Exchange Server をオンプレミスで構成して、ハイブリッド先進認証を使用するには

  • [アーティクル]

概要

Microsoft Exchange Serverのハイブリッド 先進認証 (HMA) は、クラウドから取得した承認トークンを使用して、オンプレミスでホストされているメールボックスにユーザーがアクセスできるようにする機能です。

HMA を使用すると、Outlook は、パスワード ハッシュ同期または Pass-Through 認証 ID の場合は直接、フェデレーション ID の場合は独自の Secure Token Service (STS) から、Microsoft Entra IDからアクセストークンと更新 OAuth トークンを取得できます。 Exchange オンプレミスはこれらのトークンを受け入れ、メールボックス アクセスを提供します。 これらのトークンを取得する方法と必要な資格情報は、ID プロバイダー (iDP) の機能によって決まります。これは、単純なユーザー名とパスワードから、証明書、電話認証、生体認証メソッドなどのより複雑な方法までです。

HMA を機能させるには、ユーザーの ID がMicrosoft Entra IDに存在する必要があり、Exchange ハイブリッド構成ウィザード (HCW) によって処理される一部の構成が必要です。

NTLM などの従来の認証方法と比較して、HMA にはいくつかの利点があります。 クラウドベースの認証の機能を利用して、より安全で柔軟な認証方法を提供します。 チャレンジ応答メカニズムに依存し、最新の認証プロトコルをサポートしていない NTLM とは異なり、HMA は OAuth トークンを使用します。これは、安全性が高く、相互運用性が向上します。

HMA は、クラウドベースの認証の機能を利用して、オンプレミス アプリケーションへのアクセスの柔軟性とセキュリティを強化する強力な機能です。 これは、従来の認証方法よりも大幅な改善を表し、セキュリティ、柔軟性、ユーザーの利便性が強化されています。

ハイブリッド モダン認証を構成して有効にする手順

ハイブリッド 先進認証 (HMA) を有効にするには、organizationが必要なすべての前提条件を満たしていることを確認する必要があります。 さらに、Office クライアントが先進認証と互換性があることを確認する必要があります。 詳細については、「 Office 2013 および Office 2016 クライアント アプリの最新認証のしくみ」のドキュメントを参照してください。

  1. 開始する前 に、前提条件を満たしていることを 確認してください。

  2. オンプレミスの Web サービス URL をMicrosoft Entra IDに追加します。 URL は、 Service Principal Names (SPNs)として追加する必要があります。 Exchange Serverセットアップが複数のテナントとハイブリッドになっている場合、これらのオンプレミス Web サービス URL は、オンプレミスとハイブリッドExchange ServerのすべてのテナントのMicrosoft Entra IDに SPN として追加する必要があります。

  3. すべての仮想ディレクトリが HMA に対して有効になっていることを確認しますOutlook on the Web (OWA) と Exchange コントロール パネル (ECP) のハイブリッド 先進認証を構成する場合は、それぞれのディレクトリも確認することが重要です。

  4. EvoSTS 認証サーバー オブジェクトを確認します

  5. Exchange Server OAuth 証明書が有効であることを確認します。 MonitorExchangeAuthCertificate スクリプト スクリプトを使用して、OAuth 証明書の有効性を確認できます。 有効期限が切れる場合、スクリプトは更新プロセスを支援します。

  6. すべてのユーザー ID が、特に管理に使用されるすべてのアカウントMicrosoft Entra IDと同期されていることを確認します。 それ以外の場合、ログインは同期されるまで動作を停止します。 組み込みの管理者などのアカウントはMicrosoft Entra IDと同期されないため、HMA が有効になると OAuth ログインでは使用できません。 この動作は、既定の管理者を含む一部のアカウントのTrueに設定されている isCriticalSystemObject 属性が原因です。

  7. (省略可能)Outlook for iOS および Android クライアントを使用する場合は、AutoDetect サービスがExchange Serverに接続できるようにしてください。

  8. Exchange オンプレミスで HMA を有効にします

ハイブリッド モダン認証を有効にする前提条件

このセクションでは、Microsoft Exchange Serverでハイブリッド モダン認証を正常に構成して有効にするために必要な情報と手順について説明します。

特定の前提条件をExchange Serverする

Exchange サーバーは、ハイブリッド モダン認証を構成して有効にする前に、次の要件を満たす必要があります。 ハイブリッド構成がある場合は、サポートされている状態にするには、最新の累積的な更新プログラム (CU) を実行する必要があります。 サポートされているExchange Serverバージョンを確認し、Exchange Serverのサポートマトリックスでビルドできます。 ハイブリッド 先進認証は、organization内のすべての Exchange サーバーで均一に構成する必要があります。 サーバーのサブセットでのみ HMA が有効になっている部分実装はサポートされていません。

  • organizationに使用終了の Exchange サーバーがないことを確認します。
  • Exchange Server 2016 は CU8 以降を実行している必要があります。
  • Exchange Server 2019 は CU1 以降を実行している必要があります。
  • すべてのサーバーがインターネットに接続できることを確認します。 プロキシが必要な場合は、使用するようにExchange Serverを構成します
  • ハイブリッド構成が既にある場合は、最新のハイブリッドが HMA をサポートしていないため、クラシック ハイブリッドデプロイであることを確認してください。
  • SSL オフロードが使用されていないことを確認します (サポートされていません)。 ただし、SSL ブリッジングは使用でき、サポートされています。

詳細については、ハイブリッド先進認証の概要と、オンプレミスのSkype for Businessと Exchange サーバーで使用するための前提条件に関するドキュメントも参照してください。

ハイブリッド モダン認証で動作するプロトコル

ハイブリッド 先進認証は、次のExchange Server プロトコルに対して機能します。

プロトコル ハイブリッド モダン認証がサポートされています
MAPI over HTTP (MAPI/HTTP) はい
Outlook Anywhere (RPC/HTTP) いいえ
Exchange Active Sync (EAS) はい
Exchange Web サービス (EWS) はい
Outlook on the Web (OWA) はい
Exchange 管理 センター (ECP) はい
オフラインアドレス帳 (OAB) はい
IMAP いいえ
POP いいえ

Microsoft Entra IDでオンプレミスの Web サービス URL を SPN として追加する

オンプレミスの Web サービス URL を Microsoft Entra SPN として割り当てるコマンドを実行します。 SPN は、認証と承認中にクライアント コンピューターとデバイスによって使用されます。 オンプレミスからMicrosoft Entra IDへの接続に使用されるすべての URL は、Microsoft Entra ID (内部名前空間と外部名前空間の両方を含む) に登録する必要があります。

  1. まず、Microsoft Exchange Serverで次のコマンドを実行します。

    Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url*
Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*

    クライアントが接続する可能性がある URL が、Microsoft Entra IDの HTTPS サービス プリンシパル名として一覧表示されていることを確認します。 Exchange オンプレミスが複数のテナントとハイブリッドになっている場合、これらの HTTPS SPN は、Exchange オンプレミスとのハイブリッド内のすべてのテナントのMicrosoft Entra IDに追加する必要があります。

  2. Microsoft Graph PowerShell モジュールをインストールします。

    Install-Module Microsoft.Graph -Scope AllUsers

  3. 次に、次の手順に従ってMicrosoft Entra IDに接続します。 必要なアクセス許可に同意するには、次のコマンドを実行します。

    Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.All

  4. Exchange 関連の URL に対して、次のコマンドを入力します。

    Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNames

    このコマンドの出力をメモします。これには、 https://*autodiscover.yourdomain.com*https://*mail.yourdomain.com* URL を含める必要がありますが、ほとんどの場合、 00000002-0000-0ff1-ce00-000000000000/で始まる SPN で構成されます。 オンプレミスの URL が不足している場合は、これらの特定のレコードをこの一覧に追加する必要があります。

  5. この一覧に内部および外部の MAPI/HTTPEWSActiveSyncOABAutoDiscover のレコードが表示されない場合は、それらを追加する必要があります。 次のコマンドを使用して、不足しているすべての URL を追加します。 この例では、追加される URL が mail.corp.contoso.com され、 owa.contoso.comされます。 それらが環境内で構成されている URL に置き換えられたことを確認します。

    $x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$x.ServicePrincipalNames += "https://mail.corp.contoso.com/"
$x.ServicePrincipalNames += "https://owa.contoso.com/"
Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames

  6. 手順 4 の Get-MgServicePrincipal コマンドをもう一度実行して、新しいレコードが追加されたことを確認し、出力を検証します。 前のリストと SPN の新しいリストを比較します。 レコードの新しい一覧をメモすることもできます。 成功した場合は、一覧に 2 つの新しい URL が表示されます。 この例では、SPN の一覧に特定の URL https://mail.corp.contoso.comhttps://owa.contoso.comが含まれるようになりました。

仮想ディレクトリが正しく構成されていることを確認する

次のコマンドを実行して、Outlook が使用する可能性があるすべての仮想ディレクトリで Exchange で OAuth が適切に有効になっていることを確認します。

Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*

出力を確認して、これらの仮想ディレクトリごとに OAuth が有効になっていることを確認します。これは次のようになります (また、確認する重要な点は、前述のように OAuth です)。

Get-MapiVirtualDirectory | fl server,*url*,*auth*

Server                        : EX1
InternalUrl                   : https://mail.contoso.com/mapi
ExternalUrl                   : https://mail.contoso.com/mapi
IISAuthenticationMethods      : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}

OAuth がサーバーと 5 つの仮想ディレクトリのいずれかに存在しない場合は、続行する前に関連するコマンド (Set-MapiVirtualDirectorySet-WebServicesVirtualDirectorySet-OABVirtualDirectorySet-AutodiscoverVirtualDirectory)、 および Set-ActiveSyncVirtualDirectory を使用して追加する必要があります。

EvoSTS 認証サーバー オブジェクトが存在することを確認する

次に、オンプレミス管理シェル (EMS) Exchange Serverで、この最後のコマンドを実行します。 オンプレミスのExchange Serverから evoSTS 認証プロバイダーのエントリが返されることを検証できます。

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

出力には Name EvoSts - <GUID> の AuthServer が表示され、 Enabled 状態が Trueされます。 そうでない場合は、 ハイブリッド構成ウィザードの最新バージョンをダウンロードして実行する必要があります。

オンプレミスExchange Server複数のテナントを含むハイブリッド構成を実行する場合、出力には、オンプレミスでExchange Serverされているハイブリッド内の各テナントの名前EvoSts - <GUID>を持つ 1 つの AuthServer が表示され、これらのすべての AuthServer オブジェクトのEnabled状態がTrueされます。 以降の手順で必要になりますので、 EvoSts - <GUID>識別子を書き留めてください。

HMA を有効にする

オンプレミス管理シェル (EMS) Exchange Serverで次のコマンドを実行し、コマンド ラインの<GUID>を、最後に実行したコマンドの出力からの GUID に置き換えます。 以前のバージョンのハイブリッド構成ウィザードでは、EvoSts AuthServer は GUID がアタッチされていない EvoSTS という名前でした。 実行する必要がある操作はありません。コマンドの GUID 部分を削除して、前のコマンド ラインを変更するだけです。

Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

Exchange Serverオンプレミス バージョンが 2016 (CU18 以上) または Exchange Server 2019 (CU7 以降) Exchange Serverであり、2020 年 9 月以降にダウンロードされた HCW のヘルプによってハイブリッドが構成されている場合は、Exchange Server オンプレミス管理シェル (EMS) で次のコマンドを実行します。 DomainName パラメーターには、テナント ドメインの値を使用します。これは通常、contoso.onmicrosoft.com形式です。

Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

オンプレミスExchange Server複数のテナントとハイブリッドになっている場合、Exchange Serverオンプレミス組織には、各テナントに対応するドメインを持つ複数の AuthServer オブジェクトが存在します。 IsDefaultAuthorizationEndpoint フラグは、これらの AuthServer オブジェクトのいずれかに対してTrueに設定する必要があります。 すべての AuthServer オブジェクトに対してフラグを true に設定することはできません。また、これらの AuthServer オブジェクト IsDefaultAuthorizationEndpoint フラグのいずれかが true に設定されている場合でも HMA が有効になります。

重要

複数のテナントを使用する場合、それらはすべて、GlobalまたはGCC内のすべてなど、同じクラウド環境に存在する必要があります。 これらは、 Global 内のテナントと GCC内の別のテナントなどの混在環境には存在できません。

検証する

HMA を有効にすると、クライアントの次のサインインで新しい認証フローが使用されます。 HMA をオンにするだけでは、クライアントの再認証はトリガーされません。また、Exchange Serverが新しい設定を取得するまでに時間がかかる場合があります。 このプロセスでは、新しいプロファイルを作成する必要はありません。

また、 CTRL キーを押しながら Outlook クライアントのアイコン (Windows 通知トレイ) を右クリックし、[ Connection Status] を選択します。 OAuth で使用されるベアラー トークンを表す AuthN の種類の Bearer\*に対してクライアントの SMTP アドレスを探します。

OWA と ECP のハイブリッド先進認証を有効にする

ハイブリッド先進認証を OWAECPに対して有効にできるようになりました。 続行する前に 、前提条件 が満たされていることを確認してください。

OWAECPに対してハイブリッド 先進認証が有効になると、OWAまたはECPにログインしようとする各エンド ユーザーと管理者は、最初にMicrosoft Entra ID認証ページにリダイレクトされます。 認証が成功すると、ユーザーは OWA または ECPにリダイレクトされます。

OWA と ECP のハイブリッド先進認証を有効にする前提条件

重要

すべてのサーバーには、少なくとも Exchange Server 2019 CU14 更新プログラムがインストールされている必要があります。 また、Exchange Server 2019 CU14 April 2024 HU 以降の更新プログラムも実行する必要があります。

OWAECPに対してハイブリッド 先進認証を有効にするには、すべてのユーザー ID をMicrosoft Entra IDと同期する必要があります。 これに加えて、さらに構成手順を実行する前に、Exchange ServerオンプレミスとExchange Online間の OAuth セットアップが確立されていることが重要です。

ハイブリッド構成ウィザード (HCW) を既に実行してハイブリッドを構成しているお客様は、OAuth 構成を用意しています。 OAuth が以前に構成されていない場合は、HCW を実行するか、「Exchange と組織間の OAuth 認証の構成」のドキュメントに記載されている手順Exchange Online従って実行できます。

変更を加える前に、 OwaVirtualDirectoryEcpVirtualDirectory の設定を文書化することをお勧めします。 このドキュメントを使用すると、機能の構成後に問題が発生した場合に元の設定を復元できます。

OWA と ECP のハイブリッド 先進認証を有効にする手順

警告

Microsoft Entra アプリケーション プロキシを使用したOutlook Web App (OWA) と Exchange コントロール パネル (ECP) の発行はサポートされていません。

  1. オンプレミスのExchange Serverで構成されているOWA URL とECP URL に対してクエリを実行します。 これは重要です。これは、Microsoft Entra IDに応答 URL として追加する必要があるためです。

    Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url*
Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*

  2. まだインストールされていない場合は、Microsoft Graph PowerShell モジュールをインストールします。

    Install-Module Microsoft.Graph -Scope AllUsers

  3. 次の手順でMicrosoft Entra IDに接続します。 必要なアクセス許可に同意するには、次のコマンドを実行します。

    Connect-Graph -Scopes User.Read, Application.ReadWrite.All

  4. OWAECP URL を指定し、応答 URL を使用してアプリケーションを更新します。

    $servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'"
$servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa"
$servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp"
Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls

  5. 応答 URL が正常に追加されたことを確認します。

    (Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrls

  6. オンプレミスExchange Serverハイブリッド先進認証を実行できるようにするには、「HMA を有効にする」セクションで説明されている手順に従います。

  7. (省略可能) ダウンロード ドメイン が使用されている場合にのみ必要です。

    管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行して、新しいグローバル設定のオーバーライドを作成します。 次のコマンドを 1 つのExchange Serverで実行します。

    New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  8. (省略可能) Exchange リソース フォレスト トポロジ のシナリオでのみ必要です。

    <ExchangeInstallPath>\ClientAccess\Owa\web.config ファイルの<appSettings> ノードに次のキーを追加します。 各Exchange Serverでこれを行います。

    <add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/>
<add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>

    管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行して、新しいグローバル設定のオーバーライドを作成します。 次のコマンドを 1 つのExchange Serverで実行します。

    New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

  9. OWAECPに対してハイブリッド モダン認証を有効にするには、まず、これらの仮想ディレクトリで他の認証方法を無効にする必要があります。 指定した順序で構成を実行することが重要です。 失敗すると、コマンドの実行中にエラー メッセージが表示される可能性があります。

    各Exchange Serverの各OWAECP仮想ディレクトリに対して次のコマンドを実行して、他のすべての認証方法を無効にします。

    Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false
Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false

    重要

    すべてのアカウントが、特に管理に使用されるすべてのアカウントMicrosoft Entra IDに同期されていることを確認します。 それ以外の場合、ログインは同期されるまで動作を停止します。 組み込みの管理者などのアカウントはMicrosoft Entra IDと同期されないため、OWA および ECP の HMA が有効になると、管理に使用できません。 この動作は、一部のアカウントで True に設定されている isCriticalSystemObject 属性が原因です。

  10. OWAECP仮想ディレクトリの OAuth を有効にします。 指定した順序で構成を実行することが重要です。 失敗すると、コマンドの実行中にエラー メッセージが表示される可能性があります。 Exchange Serverごとに、OWAECP仮想ディレクトリごとに、次のコマンドを実行する必要があります。

    Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true
Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true

iOS および Android 用の Outlook でのハイブリッド 先進認証の使用

ハイブリッド 先進認証と共に Outlook for iOS および Android クライアントを使用する場合は、AutoDetect サービスが TCP 443 (HTTPS) でExchange Serverに接続できるようにする必要があります。

<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23

IP アドレス範囲は、Office 365 IP アドレスと URL Web サービスのドキュメントに含まれていないその他のエンドポイントにも記載されています。

Office 365 専用/ITAR から vNext への移行のための先進認証の構成要件