技術サポートサービス専用サイト

▼修正パッチ適用について
　Q1
　　Exchange Online アダプタを利用しない場合、修正パッチの適用は不要でしょうか
 
　A1
　　Exchange Online 接続方法変更の他に同期に関する動作の修正も含まれているため、
　　Exchange Online を利用していない場合でも適用が必要な場合があります。

　　お客様環境や運用状況に合わせて適用する必要があるかご確認ください。

　　■補足 
　　　「同期に関する動作の修正」の概要については、こちらをご参照ください。
　　　　https://www.hulft.com/download_file/21206

　Q2
　　修正パッチはどこから入手できますか

　A2
　　myHULFT よりダウンロードできます。
　　具体的な手順としては以下の通りです。

　　■手順 
　　　1.myHULFT にログイン
　　　　https://his.hulft.com/mypage/login/login/

　　　2.左側メニューの [製品ダウンロード/キー発行] から、
     　  対象のシリアル番号の [> ダウンロード/キー発行] ボタンをクリック
  
　　　3.[使用許諾契約条項 に同意する] にチェックを入れる
 
　　　4.表示されたページの下部にある [修正パッチ] の
　　　   [バージョン] にて、「Ver.2.2 SP7」を選択
  
　　　5.対象のパッチ「PIM22SP7_241204_07」の [ダウンロード] ボタンをクリック
 
　Q3
　　修正パッチ適用時の前提条件や手順はどこを確認すればよいですか

　A3
　　修正パッチ適用時の前提条件や具体的な手順については、Q2 の手順で
　　ダウンロードした zip 内にある README に記載されています。

　　ファイル名 : PIM22SP7_241204_07_README.txt

　Q4
　　修正パッチが適用できているか確認する方法を教えてください

　A4
　　PIMSYNC インストールフォルダ内にある
　　下記フォルダを参照することで適用有無を確認できます。

　　・$PIMSYNC_HOME/config/PATCH-INF

　　上記フォルダ内に「PIM22SP7_241204_07」フォルダが存在する場合、適用されています。

　　※フォルダが存在する場合でも適用手順に誤りがあった場合、
　　　正しく適用できていない状態となっている可能性があるため、ご注意ください。

▼サーバ設定について
　Q5
　　パッチ適用後、 Exchange Online アダプタのサーバ設定にて、新たに項目が追加されていました。
　　こちらの設定は必須となるのでしょうか。

　A5
　　パッチ適用によって追加された項目に関しても、値の設定が必要となります。
　　追加された項目については、以下の通りです。

　　----
　　・テナントID
　　・クライアントシークレット
　　----

　Q6
　　修正パッチ適用後の Exchange Online アダプタに関する
　　環境設定については、どこで確認できますか

　A6
　　パッチ適用後の設定手順については、ヘルプにて確認することが可能です。
　　パッチ適用後に関するヘルプの参照方法は以下の通りです。

　　■手順 
　　　・パッチ適用後環境の管理画面にログイン
　　　・画面右上にある「ヘルプ」を押下

▼その他
　Q7
　　Exchange Online側のアップデートが実施された後でも
　　修正パッチを適用せず、同期処理を実施することはできますか

　A7
　　実施することはできません。

　　Exchange Online側のアップデートが実施された後に修正パッチの適用や
　　サーバ・環境設定等を実施していない場合、同期処理は失敗します。

　　修正パッチ適用や設定を実施していない場合、以下のエラーが出力されることを確認しています。

　　----
　　ERROR - xx/xx xx:xx:xx|ユーザー[xxxx]の同期タスク[xxxx]の実行に失敗しました。
　　com.sun.xml.internal.ws.client.ClientTransportException:
　　サーバーがHTTPステータス・コード403を送信しました: Forbidden
　　---- 

　　既存の同期処理で上記エラーが発生している場合は、修正パッチの適用有無や
　　各種設定をご確認いただき、未適用であれば、実施することで解消するかご確認ください。

　Q8
　　修正パッチ適用後の環境にて、同期処理を稼働していたところ、
　　不定期に以下のエラーが発生し、同期処理に失敗します。

　　----
　　ERROR - xx/xx xx:xx:xx|ユーザー[xxxx]の同期タスク[xxxx]の実行に失敗しました。
　　javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:
　　PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:
　　unable to find valid certification path to requested target
　　----

　　原因と対応策を教えてください。

　A8
　　■想定される原因
　　　Microsoft社のページより、PIMSYNCが接続を行う「login.microsoftonline.com」に
　　　新しい認証局を追加する更新が行われていることが起因していると想定されます。
 
　　　・参考情報
　　　　https://jpazureid.github.io/blog/azure-active-directory/whats-new-in-microsoft-entra-in-202409/
  
　　　以下の記載内容が該当いたします。
 
　　　----
　　　login.microsoftonline.com の新しい認証局 (CA): 
　　　DigiCert 証明書のみを信頼するお客様は対応が必要
　　　[対応が必要な場合があります］
 
　　　Microsoft Entra ID は、login.microsoftonline.com ドメインのサーバー証明書に
　　　新しい認証局 (CA) を導入します。
 
　　　現在、login.microsoftonline.com への接続には、DigiCert の証明書が使用されています。
　　　2024 年 10 月 1 日以降、Microsoft Azure CA によって
　　　発行された証明書も提示される可能性があります。
 
　　　このアップデートは、Entra ID のセキュリティを強化し、耐障害性を向上させるためのものです。
 
　　　これにより Microsoft Azure CA を信頼していないお客様や、
　　　クライアント側を DigiCert の証明書に固定しているお客様は、
　　　認証に失敗する可能性があるため、影響を受ける可能性があります。
 
　　　推奨される対策:
　　　問題の発生を防ぐために、Azure 証明書の公開ドキュメント に記載されている
　　　すべてのルート認証局および下位認証局を信頼することを推奨します。
 
　　　この文書には、1 年以上前から Microsoft Azure CA が含まれています。
 
　　　login.microsoftonline.com ドメインを使用している Entra ID ユーザーにおいては、
　　　シームレスな移行のために、DigiCert へのクライアント側の固定をすべて解除し、
　　　新しい Azure CA を信頼することが重要です。
 
　　　中断のない安全なサービスを保証する方法の詳細については、
　　　パブリック PKI のクライアント互換性に関するドキュメント をご確認ください。
　　　---- 
 
　　■対応策
　　　Microsoft社のページに記載の各種証明書を PIMSYNCが参照する
　　　キーストアにインポートすることで、事象が解消するかどうかご確認ください。
 
　　　・Azure 証明機関の詳細
 　　　　https://learn.microsoft.com/ja-jp/azure/security/fundamentals/azure-ca-details?tabs=root-and-subordinate-cas-list
  
　　　上記サイト内記載の証明書のうち、下記証明書については
　　　デフォルトでインポートされているため、それ以外の証明書をインポートしてください。
 
　　　- DigiCert Global Root CA
　　　- Entrust Root Certification Authority G2
 
　　　証明書のインポート方法については、以下のヘルプをご参照ください。
　　　・[証明書のインポート]
　　　　https://www.hulft.com/help/ja-jp/PIMSYNC/pimsync22sp7/help/ja/adapter_guide/keystore.html