ダイレクト ルーティングの新機能

  • [アーティクル]
  • 適用対象:
    Microsoft Teams

この記事では、ダイレクト ルーティングの新機能について説明します。 頻繁に更新プログラムを確認してください。

SBC 証明書 EKU 拡張機能テスト

2024 年 3 月 5 日 (UTC 午前 9 時から) に、Microsoft はインフラストラクチャの 24 時間テストを実施します。 この間、セッション ボーダー コントローラー (SBC) 証明書は、拡張キー使用法 (EKU) 拡張機能にクライアント認証とサーバー認証の両方を含める必要があります。 サービスの低下を回避するために、証明書の EKU 拡張機能にサーバー認証とクライアント認証が含まれていることを確認してください。

SBC 証明書 EKU 拡張機能にサーバー認証とクライアント認証の両方が含まれていない場合、SBC は Microsoft インフラストラクチャに接続できません。

EKU のサーバー認証とクライアント認証の両方を要求する最後の切り替えは、2024 年 3 月 19 日に実行されることに注意してください。

詳細については、「 SBC のパブリック信頼された証明書」を参照してください。

DoD クラウドと GCCH クラウドでの MSPKI 証明機関への SIP 証明書の変更

Microsoft 365 では、別のルート証明機関 (CA) の TLS 証明書を使用するように、メッセージング、会議、テレフォニー、音声、ビデオに電力を供給するサービスを更新しています。 影響を受けるエンドポイントには、Office 365 Government - GCC High (GCCH) および DoD 展開の PSTN トラフィックに使用される Microsoft Teams ダイレクト ルーティング SIP エンドポイントが含まれます。 SIP エンドポイント用の新しい CA によって発行された証明書への移行は、2024 年 5 月に開始されます。 これは、2024 年 4 月末までにアクションを実行する必要があることを意味します。

新しいルート CA "DigiCert Global Root G2" は、Windows、macOS、Android、iOS などのオペレーティング システムや、Microsoft Edge、Chrome、Safari、Firefox などのブラウザーによって広く信頼されています。 ただし、SBC に手動で構成された証明書ルート ストアがある可能性があります。 その場合は、サービスへの影響を回避するために、新しい CA を含むように SBC CA ストアを更新する必要があります。 受け入れ可能な CA の一覧に新しいルート CA がない SBC は、証明書の検証エラーを受け取ります。これは、サービスの可用性または機能に影響を与える可能性があります。 古い CA と新しい CA の両方が SBC によって信頼されている必要があります。古い CA を削除しないでください。 SBC で受け入れられた証明書の一覧を更新する方法については、SBC ベンダーのドキュメントを参照してください。 古いルート証明書と新しいルート証明書の両方を SBC によって信頼する必要があります。 現在、Microsoft SIP インターフェイスで使用される TLS 証明書は、次のルート CA までチェーンされています。

CA の一般的な名前: DigiCert グローバル ルート CA 拇印 (SHA1): a8985d3a65e5e5c4b2d7d66d40c6ddd2fb19c5436 古い CA 証明書は DigiCert から直接ダウンロードできます。 http://cacerts.digicert.com/DigiCertGlobalRootCA.crt

Microsoft SIP インターフェイスで使用される新しい TLS 証明書は、次のルート CA までチェーンされます。CA の共通名: DigiCert Global Root G2 拇印 (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4 新しい CA 証明書は DigiCert から直接ダウンロードできます。 https://cacerts.digicert.com/DigiCertGlobalRootG2.crt

詳細については、「変更前に SBC 証明書の構成をテストして確認するには」の技術ガイダンス https://docs.microsoft.com/en-us/microsoft-365/compliance/encryption-office-365-tls-certificates-changes?view=o365-worldwide を参照してください。Microsoft は、新しいルート CA (DigiCert Global Root G2) から発行された SBC アプライアンス信頼証明書を確認するために使用できるテスト エンドポイントを準備しました。 SBC がこのエンドポイントへの TLS 接続を確立できる場合、Teams サービスへの接続は変更の影響を受けてはなりません。 これらのエンドポイントは、SIP OPTIONS ping メッセージにのみ使用し、音声トラフィックには使用しないでください。 これらは運用環境のエンドポイントではなく、冗長構成によってサポートされていません。 つまり、数時間続くダウンタイムが発生し、約 95% の可用性が期待されます。

GCCH のテスト エンドポイント FQDN: x.sip.pstnhub.infra.gov.teams.microsoft.us ポート: 5061

DoD のテスト エンドポイント FQDN: x.sip.pstnhub.infra.dod.teams.microsoft.us ポート: 5061

SIP 証明書の新しい MSPKI 証明機関への最終的な切り替え

9 月 5 日と 19 日の 2 回のテストの後、Microsoft は 10 月 3 日の午前 10 時 (UTC) から新しい証明機関 (CA) への最終切り替えを実行します。 すべての Microsoft SIP エンドポイントが徐々に切り替わり、証明書チェーンが "DigiCert Global Root G2" 証明機関 (CA) にロールアップされる証明書を使用します。

セッション ボーダー コントローラー (SBC) が新しい証明機関 (CA) で正しく構成されていない場合、ダイレクト ルーティングの着信と発信の呼び出しは、スイッチの後に失敗します。 SBC の構成に関する詳細なガイダンスについては、SBC ベンダーと直接お問い合わせください。

変更要件とテストは、Microsoft 管理 ポータル (MC540239、TM614271、MC663640、TM674073、MC674729) で、メッセージ センターの投稿とサービス正常性インシデントを通じてダイレクト ルーティングのお客様に伝えられました。

MSPKI 証明機関への SIP 証明書の追加テストの変更

9 月 19 日 (UTC 午後 4 時から) に、Microsoft は 24 時間のテストを実行します。このテストでは、すべての Microsoft SIP エンドポイントを切り替えて証明書チェーンが "DigiCert Global Root G2" 証明機関 (CA) にロールアップされる証明書を使用します。 SBC 構成に新しい証明機関 (CA) を追加し、古い Baltimore CA を保持する必要があります。古い CA を置き換えないでください。 SBC がこの CA を信頼していない場合、テスト中に Teams SIP エンドポイントに接続することはできません。 新しい証明機関 (CA) への最終切り替えが 10 月 3 日に実行されます。

変更の前に SBC 証明書の構成をテストして確認する場合、Microsoft は、SBC アプライアンスが新しいルート CA (DigiCert Global Root G2) から発行された証明書を信頼することを確認するために使用できるテスト エンドポイントを準備しました。 このエンドポイントは、SIP OPTIONS ping メッセージにのみ使用し、音声トラフィックには使用しないでください。 SBC がこのエンドポイントへの TLS 接続を確立できる場合、Teams サービスへの接続は変更の影響を受けてはなりません。

エンドポイント FQDN のテスト: sip.mspki.pstnhub.microsoft.com

ポート: 5061

MSPKI 証明機関への SIP 証明書の変更テスト

9 月 5 日 (UTC 午前 9 時から) に、Microsoft は 24 時間のテストを実行します。このテストでは、すべての Microsoft SIP エンドポイントが切り替わって証明書チェーンが "DigiCert Global Root G2" 証明機関 (CA) にロールアップされる証明書を使用します。 SBC がこの CA を信頼していない場合は、Teams SIP エンドポイントに接続できない可能性があります。

変更の前に SBC 証明書の構成をテストして確認する場合、Microsoft は、SBC アプライアンスが新しいルート CA (DigiCert Global Root G2) から発行された証明書を信頼することを確認するために使用できるテスト エンドポイントを準備しました。 このエンドポイントは、SIP OPTIONS ping メッセージにのみ使用し、音声トラフィックには使用しないでください。 SBC がこのエンドポイントへの TLS 接続を確立できる場合、Teams サービスへの接続は変更の影響を受けてはなりません。

エンドポイント FQDN のテスト: sip.mspki.pstnhub.microsoft.com

ポート: 5061

MSPKI 証明機関への SIP 証明書の変更

Microsoft 365 では、別のルート証明機関 (CA) の TLS 証明書を使用するように、メッセージング、会議、テレフォニー、音声、ビデオに電力を供給するサービスを更新しています。 この変更は、現在のルート CA が 2025 年 5 月に期限切れになるためです。 影響を受けるエンドポイントには、TLS 接続を利用する PSTN トラフィックに使用されるすべての Microsoft SIP エンドポイントが含まれます。 新しい CA によって発行された証明書への移行は、8 月下旬に開始されます。

新しいルート CA "DigiCert Global Root G2" は、Windows、macOS、Android、iOS などのオペレーティング システムや、Microsoft Edge、Chrome、Safari、Firefox などのブラウザーによって広く信頼されています。 ただし、SBC に手動で構成された証明書ルート ストアがあり、更新する必要がある可能性があります。 受け入れ可能な CA の一覧に新しいルート CA がない SBC は、証明書の検証エラーを受け取ります。これは、サービスの可用性または機能に影響を与える可能性があります。 SBC で受け入れられた証明書の一覧を更新する方法については、SBC ベンダーのドキュメントを参照してください。

現在、Microsoft SIP インターフェイスで使用される TLS 証明書は、次のルート CA までチェーンされています。

CA の共通名: Baltimore CyberTrust Root Thumbprint (SHA1): d4de20d05e66fc53fe1a50882c78db2852cae474

Microsoft SIP インターフェイスで使用される新しい TLS 証明書は、次のルート CA までチェーンされます。

CA の一般的な名前: DigiCert Global Root G2 拇印 (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4

新しい CA 証明書は、DigiCert: DigiCert Global Root G2 から直接ダウンロードできます。

詳細については、「Office TLS 証明書の変更」を参照してください。

新しいダイレクト ルーティング SIP エンドポイント

Microsoft では、Teams ダイレクト ルーティング SIP エンドポイントに新しいシグナリング IP を導入します。 この変更がサービスの可用性に影響しないようにするには、分類規則と ACL 規則に推奨サブネット 52.112.0.0/14 と 52.122.0.0/15 を使用するようにセッション ボーダー コントローラーとファイアウォールが構成されていることを確認します。 詳細については、「Microsoft 365、Office 365、Office 365 GCC 環境」を参照してください。

SIP オプションに基づくトランク降格ロジック

SIP オプションに基づく新しい機能がトランクの正常性に導入されました。 ゲートウェイ構成で有効にすると (コマンドレットと SendSipOptions パラメーター Set-CsOnlinePSTNGateway 参照)、送信呼び出しのルーティング ロジックにより、SIP オプションを定期的に送信しないトランクが降格されます (予想される期間は、SBC によって 1 分あたり 1 つの SIP オプションが送信されます)。 これらの降格されたトランクは、発信コールで使用可能なトランク リストの末尾に配置され、最後に試行されます。これにより、通話のセットアップ時間が短縮される可能性があります。

5 分以内に少なくとも 1 つの SIP オプションを Microsoft リージョン (NOAM、EMEA、APAC、OCEA) SIP プロキシに送信しないその機能に対して有効になっているトランクは、降格と見なされます。 トランクが Microsoft リージョン SIP プロキシのサブセットにのみ SIP オプションを送信する場合、これらのルートは最初に試行され、残りは降格されます。

注意

SIP OPTIONS を送信しない SBC ( SendSipOptionstrue に設定された顧客または通信事業者のテナントで構成) は降格されます。 その動作を望まないお客様は、SBC 構成で SendSipOptionsfalse に設定する必要があります。 SBC 構成が通信事業者または顧客テナントの下にあるキャリア トランクにも同じことが当てはまります。 このような場合、 SendSipOptionstrue に設定されている場合、SBC は SIP オプションを送信します。

SIP サポート

2022 年 6 月 1 日に、Microsoft はダイレクト ルーティング構成から sip-all.pstnhub.microsoft.com と sip-all.pstnhub.gov.teams.microsoft.us FQDN のサポートを削除します。

6 月 1 日より前にアクションが実行されない場合、ユーザーはダイレクト ルーティングを介して通話を行ったり受信したりすることはできません。

サービスへの影響を防ぐには:

  • 推奨されるサブネット (52.112.0.0/14 および 52.120.0.0/14) は、分類または ACL 規則に使用します。
  • ダイレクト ルーティング用のセッション 境界制御を構成する場合は、sip-all FQDN の使用を中止します。

詳細については、「 直接ルーティングを計画する」を参照してください。

注意

このドキュメントに記載されている IP 範囲はダイレクト ルーティングに固有であり、Teams クライアントに関して推奨される IP 範囲とは異なる場合があります。

TLS 証明書

Microsoft 365 では、別のルート証明機関 (CA) のセットを使用するように Teams やその他のサービスを更新しています。

影響を受けるサービスの詳細と完全な一覧については、「 Microsoft Teams を含む Microsoft 365 サービスへの TLS 証明書の変更」を参照してください。

証明機関

2022 年 2 月 1 日から、ダイレクト ルーティング SIP インターフェイスは、Microsoft 信頼されたルート証明書プログラムの一部である証明機関 (CA) によって署名された証明書のみを信頼します。 サービスへの影響を回避するには、次の手順を実行します。

  • SBC 証明書が、Microsoft 信頼されたルート証明書プログラムの一部である CA によって署名されていることを確認します。
  • 証明書の拡張キー使用法 (EKU) 拡張機能に "サーバー認証" が含まれていることを確認します。

Microsoft 信頼されたルート証明書プログラムの詳細については、「 プログラムの要件 - Microsoft 信頼されたルート プログラム」を参照してください。

信頼された CA の一覧については、「 Microsoft Included CA Certificate List」を参照してください。

ヘッダーを置き換える

2022 年 4 月以降、ダイレクト ルーティングでは、置換ヘッダーが定義されている SIP 要求が拒否されます。 Microsoft が Replaces ヘッダーをセッション ボーダー コントローラー (SBC) に送信するフローに変更はありません。

SBC 構成を確認し、SIP 要求で置換ヘッダーを使用していないことを確認します。

TLS1.0 と 1.1

お客様にクラス最高の暗号化を提供するために、Microsoft はトランスポート層セキュリティ (TLS) バージョン 1.0 および 1.1 を非推奨にする予定です。 2022 年 4 月 3 日、Microsoft はダイレクト ルーティング SIP インターフェイスの TLS1.2 の使用を強制します。

サービスへの影響を回避するには、SBC が TLS1.2 をサポートするように構成されており、次のいずれかの暗号スイートを使用して接続できることを確認します。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384すなわち ECDHE-RSA-AES256-GCM-SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256すなわち ECDHE-RSA-AES128-GCM-SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384すなわち ECDHE-RSA-AES256-SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256すなわち ECDHE-RSA-AES128-SHA256