Lync Server 2010 の社内会議に対する脅威への対応
トピックの最終更新日: 2011-05-02
Microsoft Lync Server 2010 では、ファイアウォールの内側および外側に存在する両方のエンタープライズ ユーザーに対して、Lync Server 2010 サーバーでホストされるリアルタイム Web 会議 (ミーティング) を作成および参加する機能が提供されます。エンタープライズ ユーザーは、Active Directory ドメイン サービス アカウントを持たない外部ユーザーを会議に招待することもできます。セキュリティで保護された認証済み ID を持つフェデレーション パートナーに雇用されるユーザーも会議に参加でき、発表者に昇格することもできます。匿名ユーザーは会議を作成することも、発表者として会議に参加することもできませんが、会議に参加した後であれば、発表者に昇格できます。
社内 Web 会議は、Lync Server 2010 の基本的なセキュリティ フレームワークを基盤に構築されます。
すべてのサーバーが信頼されています。
併置されているコンポーネント間のサーバー接続と通信はすべて MTLS です。
すべての通信が暗号化されます。
すべてのユーザーが認証されます。
外部ユーザーを社内会議に参加できるようにすると、この機能の価値が大幅に高まりますが、同時に、セキュリティ上のリスクも伴います。Lync Server では、これらのリスクに対して次のように対応します。
電話会議の制御特権を参加者の役割に応じて割り当てます。
参加者の種類別に特定の会議へのアクセスを制限できます。
どの会議にどの種類の参加者が出席できるかは、定義されている会議の種類によって決まります。
電話会議の予約は、内部ネットワーク内の Active Directory 資格情報を持ち、Lync Server 2010 に対して有効になっているユーザーのみが行うことができます。
ダイヤルイン電話会議に参加する匿名ユーザー (未認証ユーザー) が、電話会議のアクセス番号の 1 つをダイヤルすると、電話会議 ID を入力するように指示されます。このとき、認証されていない匿名ユーザーは、名前も録音する必要があります。電話会議に出席中の認証されていないユーザーは、この録音された名前によって識別されます。主催者または認証済みユーザーが少なくとも 1 名参加するまで、匿名ユーザーは電話会議への参加が許可されません。また、匿名ユーザーには事前に定義された役割も割り当てられません。
参加者の役割
会議参加者は 3 つのグループに分類され、それぞれに独自の特権と制限があります。
**開催者。**会議を作成するユーザー (今すぐ開始する会議を作成することも、会議を予約することも可能)。開催者は、認証済みエンタープライズ ユーザーである必要があり、会議のエンド ユーザーのあらゆる面を制御できます。
**発表者。**サポートされている任意のメディアを使用して会議で発表することが承認されているユーザー。定義上、会議の開催者は発表者でもあり、別の発表者を指定します。発表者の指定は、会議の予約時に行うことも、会議中に行うこともできます。
**参加者。**会議に招待されているが、発表者になることは承認されていないユーザー。
発表者は、会議中に参加者を発表者に昇格することもできます。
参加者の種類
会議の参加者は、場所と資格情報によって分類することもできます。これらの両方の特性を使用して、どのユーザーがどの会議にアクセスできるかを指定できます。ユーザーは、内部ユーザーと外部ユーザーに大きく分かれます。
内部ユーザーは、エンタープライズ内の Active Directory 資格情報を持ち、企業ファイアウォールの内側から接続します。
外部ユーザーは、企業ファイアウォールの外側からエンタープライズに一時的または永続的に接続します。Active Directory 資格情報を持つ外部ユーザーもいます。Lync Server 2010 では、次の種類の外部ユーザーに対して電話会議をサポートしています。
エンタープライズ内の永続的な Active Directory ID を持つリモート ユーザー。リモート ユーザーには、自宅や外出先で働く従業員や、利用規約に従ってエンタープライズ資格情報を付与された協力ベンダーの従業員などがいます。リモート ユーザーは電話会議を作成して参加し、発表者になることができます。
フェデレーション ユーザーは、フェデレーション パートナーとの有効な資格情報を所有します。したがって、フェデレーション ユーザーは、Lync Server 2010 によって認証されたユーザーとして扱われます。フェデレーション ユーザーは電話会議に参加し、会議への参加後に発表者に昇格できますが、フェデレーションされているエンタープライズで電話会議を作成することはできません。
匿名ユーザーは、Active Directory ID を持たず、エンタープライズとフェデレーションされません。
顧客データは、多くの電話会議に外部ユーザーが関与していることを示しています。これらの顧客は、外部ユーザーに対して会議への参加を許可する前に、外部ユーザーの識別情報を再確認することを求めています。次のセクションで説明するように、Lync Server 2010 では、会議へのアクセスは、明示的に許可されたユーザーの種類に制限され、すべてのユーザーの種類に対して、会議に入る前に適切な資格情報を提示するように求められます。
参加者の許可
Lync Server 2010 では、匿名ユーザーと認証に失敗した参加者は、ロビーと呼ばれる待機場所に転送されます。発表者は、これらのユーザーに対して会議への参加を許可または拒否できます。つまり、今後、匿名ユーザーと、ダイヤルイン電話会議を使用するが、認証に失敗した参加者は、切断して再試行する必要はありません。これらのユーザーはロビーに転送され、主催者に通知されます。これらのユーザーは、主催者が参加を許可または拒否するか、接続がタイムアウトするまで、ロビーで待ちます。ロビーで待っている間、ユーザーには音楽が流れます。匿名ユーザーと認証に失敗した参加者は、ロビーと呼ばれる待機場所に転送されます。発表者は、これらのユーザーに対して会議への参加を許可または拒否できます。既定では、PSTN からダイヤルインする参加者は会議に直接移動しますが、ダイヤルイン参加者を強制的にロビーに移動するように変更することもできます。会議の開催者は、参加者がロビーで待たなくても会議に参加できるかどうかを制御します。会議ごとに、次のいずれかの方法を使用してアクセスできるように設定できます。
[開催者のみ (ロック)]: (開催者を除く) すべてのユーザーが許可されるまでロビーで待つ必要があります。
[会社内から招待した人]: (会議の配布リストに掲載される参加者を除く) すべてのユーザーが許可されるまでロビーで待つ必要があります。
[会社内の人]: すべての内部ユーザー (配布リストに掲載されていないユーザーを含む) がロビーで待つことなく会議に参加できます。それ以外のユーザー (すべての外部ユーザーと匿名ユーザーを含む) は、許可されるまでロビーで待つ必要があります。
[会社外の人を含むすべての人 (制限なし)]: 会議に参加するすべてのユーザーが会議に直接移動します。ロビーには移動しません。
[開催者のみ (ロック)] 以外の方法が指定されている場合、会議の開催者は [電話からダイヤルインしているユーザーはロビーをバイパスする] も指定できます。
発表者の機能
会議の開催者は、参加者が会議中に発表できるかどうかを制御します。会議ごとに、発表者を次のいずれかに制限できます。
[開催者のみ]: 会議の開催者のみが発表できます。
[会社内の人]: すべての内部ユーザーが発表できます。
[会社外の人を含むすべての人 (制限なし)]: 会議に参加するすべてのユーザーが発表できます。
[選択した個人]: 会議の開催者は、ユーザーを発表者リストに追加することで、発表者を指定します。