ハイブリッドの先進認証を使用するオンプレミスの Exchange サーバーを構成する方法

注:  最新のヘルプ コンテンツをできるだけ早く、お客様がお使いの言語で提供したいと考えております。 このページは、自動翻訳によって翻訳されているため、文章校正のエラーや不正確な情報が含まれている可能性があります。私たちの目的は、このコンテンツがお客様の役に立つようにすることです。お客様にとって役立つ情報であったかどうかを、このページの下部でお知らせください。 簡単に参照できるように、こちらに 英語の記事 があります。

ハイブリッド モダンな認証 (ときなど) の id の管理をより安全なユーザー認証と承認、および Exchange server のオンプレミス ハイブリッド展開で利用できる方法です。

ヒント

始める前に呼び出します。

  • ハイブリッドの先進認証 > ときなど

  • オンプレミスの exchange > EXCH

  • Exchange Online > EXO

またのグラフィック場合この記事はオブジェクトが ' 淡色 '、'淡色表示されている' つまり、灰色で表示される要素がないときなどに固有の構成に含まれている

ハイブリッドの先進認証を有効にします。

ときなどはオンにします。

  1. 始める前に、前提を満たしていることを確認します。

    1. 多くの要件が満たされて以降には、一般的に両方の skype for Business と Exchangeの前提条件チェックリストの概要」を参照してください。利用します。この記事の手順のいずれかの操作を始める前に操作します。

  2. 追加のオンプレミス web サービスの Url サービス プリンシパル名 (Spn) として Azure AD で。

  3. ときなどのすべての仮想ディレクトリを確保が有効になっています。

  4. EvoSTS 認証サーバー オブジェクトのチェック

  5. 為替でときなどを有効にします。

メモ Office のバージョンでは、MA をサポートしてよいですか。確認次のとおりです。

すべての前提条件を満たしているかどうかを確認します。

多くの前提条件は、一般に、両方の Skype for Business と Exchangeの前提条件チェックリストの概要」を参照してください。この前に、この記事の手順のいずれかの操作を行います。

内部設置型 web サービスの Url として Spn Azure AD で追加します。

Azure AD Spn。 Spn が認証と承認の中にクライアント コンピューターとデバイスで使用されていると、内部設置型 web サービスの Url を割り当てるコマンドを実行します。Azure Active Directory (AAD) に、オンプレミスの接続に使用できるすべての Url は、AAD (内部と外部両方の名前空間を含む) に登録する必要があります。

最初に、AAD で追加する必要があるすべての Url を収集します。これらのコマンドの内部設置型を実行します。

  • Get MapiVirtualDirectory |FL サーバー、* url *

  • Get WebServicesVirtualDirectory |FL サーバー、* url *

  • Get ActiveSyncVirtualDirectory |FL サーバー、* url *

  • Get OABVirtualDirectory |FL サーバー、* url *

Url のクライアントが AAD でサービス プリンシパル名の HTTPS として登録されているに接続できることを確認します。

  1. まず、次の手順で AAD に接続します。

  2. Exchange、関連する Url は、次のコマンドを入力します。

  • Get MsolServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 |ExpandProperty ServicePrincipalNames を選択します。

このコマンドは、https://を含める必要がありますの出力 (とスクリーン ショットを後で比較したもの) をメモを取るの自動検出。ドメイン.comと https://mail.yourdomain.com URL から構成されている主 00000002-0000-0ff1-ce00-000000000000 で始まる Spn が/します。社内に存在しないから https:// Url がある場合は、この一覧に、特定のレコードを追加するのには必要があります。

3. 場合は、内部および外部の MAPI/HTTP、ボックスの一覧で EWS、ActiveSync、OAB および自動検出レコードが表示されない、次のコマンドを使用して、追加する必要があります (Url の例 'mail.corp.contoso.com' と 'owa.contoso.com'、ですが、も置換の例自分の Url)。

  • $x = get MsolServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000

  • $x.ServicePrincipalnames.Add ("https://mail.corp.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://owa.contoso.com/")

  • $x.ServicePrincipalnames.Add ("https://eas.contoso.com/")

  • 設定 MSOLServicePrincipal-AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 - ServicePrincipalNames $x.ServicePrincipalNames

4 ステップ 2 から、もう一度 Get MsolServicePrincipal コマンドを実行して、出力を確認して、新しいレコードが追加されたことを確認します。一覧を比較/のスクリーン ショットの前に、(必要な場合も、新しいリストのスクリーン ショット レコードに) Spn の新しいリストにします。成功した場合は、リストの 2 つの新しい Url が表示されます。この例では、移動、Spn の一覧と表示されます、特定の Url https://mail.corp.contoso.comhttps://owa.contoso.comします。

仮想ディレクトリが、正しく構成されていることを確認します。

今すぐ確認 OAuth が適切で有効になる次のコマンドを実行して、すべての仮想ディレクトリ Outlook で Exchange を使用

  • Get MapiVirtualDirectory |FL サーバー、* url * * 認証 *

  • Get WebServicesVirtualDirectory |FL サーバー、* url * * oauth *

  • Get OABVirtualDirectory |FL サーバー、* url * * oauth *

  • Get AutoDiscoverVirtualDirectory |FL サーバー、* oauth *

VDirs これらの各にチェックすることを確認してOAuthが有効になっている次のようになります (、重要な点を見て 'OAuth')。

[PS]C:\Windows\system32 > Get MapiVirtualDirectory |fl サーバー、* url * * 認証 *

サーバー: EX1

InternalUrl: https://mail.contoso.com/mapi

ExternalUrl: https://mail.contoso.com/mapi

IISAuthenticationMethods: {Ntlm、OAuth のネゴシエート}

InternalAuthenticationMethods: {Ntlm、OAuth のネゴシエート}

ExternalAuthenticationMethods: {Ntlm、OAuth のネゴシエート}

OAuth がすべてのサーバーと 4 つの仮想ディレクトリのいずれかに表示されない場合は、続行する前に関連するコマンドを使用して追加する必要があります。

EvoSTS 認証サーバー オブジェクトがプレゼンテーションを行うことを確認します。

この最後のコマンドのオンプレミス Exchange 管理シェルに戻ります。今すぐ社内に evoSTS 認証プロバイダーのエントリがあることを検証することができます。

  • Get AuthServer |場所 {$_ します。名前"EvoSts"を示します。

出力名 EvoSts の AuthServer を表示して '有効' 状態が true のときにする必要があります。このメッセージが表示されない場合は、ダウンロードして、ハイブリッド構成ウィザードの最新バージョンを実行する必要があります。

重要です 環境には、Exchange 2010 を使用している、EvoSTS 認証プロバイダーは作成されません。

ときなどを有効にします。

Exchange 管理シェルで、オンプレミスで、次のコマンドを実行します。

  • 設定 AuthServer-Identity EvoSTS IsDefaultAuthorizationEndpoint $true

  • Set-organizationconfig-OAuth2ClientProfileEnabled $true

[確認]

ときなどを有効にすると、クライアントの次のログインは新しい認証フローを使用します。いるときなどをオンにしたトリガーされません。 再認証のすべてのクライアントに注意してください。[クライアントを再認証に基づいて認証トークンまたは証明書の有効期間があります。

また、Outlook クライアント (Windows の通知トレイ) にも、アイコンを右クリックすると同時に、CTRL キーを押しながらや ' 接続状態] をクリックする必要があります。' ベアラー *' で OAuth ベアラー トークンを表すの '' の認証の種類に対してクライアントの SMTP アドレスを探します。

メモ ときなどに Skype for Business を構成する必要がありますか。2 つの記事を必要があります。 いずれかのトポロジをサポートするには、一覧を表示し、いずれかの構成を行う方法を示しています。

最新の認証の概要へのリンクです。

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×