Exchange ActiveSync のための認証の構成

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-04-06

認証は、クライアントおよびサーバーがデータを送信するために識別情報を検証するプロセスです。Microsoft Exchange Server 2007 では、認証を使用して、Exchange サーバーと通信するユーザーまたはクライアントが主張どおりの身元であるかどうかを判断します。認証を使用して、デバイスが特定の個人に属しているか、または特定の個人が Microsoft Office Outlook Web Access にログオンしようとしていることを確認できます。

Exchange 2007 およびクライアント アクセス サーバーの役割をインストールすると、いくつかのサービス用の仮想ディレクトリが構成されます。これらのサービスには、Outlook Web Access、可用性サービス、ユニファイド メッセージング、および Microsoft Exchange ActiveSync が含まれます。既定では、各仮想ディレクトリは認証方法を使用するように構成されます。Exchange ActiveSync の場合、仮想ディレクトリは基本認証および SSL (Secure Sockets Layer) を使用するように構成されます。Exchange ActiveSync 仮想ディレクトリの認証方法を変更することによって、Exchange ActiveSync サーバーの認証方法を変更できます。

ここでは、Exchange ActiveSync サーバーで使用できる認証方法の概要について説明します。Exchange ActiveSync では、クライアントとは Exchange 2007 サーバーと同期するために使用される物理デバイスを指します。

認証方法の選択

Exchange ActiveSync 用に選択できる認証の主な種類としては、基本認証、証明書ベースの認証、およびトークンベース認証の 3 種類があります。Exchange 2007 を実行しているコンピュータにクライアント アクセス サーバーの役割をインストールすると、Exchange ActiveSync は SSL (Secure Sockets Layer) による基本認証を使用するように構成されます。証明書ベースの認証で SSL 接続を確立するには、モバイル デバイスにユーザーの認証用に作成された有効なクライアント証明書をインストールする必要があります。また、モバイル デバイスはサーバーからの信頼されたルート証明書のコピーも持っている必要があります。トークンベース認証を選択する場合、トークン ベンダと共同して構成する必要があります。

基本認証

基本認証は、最も単純な認証方法です。基本認証では、サーバーがクライアントにユーザー名とパスワードを送信することを要求します。該当するユーザー名とパスワードはインターネット上をクリア テキストで送信されます。サーバーは、受信したユーザー名とパスワードが有効であることを確認すると、クライアントにアクセス許可を与えます。既定では、Exchange ActiveSync にはこの種の認証が有効になっています。ただし、SSL (Secure Sockets Layer) も展開しない限り、基本認証は無効にすることをお勧めします。SSL 経由で基本認証を使用する場合、ユーザー名とパスワードはクリア テキストで送信されますが、信号チャネルが暗号化されます。

証明書ベースの認証

証明書ベースの認証では、デジタル証明書を使用して認識情報を検証します。証明書ベースの認証では、ユーザー名とパスワードに加え、Exchange 2007 サーバーに格納されているメールボックス リソースをにアクセスしようとしているユーザーの認識情報を証明する資格情報も提供します。デジタル証明書は、デバイスに格納されている秘密キーとサーバーにインストールされている公開キーの 2 つのコンポーネントで構成されています。Exchange 2007 を Exchange ActiveSync の証明書ベースの認証を要求するように構成すると、以下の条件を満たすデバイスのみが Exchange 2007 と同期できます。

  • デバイスにユーザーの認証用に作成された有効なクライアント証明書がインストールされている。
  • デバイスが SSL 接続を確立するために接続するサーバー用の信頼されたルート証明書を持っている。

証明書ベースの認証を展開する場合、ユーザー名とパスワードしか持っていないユーザーは Exchange 2007 と同期できません。異なるレベルのセキュリティとして、デバイスが Microsoft Windows XP の Desktop ActiveSync 4.5 以降のバージョンまたは Microsoft Windows Vista の Windows Mobile デバイス センターによってドメインに参加しているコンピュータに接続されている場合にのみ、認証用のクライアント証明書をインストールすることができます。

トークンベース認証システム

トークンベース認証システムは、2 要素による認証システムです。2 要素による認証は、自分のパスワードなどユーザーが知っている情報の一部と、通常はユーザーが持ち歩けるクレジット カードやキーホルダー状の外部デバイスに基づいています。各デバイスは一意のシリアル番号を持っています。一部のベンダは、ハードウェア トークンに加え、モバイル デバイス上で実行できるソフトウェアベース トークンも提供しています。

トークンは、通常 6 桁で、60 秒ごとに変わる一意の番号を表示して動作します。トークンは、ユーザーに表示されるときにサーバー ソフトウェアと同期されます。認証するには、ユーザーはユーザー名、パスワード、および現在トークンに表示されている番号を入力します。トークンベース認証システムの中には、ユーザーに PIN の入力を要求するものもあります。

トークンベース認証は、強力な形式の認証です。トークンベース認証の欠点は、すべてのユーザーのコンピュータまたはモバイル デバイスに認証サーバー ソフトウェアをインストールして、認証ソフトウェアを展開する必要があるということです。また、ユーザーが外部デバイスを紛失するというリスクもあります。これは、紛失した外部デバイスを交換する必要があるので、コストがかかる場合があります。ただし、デバイスは持ち主であるユーザーの認証情報がなければ第三者にとっては役に立ちません。

トークンベース認証システムを発行している会社は数社あります。RSA はその 1 社です。RSA 製品の SecurID は、キー フォブやクレジット カードなど、さまざまな形態があります。トークンを通じて 1 回限り有効な認証コードが発行されます。各認証コードは 60 秒間有効です。また、大部分のトークンには、デバイス上に一連のドットなどで有効期限を示すインジケータが備わっています。そのコードの有効期限が少なくなるにつれてこのドットも消えていきます。このインジケータは、認証プロセスの完了前にユーザーが正しいコードを入力しないようにして、ただ有効期限が切れるようにします。認証の完了後は、自ら希望するか、または非アクティブによるデバイスのタイムアウトによってログオフしない限り、ユーザーは新しいコードで認証する必要はありません。トークンベース認証を構成する方法の詳細については、特定のシステムのマニュアルを参照してください。

詳細情報

Exchange ActiveSync の認証を構成する方法の詳細については、以下のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。