Exchange ActiveSync

Exchange ActiveSyncの認証

Office 365のExchange onlineとExchange Server 2016は先進認証(Modern Authentication)に対応しています。先進認証では、スマートカードや証明書認証、サードパーティのSAML認証サーバでの認証がサポートされています。

クライアント証明書によってデバイスを認証し、デバイスのロック解除(パスコード、指紋認証、顔認証など)によってユーザ認証を行う二要素認証で、Exchange ActiveSyncの利便性とセキュリティを担保するケースが増えています。

Exchange ActiveSyncでの証明書認証

インポートワンス

マイクロソフトはExchange ActiveSyncで証明書認証を採用する場合、プライベート認証局の活用を推奨しています。

特に、デバイスの数が多くなったり、WindowsだけでなくiOSやAndroidも含まれてくることが想定される場合は、クライアント証明書の発行管理や配布の安全性を考慮して、実績ある商用製品を検討することが望ましいでしょう。

Gléasには、1枚の証明書のインポートを1台のデバイスに限定する「インポートワンス機能」があります。また、あらかじめ登録のあるデバイスだけに証明書配布を限定する機能があります。

Gléasでは電子証明書の配布は、デバイスのウェブブラウザからユーザ用ウェブ画面にアクセスし、直接端末に証明書をインポートする方式が最も採用されています。証明書ファイルはダウンロードフォルダなどに残らず、証明書の秘密鍵は自動的に「エクスポート不可」として証明書ストアに格納されるため、他の端末にコピーされる恐れがありません。

いずれも管理側が把握しないデバイスで証明書を使われるのを防ぐためです。詳しくは機能のページをご覧ください。

電子証明書による暗号化通信

また、GléasはiOSデバイスに対して、クライアント証明書の配布時に、Exchange ActiveSyncの接続設定を含む構成プロファイルをインポートさせることができます。ユーザはGléasのユーザ用ウェブ画面から構成プロファイルをインポートし、メーラーを立ち上げるだけでExchange ActiveSyncの設定が完了しているので、キッティングの作業を軽減できます。

Gléasで発行したクライアント証明書は、ActiveSyncだけでなく、VPNなどのリモートアクセス、社内のネットワーク(無線LAN)などでの認証に1枚の証明書で対応できます。

関連ニュース