Skype for Business Serverのユーザーとクライアントの認証
信頼されたユーザーとは、資格情報がSkype for Business Serverの信頼されたサーバーによって認証されたユーザーです。 このサーバーは通常、Standard Edition サーバー、Enterprise Edition フロント エンド サーバー、またはディレクターです。 Skype for Business Serverは、ユーザー資格情報の単一の信頼できるバックエンド リポジトリとしてActive Directory Domain Servicesに依存しています。
認証では、ユーザーの資格情報が信頼されたサーバーに渡されます。 Skype for Business Serverは、ユーザーの状態と場所に応じて、次の認証プロトコルを使用します。
Active Directory 資格情報を持つ内部ユーザー向けの MIT Kerberos バージョン 5 セキュリティ プロトコル。 Kerberos では、Active Directory Domain Servicesへのクライアント接続が必要であるため、企業ファイアウォールの外部でクライアントを認証するために使用できません。
企業ファイアウォールの外部のエンドポイントから接続している Active Directory 資格情報を持つユーザー向けの NTLM プロトコル。 Access Edge サービスは、ログオン要求をディレクター (存在する場合) またはフロントエンド サーバーに渡して認証を行います。 Access Edge サービス自体は認証を実行しません。
注意
NTLM プロトコルは Kerberos ほど攻撃に対して強くないので、NTLM の使用を最小限にしている組織もあります。 その結果、Skype for Business Serverへのアクセスは、VPN または DirectAccess 接続を介して接続された内部クライアントまたはクライアントに制限される可能性があります。
ダイジェスト プロトコル: いわゆる匿名ユーザーに対して使用されます。 匿名ユーザーは、有効な Active Directory の資格情報は持たないが、社内会議に招待され、有効な会議キーを持つ外部ユーザーです。 ダイジェスト認証は、他のクライアント操作には使用されません。
Skype for Business Server認証は、次の 2 つのフェーズで構成されます。
クライアントとサーバーの間に、セキュリティ アソシエーションが確立されます。
クライアントとサーバーは、既存のセキュリティ アソシエーションを使用して、送信するメッセージに署名し、受信するメッセージを検証します。 サーバーで認証が有効になっている場合、クライアントからの認証されていないメッセージは受信されません。
ユーザーの信用情報は、ユーザー ID 自体ではなく、ユーザーから送信される各メッセージに添付されます。 サーバーは、各メッセージについて、送信元ユーザーの資格情報が有効であるかどうか確認します。 ユーザーの資格情報が有効な場合、そのメッセージを受け取る最初のサーバーだけでなく、信頼済みサーバー クラウドに属する他のすべてのサーバーで、そのメッセージが受信できるようになります。
フェデレーション パートナーが発行した有効な資格情報を持つユーザーは信頼されますが、これらのユーザーに対しては、内部ユーザーに与えられる権限のうち一部の使用を、必要に応じて制限できます。
ICE プロトコルおよび TURN プロトコルでも、IETF TURN RFC に記載されているとおり、ダイジェスト認証が使用されます。
クライアント証明書は、ユーザーがSkype for Business Serverによって認証される別の方法を提供します。 ユーザー名とパスワードを提供する代わりに、ユーザーは証明書と、暗号化認証の解決に必要な証明書に対応する秘密キーを持ちます。 (この証明書には、ユーザーを識別するサブジェクト名またはサブジェクトの別名が必要であり、Skype for Business Serverを実行しているサーバーによって信頼され、証明書の有効期間内にあり、失効していないルート CA によって発行される必要があります)。認証するには、ユーザーは個人識別番号 (PIN) を入力するだけで済みます。 証明書は、ユーザー名とパスワードの入力が困難な電話、携帯電話、およびその他のデバイスに特に役立ちます。
ASP .NET 4.5 による暗号化要件
Skype for Business Server 2015 CU5 の時点では、AES は ASP.NET 4.6 ではサポートされていないため、Skype 会議アプリの起動に失敗する可能性があります。 クライアントがマシン キー検証値として AES を使用している場合は、コンピューター キーの値を SHA-1 または IIS の Skype 会議アプリ サイト レベルでサポートされている別のアルゴリズムにリセットする必要があります。 必要に応じて、「 IIS 8.0 ASP.NET 構成管理 」を参照してください。
その他に次の値がサポートされます。
HMACSHA256
HMACSHA384
HMACSHA512
ASP.NET 4 ではサポートされていた AES、3DES、MD5 の値は使用できなくなりました。 ASP.NET 4.5、pt. 2 の暗号化の機能強化 について詳しく説明します。