Office 365を使用したECE OAUTH2認証のトラブルシューティング
内容
概要
このドキュメントでは、Microsoft Office 365(O365)電子メールとのエンタープライズチャットおよび電子メール(ECE)の統合をトラブルシューティングする手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- エンタープライズチャットおよび電子メール(ECE)12.6
- Microsoft Office 365 (O365)
- Microsoft Azure Active Directory (Azure AD)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- ECE 12.6(1)
- Azure AD
- O365
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
バックグラウンド
Microsoftは、O365メールアカウントでの基本認証を正式に廃止しました。これは2019年に発表され、その後COVID-19のために2022年10月まで延期されました。2022年10月以降も、Microsoftは基本認証を最後にもう一度有効にすることを許可しています。この最後の例外は2022年12月31日に終了しました。この日付以降、Microsoftは基本認証をすべてのお客様に対して有効にしません。
このチェックリストの項目は、TACがお客様と協力してこの機能を設定したサービスリクエストに基づいています。O365とAzure ADのライセンスの取得方法により、TACではラボでこれらの項目を再作成またはチェックすることはできません。これらのサポートが必要な場合は、Microsoftサポートまたは社内のITサポートチームにお問い合わせください。
項目の確認
最小バージョン
O365によるECEのOAuthサポートは、Cisco Bug ID CSCvr86493への対応としてECEのエンジニアリングスペシャル(ES)に導入されました 
を参照。ECEに正しいESがインストールされており、正しいドキュメントが使用されていることを確認する必要があります。
ベストプラクティスは、ご使用のバージョンで利用可能な最新のESをインストールすることです。
システム設定
Web URLを正しく設定する必要があります。特定の設定は、ECEのバージョンに基づいて変更されます。これは、エージェントおよび管理者がECEへのログインに使用するURLと一致するように、https://ece.example.comの形式で設定する必要があります。
各バージョンの設定名:
11.5 ~ 12.5:パーティションレベル設定、「WebサーバURLまたはロードバランサURL」
12.6 + :「パーティション」>「アプリケーション」>「一般設定」>「アプリケーションの外部URL」
この設定は、シングルサインオン(SSO)およびチャットエントリポイントのデフォルトHTMLにも使用されます。O365用OAuthのリリース前のバージョンでは、エージェントSSOを使用しない限り、この設定は必須ではありませんでした。OAuthを使用するすべての導入では、これを設定する必要があります。また、これは管理コンソールへのログインに使用されるFQDNと一致する必要があります。
Azure ADアプリケーション
Azure ADアプリケーションを構成する際は、ドキュメントに正確に従ってください。
具体的な注意事項:
- リダイレクトURL - FQDNは、ECEのアプリケーション設定の外部URLと一致し、管理コンソールにアクセスするときに使用する必要があります。
- アクセストークン – 更新トークンは60分間続く必要があります。
トークン生成
トークン生成プロセスは、設定プロセスの最も重要な手順の1つです。トークンを発行する前に、ブラウザが認識モードまたはプライベートモードで開かれていることを確認することをお勧めします。これにより、ユーザにクレデンシャルの入力が求められます。トークンを作成したユーザがメールボックスを完全に制御できることを確認します。
これは、ほとんどのお客様がユーザー認証にAzure ADも使用しているためです。ユーザがブラウザを開くと、そのクレデンシャルがKerberosを介してlogin.microsoft.comサイトに渡されます。これにより、メールボックスにアクセスできるアカウントではなく、ワークステーションまたはサーバにログインしているユーザに対してトークンが発行されます。
メールボックスの設定
メールボックスで必要なプロトコルが有効になっていることを確認します。メールをディスパッチできるようにするには、少なくともSMTPを有効にする必要があります。また、設計に基づいてIMAPまたはPOP3を有効にする必要があります。
Exchangeライセンス
少なくとも1つのE3ライセンスがExchange Onlineのメールボックスに割り当てられていることを確認してください。
メールボックスの権限
ECEは、メールボックスへのアクセスに対して2種類のユーザアカウントをサポートしています。
1.メールボックスアカウント:この方法では、ECEチェックを行うメールボックスごとにアカウントとアクセストークンを作成する必要があります。たとえば、2つのメールボックス(sales@example.comとsupport@example.com)がある場合、部署に2つのメールアカウントを作成する必要があります。1つのアカウントに対して、トークンを作成し、ユーザ名とパスワードsales@example.comを使用してログインする必要があります。2つ目のアカウントトークンは、support@example.comというユーザ名とパスワードを使用して作成する必要があります。
2.共有アカウント – この方法では、複数のメールボックスにアクセスできる単一のメールアカウントを使用できます。salesメールボックスとsupportメールボックスを引き続き使用するには、ここでは1つのアカウントを作成しますが、メールボックスのフルコントロールが与えられているAzure ADアカウントのユーザー名とパスワードを持つトークンを作成します。
どちらのアクセス方法にも長所と短所がありますが、特定の環境に最適な方法を決定するのはユーザです。
ネットワーク接続
ECEでは、サービスサーバとすべてのアプリケーションサーバがO365ドメインおよびlogin.microsoft.comドメインにアクセスできる必要があります。最初のトークンの作成はアプリケーションサーバから行われ、後続のトークンの更新はすべてサービスサーバで行われます。サービスサーバには取得元とディスパッチャのプロセスが含まれているため、IMAP/POP3およびSMTPポートはこのサーバに対して開いている必要があります。また、アラーム通知が機能するには、アプリケーションサーバから電子メールを送信できる必要があります。O365統合をセットアップまたは使用する前に、『インストールガイド』で呼び出されているすべてのポートが開いていることを確認します。
URL
サービスサーバとアプリケーションサーバの両方が、少なくともこれらのURLにアクセスできる必要があります。
-*.office365.com
-login.microsoftonline.com
特定の実装に必要な追加のURLが存在する場合があります。
ポート
サービスサーバとアプリケーションサーバの両方が、少なくともこれらのポートにアクセスできる必要があります。
- TCP 443 - (HTTPS)アクセストークンおよびリフレッシュトークンの生成と更新に使用されます。
- TCP 587 - (SMTP over STARTTLS)ディスパッチャプロセスおよびアラーム通知プロセスで使用される
- TCP 993 - (IMAP over SSL/TLS)取得元プロセスで使用
- TCP 995 - (POP3 over SSL/TLS)取得元プロセスで使用
接続テスト
Microsoftは、接続テストに使用できるWebサイトを作成しました。これはシスコまたはeGainが提供するツールではなく、TACはその使用に関してサポートを提供できません。Application and Servicesサーバからこれを使用して、設定と接続をテストできます。ECEは発信用にSMTPのみをサポートし、着信用にIMAPまたはPOP3のいずれかをサポートします。MicrosoftのWebサイトからのPOP電子メールおよびIMAP電子メールテストとともに、送信SMTP電子メールテストを使用します。
https://testconnectivity.microsoft.com/tests/o365
ドキュメントのリンク
11.6(1)
- UCCE/PCCE:電子メールリソースの管理者ガイド
12.0(1)
12.5(1)
12.6(1)
- UCCE/PCCE:電子メールおよびルーティングリソースに関する管理者ガイド
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
13-Dec-2022 |
初版 |
フィードバック