ハイブリッド展開の前提条件

概要:ハイブリッド展開をセットアップするために必要な Exchange 環境について説明します。

ハイブリッド構成ウィザードを使用してハイブリッド展開を作成し構成する前に、既存のオンプレミスの Exchange 組織が特定の要件を満たしている必要があります。 要件を満たしていない場合、ハイブリッド構成ウィザードで手順を完了することができず、オンプレミスの Exchange 組織と Exchange Online との間でハイブリッド展開を構成できません。

ハイブリッド展開の前提条件

ハイブリッド展開を構成するには、次の前提条件を満たすことが必要です。

  • オンプレミスの Exchange organization: オンプレミスにインストールした Exchange のバージョンorganization、インストールできるハイブリッド展開のバージョンが決まります。 通常、次の表に示すように、organizationでサポートされている最新のハイブリッド展開バージョンを構成する必要があります。
社内環境 Exchange 2019 ベースのハイブリッド展開 Exchange 2016 ベースのハイブリッド展開 Exchange 2013 ベースのハイブリッド展開 Exchange 2010 ベースのハイブリッド展開
Exchange 2019 サポート 非サポート 非サポート 非サポート
Exchange 2016 サポートされている サポート 非サポート サポートされていません
Exchange 2013 サポートされている サポート サポート 非サポート
Exchange 2010 非サポート サポート サポート サポート
  • Exchange サーバーのリリース: ハイブリッド展開には、お使いのバージョンの Exchange で使用できる最新の累積的な更新プログラム (CU) または更新プログラムロールアップ (RU) が必要です。 最新の更新プログラムをインストールできない場合は、直前のリリースもサポートされます。

    Exchange CU は四半期ごとにリリースされるため、Exchange サーバーを最新の状態に保つことで、アップグレードを完了するために定期的に余分な時間が必要な場合は、さらに柔軟性が向上します。

  • Exchange サーバーの役割: オンプレミスのorganizationにインストールする必要があるサーバーロールは、インストールした Exchange のバージョンによって異なります。

    • Exchange 2016 以降: 少なくとも 1 つのメールボックス サーバー。

    • Exchange 2013: メールボックスとクライアント アクセス サーバーの役割の少なくとも 1 つのインスタンスがインストールされています (個別に、または 1 つのサーバーにインストールします。1 つのサーバーに対して強くお勧めします)。

    • Exchange 2010: メールボックス、ハブ トランスポート、およびクライアント アクセス サーバーの役割の少なくとも 1 つのインスタンスがインストールされています (個別に、または 1 つのサーバーにインストールします。1 つのサーバーに対して強くお勧めします)。

      ハイブリッド展開では、エッジ トランスポート サーバーの役割を実行している Exchange サーバーもサポートします。 エッジ トランスポート サーバーも最新の CU または RU に更新する必要があります。 境界ネットワークにエッジ トランスポート サーバーを配置することを強くお勧めします。 境界ネットワークにメールボックス サーバーまたはクライアント アクセス サーバーを展開することはできません。

    注:

    Exchange 2010 ハイブリッド エンドポイントで移行プロセスを既に開始しており、オンプレミスのメールボックスを保持する予定がない場合は、そのまま移行を続行してください。 一部のメールボックスをオンプレミスに保持する予定の場合は、Exchange 2016 ハイブリッド エンドポイントを導入することを強くお勧めします (Exchange 2010 はサポート ライフサイクルの終了に達したため)。 Exchange 2010 メールボックスの移行を続行してOffice 365し、オンプレミスに留まるメールボックスを Exchange 2016 サーバーに移動します。 すべての Exchange 2010 サーバーを削除したら、新しいハイブリッド エンドポイントとして Exchange 2019 サーバーを導入し、残りのオンプレミス メールボックスを Exchange 2019 サーバーに移動することもできます。

  • Microsoft 365 または Office 365: ハイブリッド展開は、Microsoft Entra同期をサポートするすべての Microsoft 365 および Office 365 プランでサポートされています。 すべてのMicrosoft 365 Business Standard、Business Basic、Enterprise、Government、Academic、Midsize プランでは、ハイブリッド展開がサポートされています。 Microsoft 365 Apps for businessプランとホーム プランでは、ハイブリッドデプロイはサポートされていません。

    詳細については、 Microsoft 365 をご覧ください。

  • カスタム ドメイン: Microsoft 365 またはOffice 365を使用して、ハイブリッド展開で使用するカスタム ドメインを登録します。 これを行うには、Microsoft 365 ポータルを使用するか、必要に応じてオンプレミスのorganizationでActive Directory フェデレーション サービス (AD FS) (AD FS) を構成します。

    詳細については、「Microsoft 365 またはOffice 365にドメインを追加する」を参照してください。

  • Active Directory 同期: Microsoft Entra Connect またはクラウド同期ツールをデプロイして、オンプレミスのorganizationとの Active Directory 同期を有効にします。

    詳細については、「Microsoft Entra Connect ユーザー のサインオン オプション」と「Cloud Sync Microsoft Entraとは」を参照してください。

  • 自動検出 DNS レコード: オンプレミスの Exchange サーバー (Exchange 2010/2013 クライアント アクセス サーバーまたは Exchange 2016/2019 メールボックス サーバー) を指すように、パブリック DNS 内の既存の SMTP ドメインの自動検出レコードを構成します。

  • 証明書: 信頼されたパブリック証明機関 (CA) から購入した有効なデジタル証明書に Exchange サービスを割り当てます。 Microsoft Federation Gatewayを使用してオンプレミスのフェデレーション信頼に自己署名証明書を使用する必要がありますが、ハイブリッド展開で Exchange サービスに自己署名証明書を使用することはできません。

    ハイブリッド展開で構成されている Exchange サーバー上のインターネット インフォメーション サービス (IIS) インスタンスには、信頼された CA から購入した有効なデジタル証明書が必要です。

    パブリック DNS で指定した EWS 外部 URL と自動検出エンドポイントは、証明書の [サブジェクトの別名 (SAN)] フィールドに一覧表示する必要があります。 ハイブリッド展開のメール フロー用に Exchange サーバーにインストールする証明書はすべて、同じ証明機関によって発行され、同じサブジェクトを持っている必要があります。

    詳細については、「ハイブリッド展開の証明書要件」を参照してください。

  • EdgeSync: オンプレミスのorganizationにエッジ トランスポート サーバーを展開し、ハイブリッドセキュリティで保護されたメール トランスポート用にエッジ トランスポート サーバーを構成する場合は、ハイブリッド構成ウィザードを使用する前に EdgeSync を構成する必要があります。 また、エッジ トランスポート サーバーに新しい CU を適用するたびに、EdgeSync を実行する必要もあります。

    重要

    EdgeSync はエッジ トランスポート サーバーを使用した展開の要件ですが、ハイブリッドセキュリティで保護されたメール トランスポート用にエッジ トランスポート サーバーを構成する場合は、追加の構成設定が必要です。

    詳細については、「ハイブリッド展開でのエッジ トランスポート サーバー」を参照してください。

  • Microsoft .NET Framework: 特定のバージョンの Exchange で使用できるバージョンを確認するには、「Exchange Serverサポートマトリックス - Microsoft .NET Framework」を参照してください。

  • ユニファイド メッセージング対応 (UM) メールボックス: UM 対応メールボックスがあり、それらを Microsoft 365 またはOffice 365に移動する場合は、移動する前に次の要件を満たす必要があります。

ハイブリッド展開のプロトコル、ポート、エンドポイント

次の表で説明するように、オンプレミスのorganizationを保護するファイアウォールで、次のプロトコル、ポート、接続エンドポイントを構成する必要があります。

重要

関連する Microsoft 365 エンドポイントとOffice 365 エンドポイントは膨大で、絶えず変化しており、ここには記載されていません。 代わりに、「Microsoft 365 のExchange OnlineMicrosoft 365 Common and Office Online」および「Office 365 URL と IP アドレス範囲」のセクションを参照して、ここに一覧表示されている各ポートのエンドポイントを識別します。

注:

オンプレミス Exchange のメール フローとクライアント接続に必要なポートorganizationハイブリッド構成とは関係ありません。「Exchange のクライアントとメール フローのネットワーク ポート」を参照してください。

ソース プロトコル/ポート Target 注釈
エンドポイントのExchange Online TCP/25 (SMTP/TLS) Exchange 2019/2016 メールボックス/エッジ

Exchange 2013 CAS/エッジ

Exchange 2010 Hub/Edge

ハイブリッド構成ウィザードでExchange Onlineを使用してセキュリティで保護されたメール トランスポート用の受信コネクタをホストするように構成されたオンプレミスの Exchange サーバー
Exchange 2019/2016 メールボックス/エッジ

Exchange 2013 CAS/エッジ

Exchange 2010 Hub/Edge

TCP/25 (SMTP/TLS) エンドポイントのExchange Online ハイブリッド構成ウィザードでExchange Onlineを使用してセキュリティで保護されたメール トランスポート用に送信コネクタをホストするように構成されたオンプレミスの Exchange サーバー
エンドポイントのExchange Online TCP/443 (HTTPS) Exchange 2019/2016 メールボックス

Exchange 2013/2010 CAS

Exchange Web サービスと自動検出をインターネットに公開するために使用されるオンプレミスの Exchange サーバー
Exchange 2019/2016 メールボックス

Exchange 2013/2010 CAS

TCP/443 (HTTPS) エンドポイントのExchange Online Exchange Web サービスと自動検出をインターネットに公開するために使用されるオンプレミスの Exchange サーバー
Exchange 2019/2016 メールボックス/エッジ

Exchange 2013 CAS/エッジ

Exchange 2010 Hub/Edge

80 ctldl.windowsupdate.com/* ハイブリッド機能の場合、Exchange サーバーには、ここに記載されているさまざまな証明書失効リスト (CRL) エンドポイントへの送信接続が必要 です。 Windows がコンピューター上で 証明書信頼リスト (CTL) を維持することを強くお勧めします。 それ以外の場合は、定期的に手動で更新する必要があります。 Windows が CTL を維持できるようにするには、Exchange Serverがインストールされているコンピューターから URL に到達できる必要があります。

次の表に、関連するオンプレミス エンドポイントの詳細を示します。

説明 ポートとプロトコル オンプレミス エンドポイント 認証プロバイダ 認証メソッド 事前認証のサポート
Microsoft 365 または Office 365 とオンプレミス Exchange 間の SMTP メール フロー TCP 25 (SMTP/TLS) Exchange 2019/2016 メールボックス/エッジ

Exchange 2013 CAS/エッジ

Exchange 2010 Hub/Edge

該当なし 証明書ベース いいえ
自動検出 TCP 443 (HTTPS) Exchange 2019/2016 メールボックス サーバー: /autodiscover/autodiscover.svc/wssecurity

Exchange 2013/2010 CAS: /autodiscover/autodiscover.svc

Microsoft Entra認証システム WS-Security 認証 いいえ
空き時間情報、メール ヒント、メッセージ追跡 (EWS) TCP 443 (HTTPS) Exchange 2019/2016 メールボックス
または
Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

Microsoft Entra認証システム WS-Security 認証 いいえ
複数メールボックス検索 (EWS) TCP 443 (HTTPS) Exchange 2019/2016 メールボックス
または
Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

認証サーバー WS-Security 認証 いいえ
メールボックスの移行 (EWS) TCP 443 (HTTPS) Exchange 2019/2016 メールボックス
または
Exchange 2013/2010 CAS:

/ews/mrsproxy.svc

NTLM Basic いいえ
OAuth (自動検出と EWS) TCP 443 (HTTPS) Exchange 2019/2016 メールボックス
または
Exchange 2013/2010 CAS:

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

認証サーバー WS-Security 認証 いいえ
AD FS (Windows Server) TCP 443 (HTTPS) Windows 2012 R2/2016 Server: /adfs/* Microsoft Entra認証システム 構成ごとに異なります。 2-factor
Microsoft Entra Connect TCP 443 (HTTPS) Windows 2012 R2/2016 Server (AD FS): /adfs/* Microsoft Entra認証システム 構成ごとに異なります。 2-factor

この情報の詳細については、「詳細: ハイブリッド認証の実際の動作ハイブリッド メール フローの概要、ハイブリッド メール フローの詳細とトラブルシューティング:メッセージが内部である場合」Exchange ハイブリッド展開でのトランスポート ルーティングコネクタを使用したメール フローの構成および複数の場所 (Exchange Online とオンプレミス) のメールボックスを使用したメール フローの管理に関するページを参照してください。

ハイブリッド構成ウィザードを使用してハイブリッド展開を構成する場合は、次のツールとサービスが役立ちます。

  • メール移行アドバイザー: オンプレミスのorganizationと Microsoft 365 またはOffice 365の間でハイブリッド展開を構成したり、完全に Microsoft 365 またはOffice 365に移行したりするための詳細なガイダンスを提供します。

    詳細については、「 メール移行アドバイザーを使用する」を参照してください

  • リモート接続アナライザー ツール: Microsoft Remote Connectivity Analyzer ツールは、オンプレミスの Exchange organizationの外部接続をチェックし、ハイブリッド展開を構成する準備ができていることを確認します。 ハイブリッド構成ウィザードを使用してハイブリッド展開を構成する前に、リモート接続アナライザー ツールを使用して社内組織をチェックすることを強くお勧めします。

    詳細については、「Microsoft リモート接続アナライザー」を参照してください。

  • シングル サインオン: シングル サインオンを使用すると、ユーザーは単一のユーザー名とパスワードを使用して、オンプレミスとExchange Onlineの両方の組織にアクセスできます。 シングル サインオンは、ユーザーにとってなじみのあるサインオン エクスペリエンスであり、これにより管理者は、オンプレミスの Active Directory 管理ツールを使用して Exchange Online 組織のメールボックスのアカウント ポリシーを簡単に制御できます。

    シングル サインオンを展開する場合、パスワード同期と Active Directory フェデレーション サービスの 2 つのオプションがあります。 どちらのオプションも、Microsoft Entra Connect によって提供されます。 パスワード同期を使用すると、サイズに関係なく、ほぼすべての組織で簡単にシングル サインオンを実装できます。 そのため、シングル サインオンを有効にすると、ハイブリッド展開でのユーザー エクスペリエンスが大幅に向上するため、実装することを強くお勧めします。 Active Directory フェデレーション サービスが必要なのは、複数の Active Directory フォレストがハイブリッド展開に参加する必要があるような、非常に大規模な組織の場合です。

    詳細については、「ハイブリッド展開でのシングル サインオン」をご覧ください。