Share via

ActiveSync の認証方法の選択

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-03-20

認証は、クライアントとサーバーがその ID をデータの転送時に確認するプロセスです。Exchange 2007 では、Exchange サーバーとの通信を求めているユーザーまたはクライアントの身元が主張されているとおりの身元かどうかを、認証を使用して判断します。認証を使用すると、デバイスが特定の個人に属していること、または特定の個人が Office Outlook Web Access へのログオンを試みていることを確認できます。

Microsoft Exchange Server 2007 およびクライアント アクセス サーバーの役割をインストールした場合、一部のサービスを対象に仮想ディレクトリが構成されます。たとえば、こうしたサービスには、Outlook Web Access、可用性サービス、ユニファイド メッセージング、Microsoft  Exchange ActiveSync などがあります。既定では、各仮想ディレクトリがいずれかの認証方法を使用するように構成されます。Exchange ActiveSync の場合、仮想ディレクトリが基本認証と SSL (Secure Sockets Layer) を使用するように構成されます。Exchange ActiveSync サーバーの認証方法を変更するには、Exchange ActiveSync 仮想ディレクトリで認証方法を変更します。

ここでは、Exchange ActiveSync サーバーで使用できる認証方法の概要を説明します。Exchange ActiveSync の場合、クライアントは、Exchange 2007 サーバーとの同期で使用する物理デバイスです。

基本認証

基本認証は、最も簡単な認証方法です。基本認証では、サーバーがクライアントにユーザー名とパスワードを送信することを求めます。ユーザー名とパスワードは、インターネット経由でクリア テキストでサーバーに送信されます。サーバーは、提示されたユーザー名とパスワードが有効であることを確認し、クライアントへのアクセスを許可します。既定では、Exchange ActiveSync でこの種類の認証が有効です。ただし、SSL (Secure Sockets Layer) を展開していない場合、この基本認証は無効にすることをお勧めします。SSL 経由の基本認証を使用しているときも、ユーザー名とパスワードは依然としてプレーン テキストで送信されますが、通信チャネルが暗号化されます。

証明書ベースの認証

証明書ベースの認証では、ID を確認するためにデジタル証明書を使用します。証明書ベースの認証では、Exchange 2007 サーバー上のメールボックス リソースへのアクセスを試みているユーザーの身元を証明するユーザー名とパスワードの他に、別形式の資格情報を提供します。デジタル証明書は、デバイス上に保存される秘密キーと、サーバーにインストールされる公開キーの 2 つのコンポーネントから構成されます。Exchange ActiveSync の証明書ベースの認証を要求するように Exchange 2007 を構成した場合、次の条件を満たすデバイスのみが Exchange 2007 と同期できます。

  • ユーザー認証用に作成された有効なクライアント証明書がデバイスにインストールされている。
  • SSL 接続を確立するために接続するサーバーの信頼されたルート証明書がデバイスに存在する。

証明書ベースの認証を展開すると、ユーザー名とパスワードしか持たないユーザーが Exchange 2007 と同期できなくなります。デバイスが Windows XP の Desktop ActiveSync 4.5 以降のバージョン、または Windows Vista の Windows Mobile デバイス センターのいずれかを通じてドメイン参加コンピュータに接続する場合に限り、追加レベルのセキュリティとして認証用のクライアント証明書をインストールできます。

トークンベースの認証システム

トークンベースの認証システムは、2 要素による認証のシステムです。2 要素による認証は、ユーザーが把握している情報 (パスワードなど) と外部機器 (ユーザーが携帯できるクレジット カードやキー フォブなど) に基づいています。各デバイスは、固有のシリアル番号を持ちます。ハードウェア トークンに加えて、一部のベンダはモバイル デバイス上で実行できるソフトウェア ベースのトークンを提供しています。

トークンは、一般的に 6 桁長で、60 秒ごとに変化する固有の番号を表示することで機能します。トークンがユーザーに発行されると、サーバー ソフトウェアと同期します。ユーザーは、認証を行うためにユーザー名、パスワード、およびトークンに現在表示されている番号を入力します。また、トークンベースの認証システムの中には、ユーザーが PIN を入力しなければならないものもあります。

トークンベースの認証は、強力な形式の認証です。トークンベースの認証の欠点は、認証サーバー ソフトウェアをインストールし、ユーザーの各コンピュータまたは各モバイル デバイス上で認証ソフトウェアを展開する必要があることです。また、ユーザーが外部機器を紛失する危険性もあります。この場合、紛失した外部機器を代替することが必要になるため、金銭的なコストが発生します。ただし、このデバイスは、元のユーザーの認証情報を持たないサード パーティが使用することはできません。

トークンベースの認証システムを発行する企業はいくつか存在します。1 つは RSA です。それらの製品である SecurID には、キー フォブ形式やクレジット カード形式を含むさまざまな形式が用意されています。1 回限りの認証コードがトークンを通じて発行されます。各認証コードは 60 秒間有効です。また大半のトークンでは、有効期限に関する情報がデバイスに表示されます (コードの残り時間に合わせて消えていく一連のドットなど)。これは、ユーザーが正しいコードを入力できないようにするのに役立ちます。これにより、認証手順の完了前に有効期限が切れます。認証が終了した後、意図的なログオフ、または非アクティブ状態のデバイスのタイムアウトによるログオフが行われていなければ、ユーザーは新しいコードで認証する必要はありません。トークンベースの認証システムを構成する方法の詳細については、各システムのマニュアルを参照してください。

詳細情報

認証および Exchange ActiveSync セキュリティの詳細については、以下のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。