Exchange Server をオンプレミスで構成して、ハイブリッド先進認証を使用するには

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。

ハイブリッド 先進認証 (HMA) は、より安全なユーザー認証と承認を提供する ID 管理の方法であり、Exchange サーバーのオンプレミス ハイブリッド展開で使用できます。

ハイブリッド先進認証の有効化

HMA を有効にする場合、環境が次の条件を満たしている必要があります。

1. 開始する前に、前提条件を満たしていることを確認してください。

2. 多くの前提条件はSkype for Businessと Exchange の両方で一般的であるため、ハイブリッド先進認証の概要とオンプレミスのSkype for Businessおよび Exchange サーバーで使用するための前提条件を確認してください。 この記事の手順を開始する前に、これを行います。 挿入するリンクされたメールボックスに関する要件。

3. Microsoft Entra IDでオンプレミスの Web サービス URL をサービス プリンシパル名 (SPN) として追加します。 Exchange オンプレミスが複数のテナントとハイブリッドになっている場合、これらのオンプレミス Web サービス URL は、Exchange オンプレミスとハイブリッドになっているすべてのテナントのMicrosoft Entra IDに SPN として追加する必要があります。

4. すべての仮想ディレクトリが HMA に対して有効になっていることを確認する

5. EvoSTS 認証サーバー オブジェクトを確認する

6. Exchange Server OAuth 証明書が有効であることを確認する

7. すべてのユーザー ID が Microsoft Entra ID と同期されていることを確認する

8. Exchange オンプレミスで HMA を有効にします。

注:

お使いのバージョンの Office は MA をサポートしていますか? 「Office 2013 および Office 2016 クライアント アプリの先進認証のしくみ」を参照してください。

警告

Microsoft Entra アプリケーション プロキシを使用したOutlook Web Appと Exchange コントロール パネルの公開はサポートされていません。

Microsoft Entra IDでオンプレミスの Web サービス URL を SPN として追加する

オンプレミスの Web サービス URL を Microsoft Entra SPN として割り当てるコマンドを実行します。 SPN は、認証と承認中にクライアント コンピューターとデバイスによって使用されます。 オンプレミスからMicrosoft Entra IDへの接続に使用されるすべての URL は、Microsoft Entra ID (内部名前空間と外部名前空間の両方を含む) に登録する必要があります。

1. まず、Microsoft Exchange Serverで次のコマンドを実行します。

   Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
   Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
   Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
   

   クライアントが接続する可能性がある URL が、Microsoft Entra IDの HTTPS サービス プリンシパル名として一覧表示されていることを確認します。 Exchange オンプレミスが複数のテナントとハイブリッドになっている場合、これらの HTTPS SPN は、Exchange オンプレミスとのハイブリッド内のすべてのテナントのMicrosoft Entra IDに追加する必要があります。

2. Microsoft Graph PowerShell モジュールをインストールします。

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. 次に、次の手順でMicrosoft Entra IDに接続します。 必要なアクセス許可に同意するには、次のコマンドを実行します。

   Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
   

4. Exchange 関連の URL に対して、次のコマンドを入力します。

   Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
   

   このコマンドの出力を書き留めておきます (後で比較する場合はスクリーンショット)。 と URL を含めるhttps://*autodiscover.yourdomain.com*https://*mail.yourdomain.com*必要がありますが、ほとんどの場合、 で始まる 00000002-0000-0ff1-ce00-000000000000/SPN で構成されます。 オンプレミスの URL が不足している場合は https:// 、これらの特定のレコードをこの一覧に追加する必要があります。

5. この一覧に内部レコードと外部MAPI/HTTPレコード、EWS、、ActiveSyncOABおよび Autodiscover レコードが表示されない場合は、それらを追加する必要があります。 次のコマンドを使用して、不足しているすべての URL を追加します。

   重要

   この例では、追加される URL は と owa.contoso.comですmail.corp.contoso.com。 それらが、環境内で構成されている URL に置き換えられたことを確認します。

   $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $ServicePrincipalUpdate = @(
   "https://mail.corp.contoso.com/","https://owa.contoso.com/"
   )
   Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
   

6. 手順 2. のコマンドをもう一度実行し、出力を Get-MsolServicePrincipal 確認して、新しいレコードが追加されたことを確認します。 前のリスト/スクリーンショットを SPN の新しいリストと比較します。 レコードの新しいリストのスクリーンショットを撮ることもできます。 成功した場合は、一覧に 2 つの新しい URL が表示されます。 この例では、SPN の一覧に特定の URL と https://owa.contoso.comがhttps://mail.corp.contoso.com含まれるようになりました。

仮想ディレクトリが正しく構成されていることを確認する

次のコマンドを実行して、Outlook が使用するすべての仮想ディレクトリで Exchange で OAuth が適切に有効になっていることを確認します。

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

出力を確認して、これらの各 VDir で OAuth が有効になっていることを確認します。これは次のようになります (また、確認する重要な点は "OAuth" です)。

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

OAuth がサーバーと 4 つの仮想ディレクトリのいずれかに存在しない場合は、続行する前に関連するコマンド (Set-MapiVirtualDirectory、 Set-WebServicesVirtualDirectory、 Set-OABVirtualDirectory、 および Set-AutodiscoverVirtualDirectory) を使用して追加する必要があります。

EvoSTS 認証サーバー オブジェクトが存在することを確認する

この最後のコマンドについては、オンプレミスの Exchange 管理シェルに戻ります。 これで、オンプレミスに evoSTS 認証プロバイダーのエントリがあることを検証できます。

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

出力には、GUID を持つ EvoSts という名前の AuthServer が表示され、"Enabled" 状態は True である必要があります。 そうでない場合は、ハイブリッド構成ウィザードの最新バージョンをダウンロードして実行する必要があります。

注:

Exchange オンプレミスが 複数のテナントとハイブリッドになっている場合、出力には、Exchange オンプレミスとのハイブリッド内の各テナントの名前 EvoSts - {GUID} の 1 つの AuthServer が表示され、これらの AuthServer オブジェクトすべてに 対して有効 状態が True である必要があります。

重要

環境内で Exchange 2010 を実行している場合、EvoSTS 認証プロバイダーは作成されません。

HMA を有効にする

オンプレミスの Exchange 管理シェルで次のコマンドを実行し、コマンド ラインの GUID を>、最後に実行したコマンドの出力の GUID に置き換えます<。

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

注:

以前のバージョンのハイブリッド構成ウィザードでは、EvoSts AuthServer は GUID がアタッチされていない EvoSTS という名前でした。 実行する必要がある操作はありません。前のコマンド ラインを変更して、コマンドの GUID 部分を削除してこれを反映します。

Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true

Exchange オンプレミスのバージョンが Exchange 2016 (CU18 以上) または Exchange 2019 (CU7 以上) であり、2020 年 9 月以降にダウンロードされた HCW でハイブリッドが構成されている場合は、オンプレミスの Exchange 管理シェルで次のコマンドを実行します。

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

注:

Exchange オンプレミスが 複数のテナントとハイブリッドになっている場合、Exchange オンプレミスには、各テナントに対応するドメインを持つ複数の AuthServer オブジェクトが存在します。 これらの AuthServer オブジェクトのいずれかに対して 、IsDefaultAuthorizationEndpoint フラグを true ( IsDefaultAuthorizationEndpoint コマンドレットを使用) に設定する必要があります。 このフラグは、すべての Authserver オブジェクトに対して true に設定することはできません。また、これらの AuthServer オブジェクトの IsDefaultAuthorizationEndpoint フラグのいずれかが true に設定されている場合でも、HMA は有効になります。

注:

DomainName パラメーターには、テナント ドメインの値を使用します。通常は という形式contoso.onmicrosoft.comです。

確認

HMA を有効にすると、クライアントの次のサインインで新しい認証フローが使用されます。 HMA をオンにするだけでは、クライアントの再認証はトリガーされません。Exchange が新しい設定を取得するまでに時間がかかる場合があります。

また、Ctrl キーを押しながら Outlook クライアント (Windows 通知トレイ) のアイコンを右クリックし、[ 接続状態] を選択します。 OAuth で使用されるベアラー トークンを表す の AuthN 型 Bearer\*に対してクライアントの SMTP アドレスを探します。

注:

HMA でSkype for Businessを構成する必要がありますか? 2 つの記事が必要になります。1 つは サポートされているトポロジを一覧表示し、もう 1 つは 構成を行う方法を示しています。

OWA と ECP のハイブリッド先進認証を有効にする

ハイブリッド先進認証は、 と ECPに対OWAしても有効にできるようになりました。 続行する前に 、前提条件 が満たされていることを確認してください。

と ECPに対してOWAハイブリッド 先進認証が有効になった後、ログインOWAECPを試みるエンド ユーザーと管理者はそれぞれ、最初にMicrosoft Entra ID認証ページにリダイレクトされます。 認証が成功すると、ユーザーは または ECPにOWAリダイレクトされます。

OWA と ECP のハイブリッド先進認証を有効にする前提条件

と ECPのハイブリッド モダン認証をOWA有効にするには、すべてのユーザー ID をMicrosoft Entra IDと同期する必要があります。 これに加えて、さらに構成手順を実行する前に、Exchange ServerオンプレミスとExchange Online間の OAuth セットアップが確立されていることが重要です。

ハイブリッド構成ウィザード (HCW) を既に実行してハイブリッドを構成しているお客様には、OAuth 構成が用意されています。 OAuth が以前に構成されていない場合は、HCW を実行するか、「Exchange と組織間の OAuth 認証の構成」のドキュメントに記載されている手順Exchange Online従って実行できます。

変更を加える前に、 と EcpVirtualDirectory の設定をOwaVirtualDirectory文書化することをお勧めします。 このドキュメントを使用すると、機能の構成後に問題が発生した場合に元の設定を復元できます。

重要

すべてのサーバーには、少なくとも Exchange Server 2019 CU14 更新プログラムがインストールされている必要があります。 また、Exchange Server 2019 CU14 April 2024 HU 以降の更新プログラムも実行する必要があります。

OWA と ECP のハイブリッド 先進認証を有効にする手順

1. オンプレミスの OWA Exchange Server で構成されている URL と ECP を照会します。 これは重要です。これは、Microsoft Entra IDに応答 URL として追加する必要があるためです。

   Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
   Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
   

2. まだインストールされていない場合は、Microsoft Graph PowerShell モジュールをインストールします。

   Install-Module Microsoft.Graph -Scope AllUsers
   

3. 次の手順でMicrosoft Entra IDに接続します。 必要なアクセス許可に同意するには、次のコマンドを実行します。

   Connect-Graph -Scopes User.Read, Application.ReadWrite.All
   

4. URL OWA と ECP URL を指定します。

   $replyUrlsToBeAdded = @(
   "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp"
   )
   

5. 応答 URL を使用してアプリケーションを更新します。

   $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
   $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded
   Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
   

6. 応答 URL が正常に追加されたことを確認します。

   (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
   

7. オンプレミスExchange Serverハイブリッド先進認証を実行できるようにするには、「HMA を有効にする」セクションで説明されている手順に従います。

8. (省略可能)ダウンロード ドメインが使用されている場合にのみ必要です。

   管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行して、新しいグローバル設定のオーバーライドをCreateします。 次のコマンドを 1 つのExchange Serverで実行します。

   New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

9. (省略可能)Exchange リソース フォレスト トポロジのシナリオでのみ必要です。

   ファイルのノードに <appSettings> 次のキーを <ExchangeInstallPath>\ClientAccess\Owa\web.config 追加します。 各Exchange Serverでこれを行います。

   <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
   <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
   

   管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行して、新しいグローバル設定のオーバーライドをCreateします。 次のコマンドを 1 つのExchange Serverで実行します。

   New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
   Restart-Service -Name W3SVC, WAS -Force
   

10. と ECPのハイブリッド 先進認証をOWA有効にするには、まず、これらの仮想ディレクトリで他の認証方法を無効にする必要があります。 各Exchange Serverで、各OWAディレクトリとECP仮想ディレクトリに対して次のコマンドを実行します。

    重要

    これらのコマンドは、指定された順序で実行することが重要です。 それ以外の場合は、コマンドの実行時にエラー メッセージが表示されます。 これらのコマンドを実行すると、 に OWA ログインし ECP 、それらの仮想ディレクトリの OAuth 認証がアクティブ化されるまで動作を停止します。

    また、すべてのアカウント 、特にMicrosoft Entra IDへの管理に使用されるアカウントが同期されていることを確認します。 それ以外の場合、ログインは同期されるまで動作を停止します。 組み込みの管理者などのアカウントはMicrosoft Entra IDと同期されないため、HMA for OWA と ECP が有効になると管理に使用できないことに注意してください。 これは、 属性が一部の isCriticalSystemObject アカウントに対して に TRUE 設定されているためです。

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
    

11. と ECP 仮想ディレクトリの OAuth をOWA有効にします。 各Exchange Serverで、各OWAディレクトリとECP仮想ディレクトリに対して次のコマンドを実行します。

    重要

    これらのコマンドは、指定された順序で実行することが重要です。 それ以外の場合は、コマンドの実行時にエラー メッセージが表示されます。

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
    

iOS および Android 用の Outlook でのハイブリッド 先進認証の使用

TCP 443 でExchange Serverを使用しているオンプレミスのお客様の場合は、次の IP 範囲からのネットワーク トラフィックを許可します。

52.125.128.0/20
52.127.96.0/23

これらの IP アドレス範囲については、「Office 365 IP アドレスと URL Web サービスに含まれていないその他のエンドポイント」も参照してください。

関連記事

Office 365 専用/ITAR から vNext への移行のための先進認証の構成要件