Exchange ActiveSync のセキュリティの管理

[アーティクル]
10/25/2013

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-07-14

Exchange ActiveSync では、ユーザーはモバイルデバイスを Microsoft Exchange Server 2007 と同期することができます。これにより、ユーザーはさまざまな Exchange データ、たとえば、電子メールメッセージ、予定表および連絡先のデータ、仕事、FAX メッセージやボイスメールメッセージなどの、ユニファイドメッセージングデータにアクセスできます。

注 :
モバイルデバイスで FAX メッセージを表示するには、サードパーティの追加のソフトウェアをインストールする必要が生じる可能性があります。

Exchange ActiveSync を展開する際に検討する必要のあるセキュリティ上の考慮事項がいくつかあります。ここでは、Exchange ActiveSync の展開に関するセキュリティオプションの概要について説明します。

Exchange ActiveSync サーバーのセキュリティ

Exchange ActiveSync を実行しているサーバー上で実行できるセキュリティ関連タスクはいくつかあります。最も重要なタスクの 1 つは、認証方法の構成です。Exchange ActiveSync は、クライアントアクセスサーバーの役割がインストールされた Exchange 2007 サーバー上で実行されます。このサーバーの役割は、既定の自己署名入りデジタル証明書と共にインストールされます。自己署名入り証明書は Exchange ActiveSync でサポートされていますが、これはセキュリティの最も高い認証方法ではありません。セキュリティを強化するためには、サードパーティの商用証明機関 (CA) または信頼されている Windows 公開キー基盤 (PKI) 証明機関からの信頼された証明書を展開することを検討してください。信頼されたデジタル証明書を構成する方法の詳細については、「Exchange ActiveSync のために SSL を構成する方法」を参照してください。

Exchange ActiveSync の認証方法の選択

信頼されたデジタル証明書を展開することに加え、Exchange ActiveSync で適用できるさまざまな認証方法を検討する必要があります。既定では、クライアントアクセスサーバーの役割がインストールされている場合、Exchange ActiveSync は SSL (Secure Sockets Layer) による基本認証を使用するように構成されます。セキュリティを強化するためには、認証方法をダイジェスト認証または Windows 統合認証に変更することを検討してください。

注 :
Exchange 2003 サーバーにメールボックスを持つユーザーが、Exchange 2007 クライアントアクセスサーバー経由で Exchange ActiveSync を使おうとすると、Exchange 2003 サーバーの Microsoft-Server-ActiveSync 仮想ディレクトリで統合 Windows 認証が有効になっていない限り、エラーが発生し、同期は行えません。これによって、Exchange 2007 クライアントアクセスサーバーと Exchange 2003 バックエンドサーバーは Kerberos 認証を使用して互いに通信することができます。

Exchange 2003 サーバーにメールボックスを持つユーザーが、Exchange 2007 クライアントアクセスサーバー経由で Exchange ActiveSync を使おうとすると、Exchange 2003 サーバーの Microsoft-Server-ActiveSync 仮想ディレクトリで統合 Windows 認証が有効になっていない限り、エラーが発生し、同期は行えません。これによって、Exchange 2007 クライアントアクセスサーバーと Exchange 2003 バックエンドサーバーは Kerberos 認証を使用して互いに通信することができます。

Exchange ActiveSync と ISA Server の使用

Microsoft Internet Security and Acceleration (ISA) Server 2006 と Exchange 2007 は、Exchange ActiveSync を使用する際に Microsoft Exchange に対するクライアントアクセスのセキュリティを強化するように設計されています。

ISA Server 2006 では、新しい Exchange 公開ルールウィザードを実行して、Exchange ActiveSync の認証方法を構成できます。ISA Server 2006 を Exchange ActiveSync と共に使用する方法の詳細については、「Exchange クライアントアクセス用の ISA Server 2006 の構成」を参照してください。

デバイスのセキュリティ

Exchange ActiveSync サーバーのセキュリティを強化することに加え、ユーザーのモバイルデバイスのセキュリティを強化することを検討する必要があります。モバイルデバイスのセキュリティ強化に使用できる方法はいくつかあります。

Exchange ActiveSync メールボックスポリシー

Exchange 2007 の Exchange ActiveSync を使用すると、Exchange ActiveSync メールボックスポリシーを作成し、ユーザーの集合にセキュリティ設定の共通セットを適用できます。以下にこれらの設定の一部を紹介します。

パスワードを要求する。
最低限必要なパスワードの長さを指定する。
パスワードで数字または特殊文字の使用を要求する。
ユーザーがパスワードの再入力を要求されるまでのデバイスの非アクティブ時間を指定する。
特定の回数を超えて間違ったパスワードが入力された場合にデバイスのデータが消去されるように指定する。

Exchange ActiveSync メールボックスポリシーの詳細については、「ポリシーによる Exchange ActiveSync の管理」を参照してください。

リモートデバイスワイプ

モバイルデバイスには、企業の機密データが格納されていることがあります。また、さまざまな企業リソースにアクセスする機能があります。モバイルデバイスを紛失したり盗難にあったりすると、そこに格納されているデータが危険にさらされます。リモートデバイスワイプは、モバイルデバイスが次回 Exchange サーバーに接続するときに、そのデバイスのすべてのデータを削除するように Exchange サーバーで設定できる機能です。リモートデバイスワイプを実行すると、モバイルデバイスからすべての同期された情報と個人用の設定を効果的に削除します。この機能は、デバイスが紛失や盗難など危害を受ける状況に陥った場合に役立ちます。

注意 :
リモートデバイスワイプを実行した後でデータの回復を行うことは非常に困難です。ただし、新品同様にデバイスにデータを残さないデータ削除の処理はありません。高度なツールを使用して、デバイスからデータを回復できる可能性はあります。

リモートデバイスワイプの実行方法の詳細については、「リモートデバイスワイプについて」を参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。