ハイブリッド展開の証明書要件
ハイブリッド展開では、デジタル証明書は、オンプレミスの Exchange organization と Microsoft 365 または Office 365間の通信をセキュリティで保護する上で重要な部分です。 証明書により、各 Exchange 組織が別の Exchange 組織の ID を信頼できるようになります。 証明書では、各 Exchange 組織が適切なソースと通信していることを確認することもできます。
ハイブリッド展開では、多くのサービスで証明書が使用されます。
Active Directory フェデレーション サービス (AD FS) (AD FS) を使用した接続 (Microsoft Entra Connect) のMicrosoft Entra: Microsoft Entraのデプロイを選択した場合ハイブリッド展開の一部として AD FS と接続します。信頼されたサード パーティ証明機関 (CA) によって発行された証明書を使用して、Web クライアントとフェデレーション サーバー プロキシ間の信頼を確立し、セキュリティ トークンに署名し、セキュリティ トークンを復号化します。
詳細については、「証明書」を参照してください。
Exchange フェデレーション: 自己署名証明書を使用して、オンプレミスの Exchange サーバーとMicrosoft Entra認証システムの間にセキュリティで保護された接続を作成します。
詳細については、「 共有」を参照してください。
Exchange サービス: 信頼されたサード パーティ CA によって発行された証明書は、Exchange サーバーとクライアント間のセキュリティで保護されたソケット層 (SSL) 通信に役立ちます。 証明書を使用するサービスには、Web 上の Outlook、Exchange ActiveSync、Outlook Anywhere、およびセキュリティ保護されたメッセージ トランスポートがあります。
既存の Exchange サーバー: 既存の Exchange サーバーは、Outlook on the web通信、メッセージ 転送などをセキュリティで保護するために証明書を使用する場合があります。 Exchange サーバーでの証明書の使用方法に応じて、自己署名証明書、または信頼されている第三者 CA によって発行された証明書を使用できます。
ハイブリッド展開での証明書要件
ハイブリッド展開を構成するときは、信頼できる第三者 CA から購入した証明書を使用して構成する必要があります。 セキュリティ保護されたハイブリッド メール トランスポートに使用する証明書は、すべてのオンプレミスのメールボックス (Exchange 2016 以降)、およびメールボックス サーバーとクライアント アクセス サーバー (Exchange 2013 以前) にインストールする必要があります。
重要
複数の Active Directory フォレストで Exchange サーバーを展開している組織においてハイブリッド展開を構成している場合は、Active Directory フォレストごとに別個のサードパーティ製 CA 証明書を使用する必要があります。
Exchange エッジ トランスポート サーバーをオンプレミスの組織で展開するときは、この証明書をすべてのエッジ トランスポート サーバーにインストールする必要もあります。 各エッジ トランスポート サーバーは、ハイブリッド セキュリティで保護されたメールが正しく機能するために、同じ発行元 CA と同じサブジェクトを共有する証明書を使用する必要があります。
AD FS、Exchange フェデレーション、サービス、および Exchange などの複数のサービスは、それぞれが証明書を必要とします。 組織に応じて、次のいずれかの方針を選択できます。
複数のサーバーにわたって、すべてのサービスで使用される第三者証明書を使用する。
サービスを提供するサーバーごとに第三者証明書を使用する。
すべてのサービスで同じ証明書を使用するのか、または各サービス専用の証明書を使用するのかは、組織および実装するサービスによって異なります。 各オプションについて、いくつかの検討事項があります。
複数のサーバーにまたがるサード パーティの証明書: 複数のサーバー間のサービスで使用されるサード パーティの証明書は、取得する方が若干安くなる可能性がありますが、更新と交換が複雑になる可能性があります。 証明書の置換が必要な場合、証明書がインストールされた各サーバーの証明書を置換する必要があるため、煩雑となります。
各サーバーのサード パーティ証明書: サービスをホストするサーバーごとに専用証明書を使用すると、そのサーバー上のサービス専用に証明書を構成できます。 証明書を置換したり更新が必要な場合、証明書の置換が必要なのはサービスがインストールされたサーバーだけです。 他のサーバーは影響を受けません。
オプションの AD FS サーバーには専用のサード パーティ証明書、ハイブリッド展開用の Exchange サービス用の別の証明書、必要に応じて他の必要なサービスや機能に対して Exchange サーバー上の別の証明書を使用することをお勧めします。 ハイブリッド展開でフェデレーション共有の一部として構成されたオンプレミスのフェデレーション信頼では、既定で自己署名証明書が使用されます。 特定の要件がない限り、ハイブリッド展開の一部としてフェデレーション信頼が構成されたサード パーティの証明書を使用する必要はありません。
単一サーバー上にインストールされたサービスにより、そのサーバーに複数の完全修飾ドメイン名 (FQDN) の構成が必要となる場合があります。 必要となる FQDN 数に対応した証明書を購入します。 証明書は、サブジェクト名 (プリンシパル名とも呼ばれます) および 1 つまたは複数のサブジェクトの別名 (SAN) から構成されます。 サブジェクト名は、オンプレミスとExchange Online組織間で共有されるプライマリ SMTP ドメインです。 SAN は、サブジェクト名に加えて証明書に追加可能な追加 FQDN です。 5 個の FQDN をサポートする証明書が必要な場合、5 個のドメインを追加可能な証明書を購入する必要があります (1 つのサブジェクト名と 4 つの SAN)。
次の表は、ハイブリッド展開で使用するために構成する証明書に含める必要のある最低限推奨される FQDN の概要を示しています。
| サービス | FQDNの例 | フィールド |
|---|---|---|
| プライマリ共有 SMTP ドメイン | contoso.com | サブジェクト名 |
| 自動検出 | Exchange 2013 クライアント アクセス サーバーの外部 Autodiscover FQDN に一致するラベル (autodiscover.contoso.com など) | サブジェクト名の別名 |
| トランスポート | エッジ トランスポート サーバーの外部 FQDN に一致するラベル (edge.contoso.com など) | サブジェクト名の別名 |
Office 365を介して電子メール メッセージをインターネットに中継する必要がない場合は、プライマリ共有 SMTP ドメインではなく、件名にトランスポート サービス名を使用できます。 詳細については、「Office 365を介して電子メール メッセージを中継するように証明書ベースのコネクタを構成する」を参照してください。