Revoke-CsClientCertificate
トピックの最終更新日: 2012-03-27
クライアント証明書を使用すると、Microsoft Lync Server 2010 へのログオン時にユーザーが認証を受けることができます。証明書は、ユーザー名やパスワードを入力するのが難しい Microsoft Lync 2010 Phone Edition を実行している電話などのデバイスで特に役立ちます。Revoke-CsClientCertificate を実行すると、管理者は、ユーザーに対して発行されたクライアント証明書を失効させることができます。
構文
Revoke-CsClientCertificate -Identity <UserIdParameter> [-Confirm [<SwitchParameter>]] [-Force <SwitchParameter>] [-WhatIf [<SwitchParameter>]]
解説
クライアント証明書を使用すると、ユーザーは Lync Server 2010 によって別の方法で認証を受けることができます。ユーザー名とパスワードを入力する代わりに、ユーザーは X.509 証明書をシステムに送信します (この証明書には、ユーザーを識別するサブジェクト名またはサブジェクト代替名が含まれている必要があります)。ユーザーは、暗証番号 (PIN) を入力するだけで、認証を受けることができます。携帯電話のユーザーの場合、通常、英数字のユーザー名とパスワードを入力するよりも PIN を入力するほうが簡単です。
管理者は、Revoke-CsClientCertificate コマンドレットを使用して、ユーザーに対して発行されたクライアント証明書をいつでも失効させることができます。Revoke-CsClientCertificate は、対象のユーザーに対してサーバーから発行されたすべてのクライアント証明書を失効させます。
Revoke-CsClientCertificate は、クライアント デバイスから証明書を削除するのではなく、サーバーから証明書を削除するだけです。ただし、クライアントが認証目的で証明書を使用できないようにするには、これで十分です。サーバー上に証明書がなければ、認証要求は拒否されます。
既定では、Lync Server 2010 の Standard Edition をインストールするときに、SQL Server Express に対するファイアウォールの例外は有効にはなりません。つまり、Windows PowerShell のリモート インスタンスから Revoke-CsClientCertificate を実行できないことを意味します。コマンドを使用して、ファイアウォールを通過して SQL Server Express データベースにアクセスすることができないためです(ただし、コマンドレットをローカルで、つまり Standard Edition サーバー自体で実行することは可能です)。Standard Edition を使用しており、Revoke-CsClientCertificate をリモートで実行する必要がある場合は、SQL Server Express に対するファイアウォール例外を手動で有効にする必要があります。
このコマンドレットを実行できるメンバー。既定では、次のグループのメンバーが、Revoke-CsClientCertificate コマンドレットをローカルで実行することを承認されています。RTCUniversalServerAdmins。このコマンドレットが割り当てられているすべての役割ベースのアクセス制御 (RBAC) の役割の一覧 (自身が作成したカスタムの RBAC の役割を含む) を戻すには、Windows PowerShell プロンプトから次のコマンドを実行します。
Get-CsAdminRole | Where-Object {$_.Cmdlets –match "Revoke-CsClientCertificate"}
パラメーター
| パラメーター | 必須 | 型 | 説明 |
|---|---|---|---|
Identity |
必須 |
ユーザー ID |
証明書を失効させるユーザー アカウントの Identity を指定します。ユーザーの Identity は、以下の 4 つの形式のうちの 1 つを使用して指定できます。1) ユーザーのセッション開始プロトコル (SIP) アドレス、2) ユーザーのユーザー プリンシパル名 (UPN)、3) ドメイン\ログオン形式 (litwareinc\kenmyer など) のユーザーのドメイン名とログオン名、4) ユーザーの Active Directory 表示名 (Ken Myer など)。ユーザーの Active Directory 識別名を使用してユーザーの Identity を参照することもできます。 |
Force |
省略可能 |
スイッチ パラメーター |
コマンド実行中に発生する可能性のある、致命的ではないすべてのエラー メッセージを表示しないようにします。 |
WhatIf |
省略可能 |
スイッチ パラメーター |
実際にコマンドを実行せずに、コマンドの実行結果がわかります。 |
Confirm |
省略可能 |
スイッチ パラメーター |
コマンドの実行前に確認メッセージを表示します。 |
入力の種類
文字列値または Microsoft.Rtc.Management.ADConnect.Schema.ADUser オブジェクト。Revoke-CsClientCertificate は、ユーザー アカウントの ID を示す文字列値のパイプ処理された入力を受け入れます。このコマンドレットは、ユーザー オブジェクトのパイプ処理された入力も受け入れます。
戻り値の種類
なし。代わりに、Revoke-CsClientCertificate を実行すると、Microsoft.Rtc.Management.UserPinService.CertInfoDetails オブジェクトのインスタンスが失効します。
例
-------------------------- 例 1 ------------------------
Revoke-CsClientCertificate -Identity "Ken Myer"
例 1 に示すコマンドで、Ken Myer に現在割り当てられているすべてのクライアント証明書が失効します。これを行うため、証明書を失効させるユーザーの ID を後に続けて Revoke-CsClientCertificate を呼び出します。
-------------------------- 例 2 ------------------------
Get-CsUser | Revoke-CsClientCertificate
例 2 では、組織内で発行されたすべてのクライアント証明書を失効させます。これを行うため、まず Get-CsUser を呼び出して、組織内の Lync Server が有効になっているすべてのユーザーのコレクションを戻します。次に、このコレクションを Revoke-CsClientCertificate コマンドレットにパイプ処理して、コレクション内の各ユーザーの証明書を削除します。