次の方法で共有


Outlook Web App の標準的な認証方法の構成

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2011-04-28

標準的な認証方法は、Outlook Web App の Microsoft Exchange Server 2010 クライアント アクセス サーバーのセキュリティ保護に役立ちます。

Exchange 2010 では、Exchange 2010 仮想ディレクトリ用に統合 Windows 認証と HTTP 1.1 ダイジェスト認証をサポートしています。クライアント アクセス サーバーの役割のみを実行するサーバー上にある Exchange 2010 仮想ディレクトリは、基本認証とフォーム ベース認証のみをサポートしています。

標準的な認証方法には、基本認証、ダイジェスト認証、統合 Windows 認証などがあります。

注意

既定では、Exchange 2010 ではフォーム ベース認証が有効になります。

目次

基本認証

ダイジェスト認証

統合 Windows 認証

基本認証

基本認証は、ユーザーの資格情報がサーバーに送信される前に、ユーザーのサインイン名とパスワードをエンコードする HTTP 仕様によって定義されている簡単な認証機構です。

基本認証では、シングル サインオンがサポートされていません。Windows Server 2008 の認証では、すべてのネットワーク リソースへのシングル サインオンが可能です。シングル サインオンを使用すると、ユーザーはシングル パスワードまたはスマート カードを使用してドメインに一度サインインするだけで、ドメイン内のすべてのコンピューターを認証します。

基本認証は、すべての Web ブラウザーでサポートされていますが、SSL (Secure Sockets Layer) 暗号化を要求しないとセキュリティが低下します。

ダイジェスト認証

ダイジェスト認証では、パスワードがネットワーク経由でハッシュ値として送信されるため、セキュリティが向上します。ダイジェスト認証は、Windows Server 2008、Windows Server 2003、および Microsoft Windows 2000 Server ドメインで、アカウントが Active Directory に格納されているユーザーに対してのみ使用できます。ダイジェスト認証の詳細については、Windows Server 2008 およびインターネット インフォメーション サービス (IIS) マネージャーのドキュメントを参照してください。

ダイジェスト認証は Exchange 2010 仮想ディレクトリでのみ使用できます。

重要

ダイジェスト認証または基本認証を使用していて、ユーザーがキオスクを使用した場合、ユーザーがブラウザーを閉じてセッション間のブラウザー プロセスを終了できないと、資格情報のキャッシュがセキュリティ上の危険性につながるおそれがあります。この危険性は、次のユーザーがキオスクにアクセスしたときにユーザーの資格情報がキャッシュに残っていることが原因です。キオスクで Outlook Web App を有効にするには、ユーザーがセッション間でブラウザーを閉じてブラウザー プロセスを終了できることを確認します。また、2 要素による認証を実行するサードパーティ製品の使用も検討します。これらの製品では、ユーザーはキオスクで Outlook Web App を使用するためのパスワードと共に物理的なトークンを提示する必要があります。

統合 Windows 認証

統合 Windows 認証では、情報にアクセスする際、ユーザーには有効な Windows Server 2008、Windows Server 2003、または Windows 2000 Server アカウント名とパスワードが必要になります。ローカル ネットワークにサインインしたユーザーは、ユーザー名とパスワードを入力する必要はありません。代わりに、サーバーはクライアント コンピューターにインストールされた Windows セキュリティ パッケージと通信し、それらの情報を確認します。この方法では、ユーザーにサインイン情報を求めるプロンプトを表示することなく、サーバーがユーザーを認証することができます。認証資格情報は保護されますが、その他のすべての通信は、SSL を使用しない限りクリア テキストで送信されます。

クライアント アクセス サーバーの役割だけがインストールされている Exchange 2010 サーバーでは、統合 Windows 認証は Exchange 2010 仮想ディレクトリでのみ使用できます。クライアント アクセス サーバーの役割とメールボックス サーバーの役割の両方がインストールされているサーバーでは、統合 Windows 認証をすべての仮想ディレクトリで使用できます。統合 Windows 認証の詳細については、Windows Server 2008 のドキュメントを参照してください。

注意

統合 Windows 認証は、Windows オペレーティング システムと Internet Explorer を実行するコンピューターでのみサポートされます。統合 Windows 認証は、他の Web ブラウザーでも、認証を要求するサーバーにユーザーのサインイン資格情報を渡すように構成されていれば機能する場合があります。

 © 2010 Microsoft Corporation.All rights reserved.