Exchange Server をオンプレミスで構成して、ハイブリッド先進認証を使用するには
この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。
ハイブリッド 先進認証 (HMA) は、より安全なユーザー認証と承認を提供する ID 管理の方法であり、Exchange サーバーのオンプレミス ハイブリッド展開で使用できます。
ハイブリッド先進認証の有効化
HMA を有効にする場合、環境が次の条件を満たしている必要があります。
開始する前に、前提条件を満たしていることを確認してください。
多くの前提条件はSkype for Businessと Exchange の両方で一般的であるため、ハイブリッド先進認証の概要とオンプレミスのSkype for Businessおよび Exchange サーバーで使用するための前提条件を確認してください。 この記事の手順を開始する前に、これを行います。 挿入するリンクされたメールボックスに関する要件。
Microsoft Entra IDでオンプレミスの Web サービス URL をサービス プリンシパル名 (SPN) として追加します。 Exchange オンプレミスが複数のテナントとハイブリッドになっている場合、これらのオンプレミス Web サービス URL は、Exchange オンプレミスとハイブリッドになっているすべてのテナントのMicrosoft Entra IDに SPN として追加する必要があります。
すべての仮想ディレクトリが HMA に対して有効になっていることを確認する
EvoSTS 認証サーバー オブジェクトを確認する
Exchange Server OAuth 証明書が有効であることを確認する
すべてのユーザー ID が Microsoft Entra ID と同期されていることを確認する
Exchange オンプレミスで HMA を有効にします。
注:
お使いのバージョンの Office は MA をサポートしていますか? 「Office 2013 および Office 2016 クライアント アプリの先進認証のしくみ」を参照してください。
警告
Microsoft Entra アプリケーション プロキシを使用したOutlook Web Appと Exchange コントロール パネルの公開はサポートされていません。
Microsoft Entra IDでオンプレミスの Web サービス URL を SPN として追加する
オンプレミスの Web サービス URL を Microsoft Entra SPN として割り当てるコマンドを実行します。 SPN は、認証と承認中にクライアント コンピューターとデバイスによって使用されます。 オンプレミスからMicrosoft Entra IDへの接続に使用されるすべての URL は、Microsoft Entra ID (内部名前空間と外部名前空間の両方を含む) に登録する必要があります。
まず、Microsoft Exchange Serverで次のコマンドを実行します。
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-OutlookAnywhere -ADPropertiesOnly | fl server,*hostname*
クライアントが接続する可能性がある URL が、Microsoft Entra IDの HTTPS サービス プリンシパル名として一覧表示されていることを確認します。 Exchange オンプレミスが複数のテナントとハイブリッドになっている場合、これらの HTTPS SPN は、Exchange オンプレミスとのハイブリッド内のすべてのテナントのMicrosoft Entra IDに追加する必要があります。
Microsoft Graph PowerShell モジュールをインストールします。
Install-Module Microsoft.Graph -Scope AllUsers
次に、次の手順でMicrosoft Entra IDに接続します。 必要なアクセス許可に同意するには、次のコマンドを実行します。
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All
Exchange 関連の URL に対して、次のコマンドを入力します。
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames
このコマンドの出力を書き留めておきます (後で比較する場合はスクリーンショット)。 と URL を含める
https://*autodiscover.yourdomain.com*
https://*mail.yourdomain.com*
必要がありますが、ほとんどの場合、 で始まる00000002-0000-0ff1-ce00-000000000000/
SPN で構成されます。 オンプレミスの URL が不足している場合はhttps://
、これらの特定のレコードをこの一覧に追加する必要があります。この一覧に内部レコードと外部
MAPI/HTTP
レコード、EWS
、、ActiveSync
OAB
およびAutodiscover
レコードが表示されない場合は、それらを追加する必要があります。 次のコマンドを使用して、不足しているすべての URL を追加します。重要
この例では、追加される URL は と
owa.contoso.com
ですmail.corp.contoso.com
。 それらが、環境内で構成されている URL に置き換えられたことを確認します。$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $ServicePrincipalUpdate = @( "https://mail.corp.contoso.com/","https://owa.contoso.com/" ) Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $ServicePrincipalUpdate
手順 2. のコマンドをもう一度実行し、出力を
Get-MsolServicePrincipal
確認して、新しいレコードが追加されたことを確認します。 前のリスト/スクリーンショットを SPN の新しいリストと比較します。 レコードの新しいリストのスクリーンショットを撮ることもできます。 成功した場合は、一覧に 2 つの新しい URL が表示されます。 この例では、SPN の一覧に特定の URL とhttps://owa.contoso.com
がhttps://mail.corp.contoso.com
含まれるようになりました。
仮想ディレクトリが正しく構成されていることを確認する
次のコマンドを実行して、Outlook が使用するすべての仮想ディレクトリで Exchange で OAuth が適切に有効になっていることを確認します。
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
出力を確認して、これらの各 VDir で OAuth が有効になっていることを確認します。これは次のようになります (また、確認する重要な点は "OAuth" です)。
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
OAuth がサーバーと 4 つの仮想ディレクトリのいずれかに存在しない場合は、続行する前に関連するコマンド (Set-MapiVirtualDirectory、 Set-WebServicesVirtualDirectory、 Set-OABVirtualDirectory、 および Set-AutodiscoverVirtualDirectory) を使用して追加する必要があります。
EvoSTS 認証サーバー オブジェクトが存在することを確認する
この最後のコマンドについては、オンプレミスの Exchange 管理シェルに戻ります。 これで、オンプレミスに evoSTS 認証プロバイダーのエントリがあることを検証できます。
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
出力には、GUID を持つ EvoSts という名前の AuthServer が表示され、"Enabled" 状態は True である必要があります。 そうでない場合は、ハイブリッド構成ウィザードの最新バージョンをダウンロードして実行する必要があります。
注:
Exchange オンプレミスが 複数のテナントとハイブリッドになっている場合、出力には、Exchange オンプレミスとのハイブリッド内の各テナントの名前 EvoSts - {GUID}
の 1 つの AuthServer が表示され、これらの AuthServer オブジェクトすべてに 対して有効 状態が True である必要があります。
重要
環境内で Exchange 2010 を実行している場合、EvoSTS 認証プロバイダーは作成されません。
HMA を有効にする
オンプレミスの Exchange 管理シェルで次のコマンドを実行し、コマンド ラインの GUID を>、最後に実行したコマンドの出力の GUID に置き換えます<。
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
注:
以前のバージョンのハイブリッド構成ウィザードでは、EvoSts AuthServer は GUID がアタッチされていない EvoSTS という名前でした。 実行する必要がある操作はありません。前のコマンド ラインを変更して、コマンドの GUID 部分を削除してこれを反映します。
Set-AuthServer -Identity EvoSTS -IsDefaultAuthorizationEndpoint $true
Exchange オンプレミスのバージョンが Exchange 2016 (CU18 以上) または Exchange 2019 (CU7 以上) であり、2020 年 9 月以降にダウンロードされた HCW でハイブリッドが構成されている場合は、オンプレミスの Exchange 管理シェルで次のコマンドを実行します。
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
注:
Exchange オンプレミスが 複数のテナントとハイブリッドになっている場合、Exchange オンプレミスには、各テナントに対応するドメインを持つ複数の AuthServer オブジェクトが存在します。 これらの AuthServer オブジェクトのいずれかに対して 、IsDefaultAuthorizationEndpoint フラグを true ( IsDefaultAuthorizationEndpoint コマンドレットを使用) に設定する必要があります。 このフラグは、すべての Authserver オブジェクトに対して true に設定することはできません。また、これらの AuthServer オブジェクトの IsDefaultAuthorizationEndpoint フラグのいずれかが true に設定されている場合でも、HMA は有効になります。
注:
DomainName パラメーターには、テナント ドメインの値を使用します。通常は という形式contoso.onmicrosoft.com
です。
確認
HMA を有効にすると、クライアントの次のサインインで新しい認証フローが使用されます。 HMA をオンにするだけでは、クライアントの再認証はトリガーされません。Exchange が新しい設定を取得するまでに時間がかかる場合があります。
また、Ctrl キーを押しながら Outlook クライアント (Windows 通知トレイ) のアイコンを右クリックし、[ 接続状態] を選択します。 OAuth で使用されるベアラー トークンを表す の AuthN 型 Bearer\*
に対してクライアントの SMTP アドレスを探します。
注:
HMA でSkype for Businessを構成する必要がありますか? 2 つの記事が必要になります。1 つは サポートされているトポロジを一覧表示し、もう 1 つは 構成を行う方法を示しています。
OWA と ECP のハイブリッド先進認証を有効にする
ハイブリッド先進認証は、 と ECP
に対OWA
しても有効にできるようになりました。 続行する前に 、前提条件 が満たされていることを確認してください。
と ECP
に対してOWA
ハイブリッド 先進認証が有効になった後、ログインOWA
ECP
を試みるエンド ユーザーと管理者はそれぞれ、最初にMicrosoft Entra ID認証ページにリダイレクトされます。 認証が成功すると、ユーザーは または ECP
にOWA
リダイレクトされます。
OWA と ECP のハイブリッド先進認証を有効にする前提条件
と ECP
のハイブリッド モダン認証をOWA
有効にするには、すべてのユーザー ID をMicrosoft Entra IDと同期する必要があります。
これに加えて、さらに構成手順を実行する前に、Exchange ServerオンプレミスとExchange Online間の OAuth セットアップが確立されていることが重要です。
ハイブリッド構成ウィザード (HCW) を既に実行してハイブリッドを構成しているお客様には、OAuth 構成が用意されています。 OAuth が以前に構成されていない場合は、HCW を実行するか、「Exchange と組織間の OAuth 認証の構成」のドキュメントに記載されている手順Exchange Online従って実行できます。
変更を加える前に、 と EcpVirtualDirectory
の設定をOwaVirtualDirectory
文書化することをお勧めします。 このドキュメントを使用すると、機能の構成後に問題が発生した場合に元の設定を復元できます。
重要
すべてのサーバーには、少なくとも Exchange Server 2019 CU14 更新プログラムがインストールされている必要があります。 また、Exchange Server 2019 CU14 April 2024 HU 以降の更新プログラムも実行する必要があります。
OWA と ECP のハイブリッド 先進認証を有効にする手順
オンプレミスの
OWA
Exchange Server で構成されている URL とECP
を照会します。 これは重要です。これは、Microsoft Entra IDに応答 URL として追加する必要があるためです。Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*
まだインストールされていない場合は、Microsoft Graph PowerShell モジュールをインストールします。
Install-Module Microsoft.Graph -Scope AllUsers
次の手順でMicrosoft Entra IDに接続します。 必要なアクセス許可に同意するには、次のコマンドを実行します。
Connect-Graph -Scopes User.Read, Application.ReadWrite.All
URL
OWA
とECP
URL を指定します。$replyUrlsToBeAdded = @( "https://YourDomain.contoso.com/owa","https://YourDomain.contoso.com/ecp" )
応答 URL を使用してアプリケーションを更新します。
$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += $replyUrlsToBeAdded Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls
応答 URL が正常に追加されたことを確認します。
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls
オンプレミスExchange Serverハイブリッド先進認証を実行できるようにするには、「HMA を有効にする」セクションで説明されている手順に従います。
(省略可能)ダウンロード ドメインが使用されている場合にのみ必要です。
管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行して、新しいグローバル設定のオーバーライドをCreateします。 次のコマンドを 1 つのExchange Serverで実行します。
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
(省略可能)Exchange リソース フォレスト トポロジのシナリオでのみ必要です。
ファイルのノードに
<appSettings>
次のキーを<ExchangeInstallPath>\ClientAccess\Owa\web.config
追加します。 各Exchange Serverでこれを行います。<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>
管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行して、新しいグローバル設定のオーバーライドをCreateします。 次のコマンドを 1 つのExchange Serverで実行します。
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force
と
ECP
のハイブリッド 先進認証をOWA
有効にするには、まず、これらの仮想ディレクトリで他の認証方法を無効にする必要があります。 各Exchange Serverで、各OWA
ディレクトリとECP
仮想ディレクトリに対して次のコマンドを実行します。重要
これらのコマンドは、指定された順序で実行することが重要です。 それ以外の場合は、コマンドの実行時にエラー メッセージが表示されます。 これらのコマンドを実行すると、 に
OWA
ログインしECP
、それらの仮想ディレクトリの OAuth 認証がアクティブ化されるまで動作を停止します。また、すべてのアカウント 、特にMicrosoft Entra IDへの管理に使用されるアカウントが同期されていることを確認します。 それ以外の場合、ログインは同期されるまで動作を停止します。 組み込みの管理者などのアカウントはMicrosoft Entra IDと同期されないため、HMA for OWA と ECP が有効になると管理に使用できないことに注意してください。 これは、 属性が一部の
isCriticalSystemObject
アカウントに対して にTRUE
設定されているためです。Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
と
ECP
仮想ディレクトリの OAuth をOWA
有効にします。 各Exchange Serverで、各OWA
ディレクトリとECP
仮想ディレクトリに対して次のコマンドを実行します。重要
これらのコマンドは、指定された順序で実行することが重要です。 それ以外の場合は、コマンドの実行時にエラー メッセージが表示されます。
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
iOS および Android 用の Outlook でのハイブリッド 先進認証の使用
TCP 443 でExchange Serverを使用しているオンプレミスのお客様の場合は、次の IP 範囲からのネットワーク トラフィックを許可します。
52.125.128.0/20
52.127.96.0/23
これらの IP アドレス範囲については、「Office 365 IP アドレスと URL Web サービスに含まれていないその他のエンドポイント」も参照してください。
関連記事
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示