Microsoft 365 のサードパーティの SSL 証明書の計画
この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。
クライアントと Microsoft 365 環境間の通信を暗号化するには、サードパーティの Secure Socket Layer (SSL) 証明書をインフラストラクチャ サーバーにインストールする必要があります。
この記事は、 Microsoft 365 のネットワーク計画とパフォーマンスチューニングの一部です。
証明書は、次の Microsoft 365 コンポーネントに必要です。
オンプレミスの Exchange
シングル サインオン (SSO) (Active Directory フェデレーション サービス (AD FS) (AD FS) フェデレーション サーバーと AD FS フェデレーション サーバー プロキシの両方)
自動検出、Outlook Anywhere、Exchange Web サービスなどのExchange Online サービス
Exchange ハイブリッド サーバー
Exchange オンプレミスの証明書
デジタル証明書を使用してオンプレミスの Exchange organizationとExchange Online間の通信をセキュリティで保護する方法の概要については、TechNet の記事「証明書の要件について」を参照してください。
シングル サインオンの証明書
堅牢なセキュリティを含むシンプルなシングル サインオン エクスペリエンスをユーザーに提供するには、次の表に示す証明書がフェデレーション サーバーまたはフェデレーション サーバー プロキシで必要です。 次の表では、Active Directory フェデレーション サービス (AD FS) (AD FS) に焦点を当てています。サード パーティの ID プロバイダーの使用に関する詳細も示しています。
| 証明書の種類 | 説明 | デプロイする前に知っておくべきこと |
|---|---|---|
| SSL 証明書 (サーバー認証証明書とも呼ばれます) |
これは、フェデレーション サーバー、クライアント、フェデレーション サーバー プロキシ コンピューター間の通信をセキュリティで保護するために使用される標準の SSL 証明書です。 |
AD FS には SSL 証明書が必要です。 既定では、AD FS はインターネット インフォメーション サービス (IIS) の既定の Web サイト用に構成された SSL 証明書を使用します。 この SSL 証明書のサブジェクト名は、展開する AD FS の各インスタンスのフェデレーション サービス (FS) 名を決定するために使用されます。 会社の名前を最もよく表す新しい証明機関 (CA) が発行する証明書のサブジェクト名を選択するか、Microsoft 365 にorganizationすることを検討してください。 この名前はインターネットルーティング可能である必要があります。 注意: AD FS では、この SSL 証明書にドットレス (短い名前) サブジェクト名が必要です。 推薦: この証明書は AD FS のクライアントによって信頼されている必要があるため、パブリック (サード パーティ) CA またはパブリックに信頼されたルートに従属する CA によって発行された SSL 証明書を使用することをお勧めします。たとえば、VeriSign や Thawte です。 |
| トークン署名証明書 |
これは、フェデレーション サーバーが発行し、Microsoft 365 が受け入れて検証するすべてのトークンを安全に署名するために使用される標準の X.509 証明書です。 |
トークン署名証明書には、FS の信頼されたルートにチェーンする秘密キーが含まれている必要があります。 既定では、AD FS は自己署名証明書を作成します。 ただし、organizationのニーズに応じて、AD FS 管理スナップインを使用して、この証明書を CA が発行した証明書に変更できます。 注意: トークン署名証明書は、FS の安定性にとって重要です。 証明書が変更された場合は、変更を Microsoft 365 に通知する必要があります。 通知が提供されない場合、ユーザーは Microsoft 365 サービス オファリングにサインインできません。 推薦: AD FS によって生成される自己署名トークン署名証明書を使用することをお勧めします。 これにより、既定でこの証明書が管理されます。 たとえば、この証明書の有効期限が切れそうになると、AD FS によって新しい自己署名証明書が生成されます。 |
フェデレーション サーバー プロキシには、次の表に記載されている証明書が必要です。
| 証明書の種類 | 説明 | デプロイする前に知っておくべきこと |
|---|---|---|
| SSL 証明書 |
これは、フェデレーション サーバー、フェデレーション サーバー プロキシ、およびインターネット クライアント コンピューター間の通信をセキュリティで保護するために使用される標準の SSL 証明書です。 |
AD FS フェデレーション サーバー プロキシ構成ウィザードを正常に実行するには、この SSL 証明書を IIS の既定の Web サイトにバインドする必要があります。 この証明書のサブジェクト名は、企業ネットワーク内のフェデレーション サーバーで構成された SSL 証明書と同じである必要があります。 推薦: このフェデレーション サーバー プロキシが接続するフェデレーション サーバーで構成されているのと同じサーバー認証証明書を使用することをお勧めします。 |
自動検出、Outlook Anywhere、Active Directory 同期用の証明書
外部に接続する Exchange 2013、Exchange 2010、Exchange 2007、および Exchange 2003 クライアント アクセス サーバー (CAS) には、自動検出、Outlook Anywhere、および Active Directory 同期サービスのセキュリティで保護された接続にサードパーティの SSL 証明書が必要です。 この証明書は、オンプレミス環境に既にインストールされている可能性があります。
Exchange ハイブリッド サーバーの証明書
外部に接続する Exchange ハイブリッド サーバーまたはサーバーでは、Exchange Online サービスとのセキュリティで保護された接続のためにサードパーティの SSL 証明書が必要です。 サード パーティの SSL プロバイダーからこの証明書を取得する必要があります。
Microsoft 365 証明書チェーン
この記事では、インフラストラクチャにインストールする必要がある証明書について説明します。 Microsoft 365 サーバーにインストールされている証明書の詳細については、「 Microsoft 365 証明書チェーン」を参照してください。
関連項目
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示