Exchange ActiveSync のセキュリティの管理
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2007-07-14
Exchange ActiveSync では、ユーザーはモバイル デバイスを Microsoft Exchange Server 2007 と同期することができます。これにより、ユーザーはさまざまな Exchange データ、たとえば、電子メール メッセージ、予定表および連絡先のデータ、仕事、FAX メッセージやボイス メール メッセージなどの、ユニファイド メッセージング データにアクセスできます。
注 : |
---|
モバイル デバイスで FAX メッセージを表示するには、サード パーティの追加のソフトウェアをインストールする必要が生じる可能性があります。 |
Exchange ActiveSync を展開する際に検討する必要のあるセキュリティ上の考慮事項がいくつかあります。ここでは、Exchange ActiveSync の展開に関するセキュリティ オプションの概要について説明します。
Exchange ActiveSync サーバーのセキュリティ
Exchange ActiveSync を実行しているサーバー上で実行できるセキュリティ関連タスクはいくつかあります。最も重要なタスクの 1 つは、認証方法の構成です。Exchange ActiveSync は、クライアント アクセス サーバーの役割がインストールされた Exchange 2007 サーバー上で実行されます。このサーバーの役割は、既定の自己署名入りデジタル証明書と共にインストールされます。自己署名入り証明書は Exchange ActiveSync でサポートされていますが、これはセキュリティの最も高い認証方法ではありません。セキュリティを強化するためには、サード パーティの商用証明機関 (CA) または信頼されている Windows 公開キー基盤 (PKI) 証明機関からの信頼された証明書を展開することを検討してください。信頼されたデジタル証明書を構成する方法の詳細については、「Exchange ActiveSync のために SSL を構成する方法」を参照してください。
Exchange ActiveSync の認証方法の選択
信頼されたデジタル証明書を展開することに加え、Exchange ActiveSync で適用できるさまざまな認証方法を検討する必要があります。既定では、クライアント アクセス サーバーの役割がインストールされている場合、Exchange ActiveSync は SSL (Secure Sockets Layer) による基本認証を使用するように構成されます。セキュリティを強化するためには、認証方法をダイジェスト認証または Windows 統合認証に変更することを検討してください。
注 : |
---|
Exchange 2003 サーバーにメールボックスを持つユーザーが、Exchange 2007 クライアント アクセス サーバー経由で Exchange ActiveSync を使おうとすると、Exchange 2003 サーバーの Microsoft-Server-ActiveSync 仮想ディレクトリで統合 Windows 認証が有効になっていない限り、エラーが発生し、同期は行えません。これによって、Exchange 2007 クライアント アクセス サーバーと Exchange 2003 バックエンド サーバーは Kerberos 認証を使用して互いに通信することができます。 |
Exchange ActiveSync と ISA Server の使用
Microsoft Internet Security and Acceleration (ISA) Server 2006 と Exchange 2007 は、Exchange ActiveSync を使用する際に Microsoft Exchange に対するクライアント アクセスのセキュリティを強化するように設計されています。
ISA Server 2006 では、新しい Exchange 公開ルール ウィザードを実行して、Exchange ActiveSync の認証方法を構成できます。ISA Server 2006 を Exchange ActiveSync と共に使用する方法の詳細については、「Exchange クライアント アクセス用の ISA Server 2006 の構成」を参照してください。
デバイスのセキュリティ
Exchange ActiveSync サーバーのセキュリティを強化することに加え、ユーザーのモバイル デバイスのセキュリティを強化することを検討する必要があります。モバイル デバイスのセキュリティ強化に使用できる方法はいくつかあります。
Exchange ActiveSync メールボックス ポリシー
Exchange 2007 の Exchange ActiveSync を使用すると、Exchange ActiveSync メールボックス ポリシーを作成し、ユーザーの集合にセキュリティ設定の共通セットを適用できます。以下にこれらの設定の一部を紹介します。
- パスワードを要求する。
- 最低限必要なパスワードの長さを指定する。
- パスワードで数字または特殊文字の使用を要求する。
- ユーザーがパスワードの再入力を要求されるまでのデバイスの非アクティブ時間を指定する。
- 特定の回数を超えて間違ったパスワードが入力された場合にデバイスのデータが消去されるように指定する。
Exchange ActiveSync メールボックス ポリシーの詳細については、「ポリシーによる Exchange ActiveSync の管理」を参照してください。
リモート デバイス ワイプ
モバイル デバイスには、企業の機密データが格納されていることがあります。また、さまざまな企業リソースにアクセスする機能があります。モバイル デバイスを紛失したり盗難にあったりすると、そこに格納されているデータが危険にさらされます。リモート デバイス ワイプは、モバイル デバイスが次回 Exchange サーバーに接続するときに、そのデバイスのすべてのデータを削除するように Exchange サーバーで設定できる機能です。リモート デバイス ワイプを実行すると、モバイル デバイスからすべての同期された情報と個人用の設定を効果的に削除します。この機能は、デバイスが紛失や盗難など危害を受ける状況に陥った場合に役立ちます。
注意 : |
---|
リモート デバイス ワイプを実行した後でデータの回復を行うことは非常に困難です。ただし、新品同様にデバイスにデータを残さないデータ削除の処理はありません。高度なツールを使用して、デバイスからデータを回復できる可能性はあります。 |
リモート デバイス ワイプの実行方法の詳細については、「リモート デバイス ワイプについて」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。