Skype for Business、Lync 2013、Exchange Onlineの AllowAdalForNonLyncIndependentOfLync 設定に関する情報

  • [アーティクル]
  • 適用対象:
    Skype for Business 2016, Skype for Business 2015, Exchange Online, Microsoft Lync 2013, Skype for Business Online

概要

この記事には、Skype for Business 2016、Skype for Business 2015、Lync 2013、Exchange Onlineの AllowAdalForNonLyncIndependentOfLync 設定に関する情報が含まれています。 この記事では、この設定を必要とするExchange OnlineとSkype for Businessの展開についても説明します。

詳細

この記事の情報は、IT および Microsoft 365 管理者が次のシナリオで役立ちます。

  • Skype for Business Server 2015 または Lync Server 2013 オンプレミスに所属する Lync 2013 ユーザーと Skype for Business ユーザーを設定します。
  • OAuth で先進認証と多要素認証 (MFA) を使用して、Microsoft 365 のExchange Onlineでメールボックスを設定します。

これらのシナリオでは、前の環境で使用できる機能は次のとおりです。

  • Skype for Business Desktop クライアントと Lync 2013 クライアントは、NTLM または Kerberos 認証プロトコル、ユーザー名とパスワード、または Windows 統合認証を使用して、Skype for Business Serverに接続します。
  • サインインした後、Skype for Businessまたは Lync 2013 は、Exchange Web Services (EWS) を使用してExchange Online内のユーザーのメールボックスに接続します。 EWS サービスは OAuth 設定 (承認 URI) をアドバタイズしますが、クライアントはこれを無視し、OrgID チャネルを使用して MFA 以外のサインインにフォールバックします。 これにより、サインイン プロトコルはユーザー名とパスワード、または Windows 統合認証に制限されます。

新しい AllowAdalForNonLyncIndependentOfLync 設定を使用すると、SKYPE FOR BUSINESSデスクトップまたは Lync 2013 クライアントは、IT 管理者がExchange Onlineに MFA を適用する必要がある状況でExchange Onlineで MFA のブロックを解除できます。 この新しい設定を適用するには、Windows レジストリでグループ ポリシーを使用するか、Skype for Business サーバーのインバンド エンドポイント ポリシー設定として使用します。

この設定をクライアント コンピューターに適用すると、環境の機能は次のようになります。

  • Skype for Business Desktop または Lync 2013 クライアントは、NTLM または Kerberos 認証プロトコルを使用してSkype for Business Serverに接続します。 具体的には、(以前と同様に) 接続を成功させるには、ユーザー名とパスワードまたは Windows 統合認証が必要です。
  • サインインした後、Skype for Businessまたは Lync 2013 は Exchange Web Services (EWS) に接続します。 EWS サービスが OAuth 設定 (承認 URI) をアドバタイズする場合、クライアントは MFA を使用します。 さらに、資格情報の更新が必要な場合は、[先進認証] ダイアログ ボックスでユーザーにメッセージが表示されます。

注:

この設定は、クラウドのみのトポロジでは必要ありません。また、先進認証が有効になっているハイブリッド環境に対して Exchange とSkype for Businessの両方が構成されている場合は必要ありません。 トポロジの詳細については、「モダン認証でサポートされているトポロジSkype for Business」を参照してください。

場合によっては (具体的には、先進認証でサポートされているトポロジSkype for Business説明されているように、Mixed 1、Mixed 3、Mixed 5 トポロジ)、Windows デスクトップ クライアントに対して AllowADALForNonLynIndependentOfLync レジストリ キーを正しく設定する必要があります。

重要

このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 変更する前に、問題の発生に備えて復元用にレジストリのバックアップを作成してください。

警告

レジストリ エディタや他の方法を使用してレジストリを変更する際、適切に変更しないと重大な問題を引き起こす可能性があります。 場合によっては、オペレーティング システムの再インストールが必要になります。 こうした問題の修復について、マイクロソフトはいかなる保証もいたしません。 レジストリの変更はユーザー自身の責任において行ってください。

AllowAdalForNonLyncIndependentOfLync 設定を適用するには、次のいずれかの方法を使用します。

方法 1: グループ ポリシーを使用する

注:

グループ ポリシーを使用してこの設定を有効にするオプションは、2015 年 7 月のパブリック更新プログラム (PU) を適用した後にのみ使用できます。

Skype for Businessまたは Lync 2013 クライアント 15.0* の場合 (2015 年 9 月の PU のみ利用可能):

HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync

Skype for Businessまたは Lync 2013 クライアント 16.0* の場合:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync

次に、 AllowAdalForNonLyncIndependentOfLync レジストリ キー設定を適用します。

"AllowAdalForNonLyncIndependentOfLync"=dword:00000001

方法 2: Lync サーバーのインバンド設定として

注:

このオプションは、9 月の PU でのみ使用できます。

Lync サーバーでインバンド設定を有効にするには、次のコマンドレットを実行します。

$a = New-CsClientPolicyEntry -name AllowAdalForNonLyncIndependentOfLync -value "True" 
Set-CsClientPolicy -Identity Global -PolicyEntry @{Add=$a}

重要

Windows ベースのデバイスで Office 2013 アプリケーションの先進認証を有効にするには、次の追加のレジストリ キーを設定する必要があります。

レジストリ キー
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL REG_DWORD 1
HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version REG_DWORD 1

EnableADAL 設定の詳細については、次の Microsoft Web サイトを参照してください。

Windows デバイスの Office 2013 の先進認証を有効にする

モダン認証フローのSkype for Business デスクトップ クライアント バージョン (7 月の更新) の詳細については、次のサポート技術情報の記事を参照してください。

2015 年 7 月 14 日3054946、Lync 2013 (Skype for Business) の更新プログラム (KB3054946)

Notes

  • 方法 2 は、Lync 2013 (Skype for Business) 更新プログラムが 2015 年 9 月以降に公開されているお客様が利用できます。
  • 同じ 9 月の更新プログラム (またはそれ以降のバージョン) には、先進認証関連の修正プログラムが追加されています。 お客様は、発行後にアップグレードを計画する必要があります。

さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。