移行の実行時に、委任(delegation)または偽装(impersonation)のどちらを使用すべきですか?

本記事の内容は次のとおりです。

  • 移行における、委任(delegation)または偽装(impersonation)とはどのようなものですか?
  • さまざまな移行シナリオに対し、どちらを使用するのが最適な方法ですか?
  • 偽装(impersonation)と委任(delegation)はどのように有効化し、設定しますか?

 

移行における、委任(delegation)または偽装(impersonation)とはどのようなものですか?

  • 委任(delegation)とは、一つの(メールボックス)ユーザーが、委任されたフルアクセス権を各ユーザーメールボックスに対して付与されていることを意味します。これにより、移行の実行時にMigrationWizは委任された権限を使用して、個々のユーザーのメールボックスにログインします。委任を使用した移行をセットアップし、実行するのに必要な手順については、下記を参照してください。
  • 偽装(impersonation)とは、移行の実行時に、管理者アカウントが実際の各メールボックスユーザーに偽装(impersonate)してログインすることを意味します。これにより、管理者アカウントは、同管理者アカウントに紐づけられたスロットリングクォータ(上限)および接続上限が、(各ユーザーメールボックスへのアクセス全体として)適用されなくなるため、移行の速度が上がります。代わりに、ユーザーごとのスロットリングクォータが各ユーザーメールボックスへのアクセスに対して適用されます。

    注:各ユーザーのスロットリングクォータを無効にすると、移行の速度がさらに高まります。偽装の設定、有効化、および偽装を使用した移行を行うための必要な手順については、下記を参照してください。

 

さまざまな移行シナリオに対し、どちらを使用するのが最適な方法ですか?

  • 移行元が(オンプレ)Exchangeサーバーの場合は、委任を使用することをお勧めします。設定に必要な手順が少なく、また、移行速度はほとんど変わりません。委任の設定は簡単です。管理者アカウントをセットアップしてアカウントのスロットリングを無効にし、この管理者アカウントをMigrationWizプロジェクトのエンドポイントに設定します。
  • 移行先が(オンプレ)Exchangeサーバーの場合も同様です。偽装ではなく委任を使用することをお勧めします。
  • 移行元がOffice 365の場合は、偽装を使用することをお勧めします。Office 365で偽装を有効にする手順はさらに簡単です。また、Office 365の管理者アカウントに対しては、スロットリングクォーター(上限)を無効にできないないため、委任を使用すると移行速度が非常に低下します。
  • 移行先がOffice 365の場合も、同様です。委任ではなく、偽装を使用することをお勧めします。

 

Office 365で偽装を使用する利点は次のとおりです。

  • 「接続に失敗しました」エラーを削減します。
  • 同時に移行するメールボックス数を増やすことができます。
  • スロットリングと接続制限の影響を軽減します。
  • メールボックスライセンスが割り当てられていない管理者アカウントを使用する事ができます。

 

移行元と移行先のエンドポイントに基づいた、委任または偽装の推奨事項の概要については、次の表を参照してください。

メールシステム 推奨
(オンプレ)Exchange/移行元 委任
Office 365/移行元 偽装
(オンプレ)Exchange/移行先 委任
Office 365/移行先 偽装

 

委任および偽装の有効化と設定

委任(delegation)

  1. 移行に使用する「管理者」アカウントをセットアップし、各ユーザーメールボックスへのフルアクセスが可能となる必要権限を適用します。詳細については、「委任を使用してOffice 365またはExchange2007、2010、2013、2016に移行するにはどうすればよいですか?」の記事を参照してください。

    注:ドメイン管理者、スキーマ管理者、またはエンタープライズ管理者のグループに属しているユーザーアカウントには、付与されている権限にかかわらず、メールボックスに対する管理者権限はありません。Exchangeサーバーのセキュリティ標準設定では、ユーザーがこれらのグループメンバーである場合、明示的に拒否されます。そのため、移行専用の新しいユーザーアカウントを作成することをお勧めします。

  2. アカウントに対するスロットリングを無効にします ー 「Exchangeでスロットリングポリシーを無効にするにはどうすればよいですか?」の記事内のオプション1を参照してください。

    注:Exchange2003またはExchange2007ではスロットリング自体がサポートされていないため、このステップは必要ありません。

  3. MigrationWizプロジェクトを作成し、「管理者の資格情報を使用する(Use admin credentials)」を選択します。上記の手順1でセットアップしたアカウントのユーザー名とパスワードを入力します。

 

偽装(impersonation)

  1. 移行に使用する管理者アカウントをセットアップし、各ユーザーメールボックスへのフルアクセスが可能となる必要権限を適用します。詳細については、ヘルプセンターの記事「ログインに必要な管理者アカウントを作成するにはどうすればよいですか?」を参照してください。
    • ドメイン管理者、スキーマ管理者、またはエンタープライズ管理者のグループに属しているユーザーアカウントには、付与されている権限にかかわらず、メールボックスに対する管理者権限はありません。Exchangeサーバーのセキュリティ標準設定では、ユーザーがこれらのグループメンバーである場合、明示的に拒否されます。そのため、移行専用の新しいユーザーアカウントを作成することをお勧めします。
    • このナレッジベースの記事では委任について説明していますが、偽装を使用するアカウントに対して必要な権限を付与する手順は同じです。移行に際し偽装を使用するには、最初のステップを終わらせた後、次の手順を完了する必要があります。
  2. MigrationWizプロジェクトの「詳細オプション(Advanced Options)」で、「偽装を使用する(Use Impersonation to Authenticate)」チェックボックスをオンにして、次の手順を実行します。
    1. 移行先で管理者の資格情報を使用していることを確認してください。
    2. MigrationWizアカウントにサインインします
    3. 「プロジェクトの編集」メニューから、「詳細オプション(Advanced Options)」をクリックします。
    4. Office 365から移行する場合は、(Source/Destinationタブの)移行元(SOURCE)で「偽装を使用して認証する(Use impersonation to authenticate)」をオンにします。
    5. Office 365へ移行する場合は、、(Source/Destinationタブの)移行先(DESTINATION)で「偽装を使用して認証する(Use impersonation to authenticate)」をオンにします。
    6. オプションを保存する(Save Options)」をクリックします。
    • 注:
      • このオプションは、移行元(SOURCE)と移行先(DESTINATION)の両方にあります。移行元または移行先で偽装を使用する必要があるかどうかを判断するには、本記事上部の「さまざまな移行シナリオに対し、どちらを使用するのが最適な方法ですか?」のセクションを参照してください。
      • 上記の「詳細オプション(Advanced Options)」でプロジェクトで偽装を使用するように設定した場合、設定を保存した後に開始された移行に対してのみ有効になります。変更はすでに実行されている移行に対しては影響を与えません。
  3. 管理者アカウントのApplicationImpersonationロールを有効にします。(このステップは、Exchangeサーバーで偽装を有効にする場合にのみ必要です。Office 365では必要ありません。)
    • (移行元または移行先で)Office 365に対して偽装を使用しする設定をしている場合、移行タスクが送信(実行)されると、MigrationWizにより(移行元/移行先環境にて)PowerShellスクリプトが自動的に実行され、移行アカウントに対してApplicationImpersonationロールが有効になります。そのため、スクリプトを手動で実行する必要はありません。
    • メールボックス移行タスクが送信(実行)された際に、MigrationWizが(Office 365上で)実行するリモートPowerShellコマンドは次のとおりです。
      Enable-OrganizationCustomization
      New-ManagementRoleAssignment -Role ApplicationImpersonation -User

      これらのコマンドを手動で実行する方法については、ヘルプセンターの記事「The account does not have permission to impersonate the requested user」を参照してください。手動でのコマンド実行は、Microsoft環境の遅延によりPowershellコマンドが即座に実行されない場合の回避策となります。

    • (移行元または移行先で)Exchangeサーバーに対して偽装を使用する場合、オンプレミスのPowerShellはインターネット経由でアクセスできないため、偽装権限を付与するコマンドレットを実行できません。そのため、追加の手順が必要となります。管理者アカウントを使用して、オンプレミスのExchange環境に対して次のスクリプトを実行する必要があります。
      New-ManagementRoleAssignment -Role ApplicationImpersonation -User
  4. すべてのメールボックスに対するスロットリングを無効にすると、移行の速度が上がります。(この手順は、Exchange 2010以降で偽装を使用する場合にのみ必要です。Office 365では必要ありません。)
    1. Microsoft Exchange管理シェルをホストしているコンピューターで、Microsoft Exchange管理シェルを開き、次のコマンドを入力して、 Enterキーを押します。
      New-ThrottlingPolicy MigrationWizPolicy
    2. 次のコマンドを入力してEnterキーを押します。
      Set-ThrottlingPolicy MigrationWizPolicy -RCAMaxConcurrency $null -RCAPercentTimeInAD $null -RCAPercentTimeInCAS $null -RCAPercentTimeInMailboxRPC $null -EWSMaxConcurrency $null -EWSPercentTimeInAD $null -EWSPercentTimeInCAS $null -EWSPercentTimeInMailboxRPC $null -EWSMaxSubscriptions $null -EWSFastSearchTimeoutInSeconds $null -EWSFindCountLimit $null -CPAMaxConcurrency $null -CPAPercentTimeInCAS $null -CPAPercentTimeInMailboxRPC $null -CPUStartPercent $null
    3. 次のコマンドを入力してEnterキーを押します。
      Get-Mailbox | Set-Mailbox -ThrottlingPolicy MigrationWizPolicy

    注:スロットリングポリシーの関連付けを変更するため使用できるその他の代替コマンドレットに関する情報は、次のMicrosoftTechNet記事に掲載されています。Set-ThrottlingPolicyAssociation

  5. MigrationWizプロジェクトをセットアップし、(エンドポイントの設定にて)「管理者の資格情報を使用する(Provide Credentials)」を選択します。上記の手順1でセットアップしたアカウントのユーザー名とパスワードを入力します。
この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています