次の方法で共有

Lync Server 2013 での 2 要素認証の計画

  • [アーティクル]

 

トピック最終更新日時: 2015-04-06

2 要素認証をサポートするように Microsoft Lync Server 2013 環境を構成する場合の展開に関する考慮事項の一覧を次に示します。

クライアントのサポート

Lync Server 2013 の累積的な更新: 2013 年 7 月のデスクトップ クライアントとすべてのモバイル クライアントは、現在、2 要素認証をサポートしています。

トポロジ要件

お客様は、Lync Server 2013 の累積的な更新を使用して、専用の Lync Server 2013 を使用して 2 要素認証を展開することを強くお勧めします:2013 年 7 月の Edge、ディレクター、ユーザー プール。 Lync ユーザーのパッシブ認証を有効にするには、次のような他のロールとサービスに対して他の認証方法を無効にする必要があります。

構成の種類 サービスの種類 サーバーの役割 無効にする認証の種類

Web サービス

WebServer

ディレクター

Kerberos、NTLM、証明書

Web サービス

WebServer

フロントエンド

Kerberos、NTLM、証明書

プロキシ

EdgeServer

Edge

Kerberos および NTLM

プロキシ

レジストラー

フロントエンド

Kerberos および NTLM

これらの認証の種類がサービス レベルで無効になっている場合を除き、展開内で 2 要素認証が有効になると、他のすべてのバージョンの Lync クライアントは正常にサインインできません。

Lync Service Discovery

内部クライアントまたは外部クライアントが Lync サービスを検出するために使用する DNS レコードは、2 要素認証が有効になっていない Lync サーバーに解決するように構成する必要があります。 この構成では、2 要素認証が有効になっていない Lync プールのユーザーは認証用の PIN を入力する必要はありません。一方、2 要素認証が有効になっている Lync プールのユーザーは、認証のために PIN を入力する必要があります。

Exchange 認証

Microsoft Exchange に 2 要素認証を展開したお客様は、Lync クライアントの特定の機能が利用できないことが確認できます。 これは現在、Lync クライアントが Exchange 統合に依存する機能に対して 2 要素認証をサポートしていないため、設計上です。

Lync 連絡先

統合連絡先ストア機能を利用するように構成されている Lync ユーザーは、2 要素認証でサインインした後、連絡先を使用できなくなったことがわかります。

Invoke-CsUcsRollback コマンドレットを使用して、2 要素認証を有効にする前に、既存のユーザー連絡先を統合連絡先ストアから削除し、Lync Server 2013 に保存する必要があります。

Lync 環境でスキル検索機能を構成したお客様は、Lync で 2 要素認証が有効になっている場合、この機能は機能しないことがわかります。 現在、Microsoft SharePoint では 2 要素認証がサポートされていないため、これは仕様です。

Lync 資格情報

2 要素認証を使用するように構成されているユーザーに影響を与える可能性がある、保存された Lync 資格情報に関するデプロイに関する考慮事項がいくつかあります。

保存された資格情報の削除

デスクトップ クライアント ユーザーは、Lync クライアント の [サインイン情報の削除 ] オプションを使用し、2 要素認証を使用して初めてサインインを試みる前に、SIP プロファイル フォルダーを %localappdata%\Microsoft\Office\15.0\Lync から削除する必要があります。

DisableNTCredentials

認証方法が Kerberos または NTLM の場合は、ユーザーの Windows 資格情報が自動的に認証に使用されます。 Kerberos や NTLM が認証に対して有効になっている一般的な Lync Server 2013 展開では、ユーザーがサインインするたびに資格情報を入力する必要はありません。

PIN の入力を求めるメッセージが表示される前に、意図せず資格情報の入力を求められた場合は、クライアント コンピューターで DisableNTCredentials レジストリ キーが誤って (おそらくグループ ポリシーを使用して) 構成されている可能性があります。

資格情報の追加プロンプトを表示しないようにするには、ローカル ワークステーションに次のレジストリ エントリを作成するか、Lync 管理テンプレートを使用して、グループ ポリシーを使用して特定のプールのすべてのユーザーに適用します。

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync

REG_DWORD: DisableNTCredentials

値: 0x0

SavePassword

ユーザーが初めて Lync にサインインすると、パスワードの保存を求めるメッセージが表示されます。 このオプションを選択すると、ユーザーのクライアント証明書を個人証明書ストアに保存したり、ユーザーの Windows 資格情報をローカル コンピューターの資格情報マネージャーに保存したりできます。

2 要素認証をサポートするように Lync が構成されている場合は、 SavePassword レジストリ設定を無効にする必要があります。 ユーザーがパスワードを保存できないようにするには、ローカル ワークステーションで次のレジストリ エントリを変更するか、Lync 管理テンプレートを使用して、グループ ポリシーを使用して特定のプールのすべてのユーザーに適用します。

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Lync

REG_DWORD: SavePassword

値: 0x0

AD FS 2.0 のトークンのリプレイ

AD FS 2.0 は、トークン再生検出と呼ばれる機能を提供します。これにより、同じトークンを使用する複数のトークン要求を検出してから破棄できます。 この機能を有効にすると、トークン再生検出は、同じトークンが複数回使用されないようにすることで、WS-Federationパッシブ プロファイルと SAML WebSSO プロファイルの両方で認証要求の整合性を保護します。

キオスクを使用する場合など、セキュリティが最も重視される状況では、この機能を有効にする必要があります。 トークン再生の検出の詳細については、「AD FS 2.0 at https://go.microsoft.com/fwlink/p/?LinkId=309215のセキュリティで保護された計画と展開に関するベスト プラクティス」を参照してください。

外部ユーザー アクセス

外部ネットワークからの Lync 2 要素認証をサポートするように AD FS プロキシまたはリバース プロキシを構成する方法については、このトピックでは説明しません。