Welcome to our Support Center
目次
< 全てのFAQ
top
Print

Microsoft 365とのユーザーアカウント連携 (先進認証)

MailStoreユーザー情報は手動で追加する他に、Microsoft 365 のテナントから同期する事ができます。

同期中、ユーザーデータとメールアドレスがMicrosoft 365のテナントから、MailStoreのユーザーデータベースへ格納されます。その後ユーザーはMicrosoft 365のログイン情報を使ってMailStoreへもログインできるようになります。MailStoreはMicrosoft 365に対する変更は行いません。同期の対象はフィルタを使って制限する事もできます。

前提条件、推奨設定、制限事項

  • 利便性のため、MailStore Serverの証明書は認証局が発行する公式なものを使う事をお勧めします。第3者機関の認証局や、Let’s Encryptの証明書を推奨します。
  • MailStore ServerがM365からインターネット経由でアクセスできる状態である必要があります。外部DNSで名前解決されていて、MailStore Serverがインストールされた端末へ、ファイアウォールやルーター側でポートフォワードしておく必要があります。アーカイブサーバーを外部公開できないネットワーク構成の場合は、MailStoreのクラウドサービスもご検討ください。
  • ログイン時にMicrosoft 365で認証するよう設定している場合、メーラー内でMailStore IMAPサーバーでのアーカイブアクセスは技術的に行う事ができません。
  • MailStore ServerはMicrosoft 365 (先進認証)でのユーザーアカウント同期に対応していますが、一部地域では利用できない場合があります。(日本での利用にあたって問題はございません。)

MailStore Server と Microsoft 365への接続 

Microsoft 365 からユーザー情報を同期するには、MailStore Server を Microsoft 365 テナントに接続し、必要な権限を付与する必要があります。Microsoft 365 はディレクトリ サービスとして Microsoft Entra ID に依存しています。各 Microsoft 365 テナントは、ユーザー情報を保存する Microsoft Entra ID テナントに対応しています。

Microsoft Entra ID に MailStore Server をアプリとして登録する

登録により、MailStore Server は Microsoft Entra ID で ID を取得し、テナントのサービスに対して認証してリソースを使用できるようになります。

  • Microsoft 365 テナントのグローバル管理者としてMicrosoft Entra ID ポータルにサインインします。
  • ナビゲーション メニュー (☰) で、Microsoft Entra IDオプションを選択します。
  • 次のページで、左側のナビゲーション メニューの[管理]セクションで[アプリの登録]を選択します。
  • 「新規登録」を選択します。アプリケーションの登録ページが表示されます。
  • 名前フィールドに、わかりやすい表示名(例:MailStore Server )を入力します。この名前は、後でログオンするときにユーザーに表示されます。
  • このページの他の設定はすべてデフォルトのままにしておきます。
  • 「登録」をクリックします。登録が成功すると、新しく登録されたアプリの概要ページが表示されます。

このページに表示されるアプリケーション(クライアント) ID は、Microsoft Entra ID テナント内の MailStore Server を識別するもので、ディレクトリ (テナント) IDとともに MailStore Server にコピーする必要があります。そのため、次の手順では、Web ブラウザーで概要ページを開いたままにしておきます。

MailStore Server での認証情報の作成

Microsoft 365 の資格情報は、前述の ID と、MailStore Server が Microsoft Entra ID に対して ID を証明するために使用するシークレットで構成されます。Microsoft では、Microsoft Entra ID でアプリを識別するためのシークレットとして証明書を使用することを推奨しています。資格情報を作成すると、このような証明書は MailStore Server によって自動的に生成されますが、後で再作成することもできます。

  • MailStore Server 管理者として MailStore Client にログオンします。
  • [管理ツール] > [ユーザーとアーカイブ] > [ディレクトリ サービス]をクリックします。
  • [統合]セクションで、ディレクトリ サービスの種類をMicrosoft 365 (Modern Authentication)に変更します。
  • [接続]セクションで、 [資格情報] ドロップダウン リストの横にあるボタン (…) をクリックします。
  • 表示される資格情報マネージャーで、[作成] をクリックします。
  • Microsoft Entra ID アプリ資格情報ダイアログの設定セクションに次の情報を入力します。
    • 名前
      資格情報の意味のある表示名 (例: Microsoft 365 テナントの名前)。
    • アプリケーション (クライアント) ID
      Web ブラウザーの Microsoft Entra ID アプリの概要ページからコピーできる対応するフィールドの値。
    • ディレクトリ (テナント) ID
      Web ブラウザーの Microsoft Entra ID アプリの概要ページからコピーできる対応するフィールドの値。
  • 認証セクションで、証明書テキスト ボックスの横にあるドロップダウン ボタンをクリックし、証明書のダウンロードを選択します。証明書をハード ドライブに保存します。
  • [OK]をクリックして入力内容を確認します。
  • 新しく作成された資格情報は、資格情報マネージャーに、入力した名前とタイプMicrosoft 365で一覧表示されます。必要に応じて、ここで既存の資格情報を編集または削除することもできます。
  • [閉じる]をクリックして資格情報マネージャーを終了します。
  • 新しく作成された資格情報は、対応するドロップダウン リストでデフォルトで選択されます。

Microsoft Entra ID での資格情報の公開

Microsoft Entra ID が MailStore Server の ID を検証するには、作成された証明書を Microsoft Entra ID で公開する必要があります。

  • Web ブラウザーで Microsoft Entra ID アプリの概要ページに切り替えます。
  • 左側のナビゲーション メニューの[管理]セクションで[証明書とシークレット]を選択します。
  • 証明書セクションで証明書のアップロードをクリックします。以前に保存した証明書ファイルを選択し、追加をクリックして Microsoft Entra ID にアップロードします。
  • アップロードが成功した場合、証明書の拇印と開始日および有効期限が証明書リストに表示されます。拇印と有効期限を MailStore Credential Manager にリストされているものと比較して、正しい証明書がアップロードされたかどうかを確認できます。

Microsoft Entra ID でのアプリ認証の構成

Microsoft Entra ID がユーザーの認証要求の結果を MailStore Server に返すには、MailStore Server が認証応答を期待するエンドポイント、いわゆるリダイレクト URI をMicrosoft Entra ID に伝える必要があります。

  • Web ブラウザーの Microsoft Entra ID ポータルで、左側のナビゲーション メニューの[管理]セクションで[認証]を選択します。
  • 認証ページのプラットフォーム構成セクションで、プラットフォームの追加ボタンをクリックします。
  • [プラットフォームの構成]メニュー ページの[Web アプリケーション]セクションで[Web]を選択します。
  • 暗黙的な許可セクションでID トークンオプションを有効にします。
  • リダイレクトURIフィールドに、(括弧なしの)形式でURIを入力します。

https://<fqdn>[:<port>]/oidc/signin

例: https://mailstore.example.com:8462/oidc/signin

Redirect URI

https://[ホスト名+ドメイン名][:ポート番号]/oidc/signin

[ホスト名+ドメイン名]と、[:ポート番号]の箇所は括弧は入れず、実際の情報へ置き換えて下さい。

https:// https:// プロトコルを指定することが義務付けられています。ユーザーログオン時に証明書の警告が出るのを防ぐため、クライアントマシンのウェブブラウザはMailStore Serverが使用する証明書を信頼しなければなりません。

ホスト名+ドメイン名  MailStoreサーバの完全修飾ドメイン名(FQDN)を指定します。例:mailstore.example.com。この名前は、ユーザーがMailStore Serverにログオンすることができるすべてのクライアントで解決可能でなければなりません。

ポート番号  MailStoreウェブアクセスのTCPポート(デフォルトは8462)。この値は、MailStoreサーバーサービス設定の[基本構成]→[ネットワーク設定]→[MailStore Web Access / Outlookアドイン(HTTPS)]の項で設定したポートと同じである必要があります。TCPポートは、HTTPSプロトコルのデフォルトポート(443)と異なる場合のみ指定する必要があります。

/oidc/signin  MailStore Server が Microsoft Entra ID の認証応答を期待するエンドポイント。このパスは、リダイレクト URI の末尾にここに記載されているとおりに正確に指定する必要があります。

  • ログアウト URLフィールドは空白のままにします。
  • トークンの選択: IDトークン(暗黙的およびハイブリッドフローに必要)を選択します。
  • 「構成」をクリックして、Microsoft Entra ID でのアプリ認証の構成を完了します。

MailStore Server でのリダイレクト URI の設定

MailStore Server が要求元のクライアントにリダイレクト URI を伝えるには、そこでも構成する必要があります。

  • MailStore Client のディレクトリ サービスページに切り替えます。
  • 認証セクションの対応するフィールドにリダイレクト URI を入力します。Web ブラウザーから Microsoft Entra ID で以前に構成した値をコピーするだけです。
Microsoft 365 同期 02.png

Microsoft Entra ID での API 権限の設定

  • Web ブラウザーで再度 Microsoft Entra ID に切り替えます。
  • 左側のナビゲーション メニューの[管理]セクションで[API 権限]を選択します。
  • [構成された権限]セクションで[権限の追加]ボタンをクリックします。
  • [API アクセス許可の要求]メニュー ページで、 [よく使用される Microsoft API]セクションでAPI [ Microsoft Graph]を選択します。
  • 「アプリケーションの権限」オプションを選択します。
  • [権限の選択]セクションで、ディレクトリ > Directory.Read.All権限を有効にします。
  • 「権限の追加」をクリックします。
  • アクセス許可が更新され、Microsoft Graphの下の API アクセス許可リストにDirectory.Read.Allアクセス許可が表示されます。
  • 「構成された権限」セクションの「権限の追加」ボタンをもう一度クリックします。
  • [API 権限のリクエスト]メニュー ページで、[組織が使用する API]を選択します。
  • Office 365 Exchange Onlineを検索し、対応するエントリをクリックします。
  • 「アプリケーションの権限」オプションを選択します。
  • [権限の選択]セクションでfull_access_as_app権限を有効にします。
  • 「権限の追加」をクリックします。
  • 権限が更新され、Exchangeの下の API 権限リストにfull_access_as_app権限が表示されます。
  • 次に、[構成されたアクセス許可]セクションで[<テナント名> に管理者の同意を与える]ボタンをクリックします。
  • 次の通知に「はい」をクリックして承認します。
  • 付与されたすべての権限のステータスが、<テナント名> に対して「付与済み」に更新されます。

Microsoft Entra ID 内での MailStore Server の Microsoft 365 への接続の構成が完了しました。Microsoft Entra ID テナントからサインアウトし、ブラウザー ウィンドウを閉じることができます。MailStore Client のディレクトリ サービスページに再度切り替えて、残りの構成手順をすべてそこで実行する必要があります。

ユーザーデータベースの同期

上記のように接続設定を構成した後、このセクションで Microsoft 365 同期のフィルター条件を指定できます。

  • ライセンスされた Microsoft Exchange Online ユーザーのみを同期します。
    同期では、Microsoft Exchange Online ライセンスが割り当てられている Microsoft 365 ユーザー アカウントのみが考慮されます。
  • 同期が有効になっているユーザーのみ
    Microsoft 365 へのログインがブロックされていない Microsoft 365 ユーザー アカウントのみが同期の対象となります。
  • これらのグループのみを同期する Microsoft
    365 セキュリティ グループのメンバーのみを MailStore Server ユーザーとして作成する場合は、1 つまたは複数の Microsoft 365 セキュリティ グループを選択します。これにより、特定のユーザーを MailStore Server への同期から除外することができます。

オプション

  • MailStore Server でユーザーを自動的に削除する
    ここでは、Microsoft 365 テナントで削除されたユーザーを、同期によって MailStore Server ユーザー データベースからも削除するかどうかを選択できます。構成された設定の範囲外になったユーザーも削除されます。認証方法がディレクトリ サービス
    に設定されている MailStore Server ユーザーのみが削除されます。このようなユーザーのアーカイブ フォルダーにアーカイブされた電子メールがすでに含まれている場合は、MailStore Server でユーザー エントリのみが削除され、そのアーカイブ フォルダーは削除されません。

デフォルト権限の割り当て

デフォルトでは、Microsoft 365 から MailStore Server に同期されたユーザーには、MailStore Server にログオンする権限と、自分のユーザー アーカイブへの読み取りアクセス権が与えられます。
同期前にこれらのデフォルトの権限を構成して、たとえば、すべての新規ユーザーに電子メールのアーカイブ権限を割り当てることができます。これを行うには、[既定の権限…]をクリックします。ユーザー権限とその効果の管理に関する詳細は、「ユーザー、フォルダー、および設定」
の章に記載されており、既存の権限の編集に関する詳細も記載されています。

ディレクトリサービス同期の実行

[テスト設定]をクリックすると、MailStore Server ユーザー データベースに実際にコミットされる変更なしで、同期構成と Microsoft 365 テナントによって返される結果を確認できます。

最後に同期を実行するには、「今すぐ同期」をクリックします。MailStore Server ユーザー データベースにコミットされた変更とともに結果が表示されます。

Office365 同期 02.png

最初にリストからユーザーを選択し、左下のボタンをクリックすると、そのユーザーの認証をテストできます。そのユーザーのパスワードの入力を求められます。[OK] をクリックすると、認証が成功したかどうかを示すメッセージが表示されます。

資格情報の更新

Microsoft Entra ID にログインするために MailStore によって生成された証明書の有効期間は 825 日間です。その後もユーザーの同期とアーカイブが機能するには、有効期限が切れる前に証明書を更新する必要があります。

MailStore Server は、資格情報の有効期限が切れる 28 日前に、 MailStore Client のダッシュボードとステータス レポートに通知を表示します。また、 GetCredentials API コマンドを使用して有効期限を取得することもできます。

資格情報を更新するには、次の手順に従います。

MailStore Serverの資格情報の更新

  • MailStore Server 管理者として MailStore Client にログオンします。
  • [管理ツール] > [ユーザーとアーカイブ] > [ディレクトリ サービス]をクリックします。
  • [統合] セクションで、ディレクトリ サービスの種類が[Microsoft 365 (モダン認証)]に設定されていることを確認します。
  • [接続]セクションで、 [資格情報] ドロップダウン リストの横にあるボタン (…) をクリックします。
  • 表示される資格情報マネージャーで、現在使用されている資格情報オブジェクトをクリックし、[編集] をクリックします。
  • [認証]セクションで、 [証明書]テキスト ボックスの横にあるドロップダウン ボタンをクリックし、[証明書の作成…] を選択します。
  • プロセスを確認します。
  • 認証セクションで、証明書テキスト ボックスの横にあるドロップダウン ボタンをクリックし、証明書のダウンロードを選択します。証明書をハード ドライブに保存します。
  • [OK]をクリックして変更を確認します。
  • [適用]をクリックして資格情報マネージャーを終了します。
  • 新しく作成された資格情報は、対応するドロップダウン リストでデフォルトで選択されます。

Microsoft Entra ID の資格情報の更新

  • Microsoft 365 テナントのグローバル管理者としてMicrosoft Entra ID ポータルにサインインします。
  • ナビゲーション メニュー (☰) で、Microsoft Entra IDオプションを選択します。
  • 次のページで、左側のナビゲーション メニューの[管理]セクションで[アプリの登録]を選択します。
  • MailStore で現在使用されているアプリケーションを選択します。
  • 左側のナビゲーション メニューの[管理]セクションで[証明書とシークレット]を選択します。
  • 証明書セクションで証明書のアップロードをクリックします。以前に保存した証明書ファイルを選択し、追加をクリックして Microsoft Entra ID にアップロードします。
  • アップロードが成功した場合、証明書の拇印と開始日および有効期限が証明書リストに表示されます。拇印と有効期限を MailStore Credential Manager にリストされているものと比較して、正しい証明書がアップロードされたかどうかを確認できます。
  • 以前使用した証明書はリストから削除できます。

ディレクトリサービスとの同期の実行

 [設定のテスト]をクリックすると、実際の同期を行う前に、[今すぐ同期する]を実行した際どのように同期が行われるかを確認する事ができます。同期を開始するには、「今すぐ同期する」をクリックして下さい。

Office365 sync 02.png

結果として、MailStore Serverユーザーデータベースの変更箇所が表示されます。

ユーザー認証のテストを、ユーザーを一覧から選択し、左下のボタンをクリックすると行う事ができます。ユーザーのパスワードを聞かれ、入力後にOKを押すと、認証が成功したかどうかを示すメッセージが表示されます。