ドメイン(テナント)の特定のグループのメールボックスだけにOnTimeの利用制限ができますか？

OnTimeはドメイン(テナント)全てでご契約頂く必要はありません。同期対象の指定を配布リストかLDAP(s)で指定するだけで制限は可能です。その同期対象を「”ApplicationImpersonation”（偽装）」の役割を持った管理者がEWSに接続して同期を行います。役割を持つ管理者の設定は「Exchange側でのImpersonation Userの設定方法」を参照下さい。
そして更にテナント運用者とOnTime運用者が違う場合などで厳密に同期対象のメールボックスだけに接続の制限を掛けたい場合は、同期を司るユーザーに割り当てる役割「ApplicationImpersonation」指定時の「書き込みスコープ」を厳密に設定することで明確化が可能です。但しスコープはPowerShellで予め設定しないと選択肢に表示がされませんので予め作成して下さい。

１．Exchange Online PowerShell に接続してスコープの作成準備

初めてPowerShellを操作する際は、スクリプトを実行するように Windows PowerShell を構成する必要があります。管理者特権の Windows PowerShell （[管理者として実行] をクリックしたときに開く Windows PowerShell ）で次のコマンドを実行します。このコマンドはコンピューターで一度だけ構成すれば接続ごとに行う必要はありません。
```
Set-ExecutionPolicy RemoteSigned
```
ローカルコンピューターで、Windows PowerShell を開き、次のコマンドを実行します。
```
$UserCredential = Get-Credential
```
[Windows PowerShell 資格情報の要求] ダイアログボックスで、Office365 管理者アカウントのアカウントとパスワードを入力してから [OK] をクリックします。

次のコマンドを実行します。

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

次のコマンドを実行します。

Import-PSSession $Session -DisableNameChecking

詳細は以下のページを参照下さい。
「Exchange Online PowerShell に接続する」

２．役割スコープを作成

先に以下を参照して特定の対象を絞り込む条件を整理します。
「-RecipientFilter パラメーターのフィルター可能なプロパティ」

コマンドは以下の構文となります。

New-ManagementScope -Name <scope name> -RecipientRestrictionFilter <filter query> [-RecipientRoot <OU>]

FAQではサンプルとして２つのスコープを作成します。

対象をAzureADやADの「会社」属性で絞り込む場合

New-ManagementScope -Name "Mailboxes in OTDEMO" -RecipientRestrictionFilter { Company -eq 'オンタイムデモ株式会社' }

対象をAzureADやADの「事業所」属性で絞り込む場合

New-ManagementScope -Name "Mailboxes in Tokyo" -RecipientRestrictionFilter { Office -eq '東京本社' }

詳細は以下のページを参照下さい。
「通常または排他スコープを作成する」
役割スコープを削除する場合の詳細は以下のページを参照下さい。
「役割スコープを削除する」

３．PowerShellのセッションは忘れずに切断

作業を完了した時点でリモート PowerShell セッションを切断してください。セッションを切断せずに Windows PowerShell ウィンドウを閉じると、使用可能なリモート PowerShell セッションがすべて消費される可能性があるため、セッションの有効期限が切れるまで待つ必要があります。次のコマンドを実行します。
```
Remove-PSSession $Session
```