Lync Server 2013 の暗号化Encryption for Lync Server 2013

 

トピックの最終更新日: 2017-09-14Topic Last Modified: 2017-09-14

Microsoft Lync Server 2013 は TLS と MTLS を使用してインスタントメッセージを暗号化します。Microsoft Lync Server 2013 uses TLS and MTLS to encrypt instant messages. すべてのサーバー間トラフィックは、トラフィックが内部ネットワークに限定されているか、または内部ネットワーク境界を越えているかに関係なく、MTLS を必要とします。All server-to-server traffic requires MTLS, regardless of whether the traffic is confined to the internal network or crosses the internal network perimeter. TLS はオプションですが、仲介サーバーとメディアゲートウェイ間で強く推奨されます。TLS is optional but strongly recommended between the Mediation Server and media gateway. このリンクで TLS が構成されている場合は、MTLS が必要です。If TLS is configured on this link, MTLS is required. そのため、仲介サーバーによって信頼されている CA からの証明書を使用してゲートウェイを構成する必要があります。Therefore, the gateway must be configured with a certificate from a CA that is trusted by the Mediation Server.

注意

SSL 3.0 に関するセキュリティアドバイザリは、2014で公開されました。A security advisory regarding SSL 3.0 was published in 2014. Lync Server 2013 で SSL 3.0 を無効にする方法はサポートされています。Disabling SSL 3.0 in Lync Server 2013 is a supported option. セキュリティアドバイザリの詳細については、「」を参照してください https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/To learn more about the security advisory, see https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/.

securityセキュリティに関する注意事項:Security Note:
最強の暗号化プロトコルが使用されるように、Lync Server 2013 は tls 暗号化プロトコルを次の順序でクライアントに提供します。 tls 1.2tls 1.1tls 1.0To ensure the strongest cryptographic protocol is used, Lync Server 2013 will offer TLS encryption protocols in the following order to clients: TLS 1.2 , TLS 1.1, TLS 1.0. TLS は Lync Server 2013 の重要な部分であるため、サポートされている環境を維持するために必要です。TLS is a critical aspect of Lync Server 2013 and thus it is required in order to maintain a supported environment.

クライアント間のトラフィックに対する要件は、そのトラフィックが内部の企業ファイアウォールを越えるかどうかによって異なります。厳密に言えば、内部のトラフィックでは、TLS を使用することも (インスタント メッセージが暗号化される)、TCP を使用することも (インスタント メッセージが暗号化されない) できます。Requirements for client-to-client traffic depend on whether that traffic crosses the internal corporate firewall. Strictly internal traffic can use either TLS, in which case the instant message is encrypted, or TCP, in which case it is not.

次の表に、各種トラフィックのプロトコル要件をまとめます。The following table summarizes the protocol requirements for each type of traffic.

トラフィックの保護Traffic Protection

トラフィックの種類Traffic type 保護用プロトコルProtected by

サーバー間Server-to-server

MTLSMTLS

クライアントからサーバーへClient-to-server

TLSTLS

インスタント メッセージングおよびプレゼンスInstant messaging and presence

TLS (TLS 用に構成されている場合)TLS (if configured for TLS)

オーディオとビデオ、およびメディアのデスクトップ共有Audio and video and desktop sharing of media

SRTPSRTP

デスクトップ共有 (シグナリング)Desktop sharing (signaling)

TLSTLS

Web 会議Web conferencing

TLSTLS

会議コンテンツのダウンロード、アドレス帳のダウンロード、配布グループの拡張Meeting content download, address book download, distribution group expansion

HTTPSHTTPS

メディアの暗号化Media Encryption

メディアトラフィックは、セキュリティで保護された RTP (SRTP) を使用して暗号化されます。 Real-Time トランスポートプロトコル (RTP) のプロファイルは、機密性、認証、および再生攻撃保護を RTP トラフィックに提供します。Media traffic is encrypted using Secure RTP (SRTP), a profile of Real-Time Transport Protocol (RTP) that provides confidentiality, authentication, and replay attack protection to RTP traffic. さらに、仲介サーバーとその内部の次ホップの間で双方向に流れるメディアも、SRTP を使用して暗号化されます。In addition, media flowing in both directions between the Mediation Server and its internal next hop is also encrypted using SRTP. 仲介サーバーとメディアゲートウェイ間の両方の方向に流れるメディアは、既定では暗号化されません。Media flowing in both directions between the Mediation Server and a media gateway is not encrypted by default. 仲介サーバーはメディアゲートウェイへの暗号化をサポートできますが、ゲートウェイは、証明書の MTLS と記憶域をサポートする必要があります。The Mediation Server can support encryption to the media gateway, but the gateway must support MTLS and storage of a certificate.

注意

音声/ビデオ (A/V) は、新しいバージョンの Windows Live Messenger でサポートされています。Audio/Video (A/V) is supported with the new version of Windows Live Messenger. Windows Live Messenger で音声ビデオ フェデレーションを実装する場合は、Lync Server の暗号化レベルを変更する必要もあります。If you are implementing A/V federation with Windows Live Messenger, you must also modify the Lync Server encryption level. 既定では、暗号化レベルは "必須" です。By default, the encryption level is Required. Lync Server 管理シェルを使用して、この設定を [サポート] に変更する必要があります。You must change this setting to Supported by using the Lync Server Management Shell. 詳細については、「展開」のドキュメントの「Deployment external user access In Lync Server 2013 」を参照してください。For more information, see Deploying external user access in Lync Server 2013 in the Deployment documentation.

音声およびビデオのメディアトラフィックは、Microsoft Lync 2013 と Windows Live クライアントの間では暗号化されません。Audio and video media traffic is not encrypted between Microsoft Lync 2013 and Windows Live clients.

使うFIPS

Lync Server 2013 と Microsoft Exchange Server 2013 は、Windows Server オペレーティングシステムがシステム暗号化用の FIPS 140-2 アルゴリズムを使用するように構成されている場合、連邦情報処理規格 (FIPS) の140-2 アルゴリズムをサポートするように動作します。Lync Server 2013 and Microsoft Exchange Server 2013 operate with support for Federal Information Processing Standard (FIPS) 140-2 algorithms if the Windows Server operating systems are configured to use the FIPS 140-2 algorithms for system cryptography. FIPS サポートを実装するには、Lync Server 2013 を実行している各サーバーをサポートするように構成する必要があります。To implement FIPS support, you must configure each server running Lync Server 2013 to support it. FIPS 準拠アルゴリズムの使用方法、および FIPS サポートを実装する方法の詳細については、「Microsoft サポート技術情報の記事811833」を参照してください。 Windows XP 以降のバージョンの Windows では、「システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する」のセキュリティ設定を有効にした場合の影響 https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=811833For details about the use of FIPS-compliant algorithms and how to implement FIPS support, see Microsoft Knowledge Base article 811833, The effects of enabling the “System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing" security setting in Windows XP and in later versions of Windows at https://go.microsoft.com/fwlink/p/?linkid=3052&kbid=811833. Exchange 2010 の FIPS 140-2 サポートおよび制限事項の詳細については、「Exchange 2010 SP1 とサポート」の「FIPS 準拠アルゴリズムのサポート」を参照してください https://go.microsoft.com/fwlink/p/?LinkId=205335For details about FIPS 140-2 support and limitations in Exchange 2010, see Exchange 2010 SP1 and Support for FIPS Compliant Algorithms at https://go.microsoft.com/fwlink/p/?LinkId=205335.