この記事は機械翻訳されています。英語版の記事を表示するには、[英語] のチェック ボックスをオンにしてください。また、テキストにマウス ポインターを合わせると、ポップアップ ウィンドウに英語のテキストを表示することもできます。
翻訳
英語

Outlook 2016 for Mac を Kerberos 認証で使用する

 

適用先:Outlook 2016 for Mac

Outlook 2016 for Mac は、Microsoft Exchange Server およびスタンドアロン LDAP アカウントでの認証方法として Kerberos プロトコルをサポートします。Kerberos プロトコルでは、クライアントとサーバーの間、または 2 つのサーバー間のネットワーク接続に対して安全な相互認証を提供するために、暗号化処理を使用します。

Kerberos プロトコルは、チケットに基づいています。このスキームでは、クライアントは有効なユーザー名とパスワードを 1 回だけ指定し、認証サーバーに身元を証明する必要があります。そうすると、認証サーバーからクライアントに対して、強固に暗号化されたチケットが付与されます。これには、クライアント情報と、指定された期間で有効期限が切れるセッション キーが含まれています。クライアントは、パスワードを使ってチケットの暗号化解除を試行します。クライアントがチケットの暗号化解除に成功すると、そのチケットを保持でき、クライアントとサーバーによってチケットが共有されます。暗号化解除されたこのチケットは、クライアントの身元を証明し、クライアントを認証するのに使用されます。チケットに含まれるタイムスタンプは、それが最近生成されたチケットであり、再生攻撃ではないことを示します。攻撃者がチケット内の情報を集めたり、暗号化を解除しようとしたりする場合、その違反は現在のセッションに限定されます。クライアントは、同じチケットをネットワーク上で使用して、他のネットワーク リソースを要求できます。このチケット スキームを使用するには、クライアントとサーバーの両方にドメイン キー配布センター (KDC) への信頼できる接続が必要です。

Mac OS X には Microsoft Kerberos 認証ポリシーおよび Active Directory 認証ポリシーに対する組み込みサポートが含まれています。たとえば、パスワードの変更、有効期限とパスワードの強制変更、および Active Directory のレプリケーションとフェールオーバーなどです。Mac OS X Kerberos サービスを活用することにより、Outlook for Mac はシングル サインオン メカニズムを使用して、より優れたパスワード処理と、より分かりやすいセットアップ エクスペリエンスを提供します。

Kerberos は、セキュリティで保護された、シングル サインオンによる、信頼できるサード パーティの相互認証サービスを提供します。

  • セキュリティ保護   Kerberos は、パスワードをネットワーク経由で送信する際にクリア テキストは使用しないため、安全です。

  • シングル サインオン   エンド ユーザーは、1 回ログインするだけで、Kerberos 認証をサポートするすべてのネットワーク リソースにアクセスできます。ログイン セッションの開始時に Kerberos を通してユーザーが認証を受けると、ユーザーの資格情報は 1 日の間にアクセスするすべてのリソースに透過的に渡されます。

  • 信頼できるサード パーティ   Kerberos は、ネットワーク上のすべてのシステムが信頼する集中的な認証サーバーを通して機能します。すべての認証要求は、一元的な Kerberos サーバーを通してルーティングされます。

  • 相互認証   ユーザーの身元およびユーザーが通信しているサーバーの ID を確認することにより、重要情報の機密性を保護します。

組織の Exchange サーバーが使用する認証の種類を確認してください。Kerberos プロトコルまたは他のサポートされた認証方法を使用することができます。それには、NTLM、基本認証、または Exchange サーバーのフォーム ベース認証が含まれます。Outlook for Mac では、ユーザーが選択する認証方法の種類をこちらで管理する権限はありません。組織の Exchange サーバーが Kerberos 認証を使用しており、組織のコンピューターが企業ネットワークに接続されている場合は、Kerberos 認証を選択するようユーザーに求める必要があります。

Outlook for Mac で Exchange アカウントを設定する場合、 [方法] ポップアップ メニューで [Kerberos] をクリックする必要があります。他のすべての認証の種類の場合は、 [ユーザー名とパスワード] をクリックします。Kerberos 認証方法を選択すると、 [ユーザー名] フィールド (ドメインを含む) および [パスワード] フィールドが非表示になります。Kerberos プロトコルが有効な場合、アカウントに関連するすべてのサーバー (HTTP または LDAP など) に対する認証を試行するのに Kerberos プロトコルが使用されます。アカウント設定で Kerberos プロトコルが無効にされている場合は、アカウントに関連するどのサーバーに対しても Kerberos 認証は試行されません。

新しい Exchange アカウントでは、既定で Kerberos プロトコルが無効にされ、 [Kerberos ID] ポップアップ メニューで [なし] が選択されています。Kerberos プロトコルを有効にすると、ユーザーは有効な Kerberos ID を Outlook for Mac で選択または作成できるようになります。自動検出を使用してアカウントが作成された場合、 [Kerberos ID] ポップアップ メニューには既存の ID が表示されます。Kerberos チケットが少なくとも 1 つ Mac OS X 資格情報キャッシュに存在するか、ドメイン ネーム サーバー (DNS) から _kerberos._tcp.<domain> レコードを使用できる場合、Kerberos プロトコルはサーバーに対して自動検出を試行します。自動検出プロセスが成功すると、アカウントの [Kerberos ID] ポップアップ メニューにチケットが表示されます。自動検出プロセスで Kerberos 認証が成功しないと、アカウントの Kerberos の設定が無効にされ、 [Kerberos ID] ポップアップ メニューが [なし] に設定されます。

新しい ID を作成する場合、 [Kerberos ID] ポップアップ メニューの [新しい ID の作成] を選択し、次の図に示すようにプロンプトが表示されたら、新しい Kerberos ID のユーザー名とパスワードを指定します。

Outlook 2016 Mac Kerberos 認証プロンプト

アカウントのプライマリ メールボックス サーバーが Kerberos プロトコルをサポートしない場合、または KDC が失敗した場合は、Kerberos 認証が失敗する可能性があります。Kerberos プロトコルを使用してユーザーが正常に認証を受けられるようにするには、KDC を確実に起動して実行し、ユーザーがさまざまなネットワーク サービスにアクセスできるようにしてください。企業環境およびミッション クリティカルな環境では、管理者が少なくとも 1 つのフェールオーバー KDC を作成することは重要です。

Kerberos 認証が失敗すると、Outlook for Mac では他のサポートされた認証メカニズムを使用するためのオプションが表示されます。Microsoft Exchange 電子メール アカウントで使用可能な認証方法の種類は、認証がフロントエンド サーバーとバックエンド サーバーのどちらで実行されるかによって異なります。

  https://technet.microsoft.com/ja-jp/library/jj984221(v=office.16).aspx
表示: