米Microsoftがすでにサービスを開始している「Business Productivity Online Suite(BPOS)」は,,Microsoft Exchange OnlineとMicrosoft SharePoint Online,Microsoft Office Live MeetingといったOfficeのサーバー機能をSaaS(Software as a Service)型で提供するものである(編集部注:BPOSは日本でもサービスを開始した,関連記事1,関連記事2,関連記事3)。このBPOSについて,ITプロの視点から2回に渡って解説する。前編ではサービスの概要と,実際に利用するまでの事前設定について紹介した。今回は,BPOSを実際に利用する場合の展開や管理について,ヒントを交えながら説明していく。
ユーザーの作成と管理
BPOSのユーザーには2つの種類がある。管理者が管理センターで作成するユーザーと,ディレクトリ同期ツールで作成されるユーザーだ。Microsoft Online Administration Center(MOAC)でのユーザー作成プロセスは簡単だ。メイン・ページの「Actions」リストからNew Userウィザードを起動して,そのユーザーに新しいパスワードを送信するだけでよい(ユーザーは最初のログオン時にこのパスワードを変更する必要がある)。また,CSVファイルを使って,複数のユーザーをインポートすることも可能だ。
ディレクトリ同期ツールは,MOAC経由でダウンロードして,インストールできる。このツールには,管理者が手を加えるところはあまりない。そして,必要な機能は,ほぼすべて搭載されている。インストーラはバックグラウンドで,Microsoft Identity Integration Server(MIIS)とSQL Server 2005 Express Edition,そして新しいアカウントを定期的に複製するWindowsサービスをサーバーに追加する。ディレクトリ同期ツールはユーザー・オブジェクトを検索する際にフォレスト内の全てのドメインをクローリングするため,インストールには企業管理者の証明書が必要だ。
ディレクトリ同期ツールを使ってユーザーの作成および管理を行なうときには,注意すべき重要なことがいくつかある。以下に列挙してみよう。
●Active Directory(AD)フォレストのすべてのユーザーについて,サービス上にアカウントが作成される。ディレクトリ同期ツールの現行版では,これを特定のOU(組織単位)やドメインに閉じ込めることはできない。
●パスワードはコピーされない。
●ADで作成された新しいユーザーはBPOSに複製されない。そして,BPOSで作成されたユーザーはADに複製されない。どちらからも一方通行なのだ。
●複製されたアカウントにライセンスは自動的に付与されない。このため,ライセンスは手動で付与する必要がある。このプロセスはいたって簡単だ。ライセンスのない全てのユーザーを同時に選択して,ライセンスを与えるだけでいい。
●デフォルトの設定だと,複製は30秒ごとに行なわれる。同期の開始時間と終了時間は,イベント・ビューアのメッセージで確認できる。
●ディレクトリ同期ツールを実行して,手動で複製を始めることも可能だ。
ディレクトリ同期ツールについてもっと詳しく知りたい人は,TechNetのWebキャスト「Migration and Coexistence for the Business Productivity Online Suite from Microsoft Online Services(Microsoft Online ServicesのBusiness Productivity Online Suiteへの移行と共存)」やオンライン・ヘルプを参照してほしい。
サインイン・アプリケーションの展開
BPOSを使うクライアント側の管理タスクには,BPOSにサインインするためのアプリケーションの展開やOutlookのユーザー・プロファイルの微調整,Microsoft Office向けのLive Meetingアドオンのインストール,社内に設置しているExchangeサーバーからExchange Onlineへの電子メールの移行などがある。
サインイン・アプリケーションは,利用者の利用しているデスクトップ環境上に展開する。サインイン・アプリケーションは,OutlookやOutlook Web Access(OWA),SharePoint Online,Live Meetingを起動するときに使用する。このサインイン・アプリケーションから起動することによって,多くの場合でサービスへの認証を手動で行なう手間を省ける。
サインイン・アプリケーションが必要なのは,サービスのユーザー・アカウントがMicrosoftのデータセンター内に存在しており,企業のローカルのADやほかのメンバーシップ・システムには属していないからだ。そのために,アカウントのユーザーIDとパスワードは独自の存在であり,クライアント・システムにサインオンしているユーザーとはセキュリティ環境を共有していない。
筆者はこの仕様を,顧客の立場から見て気に入っている。なぜなら,自社のローカルのユーザー名とパスワードがMicrosoftのデータセンター内部に格納されないからだ。とはいっても,これらのIDをつなぐMIISなどのサービスをオプションとして用意しておくと,利便性が向上するのは確かだ。ちなみに,BPOSの初版では,現時点ではID連携をサポートしていない。
BPOSのクライアントへの展開時には,ほかのソフトの展開作業時と同様に,ハードウエアおよびソフトウエアの最低要件やユーザー体験に与える影響,さらにサポートや更新,インストールに関する要件などを評価する必要がある。サインイン・アプリケーションを使用するには,Windows XP Professional SP2,Windows Vista Premium,Ultimate,Enterpriseのいずれかが必要だ。また,サインイン・アプリケーションは認証作業でサービスにアクセスする際に,Windows Communication Foundation(WCF)を使用するため,Microsoft .NET Framework 2.0もインストールしておかなければならない。電子メール・クライアントは,Microsoft Office Outlook 2007がサポートされている。最後になるが,サインイン・アプリケーションをインストールできるのは,管理者だけである。サインイン・アプリケーションはAdministration CenterまたはWebサイトからダウンロードできる。
サインイン・アプリケーションは,OutlookをBPOSに接続する新しいOutlookユーザー・プロファイルを作成する。多くの場合,自動検出機能が自動的に作動するので,設定作業はシームレスに行なうことが可能だ(一部の共存シナリオでは微調整が必要かもしれない。詳細については,オンライン文書を参照してほしい)。このとき,オートコンプリートの履歴の取得や,ローカルに保存された受信ボックスの新プロファイルへの追加などの管理タスクを実行する必要があるかもしれない。いずれも単純なタスクなので,必要であれば,自動化することも可能だ。筆者のブログにこれらのタスクの実行について詳述した記事があるので,是非参照してほしい。
