Lync 2013 for iOS / Android ・ バージョン 5.4 から証明書の正当性を検証します

  • Article

こんばんは。
日本マイクロソフト・Lync サポートチームの中山です。

今回は最近お問い合わせの多いモバイルクライアントにおける、バージョン 5.4 以降のアップデートに関するお話となります。

< Lync 2013 モバイル 5.4 >
バージョン 5.4 より Android タブレットへの対応も追加され、各種スマートデバイスに対応いたしました。 これにより、あらゆるモバイルクライアント環境において、共通したインターフェイスを持つ Lync 2013 がご利用いただけるようになりました。

・Lync 2013 for iOS
https://itunes.apple.com/jp/app/lync-2013-for-iphone/id605841731?mt=8
・Lync 2013 for Android
https://play.google.com/store/apps/details?id=com.microsoft.office.lync15&hl=ja
・Lync 2013 for Windows Phone (Windows Phone 8 / 8.1 は日本国内において正式なリリースがございません)
https://www.windowsphone.com/ja-jp/store/app/lync-2013/d85d8a57-0f61-4ff3-a0f4-444e131d8491

すでに技術情報としてご案内させていただいておりますとおり、バージョン 5.4 より証明書を検証する実装が適切に機能するようになっています。

・Lync Mobile users cannot sign in after they update to client version 5.4
https://support.microsoft.com/kb/2965499/en-us
・5.4 クライアントのバージョンを更新した後 Lync モバイル ユーザーがサインインできません。 (自動翻訳です)
https://support.microsoft.com/kb/2965499/ja

セキュリティの観点より、 Lync 2013 クライアントは証明書を用いた認証 (TL-DSK) と暗号化が共通的な実装となっております。 この実装に基づき、 Lync 2013 クライアントはサーバーより提供される証明書が正規なものであるか検証します。

しかしながらバージョン 5.3 までのモバイルクライアントは、いくつかの問題により証明書の検証を実施しておりませんでした。 このため、信頼する認証局で署名されていない証明書を用いても、サインインが可能な状況となっておりました。

< Lync モバイルの接続に関するおさらい >
Lync モバイルは Unified Communications Web API (UCWA) を利用しており、その接続にはリバース プロキシが必須とされています。 これはイントラネットの Wi-Fi 環境であっても、インターネットからの外部接続であっても同様です。 したがいまして、 UCWA によるレジストレーションは必ずリバース プロキシの外部インターフェイスを経由した接続となります。

リバース プロキシへの接続 URL を取得するために、モバイルクライアントは自動検出サービスを利用します。 クライアントがインターネット上に存在する場合、  lyncdiscover の DNS レコードよりリバース プロキシ経由にて取得を行います。 一方、イントラネット上に存在する場合は、 lyncdiscoverinternal の DNS レコードを用いてフロントエンド サーバーより直接取得します。

この動作の詳細については、以下の技術資料に説明されています。

・モビリティの技術要件
https://technet.microsoft.com/ja-JP/library/hh690030.aspx

< 証明書に関する新しい考慮 >
Lync モバイルにおける各種サーバーへの接続について以下にまとめます。

・自動検出サービスへの接続
イントラネット : フロントエンド サーバーから直接取得 ( lyncdiscoverinternal )
インターネット : リバース プロキシの外部インターフェイス経由にて取得 ( lyncdiscover )

・UCWA によるレジストレーション
イントラネット : 一旦、インターネットに抜け、リバース プロキシの外部インターフェイス経由にて接続
インターネット : インターネット側よりリバース プロキシの外部インターフェイス経由にて接続

リバース プロキシは外部へ公開するサーバーとして、公的な認証局により署名された証明書を利用することが一般的です。 公的な認証局より発行されたルート証明書は OS にあらかじめ組み込まれているため、通常は個別に追加する必要はありません。 したがって、リバース プロキシを経由するトラフィックについては証明書に関する考慮が必要ありません。

一方、イントラネットにおける自動検出はフロント エンドサーバーへ直接接続します。 フロント エンドサーバーが持つ証明書は、エンタープライズ CA 等による独自認証局を利用しているケースが多くあります。 バージョン 5.3 までは不要な手順となりますが、 5.4 以降では独自認証局のルート証明書の追加が必須となります。 ルート証明書が組み込まれない状態でフロント エンドサーバーへ接続すると、以下のメッセージにより接続に失敗します。


「サーバーの証明書を検証できません。 サポート チームにお問い合わせください。」

Windows Domain に参加できず、ルート証明書の自動取得ができないデバイスについては、個別にルート証明書を追加する必要があります。

< 各種デバイスにおける証明書の追加方法 >
iOS や Android デバイスにおけるルート証明書の追加方法については、以下のサイトをご参照ください。

・認証エラーのため、ユーザーが Apple iOS ベースのデバイス上で Lync Mobile にサインインできない
https://support.microsoft.com/kb/2773530/ja

・Work with certificates
https://support.google.com/nexus/answer/2844832?hl=en

 

バージョン 5.3 をご利用いただいていた方は、バージョン 5.4 へ移行される際に証明書の展開についてご注意ください。