Lync Server 2013 の暗号化
トピック最終更新日: 2017-09-14
Microsoft Lync Server 2013 では、TLS と MTLS を使用してインスタント メッセージを暗号化します。 すべてのサーバー間トラフィックでは、トラフィックが内部ネットワークに限定されているか、内部ネットワークの境界を越えるかに関係なく、MTLS が必要です。 TLS は省略可能ですが、仲介サーバーとメディア ゲートウェイの間で強くお勧めします。 この接続に TLS を構成する場合は MTLS も必要です。 そのため、ゲートウェイは、仲介サーバーによって信頼されている CA からの証明書で構成する必要があります。
注意
SSL 3.0 に関するセキュリティ アドバイザリが 2014 年に公開されました。 Lync Server 2013 で SSL 3.0 を無効にすることは、サポートされているオプションです。 セキュリティ アドバイザリの詳細については、「」を参照してください https://blogs.technet.microsoft.com/uclobby/2014/10/22/disabling-ssl-3-0-in-lync-server-2013/。
.gif "セキュリティ セキュリティ")
セキュリティに関する注意: |
|---|
| 最強の暗号化プロトコルを確実に使用するために、Lync Server 2013 では、TLS 1.2、TLS 1.1、TLS 1.0 の順に TLS 暗号化プロトコルがクライアントに提供されます。 TLS は Lync Server 2013 の重要な側面であるため、サポートされている環境を維持するために必要です。 |
クライアント間トラフィックの要件は、そのトラフィックが社内ファイアウォールを通過するかどうかによって異なります。 厳密に内部トラフィックでは、TLS を使用できます。この場合、インスタント メッセージは暗号化されます。その場合は TCP を使用できます。その場合は使用できません。
次の表に、各種トラフィックのプロトコル要件をまとめます。
トラフィックの保護
| トラフィックの種類 | 保護用プロトコル |
|---|---|
サーバー間 |
MTLS |
クライアントからサーバー |
TLS |
インスタント メッセージングとプレゼンス |
TLS (TLS 用に構成されている場合) |
オーディオとビデオ、メディアのデスクトップ共有 |
SRTP |
デスクトップ共有 (シグナリング) |
TLS |
Web 会議 |
TLS |
会議コンテンツのダウンロード、アドレス帳のダウンロード、配布グループの拡張 |
HTTPS |
メディアの暗号化
メディア トラフィックは、RTP トラフィックに対して機密性、認証、反射攻撃保護を提供する RTP (Real-Time Transport Protocol) のプロファイルである SRTP (Secure RTP) を使用して暗号化されます。 さらに、仲介サーバーと内部ネクスト ホップの間で双方向に流れるメディアも SRTP を使用して暗号化されます。 仲介サーバーとメディア ゲートウェイの間で双方向に流れるメディアは、既定では暗号化されません。 仲介サーバーはメディア ゲートウェイへの暗号化をサポートできますが、ゲートウェイは MTLS と証明書のストレージをサポートする必要があります。
注意
オーディオ/ビデオ (A/V) は、Windows Live Messengerの新しいバージョンでサポートされています。 Windows Live Messengerとの A/V フェデレーションを実装する場合は、Lync Server 暗号化レベルも変更する必要があります。 既定では、暗号化レベルは "必須" です。 Lync Server 管理シェルを使用して、この設定を [サポート対象] に変更する必要があります。 詳細については、「展開」のドキュメント の「Lync Server 2013 での外部ユーザー アクセス の展開」を参照してください。
オーディオおよびビデオ メディア トラフィックは、Microsoft Lync 2013 と Windows Live クライアントの間では暗号化されません。
FIPS
Lync Server 2013 および Microsoft Exchange Server 2013 は、Windows Server オペレーティング システムがシステム暗号化に FIPS 140-2 アルゴリズムを使用するように構成されている場合、連邦情報処理標準 (FIPS) 140-2 アルゴリズムのサポートで動作します。 FIPS サポートを実装するには、Lync Server 2013 を実行している各サーバーを構成してサポートする必要があります。 FIPS 準拠アルゴリズムの使用と FIPS サポートの実装方法の詳細については、Microsoft サポート技術情報の記事 811833、Windows XP およびそれ以降のバージョンの Windows のhttps://go.microsoft.com/fwlink/p/?linkid=3052&セキュリティ設定で "システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する" セキュリティ設定を有効にすることの効果に関するページを参照してください。kbid=811833。 Exchange 2010 での FIPS 140-2 のサポートと制限の詳細については、「Exchange 2010 SP1」および「FIPS 準拠アルゴリズム https://go.microsoft.com/fwlink/p/?LinkId=205335のサポート」を参照してください。