Exchange Onlineでメーリングリストとして利用できる配布グループには、配布グループと(メールが有効な)セキュリティグループの2種類があります。また、ディレクトリ同期を有効にしている場合は、それぞれそのグループがオンプレミスのADで環境化で作成した物と、Office365で作成した物で、計4種類のグループが存在します。
今回は、その4種類を以下の通りとして、簡単にその特徴と使い分けについて紹介したいと思います。
| ①オンプレミスのAD上で作成 | ②Office365上で作成 | |
| A.配布グループ | dg1@contoso-jp.com | dg2@contoso-jp.com |
| B.セキュリティグループ | sg1@contoso-jp.com | sg2@contoso-jp.com |
A,Bの差は、
- AはExchangeのみで利用できるグループ
- Bは権限の設定(オンプレミスのファイルサーバーやSharePoint Online)で利用できる
また、①②の差については、
- ①はActive Directoryでメンバーの変更を行う。この為、Office365で作成されたユーザーをメンバーに加えることはできず、同じくActive Directory上にいるディレクトリ同期されたユーザーのみメンバーにすることができる。
- ②は、Exchange Onlineの機能でセルフサービス配布グループ(配布グループの作成、削除、配布グループへの参加または脱退をグループの管理者に委任することができる)として構成することができる。
- ①は作成する際にADSIエディタなどでDisplayNameの属性を直接設定する必要がある。
などが大きいかと思います。
個人的な使い分けとしては、①のオブジェクトは少し作成・設定が面倒なので極力②をベースとして、
- 社内でファイルサーバの権限などと合わせて設定されている部署・部門毎のグループのみ①-Bとして作成し、人事異動などの際の管理を容易にする。SharePoint Onlineの権限もこのグループを利用する。
- 特定プロダクトやプロジェクトのMLなどについては②-Aとする。(同グループがSharePoint Onlineサイトを作成する場合は②-Bとする。)
とかがお勧めです。
また、その他として「動的配布グループ」という物が有ります。これは、全ユーザーの属性(例えば部門や住所、個別に設定した拡張属性を含みます)をベースとしたグループになります。このグループは、「唯一メーリングリストのメンバーとして誰が含まれているか、Outlook/OWAなどから見ることができない」物になります。
- 社外のアドレスや個人の携帯電話のアドレスが含まれているグループ
- “組合員”など”再雇用者”などの比較的センシティブな情報を取り扱うグループ
- “首都圏の全ユーザー”などメンテナンスが難しいグループ
などの場合に利用する事が多いかと思います。動的配布グループ自体は、オンプレミスで作成してもディレクトリ同期されないので、Office365側で作成します。(ベースとなる属性情報などはActive Directory側で作成します)
注意点としては、①は配布グループの細かい挙動に関する設定もオンプレミス側で実施する必要があります。デフォルトの設定から変更しなければならない場合は、特にGUIなどは用意されていないので、DisplayNameと同様にADSIエディタなどで直接値を入れなくてはいけません。主な設定項目は以下の通りです。
| デフォルト | 変更可能な値 | |
| 配布グループの管理者 (ManagedBy) |
Organization Management | 任意のユーザー (※DNを指定します) |
| メンバー展開後のNDRの送信先 (ReportToOwner,ReportToOriginator) |
送信しない | ①元の送信者 ②配布グループの管理者 |
| 配布グループに送信できるメンバー (msExchRequireAuthToSendTo) |
全員 | 内部のユーザーのみ |
| グローバルアドレス帳への掲載 (msExchHideFronAddressLists) |
載る | 載せない |
括弧内は対応するActive Directoryの属性。必要に応じてオンプレミスのADのスキーマを拡張する必要があります。
さすがに少し面倒なので、利用する際はPowerShellとかを上手く組み合わせて定型化することをお勧めさせて頂きます。