OnTime for Microsoft ドメイン設定マニュアル

for Microsoft(Ver.5.4-) ドメイン設定マニュアル クイック & ステップ バイ ステップ OnTime Group Calendar Direct Shop 2023/06/16

目次 ドメイン設定マニュアル • ドメイン設定について ―ドメイン設定ページ ―Microsoft環境への接続ポート、接続URL ―Teams連携及びサーバー証明書について • Azure Portal(AzureAD)での作業 ―アプリの登録 ―各IDの取得/認証の設定 ―クライアントシークレットの設定 ―APIのアクセス許可 ―管理者の同意を与えます の実行 p.03 p.04 p.06 p.07 • OnTime管理センター ドメイン設定での作業 ―ドメイン設定 ―Exchangeタブ ―同期対象タブ ―属性マッピングタブ ―高度な設定タブ ―保存結果と再起動 • 補足 p.09 p.14 p.18 p.23 p.39 1）認可コードフロー認証方式の設定 2）オンプレExchangeの設定 3）同期対象をLDAPで設定 4）Graphの認証エラーについて 2 p.43 p.45 p.47 p.50 p.51 p.52 p.55 p.63 p.65 p.69

ドメイン設定について 3

ドメイン設定ページについて • ドメイン設定ではOnTimeと接続するExchange OnlineまたはオンプレのExchangeサーバーを設定します。 • OnTimeは複数のテナント（Exchangeドメイン）と接続することも可能です。 • 接続するテナント毎にドメイン設定を行います。 • OnTimeサーバーの設置やドメインは同じMicrosoft365のテナントやADメンバー等の必須条件はありません。 • 本マニュアルの各手順で設定する内容は以下の通りです。 • Azure Portal(Azure AD)での作業について • Microsoft Graph等API接続用に「アプリの登録」を設定します。 • OnTime管理センターでの作業について • 接続するテナントへの接続及び認証方法を設定します。 • 同期するメンバーのソース情報を設定します。 • 次ページにドメイン設定ページの構成概略イメージを表示します。 • その他補足事項 4

ドメイン設定ページの構成 保存 | キャンセル | 削除 ドメイン設定 ドメイン名やドメインタイプ、 テナントの優先順位 Exchange 同期対象 属性マッピング 接続に関する各種設定 同期対象アカウント指定に関する設定 認証方法の選択、Proxy 経由の接続が必要な場合 の設定、先進認証用の Azure AD のアプリ登録の 情報の設定。 P.45 OnTimeを利用するメールボックスのアカウントを配布リ スト(グループ)やメールアドレス付きセキュリティグループで 指定します。ユーザー属性情報や入れ子のグループも ロールやグループ設定で利用できるようになります。P.47 LDAP検索による取得について オンプレExchangeまたはExchange Onlineでも Azure AD Connectを利用してる場合は、同期対 象をオンプレADからLDAPで指定できます。 P.64 5 高度な設定 トレース設定、同期ス レッド数の設定 P.51 各項目情報に特定の属性を利用する設定 ユーザーの属性情報の表示項目や、会議室/ 備品/共有席の項目にどの属性情報を表示す るかを設定 P.50

認証方式について • ドメイン設定の認証タイプで設定する認証方式はOnTimeサーバーがExchangeへ接続する認証方式の設定です。 ユーザーがOnTimeサーバーへ接続する際の認証方式は別途「フロントエンド」ページで設定します。 • ドメイン設定で指定できる認証方式にはExchange Onlineへの３方式とオンプレExchangeへの1方式の4つがあります。 • 「先進認証(OAuth - Client資格情報フロー - Client Credentials)」 • Azure ADの「アプリの登録」で設定するClient資格情報だけで接続します。 • アクセスする対象は別途指定する同期対象だけで全テナントユーザーを対象とするわけではありません。 • 本マニュアルではShop推奨手順として「先進認証(OAuth - Client資格情報フロー - Client Credentials)」をご紹介します。 • 「先進認証(OAuth - 認可コードフロー - Impersonation User)」 • 同期を代理で行うユーザーに対象となるメールボックスへのApplication Impersonationの管理者役割の付与が必要となります。 • 手順参照先･･補足1「先進認証(OAuth - 認可コードフロー - Impersonation User)」 P.54 • 「基本認証(BASIC)」 • 2023年のExchange Onlineでは特別な理由が無い限り使用しません。 • 接続先Exchangeを「オンプレExchange」にした場合の基本認証方式 • 手順参照先･･補足2「オンプレExchange の設定」 P.62 6

Microsoft環境への接続ポート、接続URLについて • ドメイン設定ではMicrosoft環境の特定URLに接続します。 • Microsoft環境との通信は以下のURLから始まる通信となります。いずれも TCP ポート番号は 443 だけとなります。 PROXY を経由する通信ももちろん可能です。 （PROXYの設定はOnTime管理センターのドメイン設定 にて設定） （製品の仕様変更により今後変更する可能性はあります） ―Microsoft Exchange Online 向け https://outlook.office365.com ―Microsoft Graph 及び Microsoft Azure 向け https://login.microsoftonline.com https://graph.microsoft.com https://portal.azure.com 7

• https://outlook.office365.com/
• https://login.microsoftonline.com/
• https://graph.microsoft.com/
• https://portal.azure.com/

Microsoft Teams連携及びサーバー証明書について • Teams会議の作成機能は認証方式で先進認証を選択している場合は標準機能です。 OnTimeサーバーにTLS(SSL)証明書を準備しなくても利用いただけます。 • Teamsアプリへの埋め込み機能はMicrosoftの仕様により組織の実在性と本人性の証明のため、OnTime サーバーへのパブリックなTLS(SSL)証明書の実装が必須となります。 • OnTimeサーバーへのTLS(SSL)証明書の実装方法はFAQの「OnTimeサーバーにTLS(SSL)証明書を設定する」 をご参照ください。 • Teamsアプリへの埋め込み機能の登録方法は「Microsoft Teams アプリ登録マニュアル」をご参照ください。 • OnTimeサーバーへのTLS(SSL)証明書の必要性について • Teams会議作成機能の利用のみでTeamsアプリへの埋め込みをしない場合は前述の通り証明書は必要としません。 例えばトライアルなど操作性の検証目的とした環境の場合も証明書は必要としません。 • TeamsでタブアプリやレールアプリとしてOnTimeを利用する場合は証明書は必須です。 • ユーザーがOnTimeサーバーに接続する際の通信の暗号化の為にも一般的な手法として証明書を必要とします。 ユーザーがOnTimeサーバーへ接続する際の認証方式は別途「フロントエンド」ページで設定します。 8

• https://www3.ontimesuite.jp/ssl-cert2/

Azure Portal(AzureAD)での作業 アプリの登録 9

アプリの登録１ • 利用するTeamsのテナントの Azure Portal に管理者でロ グインします。 • Azure Portal から Azure Active Directory を開きます。 10

アプリの登録２ • Azure Active Directory の「アプリの登録」を開きます。 • 注意)本マニュアルでの構成 • OAuthを利用するテナントを「ontimedemo.com」としてご 説明しています。 • OnTimeサーバーのホスト名は「ontime.ontimedemo.com」 としてご説明しています。 11

アプリの登録３ • 「アプリの登録」で「新規登録」をクリックします。 • 注意1） 既に登録しているアプリケーションがある場合は一覧に表示 されます。 • 注意2） Ver.4.0.8以前で既にOAuth認証を利用されていた場合、 またはTeams連携で利用されていた場合は同じアプリケー ションを利用できます。 その場合は新規登録で新たに作成する必要はありません。 12

アプリの登録４ • 「名前」はエンドユーザーには表示されない名前なので管理 上識別しやすい名前を入力します。 • 「サポートされているアカウントの種類」は「この組織ディレクト リのみに含まれるアカウント」を選択します。 プラットフォームには「Web」を選択してください。 リダイレクトURIには 「http://localhost:8080/ontimegcms/code.html」 と入力してください。 • 最後に「登録」をクリックします。 13

Azure Portal(AzureAD)での作業 各IDの取得/認証の設定 14

アプリの各IDの取得１ • 画面が切り替わったら「アプリケーション(クライアント)ID」をコ ピーし、後ほどOnTime管理センターで利用するのでメモ帳 などに保持します。 15

アプリの各IDの取得２ • 同じく「ディレクトリ(テナント)ID」をコピーし、後ほどOnTime 管理センターで利用するのでメモ帳などに保持します。 続いて「認証」をクリックします。 16

認証の設定 • 発行するトークンを選択します。 アクセストークンにチェックをつけます。 「保存」をクリックします。 17

Azure Portal(AzureAD)での作業 クライアントシークレットの設定 18

クライアントシークレットの設定１ • 「証明書とシークレット」タブに移動します。 19

クライアントシークレットの設定２ • こちらではOnTimeサーバーがアクセスする際に自身のIDを 証明する為の「クライアントシークレット」を作成します。 • 「クライアントシークレット」は「アプリケーションパスワード」と呼 ばれることもあります。 • 「新しいクライアントシークレット」をクリックします。 20

クライアントシークレットの設定３ • 「クライアントシークレットの追加」ダイアログが開きます。 • 「説明」には識別しやすい名前を入力します。 • 「有効期限」は最長「24か月」まで選択できます。 • 内容がよろしければ「追加」ボタンをクリックします。 クライアントシークレットは期限付きの 為、自組織の設定に合わせ更新ください 21

クライアントシークレットの設定４ • 先ほどの画面上には作成した「クライアントシークレット」が 表示されています。 • 「値」をコピーし、後ほどOnTime管理センターで利用するの でメモ帳などに保持します。 • 注意 「値」はこのタイミングでコピーしないと二度と取得できないの でご注意ください。 22

Azure Portal(AzureAD)での作業 APIのアクセス許可 23

APIのアクセス許可１ • 「APIのアクセス許可」タブに移動します。 • こちらではOnTimeサーバーが Graph API でアクセスする内 容を定義します。 • 「アクセス許可の追加」ボタンをクリックします。 24

APIのアクセス許可２ • 「APIアクセス許可の要求」ページが開きます。 • 「Microsoft Graph」をクリックします。 25

APIのアクセス許可３ • 「委任されたアクセス許可」をクリックします。 26

APIのアクセス許可４ • アクセス許可の選択肢が下に展開されるのでスクロールして 「EWS」まで移動します。移動したら「EWS」を更に展開しま す。 「EWS.AccessAsUser.All」をチェックします。 27

APIのアクセス許可５ • 「アクセス許可の追加」をクリックします。 28

APIのアクセス許可６ • 画面が戻ったら再度「アクセス許可の追加」ボタンをクリッ クします。 29

APIのアクセス許可７ • 「Microsoft Graph」をクリックします。 • 「アプリケーションの許可」をクリックします。 30

APIのアクセス許可８ • アクセス許可の選択肢が下に展開されるのでスクロールして 「Calendars」まで移動します。移動したら「Calendars」を 更に展開します。 「Calendars.ReadWrite」をチェックします。 31

APIのアクセス許可９ • 同様にスクロールして「Directory」まで移動します。移動し たら「Directory」を更に展開します。 「Directory.Read.All」をチェックします。 32

APIのアクセス許可１０ • 同様にスクロールして「MailboxSettings」まで移動します。 移動したら「MailboxSettings」を更に展開します。 「MailboxSettings.ReadWrite」をチェックします。 33

APIのアクセス許可１１ • 同様にスクロールして「People」まで移動します。移動したら 「People」を更に展開します。 「People.Read.All」をチェックします。 34

APIのアクセス許可１２ • 同様にスクロールして「Place」まで移動します。移動したら 「Place」を更に展開します。 「Place.Read.All」をチェックします。 35

APIのアクセス許可１３ • 同様にスクロールして「User」まで移動します。移動したら 「User」を更に展開します。 「User.Read.All」をチェックします。 • 「アクセス許可の追加」をクリックします。 36

APIのアクセス許可１４ • 画面が戻ったら再度「アクセス許可の追加」ボタンをクリッ クします。 「所属する組織で使用しているAPI」を選択します。 検索欄に office と入力して検索します。 Office 365 Exchange Online を選択します。 37

APIのアクセス許可１５ • 「アプリケーションの許可」をクリックします。 「full_access_as_app」をチェックします。 • 「アクセス許可の追加」をクリックします。 38

APIのアクセス許可１６ • アクセス許可の一覧に画面のようにAPIが並びます。 「“ドメイン名”に管理者の同意を与えます」ボタンをクリックし ます。 39

APIのアクセス許可１７ • 確認画面では「はい」をクリックします。 40

APIのアクセス許可１８ • 無事に付与されてるか確認します。 • もし付与されない場合はAzureグローバル管理者に連絡し てご確認ください。 • 以上で Azure Portal での作業は完了です。 41

OnTime管理センター ドメイン設定での作業 42

ドメイン設定 左サイドメニューで「ドメイン設定」を選択します。 「追加」をクリックします。 • Exchange Onlineへの接続で未だ「基本認証(BASIC)」 をご利用の場合は左図のような赤字のレガシー認証に対 するインフォーメーションが表示されます。先進認証への変 更をお願いします。 • オンプレExchangeサーバーへは基本認証で接続します。 43

ドメイン設定画面 ドメイン名はOnTime 管理センターで識別しやすい名前をつ けます。通常はテナント名です。 優先順位は複数テナント時に同じメールアドレスが使用され ている場合にどのテナントを優先するかを指定します。 一時的に接続しない場合は無効にできます。 接続先ExchangeでExchange Onlineかオンプレ Exchangeを選択します。Microsoft365(Exchange Online)の場合は「Exchange Online」を選択します。 オンプレExchangeの設定は補足２をご参照ください。 認証タイプは以下の３つから選択します。 ・先進認証(OAuth - Client資格情報フロー - Client Credentials) ・先進認証(OAuth - 認可コードフロー - Impersonation User) ・基本認証(BASIC) 44

Exchange Onlineタブ 先進認証(Client資格情報フロー) セキュリティユーザーはどのアカウントを指定してもかまいませ んがメールボックスは所有するアカウントを指定してください。 • セキュリティユーザー名は操作ログ情報に残ります。 Azureで作成したアプリケーションの情報を指定します。 • 先進認証(OAuth)に必要となる各種IDや値を入力します。 メモ帳にコピーした３つのテキストを貼り付けます。 • 「アプリケーションID」「ディレクトリID」「クライアントシークレッ ト」の３つを入力後、作成したアプリケーションに対して付与 された「APIのアクセス許可」に不備があると、赤文字で何 が足りていないか表示されます。 赤文字が表示された場合は補足４を参照してください。 クライアントシークレットは期限付きの 為、自組織の設定に合わせ更新ください 45

Exchange OnlineタブーProxy Proxyを利用する場合の設定 • Proxyをご利用の場合はProxy設定を行います。 • もしProxyをキャッシュ目的で利用されている場合でダイレク ト通信も可能であればOnTimeはダイレクト通信させてくだ さい。OnTimeが行うデータはあまり副次利用されません。 46

同期対象タブ 配布リストでアドレスリストを取得 • グループのメールアドレスのリスト指定を推奨します。 “LDAPを有効にする”のチェックはLDAP利用の際にチェックします。 • 次にOnTimeと同期するリストをグループ化した配布グループ(配 布リスト)のメールアドレスを指定します。 • グループアドレスにはOnTimeで表示する、または操作できるいず れの場合のアカウントでも含まれている必要があります。 • 設定した配布グループが入れ子になっていても問題ありません。 入れ子になっているグループを指定するとOnTime管理センター のその他の設定（ロール設定や静的グループ設定）などで利用 できます。 例）Exchange側で事前に以下の様なグループを作成しておくと運用の メンテナンスが容易です。 ユーザーグループ：OnTimeUsers@ontimedemo.com 会議室グループ：OnTimeRooms@ontimedemo.com 共有席グループ：OnTimeFreeAddress@ontimedemo.com 備品グループ ：OnTimeEquipment@ontimedemo.com 47 • ドメインの ユーザー、会議室、共有席、備品のそれぞれに指定さ れている配布グループ(配布リスト)のメールアドレスが複数の場合 はカンマやエンターキーで区切ってください。 ※LDAP利用の設定方法は補足３をご参照ください。

同期対象タブ 同期対象から除外欄 • 同期対象に指定したグループのメンバー内に、同期させたくない ユーザーがいる場合「同期対象から除外」の欄にそのアカウントの メールアドレスを指定すると、同期対象外として指定できます。 48

同期対象タブ 一覧の取得テストボタン • 指定欄の右側にある各ボタンを押すと、その欄に指定したユー ザーやグループの指定結果の一覧を確認できます。 49

属性マッピングタブ 各項目情報に特定の属性を利用する場合の設定 • OnTimeメインビューでユーザープロファイル情報を表示した 際に表示される項目の情報の設定を行います。 プロファイル情報に表示させる項目や順番はOnTime管理 センターの「フロントエンド」にある「属性表示設定」タブで変 更できます。 ※詳細は「設定マニュアル」をご参照ください 50

高度な設定タブ • 接続のトレースはチェックをつけません。サポートから依頼が あった場合のみ設定してください。 • 同期設定では「起動時」「通常運用時」それぞれのスレッド 数を指定できます。 • Exchange上のイベント更新情報がOnTimeに反映されるの が遅い場合はOnTimeの同期処理がExchange上のイベン ト更新頻度に追いついていない可能性があります。そのよう な場合にスレッド数を増やすことで改善する場合もあります。 • 最小数は５です。起動時設定は5を推薦します。 • OnTimeサーバーのCPUやメモリに充分なパワーがある場合は CPUやメモリの使用率を見ながら徐々に数値を変更してみて ください。 • 1000人規模のユーザー数の場合は5程度、8000人規模で 20程度に設定します。 注意）一つのExchangeテナントに20以上のスレッドは設定 しないでください。 設定が完了したら「保存」をクリックします。 51

保存結果 • 画面が閉じると先ほど設定したドメインが増えています。 アプリケーションを再起動するまで”NOT_STARTED”と表示 されます。 修正する場合はクリックすることで編集画面が表示されま す。修正した場合はOnTimeアプリケーションの再起動が必 要です。 • アプリケーションを再起動するためには”ダッシュボード”に移 動します。 52

ダッシュボードで再起動 • ドメイン情報を作成/変更した場合はOnTimeサービスの再 起動が必要になります。 左サイドメニューでダッシュボードに移動します 「OnTimeアプリケーション」で停止をクリック 「OnTimeアプリケーション」で実行をクリック • 続いてOnTime設定マニュアルでそのほかの設定をします。 53

補足 必要な場合だけお読みください。 54

補足1） 認可コードフロー認証方式の設定 55

Exchange側の設定準備 • OnTimeの認証方法で「認可コードフロー(ImpersonationUser)」を利用する場合、OnTimeは同期 対象のメールボックスと接続するアカウントにはImpersonation(偽装)ユーザーとしてのロールを付与す る必要があります。詳細は以下をご参照ください。 • 偽装ユーザー(Impersonation User)について • OnTime for Microsoft を Exchange Online やオンプレの Exchange に接続する際に、全ユーザーを Impersonation(日本語で演技や偽装)してスケジュールデータの入出力を行う1つのアカウントを指します。 詳細は以下のURLをご参照ください。 • Exchange 側での Impersonation User の設定方法 https://www3.ontimesuite.jp/impersonation/ • 書き込みスコープを制限して特定のメールボックスに制限する方法について • テナント運用者とOnTime運用者が違う場合などで厳密に同期対象のメールボックスだけに接続の制限を 掛けたい場合は、同期を司るユーザーに割り当てる役割「ApplicationImpersonation」指定時の「書き込 みスコープ」を厳密に設定することで明確化が可能です。 • ドメイン(テナント)の特定のグループのメールボックスだけに OnTime の利用制限ができますか？ https://www3.ontimesuite.jp/makescope/ 56

• https://www3.ontimesuite.jp/impersonation/
• https://www3.ontimesuite.jp/makescope/

Exchange管理センターを開く • Exchange管理センターを開きます。 • アクセス許可を開きます。 • 管理者の役割を開きます。 • ＋ボタンを押して管理者の役割を追加します。 57

管理者の役割の追加１ • 新しい役割を作成します。 • 名前には識別しやすい名前を指定してください。 • 役割の＋ボタンを押して役割を選択します。 58

管理者の役割の追加２ • ApplicationImpersonationを選択します。 • 「追加」を押して追加後に「OK」を押します。 59

管理者の役割の追加３ • 同じくOnTimeから同期を行うアカウントを追加します。 • 設定ができたら「保存」を押します。 60

管理者の役割の追加４ • 先ほど作成した役割が追加されています。 61

OnTime管理センターでドメイン設定 接続するテナントで予め準備した Impersonation User と パスワードを入力します。 • OnTimeとして各ユーザーの情報を取得する権限を持った ユーザーを指定します。 Azureで作成したアプリケーションの情報を指定します。 • 先進認証(OAuth)に必要となる各種IDや値を入力します。 メモ帳にコピーした３つのテキストを貼り付けます。 • 「アプリケーションID」「ディレクトリID」「クライアントシークレッ ト」の３つを入力後、作成したアプリケーションに対して付与 された「APIのアクセス許可」に不備があると、赤文字で何 が足りていないか表示されます。 62

補足2） オンプレExchangeの設定 63

オンプレExchange へのEWS接続 • オンプレExchangeに接続する際はこのページの設定をご参 照ください。 例:“OnTimeDemoCom”と入力。優先順位:”1”を入力。 • 優先順位は複数テナント時に同じメールアドレスが使用さ れている場合にどのテナントを優先するかを指定します。例 えばオンプレからクラウドに移行の最中の場合はクラウドを 優先したいのでオンプレは大きい数字を指定します。 ドメインタイプで「オンプレExchange」を選択します。 接続するサーバーで予め準備した Impersonation User と パスワードを入力します。 Exchangeのドメインも入力します。 Exchange Serverの情報を入力します。 主となるメールボックスサーバーのアドレスを指定してください。 64

補足3） 同期対象をLDAPで取得 65

同期対象をLDAPで取得１ • OnTimeはExchangeと連携しているActive Directoryから LDAP(S)により同期対象を指定することもできます。 • LDAP(S)を使用することで例えばフリガナ属性やカスタム属 性1～15なども取得してOnTimeで活用できます。 • Microsoft365のExchange Online接続であっても AzureAD Connectを使用してAD連携しているのであれば 利用可能です。 • ちなみにOnTimeは複数のテナントと接続することも可能で す。よってActive DirectoryはOnTimeが稼働するテナント である必要はありません。LDAP(S)で接続できればいずれ のテナントも利用可能です。 “LDAPを有効にする”のチェックをします。 66

同期対象をLDAPで取得２ • 同期対象の設定を行います。 Active DirectoryへのLDAP接続用アカウントの設定です。 事前にldp.exe等で接続確認を行ってください。 接続先ドメインの ユーザー、会議室、備品のそれぞれを検 索するフィルター条件を指定してください。 次ページにサンプルがあります。 設定後は「保存」をクリックします。 67

同期対象をLDAPで取得３ • 左図を参考に組織に応じたフィルター条件で取得してくださ い。 • 左上 特定の属性に値があるアカウントを全て取得 • 右下 特定のグループに属しているアカウントを全て取得 • 取得したリストにグループが含まれている場合はそのグループ をロール設定などで利用できます。 68

補足4） Graphで認証エラーが出る 69

ドメイン接続がエラーで接続できない • インジケーターが赤色や黄色の場合はドメイン接続ができて いない状態です。 • OnTimeをバージョンアップしたなどの場合はほとんどが先進認証 (OAuth)が正しく設定されていないときです。 70

ドメイン設定で該当ドメインを確認 • 該当ドメインが「STOPPED」でエラーメッセージが表示されて います。 • クリックして設定を確認します。 71

認証タブに追加で必要な「アクセス許可」が表示 • 追加で必要となるアプリのアクセス許可が表示されています。 • AzureADの「アプリの追加」に戻り、必要となるアクセス許可を追 加した後、このドメイン設定を再保存し、再度OnTimeを起動してく ださい。 72