オンプレミス Exchange サーバー (ハイブリッド モード) にメールボックスがあり、abc@onprem.comグラフ API (/messages) 経由でこれにアクセスしようとしています。グラフエクスプローラーでこれを行うと完全に機能しますが、実装を介して行うと失敗します。
必要なアプリケーションのアクセス許可は、Azure アプリ登録ポータルで付与されます。実装では、証明書付きの client_credentials として grant_type を使用します。これは、クラウド ユーザーにとって完全に機能します。
APIのレスポンス
{ 'error': {
'innerError': {
'date': '2019-02-28T14:17:45',
'request-id': '6a85f8c3-4e13-4cf0-84b2-ddc934241afd'
},
'message': '',
'code': 'UnknownError'
}}
IIS ログ
- グラフ エクスプローラーからの呼び出しの場合
2019-02-28 15:02:31 172.31.10.98GET /api/V2.0/Users('abc@onprem.com')/Messages/$count &CorrelationID=;&cafeReqId=bc8e8aef-de46-4c72-bcf4-b4f567bc45dd ; 443 S-1-5-21-1392771109-4043059535-3934338706-1147 20.190.145.177Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10_14_3)+AppleWebKit/537.36+(KHTML,+like+Gecko) +Chrome/71.0.3578.80+Safari/537.36 - 200 0 0 287
- 実装アプリからの呼び出しの場合
2019-02-28 15:00:05 172.31.10.98GET /api/V2.0/Users('abc@onprem.com')/Messages/$count &CorrelationID=;&cafeReqId=c504b658-b9df-43b5-9dbb-8e83050c3d2f ; 443 - 20.190.128.103- - 401 0 0 102
- この認証失敗の理由は何でしょうか?オンプレミスに対して認証された azure AD によってトークンが提供された可能性がありますか?
アップデート
ロギング用のヘッダーをいくつか追加したところ、以下がエラーであることがわかりました。
2019-03-04 04:05:13 172.31.10.98 GET /api/V2.0/Users('abc@onprem.com')/Messages &CorrelationID=;&cafeReqId=2823c302-3c84-4847-b586-accced4b6dd5; 443 - 20.190.145.177 PostmanRuntime/7.6.0 - 401 0 0 332 Bearer+eyJ0 何とか何とか.....何とか何とか.....hSd mail.onprem.com - - - Bearer+client_id="00000002-0000- 0ff1-ce00-000000000000",+token_types="app_asserted_user_v1+service_asserted_app_v1",+authorization_uri="https://login.windows.net/common/oauth2/authorize",+error="invalid_token" 2000001;reason="This+ token+profile+'V1S2SAppOnly'+is+not+applicable+for+the+current+protocol.";error_category="invalid_token"
Exchange サーバーで自己署名証明書を使用していますが、これによりこの問題が発生する可能性はありますか? グラフエクスプローラーからすべてがどのように機能しているのか疑問に思っている場合。