ハイブリッド環境でのメールボックスの一般的な復元シナリオ

(この記事は 2015 年 12 月 4 日に Exchange Team Blog に投稿された記事 Common mailbox recovery scenarios for hybrid environments の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

 

マイクロソフトのサポート部門では、メールボックスを復元したいというご相談をよく頂きます。たいていの場合、既にご存知の方法や Web で入手した方法をひととおりお試しになった後にご連絡を頂きます。こうしたケースの多くは、本来なら回避できるはずのちょっとした操作ミスでユーザーの Active Directory アカウントが削除されてしまったというものです。

そのような事態に陥った場合は、この記事のガイドに従って対処してみてください。うまくいけば、データを失うことなく完全に機能する状態でユーザー アカウントとメールボックスを復元させることができ、ヒーローになれるかもしれません。

記事の内容

この記事の主な目的は、オンプレミスのユーザー アカウントが削除された場合に、それに対応するクラウドのメールボックスを復元することです。ただし、ディレクトリ同期を有効化していない場合は、この記事の内容は適用できません。その場合はこちらの記事 (機械翻訳) を参照してください。

対象となるシナリオ

メールボックスの復元が必要となるシナリオはさまざまです。この記事では最も一般的なシナリオについて取り上げます。そちらを参考に、お客様の状況に応じた最適な復元オプションを判断してください。

• ディレクトリ同期のフィルター設定が変更されたために、クラウドのメールボックスに関連付けられていたオンプレミスの Active Directory ユーザー アカウントがフィルターから除外され、メールボックスが削除された
• クラウドのメールボックスに関連付けられていたオンプレミスの Active Directory ユーザー アカウントが誤って、または故意に削除され、メールボックスが削除された
• クラウドのメールボックスに関連付けられていたオンプレミスの Active Directory ユーザー アカウントが誤って、または故意に削除されたが、そのメールボックスは訴訟ホールド対象として保持されている

上記のどのシナリオでも結果的に状況は同じです。メールボックスに関連付けられていた Office 365 のユーザー アカウントは削除され、メールボックスは論理的に削除された状態となっています。削除された状態のメールボックスは、30 日が経過すると Office 365 から完全に削除され復元できなくなりますが、それ以前であれば復元できます。

メールボックスの復元では、状態をよく把握しないままユーザー アカウントを新規作成してメールボックス データをマージすることは禁物であり、まず適切なユーザー アカウントの復元を試みることがきわめて重要です。ユーザー アカウントを適切に復元できれば、OneDrive や SharePoint などの他のサービスのユーザー データも完全に復元できる可能性が高くなります。さらに、元のアカウントが復元されればユーザーへの影響はほとんどなく、新しいプロファイルを作成したりパスワードをリセットしたりする必要もなく、ユーザーはただログインするだけで前回中断した場所から作業を再開することができます。

復元手順

メールボックスの復元において 1 つ問題となるのが、どの復元オプションを使用するかという点です。使用すべき復元オプションがわかっている場合は、該当するセクションに移動してください。どの復元オプションを使用すればよいかわからない場合は、以降のセクションの内容をよく読んで適切なオプションを選択してください。

1. ディレクトリ同期の範囲が変更されたために削除されたユーザー アカウントを復元する
2. オンプレミスの Active Directory から削除されたユーザー アカウントを復元する (ごみ箱を有効にしている場合)
3. オンプレミスの Active Directory から削除されたユーザー アカウントを復元する (ごみ箱を無効にしている場合)
4. 削除されたユーザーのメールボックス データを新規メールボックスまたは代替メールボックスに復元する
5. 非アクティブなユーザーのメールボックスを復元する

ディレクトリ同期の範囲が変更されたために削除されたユーザー アカウントを復元する

実際の運用環境が複雑だと、特定の Active Directory グループまたは組織単位 (OU) のみを Office 365 に同期するほうが便利な場合があります。この手法はあまり知られていませんが、フィルター処理の構成方法はこちらのドキュメントに記載されています。この構成の場合、同期されている OU から同期されていない OU にユーザーを移動すると、Office 365 ではこれをユーザー アカウントの削除処理であるとみなします。このため、Office 365 のそのユーザー アカウントは削除され、そのユーザーのメールボックスも前述のとおり論理的に削除された状態となります。

このシナリオでの復元手順は非常に簡単で、削除されたユーザーを元の OU に戻すだけです。前にユーザーが属していた OU が引き続き同期されている場合、次回のディレクトリ同期処理が完了すると、該当ユーザーおよびそのユーザーに関連付けられていたデータはすべて復元されます。既定では、ディレクトリ同期は 3 時間ごとに実行されます。ユーザーを適切な OU に戻した後は次の同期サイクルが実行されるまで待つ必要がありますが、同期を強制実行することも可能です。同期を強制実行する方法の詳細については、こちらの記事 (英語) を参照してください。

オンプレミスの Active Directory から削除されたユーザー アカウントを復元する ( ごみ箱を有効にしている場合 )

このシナリオは、前述したものよりも一般的です。Active Directory のごみ箱を有効化するメリットについては、ご存知の方も多いでしょう。この機能についてあまりご存知でない場合は、こちらの記事をお読みください。Active Directory のごみ箱を使用すると、オブジェクトを削除した場合に、以前よく利用されていた AD の Authoritative Recovery の複雑なプロセスを実行しなくても削除操作を元に戻すことができます。

Active Directory のごみ箱を有効にしている場合、削除されたユーザーの復元にこの機能を利用できます。ただし、この機能を有効にする前にユーザーが削除されていた場合には、この方法は使用できません。

復元手順は次のとおりです。

• こちらの説明に従って、LDP または PowerShell を使用してユーザー アカウントを復元します。

注: あまり一般的なケースではありませんが、ディレクトリ同期のフィルター処理 (詳細はこちらを参照) を使用している場合は、ユーザーの復元先にはディレクトリ同期の対象となっている OU を選択する必要があります。

• ドメイン コントローラーが複数存在する環境の場合、次の手順に進む前に、復元されたオブジェクトのレプリケーションが完了していることを確認します。
•  次回のディレクトリ同期が完了するまで待機します。Azure Active Directory 接続を使用している場合に同期を強制実行するには、こちらの記事 (英語) の手順に従ってください。

この手順はとても簡単なうえ、メールボックスおよびそれに関連付けられていたすべてのユーザー データを完全に復元することができます。

オンプレミスの Active Directory から削除されたユーザー アカウントを復元する ( ごみ箱を無効化にしている場合 )

ここまでお読みになって、Active Directory のごみ箱を有効化していればよかったと後悔している方もいらっしゃるかもしれません。それでも、データが失われているとは限りません、まだユーザー アカウントとメールボックス データを復元できる可能性があります。ユーザー アカウントに関連付けられていた他のサービスのデータも復元できる可能性があります。しかし、手順は少し複雑です。

元のユーザー アカウントを復元させることができるとそれに関連付けられていたデータもすべて復元されるため、試してみる価値はあります。オンプレミスでユーザー アカウントを新規に作成し直すと、たとえ削除されたユーザーと同一のユーザー名を使用しても、このユーザーが Office 365 に同期される際に新しいオブジェクト GUID が付与されます。このため、ユーザーに関連付けられていた SharePoint、OneDrive、Exchange のほか、その他のデータやアクセス許可は失われます。

ユーザー アカウントとそれに関連付けられていたすべてのデータを復元する最後の方法をご説明しましょう。多少旧式なやり方のように見えますが、この手順が効果的な場合にはすぐにユーザーが復元されてデータを使用することができます。

• 復元を始める前に、ディレクトリ同期により最新の状態に同期されていることを確認します。次回の同期サイクルが完了するまで待機しなくても、Azure Active Directory 接続で同期を強制実行することもできます。
• Office 365 ポータル (https://portal.office.com) に移動して、左側の [USERS] ウィンドウを展開します。[Deleted Users] コンテナーを選択し、復元するユーザーを指定します。オブジェクトを選択し、画面右側の [Restore users] をクリックします (図 1 参照)。これでクラウド ユーザーとそれに関連付けられていたメールボックス、SharePoint、他のサービスのデータが復元されます。

図 1: 削除済みの Office 365 ユーザーを復元する

• 復元したユーザーにライセンスが割り当てられていることを確認します。ユーザーにライセンスを割り当てる方法については、こちらのページを参照してください。
• 画面左の [Users] ウィンドウに戻ります。[Active Users] コンテナー内の復元したクラウド ユーザーをダブルクリックしてプロパティを表示し、ユーザー プリンシパル名 (UPN) の名前空間をお客様のテナントのアドレスに変更して保存します (図 2 参照)。

図 2: UPN の名前空間を変更する

• 次に、Exchange 管理センターまたはオンプレミスの Exchange 管理コンソールからリモート メールボックスを新規作成します (図 3、図 4 参照)。新しいリモート メールボックスの SMTP アドレスは、必ず復元したユーザー アカウントの SMTP アドレスと同一のものを使用してください。たとえば、復元するユーザーの SMTP アドレスが Ted@contoso.com であれば、オンプレミスで新規作成するリモート メールボックスも同じ SMTP アドレスを指定します。この手順を正しく行うと、あいまい一致と呼ばれる処理が実行されます。このあいまい一致処理により、リモート メールボックスを新規作成する際にバックグラウンドで新規作成されたオンプレミスのユーザー アカウントが、SMTP アドレスに基づいて、復元したクラウドのメールボックスにリンクされます。

図 3: Exchange 2013 管理センターでリモート メールボックスを新規作成する

 

 

図 4: Exchange 2010 管理コンソールでリモート メールボックスを新規作成する

• Azure Active Directory 接続を使用して、再度ディレクトリ同期を強制実行します。その後、ポータルに戻り画面左側の [Users] ウィンドウを開きます。[Active Users] コンテナー内の復元したクラウド ユーザーをダブルクリックし、そのユーザーのプロパティを表示します。UPN がオンプレミスで新規作成されたユーザーと同一であるか確認し、同一であればこの手順は終了です。異なっている場合は、こちらの記事の説明に従ってください。

 

削除されたユーザーのメールボックス データを新規メールボックスまたは代替メールボックスに復元する

ここまで説明した復元オプションのいずれでも復元できなかったとしても、メールボックス データを復元できる可能性があります。このプロセスではメールボックス データを復元することができますが、それに関連付けられていた OneDrive や SharePoint などの他のサービスのデータは失われます。このため、このオプションは他のどのオプションでも復元できなかったときの最後の手段として使用します。

こちらの記事に、オンプレミスでユーザーを新規作成し、そのユーザーを Office 365 に同期し、論理的に削除されたメールボックスからデータをマージする手順が記載されています。

非アクティブなユーザーのメールボックスを復元する

最後のシナリオとして、非アクティブなメールボックスの復元について説明します。非アクティブなメールボックスとは、訴訟ホールドの対象となっていてその後削除されたユーザーのメールボックスのことです。データを保持し検索可能な状態に保つために、このメールボックスのコンテンツが保存され、削除されたユーザーに割り当てられていたライセンスは再利用することができます。非アクティブなメールボックスの詳細については、こちらのページを参照してください。

訴訟ホールドの対象とされていたユーザーを誤って削除し、そのユーザーを復元する必要がある場合は、次の手順に従います。

• お客様のテナントの管理者の資格情報を使用して PowerShell で Exchange Online に接続します。接続方法の詳細については、こちらのページを参照してください。
• 次のコマンドレットを実行します。　Get-Mailbox "<非アクティブなメールボックスの UPN>" -InactiveMailboxOnly | Select Name, DisplayName, MicrosoftOnlineServicesID, ExchangeGuid
• 次のコマンドレットを実行します。　New-Mailbox -Name "<手順 2 で取得した Name>" -InactiveMailbox " <手順 2 で取得した ExchangeGuid>" -MicrosoftOnlineServicesID "<手順 2 で取得した MicrosoftOnlineServicesID>" -Password (ConvertTo-SecureString -String '<パスワード>' -AsPlainText -Force)
• 手順 3 のコマンドレットが正常に完了した後、Exchange Online のフォレストと Azure Active Directory のフォレストの間でレプリケーションが完了するまで少なくとも 5 分間待機します。Azure Active Directory のオブジェクトが新しいメールボックスに表示されたら、Exchange Online のライセンスの割り当てを行います。
• 次に、Exchange 管理センターまたはオンプレミスの Exchange 管理コンソールからリモート メールボックスを新規作成します (図 5、図 6 参照)。新しいリモート メールボックスの SMTP アドレスは、必ず復元したユーザーの SMTP アドレスと同一のものを使用してください。たとえば、復元するユーザーの SMTP アドレスが Ted@contoso.com であれば、オンプレミスで新規作成するリモート メールボックスも同じ SMTP アドレスを指定します。これによりあいまい一致と呼ばれる処理が実行され、新規作成されたオンプレミスのユーザーが、SMTP アドレスに基づいて、復元したクラウドのメールボックスにリンクされます。

図 5: Exchange 2013 管理センターでリモート メールボックスを新規作成する

図 6: Exchange 2010 管理コンソールでリモート メールボックスを新規作成する

• Azure Active Directory 接続を使用して、再度ディレクトリ同期を強制実行します。
• その後、ポータルに戻り画面左側の [Users] ウィンドウを開きます。[Active Users] コンテナー内の復元したクラウド ユーザーをダブルクリックし、そのユーザーのプロパティを表示します。UPN がオンプレミスで新規作成されたユーザーと同一であるか確認し、同一であればこの手順は終了です。異なっている場合は、こちらの記事の説明に従ってください。

まとめ

企業において最も簡単にメールボックスとユーザーを復元できる方法は何なのか、ご自身および社内スタッフで把握しておくことが重要です。可能であれば、Active Directory のごみ箱を有効化したり、予期せずユーザーを削除した場合の対処についてすべての IT 担当者が学習したりするなど、対策を講じることをお勧めします。また、いざというときのためにユーザーとそれに関連付けられているデータを復元する方法が何種類かあることを知っておき、状況に合わせて適切なオプションを選択できるようにすることも大切です。

本稿の執筆にあたって有益な意見と多大なる助力をいただいた Timothy Heeney に感謝の意を示します。

Bio Awojobi

 

※ 本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。