ActiveSync 公開の構成
発行: 2009年11月
適用対象: Forefront Threat Management Gateway (TMG)
Exchange ActiveSync を使用すると、高いセキュリティを確保しながら、Pocket PC などの Microsoft Windows Mobile 搭載デバイスから Exchange メールボックスにアクセスできます。ユーザーは、各自のメールボックス内の電子メール メッセージ、スケジュール情報、連絡先情報、および作業情報を同期させて、モバイル デバイスがオフラインのときでもこれらすべての情報にアクセスできます。
Exchange Server 2007 または Exchange Server 2010 を使用している場合、クライアント証明書ベースの認証を使用して、ActiveSync 接続を認証できます。Forefront TMG は、Kerberos の制約付き委任をサポートします。これによって Forefront TMG は、クライアント証明書を使用してクライアント接続を認証し、Kerberos チケットを取得できます。このチケットは、クライアント証明書の代わりに Kerberos チケットを受け付ける公開された Web サーバーに提示できます。
ActiveSync 公開を構成するには
[Forefront TMG の管理] のコンソール ツリーで、[ファイアウォール ポリシー] ノードをクリックします。
作業ウィンドウで、[ツールボックス] タブをクリックします。
[ツールボックス] タブで、[ネットワーク オブジェクト]、[新規作成] の順にクリックし、[Web リスナー] を選択して新しい Web リスナー ウィザードを開きます。
次の表に従って、新しい Web リスナー ウィザードで必要な設定を行います。
ページ フィールドまたはプロパティ 設定または動作 新しい Web リスナー ウィザードの開始
Web リスナー名
Web リスナーの名前を入力します。たとえば、「ActiveSync Listener」と入力します。
クライアント接続セキュリティ
[クライアントとの SSL セキュリティ保護接続を必要とする] を選択します。
Web リスナーの IP アドレス
着信方向の Web 要求をリッスンするネットワーク
[外部] ネットワークを選択します。[IP アドレスの選択] をクリックして、[指定した IP アドレス] を選択します。[利用できる IP アドレス] で Web サイトの IP アドレスを選択し、[追加]、[OK] の順にクリックします。
</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>リスナーの SSL 証明書</strong> </p> </td> <td colspan="1"> <p /> <p> </p> </td> <td colspan="2"> <p>[<strong>この Web リスナーに 1 つの証明書を使う</strong>] を選択し、[<strong>証明書の選択</strong>] をクリックして、ユーザーが公開された Web サイトにアクセスするために使用するホスト名が [<strong>発行先</strong>] フィールドに表示されている証明書を選択します。</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>認証設定</strong> </p> </td> <td colspan="1"> <p> <strong>クライアントが Forefront TMG に資格情報を提供する方法を選択してください</strong> </p> </td> <td colspan="2"> <p>ボックスの一覧で、[<strong>HTML フォームの認証</strong>] を選択します。Kerberos の制約付き委任を使用する場合は、[<strong>SSL クライアント証明書の認証</strong>] を選択します。</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>フォームで追加の委任資格情報を収集する</strong> </p> </td> <td colspan="2"> <p>このチェック ボックスはオフのままにします。</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>Forefront TMG がクライアント資格情報を検証する方法を選択してください</strong> </p> </td> <td colspan="2"> <p>Forefront TMG がドメインに展開されている場合は、[Windows (Active Directory)] を選択します。ワークグループ展開環境では、[<strong>LDAP (Active Directory)</strong>]、[<strong>RADIUS</strong>]、[<strong>RADIUS OTP</strong>]、または [<strong>SecurID</strong>] を選択できます。</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>シングル サインオンの設定</strong> </p> </td> <td colspan="1"> <p> <strong>この Web リスナーによって公開されている Web サイトの SSO を有効にする</strong> </p> </td> <td colspan="2"> <p>このチェック ボックスはオフのままにします。</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>新しい Web リスナー ウィザードの完了</strong> </p> </td> <td colspan="1"> <p /> </td> <td colspan="2"> <p>設定を確認し、[完了] をクリックします。</p> </td> </tr> </table>作業ウィンドウで、[タスク] タブをクリックします。
[タスク] タブで、[Exchange Web クライアント アクセスの公開] をクリックして新しい Exchange 公開ルール ウィザードを開きます。
次の表に従って、新しい Exchange 公開ルール ウィザードで必要な設定を行います。
ページ フィールドまたはプロパティ 設定または動作 新しい Exchange 公開ルール ウィザードへようこそ
Exchange 公開ルールの名前
Exchange 公開ルールの名前を入力します。たとえば、「ActiveSync Clients」と入力します。
サービスの選択
Exchange バージョン
[Exchange Server 2003]、[Exchange Server 2007]、または [Exchange Server 2010] を選択します。
Web クライアント メール サービス
[Exchange ActiveSync] を選択します。
公開の種類
[1 つの Web サイトまたは負荷分散装置を公開する] を選択します。他のオプションはこの手順では使用しません。
サーバー接続セキュリティ
[公開された Web サーバーまたはサーバー ファームへの接続に SSL を使用する] を選択します。このオプションを使用するには、内部サイト名として指定されたホスト名が "発行先" フィールドに表示されている SSL サーバー証明書を、各 Exchange フロントエンド サーバーにインストールする必要があります。
内部公開の詳細
内部サイト名
公開されたサーバーに送信される HTTP 要求メッセージで Forefront TMG が使用するホスト名を入力します。
このフィールドで指定された内部サイト名が解決可能でなく、かつ公開されたサーバーのコンピューター名でも IP アドレスでもない場合は、[コンピューター名または IP アドレスを使用して、公開されたサーバーに接続する] を選択し、公開されたサーバーの解決可能なコンピューター名または IP アドレスを入力します。
パブリック名の詳細
要求の許可
[次に入力したドメイン名] を選択します。
パブリック名
外部ユーザーが公開された Exchange ActiveSync サイトへのアクセスに使用する、パブリックの完全修飾ドメイン (FQDN) または IP アドレスを入力します。
Web リスナーの選択
Web リスナー
ボックスの一覧から、手順 4 で作成した Web リスナーを選択します。[編集] をクリックすると、選択した Web リスナーのプロパティを変更できます。
認証の委任
公開された Web サーバーを Forefront TMG が認証する方法を選択してください
フォームベース認証を使用する場合は、[基本認証] を選択します。SSL クライアント証明書の認証を使用する場合は、[Kerberos の制約付き委任] を選択します。
ユーザー セット
このルールを次のユーザー セットからの要求に適用する
Windows 資格情報検証を使用している場合は、既定の [認証されたすべてのユーザー] を変更しないでください。RADIUS、LDAP、または SecurID 検証を使用している場合は、該当する名前空間向けに構成されたユーザー セットを使用する必要があります。
新しい Exchange 公開ルール ウィザードの完了
設定を確認し、[完了] をクリックします。
詳細ウィンドウで、[適用] ボタンをクリックして構成を保存および更新してから、[OK] をクリックします。
.gif "note")
注意事項:- SSL 経由で公開する場合は、公開された Web サイトのホスト名に対して発行された SSL サーバー証明書が、Forefront TMG コンピューター上のローカル コンピューターの個人ストアにインストールされている必要があります。SSL サーバー証明書の取得とインストールの詳細については、「セキュリティで保護された Web 公開のためのサーバー証明書の構成」を参照してください。
- 新しい Web リスナー ウィザードの [Web リスナーの IP アドレス] ページでは、[このネットワーク上にあるネットワーク アダプターの既定の IP アドレス] を選択することもできます。ネットワーク負荷分散を有効にしている場合は、このオプションでは仮想 IP アドレスが自動的に選択されます。そうでない場合は、各ネットワーク アダプターについて既定の IP アドレスが自動的に選択されます。
- RADIUS 資格情報検証を使用する場合は、Forefront TMG コンピューターを RADIUS サーバー上の RADIUS クライアントとして登録する必要があり、RADIUS システム ポリシー ルールを有効にして、Forefront TMG コンピューター (ローカル ホスト ネットワーク) から内部ネットワークへの RADIUS トラフィックを許可する必要があります。このルールでは、RADIUS サーバーが内部ネットワークに配置されていると想定しています。
- RADIUS、LDAP、または RADIUS OTP の資格情報検証を選択する場合は、作成する Web リスナーのプロパティを編集して、認証のための問い合わせ先となる RADIUS サーバーまたは LDAP サーバーを指定する必要があります。
- Exchange ActiveSync は、Exchange Server 2003 と Exchange Server 2007 のみでサポートされています。
- Exchange ActiveSync を使用すると、高いセキュリティを確保しながら、Pocket PC などの Microsoft Windows Mobile 搭載デバイス上の情報を Exchange メールボックス内の情報に同期させることができます。
- Forefront TMG は、クライアント要求内の User-Agent ヘッダーを使用して、Web ブラウザーに返される応答で使用される HTML フォームを決定します。サポートされているフォームの種類は、HTML 4.01、XHTML-MP、および cHTML です。要求内の User-Agent ヘッダーがどのフォームの種類にも対応付けられていない場合、Forefront TMG は代わりに基本認証を使用します。
- ユーザーは Exchange ActiveSync に接続するには、一般に https://host_name/Microsoft-Server-ActiveSync という形式の URL を開きます。必要に応じて、ユーザーが指定したパスと、Web 公開ルールのプロパティの [パス] タブ上の内部パスとの間のマッピングを変更します。
- Web 公開ルールの他の設定の詳細については、「公開の計画」を参照してください。
関連項目
概念