フェデレーションの信頼の作成

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

フェデレーション信頼によって、Microsoft Exchange Server 2010 組織と Microsoft Federation Gateway の間の信頼関係が確立されます。

注意

フェデレーション信頼の作成は、Exchange 組織内でフェデレーション委任をセットアップする際の、複数の手順の 1 つです。 すべての手順を確認するには、「フェデレーション共有を構成する」を参照してください。

フェデレーションに関連する他の管理タスクについては、 「フェデレーションの管理」を参照してください。

前提条件

  • フェデレーション信頼の確立に使用されるドメインは、インターネットから解決可能である必要があります。 これには、ドメイン登録業者によってドメインが登録されていること、およびドメインのドメイン ネーム システム (DNS) ゾーンがインターネットからアクセス可能な DNS サーバーによってホストされていることが必要です。 組織がドメイン宛てのインターネット電子メールを受信できるようであれば、それらの前提条件は既に満たしています。

  • フェデレーション委任関係にある両方の Exchange 組織は、フェデレーション信頼のために同じ Microsoft Federation Gateway インスタンスを使用する必要があります。 社内の Exchange 組織どうし、または社内の Exchange 組織と Microsoft Online Service または Microsoft Live@edu によってホストされている Exchange 組織の間でフェデレーション委任を構成するときに、この要件が適用されます。

    Exchange 組織に対して Microsoft Federation Gateway とのフェデレーション信頼を作成するとき、このフェデレーション信頼では Microsoft Federation Gateway のビジネス インスタンスまたはコンシューマー インスタンスのいずれかが使用されます。

    以下の Exchange 組織は、既定では Microsoft Federation Gateway のビジネス インスタンスを使用します。

    • フェデレーション信頼に対して自己署名証明書を使用する Exchange 2010 Service Pack 2 (SP2) 組織

    • Microsoft Business Productivity Online Standard Suite で提供される Exchange オンライン サービスなどの、Microsoft Online Services によってホストされる Exchange 組織

    以下の Exchange 組織は、既定では Microsoft Federation Gateway のコンシューマー インスタンスを使用します。

    • サード パーティの証明機関が発行する証明書を使用する、RTM (Release To Manufacturing) 版の Exchange 2010 組織

    • Microsoft Live@edu によってホストされる Exchange 組織

    すべての Exchange 組織で、フェデレーション信頼に Microsoft Federation Gateway のビジネス インスタンスを使用することをお勧めします。 2 つの組織間でフェデレーション委任を構成する前に、各 Exchange 組織で既存のフェデレーション信頼に使用されている Microsoft Federation Gateway インスタンスを確認する必要があります。 Exchange 組織で既存のフェデレーション信頼に使用されている Microsoft Federation Gateway インスタンスを判断するには、以下のシェル コマンドを実行します。

    Get-FederationInformation -DomainName <the hosted Exchange domain namespace>

    ビジネス インスタンスは、TokenIssuerURIs パラメーターに <uri:federation:MicrosoftOnline> という値を返します。

    コンシューマー インスタンスは、TokenIssuerURIs パラメーターに <uri:WindowsLiveID> という値を返します。

    Microsoft Federation Gateway のビジネス インスタンスを使用している既存のフェデレーション信頼を所有する「Exchange」組織にフェデレーション委任を構成するには、「EMC を使用してフェデレーション信頼を作成する」の手順か、このトピックの「シェルを使用してフェデレーション信頼を作成する」の手順を実行します。 これらの手順を実行しさえすれば、フェデレーション信頼を作成して、それを使用して 2 つの Exchange 2010 SP2 組織の間でフェデレーション委任を有効にできます。

    Exchange 2010 SP2 組織と、Microsoft Federation Gateway のコンシューマー インスタンスを使用している既存のフェデレーション信頼を所有する Exchange 組織の間にフェデレーション委任を構成するには、以下の方法から選択します。

    • 推奨される方法   Microsoft Federation Gateway のコンシューマー インスタンスを使用している Exchange 組織が、Exchange 2010 SP2 をインストールします。 SP2 をインストール後、EMC を使用して既存のフェデレーション ドメインとフェデレーション信頼を消去し、再作成します。 フェデレーション信頼の再作成時に、Microsoft Federation Gateway のビジネス インスタンスが使用されます。 また、すべての既存の組織関係が適切に機能していることを確認するためのテストを実行します。 フェデレーション信頼を削除する方法の詳細については、「フェデレーション信頼の削除」を参照してください。

    • 補助的な方法   Microsoft Federation Gateway のコンシューマー インスタンスを使用してフェデレーション信頼を作成する場合、Exchange 2010 SP2 組織は「シェルを使用して、Microsoft Federation Gateway のコンシューマー インスタンスを使用するフェデレーション信頼を作成する」の手順を利用できます。 Exchange SP2 をインストールできない他の Exchange 2010 組織とのフェデレーション委任を有効にする必要がある場合のみ、この方法を使用してください。

実行内容

  • EMC を使用してフェデレーション信頼を作成する

  • シェルを使用してフェデレーション信頼を作成する

  • シェルを使用して、Microsoft Federation Gateway のコンシューマー インスタンスを使用するフェデレーション信頼を作成する

EMC を使用してフェデレーション信頼を作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「Exchange およびシェル インフラストラクチャーのアクセス許可」の「フェデレーション信頼」。

  1. コンソール ツリーで、[組織の構成] をクリックします。

  2. 操作ウィンドウで、[フェデレーション信頼の新規作成] をクリックします。

  3. [フェデレーション信頼の新規作成] ページで、[新規作成] をクリックします。 これにより、自動的に Microsoft Federation Gateway とのフェデレーション信頼用の自己署名証明書が作成され、組織内の Exchange サーバーに自己署名証明書が展開されます。 新しいフェデレーション信頼の既定の名前は、Microsoft Federation Gateway です。

  4. [完了] ページで以下のことを確認し、[終了] をクリックしてウィザードを終了します。

    • [完了] の状態は、ウィザードでタスクが正常に完了したことを示します。

    • [失敗] の状態は、タスクが完了しなかったことを示します。タスクが失敗した場合は、説明の概要を確認し、[戻る] をクリックして構成を変更します。

注意

新しいフェデレーション信頼は、[フェデレーション信頼] タブに表示されます。

注意

フェデレーション構成を完了するには、アカウント名前空間として使用するドメインの DNS と Microsoft Federation Gateway 上のフェデレーション ドメインとして追加する他のドメインの DNS に、テキスト (TXT) レコードを追加する必要があります。 TXT レコードが DNS 内で利用可能になった後、EMC のフェデレーション管理ウィザードを使用するか、シェルで Set-FederatedOrganizationIdentifier コマンドレットを使用して、フェデレーション信頼の構成を完了します。 詳細については、「フェデレーション用の TXT レコードを作成する」または「フェデレーションの管理」を参照してください。

シェルを使用してフェデレーション信頼を作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「Exchange およびシェル インフラストラクチャーのアクセス許可」の「フェデレーション信頼」。

  1. この例では、証明書で使用する一意のサブジェクト キー識別子を作成します。

    $ski = [System.Guid]::NewGuid().ToString("N")

  2. この例では、Microsoft Federation Gateway とのフェデレーション信頼で使用する自己署名証明書を作成します。

    New-ExchangeCertificate -FriendlyName "Exchange Federated Delegation" -DomainName $env:USERDNSDOMAIN -Services Federation -KeySize 2048 -PrivateKeyExportable $true -SubjectKeyIdentifier $ski

  3. この例では、自己署名証明書を取得し、"Microsoft Federation Gateway" というフェデレーション信頼を作成します。 この操作により、組織内の Exchange サーバーに自己署名証明書が自動的に展開されます。

    Get-ExchangeCertificate | ?{$_.friendlyname -eq "Exchange Federated Delegation"} | New-FederationTrust -Name "Microsoft Federation Gateway"

構文およびパラメーターの詳細については、以下のトピックを参照してください。

シェルを使用して、Microsoft Federation Gateway のコンシューマー インスタンスを使用するフェデレーション信頼を作成する

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「Exchange およびシェル インフラストラクチャーのアクセス許可」の「フェデレーション信頼」。

注意

Microsoft Federation Gateway のコンシューマー インスタンスを使用するフェデレーション信頼の作成に、EMC を使用することはできません。

前提条件

Microsoft Federation Gateway のコンシューマー インスタンスを使用するフェデレーション信頼を作成するには、フェデレーション信頼の要件を満たす有効な X.509 証明書が必要です。 証明書は、Microsoft Federation Gateway が信頼する証明機関 (CA) によって発行されたものである必要があります。 この証明書は、フェデレーション信頼タスクによってアクセス可能なすべてのクライアント アクセスおよびハブ トランスポート サーバーに対して自動的に配布されます。 詳細については、「フェデレーション信頼のための信頼されたルート証明機関」を参照してください。

  1. この例では、すべての証明書とその拇印の一覧を取得します。

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | Format-List

    Where は、Where-Object コマンドレット用のエイリアスです。 エイリアス ? (疑問符) で置き換えることもできます。 シェルで利用可能なすべてのエイリアスの一覧を取得するには、Get-Alias コマンドレットを使用します。

    サーバー上に自己署名されていない証明書がただ 1 つある場合、この手順と次の手順のコマンドを組み合わせてこのタスクを簡略化できます。 次の例で示すように、Get-ExchangeCertificate コマンドレットの結果を、New-FederationTrust コマンドレットにパイプライン処理できます。

    Get-ExchangeCertificate | where {$_.IsSelfSigned -eq $false} | New-FederationTrust -Name "Microsoft Federation Gateway" -UseLegacyProvisioningService

  2. この例では、Microsoft Federation Gateway というフェデレーション信頼を作成します。

    New-FederationTrust -Name "Microsoft Federation Gateway" -Thumbprint 6C8AABD537D53A78CB84E7EEBC8D759C96283ED3 -UseLegacyProvisioningService

    重要

    フェデレーション信頼の作成後、フェデレーション委任の構成における次の手順では、フェデレーション委任サブドメインと、各プライマリ電子メールまたはフェデレーションする SMTP プロキシ ドメインの両方に対して、別々の TXT レコードを DNS ゾーンに作成します。 Microsoft Federation Gateway のコンシューマー インスタンスを使用するフェデレーション信頼を作成したので、「フェデレーションのための TXT レコードの作成 (英語)」の Exchange 2010 RTM バージョンの説明にある手順を実行する必要があります。 TXT レコードが DNS 内で利用可能になった後、EMC のフェデレーション管理ウィザードを使用するか、シェルで Set-FederatedOrganizationIdentifier コマンドレットを使用して、フェデレーション信頼の構成を完了します。

構文およびパラメーターの詳細については、「Get-ExchangeCertificate」または「New-FederationTrust」を参照してください。

その他のタスク

フェデレーション信頼を作成した後で、次の操作も実行できます。

 © 2010 Microsoft Corporation.All rights reserved.