• [アーティクル]

社内会議における脅威への対応

トピックの最終更新日: 2009-03-10

Office Communications Server 2007 R2 では、ファイアウォールの内部と外部の両方のエンタープライズ ユーザーが、内部の Office Communications Server 2007 R2 サーバーにホストされるリアルタイム Web 会議を作成し、参加する機能が導入されています。エンタープライズ ユーザーは、Active Directory ドメイン サービス アカウントを持たない外部ユーザーを招待することもできます。セキュアな認証済み ID を持つフェデレーション パートナーが雇用しているユーザーも電話会議に参加でき、発表者に昇格された場合には発表者の役目を果たすこともできます。匿名ユーザーは、電話会議を作成したり発表者として電話会議に参加することはできませんが、参加後に発表者に昇格できます。

社内 Web 会議は、次のような Office Communications Server の基本的なセキュリティ フレームワークを基盤に構築されます。

  • すべてのサーバーは信頼済みです。
  • すべてのサーバー接続は MTLS 接続です。
  • すべての通信が暗号化されます。
  • すべてのユーザーが認証されます。

分散プール構成内の内部音声ビデオ会議サーバーは、MTLS 経由でフロントエンド サーバーおよび仲介サーバーに接続します。内部 Web 会議サーバーは、MTLS 経由でフロントエンド サーバーおよび Web 会議エッジ サービスに接続します。Standard Edition サーバーまたは集中プール構成の場合、会議サーバーはフロントエンド サーバー上に配置されますが、共存するコンポーネント間の通信にも MTLS が必要です。

社外ユーザーを社内 Web 会議に参加できるようにすることで、この機能の価値が大幅に高まりますが、これはセキュリティ上のリスクも伴います。このようなリスクに対処するために、Office Communications Server には、次のような追加の予防措置が用意されています。

  • 参加者の役割によって、電話会議制御特権が決まります。
  • 参加者の種類によって、個々の会議へのアクセスを制限できます。
  • 定義済みの会議の種類によって、参加者の種類が決まります。
  • 電話会議の予約は、内部ネットワーク内の Active Directory 資格情報を持ち、Office Communications Server 2007 R2 に対して有効にされているユーザーのみが行うことができます。
  • 匿名ユーザー (つまり、認証されていないユーザー) が会議に参加するには、固有の電話会議パスワードを提示し、ダイジェスト認証に合格する必要があります。パスワードは電話会議ごとに固有です。

参加者の役割

会議参加者は 3 種類のグループに分類され、それぞれに独自の特権と制限があります。

  • 開催者 今すぐ開始するか、スケジュールを組んで、会議を作成するユーザー。開催者は、認証されたエンタープライズ ユーザーである必要があり、会議のエンド ユーザーのあらゆる面を制御できます。
  • 発表者サポートされている任意のメディアを使用して、会議で情報を発表することを承認されているユーザー。定義上、会議の開催者は発表者でもあり、他のだれが発表者となれるかを決定します。開催者は、会議がスケジュールされるとき、または会議が進行中のときに、この決定を行うことができます。
  • 参加者会議への出席を招待されているが、発表者の役目を果たすことは承認されていないユーザー。

発表者は、会議中に参加者を発表者の役割に昇格することもできます。

参加者の種類

会議の参加者は、場所および資格情報により分類することもできます。管理者は、これら両方の特性を使用して、個々の会議にどのユーザーがアクセスできるかを指定できます。ユーザーは、内部ユーザーと外部ユーザーに大きく分かれます。

  • 内部ユーザーは、エンタープライズ内の Active Directory 資格情報を持ち、企業ファイアウォールの内部にある場所から接続します。
  • 外部ユーザーは、企業ファイアウォールの外部にある場所からエンタープライズに一時的または永続的に接続するユーザーです。外部ユーザーは、Active Directory 資格情報を持っている場合があります。Office Communications Server 2007 R2 は、次の種類の外部ユーザーに対して会議サポートを提供します。
    • リモート ユーザーは、エンタープライズ内の永続的な Active Directory ID を持っています。これには、自宅や外出先で作業する従業員や、サービス期間中にエンタープライズ資格情報を付与された信頼できるベンダの従業員などが含まれます。リモート ユーザーは、電話会議を作成して参加し、発表者の役目を果たすことができます。
    • フェデレーション ユーザーは、フェデレーション パートナーの有効な資格情報を所有しているため、Office Communications Server 2007 R2 により認証されたユーザーとして扱われます。フェデレーション ユーザーは、電話会議に参加し、会議参加後に発表者に昇格できますが、フェデレーションされているエンタープライズで電話会議を作成することはできません。
    • 匿名ユーザーは、Active Directory ID を持っておらず、エンタープライズとのフェデレーションは行われません。会議では、パブリック クラウド ユーザーは匿名ユーザーとして扱われます。

顧客データは、多くの電話会議に外部ユーザーが関係していることを示します。これらの顧客は、外部ユーザーに会議への参加を許可する前に、これらのユーザーの識別情報に関する再確認も希望します。次のセクションで説明するように、Office Communications Server 2007 R2 では、会議へのアクセスは、明示的に許可されているユーザーの種類に制限されます。また、すべての種類のユーザーに対して会議への参加時に適切な資格情報を提示するよう求めます。

会議の種類

Office Communications Server 2007 R2 は、次の種類のユーザーが参加する会議をサポートするように構成できます。

  • 内部ユーザーのみ エッジ サーバーを展開しない場合は、すべての参加者がエンタープライズ内の永続的な Active Directory ID を持ち、組織のファイアウォール内からのみ接続できます。
  • 認証されたユーザーのみ すべての参加者がエンタープライズ内またはフェデレーション エンタープライズ内の Active Directory ID を持ち、組織のファイアウォールの内部または外部から接続できます。

認証されたユーザーにのみ公開されている会議は、次の 2 種類のいずれかです。

  • ネットワーク内で招待 すべてのエンタープライズ ユーザーが会議に参加できます。これらのユーザーは、会議の開催者によって発表者として指定されていない限り、出席者として参加します。フェデレーション ユーザーは、開催者によって招待されている場合は会議に出席者として参加できます。フェデレーション ユーザーは、会議に発表者として参加することはできませんが、会議中に発表者に昇格できます。
  • ネットワーク内で招待 (制限付き) 非公開認証ユーザー限定ミーティングへの出席を許可されるのは、エンタープライズ内の有効な Active Directory 資格情報を持ち、会議の開催者の発表者リストおよび出席者リストに含まれているユーザーだけです。たとえば、ワークグループまたは部署の定期スケジュール会議に、この指定を使用できます。フェデレーション ユーザーや匿名ユーザーは、この種類の会議には参加できません。
  • 任意のユーザーを招待 匿名ユーザーを招待できる会議です。この種類の会議を作成するには、会議の開催者が匿名ユーザーの招待を承認されている必要があります。エンタープライズ ユーザーは、会議の開催者によって発表者として指定されていない限り、出席者として参加します。匿名ユーザーは出席者としてのみ参加しますが、会議への参加後に会議の開催者によって発表者の役割に昇格できます。匿名ユーザーが会議に参加するには、電子メールによる会議への招待で受信した電話会議キーを提示する必要があります。また、ダイジェスト認証に合格する必要もあります。ダイジェスト認証の詳細については、「Office Communications Server 2007 R2 における認証」を参照してください。