ハイブリッド先進認証の概要とオンプレミスの Skype for Business および Exchange サーバーで使用する前提条件

この記事は、Microsoft 365 Enterprise および Office 365 Enterprise の両方に適用されます。

先進認証 は、より安全なユーザー認証と承認を提供する ID 管理の方法です。 これは、オンプレミスの Skype for Business サーバーと Exchange サーバーオンプレミスの Office 365 ハイブリッド展開と、分割ドメインの Skype for Business ハイブリッドで使用できます。 この記事では、前提条件に関する関連ドキュメント、先進認証のセットアップ/無効化、および関連するクライアント (Outlook や Skype クライアントなど) の情報へのリンクを示します。

先進認証とは何ですか?

最新の認証は、クライアント (ノート PC やスマートフォンなど) とサーバー間の認証と承認方法の組み合わせと、既に使い慣れている可能性のあるアクセス ポリシーに依存するセキュリティ対策の総称です。 内容は以下のとおりです。

  • 認証方法: 多要素認証 (MFA);スマート カード認証。クライアント証明書ベースの認証
  • 承認方法: Microsoft が提供する Open Authorization (OAuth) の実装
  • 条件付きアクセス ポリシー: モバイル アプリケーション管理 (MAM) と Microsoft Entra 条件付きアクセス

先進認証を使用してユーザー ID を管理すると、管理者はさまざまなツールを使用して、リソースを保護することができます。また、オンプレミス (Exchange と Skype for Business)、Exchange ハイブリッド、Skype for Business のハイブリッド/分割ドメインのシナリオにもより安全な ID 管理方法を提供します。

Skype for Business は Exchange と緊密に連携するため、Skype for Business クライアント ユーザーのサインイン動作は、Exchange の最新の認証状態の影響を受けます。 また、Skype for Business のスプリット ドメイン ハイブリッド アーキテクチャがあり、Skype for Business Online と Skype for Business の両方がオンプレミスにあり、ユーザーが両方の場所に所属している場合にも適用されます。

Office 365 での先進認証の詳細については、「 Office 365 クライアント アプリサポート - 多要素認証」を参照してください。

重要

2017 年 8 月に、Skype for Business Online と Exchange Online を含むすべての新しい Office 365 テナントは、既定で先進認証が有効になります。 既存のテナントでは既定の MA 状態は変更されませんが、すべての新しいテナントは、前に一覧表示した拡張された ID 機能のセットを自動的にサポートします。 MA 状態を確認するには、「オンプレミス環境の先進認証状態を確認する」 セクションを参照してください。

先進認証を使用すると、どのような変更がありますか?

オンプレミスの Skype for Business または Exchange サーバーで先進認証を使用する場合、オンプレミスのユーザーは引き続き 認証 されますが、リソース (ファイルやメールなど) へのアクセスを 承認 するストーリーは変わります。 このため、最新の認証はクライアントとサーバーの通信に関するものですが、MA の構成中に実行された手順により、evoSTS (Microsoft Entra ID で使用されるセキュリティ トークン サービス) が Skype for Business および Exchange サーバーのオンプレミスの認証サーバーとして設定されます。

evoSTS への変更により、オンプレミス サーバーはクライアントを承認するために OAuth (トークン発行) を利用でき、オンプレミスはクラウドで一般的なセキュリティ方法 (多要素認証など) を使用できます。 さらに、evoSTSは、ユーザーが要求の一部としてパスワードを提供しなくても、リソースへのアクセスを要求できるトークンを発行します。 ユーザーの所属場所 (オンラインまたはオンプレミス) に関係なく、必要なリソースをホストする場所に関係なく、最新の認証が構成されると、EvoSTS はユーザーとクライアントを承認する中核となります。

たとえば、Skype for Business クライアントが Exchange サーバーにアクセスしてユーザーの代わりに予定表情報を取得する必要がある場合は、Microsoft 認証ライブラリ (MSAL) を使用してこれを行います。 MSAL は、OAuth セキュリティ トークンを使用して、ディレクトリ内のセキュリティで保護されたリソースをクライアント アプリケーションで使用できるように設計されたコード ライブラリです。 MSAL は OAuth と連携して要求を検証し、トークン (パスワードではなく) を交換して、ユーザーにリソースへのアクセスを許可します。 以前は、ユーザーの要求を検証し、必要なトークンを発行する方法を知っている、この 1 台のサーバーのようなトランザクションの権限は、オンプレミスのセキュリティ トークン サービス、または Active Directory フェデレーション サービスであった可能性があります。 ただし、最新の認証では、Microsoft Entra ID を使用してその権限が一元化されます。

つまり、Exchange サーバーと Skype for Business 環境が完全にオンプレミスである場合でも、承認サーバーはオンラインであり、オンプレミス環境では、クラウド内の Office 365 サブスクリプション (およびサブスクリプションがそのディレクトリとして使用する Microsoft Entra インスタンス) への接続を作成して維持する必要があります。

何が変更されないのでしょうか? 分割ドメイン ハイブリッドを使用している場合でも、Skype for Business および Exchange サーバーをオンプレミスで使用している場合でも、すべてのユーザーは最初に オンプレミス で認証する必要があります。 先進認証のハイブリッド実装では、LyncdiscoveryAutodiscovery の両方がオンプレミス サーバーを指しています。

重要

MA でサポートされている Skype for Business の特定のトポロジについて理解する必要がある場合は、ここに 記載されています。

オンプレミス環境の先進認証状態を確認する

先進認証では、サービスが OAuth/S2S を適用するときに使用される承認サーバーが変更されるため、オンプレミスの Skype for Business および Exchange 環境で先進認証が有効または無効になっているかどうかを確認する必要があります。 次の PowerShell コマンドを実行して、Exchange サーバーの状態を確認できます:

Get-OrganizationConfig | ft OAuth*

OAuth2ClientProfileEnabled プロパティの値が Falseの場合、先進認証は無効になります。

Get-OrganizationConfig コマンドレットの詳細については、「Get-OrganizationConfig」を参照してください。

次の PowerShell コマンドを実行して、Skype for Business サーバーを確認できます:

Get-CSOAuthConfiguration

コマンドが空の OAuthServers プロパティを返す場合、または ClientADALAuthOverride プロパティの値が 許可されていない場合、先進認証は無効になります。

Get-CsOAuthConfiguration コマンドレットの詳細については、「Get-CsOAuthConfiguration」を参照してください。

先進認証の前提条件を満たしていますか?

続けるには、リストから次の項目を検証および確認します:

  • Skype for Business 固有

    • Skype for Business Server 2015 以降には、すべてのサーバーに2017 年 5 月の累積的な更新プログラム (CU5) が含まれる必要があります。
      • 例外 - Survivability Branch Appliance (SBA) は現在のバージョン (Lync 2013 に基づく) にすることができます
    • Office 365 のフェデレーション ドメインとして SIP ドメインが追加されています
    • すべての SFB フロント エンドには、Office 365 認証 URL (TCP 443) と、Office 365 URL と IP アドレス範囲の "Microsoft 365 Common and Office" セクションの行 56 と 125 に記載されている既知の証明書ルート CRL (TCP 80) へのインターネットへの送信接続が必要です。
  • ハイブリッド Office 365 環境の Skype for Business オンプレミス

    • Skype for Business Server 2019 の展開には、Skype for Business Server 2019 を実行するすべてのサーバーが含まれています。
    • Skype for Business Server 2015 の展開には、Skype for Business Server 2015 を実行するすべてのサーバーが含まれています。
    • 次に示す最大 2 つの異なるサーバー バージョンの展開:
      • Skype for Business Server 2015
      • Skype for Business Server 2019
    • Skype for Business のすべてのサーバーには、最新の累積更新プログラムがインストールされている必要があります。「Skype for Business Server の更新」 を参照して、利用可能なすべての更新プログラムを見つけて管理してください。
    • ハイブリッド環境には Lync Server 2010 または 2013 はありません。

注:

Skype for Business フロントエンド サーバーでインターネット アクセスにプロキシ サーバーを使用している場合は、使用されるプロキシ サーバーの IP アドレスとポート番号を、各フロント エンドの web.config ファイルの構成セクションに入力する必要があります。

  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\int\web.config
  • C:\Program Files\Skype for Business Server 2015\Web Components\Web ticket\ext\web.config
<configuration>
  <system.net>
    <defaultProxy>
      <proxy
        proxyaddress="https://192.168.100.60:8080"
        bypassonlocal="true" />
    </defaultProxy>
  </system.net>
</configuration>

重要

Office 365 の URL と IP アドレス範囲 の RSS フィードを購読して、必要な URL のリストを最新の状態に維持してください。

  • Exchange Server 固有

    • Exchange Server 2013 CU19 以降、Exchange Server 2016 CU8 以降、または Exchange Server 2019 CU1 以降のいずれかを使用しています。
    • 環境内に Exchange Server 2010 はありません。
    • SSL オフローディングが構成されていません。 SSL 終了と再暗号化がサポートされています。
    • 環境がプロキシ サーバー インフラストラクチャを利用してサーバーがインターネットに接続できるようにする場合は、すべてのExchange サーバーに InternetWebProxy プロパティでプロキシ サーバーが定義されていることを確認してください。
  • ハイブリッド Office 365 環境の Exchange Server オンプレミス

    • Exchange Server 2013 を使用している場合は、少なくとも 1 つのサーバーにメールボックスとクライアント アクセス サーバーの役割がインストールされている必要があります。 メールボックスとクライアント アクセスの役割は別のサーバーにインストールできますが、信頼性を高め、パフォーマンスを向上させるには、両方の役割を同じサーバーにインストールすることを強くお勧めします。
    • Exchange Server 2016 以降のバージョンを使用している場合は、少なくとも 1 つのサーバーにメールボックス サーバーの役割がインストールされている必要があります。
    • ハイブリッド環境には Exchange Server 2007 または 2010 はありません。
    • すべての Exchange サーバーに最新の累積的な更新プログラムがインストールされている必要があります。 利用可能なすべての 更新プログラムを見つけて管理するには、「Exchange を最新の累積的な更新プログラムにアップグレード する」を参照してください。
  • Exchange クライアントとプロトコルの要件

    最新の認証の可用性は、クライアント、プロトコル、および構成の組み合わせによって決まります。 クライアント、プロトコル、または構成で先進認証がサポートされていない場合、クライアントは引き続きレガシ認証を使用します。

    次のクライアントとプロトコルは、環境で先進認証が有効になっている場合に、オンプレミス Exchange での先進認証をサポートします。

    クライアント プライマリ プロトコル メモ
    Outlook 2013 以降
    MAPI over HTTP
    これらのクライアントで最新の認証を使用するには、HTTP 経由の MAPI を Exchange 内で有効にする必要があります (Exchange 2013 Service Pack 1 以降の新規インストールで有効または True)。詳細については、「 Office 2013 および Office 2016 クライアント アプリの先進認証のしくみ」を参照してください。
    Outlook の最低限必要なビルドを実行していることを確認します。 Windows インストーラー (MSI) を使用する Outlook のバージョンの最新の更新プログラムに関するページを参照してください。
    Outlook 2016 for Mac 以降
    Exchange Web サービス

    iOS および Android 用の Outlook
    Microsoft 同期テクノロジ
    詳細については、「iOS および Android 用の Outlook でのハイブリッド先進認証の使用」 を参照してください。
    Exchange ActiveSync クライアント (iOS11 メールなど)
    Exchange ActiveSync
    先進認証をサポートしている Exchange ActiveSync クライアントの場合、基本認証から先進認証に切り替えるには、プロファイルを再作成する必要があります。

    一覧にないクライアントやプロトコル (POP3 など) は、オンプレミスの Exchange での先進認証をサポートせず、環境で先進認証が有効になった後でも、従来の認証メカニズムを引き続き使用します。

  • 一般的な前提条件

    • リソース フォレストのシナリオでは、ハイブリッド先進認証要求中に適切な SID 参照が実行されるように、アカウント フォレストとの双方向の信頼が必要です。

    • AD FS を使用している場合、フェデレーションには Windows 2012 R2 AD FS 3.0 以上が必要です。

    • ID 構成は、パスワード ハッシュ同期、パススルー認証、Office 365 でサポートされているオンプレミス STS など、Microsoft Entra Connect でサポートされる種類のいずれかです。

    • ユーザーのレプリケーションと同期のために Microsoft Entra Connect が構成され、機能している。

      注:

      Microsoft Entra Identity に同期されていないユーザー アカウントには、ハイブリッド 先進認証を介した承認トークンは提供されません。 既定の承認エンドポイントとして evoSTS を使用するようにオンプレミス アプリケーションが構成されると、同期されないこれらのユーザー アカウントでは、適切な構成が使用できない場合、アプリケーションへのアクセスに関する問題が発生します。

    • オンプレミスと Office 365 環境との間で、Exchange の従来のハイブリッド トポロジ モードを使用してハイブリッドが構成されていることを確認します。 Exchange ハイブリッドの公式サポート声明によると、現在の CU または現在の CU - 1 のいずれかが必要です。

      注:

      ハイブリッド先進認証は、ハイブリッド エージェント でサポートされていません。

    • オンプレミスのテスト ユーザーと Office 365 に所属するハイブリッド テスト ユーザーの両方が、Skype for Business デスクトップ クライアント (Skype で先進認証を使用する場合) と Microsoft Outlook (Exchange で先進認証を使用する場合) にサインインできることを確認します。

    • Microsoft Office の SignInOptions 設定が最も制限の厳しい設定に構成されていないことを確認します。 詳細については、「 Office がインターネットに接続できるようにする方法」を参照してください。

始める前に把握しておくべき情報はありますか?

  • オンプレミス サーバーのすべてのシナリオでは、認証と承認を担当するサーバーが Microsoft Cloud (Microsoft Entra ID のセキュリティ トークン サービス ("evoSTS" と呼ばれる) 内に存在するように、オンプレミスで最新の認証 (実際には Skype for Business の場合はサポートされているトポロジの一覧があります) を設定し、Skype for Business または Exchange のオンプレミスインストールで使用される URL または名前空間に関する Microsoft Entra ID を更新する必要があります。 そのため、オンプレミス サーバーは、Microsoft Cloud の依存関係を利用します。 このアクションを実行することは、「ハイブリッド認証」の構成と見なすことができます。
  • この記事では、サポートされている最新の認証トポロジ (Skype for Business にのみ必要) を選択するのに役立つ他のユーザー、および Exchange オンプレミスおよび Skype for Business オンプレミスのセットアップ手順、または先進認証を無効にする手順の概要を示すハウツー記事にリンクしています。 サーバー環境で先進認証を使用するために、ホームベースが必要な場合は、このページをブラウザーでお気に入りに追加します。