リソース フォレスト トポロジの展開

  • [アーティクル]

Important

21Vianetが中国で運営するSkype for Businessオンラインは、2023年10月1日に廃止されます。 Skype for Business Online ユーザーをまだアップグレードしていない場合は、自動的に支援されたアップグレードがスケジュールされます。 organizationを自分で Teams にアップグレードする場合は、今すぐアップグレード パスの計画を開始することを強くお勧めします。 アップグレードが成功すると技術的な準備とユーザーの準備が整っていることを忘れないでください。そのため、Teams への旅を進める際には 、アップグレード ガイダンス を活用してください。

Skype for Businessオンラインは、21Vianet が中国で運営するサービスを除き、2021 年 7 月 31 日に廃止されました。

以降のセクションでは、リソース/ユーザー フォレスト モデルに複数のフォレストがある環境を構成して、ハイブリッド シナリオで機能を提供する方法について説明します。

ハイブリッド用のマルチフォレスト環境。

トポロジ要件

複数のユーザー フォレストがサポートされます。 以下の点について留意してください。

  • ハイブリッド構成でサポートされている Lync Server とSkype for Business Serverのバージョンについては、「ハイブリッド接続の計画」を参照してください。

  • Exchange Serverは、1 つ以上のフォレストに展開できます。これは、Skype for Business Serverを含むフォレストを含む場合と含まれていない場合があります。 最新の累積的な更新プログラムが適用されていることを確認します。

  • オンプレミスとオンラインのさまざまな組み合わせでのサポート条件と制限事項など、Exchange Serverとの共存の詳細については、「Skype for Businessと Exchange を統合するための計画」の機能サポートに関するページを参照してください。

ユーザーの所属に関する考慮事項

オンプレミスに所属するユーザー Skype for Business、Exchange をオンプレミスまたはオンラインでホームにすることができます。 Teams ユーザーは、最適なエクスペリエンスのためにExchange Onlineを使用する必要があります。ただし、これは必要ありません。 いずれの場合も、Exchange オンプレミスでSkype for Businessを実装する必要はありません。

フォレストの信頼を構成する

リソース フォレスト トポロジでは、Skype for Business Serverをホストしているリソース フォレストは、アクセスするユーザーのアカウントを含む各アカウント フォレストを信頼する必要があります。

複数のユーザー フォレストがある場合、フォレスト間認証を有効にするには、これらのフォレストの信頼ごとに名前サフィックス ルーティングが有効になっていることが重要です。 手順については、「 フォレストの信頼の管理」を参照してください。

別のフォレストに展開Exchange Serverがあり、Exchange がユーザー Skype for Business機能を提供する場合、Exchange をホストするフォレストは、Skype for Business Serverをホストしているフォレストを信頼する必要があります。 たとえば、Exchange がアカウント フォレストに展開された場合は、アカウントとSkype for Business フォレスト間の双方向の信頼が必要です。

アカウントをフォレスト ホスティング Skype for Businessに同期する

Skype for Business Serverが 1 つのフォレスト (リソース フォレスト) にデプロイされているが、1 つ以上の他のフォレスト (アカウント フォレスト) 内のユーザーに機能を提供するとします。 この場合、他のフォレスト内のユーザーは、Skype for Business Serverが展開されているフォレスト内の無効なユーザー オブジェクトとして表す必要があります。

Microsoft Identity Managerなどの ID 管理製品を使用して、アカウント フォレストからSkype for Business Serverが展開されているフォレストにユーザーをプロビジョニングして同期する必要があります。 ユーザーは、無効なユーザー オブジェクトとしてSkype for Business Serverホストしているフォレストに同期する必要があります。 Microsoft Entra Connect では Skype で使用するために連絡先をMicrosoft Entra IDに適切に同期できないため、ユーザーを Active Directory 連絡先オブジェクトとして同期することはできません。

複数フォレストの構成に関係なく、Skype for Business Serverをホストするフォレストは、同じフォレストに存在するすべての有効なユーザーに機能を提供することもできます。

適切な ID 同期を実現するには、次の属性を同期する必要があります。

ユーザー フォレスト リソース フォレスト
選択されたアカウント リンク属性
 選択されたアカウント リンク属性
mail
mail
ProxyAddresses
 ProxyAddresses
ObjectSID
 msRTCSIP-OriginatorSID

選択したアカウント リンク属性がソース アンカーとして使用されます。 使用する必要がある別の変更できない属性がある場合は、その属性を使用できます。AD FS 要求規則を編集し、Microsoft Entra Connect 構成中に属性を選択してください。

フォレスト間で UPN を同期しないでください。 複数のフォレストで同じ UPN を使用できないため、ユーザー フォレストごとに一意の UPN を使用する必要があります。 その結果、UPN を同期するか、同期しないかの 2 つの可能性があります。

  • 各ユーザー フォレストの一意の UPN がリソース フォレスト内の関連付けられている無効なオブジェクトに同期されていない場合、少なくとも最初のサインイン試行でシングル サインオン (SSO) が壊れます (ユーザーがパスワードを保存するオプションを選択したと仮定)。 Skype for Business クライアントでは、SIP/UPN 値が同じであると仮定します。 このシナリオの SIP アドレスは user@company.comですが、ユーザー フォレスト内の有効なオブジェクトの UPN は実際には user@contoso.company.comであるため、最初のサインイン試行は失敗し、ユーザーは資格情報の入力を求められます。 正しい UPN を入力すると、ユーザー フォレスト内のドメイン コントローラーに対して認証要求が完了し、サインインは成功します。

  • 各ユーザー フォレストの一意の UPN がリソース フォレスト内の関連付けられている無効なオブジェクトに同期された場合、AD FS 認証は失敗します。 一致する規則では、リソース フォレスト内のオブジェクトで UPN が見つかります。これは無効になっており、認証に使用できませんでした。

Microsoft 365 organizationを作成する

展開で使用するには、Microsoft 365 organizationをプロビジョニングする必要があります。 詳細については、「 Microsoft のクラウド オファリングのサブスクリプション、ライセンス、アカウント、テナント」を参照してください。

Active Directory フェデレーション サービス (AD FS)の構成

テナントを作成したら、各ユーザー フォレストでActive Directory フェデレーション サービス (AD FS) (AD FS) を構成する必要があります。 ここでは、各フォレストに一意の SIP および SMTP アドレスと、ユーザー プリンシパル名 (UPN) があると仮定しています。 AD FS は省略可能であり、ここではシングル サインオン (SSO) を取得するために使用されます。 パスワード同期を備えた DirSync もサポートされていて、AD FS の代わりに使用することもできます。

対応する SIP/SMTP および UPN がある展開のみがテストされています。 一致する SIP/SMTP/UPN がない場合、Exchange 統合や SSO の問題など、機能が低下する可能性があります。

各フォレストのユーザーに一意の SIP/SMTP/UPN を使用しない限り、AD FS が展開されている場所に関係なく、SSO の問題が引き続き発生する可能性があります。

  • AD FS ファームが各ユーザー フォレストに展開された状態での、リソース/ユーザー フォレスト間の一方向または双方向の信頼。すべてのユーザーは共通の SIP/SMTP ドメインを共有しますが、ユーザー フォレストごとに一意の UPN を共有します。

  • AD FS ファームがリソース フォレストのみに展開された状態での、リソース/ユーザー フォレスト間の双方向の信頼。すべてのユーザーは共通の SIP/SMTP ドメインを共有しますが、ユーザー フォレストごとに一意の UPN を共有します。

AD FS ファームを各ユーザー フォレストに配置し、フォレストごとに一意の SIP/SMTP/UPN を使用することで、両方の問題が解決します。 認証試行中に、特定のユーザー フォレストにあるアカウントのみが検索および照合されます。 これは、よりシームレスな認証プロセスを実現するのに役立ちます。

このデプロイは、Windows Server 2012 R2 AD FS の標準的な展開であり、続行する前に動作している必要があります。 手順については、「 Microsoft 365 用 AD FS 2012 R2 をインストールする方法」を参照してください。

デプロイしたら、先ほど選択したソース アンカーと一致するように要求規則を編集する必要があります。 AD FS MMC の [証明書利用者信頼] で、[Microsoft 365 Identity Platform] または [Microsoft Office 365 ID プラットフォーム] を右クリックし、[要求規則の編集] を選択します。 最初のルールを編集し、ObjectSID を employeeNumber に変更します。

複数フォレストの [ルールの編集] 画面。

接続Microsoft Entra構成する

リソース フォレスト トポロジでは、リソース フォレストとアカウント フォレストの両方のユーザー属性をMicrosoft Entra IDに同期する必要があります。 Microsoft では、ユーザー アカウントを有効にしているすべてのフォレストと、Skype for Businessを含むフォレストのユーザー ID を同期してマージすることをお勧めしますMicrosoft Entra。 詳細については、「Skype for Businessと Teams のMicrosoft Entra接続を構成する」を参照してください。

Microsoft Entra Connect では、アカウントとリソース フォレスト間のオンプレミスでの同期は提供されません。 前述のように、Microsoft Identity Managerまたは同様の製品を使用して構成する必要があります。

完了して Connect がマージMicrosoft Entra場合、メタバース内のオブジェクトを見ると、次のようになります。

マルチフォレスト メタバース オブジェクト画面。

緑色で強調表示された属性は Microsoft 365 からマージされ、黄色はユーザー フォレストから、青はリソース フォレストの属性です。

この例では、Microsoft Entra Connect によって、ユーザーの sourceAnchor と cloudSourceAnchor と、Microsoft 365 のリソース フォレスト オブジェクトが識別されています(この場合は 1101--先ほど選択した employeeNumber)。 Connect Microsoft Entra、このオブジェクトを上記のオブジェクトにマージできました。

詳細については、「オンプレミスディレクトリとMicrosoft Entra IDの統合」を参照してください。

Microsoft Entra Connect は、次の状況を除き、既定値を使用してインストールする必要があります。

  1. シングル サインイン - AD FS が既にデプロイされ、動作している場合: [ 構成しない] を選択します。

  2. ディレクトリを接続する: すべてのドメインを追加します。

  3. オンプレミス ディレクトリ内のユーザーを識別する: [ ユーザー ID は複数のディレクトリに存在する] を選択し、 ObjectSID 属性と msExchangeMasterAccountSID 属性を選択します。

  4. Microsoft Entra IDでユーザーを識別する: ソース アンカー: 適切な sourceAnchor 属性の選択、ユーザー プリンシパル名 - userPrincipalName の読み取り後に選択した属性を選択します。

  5. オプション機能: Exchange ハイブリッドが展開されているかどうかを選択します。

    注意

    Exchange Online のみを使用している場合は、CNAME のリダイレクトが原因で、自動検出中に OAuth のエラーの問題が発生する可能性があります。 これを修正するには、Skype for Business Server管理シェルから次のコマンドレットを実行して、Exchange 自動検出 URL を設定する必要があります。

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. AD FS ファーム: [既存の Windows Server 2012 R2 AD FS ファームを使用します] を選択し、AD FS サーバーの名前を入力します。

  7. ウィザードを完了し、必要な検証を実行します。

Skype for Business Serverのハイブリッド接続を構成する

ハイブリッドを構成するためのベスト プラクティスSkype for Business従ってください。 詳細については、「ハイブリッド接続の計画」および「ハイブリッド接続の構成」を参照してください。

Exchange Serverのハイブリッド接続を構成する

必要に応じて、Exchange ハイブリッドを構成するためのベスト プラクティスに従います。 詳細については、「ハイブリッドデプロイのExchange Server」を参照してください。