Outlook Web App のフォーム ベース認証を構成する
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2015-03-09
フォーム ベース認証によって、Cookie を使用してユーザーの暗号化されたサインイン資格情報をインターネット ブラウザーに格納する Exchange Server 2010 Outlook Web App のサインイン ページが有効になります。Cookie の使用を追跡することによって、Exchange サーバーで、公共のコンピューターやプライベートのコンピューターでの Outlook Web App セッションのアクティビティを監視することができます。セッションの非アクティブな時間が長くなりすぎた場合は、サーバーはユーザーが再度認証するまでアクセスを禁止します。
目次
Cookie を使用したアクセスの制御
ユーザー アクティビティの確認
フォーム ベース認証で使用されるサインイン プロンプトを構成する
公共およびプライベートのコンピューターからのユーザー サインインの暗号化について
SSL を使用した Outlook Web App のセキュリティ保護
Cookie を使用したアクセスの制御
ユーザー名とパスワードが最初にクライアント アクセス サーバーに送信され、Outlook Web App セッションの認証が行われたときに、ユーザー アクティビティを追跡するために使用される暗号化された Cookie が作成されます。ユーザーがインターネット ブラウザーを終了するか、または [サインアウト] をクリックして Outlook Web App セッションからサインアウトしたときに、Cookie は消去されます。ユーザー名とパスワードは最初にユーザー サインインしたときだけクライアント アクセス サーバーに送信されます。最初のサインインが完了した後は、クライアント コンピューターとクライアント アクセス サーバーの間の認証には Cookie のみが使用されます。
公共のコンピューターでの Cookie のタイムアウト値の設定
既定では、ユーザーが Outlook Web App のサインイン ページで [これは公共または共有のコンピューターです] オプションをクリックした場合、ユーザーが Outlook Web App を 15 分間使用しないと、コンピューター上の Cookie は自動的に期限切れになり、ユーザーはサインアウトされます。
自動タイムアウトは、権限のないアクセスからユーザーのアカウントを保護する意味で重要です。非アクティブであることによるタイムアウト値を組織のセキュリティ要件に合うように、Exchange クライアント アクセス サーバー上で構成できます。
自動タイムアウトによって、権限のないアクセスによる危険性は大幅に低減されますが、公共のコンピューター上でセッションが実行されたままである場合、権限のないユーザーが Outlook Web App アカウントにアクセスできる可能性がなくなるわけではありません。したがって、ユーザーに対し、危険を回避するためにの予防策を講じるよう通知しておきます。たとえば、Outlook Web App での作業が終了したら、Outlook Web App からサインアウトし、Web ブラウザーを閉じるよう指示します。
公共のコンピューターでの Cookie のタイムアウト値を構成する方法の詳細については、「フォーム ベース認証を使用する公共のコンピューターにおける Cookie のタイムアウト値を設定する」を参照してください。
プライベートのコンピューターでの Cookie のタイムアウト値の設定
ユーザーが Outlook Web App のサインイン ページで [これは個人のコンピューターです] オプションをクリックした場合、Exchange サーバーでは、Outlook Web App セッションを自動的に終了するまでの非アクティブの時間を長く設定することができます。プライベートなサインインの既定のタイムアウト値は 8 時間です。暗号化キーのリサイクル時間とサーバーで構成されたタイムアウト値の関係により、プライベートなサインインに対する実際の既定のタイムアウト値は、8 時間から 12 時間の間になります。詳細については、「公共およびプライベートのコンピューターからのユーザー サインインの暗号化について」を参照してください。プライベートのコンピューターでの Cookie のタイムアウト オプションは、自分のコンピューターや企業ネットワーク内のコンピューターを使用している Outlook Web App ユーザーの使い勝手を向上させることを目的としています。
[これは個人のコンピューターです] オプションを選択することに関連する危険性についてユーザーに注意を促すことが重要です。ユーザーがプライベートのコンピューターのオプションを選択するのは、そのユーザーがコンピューターを操作する唯一のユーザーであり、さらにそのコンピューターが組織のセキュリティ ポリシーに従っている場合のみに限定する必要があります。
プライベートのコンピューターでの Cookie のタイムアウト値を構成する方法の詳細については、「フォーム ベース認証を使用する個人用コンピューターにおける Cookie のタイムアウト値を設定する」を参照してください。
ページのトップへ
ユーザー アクティビティの確認
Outlook Web App セッションが非アクティブになってから一定期間が経過すると、クライアント アクセス サーバーは Cookie を読み取るための解読キーを破棄し、ユーザーが再び認証するまでアクセスは拒否されます。
Exchange 2010 では、以下の情報を使用してユーザー アクティビティを確認します。
クライアント コンピューターとクライアント アクセス サーバーとの間で、ユーザーによって開始されたやり取りは、アクティビティと見なされます。たとえば、ユーザーがアイテムを開いたり、送信または保存したり、フォルダーやモジュールを切り替えたり、ビューや Web ブラウザーのウィンドウを更新したりした場合、Exchange 2010 ではアクティビティと見なされます。
注意
クライアント コンピューターとクライアント アクセス サーバーとの間で、クライアント アクセス サーバーによって自動的に生成されたやり取りは、アクティビティとは見なされません。たとえば、Outlook Web App セッションで、クライアント アクセス サーバーによって生成された新しい電子メールの通知やアラームは、アクティビティとは見なされません。
Outlook Web App では、電子メール メッセージや会議出席依頼へのテキストの入力を含め、すべてのユーザー アクティビティがアクティビティと見なされます。Outlook Web App の Light バージョンでは、テキストの入力以外のユーザー アクティビティがアクティビティと見なされます。
フォーム ベース認証で使用されるサインイン プロンプトを構成する
フォーム ベース認証では、ポップアップ ウィンドウの代わりに、Outlook Web App のサインイン ページが作成されます。Exchange 管理コンソールまたは Exchange 管理シェルを使用して、フォーム ベース認証のサインイン プロンプト方法を構成できます。構成の変更によって変更できるのは、サインイン プロンプトのテキストだけです。構成の変更によってユーザーがサインインしなければならない形式は変わりません。たとえば、フォームベースの認証サインイン ページで、ユーザーが自分のサインイン情報をドメイン\ユーザー名の形式で入力するように構成できます。ただし、ユーザーはユーザー プリンシパル名 (UPN) を入力してサインインすることもできます。
Outlook Web App のサインイン ページのフォーム ベース認証では、以下の種類のサインイン プロンプトを使用できます。ユーザーにとって最もわかりやすく、使いやすいプロンプトを選択します。
FullDomain "ドメイン\ユーザー名" の形式で表したユーザーのドメインとユーザー名です。たとえば、「Contoso\Kweku」のように入力します。
プリンシパル名 UPN です。UPN は 2 つの部分で構成されています。ユーザー アカウント名である UPN プレフィックスと DNS ドメイン名である UPN サフィックスです。このプレフィックスとサフィックスをアットマーク (@) でつなげたものが完全な UPN になります。たとえば、「Kweku@contoso.com」のように入力します。ユーザーは、プライマリ電子メール アドレスまたは UPN を入力することにより、Outlook Web App にアクセスできます。
ユーザー名 ユーザー名のみを使用します。ドメイン名は含まれていません。たとえば、「Kweku」などと入力します。このサインイン形式は、ドメイン名が構成済みである場合にのみ機能します。
注意
必要に応じて、Active Directory およびインターネット インフォメーション サービス (IIS) を構成することによって、Outlook Web App にサインインするときにユーザーが使用する形式を変更できます。Active Directory と IIS を使用して設定した、認証を受けるユーザーが入力できるユーザー名の形式は、前に説明した Outlook Web App のフォーム ベース認証のプロンプトとは独立しています。
ページのトップへ
公共およびプライベートのコンピューターからのユーザー サインインの暗号化について
公共およびプライベートのコンピューターから Outlook Web App にサインインする場合、ユーザーのサインイン資格情報を暗号化するために、6 つのハッシュベースのメッセージ認証コード (HMAC) が使用されます。HMAC は、クライアント アクセス サーバーで生成される 160 ビット キーです。HMAC では、ハッシュ アルゴリズムと暗号化機能を組み合わせて、ユーザーのサインイン資格情報を暗号化することによって、サインインのセキュリティが強化されます。Cookie の暗号化と解読は、同じクライアント アクセス サーバーによって実行されます。Cookie を解読するためのキーを持っているのは、認証キーを生成したクライアント アクセス サーバーだけです。
フォーム ベース認証を使用する場合、クライアント アクセス サーバーは、公共とプライベートの各サインインの種類について、設定された頻度で 3 つのキーのセットを順に切り替えます。これをリサイクル時間と呼びます。キーのリサイクル時間は、サインインのタイムアウト値の半分です。たとえば、公共のコンピューターからのサインインでタイムアウト値が 15 分に設定されている場合、公開キーのリサイクル時間は 7.5 分です。
Outlook Web App 仮想ディレクトリが開始されると、クライアント アクセス サーバーによって 6 つのサインイン キーが作成されます。3 つは公共のコンピューターからのサインインに使用され、3 つはプライベートのコンピューターからのサインインに使用されます。ユーザーがサインインすると、現在のサインインの種類に応じたキーを使用して、ユーザーの認証情報が Cookie として暗号化されます。
リサイクル時間が経過すると、クライアント アクセス サーバーは次のキーに移行します。サインインの種類に応じた 3 つのキーがすべて使用されると、クライアント アクセス サーバーは最も古いキーを削除して、新しいキーを作成します。クライアント アクセス サーバーは、各サインインの種類について、現在のキーと最新の 2 つのキーの 3 つのキーを常に保持します。クライアント アクセス サーバーで Outlook Web App が実行されている間、キーのリサイクルは継続されます。すべてのユーザーについて同じキーが使用されます。
アクティブなキーを使用して暗号化された Cookie はすべて受け付けられます。ユーザー アクティビティの要求をクライアント アクセス サーバーが受信したときに、その要求の Cookie は最新のキーを使用して暗号化された新しい Cookie に置き換えられます。セッションに関連付けられた Cookie が、破棄された古いキーで暗号化されている場合、ユーザー セッションはタイムアウトします。
サーバー上で構成されている暗号化キーのリサイクル時間とユーザーのタイムアウトの関係によって、ユーザーの実際のタイムアウト期間は、構成されたタイムアウト値と構成されたタイムアウト値の 1.5 倍の値の間になります。たとえば、構成されたタイムアウトが 30 分である場合、ユーザー セッションの実際のタイムアウト期間は 30 ~ 45 分になります。
次の表に、公共またはプライベートのコンピューターからのユーザー サインインに基づいて、Cookie のタイムアウトと認証キーのリサイクル時間に関する情報を示します。
ユーザー サインインの種類に基づいた既定の Cookie のタイムアウトと認証キーのリサイクル時間
| サインイン | Cookie のタイムアウト値 | 既定のタイムアウト値を使用する場合の認証キーのリサイクル時間 |
|---|---|---|
公共 |
1 分~ 30 日。既定値は 15 分です。 |
7.5 分 |
プライベート |
1 分~ 30 日。既定値は 8 時間です。 |
4 時間 |
注意
レジストリを使用して、Cookie のタイムアウト値を分単位で構成できます。認証キーのリサイクル時間の最小値は Cookie のタイムアウト値の 3 分の 1、最大値は Cookie のタイムアウト値の 2 分の 1 です。
ページのトップへ
SSL を使用した Outlook Web App のセキュリティ保護
既定では、クライアント アクセス サーバーの役割をインストールするときに、SSL (Secure Sockets Layer) が有効になります。SSL を使用しない場合、ユーザー名とパスワードは最初のサインイン時にクリア テキストで送信されます。SSL を使用する場合、クライアント コンピューターとクライアント アクセス サーバーの間のすべての通信が暗号化されるので、ユーザー名、パスワード、電子メール メッセージなどの機密情報は第三者によって参照されなくなります。
ページのトップへ
© 2010 Microsoft Corporation.All rights reserved.