ハイブリッド先進認証の概要とオンプレミスの Skype for Business および Exchange サーバーで使用する前提条件

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。

先進認証 は、より安全なユーザー認証と承認を提供する ID 管理の方法です。 これは、オンプレミスの Skype for Business サーバーとオンプレミスの Exchange サーバーの Office 365 ハイブリッド展開、および分割ドメインの Skype for Business ハイブリッドにも利用できます。 この記事は、前提条件についての関連ドキュメント、先進認証の設定/無効化にリンクし、関連するクライアント (例: Outlook および Skype クライアント) 情報にリンクします。

先進認証とは何ですか?

先進認証は、クライアント (ラップトップや携帯電話など) とサーバーの間の認証と承認の方法の組み合わせた包括的な用語であり、使用している可能性のあるアクセスポリシーに依存するいくつかのセキュリティ対策です。 内容は以下のとおりです:

  • 認証方法: 多要素認証 (MFA)、スマート カード認証、クライアント証明書ベースの認証
  • 承認方法: Microsoft が提供する Open Authorization (OAuth) の実装
  • 条件付きアクセスポリシー: モバイル アプリケーション管理 (MAM) と Azure Active Directory (Azure AD) の条件付きアクセス

先進認証を使用してユーザー ID を管理すると、管理者はさまざまなツールを使用して、リソースを保護することができます。また、オンプレミス (Exchange と Skype for Business)、Exchange ハイブリッド、Skype for Business のハイブリッド/分割ドメインのシナリオにもより安全な ID 管理方法を提供します。

Skype for Business は Exchange と緊密に連携しているため、Skype for Business クライアント ユーザーのログイン動作は、Exchange の先進認証状態によって影響を受けます。 これは、Skype for Business の 分割ドメイン ハイブリッド アーキテクチャがあり、Skype for Business Online と Skype for Business オンプレミスの両方が含まれていて、ユーザーが両方の場所に所属している場合にも適用されます。

最新の認証の詳細については、「Office 365 クライアント アプリのOffice 365 - 多要素認証」を参照してください

重要

2017 年 8 月に、Skype for Business Online と Exchange Online を含むすべての新しい Office 365 テナントは、既定で先進認証が有効になります。 既存のテナントの既定の MA 状態は変更されませんが、すべての新しいテナントは、上記の一覧に表示されている ID 機能の拡張セットを自動的にサポートします。 MA 状態を確認するには、「オンプレミス環境の先進認証状態を確認する」 セクションを参照してください。

先進認証を使用すると、どのような変更がありますか?

オンプレミスの Skype for Business または Exchange サーバーで先進認証を使用する場合、オンプレミスのユーザーは引き続き 認証 されますが、リソース (ファイルやメールなど) へのアクセスを 承認 するストーリーは変わります。 最新の認証はクライアントとサーバーの通信に関するものですが、これは、MA の構成中に実行される手順により、evoSTS (Azure AD で使用されるセキュリティ トークン サービス) が、Skype for Business および Exchange サーバーのオンプレミスの認証サーバーとして設定されるためです。

evoSTS への変更により、オンプレミス サーバーはクライアントを承認するために OAuth (トークン発行) を利用でき、オンプレミスはクラウドで一般的なセキュリティ方法 (多要素認証など) を使用できます。 さらに、evoSTSは、ユーザーが要求の一部としてパスワードを提供しなくても、リソースへのアクセスを要求できるトークンを発行します。 ユーザーのホーム (オンラインまたはオンプレミス)、必要なリソースをホストしている場所に関係なく、EvoSTS は、先進認証が構成されたら、ユーザーとクライアントを承認する中核になります。

たとえば、Skype for Business クライアントがユーザーの代わりにExchange サーバーにアクセスして予定表情報を取得する必要がある場合、Active Directory 認証ライブラリ (ADAL) を使用してそれを行います。 ADAL は、OAuth セキュリティ トークンを使用してクライアント アプリケーションがディレクトリ内の保護されたリソースを利用できるように設計されたコード ライブラリです。 ADAL は OAuth と連携して、クレームを検証し、(パスワードではなく) トークンを交換して、リソースへのユーザー アクセスを許可します。 以前は、このようなトランザクションの権限 (ユーザーの要求を検証し、必要なトークンを発行する方法を理解しているサーバー) は、オンプレミスのセキュリティ トークン サービス、または Active Directory フェデレーション サービスでさえあった可能性があります。 ただし、先進認証では、Azure AD を使用してその権限を集中化します。

これは、Exchange サーバーおよび Skype for Business 環境が完全にオンプレミスであっても、承認サーバーがオンラインになることを意味します。オンプレミス環境には、クラウド内の Office 365 サブスクリプション (およびサブスクリプションがディレクトリとして使用する Azure AD インスタンス) への接続を作成および維持する機能が必要です。

何が変更されないのでしょうか? 分割ドメイン ハイブリッドを使用している場合でも、Skype for Business および Exchange サーバーをオンプレミスで使用している場合でも、すべてのユーザーは最初に オンプレミス で認証する必要があります。 先進認証のハイブリッド実装では、LyncdiscoveryAutodiscovery の両方がオンプレミス サーバーを指しています。

重要

MA でサポートされている Skype for Business の特定のトポロジについて理解する必要がある場合は、ここに 記載されています。

オンプレミス環境の先進認証状態を確認する

先進認証は、サービスが OAuth/S2S を利用するときに使用する承認サーバーを変更するので、オンプレミスの Skype for Business と Exchange 環境で先進認証が有効になっているかどうかを確認する必要があります。 次の PowerShell コマンドを実行して、Exchange サーバーの状態を確認できます:

Get-OrganizationConfig | ft OAuth*

OAuth2ClientProfileEnabled プロパティの値が False の場合、先進認証は無効になります。

Get-OrganizationConfig cmdlet の詳細については、Get-OrganizationConfig を参照してください。

次の PowerShell コマンドを実行して、Skype for Business サーバーを確認できます:

Get-CSOAuthConfiguration

コマンドが空の OAuthServers プロパティを返す場合、または ClientADALAuthOverride プロパティの値が 許可されていない 場合は、先進認証は無効になります。

Get-CsOAuthConfiguration コマンドレットの詳細については、Get-CsOAuthConfiguration を参照してください。

先進認証の前提条件を満たしていますか?

続けるには、リストから次の項目を検証および確認します:

  • Skype for Business 固有

    • Skype for Business Server 2015 以降には、すべてのサーバーに2017 年 5 月の累積的な更新プログラム (CU5) が含まれる必要があります。
      • 例外 - Survivability Branch Appliance (SBA) は現在のバージョン (Lync 2013 に基づく) にすることができます
    • Office 365 のフェデレーション ドメインとして SIP ドメインが追加されています
    • すべての SFB フロント エンドには、インターネット、Office 365 認証URL (TCP 443)、および Office 365 の URL と IP アドレスの範囲 の「Microsoft 365 Common and Office」セクションの 56 行目と 125 行目に記載されている既知の証明書ルート CRL (TCP 80) への接続が必要です。
  • ハイブリッド Office 365 環境の Skype for Business オンプレミス

    • Skype for Business Server 2019 の展開には、Skype for Business Server 2019 を実行するすべてのサーバーが含まれています。
    • Skype for Business Server 2015 の展開には、Skype for Business Server 2015 を実行するすべてのサーバーが含まれています。
    • 次に示す最大 2 つの異なるサーバー バージョンの展開:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • Skype for Business のすべてのサーバーには、最新の累積更新プログラムがインストールされている必要があります。「Skype for Business Server の更新」 を参照して、利用可能なすべての更新プログラムを見つけて管理してください。
    • ハイブリッド環境に Lync Server 2010 または 2013 はありません。

注意

Skype for Business フロントエンド サーバーでインターネット アクセスにプロキシ サーバーを使用している場合は、使用されるプロキシ サーバーの IP アドレスとポート番号を、各フロント エンドの web.config ファイルの構成セクションに入力する必要があります。

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

重要

Office 365 の URL と IP アドレス範囲 の RSS フィードを購読して、必要な URL のリストを最新の状態に維持してください。

  • Exchange Server 固有

    • Exchange Server 2013 CU19 以降、Exchange Server 2016 CU8 以降、または Exchange Server 2019 CU1 以降のいずれかを使用しています。
    • 環境に Exchange Server 2010 はありません。
    • SSL オフローディングが構成されていません。 SSL の終了と再暗号化がサポートされています。
    • 環境がプロキシ サーバー インフラストラクチャを利用してサーバーがインターネットに接続できるようにする場合は、すべてのExchange サーバーに InternetWebProxy プロパティでプロキシ サーバーが定義されていることを確認してください。
  • ハイブリッド Office 365 環境の Exchange Server オンプレミス

    • Exchange Server 2013 を使用している場合は、少なくとも 1 つのサーバーに、メールボックスとクライアント アクセス サーバーの役割がインストールされている必要があります。 メールボックスの役割とクライアント アクセスの役割を別々のサーバーにインストールすることもできますが、信頼性を高め、パフォーマンスの向上を図るには、同じサーバーに両方の役割をインストールすることを強くお勧めします。
    • Exchange Server 2016 以降のバージョンを使用している場合は、少なくとも 1 つのサーバーに、メールボックス サーバーの役割がインストールされている必要があります。
    • ハイブリッド環境に Exchange Server 2007 または 2010 はありません。
    • すべての Exchange サーバーには、最新の累積更新プログラムがインストールされている必要があります。「最新の累積更新プログラムで Exchange をアップグレードする」 を参照して、利用可能なすべての更新プログラムを見つけて管理してください。
  • Exchange クライアントとプロトコルの要件

    最新の認証の可用性は、クライアント、プロトコル、および構成の組み合わせによって決まります。 最新の認証がクライアント、プロトコル、および/または構成でサポートされていない場合、クライアントは引き続きレガシ認証を活用します。

    次のクライアントとプロトコルは、環境でモダン認証が有効になっているExchangeオンプレミス認証を使用した最新の認証をサポートしています。

    クライアント プライマリ プロトコル メモ
    Outlook 2013 以降
    MAPI over HTTP
    これらのクライアントで先進認証を利用にするには、Exchange 内で MAPI over HTTP を有効にする必要があります (通常、Exchange 2013 Service Pack 1 以降の新規インストールでは有効または True です)。詳細については、「Office 2013 および Office 2016 クライアント アプリの先進認証のしくみ」 を参照してください。
    Outlook の最小限必要なビルドを実行していることを確認します。「Windows インストーラー (MSI) を使用する Outlook のバージョンの最新の更新プログラム」 を参照してください。
    Outlook 2016 for Mac以降
    Exchange Web サービス

    iOS および Android 用の Outlook
    Microsoft 同期テクノロジ
    詳細については、「iOS および Android 用の Outlook でのハイブリッド先進認証の使用」 を参照してください。
    Exchange ActiveSync クライアント (例: iOS11 メール)
    Exchange ActiveSync
    先進認証をサポートしている Exchange ActiveSync クライアントの場合、基本認証から先進認証に切り替えるには、プロファイルを再作成する必要があります。

    リストされていないクライアントやプロトコル (POP3 など) は、オンプレミス Exchange での最新の認証をサポートし、環境で最新の認証が有効にされた後でも従来の認証メカニズムを引き続き活用します。

  • 一般的な前提条件

    • リソース フォレストのシナリオでは、ハイブリッドモダン認証要求中に適切な SID 参照が実行されるのを確認するために、アカウント フォレストとの間の信頼が必要になります。

    • AD FS を使用している場合、フェデレーションには Windows 2012 R2 AD FS 3.0 以上が必要です。

    • ID の構成は、パスワード ハッシュ同期、パススルー認証、Office 365 でサポートされるオンプレミス STS など、Azure AD Connect でサポートされるタイプのいずれかです。

    • ユーザー レプリケーションと同期のために、Azure AD Connect が構成され機能しています。

    • オンプレミスと Office 365 環境との間で、Exchange の従来のハイブリッド トポロジ モードを使用してハイブリッドが構成されていることを確認します。 Exchange ハイブリッドの公式サポート声明によると、現在の CU または現在の CU - 1 のいずれかが必要です。

      注意

      ハイブリッド先進認証は、ハイブリッド エージェント でサポートされていません。

    • オンプレミスのテスト ユーザー、および Office 365 に含まれているハイブリッド テスト ユーザーが、Skype for Business デスクトップ クライアント (Skype で先進認証を使用する場合) と Microsoft Outlook (Exchange で先進認証を使用する場合) にログインできることを確認します。

始める前に把握しておくべき情報はありますか?

  • オンプレミス サーバーのすべてのシナリオでは、オンプレミスの先進認証が設定されています (実際には、Skype for Business では、サポートされているトポロジの一覧があります)。認証および承認を行うサーバーは Microsoft Cloud (「evoSTS」と呼ばれる Azure AD のセキュリティ トークン サービス) にあり、Skype for Business または Exchange のオンプレミス インストールで使用される URL または名前空間について Azure AD を更新します。 そのため、オンプレミス サーバーは、Microsoft Cloud の依存関係を利用します。 このアクションを実行することは、「ハイブリッド認証」の構成と見なすことができます。
  • この記事では、サポートされている先進認証トポロジ (Skype for Business にのみ必要) の選択や、Exchange オンプレミスおよび Skype for Business オンプレミスのセットアップ手順、または先進認証を無効にする手順の概要について説明します。 サーバー環境で先進認証を使用するために、ホームベースが必要な場合は、このページをブラウザーでお気に入りに追加します。