フェデレーション信頼を管理する

製品: Exchange Server 2013

フェデレーション信頼は、Microsoft Exchange 2013 組織と Microsoft Entra 認証システムの間に信頼関係を確立し、他のフェデレーション Exchange 組織とのフェデレーション共有をサポートします。 通常は、フェデレーションの信頼を作成した後に管理または変更する必要はありません。 ただし、フェデレーション ドメインの追加や削除、またはフェデレーションの信頼の組織識別子 (OrgID) を構成するために使用されるドメインの再設定が必要になる状況もあります。

注:

既存のフェデレーション信頼 (特に OrgID の定義に使用されるプライマリ共有ドメイン) を変更すると、フェデレーション Exchange 組織間のフェデレーション共有や、Microsoft 365 または Office 365 組織とのハイブリッド展開でフェデレーション共有が中断される可能性があります。

フェデレーションに関連するその他の管理タスクについては、「 フェデレーションの手順」を参照してください。

重要

Exchange Server 2013 のこの機能は、中国で 21Vianet によって運用される Office 365 との完全な互換性を備えておらず、いくつかの機能制限が適用される場合があります。 詳細については、「21Vianet が運用している Office 365 について」を参照してください。

はじめに把握しておくべき情報

• 予想所要時間 : 30 分。

• この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「Exchange とシェルのインフラストラクチャのアクセス許可」トピックの「フェデレーションと証明書のアクセス許可」エントリを参照してください。

• フェデレーションの信頼に追加された新しいフェデレーション ドメインごとに、パブリック DNS に TXT レコードを追加することが必要になります。 パブリック DNS レコードをホストする組織とともに TXT レコードを追加する要件を確認します。

• このトピックの目的上、既存のフェデレーションの信頼は次の設定で構成されました。

  • [Contoso.com] はフェデレーションの信頼のプライマリ共有ドメインです。 (このドメインは変更されません)

  • フェデレーション ドメイン [service.contoso.com] および [sales.contoso.com] は、既存のフェデレーションの信頼に含まれます。

  • Marketing.contoso.com は Exchange 組織の承認済みドメインです。

• このトピックは、フェデレーションの信頼に使用される証明書の表示および管理、シェル内のフェデレーションの信頼のパラメーター情報の表示など、他のフェデレーション管理タスクも対象とします。

• このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。

EAC を使用してフェデレーション信頼を管理する

1. オンプレミス組織の Exchange 2013 サーバーで、組織>共有に移動します。

2. [フェデレーションの信頼] セクションで、 [変更] をクリックします。

3. [共有が有効なドメイン] で、プライマリ共有ドメインが変わっていないので [ステップ 1] をスキップします。

4. 手順 2 で、service.contoso.com ドメインを選択し、[削除] アイコンをクリックフェデレーション信頼からドメインを削除します。

5. 手順 2 で、[。

6. [承認済みドメインの選択] で、承認済みドメインのリストから [marketing.contoso.com] を選択して、 [OK] をクリックし、フェデレーションの信頼にドメインを追加します。

   重要

   フェデレーション ドメインの証明文字列は、 [marketing.contoso.com] ドメインに作成されます。 このドメインのパブリック DNS に別の TXT レコードを作成する必要があります。

7. [marketing.contoso.com] ドメインに作成されたフェデレーション ドメインの証明文字列を使用して、パブリック DNS サーバー上に TXT レコードを作成します。 パブリック DNS ホストの更新スケジュールによっては、DNS 変更のレプリケーションに 15 分以上かかる場合があります。

8. TXT レコードを作成および複製した後、[更新] をクリックします。

シェルを使用してフェデレーションの信頼を管理する

1. この例では、フェデレーションの信頼からから service.contoso.com ドメインを削除します。

   Remove-FederatedDomain -DomainName service.contoso.com
   

2. この例では、marketing.contoso.com ドメインをフェデレーションの信頼に追加します。

   Add-FederatedDomain -DomainName marketing.contoso.com
   

構文およびパラメーターの詳細については、「Remove-FederatedDomain」と「Add-FederatedDomain」を参照してください。

次のシェル コマンドを実行して、フェデレーションの信頼の他の側面を管理します。

1. フェデレーション OrgID とフェデレーション ドメインを表示する

   この例では、Exchange 組織のフェデレーション OrgID と、フェデレーション ドメインや状態などの関連情報を表示します。

   Get-FederatedOrganizationIdentifier
   

2. フェデレーション信頼証明書を表示する

   次の使用例は、フェデレーション信頼 "Microsoft Entra 認証" によって使用される前の証明書、現在の証明書、および次の証明書を表示します。

   Get-FederationTrust "Azure AD authentication" | Select Org*certificate
   

3. フェデレーション証明書の状態を確認する

   この例では、組織内のすべてのメールボックス サーバーおよびクライアント アクセス サーバー上のフェデレーション証明書の状態を表示します。

   Test-FederationTrustCertificate
   

4. フェデレーション信頼が、証明書を次の証明書として使用するよう構成する

   次の使用例は、指定された拇印を使用して証明書を次の証明書として使用するようにフェデレーション信頼 "Microsoft Entra 認証" を構成します。 証明書が組織内のすべての Exchange サーバーに展開されたら、 PublishCertificate スイッチを使用して、この証明書を現在の証明書として使用するようにフェデレーション信頼を構成できます。

   Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
   

5. 次の証明書を現在の証明書として使用するようにフェデレーション信頼を構成する

   この例では、次の証明書を現在の証明書として使用するようにフェデレーション信頼 Microsoft Entra 認証を構成し、Microsoft Entra 認証システムに発行します。

   Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
   

   警告

   次の証明書を現在の証明書として使用するようにフェデレーション信頼を構成する前に、証明書が組織内のすべての Exchange サーバーに展開されていることを確認してください。 証明書の展開状態を確認するには、Test-FederationTrustCertificate コマンドレットを使用します。

6. Microsoft Entra 認証システムからフェデレーション メタデータと証明書を更新する

   次の使用例は、フェデレーション信頼 Microsoft Entra 認証の Microsoft Entra 認証システムのフェデレーション メタデータと証明書を更新します。

   Set-FederationTrust "Azure AD authentication" -RefreshMetadata
   

構文およびパラメーターの詳細については、以下のトピックを参照してください。

• Get-FederatedOrganizationIdentifier

• Get-FederationTrust

• Test-FederationTrustCertificate

• Set-FederationTrust

注:

テナントが Office 365 米国政府機関 GCC High または DoD 環境でホストされている場合は、追加の考慮事項があります。 これらの環境では、MetadataUrl パラメーターの値が異なるオンプレミスの Exchange 環境で Set-FederationTrust コマンドレットを実行する必要があります。 詳細については、「 Set-FederationTrust 」を参照してください。

正常な動作を確認する方法

[共有が有効なドメイン] ウィザードが正常に完了することは、まず予期したとおりにフェデレーション信頼を構成したことで判断できます。

正常実行を詳細に確認するには、次を実行します。

1. 次のシェル コマンドを実行して、フェデレーション信頼情報を確認します。

   Get-FederationTrust | format-list
   

2. 次のシェル コマンドを実行して、フェデレーション情報を組織から取得できることを確認します。 たとえば、 DomainNames パラメーターで sales.contoso.com ドメインと marketing.contoso.com ドメインが返されることを確認します。

   Get-FederationInformation -DomainName <your primary sharing domain>
   

ヒント

問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Server のフォーラムにアクセスします。