザの電子メール アカウントを偽装する権限が呼び出し元に与えられます。 さらに、呼び出し元は、メールボックス データベースとディレクトリ内の個々のユーザ オブジェクトのいずれかで ms-Exch-EPI-MayImpersonate 権限も付与される必要があります。

個々のユーザのアクセス コントロール リスト(ACL)がメールボックス データベース設定に優先するため、呼び出し元にデータベース内のすべてのメールボックスへのアクセスを許可し、必要に応じて同じデータベース内の特定のメールボックスへのアクセスを拒否できます。

Microsoft Exchange Server 2010 および 2013

Microsoft Exchange Server 2010 および 2013 は、ロールベース アクセス コントロール(RBAC)を使用して偽装アカウントに権限を付与し、ユーザに組織での職務に関連するタスクの実行を許可します。 RBAC 権限を適用するには主に 2 つの方法があり、ユーザが管理者またはスーパー ユーザであるかエンドユーザであるかによって使い分けます。

  • 管理役割グループ:Exchange のセットアップ プロセス中に 11 のデフォルト管理役割グループが提示されます。各グループには、その役割に固有の権限が関連付けられています。 組み込まれている役割グループの例として、「受信者の管理」と「ヘルプ デスク」があります。 一般に、特定のタスクを実行する必要があるスーパー ユーザには適切な管理役割グループが割り当てられ、それに関連付けられた権限を継承します。 たとえば、Exchange 組織内の任意のユーザの連絡先情報を修正する必要のある製品サポート担当者は、「ヘルプ デスク」管理役割グループのメンバーとして割り当てられます。

  • 管理役割割り当てポリシー:管理者またはスーパー ユーザではない一般ユーザの場合、管理役割割り当てポリシーは、ユーザが修正できるメールボックスの種類を制御します。 New-ManagementRoleAssignment コマンドレットを使用してユーザに ApplicationImpersonation 役割を割り当てると、アカウントが組織内のユーザを偽装し、そのユーザの代わりにタスクを実行できます。 役割の割り当て範囲は、New-ManagementScope コマンドレットを使用して個別に管理され、特定の受信者やサーバを対象として絞り込むことができます。


(注)  


RBAC では、Exchange Server 2007 で求められるように ACL を修正および管理する必要はありません。


Exchange Server の統合向けのプレゼンス ゲートウェイの設定

多数のユーザをサポートするには(EWS での予定表の統合が有効になった状態で)、IM and Presence Service は複数のクライアント アクセス サーバ(CAS)間で EWS トラフィックの負荷を分散する必要があります。 IM and Presence Service は、EWS 経由で一部の CAS に接続でき、次のラウンド ロビン方式を使用して遭遇するトラフィック負荷をサポートします。

  • 最初にユーザの予定表購読を有効にしたときには、そのユーザには管理者によって設定された対象 CAS ホストのプールから CAS が割り当てられます。

  • ユーザへの割り当ては、そのユーザの予定表購読が失敗するまで保持されます。

  • ユーザの予定表購読が失敗した場合は、対象 CAS ホストのプールから CAS がユーザに再度割り当てられます。

Exchange Web サービス統合の既知の問題

セキュリティの考慮事項

Windows セキュリティ ポリシーの設定

Microsoft Exchange との IM and Presence Service の統合では、Windows 統合認証(NTLM)などのさまざまな認証方式がサポートされます。


(注)  


IM and Presence Service では、NTLMv1 Windows 統合認証のみがサポートされ、NTLMv2 は現在サポートされていません。


一部の Windows ネットワーク セキュリティ ポリシーでは、NTLMv2 認証のみが許可され、IM and Presence Service と Exchange の統合が機能するのを防ぎます。 NTLMv2 認証が Exchange を実行する各 Windows サーバで有効になっていないことを確認する必要があります。 NTLMv2 認証が有効になっている場合は、設定を無効にし、新しいセキュリティ設定が適切に適用されるようにサーバを再起動します。