次の方法で共有


ダイレクト ルーティングの新機能

この記事では、ダイレクト ルーティングの新機能について説明します。 頻繁に更新プログラムを確認してください。

ネットワーク効率比 (NER) メトリックの更新

ダイレクト ルーティングの信頼性に影響を与える可能性のある問題の可視性を向上させるために、ネットワーク効率比 (NER) のメトリックを計算するように数式を更新しています。 2024 年 11 月 11 日から、Teams 管理 センター (TAC) でトランクに関して報告された NER に若干の変更が発生する場合があります。 NER 値の低下に気付いた場合は、特定の応答コードを調べることで、呼び出しエラーの原因を特定できます。 最も一般的なエラーとそれらを解決するための推奨されるアクションの一覧については、「 Microsoft および SIP 応答コード」を参照してください。

新しい存続可能ブランチ アプライアンス バージョン (v2024.8.15.1) が利用可能

ダイレクト ルーティング用の新しい存続可能ブランチ アプライアンス (SBA) は、2024 年 9 月 23 日から入手できます。 最新バージョンでは、次の機能がサポートされています。

  • SBC を通過するメディアを使用して、ローカル SBA/SBC 経由で PSTN 通話を行う。
  • SBC を通過するメディアを使用して、ローカル SBA/SBC 経由で PSTN 呼び出しを受信する。
  • PSTN 通話の保留と再開。
  • ブラインド転送。
  • 1 つの電話番号または Teams ユーザーに転送を呼び出します。
  • 1 つの電話番号または Teams ユーザーへの未応答の通話転送。
  • 着信 PSTN 通話を通話キューまたは自動応答番号にローカル エージェントにリダイレクトします。
  • 着信 PSTN 通話を通話キューまたは自動応答番号に代替通話キューまたは自動応答番号にリダイレクトします。
  • VoIP フォールバック。 VoIP 通話を開始できない場合、受信側に PSTN 番号がある場合は、PSTN 通話が試行されます。
  • ローカル ユーザー間の VoIP 呼び出し。 両方のユーザーが同じ SBA の背後に登録されている場合は、PSTN 呼び出しではなく VoIP 呼び出しを開始でき、SBA は呼び出しをサポートします。 最新バージョンを入手するには、SBC ベンダーにお問い合わせください。 サポートされている SBC ベンダーの一覧については、「 セッション ボーダー コントローラーの構成」を参照してください。 存続可能ブランチ アプライアンス (SBA) の詳細については、 ダイレクト ルーティングの存続可能ブランチ アプライアンス (SBA) に関するページを参照してください。

SBC 証明書 EKU 拡張機能テスト

2024 年 3 月 5 日 (UTC 午前 9 時から) に、Microsoft はインフラストラクチャの 24 時間テストを実施します。 この間、セッション ボーダー コントローラー (SBC) 証明書は、拡張キー使用法 (EKU) 拡張機能にクライアント認証とサーバー認証の両方を含める必要があります。 サービスの低下を回避するために、証明書の EKU 拡張機能にサーバー認証とクライアント認証が含まれていることを確認してください。

SBC の証明書 EKU 拡張機能にサーバー認証とクライアント認証の両方が含まれていない場合、SBC は Microsoft インフラストラクチャに接続しません。

EKU のサーバー認証とクライアント認証の両方を要求する最後の切り替えは、2024 年 3 月 19 日に実行されることに注意してください。

詳細については、「 SBC のパブリック信頼された証明書」を参照してください。

DoD クラウドと GCCH クラウドでの MSPKI 証明機関への SIP 証明書の変更

Microsoft 365 では、別のルート証明機関 (CA) の TLS 証明書を使用するように、メッセージング、会議、テレフォニー、音声、ビデオに電力を供給するサービスを更新しています。 影響を受けるエンドポイントには、Office 365 Government - GCC High (GCCH) および DoD 展開の PSTN トラフィックに使用されるMicrosoft Teamsダイレクト ルーティング SIP エンドポイントが含まれます。 SIP エンドポイント用の新しい CA によって発行された証明書への移行は、2024 年 5 月に開始されます。 これは、2024 年 4 月末までにアクションを実行する必要があることを意味します。

新しいルート CA "DigiCert Global Root G2" は、Windows、macOS、Android、iOS などのオペレーティング システムや、Microsoft Edge、Chrome、Safari、Firefox などのブラウザーによって広く信頼されています。 ただし、SBC に手動で構成された証明書ルート ストアがある可能性があります。 その場合は、サービスへの影響を回避するために、新しい CA を含むように SBC CA ストアを更新する必要があります。 受け入れ可能な CA の一覧に新しいルート CA がない SBC は、証明書の検証エラーを受け取ります。これは、サービスの可用性または機能に影響を与える可能性があります。 古い CA と新しい CA の両方が SBC によって信頼されている必要があります。古い CA は削除しないでください。 SBC で受け入れられた証明書の一覧を更新する方法については、SBC ベンダーのドキュメントを参照してください。 古いルート証明書と新しいルート証明書の両方を SBC によって信頼する必要があります。 現在、Microsoft SIP インターフェイスで使用される TLS 証明書は、次のルート CA までチェーンされています。

CA の一般的な名前: DigiCert グローバル ルート CA 拇印 (SHA1): a8985d3a65e5e5c4b2d7d66d40c6ddd2fb19c5436 古い CA 証明書は DigiCert から直接ダウンロードできます。 http://cacerts.digicert.com/DigiCertGlobalRootCA.crt

Microsoft SIP インターフェイスで使用される新しい TLS 証明書は、次のルート CA までチェーンされます。CA の共通名: DigiCert Global Root G2 拇印 (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4 新しい CA 証明書は DigiCert から直接ダウンロードできます。 https://cacerts.digicert.com/DigiCertGlobalRootG2.crt

詳細については、「 Azure 証明機関の詳細」の技術ガイダンスを参照してください。 変更前に SBC 証明書の構成をテストして確認するために、Microsoft は、SBC アプライアンスが新しいルート CA (DigiCert Global Root G2) から発行された証明書を信頼していることを確認するために使用できるテスト エンドポイントを準備しました。 SBC がこのエンドポイントへの TLS 接続を確立できる場合、Teams サービスへの接続は変更の影響を受けてはなりません。 これらのエンドポイントは、SIP OPTIONS ping メッセージにのみ使用し、音声トラフィックには使用しないでください。 これらは運用環境のエンドポイントではなく、冗長構成によってサポートされていません。 つまり、数時間続くダウンタイムが発生し、約 95% の可用性が期待されます。

GCCH のテスト エンドポイント FQDN: x.sip.pstnhub.infra.gov.teams.microsoft.us ポート: 5061

DoD のテスト エンドポイント FQDN: x.sip.pstnhub.infra.dod.teams.microsoft.us ポート: 5061

SIP 証明書の新しい MSPKI 証明機関への最終的な切り替え

9 月 5 日と 19 日の 2 回のテストの後、Microsoft は 10 月 3 日の午前 10 時 (UTC) から新しい証明機関 (CA) への最終切り替えを実行します。 すべての Microsoft SIP エンドポイントが徐々に切り替わり、証明書チェーンが "DigiCert Global Root G2" 証明機関 (CA) にロールアップされる証明書を使用します。

セッション ボーダー コントローラー (SBC) が新しい証明機関 (CA) で正しく構成されていない場合、ダイレクト ルーティングの着信と発信の呼び出しは、スイッチの後に失敗します。 SBC の構成に関する詳細なガイダンスについては、SBC ベンダーと直接協力してください。

変更要件とテストは、Microsoft 管理 ポータル (MC540239、TM614271、MC663640、TM674073、MC674729) で、メッセージ センターの投稿とサービス正常性インシデントを通じてダイレクト ルーティングのお客様に伝えられました。

MSPKI 証明機関への SIP 証明書の変更、追加のテスト

9 月 19 日 (UTC 午後 4 時から) に、Microsoft は 24 時間のテストを実行します。このテストでは、すべての Microsoft SIP エンドポイントを切り替えて証明書チェーンが "DigiCert Global Root G2" 証明機関 (CA) にロールアップされる証明書を使用します。 SBC 構成に新しい証明機関 (CA) を追加し、古い Baltimore CA を保持する必要があります。古い CA を置き換えないでください。 SBC がこの CA を信頼していない場合、テスト中に Teams SIP エンドポイントに接続することはできません。 新しい証明機関 (CA) への最終切り替えが 10 月 3 日に実行されます。

変更の前に SBC 証明書の構成をテストして確認する場合、Microsoft は、SBC アプライアンスが新しいルート CA (DigiCert Global Root G2) から発行された証明書を信頼することを確認するために使用できるテスト エンドポイントを準備しました。 このエンドポイントは、SIP OPTIONS ping メッセージにのみ使用し、音声トラフィックには使用しないでください。 SBC がこのエンドポイントへの TLS 接続を確立できる場合、Teams サービスへの接続は変更の影響を受けてはなりません。

エンドポイント FQDN のテスト: sip.mspki.pstnhub.microsoft.com

ポート: 5061

MSPKI 証明機関への SIP 証明書の変更、テスト

9 月 5 日 (UTC 午前 9 時から) に、Microsoft は 24 時間のテストを実行します。このテストでは、すべての Microsoft SIP エンドポイントが切り替わって証明書チェーンが "DigiCert Global Root G2" 証明機関 (CA) にロールアップされる証明書を使用します。 SBC がこの CA を信頼していない場合は、Teams SIP エンドポイントに接続できない可能性があります。

変更の前に SBC 証明書の構成をテストして確認する場合、Microsoft は、SBC アプライアンスが新しいルート CA (DigiCert Global Root G2) から発行された証明書を信頼することを確認するために使用できるテスト エンドポイントを準備しました。 このエンドポイントは、SIP OPTIONS ping メッセージにのみ使用し、音声トラフィックには使用しないでください。 SBC がこのエンドポイントへの TLS 接続を確立できる場合、Teams サービスへの接続は変更の影響を受けてはなりません。

エンドポイント FQDN のテスト: sip.mspki.pstnhub.microsoft.com

ポート: 5061

MSPKI 証明機関への SIP 証明書の変更

Microsoft 365 では、別のルート証明機関 (CA) の TLS 証明書を使用するように、メッセージング、会議、テレフォニー、音声、ビデオに電力を供給するサービスを更新しています。 この変更は、現在のルート CA が 2025 年 5 月に期限切れになるためです。 影響を受けるエンドポイントには、TLS 接続を利用する PSTN トラフィックに使用されるすべての Microsoft SIP エンドポイントが含まれます。 新しい CA によって発行された証明書への移行は、8 月下旬に開始されます。

新しいルート CA "DigiCert Global Root G2" は、Windows、macOS、Android、iOS などのオペレーティング システムや、Microsoft Edge、Chrome、Safari、Firefox などのブラウザーによって広く信頼されています。 ただし、SBC に手動で構成された証明書ルート ストアがあり、更新する必要がある可能性があります。 受け入れ可能な CA の一覧に新しいルート CA がない SBC は、証明書の検証エラーを受け取ります。これは、サービスの可用性または機能に影響を与える可能性があります。 SBC で受け入れられた証明書の一覧を更新する方法については、SBC ベンダーのドキュメントを参照してください。

現在、Microsoft SIP インターフェイスで使用される TLS 証明書は、次のルート CA までチェーンされています。

CA の共通名: Baltimore CyberTrust Root Thumbprint (SHA1): d4de20d05e66fc53fe1a50882c78db2852cae474

Microsoft SIP インターフェイスで使用される新しい TLS 証明書は、次のルート CA までチェーンされます。

CA の一般的な名前: DigiCert Global Root G2 拇印 (SHA1): df3c24f9bfd666761b268073fe06d1cc8d4f82a4

新しい CA 証明書は、DigiCert: DigiCert Global Root G2 から直接ダウンロードできます。

詳細については、「Office TLS 証明書の変更」を参照してください。

新しいダイレクト ルーティング SIP エンドポイント

Microsoft では、Teams ダイレクト ルーティング SIP エンドポイントに新しいシグナリング IP を導入します。 この変更がサービスの可用性に影響しないようにするには、分類規則と ACL 規則に推奨サブネット 52.112.0.0/14 と 52.122.0.0/15 を使用するようにセッション ボーダー コントローラーとファイアウォールが構成されていることを確認します。 詳細については、「Microsoft 365、Office 365、Office 365 GCC 環境」を参照してください。

SIP オプションに基づくトランク降格ロジック

SIP オプションに基づく新しい機能がトランクの正常性に導入されました。 ゲートウェイ構成で有効にすると (コマンドレットと SendSipOptions パラメーター Set-CsOnlinePSTNGateway 参照)、送信呼び出しのルーティング ロジックにより、SIP オプションを定期的に送信しないトランクが降格されます (予想される期間は、SBC によって 1 分あたり 1 つの SIP オプションが送信されます)。 これらの降格されたトランクは、発信コールで使用可能なトランク リストの末尾に配置され、最後に試行されます。これにより、通話のセットアップ時間が短縮される可能性があります。

5 分以内に少なくとも 1 つの SIP オプションを Microsoft リージョン (NOAM、EMEA、APAC、OCEA) SIP プロキシに送信しないその機能に対して有効になっているトランクは、降格と見なされます。 トランクが Microsoft リージョン SIP プロキシのサブセットにのみ SIP オプションを送信する場合、これらのルートは最初に試行され、残りは降格されます。

注意

SIP OPTIONS を送信しない SBC ( SendSipOptionstrue に設定された顧客または通信事業者のテナントで構成) は降格されます。 その動作を望まないお客様は、SBC 構成で SendSipOptionsfalse に設定する必要があります。 SBC 構成が通信事業者または顧客テナントの下にあるキャリア トランクにも同じことが当てはまります。 このような場合、 SendSipOptionstrue に設定されている場合、SBC は SIP オプションを送信します。

SIP サポート

2022 年 6 月 1 日に、Microsoft はダイレクト ルーティング構成から sip-all.pstnhub.microsoft.com と sip-all.pstnhub.gov.teams.microsoft.us FQDN のサポートを削除します。

6 月 1 日より前にアクションが実行されない場合、ユーザーはダイレクト ルーティングを介して通話を行ったり受信したりすることはできません。

サービスへの影響を防ぐには:

  • 推奨されるサブネット (52.112.0.0/14 および 52.120.0.0/14) は、分類または ACL 規則に使用します。
  • ダイレクト ルーティング用のセッション 境界制御を構成する場合は、sip-all FQDN の使用を中止します。

詳細については、「 直接ルーティングを計画する」を参照してください。

注意

このドキュメントに記載されている IP 範囲はダイレクト ルーティングに固有であり、Teams クライアントに関して推奨される IP 範囲とは異なる場合があります。

TLS 証明書

Microsoft 365 では、別のルート証明機関 (CA) のセットを使用するように Teams やその他のサービスを更新しています。

影響を受けるサービスの詳細と完全な一覧については、「 Microsoft Teamsを含む Microsoft 365 サービスへの TLS 証明書の変更」を参照してください。

証明機関

2022 年 2 月 1 日から、ダイレクト ルーティング SIP インターフェイスは、Microsoft 信頼されたルート証明書プログラムの一部である証明機関 (CA) によって署名された証明書のみを信頼します。 サービスへの影響を回避するには、次の手順を実行します。

  • SBC 証明書が、Microsoft 信頼されたルート証明書プログラムの一部である CA によって署名されていることを確認します。
  • 証明書の拡張キー使用法 (EKU) 拡張機能に "サーバー認証" が含まれていることを確認します。

Microsoft 信頼されたルート証明書プログラムの詳細については、「 プログラムの要件 - Microsoft 信頼されたルート プログラム」を参照してください。

信頼された CA の一覧については、「 Microsoft Included CA Certificate List」を参照してください。

ヘッダーを置き換える

2022 年 4 月以降、ダイレクト ルーティングでは、置換ヘッダーが定義されている SIP 要求が拒否されます。 Microsoft が Replaces ヘッダーをセッション ボーダー コントローラー (SBC) に送信するフローに変更はありません。

SBC 構成を確認し、SIP 要求で置換ヘッダーを使用していないことを確認します。

TLS1.0 と 1.1

お客様にクラス最高の暗号化を提供するために、Microsoft はトランスポート層セキュリティ (TLS) バージョン 1.0 および 1.1 を非推奨にする予定です。 2022 年 4 月 3 日、Microsoft はダイレクト ルーティング SIP インターフェイスの TLS1.2 の使用を強制します。

サービスへの影響を回避するには、SBC が TLS1.2 をサポートするように構成されており、次のいずれかの暗号スイートを使用して接続できることを確認します。

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384すなわち ECDHE-RSA-AES256-GCM-SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256すなわち ECDHE-RSA-AES128-GCM-SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384すなわち ECDHE-RSA-AES256-SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256すなわち ECDHE-RSA-AES128-SHA256