MMSSPP は、Office 365 専用/ITAR から Exchange メールボックスとメールが有効なオブジェクトのプロビジョニングを解除しません。

現象

Microsoft マネージド サービス サービス プロビジョニング プロバイダー (MMSSPP) は、Office 365 専用/ITAR 環境から Microsoft Exchange メールボックスまたはメールが有効なオブジェクトのプロビジョニングを解除しません。

原因

プロビジョニング解除には複数の定義があり、Office 365 専用/ITAR のコンテキストでは、これらのサービスは次のいずれかを意味する可能性があります。

  • Office 365 でメールボックスを切断し、Office 365 オブジェクトをメールが有効なユーザーに変換する。これは、次のいずれかのシナリオで一般的です。

    • ユーザー メールボックスは、クラウドからオンプレミスに移行されるなど、別の環境に移行されます。

    • メール サービスが無効になっているが、他のクラウド サービス (Lync やビジネス用の Skype など) が維持されている場合。

    • グローバル アドレス一覧 (GAL) で連絡先情報を表示できる場所。

    • ユーザーが Office 365 の配布またはメールが有効なセキュリティ グループのメンバーになれる場合。

  • メールが有効なユーザーまたは連絡先のプロビジョニング解除。これにより、メールの権利と属性 (mail、 mailNickname、 legacyExchangeDN、 proxyAddress、およびtargetAddress) が削除され、Office 365 のメールが有効な配布グループまたはセキュリティ グループからユーザーが削除されますが、プロビジョニングされた Active Directory (AD) オブジェクトは保持されます。

  • Office 365 アクティブ ディレクトリからユーザーのオブジェクトを完全に削除します。

  • 訴訟ホールドのアクティブなメールボックスを非アクティブ状態に変換します。

  • Office 365 Active Directory からメールが有効なグループを削除します。

プロビジョニング解除の失敗は、次の 1 つ以上の理由で発生する可能性があります。

  • オブジェクトのプロビジョニングを解除するための正しいプロセスまたはベスト プラクティスは従っていません。

  • 毎日の MMSSPP 同期エラー レポートで報告される誤って構成された属性値は、メールボックスまたはメール ユーザーのプロビジョニング解除をブロックします。

  • メールボックスは訴訟ホールドの対象です。このようなメールボックスは、そのフラグが設定されている限りプロビジョニングを解除できません (ただし、非アクティブ状態にすることができます)。

ベスト プラクティス

シナリオ 1

ユーザーは Office 365D/ITAR にメールボックスを持っており、メールボックスのプロビジョニングを解除する必要があります。ただし、Office 365D/ITAR オブジェクトは、メールが有効なユーザーとして GAL に残る必要があります。

  1. 毎日の MMSSPP 同期エラー レポートを確認し、報告されたエラーを修正します。エラー報告ファイルを解凍した後、添付されたヘルプ ファイルと、エラーの種類ごとに修復手順が追加されます。

  2. 指定されたプロビジョニング解除属性で、メールボックスのプロビジョニング解除をトリガーする値を追加します。その他の変更を行い、管理されたメールボックスが Office 365 環境から削除されるのを待ちます(homeMDB属性値は null になります)。これは通常、1 つまたは 2 つの MMSSPP 同期サイクルで実行されます。

    1. プロビジョニング解除に使用される属性は顧客ごとに異なり、通常はメールボックス プロビジョニング値に使用される値と同じ値です (たとえば、通常、プロビジョニングされたメールボックスには extensionAttribute9=MBX=50 GB があります。タイプ=EP2D;REG=EU;)

    2. プロビジョニング解除に使用される値は、顧客ごとに異なります。ただし、通常、値は RemoveMSOMbx です (たとえば、次の場合は、次の値を使用します)。

  3. メールボックスを無効にした後、Office 365D/ITAR の外部の目的の場所 (通常は SMTP:sameAsMailValue) を指すように顧客のtargetAddress属性値を変更し、プロビジョニング解除属性を削除します。一部の同期サイクルの後、オブジェクトはメールが有効になり、GAL に表示されます。

シナリオ 2

ユーザーが Office 365D/ITAR にメールボックスを持っている場合は、メールボックスのプロビジョニングを解除し、Office 365D/ITAR オブジェクトを Office 365 AD から削除する必要があります。

  1. バリエーション 1:お客様には、フォレスト間のメールボックスの再接続が有効になっている自動サービス再接続 (ASR) 機能がありません。次のいずれかの方法が有効です。

    • MMSSPP の範囲外の組織単位 (OU) にユーザー オブジェクトを移動します。

    • MMSSPP フィルタに適切な値を設定します。この値は、属性と値の両方に対して各顧客に設定されますが、その構造は extensionAttribute1=NoSync のようなものでもかみがあります。

    • MMSSPP にはユニバーサル フィルタを使用します。このフィルターは、次のすべての属性から値をクリアします。

      • メール

      • Mailnickname

      • Proxyaddresses

      • Targetaddress

    • 顧客 AD からオブジェクトを削除します。

  2. バリエーション 2:お客様には、フォレスト間のメールボックスの再接続が有効になっている ASR 機能があります。このような場合は、顧客 AD からフィルター処理、移動、または削除されたオブジェクトは、管理オブジェクトを保持 OU (GAL に隠されているが、メールを受信する場合) に 1 ~ 3 日間移動します。

    1. 同期エラーを修正します。

    2. 指定されたメールボックス プロビジョニング属性にDeleteNow値を追加し、少なくとも 1 つの同期サイクルを完了できるようにします。これは、プロビジョニング解除をトリガーしないステージング専用の値です。フィルターが適用されると、管理対象 AD オブジェクトをPendingDeletes OU に 1 ~ 3 日間保持するのではなく、直ちに削除するように MMSSPP に指示します。

    3. バリエーション 1に記載されている変更 (移動、カスタム フィルタの適用、ユニバーサル フィルタの適用、または削除) を行います。

シナリオ 3

ユーザーのメールボックスは訴訟ホールドの対象です。このシナリオでは、Office 365 メールボックスが接続され、管理された AD オブジェクトが保持されます。メールボックスを非アクティブな訴訟ホールド状態にする場合は、次の手順を実行することをお勧めします。

  1. 顧客のプロセスがユーザーの AD オブジェクトをしばらく後に削除する場合は、メール属性、 targetAddress属性、および smtp proxyAddress 属性の値を変更して、_oldまたは_litHoldをプレフィックスに追加します。これにより、ユーザーは雇用に戻ったときに元の電子メール アドレスとプロキシ アドレスにアクセスできます。次の手順に進む前に、これらの属性を変更してください。

  2. 他のサービス (Lync など) を変更する必要がある場合は、適切な属性を変更します。

  3. メールボックスのプロビジョニング値に使用される属性にType=InHold;値を追加します (これは顧客ごとに異なります)。MBX=50GB の例を使用します。型= 保留;REG =EU;

  4. 少なくとも 1 つの同期サイクルを待ちます。

  5. Type=InHold;値が Office 365D/ITAR に同期されると、ユーザーはメールボックスにログオンできなくなります。メールボックスは GAL から隠され、そのメールボックスの送信者は配信不能レポート NDR を受信します。

  6. 手順 1 ~ 5 を完了すると、顧客オブジェクトをフィルター処理したり、スコープ外に移動したり、削除したりできます。

  7. 手順 1 ~ 5 を完了する前に手順 6 を完了しても、管理対象メールボックスは非アクティブです。ただし、これらの手順を省略すると、クエリが難しくなり、ユーザーが作業に戻ったときにサービスの復元がより複雑になる可能性があります。

シナリオ 4

Lync 専用/ITAR サービスのプロビジョニングを解除する必要があります。

  1. Lync プロビジョニング用に選択された属性に値0を設定することで、メールボックスの状態とは独立して Lync のプロビジョニングを解除できます。これは顧客ごとに異なります。

  2. ユーザー メールボックスが訴訟ホールドの対象になっている場合は、顧客オブジェクトをフィルター処理するか、スコープから削除するか、顧客 AD から削除する前に、Lync プロビジョニング解除の値 0 を設定する必要があります。

シナリオ 5

メールが有効なユーザー (メールボックスが有効なユーザーではない) またはメールが有効な連絡先のプロビジョニングを解除する必要があります。メールが有効なユーザーは、通常、顧客ドメイン リソースにログオンできるが、Office 365D/ITAR 環境外のメールボックスでメールを受信するユーザーです。これらのメールボックスは、お客様のオンプレミス環境または外部サービスに配置できます。メールが有効なユーザーを無効にするには、次のいずれかの方法を使用します。

  • MMSSPP の範囲外の OU にユーザー オブジェクトを移動します。

  • MMSSPP フィルタに適切な値を設定します。この値は、属性と値の両方に対して各顧客に設定されますが、その構造は extensionAttribute1=NoSync のようなものでもかみがあります。

  • MMSSPP にはユニバーサル フィルタを使用します。このフィルターは、次のすべての属性から値をクリアします。

    • メール

    • Mailnickname

    • Proxyaddresses

    • Targetaddress

  • 顧客 AD からオブジェクトを削除します。

シナリオ 6

メールが有効なグループは、プロビジョニングを解除する必要があります。このような場合は、Office 365D/ITAR でプロビジョニングされているグループは、GAL とアクティブ ディレクトリから削除されます。さらに、メンバーである任意のグループのメンバーとして削除されます。次のいずれかの方法が有効です。

  • グループのメール値をクリアします。

  • 顧客 AD からグループ オブジェクトを削除します。

解決方法

適切なシナリオを検討した後、次のいずれかの方法で、プロビジョニング解除の失敗シナリオを修正できます。

シナリオ 1

Office 365D/ITAR メールボックスのプロビジョニングを解除し、ユーザーが Office 365D/ITAR でメールが有効 (メールボックスが有効でない) である必要があります。

  1. Office 365D/ITAR メールボックスのプロビジョニングに必要な元の値にメール属性とtargetAddress属性の値を返します (たとえば、メール属性サフィックスが SMTP の信頼リストにあり、targetAddress属性サフィックスは @mgd.customerdomain.com に似ています)。

  2. メールボックスのプロビジョニング解除属性値を設定します。

  3. メールボックスのプロビジョニングが解除された後(get-recipientコマンドレットで誰も検出しなかった場合、またはget-userコマンドレットが値を返す場合)、メール属性とtargetAddress属性の値を、メールが有効なユーザーの目的の状態に設定します。

シナリオ 2

ユーザーが Office 365D/ITAR にメールボックスを持っている場合、メールボックスのプロビジョニングを解除し、Office 365D/ITAR オブジェクトを Office 365 AD から削除する必要があります。

  1. バリエーション 1:お客様には、フォレスト間のメールボックスの再接続が有効になっている ASR 機能がありません。次のいずれかの方法が有効です。

    • MMSSPP の範囲外の OU にユーザー オブジェクトを移動します。

    • MMSSPP フィルタに適切な値を設定します。この値は、属性と値の両方に関して設定されますが、その構造は extensionAttribute1=NoSync のようなものでもかいません。

    • MMSSPP にはユニバーサル フィルタを使用します。このフィルターは、次のすべての属性から値をクリアします。

      • メール

      • Mailnickname

      • Proxyaddresses

      • Targetaddress

    • 顧客 AD からオブジェクトを削除します。

  2. バリエーション 2:お客様には、フォレスト間のメールボックスの再接続が有効になっている ASR 機能があります。このような場合は、顧客 AD からフィルター処理、移動、または削除されたオブジェクトは、管理オブジェクトを保持 OU (GAL に隠されているが、メールを受信する場合) に 1 ~ 3 日間移動します。

    1. 同期エラーを修正します。

    2. 指定されたメールボックス プロビジョニング属性にDeleteNow値を追加し、少なくとも 1 つの同期サイクルを完了できるようにします。これは、プロビジョニング解除をトリガーしないステージング専用の値です。フィルターが適用されると、管理対象 AD オブジェクトをPendingDeletes OU に 1 ~ 3 日間保持するのではなく、直ちに削除するように MMSSPP に指示します。

    3. バリエーション 1 に記載されている変更 (移動、カスタム フィルタの適用、ユニバーサル フィルタの適用、または削除) を行います。

シナリオ 3

ユーザーのメールボックスは訴訟ホールドの対象です。

  1. メールボックスは、訴訟ホールドの対象である限りプロビジョニング解除されません。

  2. メールボックスを非アクティブな訴訟ホールド状態に移行するプロセスに関する推奨事項については、「ベスト プラクティス」を参照してください。

  3. メールボックスが訴訟ホールドから削除された後にのみ、シナリオ 1 または 2 でアクションを実行すると、メールボックスのプロビジョニングが解除されます。

シナリオ 4

ユーザーのメールボックスは訴訟ホールドの対象ですが、Lync サービスのプロビジョニングが解除される前に非アクティブ状態です。Lync サービスのプロビジョニングを解除する必要があります。

  1. 顧客オブジェクトがまだ MMSSPP のスコープ内にあり、フィルター処理されていない場合 (プロビジョニング属性にType=InHold;値を追加してメールボックスが非アクティブになった場合)、Lync プロビジョニング ビットマスク属性の属性値を0に設定します。この値は、一部の同期サイクル後に Lync サービスのプロビジョニングを解除します。たとえば、拡張属性6=15 は拡張属性6=0に変更されます。

  2. ユーザー メールボックスが訴訟ホールドの対象であり、Lync のプロビジョニングを解除する前にユーザーがスコープからオブジェクトをフィルター処理または削除した場合は、Lync のプロビジョニングを解除するための追加の手順を実行する必要があります。

    1. 顧客オブジェクトが引き続きフィルター処理されているか、OU スコープから除外されている場合は、メールボックス プロビジョニング属性にType=InHold;値を追加します (まだ設定されていない場合)。これは、メールボックスが非アクティブなままである場合に非常に重要です。値が追加されていない場合、メールボックスはスコープに戻るとすぐにアクティブな状態 (ログオンとメール配信を有効にする) に戻ります。

    2. Lync ビットマスク属性値を0に設定します。

    3. フィルタを削除するか、顧客オブジェクトを OU スコープに戻します。

    4. 一部の同期サイクルの後、Lync サービスのプロビジョニングが解除されます。

    5. Lync のプロビジョニング解除が完了すると、顧客オブジェクトを変更せずに残したり、フィルター処理したり、スコープから削除したり、顧客ポリシーに従って削除したりできます。

シナリオ 5

メールが有効なユーザー (メールボックスが有効なユーザーではない) またはメールが有効な連絡先のプロビジョニングを解除する必要があります。メールが有効なユーザーを無効にするには、次のいずれかの方法を有効にします。

  • MMSSPP の範囲外の OU にユーザー オブジェクトを移動します。

  • MMSSPP フィルタに適切な値を設定します。この値は、属性と値の両方に関して設定されますが、その構造は extensionAttribute1=NoSync のようなものでもかいません。

  • MMSSPP にはユニバーサル フィルタを使用します。このフィルターは、次のすべての属性から値をクリアします。

    • メール

    • Mailnickname

    • Proxyaddresses

    • Targetaddress

  • 顧客 AD からオブジェクトを削除します。

シナリオ 6

メールが有効なグループは、プロビジョニングを解除する必要があります。この場合、Office 365D/ITAR でプロビジョニングされたグループは、GAL およびアクティブ ディレクトリから削除されます。さらに、メンバーである任意のグループのメンバーとして削除されます。次のいずれかが有効です。

  • グループのメール値をクリアします。

  • 顧客 AD からグループ オブジェクトを削除します。

注意事項

  • Office 365D/ITAR でユーザー オブジェクトをプロビジョニングした後は、メール属性値をクリアしないでください。この属性をクリアしてもメールボックスのプロビジョニングが解除されるわけではなく、クエリ結果があいまいになり、定期的なメンテナンス タスクが不必要に複雑になる可能性があります。

  • このドキュメントは、Office 365D/ITAR 環境でメールサービスと Lync サービスのプロビジョニングを解除するためのベスト プラクティスと簡単な修復手順を提供することを目的としています。お客様が行ったその他の措置により、サービスのプロビジョニングが解除される可能性があります。詳細については、『 Office 365D/ITAR プロビジョニング ツール ハンドブック」を参照してください。

  • メールボックスのプロビジョニングが解除されても、方法に関係なく、Office 365D/ITAR からすぐには削除されません。代わりに、構成された保存期間 (通常は 30 日間) は切断された状態で保持され、その間は自動的に再接続できます (元のユーザー オブジェクトがフィルター処理されていないか、MMSSPP スコープに戻された場合)、または手動で再接続 (Microsoft サポート サービスへのエスカレーションを通じて)。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×