Exchange Server をオンプレミスで構成して、ハイブリッド先進認証を使用するにはHow to configure Exchange Server on-premises to use Hybrid Modern Authentication

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。This article applies to both Microsoft 365 Enterprise and Office 365 Enterprise.

ハイブリッドモダン認証 (HMA) は、より安全なユーザー認証と承認を提供する ID 管理の方法であり、Exchange サーバーのオンプレミスハイブリッド展開で使用できます。Hybrid Modern Authentication (HMA) is a method of identity management that offers more secure user authentication and authorization, and is available for Exchange server on-premises hybrid deployments.

FYIFYI

開始する前に、次の呼び出しを行います。Before we begin, I call:

  • ハイブリッドモダン認証 > HMAHybrid Modern Authentication > HMA

  • Exchange オンプレミス > EXCHExchange on-premises > EXCH

  • Exchange Online > EXOExchange Online > EXO

また、この記事のグラフィックに、灰色で表示される要素が HMA 固有の構成に含まれていないという'灰色表示' または "淡色" のオブジェクトがある場合。Also, if a graphic in this article has an object that's 'grayed-out' or 'dimmed' that means the element shown in gray is not included in HMA-specific configuration.

ハイブリッドモダン認証の有効化Enabling Hybrid Modern Authentication

HMA をオンにすると、次の意味があります。Turning on HMA means:

  1. 開始する前にプレレポートを満たしてください。Being sure you meet the prereqs before you begin.

  2. 多くの 前提条件は 、Skype for Business と Exchange の両方で一般的です。ハイブリッドモダン認証の概要と、オンプレミス の Skype for Businessサーバーと Exchange サーバーで使用するための前提条件です。Since many prerequisites are common for both Skype for Business and Exchange, Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. この記事の手順を開始する前に、これを行います。Do this before you begin any of the steps in this article.

  3. Azure サーバーにサービス プリンシパル名 (SPN) としてオンプレミス Web サービス URL を追加AD。Adding on-premises web service URLs as Service Principal Names (SPNs) in Azure AD. EXCH が複数のテナントとハイブリッドである場合、これらのオンプレミス Web サービス URL は、EXCH とのハイブリッドにあるすべてのテナントの Azure AD で SPN として追加する必要があります。In case EXCH is in hybrid with multiple tenants, these on-premises web service URLs must be added as SPNs in the Azure AD of all the tenants which are in hybrid with EXCH.

  4. すべての仮想ディレクトリが HMA に対して有効になっているか確認するEnsuring all Virtual Directories are enabled for HMA

  5. EvoSTS Auth Server オブジェクトの確認Checking for the EvoSTS Auth Server object

  6. EXCH で HMA を有効にする。Enabling HMA in EXCH.

すべての前提条件を満たしていることを確認するMake sure you meet all the prerequisites

Skype for Business と Exchange の両方で多くの前提条件が一般的なので、ハイブリッドモダン認証の概要と、オンプレミスの Skype for Business サーバーと Exchange サーバーで使用するための前提条件を 確認してくださいSince many prerequisites are common for both Skype for Business and Exchange, review Hybrid Modern Authentication overview and prerequisites for using it with on-premises Skype for Business and Exchange servers. この記事 の手順 を開始する前に、これを行います。Do this before you begin any of the steps in this article.

注意

Outlook Web App Exchange コントロール パネルはハイブリッドモダン認証では動作しません。Outlook Web App and Exchange Control Panel does not work with hybrid Modern Authentication.

Azure サーバーにオンプレミス Web サービス URL を SPN として追加ADAdd on-premises web service URLs as SPNs in Azure AD

オンプレミスの Web サービス URL を Azure または SPN として割り当てるAD実行します。Run the commands that assign your on-premises web service URLs as Azure AD SPNs. SPN は、認証と承認の間にクライアント コンピューターとデバイスで使用されます。SPNs are used by client machines and devices during authentication and authorization. オンプレミスから Azure Active Directory (Azure AD) への接続に使用される可能性があるすべての URL は、Azure AD に登録する必要があります (内部名前空間と外部名前空間の両方が含まれます)。All the URLs that might be used to connect from on-premises to Azure Active Directory (Azure AD) must be registered in Azure AD (this includes both internal and external namespaces).

最初に、AAD に追加する必要があるすべての URL を収集します。First, gather all the URLs that you need to add in AAD. オンプレミスで次のコマンドを実行します。Run these commands on-premises:

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*url*

クライアントが接続できる URL が、AAD の HTTPS サービス プリンシパル名として一覧表示されます。Ensure the URLs clients may connect to are listed as HTTPS service principal names in AAD. EXCH が複数のテナントとハイブリッドの場合、これらの HTTPS SPN は EXCH とのハイブリッドのすべてのテナントの AAD に追加する必要があります。In case EXCH is in hybrid with multiple tenants, these HTTPS SPNs should be added in the AAD of all the tenants in hybrid with EXCH.

  1. まず、次の手順で AAD に接続しますFirst, connect to AAD with these instructions.

    注意

    以下のコマンドを使用するには、このページの Connect-MsolService オプションを使用する必要があります。You need to use the Connect-MsolService option from this page to be able to use the command below.

  2. Exchange 関連の URL の場合は、次のコマンドを入力します。For your Exchange-related URLs, type the following command:

    Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
    

    このコマンドの出力には https:// autodiscover.yourdomain.com と https:// mail.yourdomain.com URL を含める必要がありますが、主に 000000002-00000-0ff1-ce000-0000-00000000000/で始まる SPN で構成されます。このコマンドの出力をメモします (および後で比較する場合はスクリーンショットを参照してください)。Take note of (and screenshot for later comparison) the output of this command, which should include an https:// autodiscover.yourdomain.com and https:// mail.yourdomain.com URL, but mostly consist of SPNs that begin with 00000002-0000-0ff1-ce00-000000000000/. 不足している https:// の URL が存在する場合は、これらの特定のレコードをこの一覧に追加する必要があります。If there are https:// URLs from your on-premises that are missing, we will need to add those specific records to this list.

  3. この一覧に内部および外部の MAPI/HTTP、EWS、ActiveSync、OAB、および自動検出レコードが表示されていない場合は、以下のコマンドを使用して追加する必要があります (URL の例は ' と ' ' ですが、サンプル URL を独自の URL に置き換えます)。 mail.corp.contoso.com owa.contoso.com If you don't see your internal and external MAPI/HTTP, EWS, ActiveSync, OAB, and Autodiscover records in this list, you must add them using the command below (the example URLs are 'mail.corp.contoso.com' and 'owa.contoso.com', but you'd replace the example URLs with your own):

    $x= Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000
    $x.ServicePrincipalnames.Add("https://mail.corp.contoso.com/")
    $x.ServicePrincipalnames.Add("https://owa.contoso.com/")
    Set-MSOLServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $x.ServicePrincipalNames
    
  4. 手順 2 から Get-MsolServicePrincipalコマンドを実行し、出力を確認して、新しいレコードが追加されたのを確認します。Verify your new records were added by running the Get-MsolServicePrincipal command from step 2 again, and looking through the output. 前のリスト/スクリーンショットと SPN の新しいリストを比較します。Compare the list / screenshot from before to the new list of SPNs. レコードの新しいリストのスクリーンショットを撮る場合があります。You might also take a screenshot of the new list for your records. 成功した場合は、一覧に 2 つの新しい URL が表示されます。If you were successful, you will see the two new URLs in the list. この例では、SPN の一覧に特定の URL と https://mail.corp.contoso.com https://owa.contoso.com .Going by our example, the list of SPNs will now include the specific URLs https://mail.corp.contoso.com and https://owa.contoso.com.

仮想ディレクトリが適切に構成されていることを確認するVerify Virtual Directories are Properly Configured

次に、次のコマンドを実行して、Outlook が使用する可能性があるすべての仮想ディレクトリで Exchange で OAuth が正しく有効になっているか確認します。Now verify OAuth is properly enabled in Exchange on all of the Virtual Directories Outlook might use by running the following commands:

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

出力を確認して、 これらの各 VDir で OAuth が有効になっていることを確認します。次のように表示されます (また、重要な確認は 'OAuth' です)。Check the output to make sure OAuth is enabled on each of these VDirs, it will look something like this (and the key thing to look at is 'OAuth'):

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

OAuth がサーバーと 4 つの仮想ディレクトリから見つからない場合は、処理を進む前に関連するコマンドを使用して追加する必要があります(Set-MapiVirtualDirectory 、Set-WebServicesVirtualDirectory、Set-OABVirtualDirectory、Set-AutodiscoverVirtualDirectory)。 If OAuth is missing from any server and any of the four virtual directories, you need to add it using the relevant commands before proceeding (Set-MapiVirtualDirectory, Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, and Set-AutodiscoverVirtualDirectory).

EvoSTS Auth Server オブジェクトが存在するを確認するConfirm the EvoSTS Auth Server Object is Present

この最後のコマンドのオンプレミスの Exchange 管理シェルに戻します。Return to the on-premises Exchange Management Shell for this last command. これで、オンプレミスに evoSTS 認証プロバイダーのエントリが含まれます。Now you can validate that your on-premises has an entry for the evoSTS authentication provider:

Get-AuthServer | where {$_.Name -eq "EvoSts"}

出力に Name EvoSts の AuthServer が表示され、'Enabled' 状態は True である必要があります。Your output should show an AuthServer of the Name EvoSts and the 'Enabled' state should be True. これが表示されていない場合は、最新バージョンのハイブリッド構成ウィザードをダウンロードして実行する必要があります。If you don't see this, you should download and run the most recent version of the Hybrid Configuration Wizard.

注意

EXCH が複数のテナントとハイブリッドになっている場合、出力には、EXCH とハイブリッドの各テナントの Name EvoSts - {GUID} の 1 つの AuthServer が表示され、これらすべての AuthServer オブジェクトに対して 'Enabled' 状態が True である必要があります。In case EXCH is in hybrid with multiple tenants, your output should show one AuthServer of the Name EvoSts - {GUID} for each tenant in hybrid with EXCH and the 'Enabled' state should be True for all of these AuthServer objects.

重要 環境で Exchange 2010 を実行している場合、EvoSTS 認証プロバイダーは作成されません。Important If you're running Exchange 2010 in your environment, the EvoSTS authentication provider won't be created.

HMA を有効にするEnable HMA

オンプレミスの Exchange 管理シェルで次のコマンドを実行します。Run the following command in the Exchange Management Shell, on-premises:

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

EXCH バージョンが Exchange 2016 (CU18 以上) または Exchange 2019 (CU7 以上) で、ハイブリッドが 2020 年 9 月以降にダウンロードされた HCW で構成されている場合は、オンプレミスの Exchange 管理シェルで次のコマンドを実行します。If the EXCH version is Exchange 2016 (CU18 or higher) or Exchange 2019 (CU7 or higher) and hybrid was configured with HCW downloaded after September 2020, run the following command in the Exchange Management Shell, on-premises:

Set-AuthServer -Identity "EvoSTS - {GUID}" -Domain "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

注意

EXCH が複数のテナントとハイブリッドである場合、EXCH には複数の AuthServer オブジェクトが存在し、各テナントに対応するドメインがあります。In case EXCH is in hybrid with multiple tenants, there are multiple AuthServer objects present in EXCH with domains corresponding to each tenant. IsDefaultAuthorizationEndpoint フラグは、これらの AuthServer オブジェクトの 1 つについて true に設定する必要があります (IsDefaultAuthorizationEndpoint コマンドレットを使用)。The IsDefaultAuthorizationEndpoint flag should be set to true (using the IsDefaultAuthorizationEndpoint cmdlet) for any one of these AuthServer objects. すべての Authserver オブジェクトに対してこのフラグを true に設定することはできません。これらの AuthServer オブジェクトの IsDefaultAuthorizationEndpoint フラグの 1 つが true に設定されている場合でも、HMA は有効になります。This flag can't be set to true for all the Authserver objects and HMA would be enabled even if one of these AuthServer object's IsDefaultAuthorizationEndpoint flag is set to true.

確認するVerify

HMA を有効にした後、クライアントの次のログインでは新しい認証フローが使用されます。Once you enable HMA, a client's next login will use the new auth flow. HMA をオンにしても、クライアントに対して再認証がトリガーされるという点に注意してください。Note that just turning on HMA won't trigger a reauthentication for any client. クライアントは、持っている認証トークンまたは証明書の有効期間に基づいて再認証されます。The clients reauthenticate based on the lifetime of the auth tokens and/or certs they have.

また、Outlook クライアントのアイコン (Windows 通知トレイ) を右クリックし、[接続状態] をクリックすると同時に、Ctrl キーを押したままにする必要があります。You should also hold down the CTRL key at the same time you right-click the icon for the Outlook client (also in the Windows Notifications tray) and click 'Connection Status'. OAuth で使用されるベアラー トークンを表す 'Bearer'の 'Authn' 型に対してクライアントの SMTP アドレス * を探します。Look for the client's SMTP address against an 'Authn' type of 'Bearer*', which represents the bearer token used in OAuth.

注意

HMA を使用して Skype for Business を構成する必要がありますか?Need to configure Skype for Business with HMA? 2 つの記事が必要です。1 つは、サポートされているトポロジを一覧表示する記事と、構成を実行する方法を示す記事ですYou'll need two articles: One that lists supported topologies, and one that shows you how to do the configuration.

iOS および Android 用の Outlook でのハイブリッド先進認証の使用Using hybrid Modern Authentication with Outlook for iOS and Android

TCP 443 で Exchange サーバーを使用しているオンプレミスのお客様の場合は、次の IP アドレス範囲のトラフィック処理をバイパスします。If you are an on-premises customer using Exchange server on TCP 443, bypass traffic processing for the following IP address ranges:

52.125.128.0/20
52.127.96.0/23

iOS および Android 用の Outlook アプリは、Microsoft サービスを使用して、日常と仕事の検索、計画、優先順位付けを行って、モバイル デバイスで Microsoft 365 または Office 365 を体験するための最良の方法として設計されています。The Outlook app for iOS and Android is designed as the best way to experience Microsoft 365 or Office 365 on your mobile device by using Microsoft services to help find, plan, and prioritize your daily life and work. 詳細については、「ハイブリッドモダン認証と Outlook for iOS および Android の使用」 を参照してくださいFor more information, please refer to Using hybrid Modern Authentication with Outlook for iOS and Android.

365 専用/ITAR Office vNext への移行に関する最新の認証構成要件Modern Authentication configuration requirements for transition from Office 365 dedicated/ITAR to vNext