フェデレーション信頼を構成する
製品: Exchange Server 2013
フェデレーション信頼は、Microsoft Exchange 2013 organizationとMicrosoft Entra認証システムの間に信頼関係を確立します。 フェデレーション信頼を構成すると、他の Exchange フェデレーション組織とのフェデレーション共有を構成して、受信者間で予定表の空き時間情報を共有できます。 フェデレーション共有は、2 つの Exchange 2013 フェデレーション組織間、または 1 つの Exchange 2013 フェデレーション組織と複数の Exchange 2010 フェデレーション組織との間で構成できます。 Microsoft 365 または Office 365 organizationとの共有を設定することもできます。
注:
フェデレーション信頼の作成は、Exchange 組織内でフェデレーション共有を設定する際の、複数の手順の 1 つです。 すべての手順を確認するには、「フェデレーション共有の構成」を参照してください。
フェデレーションに関連するその他の管理タスクについては、「 フェデレーション手順」を参照してください。
重要
Exchange Server 2013 のこの機能は、中国で 21Vianet によって運用される Office 365 との完全な互換性を備えておらず、いくつかの機能制限が適用される場合があります。 詳細については、「21Vianet が運営Office 365」を参照してください。
はじめに把握しておくべき情報
予想所要時間 : 30 分。
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「 Exchange とシェルのインフラストラクチャ のアクセス許可」トピックの「フェデレーションと証明書」のアクセス許可エントリを参照してください。
フェデレーション信頼の確立に使用されるドメインは、インターネットから解決可能である必要があります。 これには、ドメイン登録業者によってドメインが登録されていること、およびドメインのドメイン ネーム システム (DNS) ゾーンがインターネットからアクセス可能な DNS サーバーによってホストされていることが必要です。 組織がドメイン宛てのインターネット電子メールを受信できるようであれば、それらの前提条件は既に満たしています。
TXT レコードをパブリック DNS に追加する必要があります。 パブリック DNS レコードをホストする組織とともに TXT レコードを追加する要件を確認します。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
フェデレーション共有関係の両方の Exchange 組織は、フェデレーション信頼に同じMicrosoft Entra認証システムを使用する必要があります。 この要件は、2 つのオンプレミスの Exchange 組織間、またはオンプレミスの Exchange organizationと、Microsoft 365 または Office 365でホストされている Exchange organizationとの間でフェデレーション共有を構成する場合に適用されます。
Exchange 2013 organizationのMicrosoft Entra認証システムを使用してフェデレーション信頼を作成すると、フェデレーション信頼はMicrosoft Entra認証システムのビジネス インスタンスを使用します。 ただし、以前のバージョンの Exchange と既存のフェデレーション信頼を持つ他のフェデレーション Exchange 組織は、Microsoft Entra認証システムのビジネス インスタンスまたはコンシューマー インスタンスを使用している可能性があります。
次の Exchange 組織では、Microsoft Entra認証システムのビジネス インスタンスが既定で使用されます。
- フェデレーション信頼に対して フェデレーション信頼の有効化ウィザードと自己署名証明書を使用する Exchange 2013 組織。
- フェデレーション信頼に対して フェデレーション信頼の新規作成ウィザードと自己署名証明書を使用する Exchange 2010 SP1 以降の組織。
- Microsoft 365 および Office 365 がホストする Exchange 組織。
次の Exchange 組織では、Microsoft Entra認証システムのコンシューマー インスタンスが既定で使用されます。
- サード パーティの証明機関が発行する証明書を使用する、RTM (Release To Manufacturing) 版の Exchange 2010 組織。
すべての Exchange 組織では、フェデレーション信頼にMicrosoft Entra認証システムのビジネス インスタンスを使用することをお勧めします。 2 つの Exchange 組織間でフェデレーション共有を構成する前に、既存のフェデレーション信頼に対して各 Exchange organizationが使用している認証システム インスタンスMicrosoft Entra確認する必要があります。 Exchange organizationが既存のフェデレーション信頼に使用している認証システム インスタンスMicrosoft Entra判断するには、次の Shell コマンドを実行します。
Get-FederationInformation -DomainName <hosted Exchange domain namespace>
ビジネス インスタンスは、TokenIssuerURIs パラメーターの
<uri:federation:MicrosoftOnline>
値を返します。コンシューマー インスタンスは、TokenIssuerURIs パラメーターの
<uri:WindowsLiveID>
値を返します。Microsoft Entra認証システムのビジネス インスタンスを使用する既存のフェデレーション信頼を持つ Exchange organizationとのフェデレーション共有を構成するには、このトピックの手順に従います。 これらの手順は、2 つの Exchange 2013 組織間、または Exchange 2013 organizationと、Microsoft Entra認証システムのビジネス インスタンスを既に使用している Exchange 2010 organization間でフェデレーション共有を有効にするために使用できるフェデレーション信頼を作成するために必要なすべてです。
Exchange 2013 organizationと、Microsoft Entra認証システムのコンシューマー インスタンスを使用する既存のフェデレーション信頼を持つ Exchange organizationとの間でフェデレーション共有を構成するには、Exchange organizationコンシューマー インスタンスを使用する場合は、Exchange 2010 SP2 以降をインストールするか、Exchange 2013 にアップグレードする必要があります。 Exchange 2010 SP2 以降をインストールする場合は、 フェデレーション信頼の新規作成ウィザードを使用して、既存のフェデレーション ドメインとフェデレーション信頼を削除し、再作成します。 フェデレーション信頼が再作成されると、Microsoft Entra認証システムのビジネス インスタンスが使用されます。
EAC を使用してフェデレーション信頼を作成および構成する
オンプレミスのorganizationの Exchange 2013 サーバーで、[組織>の共有] に移動します。
[有効にする] をクリックして、 フェデレーション信頼の有効化ウィザードを起動します。
ウィザードが完了したら、 [閉じる] をクリックします。
[共有] タブの [フェデレーション信頼] で、 [変更] をクリックします。
[共有が有効なドメイン] の [ステップ 1] の横にある [参照] をクリックします。
[承認済みドメインの選択] で、リストからプライマリ共有ドメインを選択し、 [OK] をクリックします。
注:
選択したドメインは、フェデレーション信頼の OrgID の構成に使用されます。 OrgID の詳細については、「フェデレーション」を参照してください。
プライマリ共有ドメイン用に生成されたフェデレーション ドメインの証明をメモしておきます。 この文字列を使用して、パブリック DNS サーバー上で TXT レコードを作成します。
重要
フェデレーション ドメインの証明は、アルファベット文字列です。 入力エラーを避けるために、EAC からこの文字列をコピーし、メモ帳などのテキスト エディターに貼り付けます。 その後、テキスト エディターからクリップボードにコピーし、TXT レコードの作成時に [テキスト] フィールドに貼り付けます。 不正なフェデレーション ドメイン証明文字列を使用して TXT レコードが作成された場合、Microsoft Entra認証システムはドメイン所有権の証明を検証できず、フェデレーション organization識別子に追加することはできません。
手順 2 で、[フェデレーション共有機能を必要とするorganizationのユーザーが使用する電子メール アドレスのフェデレーション信頼にドメインを追加します。 たとえば、その電子メール アドレスで sales.contoso.com などのサブドメインを使用するユーザーがいる場合、sales.contoso.com ドメインをフェデレーション信頼に追加します。
注:
フェデレーション ドメインの証明文字列は、選択された追加ドメインごとに作成されます。 追加ドメインごとにパブリック DNS 上で別個の TXT レコードを作成する必要があります。
各ドメイン用に作成されたフェデレーション ドメインの証明文字列を使用して、パブリック DNS サーバー上でこれらの各ドメインに TXT レコードを作成します。 パブリック DNS ホストの更新スケジュールによっては、DNS 変更のレプリケーションに 15 分以上かかる場合があります。
TXT レコードを作成およびレプリケートしたら、[更新] をクリックします。
シェルを使用してフェデレーション信頼を作成および構成する
次のコマンドを実行して、フェデレーション信頼で使用する証明書用の一意のサブジェクト キー識別子を作成します。
$ski = [System.Guid]::NewGuid().ToString("N")
フェデレーション信頼で使用する自己署名証明書を作成するには、次の構文を使用します。
New-ExchangeCertificate -FriendlyName "<Descriptive Name>" -DomainName <domain> -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
この例では、Microsoft Entra認証システムとのフェデレーション信頼の自己署名証明書を作成します。 証明書はフレンドリ名の値 Exchange Federated Sharing を使用し、ドメイン値は USERDNSDOMAIN 環境変数から取得されます。
New-ExchangeCertificate -FriendlyName "Exchange Federated Sharing" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski
フェデレーションの信頼を作成し、前の手順で作成した自己署名証明書を組織の Exchange サーバーに自動的に展開するには、次の構文を使用します。
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "<FriendlyName>"} | New-FederationTrust -Name "<Descriptive Name>"
この例では、Microsoft Entra 認証という名前のフェデレーション信頼を作成し、Exchange フェデレーション共有という名前の自己署名証明書を展開します。
Get-ExchangeCertificate | ?{$_.FriendlyName -eq "Exchange Federated Sharing"} | New-FederationTrust -Name "Azure AD Authentication"
この構文を使用して、フェデレーション信頼用に構成するドメインに必要な、ドメイン所有権の証明の TXT レコードを返します。
Get-FederatedDomainProof -DomainName <domain>
この例では、プライマリ共有ドメイン contoso.com に必要なドメイン所有権の証明の TXT レコードを返します。
Get-FederatedDomainProof -DomainName contoso.com
注:
フェデレーション信頼用に構成されている各ドメインまたはサブドメインには、ドメイン所有権の証明 TXT レコードが必要であるため、異なる DomainName 値を使用してこのコマンドを複数回実行する必要がある場合があります。
シェルで右クリックして、ドメインの証明文字列をコピーし、 [Mark]、 [Proof] 値の順に選択し後に Enter キーを押すと、TXT レコード作成時にドメインの証明文字列を使用できます。 不正なフェデレーション ドメイン証明文字列を使用して TXT レコードを作成した場合、Microsoft Entra認証システムはドメインの所有権を確認できず、フェデレーション organization識別子に追加することはできません。
前の手順の情報に基づいて、フェデレーション信頼に含めるすべてのドメインのパブリック DNS サーバーに TXT レコードを作成します。 パブリック DNS ホストの更新スケジュールによっては、DNS 変更のレプリケーションに 15 分以上かかる場合があります。 新しい TXT レコードが使用できることを確認したら、次に進みます。
重要
TXT レコードは、フェデレーション/共有されているすべてのドメインに対して作成する必要があります。 これがハイブリッド環境の場合は、Exchange Onlineで検証されたすべての承認済みドメインに TXT レコードが作成されている必要があります。
次のコマンドを実行して、Microsoft Entra ID からメタデータと証明書を取得します。
Set-FederationTrust -RefreshMetadata -Identity "Azure AD authentication"
この構文を使用して、ステップ 3 で作成したフェデレーション信頼のプライマリ共有ドメインを構成します。 指定したドメインは、フェデレーション信頼の組織識別子 (OrgID) を構成するために使用されます。 OrgID の詳細については、「フェデレーション組織識別子」を参照してください。
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "<Federation Trust Name>" -AccountNamespace <Accepted Domain> -Enabled $true
この例では、承認されたドメイン contoso.com を、認証という名前のフェデレーション信頼のプライマリ共有ドメインMicrosoft Entra構成します。
Set-FederatedOrganizationIdentifier -DelegationFederationTrust "Azure AD authentication" -AccountNamespace contoso.com -Enabled $true
フェデレーション信頼に他のドメインを追加するには、次の構文を使用します。
Add-FederatedDomain -DomainName <AdditionalDomain>
sales.contoso.com ドメインのメール アドレスを持つユーザーにフェデレーション共有機能が必要なため、この例では、サブドメイン sales.contoso.com をフェデレーション信頼に追加します。
Add-FederatedDomain -DomainName sales.contoso.com
フェデレーション信頼に追加するドメインまたはサブドメインには、ドメイン所有権の証明の TXT レコードが必要です。
構文およびパラメーターの詳細については、「New-ExchangeCertificate」、「New-FederationTrust」、「Get-FederatedDomainProof」、「Set-FederationTrust」、「Set-FederatedOrganizationIdentifier」、「Add-FederatedDomain」を参照してください。
正常な動作を確認する方法
フェデレーション信頼の有効化および共有が有効なドメイン ウィザードが正常に完了すると、フェデレーション信頼が期待どおりに構成されたことが初めてわかります。
フェデレーション信頼が正常に作成および構成されたことをさらに詳しく確認するには、次の手順を実行します。
次のシェル コマンドを実行して、フェデレーション信頼情報を確認します。
Get-FederationTrust | Format-List
PrimarySharedDomain をプライマリ共有ドメインに置き換え<、次のシェル コマンドを実行して、フェデレーション情報がorganizationから取得できることを確認します。>
Get-FederationInformation -DomainName <PrimarySharedDomain>
構文およびパラメーターの詳細については、「Get-FederationTrust」と「Get-FederationInformation」を参照してください。
ヒント
問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Serverのフォーラムにアクセスしてください。