Exchange Server をオンプレミスで構成して、ハイブリッド先進認証を使用するには
概要
Microsoft Exchange Server のハイブリッド 先進認証 (HMA) は、クラウドから取得した承認トークンを使用して、ユーザーがオンプレミスでホストされているメールボックスにアクセスできるようにする機能です。
HMA を使用すると、Outlook は、パスワード ハッシュ同期または Pass-Through 認証 ID の場合は直接、またはフェデレーション ID の場合は独自の Secure Token Service (STS) から、Microsoft Entra ID からアクセストークンと更新 OAuth トークンを取得できます。 Exchange オンプレミスはこれらのトークンを受け入れ、メールボックス アクセスを提供します。 これらのトークンを取得する方法と必要な資格情報は、ID プロバイダー (iDP) の機能によって決まります。これは、単純なユーザー名とパスワードから、証明書、電話認証、生体認証メソッドなどのより複雑な方法までです。
HMA を機能させるには、ユーザーの ID が Microsoft Entra ID に存在する必要があり、Exchange ハイブリッド構成ウィザード (HCW) によって処理される一部の構成が必要です。
NTLM などの従来の認証方法と比較して、HMA にはいくつかの利点があります。 クラウドベースの認証の機能を利用して、より安全で柔軟な認証方法を提供します。 チャレンジ応答メカニズムに依存し、最新の認証プロトコルをサポートしていない NTLM とは異なり、HMA は OAuth トークンを使用します。これは、安全性が高く、相互運用性が向上します。
HMA は、クラウドベースの認証の機能を利用して、オンプレミス アプリケーションへのアクセスの柔軟性とセキュリティを強化する強力な機能です。 これは、従来の認証方法よりも大幅な改善を表し、セキュリティ、柔軟性、ユーザーの利便性が強化されています。
ハイブリッド モダン認証を構成して有効にする手順
ハイブリッド 先進認証 (HMA) を有効にするには、組織が必要なすべての前提条件を満たしていることを確認する必要があります。 さらに、Office クライアントが先進認証と互換性があることを確認する必要があります。 詳細については、「 Office 2013 および Office 2016 クライアント アプリの最新認証のしくみ」のドキュメントを参照してください。
開始する前 に、前提条件を満たしていることを 確認してください。
オンプレミスの Web サービス URL を Microsoft Entra ID に追加します。 URL は、
Service Principal Names (SPNs)として追加する必要があります。 Exchange Server のセットアップが 複数のテナントとハイブリッドになっている場合、これらのオンプレミス Web サービス URL は、オンプレミスの Exchange Server とハイブリッドになっているすべてのテナントの Microsoft Entra ID に SPN として追加する必要があります。すべての仮想ディレクトリが HMA に対して有効になっていることを確認します。 Outlook on the Web (OWA) と Exchange コントロール パネル (ECP) のハイブリッド 先進認証を構成する場合は、それぞれのディレクトリも確認することが重要です。
Exchange Server OAuth 証明書が有効であることを確認します。 MonitorExchangeAuthCertificate スクリプト スクリプトを使用して、OAuth 証明書の有効性を確認できます。 有効期限が切れる場合、スクリプトは更新プロセスを支援します。
すべてのユーザー ID が Microsoft Entra ID 、特に管理に使用されるすべてのアカウントと同期されていることを確認します。 それ以外の場合、ログインは同期されるまで動作を停止します。 組み込みの管理者などのアカウントは Microsoft Entra ID と同期されないため、HMA が有効になると OAuth ログインでは使用できません。 この動作は、既定の管理者を含む一部のアカウントの
Trueに設定されているisCriticalSystemObject属性が原因です。(省略可能)Outlook for iOS および Android クライアントを使用する場合は、 AutoDetect サービスが Exchange Server に接続できるようにしてください。
ハイブリッド モダン認証を有効にする前提条件
このセクションでは、Microsoft Exchange Server でハイブリッド モダン認証を正常に構成して有効にするために必要な情報と手順について説明します。
Exchange Server 固有の前提条件
Exchange サーバーは、ハイブリッド モダン認証を構成して有効にする前に、次の要件を満たす必要があります。 ハイブリッド構成がある場合は、サポートされている状態にするには、最新の累積的な更新プログラム (CU) を実行する必要があります。 サポートされている Exchange Server のバージョンとビルドは、 Exchange Server のサポートマトリックスで確認できます。
- 組織内にエンド オブ ライフの Exchange サーバーがないことを確認します。
- Exchange Server 2016 は CU8 以降を実行している必要があります。
- Exchange Server 2019 は CU1 以降を実行している必要があります。
- すべてのサーバーがインターネットに接続できることを確認します。 プロキシが必要な場合は、 使用するように Exchange Server を構成します。
- ハイブリッド構成が既にある場合は、最新のハイブリッドが HMA をサポートしていないため、クラシック ハイブリッドデプロイであることを確認してください。
- SSL オフロードが使用されていないことを確認します (サポートされていません)。 ただし、SSL ブリッジングは使用でき、サポートされています。
詳細については、 ハイブリッド先進認証の概要と、オンプレミスの Skype for Business および Exchange サーバーで使用するための前提条件 に関するドキュメントも参照してください。
ハイブリッド モダン認証で動作するプロトコル
ハイブリッド 先進認証は、次の Exchange Server プロトコルに対して機能します。
| プロトコル | ハイブリッド モダン認証がサポートされています |
|---|---|
| MAPI over HTTP (MAPI/HTTP) | はい |
| Outlook Anywhere (RPC/HTTP) | いいえ |
| Exchange Active Sync (EAS) | はい |
| Exchange Web サービス (EWS) | はい |
| Outlook on the Web (OWA) | はい |
| Exchange Admin Center (ECP) | はい |
| オフラインアドレス帳 (OAB) | はい |
| IMAP | いいえ |
| POP | いいえ |
Microsoft Entra ID でオンプレミスの Web サービス URL を SPN として追加する
オンプレミスの Web サービス URL を Microsoft Entra SPN として割り当てるコマンドを実行します。 SPN は、認証と承認中にクライアント コンピューターとデバイスによって使用されます。 オンプレミスから Microsoft Entra ID への接続に使用できる可能性のあるすべての URL は、Microsoft Entra ID (内部名前空間と外部名前空間の両方を含む) に登録する必要があります。
まず、Microsoft Exchange Server で次のコマンドを実行します。
Get-MapiVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-WebServicesVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ClientAccessService | fl Name, AutodiscoverServiceInternalUri Get-OABVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-AutodiscoverVirtualDirectory -ADPropertiesOnly | fl server,*url* Get-ActiveSyncVirtualDirectory -ADPropertiesOnly | fl server,*url*クライアントが接続する可能性がある URL が、Microsoft Entra ID の HTTPS サービス プリンシパル名として一覧表示されていることを確認します。 Exchange オンプレミスが 複数のテナントとハイブリッドになっている場合、これらの HTTPS SPN は、Exchange オンプレミスとのハイブリッド内のすべてのテナントの Microsoft Entra ID に追加する必要があります。
Microsoft Graph PowerShell モジュールをインストールします。
Install-Module Microsoft.Graph -Scope AllUsers次に、 次の手順に従って Microsoft Entra ID に接続します。 必要なアクセス許可に同意するには、次のコマンドを実行します。
Connect-MgGraph -Scopes Application.Read.All, Application.ReadWrite.AllExchange 関連の URL に対して、次のコマンドを入力します。
Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" | select -ExpandProperty ServicePrincipalNamesこのコマンドの出力をメモします。これには、
https://*autodiscover.yourdomain.com*とhttps://*mail.yourdomain.com*URL を含める必要がありますが、ほとんどの場合、00000002-0000-0ff1-ce00-000000000000/で始まる SPN で構成されます。 オンプレミスの URL が不足している場合は、これらの特定のレコードをこの一覧に追加する必要があります。この一覧に内部および外部の
MAPI/HTTP、EWS、ActiveSync、OAB、AutoDiscoverのレコードが表示されない場合は、それらを追加する必要があります。 次のコマンドを使用して、不足しているすべての URL を追加します。 この例では、追加される URL がmail.corp.contoso.comされ、owa.contoso.comされます。 それらが環境内で構成されている URL に置き換えられたことを確認します。$x = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $x.ServicePrincipalNames += "https://mail.corp.contoso.com/" $x.ServicePrincipalNames += "https://owa.contoso.com/" Update-MgServicePrincipal -ServicePrincipalId $x.Id -ServicePrincipalNames $x.ServicePrincipalNames手順 4 の
Get-MgServicePrincipalコマンドをもう一度実行して、新しいレコードが追加されたことを確認し、出力を検証します。 前のリストと SPN の新しいリストを比較します。 レコードの新しい一覧をメモすることもできます。 成功した場合は、一覧に 2 つの新しい URL が表示されます。 この例では、SPN の一覧に特定の URLhttps://mail.corp.contoso.comとhttps://owa.contoso.comが含まれるようになりました。
仮想ディレクトリが正しく構成されていることを確認する
次のコマンドを実行して、Outlook が使用する可能性があるすべての仮想ディレクトリで Exchange で OAuth が適切に有効になっていることを確認します。
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Get-WebServicesVirtualDirectory | fl server,*url*,*oauth*
Get-OABVirtualDirectory | fl server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | fl server,*oauth*
Get-ActiveSyncVirtualDirectory | fl server,*url*,*auth*
出力を確認して、これらの仮想ディレクトリごとに OAuth が有効になっていることを確認します。これは次のようになります (また、確認する重要な点は、前述のように OAuth です)。
Get-MapiVirtualDirectory | fl server,*url*,*auth*
Server : EX1
InternalUrl : https://mail.contoso.com/mapi
ExternalUrl : https://mail.contoso.com/mapi
IISAuthenticationMethods : {Ntlm, OAuth, Negotiate}
InternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
ExternalAuthenticationMethods : {Ntlm, OAuth, Negotiate}
OAuth がサーバーと 5 つの仮想ディレクトリのいずれかに存在しない場合は、続行する前に関連するコマンド (Set-MapiVirtualDirectory、 Set-WebServicesVirtualDirectory、 Set-OABVirtualDirectory、 Set-AutodiscoverVirtualDirectory)、 および Set-ActiveSyncVirtualDirectory を使用して追加する必要があります。
EvoSTS 認証サーバー オブジェクトが存在することを確認する
次に、Exchange Server オンプレミス管理シェル (EMS) で、この最後のコマンドを実行します。 オンプレミスの Exchange Server から evoSTS 認証プロバイダーのエントリが返されることを検証できます。
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
出力には Name EvoSts - <GUID> の AuthServer が表示され、 Enabled 状態が Trueされます。 そうでない場合は、 ハイブリッド構成ウィザードの最新バージョンをダウンロードして実行する必要があります。
Exchange Server オンプレミスで 複数のテナントを含むハイブリッド構成を実行する場合、出力には、オンプレミスの Exchange Server とのハイブリッド内の各テナントの名前 EvoSts - <GUID> を持つ 1 つの AuthServer が表示され、これらのすべての AuthServer オブジェクトに対して Enabled 状態が True されます。 以降の手順で必要になりますので、 EvoSts - <GUID>識別子を書き留めてください。
HMA を有効にする
Exchange Server オンプレミス管理シェル (EMS) で次のコマンドを実行し、コマンド ラインの <GUID> を、最後に実行したコマンドの出力からの GUID に置き換えます。 以前のバージョンのハイブリッド構成ウィザードでは、EvoSts AuthServer は GUID がアタッチされていない EvoSTS という名前でした。 実行する必要がある操作はありません。コマンドの GUID 部分を削除して、前のコマンド ラインを変更するだけです。
Set-AuthServer -Identity "EvoSTS - <GUID>" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Exchange Server オンプレミス バージョンが Exchange Server 2016 (CU18 以上) または Exchange Server 2019 (CU7 以降) であり、 2020 年 9 月以降にダウンロードされた HCW の助けを借りてハイブリッドが構成されている場合は、Exchange Server オンプレミス管理シェル (EMS) で次のコマンドを実行します。
DomainName パラメーターには、テナント ドメインの値を使用します。これは通常、contoso.onmicrosoft.com形式です。
Set-AuthServer -Identity "EvoSTS - <GUID>" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
Exchange Server オンプレミスが 複数のテナントとハイブリッドになっている場合、Exchange Server オンプレミス組織には、各テナントに対応するドメインを持つ複数の AuthServer オブジェクトが存在します。
IsDefaultAuthorizationEndpoint フラグは、これらの AuthServer オブジェクトのいずれかに対してTrueに設定する必要があります。 すべての AuthServer オブジェクトに対してフラグを true に設定することはできません。また、これらの AuthServer オブジェクト IsDefaultAuthorizationEndpoint フラグのいずれかが true に設定されている場合でも HMA が有効になります。
重要
複数のテナントを使用する場合、それらはすべて、GlobalまたはGCC内のすべてなど、同じクラウド環境に存在する必要があります。 これらは、 Global 内のテナントと GCC内の別のテナントなどの混在環境には存在できません。
確かめる
HMA を有効にすると、クライアントの次のサインインで新しい認証フローが使用されます。 HMA をオンにするだけでは、クライアントの再認証はトリガーされません。Exchange Server が新しい設定を取得するまでに時間がかかる場合があります。 このプロセスでは、新しいプロファイルを作成する必要はありません。
また、 CTRL キーを押しながら Outlook クライアントのアイコン (Windows 通知トレイ) を右クリックし、[ Connection Status] を選択します。 OAuth で使用されるベアラー トークンを表す AuthN の種類の Bearer\*に対してクライアントの SMTP アドレスを探します。
OWA と ECP のハイブリッド先進認証を有効にする
ハイブリッド先進認証を OWA と ECPに対して有効にできるようになりました。 続行する前に 、前提条件 が満たされていることを確認してください。
OWAとECPに対してハイブリッド先進認証が有効になると、OWAまたはECPにログインしようとする各エンド ユーザーと管理者は、最初に Microsoft Entra ID 認証ページにリダイレクトされます。 認証が成功すると、ユーザーは OWA または ECPにリダイレクトされます。
OWA と ECP のハイブリッド先進認証を有効にする前提条件
重要
すべてのサーバーには、少なくとも Exchange Server 2019 CU14 更新プログラムがインストールされている必要があります。 また、Exchange Server 2019 CU14 April 2024 HU 以降の更新プログラムも実行する必要があります。
OWAとECPに対してハイブリッド モダン認証を有効にするには、すべてのユーザー ID を Microsoft Entra ID と同期する必要があります。
これに加えて、追加の構成手順を実行する前に、オンプレミスの Exchange Server と Exchange Online 間の OAuth セットアップが確立されていることが重要です。
ハイブリッド構成ウィザード (HCW) を既に実行してハイブリッドを構成しているお客様は、OAuth 構成を用意しています。 OAuth が以前に構成されていない場合は、HCW を実行するか、「 Exchange と Exchange Online 組織間の OAuth 認証を構成 する」のドキュメントに記載されている手順に従って実行できます。
変更を加える前に、 OwaVirtualDirectory と EcpVirtualDirectory の設定を文書化することをお勧めします。 このドキュメントを使用すると、機能の構成後に問題が発生した場合に元の設定を復元できます。
OWA と ECP のハイブリッド 先進認証を有効にする手順
警告
Microsoft Entra アプリケーション プロキシを使用して Outlook Web App (OWA) と Exchange コントロール パネル (ECP) を発行することはサポートされていません。
オンプレミスの Exchange Server で構成されている
OWAとECPURL を照会します。 これは、Microsoft Entra ID への応答 URL として追加する必要があるため、重要です。Get-OwaVirtualDirectory -ADPropertiesOnly | fl name, *url* Get-EcpVirtualDirectory -ADPropertiesOnly | fl name, *url*まだインストールされていない場合は、Microsoft Graph PowerShell モジュールをインストールします。
Install-Module Microsoft.Graph -Scope AllUsers次の手順で Microsoft Entra ID に接続します。 必要なアクセス許可に同意するには、次のコマンドを実行します。
Connect-Graph -Scopes User.Read, Application.ReadWrite.AllOWAとECPURL を指定し、応答 URL を使用してアプリケーションを更新します。$servicePrincipal = Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/owa" $servicePrincipal.ReplyUrls += "https://YourDomain.contoso.com/ecp" Update-MgServicePrincipal -ServicePrincipalId $servicePrincipal.Id -AppId "00000002-0000-0ff1-ce00-000000000000" -ReplyUrls $servicePrincipal.ReplyUrls応答 URL が正常に追加されたことを確認します。
(Get-MgServicePrincipal -Filter "AppId eq '00000002-0000-0ff1-ce00-000000000000'").ReplyUrlsExchange Server オンプレミスでハイブリッド先進認証を実行できるようにするには、「 HMA を有効にする 」セクションで説明されている手順に従います。
(省略可能) ダウンロード ドメイン が使用されている場合にのみ必要です。
管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行して、新しいグローバル設定のオーバーライドを作成します。 1 つの Exchange Server で次のコマンドを実行します。
New-SettingOverride -Name "OWA HMA Download Domain Support" -Component "OAuth" -Section "OAuthIdentityCacheFixForDownloadDomains" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA when Download Domains are in use" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -Force(省略可能) Exchange リソース フォレスト トポロジ のシナリオでのみ必要です。
<ExchangeInstallPath>\ClientAccess\Owa\web.configファイルの<appSettings>ノードに次のキーを追加します。 各 Exchange Server でこれを行います。<add key="OAuthHttpModule.ConvertToSidBasedIdentity" value="true"/> <add key="OAuthHttpModule.UseMasterAccountSid" value="true"/>管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行して、新しいグローバル設定のオーバーライドを作成します。 1 つの Exchange Server で次のコマンドを実行します。
New-SettingOverride -Name "OWA HMA AFRF Support" -Component "OAuth" -Section "OwaHMAFixForAfRfScenarios" -Parameters ("Enabled=true") -Reason "Enable support for OWA HMA in AFRF scenarios" Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh Restart-Service -Name W3SVC, WAS -ForceOWAとECPに対してハイブリッド モダン認証を有効にするには、まず、これらの仮想ディレクトリで他の認証方法を無効にする必要があります。 指定した順序で構成を実行することが重要です。 失敗すると、コマンドの実行中にエラー メッセージが表示される可能性があります。
各 Exchange Server 上の各OWAとECP仮想ディレクトリに対して次のコマンドを実行して、他のすべての認証方法を無効にします。Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -AdfsAuthentication $false –BasicAuthentication $false –FormsAuthentication $false –DigestAuthentication $false重要
すべてのアカウントが Microsoft Entra ID 、特に管理に使用されるすべてのアカウントに同期されていることを確認します。 それ以外の場合、ログインは同期されるまで動作を停止します。 組み込みの管理者などのアカウントは Microsoft Entra ID と同期されないため、OWA と ECP の HMA が有効になると管理に使用できません。 この動作は、一部のアカウントで
Trueに設定されているisCriticalSystemObject属性が原因です。OWAとECP仮想ディレクトリの OAuth を有効にします。 指定した順序で構成を実行することが重要です。 失敗すると、コマンドの実行中にエラー メッセージが表示される可能性があります。 すべての Exchange Server 上のOWAとECP仮想ディレクトリごとに、次のコマンドを実行する必要があります。Get-EcpVirtualDirectory -Server <computername> | Set-EcpVirtualDirectory -OAuthAuthentication $true Get-OwaVirtualDirectory -Server <computername> | Set-OwaVirtualDirectory -OAuthAuthentication $true
iOS および Android 用の Outlook でのハイブリッド 先進認証の使用
ハイブリッド 先進認証と共に Outlook for iOS および Android クライアントを使用する場合は、AutoDetect サービスが TCP 443 (HTTPS) 上の Exchange Server に接続できるようにしてください。
<email_domain>.outlookmobile.com
<email_domain>.outlookmobile.us
52.125.128.0/20
52.127.96.0/23
IP アドレス範囲は、 Office 365 IP アドレスと URL Web サービスのドキュメントに含まれていないその他のエンドポイントにも記載 されています。