アカウントとアクセス許可の要件
トピックの最終更新日: 2009-04-01
Office Communications Server 2007 R2 のセキュリティ要件には次のものがあります。
- 管理者資格情報
- セキュリティ レベル
- メディア ゲートウェイのセキュリティ
管理者資格情報
次の表に、さまざまなサーバーの役割を展開するために必要なアクセス許可を示します。
注: |
---|
既定では、Active Directory ドメインに参加するサーバーを展開またはアクティブ化するために Domain Admins グループのメンバシップが必要です。Office Communications Server を展開するグループまたはユーザーにこのレベルの権限を付与しない場合は、セットアップの委任ウィザードを使用して、このタスクに必要なアクセス許可のサブセットを特定のグループに対して設定できます。 |
表 1. 展開タスクに必要な管理者資格情報
手順 | 必要な管理者資格情報または管理者の役割 |
---|---|
Standard Edition |
|
必要なソフトウェアのインストール |
RTCUniversalServerAdmins グループ Domain Admins グループ |
Active Directory ドメイン サービス (AD DS) の準備 |
Schema Admins グループのメンバで、スキーマ マスタにおける管理者権限を持つメンバ フォレスト ルート ドメインの EnterpriseAdmins グループのメンバ EnterpriseAdmins グループまたは DomainAdmins グループのメンバ |
セットアップのための Windows の準備 |
Administrators グループ |
DNS レコードの作成および確認 |
DNS Admins グループ |
Standard Edition サーバーとアプリケーションの展開およびアクティブ化 |
RTCUniversalServerAdmins グループ Domain Admins グループ |
Standard Edition サーバーの構成 |
RTCUniversalServerAdmins グループ |
Office Communications Server 用の証明書の構成 |
Administrators グループ RTCUniversalServerAdmins グループ |
サービスの開始 |
RTCUniversalServerAdmins グループ |
サーバー構成の検証 |
RTCUniversalServerAdmins グループ |
必要に応じて、音声ビデオ会議と Web 会議の構成 |
RTCUniversalServerAdmins グループ |
Enterprise Edition 統合トポロジ |
|
必要なソフトウェアのインストール |
RTCUniversalServerAdmins グループ Domain Admins グループ |
AD DS の準備 |
Schema Admins グループのメンバで、スキーマ マスタにおける管理者権限を持つメンバ フォレスト ルート ドメインの EnterpriseAdmins グループのメンバ EnterpriseAdmins グループまたは DomainAdmins グループのメンバ |
セットアップのための Windows の準備 |
Administrators グループ |
SQL Server のインストール |
ローカル管理者 |
Office Communications Server 用 SQL Server の構成 |
SQL Server 管理者 ローカル管理者 |
必要に応じて、プールのロード バランサの構成 |
ロード バランサ管理者 |
DNS レコードの作成および確認 |
DNS Admins グループ |
プールの作成 |
RTCUniversalServerAdmins グループ Domain Admins グループ |
プールとアプリケーションの構成 |
RTCUniversalServerAdmins グループ |
プールへのサーバーの追加 |
Administrators グループ RTCUniversalServerAdmins グループ Domain Admins グループ |
Office Communications Server 用の証明書の構成 |
Administrators グループ RTCUniversalServerAdmins グループ |
サービスの開始 |
RTCUniversalServerAdmins |
サーバーとプールの構成の確認 |
RTCUniversalServerAdmins |
ダイヤルイン会議 |
|
Office Communications Server 2007 R2 のインストールおよびアクティブ化 |
Administrators グループ RTCUniversalServerAdmins グループ Domain Admins グループ |
会議アテンダント アプリケーションと会議アナウンス サービス アプリケーションのアクティブ化 |
RTCUniversalServerAdmins グループ Domain Admins グループ |
Microsoft Office Communicator Web Access 2007 R2 バージョンのサーバーのインストール、アクティブ化、および構成 |
Administrators グループ Domain Admins グループ |
必要に応じて、Communicator Web Access へのリモート ユーザー アクセスの有効化 |
Administrators グループ Domain Admins グループ |
ダイヤルイン会議 Web ページのテスト |
Office Communications Server 2007 R2 ユーザー |
1 つ以上の場所のプロファイルの作成 |
RTCUniversalServerAdmins グループ |
ダイヤルイン会議をサポートするようにグローバル ポリシーを構成 |
RTCUniversalServerAdmins グループ |
仲介サーバーの展開 |
RTCUniversalServerAdmins グループ |
サードパーティの基本的なメディア ゲートウェイの展開 または SIP トランキングを実行するように仲介サーバーを構成 |
RTCUniversalServerAdmins グループ (仲介サーバーを構成する場合) SIP トランキング プロバイダの管理者 |
応答グループ サービス |
|
Office Communications Server 2007 R2 のインストールおよびアクティブ化 |
Administrators グループ RTCUniversalServerAdmins グループ Domain Admins グループ |
応答グループ サービス アプリケーションのアクティブ化 |
RTCUniversalServerAdmins グループ Domain Admins グループ |
エージェントの追加、エージェント グループの作成、およびサーバー プールのキューの作成 |
RTCUniversalServerAdmins グループ |
ワークフローの作成 |
RTCUniversalServerAdmins グループ |
応答グループ タブの構成 |
Domain Admins グループ |
アーカイブ サーバー |
|
必要なソフトウェアのインストール |
Administrators グループおよび Domain Admins グループ (Active Directory 統合が有効なメッセージ キューをインストールする場合) |
アーカイブ サーバーのインストールおよびアクティブ化 |
Administrators グループ Domain Admins または RTCUniversalServerAdmins グループ |
アーカイブ サーバーの関連付けの構成 |
Administrators グループ |
ユーザーのアーカイブ設定の構成 |
RTCUniversal-UserAdmins グループ |
アーカイブ サービスの開始 |
RTCUniversalUserAdmins グループ |
監視サーバー |
|
必要なソフトウェアのインストール |
Administrators グループ Domain Admins グループ (Active Directory 統合が有効なメッセージ キューをインストールする場合) |
監視サーバーのインストールおよびアクティブ化 |
Administrators グループ Domain Admins または RTCUniversalServerAdmins グループ |
サービスの開始 |
Administrators グループ |
監視サーバー レポートの展開 |
Administrators グループ |
監視サーバーの関連付けの構成 |
Administrators グループ |
Communicator Web Access |
|
インストールおよびアクティブ化 |
Domain Admins |
仮想サーバーの作成 |
Domain Admins、または RTCUniversalServerAdmins およびローカル管理者 |
Communicator Web Access URL の公開 |
Domain Admins、または RTCUniversalServerAdmins およびローカル管理者 |
Communicator Web Access 設定の管理 |
Domain Admins、または RTCUniversalServerAdmins およびローカル管理者 |
グループ チャット |
|
SQL Server データベースの作成 |
データベース管理者 |
グループ チャットのアカウントとアクセス許可の設定 |
Administrators グループ |
グループ チャットの証明書の取得 |
Administrators グループ |
グループ チャットのインストール |
Administrators グループ |
IIS における Web サイト設定の構成 |
Administrators グループ |
グループ チャットへのグループ チャット管理ツールの接続 |
Administrators グループ チャネル サービス管理者 |
グループ チャットのユーザー アクセスの構成 |
Administrators グループ |
アーカイブとコンプライアンスのサポートの展開 |
データベース管理者 Administrators グループ |
管理ツール |
|
Office Communications Server を実行していない集中管理コンソールへの管理ツールのインストール |
Administrators グループ Domain Admins グループ |
ユーザー アカウント設定の構成 |
RTCUniversal-UserAdmins |
その他のすべての設定 (ユーザー アカウント設定以外) の構成 |
RTCUniversalServerAdmins |
エッジ サーバー |
|
エッジ サーバーのインフラストラクチャの設定 |
Administrators グループ |
エッジ サーバーの設定 |
Administrators グループ Domain Admins または RTCUniversalServerAdmins グループ |
環境の構成 |
Administrators グループ Domain Admins または RTCUniversalServerAdmins グループ |
エッジ構成の検証 |
Administrators グループ Domain Admins または RTCUniversalServerAdmins グループ |
Communicator Mobile for Windows Mobile |
|
インストールの前提条件 |
管理者 |
Communicator Mobile for Windows Mobile のインストール |
管理者 |
自己署名証明書のインストール |
管理者 |
クライアントの構成 |
管理者 |
IM およびプレゼンスのテスト |
管理者 |
Communicator Mobile for Java |
|
前提条件および依存関係が満たされていることの確認 |
管理者 |
Communicator Mobile コンポーネントの展開 |
管理者 |
Communicator Mobile for Java クライアント ソフトウェアのインストール |
管理者 |
クライアントの構成と使用 |
管理者 |
IM およびプレゼンスのテスト |
管理者 |
外部音声コントロール |
|
Office Communications Server 2007 R2 のインストールおよびアクティブ化 |
Administrators グループ RTCUniversalServerAdmins グループ Domain Admins グループ |
外部音声コントロール アプリケーションのアクティブ化 |
RTCUniversalServerAdmins グループ Domain Admins グループ |
アプリケーションの起動 |
RTCUniversalServerAdmins グループ |
サポートされているモバイル クライアントでの外部音声ダイヤルのテスト |
Office Communications Server 2007 R2 ユーザー |
エンタープライズ VoIP と PBX の共存 |
|
PBX に接続する仲介サーバーを含む、Office Communications Server の展開 |
|
Office Communicator 2007 の展開 |
Office Communicator がインストールされているコンピュータの管理者 |
IM およびプレゼンスに対するユーザーの有効化 |
RTCUniversalUserAdmins グループ |
エンタープライズ VoIP 用の Communications Server の構成 |
RTCUniversalServerAdmins グループ |
通話を Office Communications Server に分岐するように PBX を構成 |
RTCUniversalServerAdmins (内線番号を正しい電話 URI に変換するために AD DS から情報を取得する場合) |
メディア ゲートウェイの展開 (必要な場合) |
メディア ゲートウェイは、独自の認証方式と承認方式を備えた外部システムです。メディア ゲートウェイで信頼済みサービス エントリの作成が必要な場合は、少なくとも RTCUniversalServerAdmins グループのメンバである必要があります。 |
RCC ゲートウェイの展開 (必要な場合) |
RCC ゲートウェイは、独自の認証方式と承認方式を備えた外部システムです。必要な信頼済みサービス エントリを作成するには、少なくとも RTCUniversalServerAdmins グループのメンバである必要があります。 |
エンタープライズ VoIP と PBX 統合に対するユーザーの有効化 |
RTCUniversalUserAdmins グループ |
エンタープライズ VoIP のスタンドアロン (PBX 共存なし) |
|
Office Communications Server の展開 |
|
Office Communicator 2007 の展開 |
Office Communicator がインストールされているコンピュータの管理者 |
エンタープライズ VoIP 用の Office Communications Server の構成 |
RTCUniversalUserAdmins グループ |
Exchange Server 2007 ユニファイド メッセージングの展開、および Office Communications Server との統合 |
|
メディア ゲートウェイの展開 |
メディア ゲートウェイは、独自の認証方式と承認方式を備えた外部システムです。メディア ゲートウェイで信頼済みサービス エントリの作成が必要な場合は、少なくとも RTCUniversalServerAdmins グループのメンバである必要があります。 |
エンタープライズ VoIP に対するユーザーの有効化 |
RTCUniversalUserAdmins グループ |
デバイス更新サービス |
|
展開 |
デバイス更新サービスは Web コンポーネント サーバーに自動的にインストールされます。Standard Edition または Enterprise Edition の展開に必要なアクセス許可以外に、展開用の特定のアクセス許可は必要ありません。 |
セキュリティ レベル
Office Communications Server 2007 R2 の展開に必要なセキュリティ レベルは、組織で展開する予定のコンポーネントによって異なります。
Exchange UM セキュリティ レベル
Exchange ユニファイド メッセージング (UM) ダイヤル プランでは、Unsecured、SIPSecured、および Secured の 3 種類のセキュリティ レベルをサポートしています。セキュリティ レベルは、UM ダイヤル プランの VoipSecurity パラメータを使用して構成します。相互 TLS (MTLS) およびセキュア リアルタイム転送プロトコル (SRTP) が有効になっているか、無効になっているかに応じたダイヤル プランの適切なセキュリティ レベルを次の表に示します。
表 2. 相互 TLS と SRTP のさまざまな組み合わせに対応する VoipSecurity の値
セキュリティ レベル | 相互 TLS | SRTP |
---|---|---|
Unsecured |
無効 |
無効 |
SIPSecured |
有効 (必須) |
無効 |
Secured |
有効 (必須) |
有効 (必須) |
Exchange UM を Communications Server 2007 R2 と統合する場合、各音声プロファイルに最も適したダイヤル プランのセキュリティ レベルを選択する必要があります。この選択を行うときには、以下の点を考慮してください。
- Exchange UM と Office Communications Server との間には MTLS が必要です。したがって、ダイヤル プランのセキュリティ レベルを Unsecured に設定することはできません。
- ダイヤル プランのセキュリティを SIPSecured に設定すると、SRTP は無効になります。この場合は、Office Communicator 2007 R2 クライアントの暗号化レベルを "rejected" または "optional" に設定する必要があります。
- ダイヤル プランのセキュリティを Secured に設定すると、SRTP が有効になります。SRTP は Exchange UM で必要とされます。この場合は、Office Communicator 2007 R2 クライアントの暗号化レベルを "optional" または "required" に設定する必要があります。
メディア ゲートウェイのセキュリティ
仲介サーバーと Communications Server ネットワーク間で双方向に送信されるメディアは、SRTP を使用して暗号化されます。パケット セキュリティ用 IPsec に依存する組織でエンタープライズ VoIP を展開する場合は、小規模なメディア ポート範囲の例外を作成することを強くお勧めします。IPsec に必要なセキュリティ ネゴシエーションは、通常の UDP 接続または TCP 接続で機能しますが、通話設定の速度が許容不能なレベルにまで低下する可能性があります。
メディア ゲートウェイは、セキュリティ攻撃を受けやすい PSTN から通話を受信するので、次の緩和措置を実施することが推奨されます。
- ゲートウェイと仲介サーバーの間のリンクに対して TLS を有効にします。これにより、ゲートウェイと内部ユーザーの間で信号が暗号化されます。
- 2 つのネットワーク アダプタを備えたコンピュータに仲介サーバーを展開することにより、物理的にメディア ゲートウェイを内部ネットワークから分離します。一方のネットワーク アダプタは内部ネットワークからのトラフィックのみを受け付け、もう一方はメディア ゲートウェイからのトラフィックを受け付けます。カードはそれぞれ、個別のリッスン アドレスで構成されるため、Communications Server ネットワーク内で発生した信頼できるトラフィックと、PSTN からの信頼性の低いトラフィックが常に明確に区別されます。
仲介サーバーの内部エッジは、IP アドレスとポート番号で記述される一意の静的ルートに対応するように構成します。既定のポートは 5061 です。
仲介サーバーの外部エッジは、メディア ゲートウェイの内部次ホップ プロキシとして構成します。これは、IP アドレスとポート番号の一意の組み合わせにより識別されます。IP アドレスは内部エッジの IP アドレスとは異なりますが、既定のポートは 5060 です。