専用の Exchange ハイブリッド アプリを展開する

概要

空き時間情報、メール ヒント、フォトなどの Exchange ハイブリッド機能では、Exchange ServerとExchange Online間の安全な通信のために、Entra ID の専用アプリケーションが必要です。 この記事では、専用の Exchange ハイブリッド アプリケーションを作成、構成、管理する方法について説明します。

背景: この変更が行われた理由

以前Exchange Server、セキュリティで保護された通信にExchange Onlineを持つ共有サービス プリンシパルを使用し、ハイブリッド構成ウィザード (HCW) は、このプロセスを有効にするために、現在の認証証明書を共有サービス プリンシパルにアップロードしました。 Exchange Onlineでの Exchange Web サービスの廃止と、ファースト パーティのアプリとサービスからの EWS 依存関係の削除により、Exchange Serverでは、共有サービス プリンシパルではなくハイブリッド シナリオのEntra ID で専用アプリケーションが使用されるようになりました。

この専用アプリケーションは、ハイブリッド通信のためにExchange Serverによってのみ使用され、共有サービス プリンシパルに依存しません。 既定では、EWS API のアクセス許可を使用して構成されます。 2026 年 5 月の修正プログラム更新プログラム以降、Graph APIアクセス許可は、ほとんどのハイブリッド シナリオで EWS API のアクセス許可の代わりに構成することもできます。 詳細については、「Graph APIアクセス許可を構成する」を参照してください。

この変更とその影響の詳細については、ハイブリッド展開のセキュリティの変更に関するExchange Serverブログ記事を参照してください。

既に専用の Exchange ハイブリッド アプリを構成しているか、以前にハイブリッド構成を使用していた場合は、 サービス プリンシパル Clean-Up モード でスクリプトを実行して、ファースト パーティのサービス プリンシパルの keyCredentials にアップロードされ、クリーンアップされていない証明書を削除することを強くお勧めします。

開始する前に

専用の Exchange ハイブリッド アプリケーションを構成する前に、まずハイブリッド構成ウィザードを使用して クラシック フル ハイブリッドまたは モダン フル ハイブリッドを設定する必要があります。

サポートされているExchange Serverバージョン

次のExchange Serverビルドでは、専用の Exchange ハイブリッド アプリケーションがサポートされています。

必要なアクセス許可

次の表は、各タスクに必要なアクセス許可をまとめたものです。

Entra ID ロールの詳細については、Microsoft Entra組み込みロールのドキュメントを参照してください。 Exchange Serverロールについては、Organization Management のドキュメントを参照してください。

メールボックスロールがインストールされているサーバーと 、この機能をサポート するビルドでスクリプトを実行して、認証サーバーを構成し、 設定のオーバーライドを作成します。

ネットワーク接続の要件

このスクリプトでは、Microsoft Graph APIを使用して、Entra ID でアプリケーションを作成および管理します。 スクリプトを実行しているシステムでは、Graph APIおよびEntra ID エンドポイントへの送信接続が必要です。

• オールインワン構成モードでは、スクリプトを実行する Exchange サーバーには、この送信接続が必要です。
• 分割実行構成モードでは、Entra ID でアプリケーションを作成または管理するために使用されるシステムには、この送信接続が必要です (このシステムは Exchange サーバーである必要はありません)。

Globalなど、テナントが存在する場所と一致するエンドポイントを選択します。 詳細については、National Microsoft Entra ID エンドポイントと National Microsoft Graph Endpoints のドキュメントを参照してください。

Graph エンドポイントと Entra ID エンドポイントへの接続を確認するには、Test-NetConnection コマンドレットを使用します。 次の使用例は、 Global エンドポイントを使用して接続を検証します。

Test-NetConnection -ComputerName login.microsoftonline.com -Port 443
Test-NetConnection -ComputerName graph.microsoft.com -Port 443

Graph API ベースのハイブリッド フローを使用する場合は、Exchange サーバーが Graph API エンドポイントへの送信接続を持っていることを確認します。

専用の Exchange ハイブリッド アプリケーションを構成する

Microsoft は、専用の Exchange ハイブリッド アプリケーションを構成するための ConfigureExchangeHybridApplication.ps1 スクリプトを提供します。 スクリプトとそのパラメーターの詳細なドキュメントは、 ConfigureExchangeHybridApplication.ps1 スクリプトドキュメントで入手できます。

環境に一致する構成パスを選択します。

オンプレミスのorganizationに複数のテナント (1:N) とのハイブリッド関係がある場合は、そのテナントのアカウントを使用してテナントごとに 1 回スクリプトを実行します。 Graph API ベースのワークフローに切り替える場合は、設定のオーバーライドを使用してGraph APIベースのワークフローを有効にする前に、各テナントで専用の Exchange ハイブリッド アプリケーションを準備します。 各テナントでGraph APIのアクセス許可が付与され、同意される前にワークフローを有効にすると、適切に構成されたGraph APIアクセス許可なしで、ハイブリッド機能がテナントの動作を停止します。

organizationのサイズによっては、専用の Exchange ハイブリッド アプリケーション構成が責任あるExchange Server プロセスによって認識されるまでに最大 60 分かかる場合があります。 この間、空き時間情報、メール ヒント、写真などの機能が一時的に使用できない場合があります。

ハイブリッド構成ウィザード (HCW) の最新バージョンでは、EWS API のアクセス許可を持つ専用の Exchange ハイブリッド アプリケーションの構成もサポートされています。 ただし、HCW は機能を自動的に有効にしません。 HCW を使用した場合は、「 HCW を使用した後に機能を有効にする 」の手順に従ってアクティブ化します。 また、HCW は、以前にファースト パーティ サービス プリンシパルのkeyCredentialsにアップロードされた証明書を自動的にクリーンしません。 このクリーンを実行し、CVE-2025-53786 を軽減するには、サービス プリンシパル Clean-Up モードでスクリプトを実行します。

オールインワン構成モード

ほとんどのお客様にとって、この機能を構成するには、オールインワン構成モードを使用することをお勧めします。 「 ネットワーク接続の要件 」セクションの説明に従って、送信接続を使用してメールボックス サーバーでスクリプトを実行します。 サーバーは、この機能をサポートするExchange Server ビルドを実行する必要があります。

次のコマンドを実行します。

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

既定では、スクリプトは Microsoft 365 Worldwide クラウドに対して実行されます。 Microsoft 365 テナントが別のクラウドにある場合は、 AzureEnvironment パラメーターを使用します。 次の例では、アプリケーションが Microsoft 365 operated by 21Vianet クラウドに作成されます。

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -AzureEnvironment "ChinaCloud"

スクリプトは、Entra ID でアプリケーションを作成し、認証サーバーを構成し、オーバーライドの設定を使用して機能を有効にする、すべての必要な手順を実行します。 実行中に、スクリプトは EWS API のアクセス許可に加えてGraph APIアクセス許可を構成するかどうかを確認します。 Graph APIアクセス許可を構成する場合、スクリプトでは、追加の確認後に設定のオーバーライドを使用して、Graph API ベースのハイブリッド フローも有効になります。

EWS API アクセス許可なしで専用の Exchange ハイブリッド アプリケーションを作成する場合は、 UseGraphApiOnly パラメーターを使用します。

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication -UseGraphApiOnly

分割実行構成モード

このモードは、メールボックス サーバーが Microsoft Graph または Entra ID への送信接続を持っていない場合、またはExchange Server管理者がEntra ID でアプリケーションを作成および構成するための十分なアクセス許可を持っていない場合に使用します。

Exchange Server以外の手順のいずれかを実行する場合は、コンピューターが Exchange organizationが存在する同じフォレストに参加していることを確認します。

手順 1: 認証証明書をエクスポートする

公開キーを使用して認証証明書 (および使用可能な場合は次の認証証明書) をエクスポートします。 証明書の秘密キーをエクスポートしないでください。 管理者特権の Exchange 管理シェル (EMS) から次のスクリプトを実行します。

この例では、証明書が C:\AuthCertExportにエクスポートされます。 別の場所にエクスポートするには、 $exportFilePath 変数を変更します。

# Change the path if you want to export the certificates to a different location
$exportFilePath = "C:\AuthCertExport"

$authConfig = Get-AuthConfig

New-Item -Type Directory -Path C:\AuthCertExport -Force | Out-Null

if (-not([System.String]::IsNullOrEmpty($authConfig.CurrentCertificateThumbprint))) {
    $thumbprint = $authConfig.CurrentCertificateThumbprint
    Write-Host "[+] Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

if (-not([System.String]::IsNullOrEmpty($authConfig.NextCertificateThumbprint))) {
    $thumbprint = $authConfig.NextCertificateThumbprint
    Write-Host "[+] Next Auth Certificate thumbprint: $thumbprint"

    try {
        $currentAuthCertificate = Get-ChildItem -Path Cert:\LocalMachine\My\$thumbprint
        Export-Certificate -Cert $currentAuthCertificate -FilePath "$exportFilePath\$thumbprint.cer" -Type CERT | Out-Null
        Write-Host "[+] Certificate was successfully exported to: $exportFilePath"
    } catch {
        Write-Host "[+] We hit the following exception: $_" -ForegroundColor Red
    }
}

手順 2: Entra ID でアプリケーションを作成する

「 ネットワーク接続要件 」セクションの説明に従って、エクスポートした証明書を送信接続を持つマシンにコピーします。 そのコンピューターでスクリプトを実行して、Entra ID でアプリケーションを作成します。 スクリプトには、新しく作成されたアプリケーションの Tenant ID と appId が表示されます。 後の手順で必要になるため、両方の値に注意してください。

.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"

Graph APIアクセス許可のみを使用してアプリケーションを構成するには、UseGraphApiOnly パラメーターを使用します。

.\ConfigureExchangeHybridApplication.ps1 -CreateApplication -UseGraphApiOnly -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\CurrentAuthCertificate.cer"

手順 1 で複数の認証証明書がエクスポートされた場合は、スクリプトをもう一度実行して追加の証明書をアップロードします。 2 回目の実行では、 CreateApplication ステップは必要ありません。

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewNextAuthCertificate.cer"

手順 3: Exchange Serverを構成する

メールボックス サーバーでこの手順を実行します。 スクリプトは認証サーバーを構成し、Exchange ServerとExchange Onlineの間の既存のorganization関係を更新し、専用の Exchange ハイブリッド アプリケーション機能を有効にします。 テナントの ID、新しく作成されたアプリケーションのappIdを Entra ID に指定し、リモート ルーティング ドメインを指定します。

.\ConfigureExchangeHybridApplication.ps1 -ConfigureAuthServer -ConfigureTargetSharingEpr -EnableExchangeHybridApplicationOverride -CustomAppId "<appId>" -TenantId "<tenantId>" -RemoteRoutingDomain "<organization>.mail.onmicrosoft.com"

HCW を使用した後に機能を有効にする

ハイブリッド構成ウィザード (HCW) を使用して専用の Exchange ハイブリッド アプリケーションを構成した場合は、New-SettingOverride コマンドレットを実行して、オンプレミスのExchange Server organizationの機能を有効にする必要があります。 管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行します。

New-SettingOverride -Name "EnableExchangeHybrid3PAppFeature" -Component "Global" -Section "ExchangeOnpremAsThirdPartyAppId" -Parameters @("Enabled=true") -Reason "Enable dedicated Exchange hybrid app feature"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Graph APIアクセス許可を構成する

2026 年 5 月の修正プログラム更新プログラム以降、Exchange ServerはほとんどのシナリオでGraph APIベースのハイブリッド フローをサポートしています。 Microsoft では、新しく作成されたアプリケーションと既存のアプリケーションに対するGraph APIアクセス許可を構成し、設定のオーバーライドを使用してGraph API ベースのハイブリッド フローを有効にするために、ConfigureExchangeHybridApplication.ps1 スクリプトを更新しました。

Microsoft では、クラウド間のGraph API ベースのハイブリッド フローのサポートを段階的に展開しています。 次の表に、現在の可用性を示します。 この記事は、サポートが追加のクラウドに拡張されると更新されます。

サポートされるシナリオ

次の表は、各 API でサポートされるハイブリッド機能を示しています。

Microsoft では、追加のシナリオに対するGraph APIサポートの拡大に積極的に取り組んでいます。 このドキュメントは、新しいシナリオがサポートされるにつれて更新されます。 Exchange Serverは、Graph API ベースのハイブリッド フローが有効になっている場合でも、Graph APIでまだサポートされていないシナリオでは EWS を引き続き使用します。

Graph API ベースのハイブリッド フローを有効にする

オールインワン構成モードでは、スクリプトによってGraph APIアクセス許可の構成が求められます。 アプリケーションを既に構成していて、後でアクセス許可Graph API追加する場合は、スクリプトを再実行します。

.\ConfigureExchangeHybridApplication.ps1 -FullyConfigureExchangeHybridApplication

分割実行モードの場合は、「分割実行構成モード」の説明に従って UseGraphApiOnly パラメーターを使用します。

EWS API のアクセス許可を削除する

EWS API を必要とする機能を使用せず、Graph APIアクセス許可のみを使用する場合は、スクリプトを実行して、 EWS API アクセス許可を削除します。

.\ConfigureExchangeHybridApplication.ps1 -RemoveApiPermissions "EWS"

このコマンドは、Exchange 以外のサーバーで実行できます。

構成を確認する

Exchange ServerとExchange Onlineの間で OAuth 認証が正しく機能することを確認するには、オンプレミス Exchange Serverの Exchange 管理シェル の Test-OAuthConnectivity コマンドレットを使用します。

ResultTypeがSuccessされ、[Detail] セクションに専用 Exchange ハイブリッド アプリケーションのappIdが含まれている場合、OAuth トークンExchange Server正常に取得されました。 OAuth 要求は、Exchange 管理シェル (EMS) セッションが実行されているサーバーによって開始されます。 -Mailbox パラメーターを使用して指定されたメールボックスが、専用の Exchange ハイブリッド アプリをサポートしていない別のサーバーに存在するが、EMS ホスト サーバーが存在する場合、ResultTypeは引き続きSuccessを表示します。 この動作は仕様です。

次のコマンドを実行します (メール アドレスを環境内のオンプレミスメールボックスに置き換えます)。

$OnPremisesMailbox = "userMailboxOnprem@contoso.com"

$result = Test-OAuthConnectivity -Service EWS -TargetUri https://outlook.office365.com -Mailbox $OnPremisesMailbox
Write-Host $result.ResultType
if (($result.Detail.FullId) -match 'L:(?<guid>[0-9a-fA-F-]{36})-AS:') {
    $appid = $matches['guid']
    Write-Output "Extracted appId: $appid"
} else {
    Write-Output "appId not found"
}

アプリケーションを管理する

このセクションでは、初期構成後の専用 Exchange ハイブリッド アプリケーションの一般的な管理タスクについて説明します。

認証証明書を更新する

認証証明書の有効期限が切れるか、または置き換えられた場合は、次の手順を使用します。 これらの手順は、初期構成時には必要ありません。 認証証明書の管理の詳細については、OAuth 証明書のExchange Serverの管理に関するドキュメントを参照してください。

「 ネットワーク接続要件 」セクションの説明に従って、メールボックス サーバーに送信接続がある場合は、次を実行します。

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate

メールボックス サーバーに送信接続がない場合は、「手順 1: 認証証明書をエクスポートする」の手順に従って、新しい 認証証明書をエクスポートします。 送信接続を使用して証明書をマシンにコピーし、次を実行します。

.\ConfigureExchangeHybridApplication.ps1 -UpdateCertificate -CertificateMethod "File" -CertificateInformation "C:\Certificates\NewAuthCertificate.cer"

共有サービス プリンシパルをクリーンアップする

専用の Exchange ハイブリッド アプリケーション機能を有効にし、すべての Exchange サーバーがこの機能をサポートする Exchange ビルドを実行した後、以前にファースト パーティのサービス プリンシパルにアップロードされた証明書をクリーンします。 以前の Exchange ハイブリッド設計の一環として、HCW はファースト パーティのサービス プリンシパルに認証証明書をアップロードしました。 この方法は推奨されなくなり、実行しないでください。 認証証明書は、専用の Exchange ハイブリッド アプリケーションにのみアップロードする必要があります。

このセクションのコマンドは、送信インターネット接続を持つ任意のコンピューターで実行できます。 [サポートされているExchange Serverバージョン] セクションに記載されているビルドより古いビルドを実行している Exchange サーバーでは、共有サービス プリンシパルに証明書が存在するかどうかに関係なく、リッチ共存ハイブリッド機能を使用できません。これは、共有サービス プリンシパルを介した EWS アクセスが 2025 年 10 月 31 日以降完全にブロックされているためです。 これらのサーバーをサポートされているビルドに更新し、ハイブリッド機能を復元するように専用の Exchange ハイブリッド アプリケーションを構成します。

ファースト パーティのサービス プリンシパルのすべての keyCredentials を消去するには、次を実行します。

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials

keyCredentialsから特定の証明書と期限切れの証明書をすべて消去するには、削除する証明書の拇印を指定します。

.\ConfigureExchangeHybridApplication.ps1 -ResetFirstPartyServicePrincipalKeyCredentials -CertificateInformation "1234567890ABCDEF1234567890ABCDEF12345678"

API のアクセス許可を削除する

Entra ID で専用の Exchange ハイブリッド アプリケーションから特定の API アクセス許可を削除するには、RemoveApiPermissions パラメーターを使用します。 このコマンドは、Exchange 以外のサーバーで実行できます。 RemoveApiPermissions パラメーターでサポートされている値は、EWSとGraphです。 EWS値はfull_access_as_appアクセス許可を削除し、Graph値はGraph APIのアクセス許可を削除します。

EWS API アクセス許可を削除するには、次を実行します。

.\ConfigureExchangeHybridApplication.ps1 -RemoveApiPermissions "EWS"

アプリケーションを削除する

必要に応じて、次のコマンドを使用して、Entra ID で作成されたアプリケーションを削除します。 このコマンドは、Exchange 以外のサーバーで実行できます。 このコマンドは、変更をロールバックする場合、または新しいアプリケーションの作成のトラブルシューティングを行う場合にのみ使用します。 スクリプトを使用してアプリケーションを削除しても、環境内の Exchange ハイブリッド アプリケーション構成は元に戻りません。 完全に元に戻すには、「 専用の Exchange ハイブリッド アプリケーション構成をロールバックする」の手順に従います。

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

アプリケーションの監視とセキュリティ保護

Entra ID でアプリケーションの使用状況を監査する

専用の Exchange ハイブリッド アプリケーションを構成し、機能を有効にした後、Entra ID Sign-in logsを使用してその使用状況を監査します。

1. Entra ID ポータルに移動し、資格情報でサインインします。
2. Microsoft Entra IDを選択または検索します。
3. ナビゲーション ウィンドウで、[ 監視 ] に移動し、[ サインイン ログ] を選択します。
4. [ サービス プリンシパル のサインイン ] を選択して、詳細なログを表示します。

次の図は、サインイン要求が成功したことを示しています。

エントリを選択すると、[アクティビティの 詳細: サインイン] ポップアップが開き、サインイン アクティビティの詳細が表示されます。

条件付きアクセスを使用してアクセスを制限する

組織によっては、専用の Exchange ハイブリッド アプリケーション サービス プリンシパルへのアクセスを、Exchange Serverによって使用されるパブリック IP 範囲のサブセットに制限したい場合があります。 これを実現 するには、ワークロード ID に条件付きアクセス を使用します。 この機能により、条件付きアクセス ポリシーのサポートが、organizationが所有するサービス プリンシパルに拡張されます。 サービス プリンシパルをスコープとする条件付きアクセス ポリシーを作成または変更するには、ワークロード ID Premium ライセンスが必要です。 詳細については、「Microsoft Entra ワークロード ID 」を参照してください。

専用の Exchange ハイブリッド アプリケーション構成をロールバックする

次の手順では、 ConfigureExchangeHybridApplication.ps1 スクリプトによって適用された構成を元に戻します。

手順 1: ファースト パーティのサービス プリンシパルを再構成する

HCW を実行し 、Oauth、Intra Organization Connector、Organization Relationship オプションを選択して、ファースト パーティのサービス プリンシパルを再構成します。

手順 2: 設定のオーバーライドを削除する

専用の Exchange ハイブリッド アプリケーション機能を有効にする設定のオーバーライドを削除します。 管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行します。

Get-SettingOverride | Where-Object {$_.ComponentName -eq "Global" -and $_.SectionName -eq "ExchangeOnpremAsThirdPartyAppId"} | Remove-SettingOverride
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

手順 3: 認証サーバーの構成を元に戻す

管理者特権の Exchange 管理シェル (EMS) から次のコマンドを実行して、認証サーバーの変更を元に戻します。

# Replace this id with the id of your tenant
$tenantId = "123e4567-e89b-12d3-a456-426614174000"

(Get-AuthServer | Where-Object {$_.Name -like "*evoSTS*" -and $_.Realm -eq $tenantId}) | Set-AuthServer -ApplicationIdentifier $null -DomainName $null

手順 4: Entra ID でアプリケーションを削除する

スクリプトを使用して、Entra ID で作成されたアプリケーションを削除します。

.\ConfigureExchangeHybridApplication.ps1 -DeleteApplication

次の手順

専用の Exchange ハイブリッド アプリケーションを構成したら、次の点を考慮してください。

• 証明書の期限切れまたはローテーション時に中断されないハイブリッド機能を確保するために、Exchange Server OAuth 証明書を維持します。
• ハイブリッド機能を EWS からGraph APIに切り替えるGraph APIアクセス許可を構成します。
• サインイン アクティビティを監査し、条件付きアクセス ポリシーを使用してアクセスを制限することで、アプリケーションを監視してセキュリティで保護します。
• 共有サービス プリンシパルをクリーンアップ してレガシ証明書を削除し、ハイブリッド構成を強化します。

リファレンス: スクリプト操作

ConfigureExchangeHybridApplication.ps1 スクリプトは、選択したオプションに基づいてさまざまな操作を実行します。 次のセクションでは、各モードのスクリプトによって実行される特定の操作の詳細なリファレンスを示します。

CreateApplication

• Entra ID に名前ExchangeServerApp-{Guid of the organization}を持つ新しいアプリケーションを作成する
• スクリプトの実行に使用されたユーザーを、Entra ID でアプリケーションの所有者として割り当てる
• EWS API のアクセス許可を割り当てる (EWS ベースのハイブリッド フローで使用)
• (省略可能)MailboxSettings.Read、MailTips.ReadBasic.All、Calendars.Read、ProfilePhoto.Read.All Graph APIアクセス許可を割り当てる (Graph API ベースのハイブリッド フローで使用)
• テナント全体の管理者の同意を付与する
  • この変更は、スクリプトの実行時に確認する必要があります
  • テナント全体の管理者の同意が付与されていない場合、スクリプトは設定オーバーライドを使用して機能を有効にしません

UpdateCertificate

• 現在の認証証明書を Entra ID でアプリケーションにアップロードする
• 新しい次の認証証明書 (存在する場合) を Entra ID でアプリケーションにアップロードする
• 有効期限が切れたアプリケーションから証明書を削除する

ConfigureAuthServer

• EvoSTS または EvoSTS - {Guid} 認証サーバー オブジェクトを更新する
  • Entra ID でアプリケーションのappIdにApplicationIdentifierを設定します
  • アプリケーションが作成されるクラウドに対応するGraph API エンドポイントにGraphBaseUrlを設定します (たとえば、クラウドのhttps://graph.microsoft.comGlobal)
  • DomainName プロパティに SMTP リモート ルーティング ドメインを追加する

ConfigureTargetSharingEpr

• Exchange ServerとExchange Onlineの間で構成されている有効なOrganizationRelationshipを特定する
• 自動検出を使用して Exchange Web サービス (EWS) エンドポイントに対してクエリを実行する
• TargetSharingEprを、自動検出によって返される EWS エンドポイントに設定します

EnableExchangeHybridApplicationOverride

• スクリプトが オールインワン構成モードで実行される場合:
  • Entra ID 内のアプリケーションに適切な API アクセス許可とテナント全体の管理者の同意が付与されていることを検証します
• 次のパラメーターと値を使用して、オンプレミスで機能を有効にする新しい設定オーバーライドを作成します。
  • 名前: EnableExchangeHybrid3PAppFeature
  • コンポーネント： Global
  • セクション： ExchangeOnpremAsThirdPartyAppId
  • パラメーター： Enabled=true
  • 理由： "Created by {Name of the Script} on {timestamp}"
• (省略可能)新しい設定オーバーライドを作成して、次のパラメーターと値を使用してハイブリッド機能にGraph APIを使用できるようにします。
  • 名前: EnableRouteThroughMSGraphFeature
  • コンポーネント： SettingOverride
  • セクション： RouteThroughMSGraph
  • パラメーター： Enabled=true
  • 理由： "Created by {Name of the Script} on {timestamp}"

DeleteApplication

• Entra ID で専用 Exchange アプリケーションを削除する

ResetFirstPartyServicePrincipalKeyCredentials

• 既存のすべての keyCredentials を Office 365 Exchange Online ファースト パーティ アプリケーション サービス プリンシパルから削除する
• CertificateInformation パラメーターを使用して拇印が指定された場合は、拇印と一致する証明書と既に期限切れになっているすべての証明書のみを消去します

RemoveApiPermissionsFromAzureApplication

• RemoveApiPermissions パラメーターを使用して、指定されたアクセス許可の一覧に基づいて、Entra ID でアプリケーションから特定の API アクセス許可を削除する

よく寄せられる質問