当店使用のMicrosoft365アカウントでは、Exchangeが有効になっており、組織内の個人メールアドレスが有効になっています。
今回これをOutlookに追加しようとしたら、
問題が発生し、Outlookはアカウントを設定することができませんでした。もう一度やり直してください。問題が解決しない場合は、メール管理者にお問い合わせください。
というエラーで追加することが出来ませんでした。
パスワードもちゃんと合ってるのになんで!?
結局は、多要素認証が問題でした。しかも、「多要素認証を解除する」とか「アプリパスワードを作成する」とかいう問題でもなく、なんと「先進認証」というやつで解決しました。
30分ぐらいハマりましたので、解決法をメモします。どなたかのお役に立てば幸いです。
多要素認証を設定したMicrosoft365がOutlookに設定できない!?
多要素認証を設定したMicrosoft365アカウントは、すんなり設定できない
当店のMicrosoft365アカウントでは、多要素認証を設定しています。
最近も、企業のMicrosoft365アカウントへの不正アクセスが報じられています。パスワードが流出した場合はどうしようもないので、多要素認証は必須です。
ところが、どうやらこれが原因で、Outlookのメールアカウント認証が通らないみたいなのです。
Gmailの二段階認証は、「アプリパスワード」でクリアできるが…
Gmailなど、サードパーティ(Microsoft以外)のメールをOutlookに設定する際は、二段階認証をクリアするために「アプリパスワード」を使用します。
これは、Googleアカウントの本当のパスワードとは別に、Outlook専用のパスワードを設定し、「このパスワードの時は二段階認証いらないからね」という特例を設定する方法です。
Microsoft365でも、アプリパスワードは設定できます。
1. [追加のセキュリティ確認] ページにサインインし、 [アプリ パスワード] を選択します。
https://docs.microsoft.com/ja-jp/azure/active-directory/user-help/multi-factor-authentication-end-user-app-passwords
にあるリンク先で作成します。
しかし、せっかく多要素認証なのに、しかもMicrosoftのOutlookに設定するというのに、わざわざアプリパスワードを作ってセキュリティを下げるのもしゃくじゃないですか!?
Exchange Powershellのコマンドラインで「先進認証」を有効にする
意地っ張りの店長が調べ上げた結果、なんと、多要素認証をオンにし、アプリパスワードも作成しないで、OutlookにMicrosoft365(Exchange)のメールを認証する方法が見つかりました。
OutlookでOffice365アカウントを設定できない
https://docs.microsoft.com/en-US/outlook/troubleshoot/profiles-and-accounts/cannot-set-up-office-365-account-outlook
症状
OutlookでOffice365 ExchangeOnlineの電子メールアカウントを正常に設定できません。
原因
この問題は、Exchange管理者がアカウントに対して多要素認証(MFA)を有効にしているが、Exchangeテナント組織に対して最新の認証を有効にしていない場合に発生する可能性があります。
この問題が発生すると、サーバーはHTTP456認証エラーを返します。
解決
この問題を修正するには、Office365管理センターでアカウントのMFAを無効にします。これを行うには、次の手順に従います。
ここでは、解決策として「多要素認証を無効にする」とあります。確かに、一時的に多要素認証を無効にして、Outlookの設定を通し、そのあとまた多要素認証を有効にする方法でも、認証できるようです。もしかしたら、それが一番簡単なのかもしれません。
しかし、「最新の認証を有効にする」という方法もありそうじゃないですか?
ということで探ってみました。ありました。
先進認証は、Active Directory 認証ライブラリ (ADAL) および OAuth 2.0 に基づきます。
https://docs.microsoft.com/ja-jp/exchange/clients-and-mobile-in-exchange-online/enable-or-disable-modern-authentication-in-exchange-online
ということなので、おそらく、他のOfficeアプリのサインインにおいて多要素認証を実行し、その認証情報に基づいてメールサーバの認証を実行するのではないかと思います。
この記事の操作手順に従うわけですが、細かい説明が省略されてますので、これもハマりました。順番に手順を記載します。
Exchange Online「先進認証」の設定方法
Windows Powershellを管理者として実行する
Exchange Online Powershellに接続する準備をする
接続に当たって、EXO V2モジュールをまだ入れていない場合は入れます。
Set-ExecutionPolicy RemoteSignedInstall-Module -Name ExchangeOnlineManagement以上の手順は次のリンク内に載っています。
Exchange Online Powershellに接続する
そして、次の手順でExchange Online Powershellに接続します。
Connect-ExchangeOnline -UserPrincipalName [Microsoft365のアカウントID 例:navin@contoso.com]詳しくは下記リンクに載っています。
まだ先進認証はセットアップしていないわけですから、MFAで接続する、の項目に従います。
組織全体のExchange Onlineで先進認証を有効にする
接続出来たら、組織全体のExchange Online先進認証を有効にします。
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true詳しくは次のリンクを参照してください。
設定出来たら、再度Outlookでアカウント追加を試してみる
以上で設定は終わりなので、再度Outlookでアカウント追加を試してみます。
当店の環境では、これで何の問題もなく追加できるようになりました。
メモは以上です。おためしください。
コメント