Outlook Anywhere のセキュリティについて

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2010-09-13

Outlook Anywhere (以前の RPC over HTTP) をセキュリティで保護するには、いくつかの方法があります。Outlook Anywhere が有効な Microsoft Exchange Server 2010 メッセージング環境では、ユーザーは、インターネットから Exchange にアクセスできます。Outlook Anywhere を使用して、ユーザーがインターネット上でメールボックスにアクセスする場合、Outlook プロファイルを作成または更新するたびに、自動検出サービスによって、ユーザーの Outlook プロファイル情報が自動的に検出され、ユーザーは、オフライン アドレス帳、空き時間情報サービス、ユニファイド メッセージングなどの Exchange Web サービスにアクセスできます。インターネット上のトラフィックは傍受や攻撃に対して脆弱であるため、できるだけ多くのセキュリティ オプションを含むセキュリティ戦略を検討してください。

Outlook Anywhere に関連する管理タスクについては、「Outlook Anywhere の管理」を参照してください。

目次

Outlook Anywhere のための拡張ファイアウォール サーバーの使用

Outlook Anywhere での SSL の使用

Outlook Anywhere の SSL 展開オプションの選択

Outlook Anywhere のための SSL オフロードの使用

Outlook Anywhere のための認証の構成

Outlook Anywhere および RPC 仮想ディレクトリに対する認証について

Outlook Anywhere のための拡張ファイアウォール サーバーの使用

Microsoft Internet Security and Acceleration (ISA) Server 2006、MicrosoftForefront Threat Management Gateway 2010、または MicrosoftForefront Unified Access Gateway 2010 などの高性能のファイアウォール サーバーを使用することにより、Outlook Anywhere 展開のセキュリティを強化することができます。ISA サーバー 2006 には、Exchange 2010 が Outlook Anywhere と共に動作するように ISA サーバー 2006 を構成することができるセットアップ ウィザードが用意されています。詳細については、「Outlook Anywhere での ISA Server の使用」および「Forefront Unified Access Gateway 2010 および Forefront Threat Management Gateway 2010 による Exchange Server 2010 の公開 (英語)」を参照してください。

Outlook Anywhere での SSL の使用

Outlook Anywhere を使用してインターネットから Exchange の情報にアクセスする場合は、クライアント コンピューターのオペレーティング システムが信頼する証明機関 (CA) によって発行された有効な SSL (Secure Sockets Layer) 証明書をインストールする必要があります。クライアント アクセスに対して SSL 証明書を使用する方法の詳細については、「デジタル証明書と SSL について」を参照してください。Outlook Anywhere で SSL を使用する方法の詳細については、「Outlook Anywhere のための SSL を構成する」を参照してください。

ページのトップへ

Outlook Anywhere の SSL 展開オプションの選択

SSL (Secure Sockets Layer ) を使用して、Outlook 2007 および Outlook 2010 クライアントと自動検出サービスの間にセキュリティで保護された通信を確立するには、さまざまな方法があります。Outlook Anywhere では、Outlook クライアントは DNS に自動検出サービスを照会します。Microsoft では、SSL 証明書でサブジェクトの別名 (SAN) フィールドを使用するようお勧めします。このフィールドを使用することにより、Outlook Anywhere 接続に加えて、クライアントと自動検出サービスをホストしているクライアント アクセス サーバーの間の通信を 1 つの証明書を使用してセキュリティで保護することができます。SSL 証明書の SAN を構成する方法の詳細については、「クライアント アクセス サーバーのホスト名を複数使用するように SSL 証明書を構成する」を参照してください。

複数の SSL 証明書を使用することもできます。詳細については、「複数の SSL 証明書を使用する Outlook Anywhere を構成する」を参照してください。

SSL 証明書をリダイレクトと共に使用する方法もあります。詳細については、「リダイレクト機能を持つ SSL 証明書を使用する Outlook Anywhere を構成する」を参照してください。

Outlook Anywhere のための SSL オフロードの使用

クライアント アクセス サーバー宛てのトラフィックに対して SSL 暗号化のオフロードを行うハードウェア ソリューションがある場合は、Outlook Anywhere のために SSL オフロードを構成する必要があります。詳細については、「Outlook Anywhere のための SSL オフロードの構成」を参照してください。

ページのトップへ

Outlook Anywhere のための認証の構成

Outlook Anywhere の有効化ウィザードを使用してクライアント アクセス サーバーを構成し、Outlook Anywhere にアクセスできるようにする場合は、使用する Outlook クライアントの認証方法を選択する必要があります。認証方法を選択した後は、Exchange 管理シェルで Set-OutlookAnywhere コマンドレットを使用することによって、その方法を変更できます。

Outlook Anywhere および RPC 仮想ディレクトリに対する認証について

Outlook Anywhere に対して選択する認証方法は、Outlook 2007 または Outlook 2010 クライアントが使用する認証方法です。この認証方法は、自動検出サービスにより、自動的にクライアントに提供されます。Outlook Anywhere を有効にするときに、RPC 仮想ディレクトリに対する認証の種類を選択します。基本認証、NTLM 認証、または基本認証と NTLM 認証の両方を有効にすることができます。異なる認証方法を必要とする複数のアプリケーションで IIS 仮想ディレクトリを使用している場合、基本認証と NTLM 認証の両方を有効にしてください。

注意

IIS インターフェイスを使用してこの設定を構成する場合、認証方法を必要な数だけ有効にすることができます。

RPC 仮想ディレクトリでの認証方法は、Set-OutlookAnywhere コマンドレットを使用して変更できます。詳細については、「Outlook Anywhere のための認証を構成する」を参照してください。

ページのトップへ

基本認証と Outlook Anywhere

Outlook Anywhere では基本認証を使用することができます。基本認証にはユーザー名とパスワードが必要で、インターネット上でユーザー名とパスワードをテキスト形式で送信します。MicrosoftOfficeOutlook Web App クライアントと Exchange メッセージング インフラストラクチャの間の接続をセキュリティで保護するための SSL (Secure Sockets Layer) を使用している限り、Outlook Anywhere での基本認証の使用はサポートされます。詳細については、「Outlook Anywhere のための認証を構成する」を参照してください。

統合 Windows 認証と Outlook Anywhere

ISA Server 2006、Threat Management Gateway 2010、および Unified Access Gateway 2010 は、Outlook Anywhere に対する統合 Windows 認証をサポートします。ただし、統合 Windows 認証に対応しないファイアウォールを使用している場合は、SSL で基本認証を使用する必要があります。詳細については、「Outlook Anywhere のための認証を構成する」を参照してください。NTLM 認証を使用するために必要な構成手順の詳細については、「Forefront TMG または Forefront UAG で NTLM 認証を使用した Outlook Anywhere の公開 (英語)」を参照してください。

ページのトップへ

IPsec を使用した Exchange の公開

Exchange を公開するときにクライアントとサーバーの間の接続をセキュリティで保護するには、1 つの方法として、コンピューター認証 IPsec を使用することができます。この場合は、ユーザーがサーバーにデータを入力したり、サーバーから取得したりできるようになる前に、コンピューターが正常に認証される必要があります。IPsec を使用して接続をセキュリティで保護することにより、サービスを使用するときに、ユーザーだけではなくコンピューターが確実に認証されるようにします。そのため、IPsec を使用して 2 要素の認証要件を満たすことができます。このソリューションを構成する方法の詳細については、「IPsec を使用した Exchange へのアクセスのセキュリティ保護 (英語)」を参照してください。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.