Exchange Serverでボイス メールを保護する

  • [アーティクル]

適用対象: Exchange Server 2013、Exchange Server 2016

従来の PBX (Private Branch eXchange) および IP PBX テレフォニー システムの一部では、発信者はボイス メール メッセージをプライベートとしてマークし、そのメッセージの受信者がそれを他のユーザーに転送しないようにすることができます。 統合ボイス メール システムの場合、複数の方法で音声メッセージにアクセスできるため、目的の相手以外の人にプライベートの音声メッセージが再生されないようにするのが難しくなります。

ユニファイド メッセージング (UM) は、Active Directory Rights Management Services (AD RMS) を使用して組織の音声メッセージを保護するように構成できます。 この機能は保護されたボイス メールとして知られています。

音声メッセージが保護されていると、受信者がそのメッセージを転送できないだけでなく、メッセージの内容にアクセスできるのは UM でメッセージの宛先になっている 1 人または複数の受信者のみになります。 保護された音声メッセージにアクセスするには、Microsoft Outlook 2010 またはそれ以降のバージョンや、Outlook Web App、Outlook Voice Access を使用します。

保護されたボイス メールの概要

保護されたボイス メール機能は、Exchange 2010 以降のバージョンのユニファイド メッセージング (UM) で使用できます。 UM メールボックス ポリシーで構成でき、すべての保護されたボイス メール設定は、Exchange 2010 の Exchange 管理コンソールまたはシェルを使用するか、Exchange 2013 のシェルで Exchange 管理センター (EAC) またはコマンドレットを使用して構成できます。

保護されたボイス メールは、音声メッセージに Information Rights Management (IRM) を適用することで実装されます。 音声メッセージが UM によって保護されている場合:

  • ユーザーは保護された音声メッセージに応答できます。
  • 音声メッセージの受信者は、このメッセージを転送できません。
  • 音声メッセージのコピーは保存できません。
  • 音声メッセージに添付されているオーディオを保存またはコピーすることはできません。
  • 音声メッセージは、宛先となっている 1 人または複数の受信者のみが開くことができます。

通話応答の音声メッセージと個人間の音声メッセージ (Outlook Voice Access を使用してユーザーに送信される音声メッセージ) は、両方とも UM によって保護することができます。 ただし、この保護は次の種類のメッセージには適用されません。

  • FAX メッセージ。
  • 音声以外のメッセージ。 Outlook Voice Access (音声応答) を使用して作成された電子メール メッセージや会議出席依頼など。

Active Directory Rights Management サービスの概要

WINDOWS Server 2008 以降のバージョンのコンポーネントである AD RMS を使用すると、ファイルを保護して、送信者がファイルを表示しようとしているユーザーのみがファイルを保護できます。 AD RMS では、ファイルへのアクセスに必要な権限を指定することでファイルを保護します。 権限によって管理される情報を使用してファイルのオープン、変更、印刷、転送その他の操作を実行できるよう、権限を構成できます。 AD RMS を使用すると、ネットワークの外に配布されたデータを保護することができます。

AD RMS システムには、次のようなサーバーとクライアント両方のコンポーネントがあります。

  • 証明書とライセンスを処理する Active Directory Rights Management Services サーバー ロールを実行している Windows Server 2008 R2 以降のバージョンがインストールされているサーバー。
  • データベース サーバー。
  • AD RMS クライアント。 AD RMS クライアントの最新バージョンは、Windows 7 および Windows 8 オペレーティング システムの一部として含まれています。

サーバー コンポーネントは、Windows Server 2008 以降のバージョンなど、Microsoft サーバーで実行される複数の Web サービスで構成されています。 クライアント コンポーネントは、クライアントまたはサーバーオペレーティング システムで実行でき、アプリケーションがコンテンツの暗号化と暗号化解除、テンプレートと失効リストの取得、サーバーからのライセンスと証明書の取得を可能にする関数が含まれています。

AD RMS および AD RMS クライアントを使用すると、情報の移動先に関係なく情報に付随する永続使用ポリシーで情報を保護できるため、組織のセキュリティ戦略を強化できます。 AD RMS を使用すると、機密情報 (財務レポート、製品仕様、顧客データ、機密メールやボイス メール メッセージなど) が意図的または誤って間違って手に入ることを防ぐことができます。 詳細については、「 AD RMS の概要」を参照してください。

Exchange UM では、Information Rights Management (IRM) 機能を使用して、メッセージおよび添付ファイルを永続的に保護できます。

IRM 機能および保護されたボイス メールを使用すると、受信者が電子メール メッセージとボイス メール メッセージへのアクセスのために持つ権限を、組織とユーザーが制御できます。 また IRM を使用して、受信者の操作 (他の受信者へのメッセージ転送、メッセージや添付ファイルの印刷、コピーと貼り付けによるメッセージや添付ファイルのコンテンツの抽出など) を制限することもできます。

IRM の要件

Exchange に IRM を実装する前に、まず AD RMS インフラストラクチャを展開して構成する必要があります。 詳細については、「 Active Directory Rights Management Services」を参照してください。 Exchange 組織に IRM を実装して保護されたボイス メールをサポートするには、展開が次の要件を満たしている必要があります。

サーバー 要件
AD RMS クラスター
  • Windows Server 2008 R2 Standard または Enterprise SP1 または Windows Server 2012 Standard または Datacenter。 システム要件の詳細については、「 Exchange 2013 のシステム要件」を参照してください。
  • サービス接続ポイント (SCP): Exchange 2013 および AD RMS 対応アプリケーションでは、Active Directory に登録されている SCP を使用して AD RMS クラスターと URL を検出します。 AD RMS では、AD RMS セットアップ プログラム内で SCP を登録できます。 AD RMS のセットアップに使用されるアカウントが Enterprise Admins セキュリティ グループのメンバーでない場合、SCP の登録はセットアップ後に実行できます。 Active Directory フォレスト内の AD RMS の SCP は 1 つだけです。
  • アクセス許可: Exchange サーバー グループ内のサーバーまたは個々の Exchange サーバーには、AD RMS サーバー認定パイプラインに対する読み取りアクセス許可と実行アクセス許可を割り当てる必要があります。 既定のパスは、AD RMS サーバーの \inetpub\wwwroot_wmcs\certification\ServerCertification.asmx です。
  • AD RMS スーパー ユーザー: トランスポートの暗号化解除、ジャーナル レポートの暗号化解除、Outlook Web Appの IRM、および Exchange Search 用の IRM を有効にするには、Exchange セットアップによって作成されたシステム メールボックスであるフェデレーション配信メールボックスを AD RMS クラスターの AD RMS スーパー ユーザー グループに追加する必要があります。 詳細情報については、「Add the Federation Mailbox to the AD RMS Super Users Group」を参照してください。

IRM の構成とテスト

IRM 機能を構成するには、シェルを使用する必要があります。 個々の IRM 機能を構成するには、Set-IRMConfiguration コマンドレットを使用します。 IRM 機能を構成する方法の詳細については、「 Information Rights Management の手順」を参照してください。

Exchange サーバーを設定したら、 Test-IRMConfiguration コマンドレットを使用して、IRM 展開のエンドツーエンド テストを実行できます。 このコマンドレットは、組織の IRM 構成を検証し、保護されたボイス メールを有効にする前に実行する必要があります。 Test-IRMConfiguration コマンドレットは、次のテストを実行します。

  • Exchange 組織の IRM 構成を検査する。
  • AD RMS サーバーのバージョンや修正プログラムの情報を確認する。
  • Rights Account Certificate と Client Licensor Certificate (CLC) を取得して、Exchange サーバーを RMS に対してアクティブ化できるかどうかを確認します。
  • AD RMS 権利ポリシー テンプレートを AD RMS サーバーから取得する
  • 指定された送信者が IRM で保護されたメッセージを送信できることを確認する。
  • 指定された受信者のスーパー ユーザー使用ライセンスを取得する。
  • 指定された受信者のプレライセンスを取得する。

クライアントのサポートとエンド ユーザーの機能

保護されたボイス メール メッセージを聞くのに使用する電子メール クライアント ソフトウェアは、IRM をサポートし、UM で保護された音声メッセージを読むことができる必要があります。 サポートされているEmailクライアントには、Microsoft Outlook 2010以降のバージョン、Outlook Web App、Outlook Voice Access が含まれます。 次の表は、電子メール クライアントの一覧と、それがサポート対象であるかどうかを示しています。

電子メール クライアント 説明
Outlook
  • 保護された音声メッセージは、Outlook 2010 以降のバージョンでサポートされています。
Outlook Web App
  • Exchange 2010 以降のバージョンのOutlook Web Appでは、保護されたボイス メール メッセージがサポートされています。 Outlook Web Access と呼ばれる以前のバージョンのOutlook Web Appはサポートされていません。
Outlook Voice Access
  • Exchange 2010 以降のバージョンの Outlook Voice Access では、保護されたボイス メールがサポートされています。 Exchange 2007 に含まれる Outlook Voice Access では、保護されたボイス メールはサポートされていません。
  • ユーザーのメールボックスは、Exchange 2010 以降のバージョンのメールボックス サーバーに存在する必要があります。
Exchange ActiveSync
  • 保護されたボイス メールは、Exchange 2010 SP1 以降でサポートされています。
その他の電子メール クライアント
  • 保護されたボイス メールはサポートされていません。

保護された音声メッセージの構造

保護されたボイス メール メッセージには、それぞれ 2 つのメッセージが含まれています。 1 つは、暗号化されていない外部のメッセージです。 このメッセージには、message.rpmsg という名前の添付ファイルが含まれます。 この添付ファイルには、IRM で保護された音声メッセージと内部の権限管理制御データが含まれます。 権限管理制御データには、コンテンツ キーと、音声メッセージにアクセスできるユーザーおよびそのアクセス方法を指定する権限情報が含まれます。

保護された音声メッセージは、 ボイス メール 検索フォルダーのユーザーの受信トレイに表示されます。 ユーザーは、埋め込みオーディオ プレーヤーを使用して、通常の音声メッセージを聞くのと同じように音声メッセージを聞くことができます。ただし、[転送] ボタンが無効になり、保護されていることと転送できないことを示すメモがメッセージの上部に表示されます。

保護されたボイス メールをサポートしていない電子メール クライアントの場合、外部メッセージの本文が表示されます。 クライアントのソフトウェアが、UM メールボックス ポリシーで保護されているボイス メールをサポートしていない場合、管理者はテキストを含めることができます。 UM メールボックス ポリシーを構成すると、電子メール メッセージに含まれる既定のテキストをカスタマイズできます。 たとえば、次のようなカスタマイズされたテキストを使用して UM メールボックス ポリシーを構成できます。

このボイス メール メッセージは保護されているため開けられません。 この音声メッセージを表示またはリッスンするには、メールボックスにサインインするか https://mail.contoso.com 、+1 (425) 555-1234 を呼び出して Outlook Voice Access を呼び出します。

保護されたボイス メール メッセージの作成

保護された音声メッセージは、次の 2 通りの場合に作成することができます。

  • 通話応答: 通話応答は、呼び出し元が UM 対応ユーザーを呼び出したときに発生しますが、ユーザーは通話に応答できないか、ボイス メールに直接転送します。 通話応答のシナリオでは、発信者が音声メッセージを録音した後、ボイス メール システムによって一連の音声プロンプトが再生されます。

    呼び出し元は、pound (#) キーを押して音声メッセージをプライベートとしてマークするオプションなど、追加のメッセージ オプションから選択できます。 呼び出し元が # キーを押した場合、UM によって提供される指示に従って、メッセージをプライベートとしてマークしたり、プライベート音声メッセージからプライベート マーキングを削除したり、音声メッセージを高い重要度でマークしたりできます。 次の図は、呼び出し元がユーザーのプライベート音声メッセージを残すときに使用できるメニュー オプションを示しています。

    注:

    通話応答呼び出しの場合、UM はメッセージの宛先である受信者の UM メールボックス ポリシーの保護されたボイス メールに関する設定を使用します。これは、発信者が認証されていないためです。

    通話応答を使用して保護されたボイス メールを作成します。

  • Outlook Voice Access: Outlook Voice Access を使用すると、UM 対応ユーザーは、自分の Outlook 音声アクセス番号をダイヤルすることで、アナログ電話、デジタル電話、携帯電話を使用してメールボックスにアクセスできます。 UM が有効なユーザーが使用できるユニファイド メッセージングのユーザー インターフェイスには、電話ユーザー インターフェイス (TUI) と音声ユーザー インターフェイス (VUI) の 2 つがあります。

    Outlook Voice Access ユーザーは、ディレクトリ内の連絡先を検索して、その連絡先に音声メッセージを送信できます。 UM が有効な受信者に対して保護されたボイス メールが有効になっている場合、発信者はメッセージの録音後に、このメッセージをプライベートとしてマークすることができます。 または、管理者が UM メールボックス ポリシーを構成して、認証されているユーザーから送信される音声メッセージをすべて UM で保護するようにもできます。

    注:

    発信者が認証されている場合は、この発信者にリンクされている UM メールボックス ポリシーの、保護されたボイス メールの設定が適用されます。この場合、音声メッセージの宛先である受信者の UM メールボックス ポリシーの設定は関係ありません。

    音声インターフェイスを使用して保護されたボイス メールを作成します。

    タッチトーン入力を使用して保護されたボイス メールを作成します。する

UM メールボックス ポリシー

ユニファイド メッセージング メールボックス ポリシーを作成して、PIN のポリシー設定、ダイヤル制限、および保護されたボイス メールの設定など、一連の共通の UM ポリシー設定を、UM が有効なメールボックスのコレクションに適用することができます。 UM メールボックス ポリシーの詳細については、「 UM メールボックス ポリシーの管理」を参照してください。

EAC または Set-UMMailboxPolicy コマンドレットを使用して、保護されたボイス メールのオプションを構成できます。 次の表は、保護されたボイス メール向けに構成できる設定の一覧です。

Shell パラメーター EAC での使用の可否 説明
ProtectAuthenticatedVoiceMail はい ProtectAuthenticatedVoiceMail パラメーターは、UM 対応ユーザーが Outlook Voice Access を使用してメールボックスにアクセスするときに、保護された音声メッセージを送信できるかどうかを指定します。 既定の設定は です None。 つまり、音声メッセージの作成時には保護が適用されず、発信者は音声メッセージをプライベートとしてマークできないということです。 値が に Private設定されている場合、呼び出し元によってプライベートとしてマークされたメッセージのみが保護されます。 値が に All設定されている場合、呼び出し元によって選択されたオプションに関係なく、すべての音声メッセージが保護されます。
ProtectUnauthenticatedVoiceMail はい ProtectUnauthenticatedVoiceMail パラメーターは、UM メールボックス ポリシーに関連付けられている UM 対応ユーザーの呼び出しに応答するメールボックス サーバーが、保護された音声メッセージを作成するかどうかを指定します。 この設定は、UM 自動応答から UM が有効なユーザーへメッセージを送信する場合にも適用されます。 既定の設定は です None。 つまり、音声メッセージに対して保護が適用されず、発信者はメッセージをプライベートとしてマークできないということです。 値が に Private設定されている場合、呼び出し元によってプライベートとしてマークされたメッセージのみが保護されます。 値が に All設定されている場合、メッセージが呼び出し元によってプライベートとしてマークされているかどうかに関係なく、すべての音声メッセージが保護されます。
ProtectedVoiceMailText はい ProtectedVoiceMailText パラメーターは、保護されたボイス メール メッセージの外部メッセージの本文に含めるテキストを指定します。 このテキストは、保護されたボイス メール メッセージをサポートしないすべての電子メール クライアント アプリケーションで表示されます。 このプロパティが に設定されている場合、または が空の場合、既定のメッセージは常に Null UM によって提供されることに注意してください。
RequireProtectedPlayOnPhone はい RequireProtectedPlayOnPhone パラメーターは、UM メールボックス ポリシーに関連付けられているユーザーが(Play On Phone を使用して) 電話で保護された音声メッセージを強制的にリッスンするかどうかを指定します。 既定値は[$false.値] が に$true設定されている場合、Outlook または Outlook Web App の保護されたボイス メール フォームのオーディオ メディア プレーヤーが無効として表示されます。 音声メッセージのプレビュー テキストには常にアクセスできることに注意してください。 ユーザーは、メディア プレーヤー ソフトウェアを使用してオーディオ ファイルを再生したり、埋め込みメディア プレーヤーを使用して音声メッセージを聞いたりすることはできません。
AllowVoiceResponseToOtherMessageTypes はい AllowVoiceResponseToOtherMessageTypes パラメーターは、メールにアクセスするために Outlook Voice Access に対して認証を行った発信者が、メール メッセージと会議出席依頼に対する音声応答を作成できるかどうかを指定します。

保護されたボイス メール設定を管理する方法の詳細については、「 保護されたボイス メールの手順 」または 「Set-UMMailboxPolicy」を参照してください。

テキスト メッセージ通知および保護されたボイス メール

音声メッセージの受信時に自分の携帯電話にテキスト メッセージ通知 (SMS 通知とも呼ばれる) を送信するように UM アカウントを構成していると、テキスト メッセージの本文の一部として、オーディオ トランスクリプション (ボイス メール プレビュー) テキストも受信します。 ただし、保護された音声メッセージの場合、音声メッセージの内容を常に保護する必要があるため、セキュリティ上の問題があります。

UM は、保護されている音声メッセージのテキスト メッセージ通知を作成すると、音声メッセージがプライベートとしてマークされているかどうかを確認します。 その場合、携帯電話に送信するテキスト メッセージに文字起こしされたオーディオ テキストは追加されません。 代わりに、次のテキストがテキスト メッセージに含まれます。

Outlook Voice Access を使用して、この保護されたボイス メール メッセージにアクセスします。