Skype for Business Server のユーザーとクライアントの認証

信頼されたユーザーとは、Skype for Business Server の信頼されたサーバーによって資格情報が認証されるユーザーです。 このサーバーは通常、Standard Edition サーバー、Enterprise Edition フロントエンド サーバー、またはディレクターです。 Skype for Business Server は、ユーザー資格情報の単一の信頼できるバックエンド リポジトリとして Active Directory Domain Services に依存しています。

認証では、ユーザーの資格情報が信頼されたサーバーに渡されます。 Skype for Business Server では、ユーザーの状態と場所に応じて、次の認証プロトコルが使用されます。

  • Active Directory 資格情報を持つ内部ユーザー向けの MIT Kerberos バージョン 5 セキュリティ プロトコル。 Kerberos では、Active Directory Domain Services へのクライアント接続が必要です。そのため、企業ファイアウォールの外部でクライアントを認証するために使用することはできません。

  • 企業ファイアウォールの外部のエンドポイントから接続している Active Directory 資格情報を持つユーザー向けの NTLM プロトコル。 Access Edge サービスは、サインイン要求をディレクター (存在する場合) またはフロントエンド サーバーに渡して認証を行います。 Access Edge サービス自体は認証を実行しません。

    注意

    NTLM プロトコルは Kerberos ほど攻撃に対して強くないので、NTLM の使用を最小限にしている組織もあります。 その結果、Skype for Business Server へのアクセスは、VPN または DirectAccess 接続を介して接続された内部クライアントまたはクライアントに制限される可能性があります。

  • ダイジェスト プロトコル: いわゆる匿名ユーザーに対して使用されます。 匿名ユーザーは、Active Directory の資格情報を認識していないが、オンプレミスの会議に招待され、有効な会議キーを持っている外部ユーザーです。 ダイジェスト認証は、他のクライアント操作には使用されません。

Skype for Business Server 認証は、次の 2 つのフェーズで構成されます。

  1. クライアントとサーバーの間に、セキュリティ アソシエーションが確立されます。

  2. クライアントとサーバーは、既存のセキュリティ アソシエーションを使用して、送信するメッセージに署名し、受信するメッセージを検証します。 認証がサーバーで有効になっている場合、クライアントからの認証されていないメッセージは受け入れられません。

ユーザーの信用情報は、ユーザー ID 自体ではなく、ユーザーから送信される各メッセージに添付されます。 サーバーは、各メッセージについて、送信元ユーザーの資格情報が有効であるかどうか確認します。 ユーザーの資格情報が有効な場合、そのメッセージを受け取る最初のサーバーだけでなく、信頼済みサーバー クラウドに属する他のすべてのサーバーで、そのメッセージが受信できるようになります。

フェデレーション パートナーによって発行された有効な資格情報を持つユーザーは信頼されますが、必要に応じて、他の制約によって内部ユーザーに付与される権限の全範囲を享受できなくなります。

ICE プロトコルおよび TURN プロトコルでも、IETF TURN RFC に記載されているとおり、ダイジェスト認証が使用されます。

クライアント証明書は、ユーザーが Skype for Business Server によって認証される別の方法を提供します。 ユーザー名とパスワードを提供する代わりに、ユーザーは証明書と、暗号化認証の解決に必要な証明書に対応する秘密キーを持ちます。 (この証明書には、ユーザーを識別し、Skype for Business Server を実行しているサーバーによって信頼され、証明書の有効期間内にあり、失効していないルート CA によって発行されるサブジェクト名またはサブジェクトの別名が必要です)。認証するには、ユーザーは個人識別番号 (PIN) を入力するだけで済みます。 証明書は、ユーザー名とパスワードの入力が困難な電話、携帯電話、およびその他のデバイスに役立ちます。

ASP .NET 4.5 による暗号化要件

Skype for Business Server 2015 CU5 の時点では、AES は ASP.NET 4.6 ではサポートされていないため、Skype 会議アプリの起動に失敗する可能性があります。 クライアントがマシン キーの検証値として AES を使用している場合は、IIS の Skype 会議アプリ サイト レベルで、コンピューター キーの値を SHA-1 または別のサポートされているアルゴリズムにリセットする必要があります。 必要に応じて、「 IIS 8.0 ASP.NET 構成管理 」を参照してください。

その他に次の値がサポートされます。