Outlook Web App の認証について
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2011-08-19
ここでは、Microsoft Exchange Server 2010 の Outlook Web App で使用できる認証の種類について説明します。組織に最適な認証方法は、組織のセキュリティ ニーズによって異なります。既定では、Outlook Web App はフォーム ベース認証を使用し、SSL (Secure Sockets Layer) 暗号化を使用するように構成されます。
フォーム ベース認証
フォーム ベース認証によって、Cookie を使用してユーザーの暗号化されたサインイン資格情報をインターネット ブラウザーに格納する Outlook Web App のサインイン ページを有効にできます。Cookie の使用を追跡することによって、Exchange サーバーで、公共のコンピューターやプライベートのコンピューターでの Outlook Web App セッションのアクティビティを監視することができます。セッションの非アクティブな時間が長くなりすぎた場合は、サーバーはユーザーが再度認証するまでアクセスを禁止します。
ユーザー名とパスワードが最初にクライアント アクセス サーバーに送信され、Outlook Web App セッションの認証が行われたときに、ユーザー アクティビティを追跡するために使用される暗号化された Cookie が作成されます。ユーザーがインターネット ブラウザーを終了するか、または [サインアウト] をクリックして Outlook Web App セッションからサインアウトしたときに、Cookie は消去されます。ユーザー名とパスワードは最初にユーザー サインインしたときだけクライアント アクセス サーバーに送信されます。最初のサインインが完了した後は、クライアント コンピューターとクライアント アクセス サーバーの間の認証には Cookie のみが使用されます。
フォーム ベース認証およびその構成方法の詳細については、以下を参照してください。
Outlook Web App および Exchange コントロール パネルでのシングル サインオン
Outlook Web App と Exchange の間のシングル サインオンをサポートするため、Exchange 2010 では Exchange FBA 認証サービスという新しいサービスが使用できるようになっています。この新しい機能を使用するには、Outlook Web App と Exchange の両方のコントロール パネルの仮想ディレクトリで、認証モードが確実にフォーム ベース認証に設定されるようにします。
Cookie のタイムアウト値の設定
Cookie のタイムアウトは、Outlook Web App サインイン ページの [これは公共または共有のコンピューターです] オプションまたは [これは個人のコンピューターです] オプションのユーザーによる選択に基づいて設定されます。既定では、[これは公共または共有のコンピューターです] オプションが選択されている場合、ユーザーが Outlook Web App を 15 ~ 22.5 分間使用しないと、コンピューター上の Cookie は自動的に期限切れになり、ユーザーはサインアウトされます。[これは個人のコンピューターです] オプションが選択されている場合、ユーザーが Outlook Web App を 8 ~ 12 時間使用しないと、コンピューター上の Cookie は自動的に期限切れになり、ユーザーはサインアウトされます。
自動タイムアウトは、権限のないアクセスからユーザーのアカウントを保護する意味で重要です。非アクティブであることによるタイムアウト値を組織のセキュリティ要件に合うように、Exchange クライアント アクセス サーバー上で構成できます。
自動タイムアウトによって、権限のないアクセスによる危険性は大幅に低減されますが、公共のコンピューター上でセッションが実行されたままである場合、権限のないユーザーが Exchange メールボックスにアクセスできる可能性が完全になくなるわけではありません。したがって、ユーザーに対し、危険を回避するための予防策を講じるよう通知しておきます。たとえば、Outlook Web App での作業が終了したら、Outlook Web App からサインアウトし、Web ブラウザーを閉じるよう指示します。
共有のコンピューターおよび個人のコンピューターでの Cookie のタイムアウト値を構成する方法の詳細については、以下を参照してください。
フォーム ベース認証
標準的な認証方法
Exchange 2010 では、クライアント アクセス サーバーは統合 Windows 認証および Exchange 2010 仮想ディレクトリの HTTP 1.1 のダイジェスト認証をサポートしています。
標準的な認証方法の詳細については、「Outlook Web App の標準的な認証方法の構成」を参照してください。
基本認証
基本認証は、ユーザーの資格情報がサーバーに送信される前に、ユーザーのサインイン名とパスワードをエンコードする HTTP 仕様によって定義されている簡単な認証機構です。
基本認証ではシングル サインオンがサポートされていません。Windows Server 2008 および Windows Server 2003 の認証では、すべてのネットワーク リソースに対してシングル サインオンが有効です。シングル サインオンを使用すると、ユーザーはシングル パスワードまたはスマート カードを使用してドメインに一度サインインするだけで、ドメイン内のすべてのコンピューターを認証します。
基本認証はすべての Web ブラウザーでサポートされていますが、SSL 暗号化を要求しないとセキュリティが低下します。
Outlook Web App 仮想ディレクトリに基本認証を構成する方法の詳細については、「基本認証を構成する」を参照してください。
ダイジェスト認証
ダイジェスト認証では、パスワードがネットワーク経由でハッシュ値として送信されるため、セキュリティが向上します。ダイジェスト認証は、Windows Server 2008、Windows Server 2003、および Microsoft Windows 2000 Server ドメインで、アカウントが Active Directory に格納されているユーザーに対してのみ使用できます。ダイジェスト認証の詳細については、Windows Server 2003 およびインターネット インフォメーション サービス (IIS) マネージャーのドキュメントを参照してください。
ダイジェスト認証は Exchange 2010 仮想ディレクトリでのみ使用できます。
重要
ダイジェスト認証または基本認証を使用していて、ユーザーがキオスクを使用した場合、ユーザーがブラウザーを閉じてセッション間のブラウザー プロセスを終了しないと、資格情報のキャッシュがセキュリティ上の危険性につながるおそれがあります。この危険性は、次のユーザーがキオスクにアクセスしたときにユーザーの資格情報がキャッシュに残っていることが原因です。キオスクで Outlook Web App を有効にするには、ユーザーがセッション間でブラウザーを閉じてブラウザー プロセスを終了できることを確認します。また、2 要素による認証を実行するサード パーティ製品の使用も検討します。これらの製品では、ユーザーはキオスクで Outlook Web App を使用するためのパスワードと共に物理的なトークンを提示する必要があります。
Outlook Web App 仮想ディレクトリにダイジェスト認証を構成する方法の詳細については、「ダイジェスト認証を構成する」を参照してください。
フォーム ベース認証
統合 Windows 認証
統合 Windows 認証では、情報にアクセスする際、ユーザーには有効な Windows Server 2008、Windows Server 2003、または Windows 2000 Server アカウント名とパスワードが必要になります。ローカル ネットワークにサインインしたユーザーは、ユーザー名とパスワードを入力する必要はありません。代わりに、サーバーはクライアント コンピューターにインストールされた Windows セキュリティ パッケージと通信し、それらの情報を確認します。この方法では、ユーザーにサインイン情報を求めるプロンプトを表示することなく、サーバーがユーザーを認証することができます。認証資格情報は保護されますが、その他のすべての通信は、SSL を使用しない限りクリア テキストで送信されます。
MicrosoftInternet Explorer では、アクセスするサーバーで統合 Windows 認証が有効である場合、Outlook Web App Web パーツを含む Web アプリケーションでシングル サインオンを使用できます。ユーザーは、各ブラウザー セッションに資格情報を 1 回だけ入力します。ただし、ユーザーの資格情報はブラウザー プロセスでキャッシュされます。
クライアント アクセス サーバーの役割だけがインストールされている Exchange 2010 サーバーでは、統合 Windows 認証は Exchange 2010 仮想ディレクトリでのみ使用できます。クライアント アクセス サーバーの役割とメールボックス サーバーの役割の両方がインストールされているサーバーでは、統合 Windows 認証をすべての仮想ディレクトリで使用できます。統合 Windows 認証の詳細については、Windows Server 2003 のドキュメントを参照してください。
注意
統合 Windows 認証は、Windows オペレーティング システムと Internet Explorer を実行するコンピューターでのみサポートされます。統合 Windows 認証は、他の Web ブラウザーでも、認証を要求するサーバーにユーザーのサインイン資格情報を渡すように構成されていれば機能する場合があります。
Outlook Web App 仮想ディレクトリに統合 Windows 認証を構成する方法の詳細については、「統合 Windows 認証を構成する」を参照してください。
© 2010 Microsoft Corporation.All rights reserved.