リソース フォレスト トポロジの展開
Important
21Vianet が中国で運営する Skype for Business Online は、2023 年 10 月 1 日に廃止されます。 Skype for Business Online ユーザーをまだアップグレードしていない場合は、 自動的にアップグレード支援がスケジュールされます。 組織を自分で Teams にアップグレードする場合は、今すぐアップグレード パスの計画を開始することを強くお勧めします。 アップグレードが成功すると技術的な準備とユーザーの準備が整っていることを忘れないでください。そのため、Teams への旅を進める際には 、アップグレード ガイダンス を活用してください。
Skype for Business Online (中国で 21Vianet が運営するサービスを除く) は、2021 年 7 月 31 日に廃止されました。
以降のセクションでは、リソース/ユーザー フォレスト モデルに複数のフォレストがある環境を構成して、ハイブリッド シナリオで機能を提供する方法について説明します。
トポロジ要件
複数のユーザー フォレストがサポートされます。 以下の点について留意してください。
ハイブリッド構成でサポートされている Lync Server と Skype for Business Server のバージョンについては、「 ハイブリッド接続の計画」を参照してください。
Exchange Server は 1 つ以上のフォレストに展開できます。これには、Skype for Business Server を含むフォレストが含まれている場合と含まれていない場合があります。 最新の累積的な更新プログラムが適用されていることを確認します。
オンプレミスとオンラインのさまざまな組み合わせでのサポート条件と制限事項など、Exchange Server との共存の詳細については、「Skype for Business と Exchange を統合するためのプランの機能サポート」を参照してください。
ユーザーの所属に関する考慮事項
オンプレミスに所属する Skype for Business ユーザーは、Exchange をオンプレミスまたはオンラインでホームにすることができます。 Teams ユーザーは、最適なエクスペリエンスを得るには Exchange Online を使用する必要があります。ただし、これは必要ありません。 どちらの場合も、オンプレミスの Exchange は Skype for Business を実装する必要はありません。
フォレストの信頼を構成する
リソース フォレスト トポロジでは、Skype for Business Server をホストするリソース フォレストは、アクセスするユーザーのアカウントを含む各アカウント フォレストを信頼する必要があります。
複数のユーザー フォレストがある場合、フォレスト間認証を有効にするには、これらのフォレストの信頼ごとに名前サフィックス ルーティングが有効になっていることが重要です。 手順については、「 フォレストの信頼の管理」を参照してください。
Exchange Server が別のフォレストに展開されていて、Exchange が Skype for Business ユーザーの機能を提供している場合、Exchange をホストするフォレストは、Skype for Business Server をホストしているフォレストを信頼する必要があります。 たとえば、Exchange がアカウント フォレストに展開された場合、アカウントと Skype for Business フォレスト間の双方向の信頼が必要です。
Skype for Business をホストしているフォレストにアカウントを同期する
Skype for Business Server が 1 つのフォレスト (リソース フォレスト) に展開されているが、1 つ以上の他のフォレスト (アカウント フォレスト) 内のユーザーに機能を提供するとします。 この場合、他のフォレストのユーザーは、Skype for Business Server が展開されているフォレスト内の無効なユーザー オブジェクトとして表す必要があります。
Microsoft Identity Manager などの ID 管理製品を使用して、アカウント フォレストから Skype for Business Server が展開されているフォレストにユーザーをプロビジョニングして同期する必要があります。 ユーザーは、無効なユーザー オブジェクトとして Skype for Business Server をホストしているフォレストに同期する必要があります。 Microsoft Entra Connect は Skype で使用するために連絡先を Microsoft Entra ID に適切に同期しないため、ユーザーを Active Directory 連絡先オブジェクトとして同期することはできません。
複数フォレストの構成に関係なく、Skype for Business Server をホストするフォレストは、同じフォレストに存在するすべての有効なユーザーに機能を提供することもできます。
適切な ID 同期を実現するには、次の属性を同期する必要があります。
| ユーザー フォレスト | リソース フォレスト |
|---|---|
| 選択されたアカウント リンク属性 |
選択されたアカウント リンク属性 |
| mail |
mail |
| ProxyAddresses |
ProxyAddresses |
| ObjectSID |
msRTCSIP-OriginatorSID |
選択したアカウント リンク属性がソース アンカーとして使用されます。 使用する必要がある別の変更できない属性がある場合は、その属性を使用できます。AD FS 要求規則を編集し、Microsoft Entra Connect の構成中に属性を選択してください。
フォレスト間で UPN を同期しないでください。 複数のフォレストで同じ UPN を使用できないため、ユーザー フォレストごとに一意の UPN を使用する必要があります。 その結果、UPN を同期するか、同期しないかの 2 つの可能性があります。
各ユーザー フォレストの一意の UPN がリソース フォレスト内の関連付けられている無効なオブジェクトに同期されていない場合、少なくとも最初のサインイン試行でシングル サインオン (SSO) が壊れます (ユーザーがパスワードを保存するオプションを選択したと仮定)。 Skype for Business クライアントでは、SIP/UPN 値が同じであると想定しています。 このシナリオの SIP アドレスは user@company.comですが、ユーザー フォレスト内の有効なオブジェクトの UPN は実際には user@contoso.company.comであるため、最初のサインイン試行は失敗し、ユーザーは資格情報の入力を求められます。 正しい UPN を入力すると、ユーザー フォレスト内のドメイン コントローラーに対して認証要求が完了し、サインインは成功します。
各ユーザー フォレストの一意の UPN がリソース フォレスト内の関連付けられている無効なオブジェクトに同期された場合、AD FS 認証は失敗します。 一致する規則では、リソース フォレスト内のオブジェクトで UPN が見つかります。これは無効になっており、認証に使用できませんでした。
Microsoft 365 組織を作成する
展開で使用するには、Microsoft 365 組織をプロビジョニングする必要があります。 詳細については、「 Microsoft のクラウド オファリングのサブスクリプション、ライセンス、アカウント、テナント」を参照してください。
Active Directory フェデレーション サービスを構成する
テナントを作成したら、各ユーザー フォレストで Active Directory フェデレーション サービス (AD FS) を構成する必要があります。 ここでは、各フォレストに一意の SIP および SMTP アドレスと、ユーザー プリンシパル名 (UPN) があると仮定しています。 AD FS は省略可能であり、ここではシングル サインオン (SSO) を取得するために使用されます。 パスワード同期を備えた DirSync もサポートされていて、AD FS の代わりに使用することもできます。
対応する SIP/SMTP および UPN がある展開のみがテストされています。 一致する SIP/SMTP/UPN がない場合、Exchange 統合や SSO の問題など、機能が低下する可能性があります。
各フォレストのユーザーに一意の SIP/SMTP/UPN を使用しない限り、AD FS が展開されている場所に関係なく、SSO の問題が引き続き発生する可能性があります。
AD FS ファームが各ユーザー フォレストに展開された状態での、リソース/ユーザー フォレスト間の一方向または双方向の信頼。すべてのユーザーは共通の SIP/SMTP ドメインを共有しますが、ユーザー フォレストごとに一意の UPN を共有します。
AD FS ファームがリソース フォレストのみに展開された状態での、リソース/ユーザー フォレスト間の双方向の信頼。すべてのユーザーは共通の SIP/SMTP ドメインを共有しますが、ユーザー フォレストごとに一意の UPN を共有します。
AD FS ファームを各ユーザー フォレストに配置し、フォレストごとに一意の SIP/SMTP/UPN を使用することで、両方の問題が解決します。 認証試行中に、特定のユーザー フォレストにあるアカウントのみが検索および照合されます。 これは、よりシームレスな認証プロセスを提供するのに役立ちます。
この展開は、Windows Server 2012 R2 AD FS の標準的な展開であり、続行する前に動作している必要があります。 手順については、「 Microsoft 365 用 AD FS 2012 R2 をインストールする方法」を参照してください。
デプロイしたら、先ほど選択したソース アンカーと一致するように要求規則を編集する必要があります。 AD FS MMC の [証明書利用者信頼] で、[Microsoft 365 Identity Platform] または [Microsoft Office 365 Identity Platform] を右クリックし、[要求規則の編集] を選択します。 最初のルールを編集し、ObjectSID を employeeNumber に変更します。
![複数フォレストの [ルールの編集] 画面。](../sfbserver/media/f5d485bd-52cc-437f-ba71-217f8902056c.png)
Microsoft Entra Connect を構成する
リソース フォレスト トポロジでは、リソース フォレストとアカウント フォレストの両方のユーザー属性を Microsoft Entra ID に同期する必要があります。 Microsoft では、Microsoft Entra Connect で、ユーザー アカウントが有効 になっているすべての フォレストと Skype for Business を含むフォレストのユーザー ID を同期およびマージすることをお勧めします。 詳細については、「 Skype for Business と Teams 用に Microsoft Entra Connect を構成する」を参照してください。
Microsoft Entra Connect では、アカウントとリソース フォレストの間でオンプレミスで同期が提供されていないことに注意してください。 これは、前に説明したように、Microsoft Identity Manager または同様の製品を使用して構成する必要があります。
完了し、Microsoft Entra Connect がマージされると、メタバース内のオブジェクトを見ると、次のようなものが表示されます。
緑色で強調表示された属性は Microsoft 365 からマージされ、黄色はユーザー フォレストから、青はリソース フォレストの属性です。
この例では、Microsoft Entra Connect によって、ユーザーの sourceAnchor と cloudSourceAnchor と、Microsoft 365 のリソース フォレスト オブジェクト (この場合は 1101- 以前に選択した employeeNumber) が識別されています。 Microsoft Entra Connect では、このオブジェクトを上記のオブジェクトにマージできました。
詳細については、「 オンプレミスのディレクトリを Microsoft Entra ID と統合する」を参照してください。
Microsoft Entra Connect は、次の状況を除き、既定値を使用してインストールする必要があります。
シングル サインイン - AD FS が既にデプロイされ、動作している場合: [ 構成しない] を選択します。
ディレクトリを接続する: すべてのドメインを追加します。
オンプレミス ディレクトリ内のユーザーを識別する: [ ユーザー ID は複数のディレクトリに存在する] を選択し、 ObjectSID 属性と msExchangeMasterAccountSID 属性を選択します。
Microsoft Entra ID でユーザーを識別する: ソース アンカー: 適切な sourceAnchor 属性の選択、ユーザー プリンシパル名 - userPrincipalName の読み取り後に選択した属性を選択します。
オプション機能: Exchange ハイブリッドが展開されているかどうかを選択します。
注意
Exchange Online のみを使用している場合は、CNAME のリダイレクトが原因で、自動検出中に OAuth のエラーの問題が発生する可能性があります。 これを修正するには、Skype for Business Server Management Shell から次のコマンドレットを実行して Exchange 自動検出 URL を設定する必要があります。
Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svcAD FS ファーム: [既存の Windows Server 2012 R2 AD FS ファームを使用します] を選択し、AD FS サーバーの名前を入力します。
ウィザードを完了し、必要な検証を実行します。
Skype for Business Server のハイブリッド接続を構成する
Skype for Business ハイブリッドを構成するためのベスト プラクティスに従ってください。 詳細については、「ハイブリッド接続の計画」および「ハイブリッド接続の構成」を参照してください。
Exchange Server のハイブリッド接続を構成する
必要に応じて、Exchange ハイブリッドを構成するためのベスト プラクティスに従います。 詳細については、「 Exchange Server ハイブリッド展開」を参照してください。