こんにちは。日本マイクロソフト Outlook サポート チームです。
今回は Outlook 2016 の新機能により REST API が使用されるため、それを考慮した AD FS のクレーム ルールの構成が必要になるという情報をご紹介します。
REST API とは
REST API は Outlook for iOS/Android で Exchange Online をご利用いただく際、旧来の方式であった Exchange ActiveSync に取って代わる新しい接続方式として使用されています。
こちらの記事でご紹介しているように、Exchange Online 環境のこれらのモバイル デバイスでは既に REST を使用した接続への移行が完了しています。
Outlook 2016 (モバイル用の Outlook と区別するために Outlook for Windows と呼ばれています) の新しいバージョンにおいては、優先受信トレイなど一部の新機能で REST API を使用する動作が実装され始めています。
影響を受ける環境
Exchange Online 環境で AD FS による認証を行っており、かつ Outlook 2016 をご利用の環境で考慮が必要となります。
既に Outlook for iOS/Android をご利用の AD FS 環境であっても、Outlook for Windows が REST を使用する際はクレーム ルールの考慮が必要となります。
これは、Outlook for iOS/Android と Outlook for Windows では認証要求の際に AD FS に通知されるクライアントの種類が区別されるためで、
具体的には Outlook for iOS/Android が x-ms-client-user-agent であるのに対し、Outlook for Windows は x-ms-client-application となります。
許可が必要となるクレーム
AD FS のクレーム ルールで x-ms-client-application による制御を行っている場合、以下のクレームを新たに許可するように構成する必要があります。(大文字小文字が区別されますのでご注意ください。)
Microsoft.Exchange.Rest
なお、Outlook for Windows について、今後すべての接続を REST に移行するかは現時点では未定のため、Outlook for Windows での認証時に現在使用されている以下の x-ms-client-application のクレームについても引き続き許可するよう構成いただく必要があります。
Microsoft.Exchange.AutoDiscover <- AutoDiscover 接続
Microsoft.Exchange.OfflineAddressBook <- OAB ダウンロード
Microsoft.Exchange.WebServices <- EWS 接続
Microsoft.Exchange.RPC <- RPC over HTTP 接続
Microsoft.Exchange.Mapi <- MAPI over HTTP 接続 (メールボックス)
Microsoft.Exchange.Nspi <- MAPI over HTTP 接続 (ディレクトリ)
Outlook 2016 が REST による通信を開始するタイミング
Office 365 ProPlus による Outlook 2016 の新しいバージョンの Outlook 2016 において、既に REST を使用する動作が実装され始めていますが、これによって必ず Outlook による REST の通信が行われるわけではありません。
今後の Exchange Online 側の機能有効化などにあわせて Outlook が REST による通信を行うようになる状況が予想されるため、AD FS のクレーム ルールで x-ms-client-application の制御を行っている場合は前もって Microsoft.Exchange.Rest を許可するよう構成ください。
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。