Office 365でのECE OAUTH2認証のトラブルシューティング

ダウンロード オプション

  • PDF     (349.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (83.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (72.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 12 月 13 日
Document ID:218453

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、エンタープライズチャットと電子メール(ECE)のMicrosoft Office 365(O365)電子メールとの統合をトラブルシューティングする手順について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • エンタープライズチャットおよび電子メール(ECE)12.6
    • Microsoft Office 365 (O365)
    • Microsoft Azure Active Directory (Azure AD)

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

    • ECE 12.6(1)
    • Azure AD
    • O365

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景

    Microsoftは、O365メールアカウントでの基本認証を正式に廃止しました。これは2019年に発表され、その後COVID-19のために2022年10月まで延期されました。2022年10月以降も、Microsoftは基本認証を再び有効にすることを許可していました。この最後の例外は、2022年12月31日に終了しました。この日を過ぎると、Microsoftは基本認証をすべてのお客様に対して有効にしなくなります。 

    このチェックリストの項目は、TACがお客様と協力してこの機能を設定したサービスリクエストに基づいています。O365とAzure ADのライセンスの付与の方法により、TACではラボでこれらのアイテムを再作成または確認することはできません。これらのサポートが必要な場合は、Microsoftサポートまたは社内のITサポートチームにお問い合わせください。

    チェック項目

    最小バージョン

    O365を使用したECEのOAuthサポートは、Cisco Bug ID CSCvr86493への応答としてECEのエンジニアリングスペシャル(ES)に導入されました 。ECEに正しいESがインストールされており、正しいドキュメントが使用されていることを確認する必要があります。

    • ECE 11.6(1):ES12およびES12_ET1が必要
    • ECE 12.0(1):ES6が必要
    • ECE 12.5(1):ES3が必要
    • ECE 12.6(1):ES1が必要

    ベストプラクティスは、使用しているバージョンで利用可能な最新のESをインストールすることです。

    システム設定

    Web URLを正しく設定する必要があります。特定の設定は、ECEのバージョンに基づいて変更されます。これは、エージェントおよび管理者がECEへのログインに使用するURLと一致するように、https://ece.example.com形式で設定する必要があります。

    各バージョンでの名前の設定:

      11.5 ~ 12.5:パーティションレベル設定、「WebサーバURLまたはロードバランサURL」

      12.6 + : Partition > Apps > General Settings > “External URL of Application”

    この設定は、シングルサインオン(SSO)およびチャットエントリポイントのデフォルトHTMLにも使用されます。O365用OAuthのリリース前のバージョンでは、エージェントSSOを使用しない限り、この設定は必須ではありませんでした。OAuthを使用するすべての展開では、これを設定する必要があります。また、これは管理コンソールへのログインに使用するFQDNと一致している必要があります。 

    Azure ADアプリケーション

    Azure ADアプリケーションを構成する際は、ドキュメントに正確に従ってください。 

    具体的な注意事項:

    1. リダイレクトURL - FQDNは、ECEのアプリケーション設定の外部URLと一致し、管理コンソールにアクセスするときに使用する必要があります。
    2. アクセストークン:更新トークンは60分間保持する必要があります。 

    トークン生成

    トークン生成プロセスは、設定プロセスの最も重要な手順の1つです。ベストプラクティスは、トークンを発行する前に、ブラウザが認識モードまたはプライベートモードで開かれていることを確認することです。ユーザにクレデンシャルの入力を求めるプロンプトが表示されます。トークンを作成したユーザーがメールボックスを完全に制御できることを確認します。

    この理由は、ほとんどのお客様がユーザー認証にもAzure ADを使用しているためです。ユーザがブラウザを開くと、そのクレデンシャルがKerberosを介してlogin.microsoft.comサイトに渡されます。これにより、メールボックスにアクセスできるアカウントではなく、ワークステーションまたはサーバにログインしているユーザに対してトークンが発行されます。 

    メールボックスの設定

    メールボックスで必要なプロトコルが有効になっていることを確認します。メールをディスパッチするには、少なくともSMTPを有効にする必要があります。また、設計に基づいてIMAPまたはPOP3を有効にする必要もあります。

    Exchangeライセンス 

    Exchange Onlineのメールボックスに少なくとも1つのE3ライセンスが割り当てられていることを確認してください。 

    メールボックスの権限

    ECEでは、メールボックスへのアクセスに対して2種類のユーザアカウントをサポートしています。 

     1. メールボックスアカウント:この方法では、ECEチェックを行うメールボックスごとにアカウントとアクセストークンを作成する必要があります。たとえば、2つのメールボックス(sales@example.comsupport@example.com)がある場合、部署に2つのメールアカウントを作成する必要があります。1つのアカウントでは、トークンを作成し、sales@example.comユーザ名とパスワードを使用してログインする必要があります。2番目のアカウントトークンは、support@example.comというユーザ名とパスワードを使用して作成する必要があります。

     2. 共有アカウント:この方法では、複数のメールボックスにアクセスできる単一のメールアカウントを使用できます。セールスメールボックスとサポートメールボックスを引き続き使用するには、ここでは1つのアカウントを作成し、メールボックスのフルコントロールが付与されたAzure ADアカウントのユーザー名とパスワードを持つトークンを作成します。 

    どちらのアクセス方法にも長所と短所がありますが、特定の環境に最適な方法を決定するのはユーザです。 

    ネットワーク接続

    ECEでは、サービスサーバおよびすべてのアプリケーションサーバがO365ドメインとlogin.microsoft.comドメインにアクセスできる必要があります。最初のトークンの作成はアプリケーションサーバから行われ、それ以降のトークンの更新はすべてサービスサーバで行われます。サービスサーバには取得元とディスパッチャのプロセスが存在するため、IMAP/POP3およびSMTPポートがこのサーバに対して開いている必要があります。また、アプリケーションサーバは、アラーム通知が機能するように電子メールを送信できる必要があります。O365統合をセットアップまたは使用する前に、『インストールガイド』で呼び出されているすべてのポートが開いていることを確認します。

    URL

    サービスサーバとアプリケーションサーバの両方が、少なくともこれらのURLにアクセスできる必要があります。

     -*.office365.com

     -login.microsoftonline.com

    特定の実装に必要な追加のURLが存在する場合があります。 

    ポート

    サービスサーバとアプリケーションサーバの両方が、少なくともこれらのポートにアクセスできる必要があります。

     - TCP 443 - (HTTPS)アクセストークンの生成と更新に使用します

     - TCP 587 - (SMTP over STARTTLS)ディスパッチャプロセスおよびアラーム通知プロセスで使用される

     - TCP 993 - (IMAP over SSL/TLS)取得元プロセスで使用

     - TCP 995 - (POP3 over SSL/TLS)取得元プロセスで使用

    参考:POP、IMAP、SMTPの設定

    接続テスト

    Microsoftは、接続テストに使用できるWebサイトを作成しました。これはシスコまたはeGainが提供するツールではなく、TACは使用に関するサポートを提供できません。Application and Servicesサーバからこれを使用して、設定と接続をテストできます。ECEは、発信用にはSMTPのみをサポートし、着信用にはIMAPまたはPOP3のいずれかをサポートします。Microsoft WebサイトのPOP電子メールおよびIMAP電子メールのテストとともに、送信SMTP電子メールテストを使用します。

    https://testconnectivity.microsoft.com/tests/o365

    ドキュメントのリンク

    11.6(1)

    12.0(1)

    12.5(1)

    12.6(1)

    更新履歴

    改定 発行日 コメント
    1.0
    13-Dec-2022
    初版
    TAC Authored

    シスコ エンジニア提供

    • ロバート・W・ロジェ
      シスコTAC

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています