スマート カードを使用するように Outlook Web Access を構成する方法
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2008-03-19
ここでは、Exchange 管理コンソールまたは Exchange 管理シェルおよびインターネット インフォメーション サービス マネージャを使用して、ユーザー認証にスマート カードを使用するように Microsoft Office Outlook Web Access を構成する方法について説明します。
スマート カードは、クライアント認証、コード署名、電子メールのセキュリティ保護などのタスクに使用される、改ざん防止が施されたポータブルなセキュリティ ソリューションです。
スマート カードは以下の機能を提供します。
- 改ざん防止が施された記憶域で秘密キーおよびその他の形式の個人情報を保護します。
- 認証、デジタル署名、およびキー交換に伴うセキュリティ上重要な計算を、このデータを必要としないコンピュータの他の部分から分離します。これらの処理はすべてスマート カード上で実行されます。
- 職場や自宅で、または外出中に、コンピュータ間で資格情報などの個人情報を持ち運ぶことができます。
開始する前に
スマート カード認証では SSL (Secure Sockets Layer) による暗号化が必要です。既定で、Outlook Web Access は SSL を使用します。SSL を要求しないように Outlook Web Access を構成していて、ユーザーがスマート カードを使用できるようにする場合は、SSL を要求するように Outlook Web Access を再構成する必要があります。「SSL が使用されるように Outlook Web Access 仮想ディレクトリを構成する方法」を参照してください。
また、証明機関 (CA) から証明書を取得して構成する必要があります。スマート カードを実装して管理する方法については、以下のリソースを参照してください。
- 最初に、CA から証明書を取得して構成します。CA から証明書を取得して構成する方法の詳細については、スマート カードによる安全なアクセスの計画についてのページを参照してください (このサイトは英語の場合があります)。
- スマート カードの要件の概要については、スマート カードを使用してリモート アクセス アカウントをセキュリティで保護する方法についてのページを参照してください (このサイトは英語の場合があります)。
- スマート カードの使用および管理方法に関する情報へのリンクについては、スマート カードの使用方法についてのページを参照してください (このサイトは英語の場合があります)。
- スマート カードを使用できるようにするには、クライアントを更新する必要がある場合があります。更新方法の詳細については、「Base Smart Card Cryptographic Service Provider のソフトウェア更新プログラムについて」を参照してください。
スマート カードは、特別な種類の証明書の認証を提供します。クライアント アクセス サーバーが SSL を要求するように構成されていることを確認し、CA から証明書を取得して構成したら、証明書の認証を使用するようにクライアント アクセス サーバーを構成する必要があります。
次の手順を実行するには、使用するアカウントに Exchange サーバー管理者の役割および対象サーバーのローカルの Administrators グループのメンバシップが委任されている必要があります。
Exchange Server 2007 を管理するために必要なアクセス許可、役割の委任、および権限の詳細については、アクセス許可に関する考慮事項に関するページを参照してください (このサイトは英語の場合があります)。
手順
IIS マネージャ 6.0 を使用して、証明書の認証を使用するように Outlook Web Access 仮想ディレクトリを構成するには、次の操作を行います。
IIS マネージャで、[Web サイト] を右クリックし、[プロパティ] をクリックします。
[ディレクトリ セキュリティ] タブで、[Windows ディレクトリ サービス マッパーを有効にする] チェック ボックスがオンになっていることを確認します。
[OK] をクリックして [Web サイトのプロパティ] を閉じます。
Outlook Web Access 仮想ディレクトリをホストする Web サイトを展開します。これは通常、[既定の Web サイト] です。証明書の認証を使用するように構成する Outlook Web Access 仮想ディレクトリを右クリックし、[プロパティ] をクリックします。
[ディレクトリ セキュリティ] タブの [セキュリティで保護された通信] で、[編集] をクリックします。
[セキュリティで保護された通信] で、選択されていない場合は [セキュリティで保護されたチャネルを要求] をオンにします。
注 : Microsoft Exchange のセットアップ時に作成された SSL 証明書を使用している場合は、その証明書が信頼された証明書でないことを示すエラー メッセージが表示されます。証明書を発行した証明機関 (CA) を信頼していることを確認するか、または信頼できる CA によって発行された SSL 証明書を使用します。 [クライアント証明書] で、[クライアント証明書を要求する] を選択します。
[クライアント証明書のマッピングを有効にする] を選択します。
[OK] をクリックし、この変更を保存します。
証明書の認証を使用するように IIS マネージャを構成したら、Exchange の Outlook Web Access 仮想ディレクトリで、すべての認証方法を無効にする必要があります。Exchange 管理コンソールまたは Exchange 管理シェルを使用して、これを行うことができます。
Exchange 管理コンソールを使用して Outlook Web Access が認証方法を持たない構成にするには、次の操作を行います。
Exchange 管理コンソールで、[サーバーの構成] をクリックし、[クライアント アクセス] をクリックします。
注 : Outlook Web Access で匿名アクセスの受け付けを有効にするには、すべての形式の認証を無効にする必要があります。 [Outlook Web Access] タブで、匿名アクセスを使用するよう構成する仮想ディレクトリのプロパティを開きます。
[認証] タブをクリックします。
[1 つまたは複数の標準認証方法を使用する] を選択します。
認証方式は選択しないでください。いずれかの認証方式が選択されている場合、クリックしてチェック ボックスをクリアします。
[OK] をクリックします。
認証方式を選択していないという警告が表示され、また Exchange 管理シェルを使用して認証方式を設定するようメッセージが表示されます。[OK] をクリックし、この警告を閉じます。
コマンド プロンプト ウィンドウを開き、iisreset/noforce コマンドを入力して、IIS を再起動します。
Exchange 管理シェルを使用して Outlook Web Access が認証方法を持たない構成にするには、次の操作を行います。
構成する必要がある Outlook Web Access 仮想ディレクトリをホストするクライアント アクセス サーバーで Exchange 管理シェルを開きます。
注 : Outlook Web Access で匿名アクセスの受け付けを有効にするには、すべての形式の認証を無効にする必要があります。 /owa 仮想ディレクトリおよび "Default Web Site" という名前のサイトでフォームベース認証を無効化するには、次のコマンドを実行します。
Set-owavirtualdirectory -identity "owa (Default Web Site)" -FormsAuthentication:$false
/owa 仮想ディレクトリおよび "Default Web Site" という名前のサイトで標準認証のすべての形式を無効化するには、次のコマンドを実行します。
Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
最後のアクティブな認証方法が無効化されると、仮想ディレクトリに対して認証方法が指定されていないという警告が表示され、Set-OwaVirtualDirectory コマンドレットを使用して認証方法を指定するよう指示するメッセージが表示されます。この警告は無視します。
コマンド プロンプト ウィンドウを開き、iisreset/noforce コマンドを入力して、IIS を再起動します。
構文およびパラメータの詳細については、「Set-OwaVirtualDirectory」を参照してください。
詳細情報
Outlook Web Access の認証方法の詳細については、「Outlook Web Access のセキュリティの管理」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。