Skype for Business をオンプレミスで構成して、ハイブリッド先進認証を使用するには
この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。
先進認証は、より安全なユーザー認証と承認を提供する ID 管理の方法であり、オンプレミスのサーバーと Exchange サーバーのオンプレミス、およびスプリット ドメイン Skype for Business ハイブリッドSkype for Business使用できます。
重要
先進認証 (MA) の詳細と、会社やorganizationで使用する理由について詳しく知りたがっていますか? 概要については、このドキュメントを確認してください。 MA でサポートされているSkype for Business トポロジを知る必要がある場合は、ここに記載されています。
開始する前に、次の用語を使用します。
先進認証 (MA)
ハイブリッド 先進認証 (HMA)
Exchange オンプレミス (EXCH)
Exchange Online (EXO)
Skype for Business オンプレミス (SFB)
Skype for Business オンライン (SFBO)
また、この記事のグラフィックに淡色表示または淡色表示のオブジェクトがある場合は、灰色で表示される要素が MA 固有の構成に含 まれていない ことを意味します。
概要を読む
この概要は、実行中に失われる可能性がある手順にプロセスを分解し、プロセス内の場所を追跡するための全体的なチェックリストに適しています。
まず、すべての前提条件を満たしていることを確認します。
Skype for Businessと Exchange の両方で多くの前提条件が一般的であるため、req 前チェックリストの概要に関する記事を参照してください。 この記事の手順を開始する 前 に、これを行います。
ファイルまたは OneNote で必要な HMA 固有の情報を収集します。
EXO の先進認証をオンにします (まだ有効になっていない場合)。
SFBO の先進認証をオンにします (まだ有効になっていない場合)。
オンプレミスの Exchange のハイブリッド 先進認証を有効にします。
オンプレミスのSkype for Businessのハイブリッド先進認証を有効にします。
これらの手順では、SFB、SFBO、EXCH、EXO の MA を有効にします。つまり、SFB と SFBO の HMA 構成に参加できるすべての製品 (EXCH/EXO への依存関係を含む)。 つまり、ユーザーがハイブリッド (EXO + SFBO、EXO + SFB、EXCH + SFBO、または EXCH + SFB) の任意の部分で作成されたメールボックスを持っている場合、完成した製品は次のようになります。
ご覧のとおり、MA をオンにする場所は 4 つあります。 最適なユーザー エクスペリエンスを得るには、これらの 4 つの場所すべてで MA を有効にすることをお勧めします。 これらすべての場所で MA をオンにできない場合は、環境に必要な場所でのみ MA をオンにするように手順を調整します。
サポートされるトポロジについては、MA を使用したSkype for Businessのサポート可能性に関するトピックを参照してください。
重要
開始する前に、すべての前提条件を満たしていることをダブルチェックします。 その情報については、「 ハイブリッド先進認証の概要と前提条件」を参照してください。
必要なすべての HMA 固有の情報を収集する
先進認証を使用するための 前提条件 を満たしていることを確認した後 (前のメモを参照)、前の手順で HMA を構成するために必要な情報を保持するファイルを作成する必要があります。 この記事で使用される例:
SIP/SMTP ドメイン
- 例 contoso.com (Office 365 とフェデレーションされます)
テナント ID
- Office 365 テナントを表す GUID (contoso.onmicrosoft.com のログイン時)。
SFB 2015 CU5 Web サービス URL
展開されているすべての SfB 2015 プールの内部および外部 Web サービス URL が必要です。 これらを取得するには、管理シェルから次のコマンドSkype for Business実行します。
Get-CsService -WebServer | Select-Object PoolFqdn, InternalFqdn, ExternalFqdn | FL
Standard Edition サーバーを使用している場合、内部 URL は空白になります。 この場合は、内部 URL にプール fqdn を使用します。
EXO の先進認証を有効にする
「Exchange Online: 最新の認証のためにテナントを有効にする方法」の手順に従います。
SFBO の先進認証を有効にする
「Skype for Business Online: モダン認証でテナントを有効にする」の手順に従います。
Exchange オンプレミスのハイブリッド 先進認証を有効にする
「ハイブリッド 先進認証を使用するようにオンプレミスExchange Server構成する方法」の手順に従います。
オンプレミスのSkype for Businessのハイブリッド 先進認証を有効にする
Microsoft Entra IDでオンプレミスの Web サービス URL を SPN として追加する
次に、コマンドを実行して、URL (前に収集した) を SFBO のサービス プリンシパルとして追加する必要があります。
注:
サービス プリンシパル名 (SPN) は、Web サービスを識別し、それらをセキュリティ プリンシパル (アカウント名やグループなど) に関連付け、サービスが承認されたユーザーの代わりに動作できるようにします。 サーバーに対して認証を行うクライアントは、SPN に含まれる情報を使用します。
注:
Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。
Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 メモ: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。
まず、次の手順でMicrosoft Entra IDに接続します。
このコマンド (オンプレミス) を実行して、SFB Web サービス URL の一覧を取得します。
AppPrincipalId は で
00000004始まります。 これは、Skype for Business Online に対応します。SE と WS URL を含むこのコマンドの出力を書き留めておきます (後の比較用の
00000004-0000-0ff1-ce00-000000000000/スクリーンショット)。Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 | Select -ExpandProperty ServicePrincipalNamesオンプレミスの内部 または 外部の SFB URL が見つからない場合 (たとえば、 など)、 https://lyncwebint01.contoso.comhttps://lyncwebext01.contoso.comこれらの特定のレコードをこの一覧に追加する必要があります。
[追加] コマンド で、URL の例 を実際の URL に置き換えてください。
$x= Get-MsolServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 $x.ServicePrincipalnames.Add("https://lyncwebint01.contoso.com/") $x.ServicePrincipalnames.Add("https://lyncwebext01.contoso.com/") Set-MSOLServicePrincipal -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames手順 2 の Get-MsolServicePrincipal コマンドをもう一度実行し、出力を確認して、新しいレコードが追加されたことを確認します。 前のリストまたはスクリーンショットを SPN の新しいリストと比較します。 レコードの新しいリストのスクリーンショットを撮ることもできます。 成功した場合は、一覧で 2 つの新しい URL を表示できます。 この例では、SPN の一覧に特定の URL と https://lyncwebext01.contoso.com/がhttps://lyncwebint01.contoso.com含まれるようになります。
EvoSTS 認証サーバー オブジェクトを作成する
Skype for Business管理シェルで次のコマンドを実行します。
New-CsOAuthServer -Identity evoSTS -MetadataURL https://login.windows.net/common/FederationMetadata/2007-06/FederationMetadata.xml -AcceptSecurityIdentifierInformation $true -Type AzureAD
ハイブリッド 先進認証を有効にする
これは、実際に MA をオンにする手順です。 前のすべての手順は、クライアント認証フローを変更せずに事前に実行できます。 認証フローを変更する準備ができたら、Skype for Business管理シェルでこのコマンドを実行します。
Set-CsOAuthConfiguration -ClientAuthorizationOAuthServerIdentity evoSTS
確認
HMA を有効にすると、クライアントの次のログインで新しい認証フローが使用されます。 HMA をオンにするだけでは、クライアントの再認証はトリガーされません。 クライアントは、認証トークンや証明書の有効期間に基づいて再認証します。
HMA を有効にした後で動作していることをテストするには、テスト SFB Windows クライアントからサインアウトし、必ず [資格情報の削除] を選択してください。 もう一度サインインします。 クライアントはモダン認証フローを使用する必要があります。ログインには、クライアントがサーバーに接続してログインする直前に表示される「職場または学校」アカウントのOffice 365プロンプトが表示されます。
また、'OAuth 機関' のSkype for Business クライアントの "構成情報" もチェックする必要があります。 クライアント コンピューターでこれを行うには、Ctrl キーを押しながら、Windows 通知トレイのSkype for Business アイコンを右クリックします。 表示されるメニューで [ 構成情報] を選択します。 デスクトップに表示される [Skype for Business構成情報] ウィンドウで、次を探します。
また、Ctrl キーを押しながら、Outlook クライアントのアイコン (Windows 通知トレイ内) を右クリックし、[接続状態] を選択します。 OAuth で使用されるベアラー トークンを表す AuthN 型の 'Bearer*' に対してクライアントの SMTP アドレスを探します。
関連記事
Skype for Business クライアントに先進認証を使用する方法を知る必要がありますか? ここでは、ハイブリッド先進認証の概要と、オンプレミスのSkype for Businessおよび Exchange サーバーで使用するための前提条件に関する手順を説明します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示