Exchange Server をオンプレミスで構成して、ハイブリッド先進認証を使用するには
この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。
ハイブリッド 先進認証 (HMA) は、より安全なユーザー認証と承認を提供する ID 管理の方法であり、Exchange サーバーのオンプレミス ハイブリッド展開で使用できます。
定義
開始する前に、いくつかの定義について理解しておく必要があります。
ハイブリッド 先進認証 > HMA
Exchange > オンプレミス EXCH
> EXCHANGE ONLINE EXO
また、 この記事のグラフィックに "淡色表示" または "淡色表示" のオブジェクトがある場合は、灰色で表示される要素が HMA 固有の構成に含まれていないことを意味します。
ハイブリッド先進認証の有効化
HMA をオンにすると、次のことを意味します。
開始する前に、事前質問を満たしていることを確認してください。
多くの前提条件は、Skype for Businessと Exchange の両方で一般的であるため、ハイブリッド 先進認証の概要と、オンプレミスのSkype for Businessおよび Exchange サーバーで使用するための前提条件です。 この記事の手順を開始する前に、これを行います。 挿入するリンクされたメールボックスに関する要件。
Azure AD でオンプレミスの Web サービス URL を サービス プリンシパル名 (SPN) として追加する。 EXCH が 複数のテナントとハイブリッドになっている場合、これらのオンプレミス Web サービス URL は、EXCH とハイブリッドになっているすべてのテナントの Azure AD に SPN として追加する必要があります。
すべての仮想ディレクトリが HMA に対して有効になっていることを確認する
EvoSTS 認証サーバー オブジェクトの確認
EXCH での HMA の有効化。
注:
お使いのバージョンの Office は MA をサポートしていますか? 「Office 2013 および Office 2016 クライアント アプリの先進認証のしくみ」を参照してください。
すべての前提条件を満たしていることを確認します
多くの前提条件はSkype for Businessと Exchange の両方で一般的であるため、ハイブリッド 先進認証の概要とオンプレミスのSkype for Businessおよび Exchange サーバーで使用するための前提条件に関するページを参照してください。 この記事の手順を開始する 前 に、これを行います。
注:
Outlook Web Appと Exchange コントロール パネルはハイブリッド先進認証では機能しません。 さらに、Azure AD アプリケーション プロキシ を使用したOutlook Web Appと Exchange コントロール パネルの公開はサポートされていません。
Azure AD でオンプレミスの Web サービス URL を SPN として追加する
オンプレミスの Web サービス URL を Azure AD SPN として割り当てるコマンドを実行します。 SPN は、認証と承認中にクライアント コンピューターとデバイスによって使用されます。 オンプレミスから Azure Active Directory (Azure AD) への接続に使用できるすべての URL を Azure AD に登録する必要があります (これには、内部名前空間と外部名前空間の両方が含まれます)。
まず、AAD に追加する必要があるすべての URL を収集します。 オンプレミスで次のコマンドを実行します。
Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*
クライアントが接続できる URL が、AAD の HTTPS サービス プリンシパル名として一覧表示されていることを確認します。 EXCH が 複数のテナントとハイブリッドになっている場合は、これらの HTTPS SPN を EXCH とハイブリッド内のすべてのテナントの AAD に追加する必要があります。
最初に、 次の手順で AAD に接続します。
注:
以下のコマンドを使用するには、このページの Connect-MsolService オプションを使用する必要があります。
Exchange 関連の URL に対して、次のコマンドを入力します。
Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNamesこのコマンドの出力 (および後の比較用のスクリーンショット) を書き留めておきます。これは、 と
https://*mail.yourdomain.com*URL を含めるhttps://*autodiscover.yourdomain.com*必要がありますが、大部分は で始まる SPN で00000002-0000-0ff1-ce00-000000000000/構成されます。 オンプレミスの URL が不足している場合はhttps://、これらの特定のレコードをこの一覧に追加する必要があります。この一覧に内部および外部の MAPI/HTTP、EWS、ActiveSync、OAB、自動検出レコードが表示されない場合は、次のコマンドを使用してレコードを追加する必要があります (URL の例は
mail.corp.contoso.comとowa.contoso.comですが、 URL の例は独自のものに置き換えます)。$x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/") $x.ServicePrincipalnames.Add("https://owa.contoso.com/") Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames手順 2. のコマンドをもう一度実行し、出力を
Get-MsolServicePrincipal確認して、新しいレコードが追加されたことを確認します。 前のリスト/スクリーンショットを SPN の新しいリストと比較します。 レコードの新しいリストのスクリーンショットを撮ることもできます。 成功した場合は、一覧に 2 つの新しい URL が表示されます。 この例では、SPN の一覧に特定の URL とhttps://owa.contoso.comがhttps://mail.corp.contoso.com含まれるようになります。
仮想ディレクトリが正しく構成されていることを確認する
次のコマンドを実行して、Outlook が使用するすべての仮想ディレクトリで Exchange で OAuth が適切に有効になっていることを確認します。
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
出力を確認して、これらの各 VDir で OAuth が有効になっていることを確認します。これは次のようになります (また、確認する重要な点は 'OAuth' です)。
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
OAuth がサーバーと 4 つの仮想ディレクトリのいずれかに存在しない場合は、続行する前に関連するコマンド (Set-MapiVirtualDirectory、 Set-WebServicesVirtualDirectory、 Set-OABVirtualDirectory、 Set-AutodiscoverVirtualDirectory) を使用して追加する必要があります。
EvoSTS 認証サーバー オブジェクトが存在することを確認する
この最後のコマンドについては、オンプレミスの Exchange 管理シェルに戻ります。 これで、オンプレミスに evoSTS 認証プロバイダーのエントリがあることを検証できます。
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
出力には、GUID を持つ EvoSts という名前の AuthServer が表示され、"Enabled" 状態は True である必要があります。 これが表示されない場合は、ハイブリッド構成ウィザードの最新バージョンをダウンロードして実行する必要があります。
注:
EXCH が 複数のテナントとハイブリッドになっている場合、出力には、EXCH とハイブリッドの各テナントの名前 EvoSts - {GUID} の 1 つの AuthServer が表示され、これらの AuthServer オブジェクトすべてに対して [有効] 状態が True である必要があります。
重要
環境内で Exchange 2010 を実行している場合、EvoSTS 認証プロバイダーは作成されません。
HMA を有効にする
オンプレミスの Exchange 管理シェルで次のコマンドを実行し、コマンド ラインの GUID を>環境内の文字列に置き換えます<。
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
注:
以前のバージョンのハイブリッド構成ウィザードでは、EvoSts AuthServer は GUID がアタッチされていない EvoSTS という名前でした。 実行する必要がある操作はありません。上記のコマンド ラインを変更して、コマンドの GUID 部分を削除してこれを反映します。
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
EXCH バージョンが Exchange 2016 (CU18 以上) または Exchange 2019 (CU7 以上) で、ハイブリッドが 2020 年 9 月以降にダウンロードされた HCW で構成されている場合は、オンプレミスの Exchange 管理シェルで次のコマンドを実行します。
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
注:
EXCH が 複数のテナントとハイブリッドになっている場合、EXCH には、各テナントに対応するドメインを持つ複数の AuthServer オブジェクトが存在します。 これらの AuthServer オブジェクトのいずれかに対して 、IsDefaultAuthorizationEndpoint フラグを true ( IsDefaultAuthorizationEndpoint コマンドレットを使用) に設定する必要があります。 このフラグは、すべての Authserver オブジェクトに対して true に設定することはできません。また、これらの AuthServer オブジェクトの IsDefaultAuthorizationEndpoint フラグのいずれかが true に設定されている場合でも、HMA は有効になります。
DomainName パラメーターには、テナント ドメインの値を使用します。通常は という形式contoso.onmicrosoft.comです。
確認
HMA を有効にすると、クライアントの次のログインで新しい認証フローが使用されます。 HMA をオンにするだけでは、クライアントの再認証はトリガーされないため、Exchange が新しい設定を取得するまでに時間がかかる場合があることに注意してください。
また、Ctrl キーを押しながら、Outlook クライアントのアイコン (Windows 通知トレイ内) を右クリックし、[接続状態] をクリックします。 OAuth で使用されるベアラー トークンを表す 、 の 認証 型に対してクライアントの Bearer\*SMTP アドレスを探します。
注:
HMA でSkype for Businessを構成する必要がありますか? 2 つの記事が必要になります。1 つは サポートされているトポロジを一覧表示し、もう 1 つは 構成を行う方法を示しています。
iOS および Android 用の Outlook でのハイブリッド先進認証の使用
TCP 443 で Exchange サーバーを使用しているオンプレミスのお客様の場合は、次の IP 範囲からのネットワーク トラフィックを許可します。
52.125.128.0/20
52.127.96.0/23
これらの IP アドレス範囲については、「Office 365 IP アドレスと URL Web サービスに含まれていないその他のエンドポイント」も参照してください。