Cisco Registered Envelope Service アカウント管理者ガイド

Americas Headquarters

Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 USA http://www.cisco.com Tel: 408 526-4000 800 553-NETS (6387) Fax: 408 527-0883 2015 年 12 月 5 日

合には、代理店に ご連絡 く だ さ い。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.

こ こ に記載 さ れてい る 他のいかな る 保証に も よ ら ず、各社のすべてのマニ ュ アルお よ び ソ フ ト ウ ェ アは、障害 も 含めて「現状の ま ま」 と し て 提供 さ れ ま す。シ ス コ お よ び こ れ ら 各社は、商品性の保証、特定目的への準拠の保証、お よ び権利を侵害 し ない こ と に関す る 保証、あ る いは 取引過程、使用、取引慣行に よ っ て発生す る 保証を は じ め と す る 、明示 さ れた ま たは黙示 さ れた一切の保証の責任を負わない も の と し ます。 いか な る 場合において も 、シ ス コ お よ びその供給者は、こ のマ ニ ュ アルの使用 ま たは使用で き ない こ と に よ っ て発生す る 利益の損失や デー タ の損傷を は じ め と す る 、間接的、派生的、偶発的、あ る いは特殊な損害について、あ ら ゆ る 可能性が シ ス コ ま たはその供給者に知 ら さ れていて も 、それ ら に対す る 責任 を一切負わない も の と し ま す。

CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco IronPort, the Cisco logo, Cisco Nurse Connect, Cisco Pulse, Cisco SensorBase, Cisco StackPower, Cisco StadiumVision, Cisco TelePresence, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flipshare (Design), Flip Ultra, Flip Video, Flip Video (Design), Instant Broadband, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Capital, Cisco Capital (Design), Cisco:Financed (Stylized), Cisco Store, Flip Gift Card, and One Million Acts of Green are service marks; and Access Registrar, Aironet, AllTouch, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Lumin, Cisco Nexus, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, Continuum, EtherFast, EtherSwitch, Event Center, Explorer, Follow Me Browsing, GainMaker, iLYNX, IOS, iPhone, IronPort, the IronPort logo, Laser Link, LightStream, Linksys, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, PCNow, PIX, PowerKEY, PowerPanels, PowerTV, PowerTV (Design), PowerVu, Prisma, ProConnect, ROSA, SenderBase, SMARTnet, Spectrum Expert, StackWise, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries.

All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0910R)

こ のマ ニ ュ アルで使用 し てい る IP ア ド レ ス お よ び電話番号は、実際のア ド レ ス お よ び電話番号を示す も のではあ り ま せん。マニ ュ アル内 の例、コ マ ン ド 出力、ネ ッ ト ワ ー ク ト ポ ロ ジ図、お よ びその他の図は、説明のみを目的 と し て使用 さ れてい ます。説明の中に実際のア ド レ ス お よ び電話番号が使用 さ れていた と し て も 、それは意図的な も のではな く 、偶然の一致に よ る も のです。

暗号化における Cisco Registered Envelope Service の

役割

1-1

企業ア カ ウン ト の管理

1-3

C H A P T E R 2

管理機能

2-1

管理に関する FAQ

2-1

Cisco Registered Envelope Service 企業ア カ ウ ン ト と は何

ですか?

2-1

ア カ ウ ン ト 管理者の一般的な タ ス ク と は何で

すか?

2-2

このガ イ ド では、どのよ う な電子 メ ール管理 ト ピ ッ

クが説明 さ れますか?

2-2

受信者の登録 と は何ですか?

2-3

Cisco Registered Envelope Service ア カ ウ ン ト

2-3

ユーザ

2-3

ユーザ グループ と ロール と は何ですか?

2-4

は じ めに

2-4

企業ア カ ウン ト の設定プ ロ セスについて

2-4

ログ イ ン

2-5

Administration Console のア イ コ ン について

2-8

共通 タ ス ク

2-9

登録済みエ ンベロープのロ ゴのカ ス タ マ イ ズ

2-10

企業ア カ ウン ト 管理者の追加

2-11

Cisco Registered Envelope 受信者ガ イ ド

テ ン プ レー ト のカ ス タ マ イ ズ

2-12

ア カ ウ ン ト ア ク テ ィ ビ テ ィ のモニ タ リ ング

2-13

メ ッ セージの管理

2-13

パスワー ド 要件の管理

2-14

パスワー ド 確認時の質問の管理

2-16

ユーザの管理

2-17

ユーザの作成

2-17

ユーザ パスワー ド の リ セ ッ ト

2-19

グループへのユーザの追加

2-19

ユーザの無効化

2-20

TLS 配信の使用

2-21

TLS ド メ イ ンの追加 と テ ス ト

2-21

TLS エ ラ ーの処理

2-24

送信者の登録の有効化

2-25

認証方法の選択

2-26

CRES ア カ ウ ン ト 認証の設定

2-27

SAML を使用 し た認証

2-27

SAML ア カ ウ ン ト 認証の設定

2-31

BCE プ ラ グ イ ン またはモバイル アプ リ ケーシ ョ ン設定の

構成

2-40

Secure Compose へのア ク セ スの無効化 と 有効化

2-43

CRES を含める よ う な DNS の設定

2-45 C H A P T E R 3

レ ポー ト

3-1

レポーテ ィ ングの概要

3-1

Account Usage レポー ト

3-2

C H A P T E R 4

キーの作成に必要なデー タ の IEA から CRES への移行

4-1

キーの作成に必要なデー タ の IEA から CRES への移行に

ついて

4-1

キーの作成に必要なデー タ を IEA から CRES に移行する

方法

4-3

移行の前提条件

4-3

CRES でサポー ト さ れない機能

4-5

移行手順

4-5

移行完了後の機能の違い

4-13

移行エ ラ ー メ ッ セージ

4-13

HTTP プ ロキシの設定例

4-14

シ ス コ コ ン テ ン ツ セキ ュ リ テ ィ に コ メ ン ト をお寄せ く

だ さ い

4-16

シ ス コ コ ン テ ン ツ セキ ュ リ テ ィ に コ メ ン ト をお寄

せ く だ さ い

A-2

キーの作成に必要なデー タ を IEA から CRES に移行する た

めの追加パラ メ ー タ

B-1

1

概要

Cisco Registered Envelope Service（CRES）は、Cisco IronPort 暗号化テ ク ノ ロ ジーを サポー ト す る ホ ス テ ッ ド サービ ス です。CRES は Cisco IronPort E

メ ール セ キ ュ リ テ ィ アプ ラ イ ア ン ス お よ び Cisco IronPort 暗号化アプ ラ イ ア ン ス と 併用 し て、オ ン プ レ ミ ス コ ン テ ン ツ ス キ ャ ン、ポ リ シー適用、暗号 化を提供 し ま す。CRES は メ ッ セージ ご と に暗号化 さ れた メ ッ セージの暗 号キーを保存 し ま す。暗号化 メ ッ セージの受信者は、復号化キーを受信す る サービ ス を使っ て自分自身を認証 し ま す。 （注） こ のガ イ ド の最新バージ ョ ン と 、CRES に関す る その他の ド キ ュ メ ン ト は、 こ の製品ページか ら 入手で き ま す。

暗号化における Cisco Registered Envelope Service の役割

こ のサービ ス は、暗号化の次の要素を管理 し ま す。 • 受信者の登録。登録済みエ ンベ ロ ープ（暗号化 さ れた メ ッ セージ）の受 信者は、メ ッ セージが低いセ キ ュ リ テ ィ で送信 さ れ る 場合を除 き 、エ ン ベ ロ ープ を開 く と き にサービ ス に登録す る 必要が あ り ま す。登録は無 料です。 • 認証。登録 さ れたユーザは、シ ン グルサ イ ン オ ン（SSO）を使用す る かパ ス ワ ー ド を入力 し て、登録髄エ ンベ ロ ープ を開 き 、暗号化 さ れた メ ッ セージ を読み ま す。 • 暗号化キー。暗号化キーは、暗号化 さ れた メ ッ セージ ご と に作成 さ れ ま す。登録 さ れた受信者が登録済みエ ンベ ロ ープにパ ス ワ ー ド を入力す

• メ ッ セージの有効期限 と ロ ッ ク 。登録 さ れたユーザは送信する暗号化 さ れ た メ ッ セージの有効期限を設定し た り メ ッ セージの ロ ッ ク を制御し た り で き ます。企業アカ ウ ン ト 管理者は、企業アカ ウ ン ト を使用し て送信 さ れ るすべての暗号化 さ れた メ ッ セージの有効期限 と ロ ッ ク を制御で き ます。 • メ ッ セージのセ キ ュ リ テ ィ で保護 さ れた転送 と 返信。企業ア カ ウ ン ト の構成に よ っ ては、受信者が暗号化を使用 し て暗号化 さ れた メ ッ セー ジ を転送お よ び返信で き る こ と が あ り ま す。CRES は、メ ッ セージのセ キ ュ リ テ ィ で保護 さ れた転送 と 返信のために暗号化を処理 し ま す。 こ の図は、CRES が Cisco IronPort E メ ール セ キ ュ リ テ ィ ア プ ラ イ ア ン ス と 共に動作す る 方法を示 し てい ま す。サービ ス は、暗号化 さ れた メ ッ セージの 登録 さ れた受信者に復号化キーを指定 し ま す。 こ の図は、次のプ ロ セ ス を示 し てい ま す。 ス テ ッ プ 1 Cisco IronPort E メ ール セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は暗号化 を 使用 し て メ ッ セージ を暗号化 し 、送信 し ま す。 ス テ ッ プ 2 受信者は、登録済みエ ンベ ロ ープに自分の CRES パ ス ワ ー ド を入力 し ます。 （注） メ ッ セージが低いセ キ ュ リ テ ィ 向けに設定 さ れてい る 場合、受信者 がセ キ ュ リ テ ィ 保護 さ れたエ ンベ ロ ープ を開封す る ためにパ ス ワ ー ド を入力す る 必要はあ り ま せん。

ス テ ッ プ 3 CRES がエ ンベ ロ ープ を開封す る ための復号化キーを指定 し ま す。 ス テ ッ プ 4 受信者の Web ブ ラ ウ ザに、復号化 さ れた メ ッ セージが表示 さ れ ます。

企業ア カ ウン ト の管理

CRES は組織の企業ア カ ウ ン ト の た めの管理機能 を 提供 し ま す。最初の CRES 管理 ロ ールは登録済みの技術担当者に割 り 当て ら れて い ま す。企業 ア カ ウ ン ト の管理者は、次の タ ス ク な ど を実行で き ま す。 • 登録済みエ ンベ ロ ープに表示 さ れ る ロ ゴ を カ ス タ マ イ ズ し ま す • サービ ス か ら 送信 さ れ る メ ッ セージ を管理 し ま す • ア カ ウ ン ト 使用状況 レ ポー ト を生成 し ま す • ユーザを管理 し ます（ア カ ウ ン ト の ロ ッ ク やパ ス ワー ド の リ セ ッ ト な ど） • エ ンベ ロ ープ を必要 と し ない暗号化 さ れセ キ ュ リ テ ィ 保護 さ れた返信 のために TLS 設定を構成 し ま す

2

管理機能

こ の章では、次の事項について説明 し ま す。 • 管理に関す る FAQ（2-1 ページ） • は じ めに（2-4 ページ） • 共通 タ ス ク （2-9 ページ）

管理に関する FAQ

こ のセ ク シ ョ ン では、Cisco Registered Envelope Service（CRES）企業ア カ ウ ン ト 管理者の ロ ールについて よ く 寄せ ら れ る 質問（FAQ）の回答を示 し ます。

Cisco Registered Envelope Service 企業ア カ ウン ト と は何で

すか?

暗号化テ ク ノ ロ ジーや CRES を使用す る 各組織には、サービ ス を使用す る ための企業ア カ ウ ン ト が あ り ま す。こ の ア カ ウ ン ト は、暗号化 さ れた メ ッ セージ を送信す る 1 つ以上の Cisco IronPort E メ ール セ キ ュ リ テ ィ アプ ラ イ ア ン ス と 併用す る こ と も で き ま す。 通常、組織には単一の企業の ア カ ウ ン ト が あ り 、ア カ ウ ン ト 管理者はその ア カ ウ ン ト だけ を管理 し ま す。

ア カ ウン ト 管理者の一般的な タ ス ク と は何ですか?

一般的な管理 タ ス ク は次の と お り です。 • 企業ア カ ウ ン ト の設定（た と えば、組織の ロ ゴ を ア ッ プ ロ ー ド し て、そ の ア カ ウ ン ト を使用 し て送信 さ れ る 登録済みエ ンベ ロ ープで表示す る よ う に し ま す）。 • ア カ ウ ン ト 使用状況のモニ タ リ ン グ（た と えば、ユーザ登録お よ びユー ザ ア カ ウ ン ト ア ク テ ィ ベーシ ョ ン の統計情報を表示 し ま す）。 • こ の ア カ ウ ン ト を使用 し て送信 さ れ る メ ッ セージの管理（た と えば、特 定 メ ッ セージへの ア ク セ ス を無効に し ま す）。 （注） ア カ ウ ン ト 管理者は、Administration Console で管理す る ユーザ メ ッ セージ の コ ン テ ン ツ に ア ク セ ス で き ま せん。 管理 タ ス ク の詳細については、「共通 タ ス ク 」セ ク シ ョ ン（2-9 ページ）を参照 し て く だ さ い。

このガ イ ド では、どのよ う な電子 メ ール管理 ト ピ ッ クが説

明 さ れますか?

Cisco IronPort のセ キ ュ ア電子 メ ール ソ リ ュ ーシ ョ ン の管理には、2 つの異 な る 責任領域が あ り ま す。

• Cisco IronPort ア プ ラ イ ア ン ス の管理（Cisco E メ ール セ キ ュ リ テ ィ ア プ ラ イ ア ン ス や Cisco IronPort 暗号化アプ ラ イ ア ン ス な ど） • CRES 企業ア カ ウ ン ト の管理 こ のガ イ ド では、CRES 企業ア カ ウ ン ト の管理について説明 し ま す。Cisco IronPort E メ ール セ キ ュ リ テ ィ ア プ ラ イ ア ン ス の管理につい ては、シ ス コ の カ ス タ マー サポー ト ポー タ ルで入手可能な製品 ド キ ュ メ ン ト を参照 し て く だ さ い。

受信者の登録 と は何ですか?

受信者の登録は、ユーザ登録と も 呼ばれ、登録済みエ ンベ ロ ープの初回受信 者 と な る CRES ユーザ ア カ ウ ン ト を作成す る プ ロ セ ス です。ほ と ん ど の メ ッ セージ受信者は、受信 し た暗号化 さ れた メ ッ セージ を開封す る 前に、登 録プ ロ セ ス を完了す る 必要が あ り ま す。ただ し 、メ ッ セージが低セ キ ュ リ テ ィ を使用 し てい る 場合、ユーザは登録せずに メ ッ セージ を開 く こ と がで き ま す。 登録プ ロ セ ス では、受信者はユーザ プ ロ フ ァ イ ル情報を提供 し 、パ ス ワ ー ド を選択 し 、パ ス ワ ー ド 確認時の質問 と 回答を選択 し ま す。

Cisco Registered Envelope Service ア カ ウン ト

ユーザが CRES に登録 し て も 、特定の送信者の企業ア カ ウ ン ト に関連付け ら れ る こ と は あ り ま せん。 送信者にはア カ ウ ン ト が あ り 、受信者に も ア カ ウ ン ト が あ り ま す。送信者の CRES ア カ ウ ン ト では、暗号化 さ れた メ ッ セージ の送信者が メ ッ セージ を 期限切れにす る か取 り 消 し す る こ と で、セ キ ュ ア な メ ッ セージ を管理で き ま す。

ユーザ

ユーザ ア カ ウ ン ト の管理は、CRES でシ ス テ ム管理者に よ っ て処理 さ れ ま す。通常、企業ア カ ウ ン ト の管理者は、個々のユーザ ア カ ウ ン ト を管理 し ま せん。 企業管理者は、パ ス ワ ー ド の リ セ ッ ト や既存ア カ ウ ン ト の ロ ッ ク のために、 内部 CRES ユーザ を管理で き ま す。CRES 管理者がユーザ ア カ ウ ン ト の管 理を希望す る 場合、管理対象 ド メ イ ン を ア カ ウ ン ト に追加す る ために カ ス タ マー サポー ト チケ ッ ト を保存す る 必要が あ り ま す。

ユーザ グループ と ロール とは何ですか?

グループ と は、登録ユーザの リ ス ト です。ロ ール と は、グループに関連付け る こ と がで き る 権限セ ッ ト です。た と えば、ア カ ウ ン ト 管理者を作成す る に は、ア カ ウ ン ト の管理権限を持つ担当者がユーザ を ア カ ウ ン ト 管理者グ ループに追加す る 必要が あ り ま す。ロ ールはユーザに関連付け ら れ ま せん。 （注） 特定の ア カ ウ ン ト 管理者グループ内のユーザは、その ア カ ウ ン ト を管理で き ま す。

は じ めに

こ のセ ク シ ョ ン では、CRES 企業ア カ ウ ン ト 用に Administration Console を 使用 し 始め る 方法について説明 し ま す。

企業ア カ ウン ト の設定プ ロ セスについて

ホ ス テ ッ ド キー サービ ス と し て CRES で暗号化を使用す る よ う に組織で Cisco IronPort E メ ール セ キ ュ リ テ ィ ア プ ラ イ ア ン ス を 設定す る と 、企業ア カ ウ ン ト が組織に対 し て作成 さ れ ま す。組織の Cisco E メ ール セ キ ュ リ テ ィ アプ ラ イ ア ン ス は、その企業ア カ ウ ン ト に関連付け ら れ ま す。 （注） 企業ア カ ウ ン ト 管理者は、最初の ア カ ウ ン ト 設定プ ロ セ ス に関与 し ま せん。 デ フ ォ ル ト で、新規ア カ ウ ン ト の ア カ ウ ン ト 管理者グループには、組織の最 初の企業ア カ ウ ン ト 管理者が含 ま れ ま す。企業ア カ ウ ン ト 管理者は、ア カ ウ ン ト 管理者グループにユーザ を追加す る こ と に よ っ て追加の管理者を作成 で き ま す。詳細については、「企業ア カ ウ ン ト 管理者の追加」セ ク シ ョ ン （2-11 ページ）を参照 し て く だ さ い。ア カ ウ ン ト 管理者グループには、組織の Cisco IronPort E メ ール セ キ ュ リ テ ィ ア プ ラ イ ア ン ス やシ ス テ ム 設定 を 熟 知 し た IronPort セール ス エ ン ジ ニ ア を含め る こ と も で き ま す。

ログ イ ン

企業ア カ ウ ン ト を管理す る には、こ の URL を使用 し て ロ グ イ ン し ま す。 https://res.cisco.com/admin 複数ア カ ウ ン ト の管理者は、ロ グ イ ン時に ア カ ウ ン ト を選択す る よ う 求め ら れ ま す。そ こ では、ア ク シ ョ ン を次の中か ら 選択で き ま す。 • 選択 し た ア カ ウ ン ト を コ ン ピ ュ ー タ に保存 し ま す。 • 次回 ロ グ イ ン時に、保存 し た ア カ ウ ン ト を自動的に選択 し ま す。 こ れ ら のオプ シ ョ ン は、以下の 2 つのチ ェ ッ ク ボ ッ ク ス で表 さ れ ま す。

• [Remember account on this computer]：オ ン にす る と 、同 じ ブ ラ ウ ザ を 使 用 し て次回 ロ グ イ ンす る と き に、選択 し た ア カ ウ ン ト も リ ス ト で選択

さ れ ま す。ア ク テ ィ ブ ア カ ウ ン ト だけが リ ス ト に表示 さ れ ま す。

• [Automatically select remembered account]：オ ン にす る と 、ア カ ウ ン ト の リ ス ト は表示 さ れず、ロ グ イ ン時には保存 し た ア カ ウ ン ト の情報が表 示 さ れ ま す。

[Remember account on this computer] チ ェ ッ ク ボ ッ ク ス がオ ン で な い場合、 [Automatically select remembered account] チ ェ ッ ク ボ ッ ク ス は有効に な り ま せん。

ロ グ イ ン後に別の ア カ ウ ン ト を選択す る には、Administration Console の ホーム ページの下部に あ る [Select Account] リ ン ク を使用 し ま す。こ の リ ン ク では、[Automatically select remembered account] チ ェ ッ ク ボ ッ ク ス を オ フ にす る こ と も で き ま す。

図2-1 企業ア カ ウン ト の Administration Console ホームページは、ア カ ウ ン ト ア ク テ ィ ビ テ ィ の要約を表示す る [Monitor Account] ページ です。 Administration Console には、サ イ ト を 移動す る た めの次の タ ブ と リ ン ク が あ り ま す。 • [Home]。[Monitor Account] ページ を 表示 し ま す。 [Monitor Account] ページ を使用 し て、シ ス テ ムお よ びア カ ウ ン ト の ス テー タ ス を表示 し ま す。[Update] ボ タ ン を ク リ ッ ク す る と 、最新の ス テー タ ス 情報を取得 し ま す。ま たは [Update Interval] フ ィ ール ド に値を 入力 し て [Update] を ク リ ッ ク す る と 、ページ を定期的に（た と えば 10 秒 ご と に）更新 し ます。 • [Users]。[User Management] ページ を 表示 し ま す。 こ のページは通常、シ ス コ のシ ス テ ム管理者だけが使用 し ま す。企業ア カ ウ ン ト 管理者は、自分の ア カ ウ ン ト に割 り 当て ら れてい る ユーザに のみア ク セ ス で き ま す。こ の場合は、それ ら のユーザが正 し い ド メ イ ン を追加 し てい る こ と が前提条件 と な り ま す。

• [Reports]。[View Reports] ページ を 表示 し ま す。

[View Reports] ページ は通常、Account Usage レ ポー ト を 実行す る た め に使用 さ れ ま す。Account Usage レ ポー ト の詳細については、第 3 章「 レ ポー ト 」。を 参照 し て く だ さ い。 [View Reports] ページ には、以下の レ ポー ト への リ ン ク が あ り ま す。 – User Information レ ポー ト 。ア カ ウ ン ト に関連付け ら れた ユーザの リ ス ト を表示 し ま す（シーケ ン ス 番号（#）、ユーザ ID、電子 メ ール ア ド レ ス 、名、姓、ス テー タ ス 、作成日、最終 ロ グ イ ン日、最終変更日な ど を含む）。ただ し 、1 つ以上の ド メ イ ン がア カ ウ ン ト に関連付け ら れてい る 場合に限 り ま す。 – Users Status レ ポー ト 。ド メ イ ン に関連付け ら れた ユーザの ス テー タ ス （[New]、[Active]、[Blocked]）を示 し ま す。 – Account Usage レ ポー ト 。企業ア カ ウ ン ト の使用状況の統計情報 を 表示す る には、こ の レ ポー ト を実行 し ま す。Account Usage レ ポー ト の詳細については、第 3 章「 レ ポー ト 」。を参照 し て く だ さ い。

• [Accounts]。[Account Management] ページ と [Manage Registered Envelopes] ページ の タ ブ を 表示 し ま す。

[Manage Accounts] タ ブ を ク リ ッ ク す る と [Account Management] ペー ジ が表示 さ れ、CRES 企業ア カ ウ ン ト を設定で き ま す。詳細について は、「登録済みエ ン ベ ロ ープの ロ ゴ の カ ス タ マ イ ズ」セ ク シ ョ ン（2-10 ページ）、「企業ア カ ウ ン ト 管理者の追加」セ ク シ ョ ン（2-11 ページ）、お

よ び「テ ン プ レ ー ト の カ ス タ マ イ ズ」セ ク シ ョ ン（2-12 ページ）を 参照 し て く だ さ い。

[Manage Registered Envelopes] タ ブ を ク リ ッ ク す る と 、企業ア カ ウ ン ト を使用 し て送信 さ れた登録済みエ ンベ ロ ープ を検索お よ び管理で き ま す。詳細については、「 メ ッ セージの管理」セ ク シ ョ ン（2-13 ページ）を参 照 し て く だ さ い。

Administration Console のア イ コ ンについて

シ ス テ ム を移動 し た り 、ア カ ウ ン ト やユーザな ど の領域を管理 し た り す る には、Administration Console のア イ コ ン を使用 し ま す。各ア イ コ ン の意味 は、ポ ッ プ ア ッ プ さ れ る テ キ ス ト で示 さ れ ま す。 表2-1 ア イ コ ンの リ ス ト ア イ コ ン タ イ ト ル ア ク シ ョ ン

Manage Users [Group Membership] ページに ア ク セ ス し ま す。 Manage Roles [Group Authorization] ページにア ク セ ス し ま す。 Save Token ト ー ク ン を ロ ーカル マシ ン に保存 し ま す。ト ー ク ン と は、Cisco E メ ール セ キ ュ リ テ ィ アプ ラ イ ア ン ス （ESA） と CRES（ ま たは ロ ーカル キー サーバ） と の間 でデー タ を暗号化す る ために使用 さ れ る お客様固有 の キーです。現在はカ ス タ マー サポー ト でのみ使用 さ れ ま す。

Manage Rules [Rules] ページに ア ク セ ス し ま す。 Close or Delete item 項目を削除 し ま す。 Preview Template 選択 し た言語で テ ン プ レ ー ト を プ レ ビ ュ ー し ま す。

共通 タ ス ク

こ のセ ク シ ョ ン では、以下の管理 タ ス ク を実行す る ために Administration Console を 使用す る 方法につい て説明 し ま す。 • 登録済みエ ンベ ロ ープの ロ ゴ の カ ス タ マ イ ズ • 企業ア カ ウ ン ト 管理者の追加 • テ ン プ レ ー ト の カ ス タ マ イ ズ • ア カ ウ ン ト ア ク テ ィ ビ テ ィ のモニ タ リ ン グ • メ ッ セージの管理 • パ ス ワ ー ド 要件の管理 • パ ス ワ ー ド 確認時の質問の管理 • ユーザの管理 • セ キ ュ リ テ ィ 保護 さ れた メ ッ セージ を ユーザに透過的に暗号化配信す る ための TLS の使用 • 送信者の登録の有効化 • 認証方法の選択 • BCE プ ラ グ イ ン ま たはモバ イ ル ア プ リ ケーシ ョ ン 設定の構成 • Secure Compose への ア ク セ ス の無効化 と 有効化 • CRES を含め る よ う な DNS の設定 （注） ユーザは タ イ ム ス タ ン プ を ロ ーカル タ イ ム ゾーン に設定 し た り 、希望の形 式（12 時間 ま たは 24 時間）に設定 し た り で き ま す。タ イ ム ス タ ン プ を ロ ーカ ル タ イ ム ゾーン に設定 し たユーザの場合、ユーザ タ イ ム ス タ ン プが含 ま れ る 任意の Administration Console 画面が こ の機能の影響を受け ま す。

登録済みエ ンベロープのロ ゴのカ ス タ マ イズ

ア カ ウ ン ト を使用 し て送信す る メ ッ セージに表示 さ れ る ロ ゴ を変更す る に は、次の手順を実行 し ま す。

ス テ ッ プ 1 企業ア カ ウ ン ト の Administration Console に ロ グ イ ン し ま す。

ス テ ッ プ 2 [Accounts] タ ブ を ク リ ッ ク し ま す。[Account Management] ページ が表示 さ れ ま す。 図2-2 [Account Management] ページ ス テ ッ プ 3 ア カ ウ ン ト 番号の リ ン ク を ク リ ッ ク し ま す。 （注） 各組織には、通常、1 つの企業ア カ ウ ン ト があ り ま す。 ア カ ウ ン ト の [Details] タ ブが表示 さ れ ま す。 ス テ ッ プ 4 ア カ ウ ン ト の [Images] タ ブ を ク リ ッ ク し ま す。

図2-3 [Images] タ ブ ス テ ッ プ 5 ア ッ プ ロ ー ド す る ロ ゴ フ ァ イ ルを参照 し て、[Add Image] を ク リ ッ ク し ます。 （注） フ ァ イ ル サ イ ズは 102,400 バ イ ト を超え てはいけ ま せん。ロ ゴ フ ァ イ ルが 60 x 160 ピ ク セル を超え ない こ と も 推奨 し ま す。 ロ ゴ には任意の フ ァ イ ル タ イ プ を使用で き ま す。ただ し 、ユーザが 通常使用す る ブ ラ ウ ザでサポー ト さ れてい る フ ァ イ ル タ イ プのみ 使用す る こ と を推奨 し ま す（例：GIF、JPEG、ま たは PNG）。

企業ア カ ウン ト 管理者の追加

企業ア カ ウ ン ト 管理者を追加す る には、次の手順を実行 し ま す。 ス テ ッ プ 1 企業ア カ ウ ン ト の Administration Console に ロ グ イ ン し ま す。 ス テ ッ プ 2 [Accounts] タ ブ を ク リ ッ ク し ま す。図 2-2 に示す よ う に、[Account Management] ページ が表示 さ れ ま す。

ス テ ッ プ 3 ア カ ウ ン ト 番号の リ ン ク を ク リ ッ ク し ま す。 （注） 組織には、通常、1 つの企業ア カ ウ ン ト があ り ま す。 ア カ ウ ン ト の [Details] タ ブが表示 さ れ ま す。 ス テ ッ プ 4 ア カ ウ ン ト の [Groups] タ ブ を ク リ ッ ク し ま す。 ス テ ッ プ 5 [Manage Users] ア イ コ ン を ク リ ッ ク し ま す。 詳細については、「Administration Console のア イ コ ン について」セ ク シ ョ ン （2-8 ページ）を参照 し て く だ さ い。 ス テ ッ プ 6 [Group Membership] ページ で、企業ア カ ウ ン ト 管理者 と し て追加す る 登録 済みユーザのユーザ ID を入力 し ま す。 ス テ ッ プ 7 [Add to Group] を ク リ ッ ク し ま す。

テ ン プ レー ト のカ ス タ マ イズ

通知 メ ッ セージのテ ン プ レ ー ト を カ ス タ マ イ ズす る には、次の手順を実行 し ま す。 ス テ ッ プ 1 企業ア カ ウ ン ト の Administration Console に ロ グ イ ン し ま す。

ス テ ッ プ 2 [Accounts] タ ブを ク リ ッ ク し ます。[Account Management] ページが開き ます。 ス テ ッ プ 3 ア カ ウ ン ト 番号の リ ン ク を ク リ ッ ク し ま す。

（注） 各組織には、通常、1 つの企業ア カ ウ ン ト があ り ま す。 ア カ ウ ン ト の [Details] タ ブが開 き ま す。

ス テ ッ プ 4 ア カ ウ ン ト の [Templates] タ ブ を ク リ ッ ク し ま す。

ス テ ッ プ 5 [Base Template Set] ド ロ ッ プ ダ ウ ン リ ス ト か ら 、コ ピ ーす る テ ン プ レ ー ト を 選択 し 、新 し いテ ン プ レ ー ト セ ッ ト の タ イ ト ルを入力 し ま す。

ス テ ッ プ 6 [Add] を ク リ ッ ク し ま す。

ス テ ッ プ 7 追加 し た テ ン プ レ ー ト の リ ン ク を ク リ ッ ク し ま す。

ス テ ッ プ 8 テ ン プ レ ー ト に必要な ロ ケール を ク リ ッ ク し ま す。[Edit Template] ページが 開 き ま す。

ス テ ッ プ 9 必要に応 じ て [HTML] お よ び [Text] フ ィ ール ド の情報を編集 し ま す。 ス テ ッ プ 10 [Save] を ク リ ッ ク し ま す。

ス テ ッ プ 11 [Back to Templates List] を ク リ ッ ク し ま す。 ス テ ッ プ 12 [Back to Template Set List] を ク リ ッ ク し ま す。

ス テ ッ プ 13 [Active Template Set] ド ロ ッ プダ ウ ン リ ス ト か ら 、必要な テ ン プ レ ー ト を 選 択 し ま す。 ス テ ッ プ 14 [Save] を ク リ ッ ク し ま す。

ア カ ウン ト ア ク テ ィ ビ テ ィ のモニ タ リ ング

IronPort E メ ール セ キ ュ リ テ ィ ア プ ラ イ ア ン ス は、暗号化の使用に関す る 詳細情報を提供 し ま す。た と えば、暗号化の メ ッ セージ を マー ク 付けす る コ ン テ ン ツ フ ィ ル タ に関す る レ ポー ト を生成す る と き にア プ ラ イ ア ン ス を 使用で き ま す。 ア プ ラ イ ア ン ス が生成す る レ ポー ト を補 う ために、CRES では企業ア カ ウ ン ト の ア ク テ ィ ビ テ ィ に関す る 一般情報を提供 し ま す。こ の情報は

Administration Console で確認で き ま す。ホーム ページ の [Monitor Accounts] タ ブには、ア カ ウ ン ト の ア ク テ ィ ビ テ ィ に関す る 情報が表示 さ れ ま す。た と えば、ユーザ登録や ロ グ イ ン数、開封済みお よ び送信済み暗号化 メ ッ セージ （登録済みエ ンベ ロ ープ）に関す る 統計情報な ど が あ り ま す。

ま た、[Accounts] タ ブでは Account Usage レ ポー ト を表示で き ま す。CRES の レ ポー ト の詳細については、第 3 章「 レ ポー ト 」を参照 し て く だ さ い。

メ ッ セージの管理

企業ア カ ウ ン ト 管理者は、ア カ ウ ン ト を使用 し て送信 さ れ る メ ッ セージの ス テー タ ス を表示お よ び管理で き ま す。 メ ッ セージ を管理す る には、次の手順を実行 し ま す。 ス テ ッ プ 1 企業ア カ ウ ン ト の Administration Console に ロ グ イ ン し ま す。 ス テ ッ プ 2 [Accounts] タ ブ を ク リ ッ ク し ま す。図 2-2 に示す よ う に、[Account Management] ページ が表示 さ れ ま す。

ス テ ッ プ 3 [Manage Registered Envelopes] タ ブ を ク リ ッ ク し ま す。 [Manage Registered Envelopes] ページ が表示 さ れ ま す。

図2-4 [Manage Registered Envelopes] ページ

ス テ ッ プ 4 [Search] を ク リ ッ ク す る と 、最後の 1 時間に送信 さ れたすべて の メ ッ セージ を表示 し ま す。ま たは、検索条件を入力 し て [Search] を ク リ ッ ク す る と 、特 定の メ ッ セージ を表示 し ま す。 送信時刻、最後に開いた時刻、メ ッ セージの有効期限、メ ッ セージの ロ ッ ク 情報な ど 、各 メ ッ セージの ス テー タ ス が検索結果に表示 さ れ ま す。 有効期限を設定す る には、1 つ以上の メ ッ セージ を選択 し 、[Update Expiration Dates] リ ン ク を ク リ ッ ク し ま す。 メ ッ セージ を ロ ッ ク ま たは ロ ッ ク 解除す る には、1 つ以上の メ ッ セージ を 選択 し 、[Lock/Unlock Envelopes] リ ン ク を ク リ ッ ク し ま す。エ ンベ ロ ープ を ロ ッ ク す る と き は、ロ ッ ク の理由を入力で き ま す。受信者がエ ンベ ロ ープ を 開 こ う と す る と き に、理由がエ ンベ ロ ープに表示 さ れ ま す。

パスワー ド 要件の管理

パ ス ワ ー ド を作成 ま たは変更す る 場合は、パ ス ワ ー ド が次の要件を満たす よ う に し て く だ さ い。 • パ ス ワ ー ド は、英数字で あ る 必要が あ り ま す（必須）。 • パ ス ワ ー ド は大文字 と 小文字が区別 さ れ る 必要が あ り ま す（必須）。

• パ ス ワ ー ド には、小文字、大文字、数字、特殊文字の う ち、3 つ以上の文字 タ イ プが含 ま れ る 必要が あ り ま す。 • パ ス ワ ー ド には 3 回以上連続 し て繰 り 返 さ れ る 文字を含め る こ と はで き ま せん。 • パ ス ワ ー ド にはユーザ名 ま たは反転 し たユーザ名を含め る こ と はで き ま せん。 • パ ス ワ ー ド には「Cisco」、「ocsic」の文字列を使用す る こ と はで き ま せ ん。ま た、同様の文字列の小文字を大文字に変更 し た も のや、「i」を「1」、 「|」、「!」に置 き 換え た も の、「o」を「0」に置 き 換え た も の、「s」を「$」に置 き 換え た も の も 使用で き ま せん。 2 つのパ ス ワ ー ド 要件のみデ フ ォ ル ト で設定 さ れて い ま す。その他のオプ シ ョ ン を選択 し て、ユーザのパ ス ワ ー ド 要件を変更で き ま す。

[Manage Accounts] ページの [Security] タ ブでパ ス ワー ド 要件を管理で き ます。

パスワー ド 確認時の質問の管理

[Manage Accounts] ページ の [Security] タ ブで該当す る チ ェ ッ ク ボ ッ ク ス を オ ン にす る こ と で、パ ス ワ ー ド 確認時の質問を変更で き ま す。ま た、ユーザ が カ ス タ ム のパ ス ワ ー ド 確認時の質問を定義す る こ と を許可 ま たは禁止で き ま す。

ユーザの管理

[Users] タ ブでは、ユーザの作成、ユーザの検索、パ ス ワ ー ド の リ セ ッ ト 、グ ループへのユーザの追加、ユーザの無効化な ど 、[Manage Users] 機能にア ク セ ス で き ま す。 ア カ ウ ン ト に関連付け ら れた ド メ イ ン についてのみユーザ を管理で き ま す。 ド メ イ ン を ア カ ウ ン ト に関連付け る には、サポー ト に連絡 し て く だ さ い。 （注） ド メ イ ン が ア カ ウ ン ト に関連付け ら れ る 前にシ ス テ ム に存在す る ユーザ は、ア カ ウ ン ト に移行す る 必要が あ り ま す。ド メ イ ン の関連付け を要求す る と き に既存のユーザが あ る か ど う か を サポー ト にお知 ら せ く だ さ い。

ユーザの作成

ユーザ を作成す る には、次の手順に従い ま す。

ス テ ッ プ 1 [Manage Users] ページ で [Add User] を ク リ ッ ク し ま す。

ス テ ッ プ 2 フ ォ ーム に情報を入力 し ま す。

（注） パ ス ワ ー ド は、シ ス コ のパ ス ワ ー ド 要件に従 う 必要が あ り ま す。詳 細については、「パ ス ワ ー ド 要件の管理」セ ク シ ョ ン（2-14 ページ）を 参照 し て く だ さ い。

図2-7 [Create User] ページ ス テ ッ プ 3 パ ス ワ ー ド の有効期限を適用す る 、パ ス ワ ー ド リ セ ッ ト 時にパ ス ワ ー ド 確 認時の質問のバ イ パ ス を ユーザに許可す る 、特定ユーザの メ ールボ ッ ク ス の作成を省略す る な ど の カ ス タ ム オプシ ョ ン を設定で き ま す。 ス テ ッ プ 4 [Save] を ク リ ッ ク し ま す。 （注） 作成す る ユーザは、自分の電子 メ ール ド メ イ ン に属す る 必要が あ り ま す。

ユーザ パスワー ド の リ セ ッ ト

ユーザは、次の リ ン ク を使用 し てパ ス ワ ー ド を リ セ ッ ト で き ま す。 https://res.cisco.com/websafe/pswdForgot.action その方法が失敗 し た場合（た と えば、ユーザがチ ャ レ ン ジの質問の答を思い 出せない場合）、管理者 イ ン タ ー フ ェ イ ス 経由でユーザのパ ス ワ ー ド を リ セ ッ ト で き ま す。 ユーザのパ ス ワ ー ド を リ セ ッ ト す る には、次の手順を実行 し ま す。 ス テ ッ プ 1 ユーザ を選択 し ま す（[Manage Users] ページで検索結果のユーザ名を ク リ ッ ク し ま す）。

ス テ ッ プ 2 [View Password Challenge Answers] を ク リ ッ ク し ま す。 ス テ ッ プ 3 [Reauthenticate] を ク リ ッ ク し ま す。 ス テ ッ プ 4 [Next] を ク リ ッ ク し ま す。 ス テ ッ プ 5 [Reset Password] を ク リ ッ ク し ま す。 （注） パ ス ワ ー ド を リ セ ッ ト し た ら 、ユーザは新 し いパ ス ワ ー ド を作成す る ための リ ン ク が記載 さ れた電子 メ ール を受信 し ま す。

グループへのユーザの追加

ユーザ を グループに追加 し て（ ま たはユーザ を グループか ら 削除 し て）、そ のユーザに追加の権限を与え る こ と がで き ま す。 ユーザのグループ メ ンバーシ ッ プ を管理す る には、次の手順を実行 し ます。 ス テ ッ プ 1 ユーザ を選択 し ま す（[Manage Users] ページで検索結果のユーザ名を ク リ ッ ク し ま す）。 ス テ ッ プ 2 ユーザの [Actions] 列で [Groups] ア イ コ ン を ク リ ッ ク し ま す。

図2-8 ユーザ リ ス ト の [Groups] ア イ コ ン ス テ ッ プ 3 [Group Membership] ページ が表示 さ れ ま す。左の ボ ッ ク ス にはユーザが メ ン バーで あ る グループが表示 さ れ ま す。右のボ ッ ク ス にはその他の使用可 能な グループが表示 さ れ ま す。 ス テ ッ プ 4 グループ を ク リ ッ ク し て選択 し 、右 ま たは左矢印を ク リ ッ ク し て グループ を 2 つのボ ッ ク ス 間で移動 し ま す。 ス テ ッ プ 5 [Done] を ク リ ッ ク し て変更 を 保存 し ま す。

ユーザの無効化

一時的にユーザの ア カ ウ ン ト を無効にす る 必要が あ る こ と が あ り ま す。た と えば、ユーザが退職す る 場合が あ り ま す。ユーザ を無効にす る には、次の 手順を実行 し ま す。 ス テ ッ プ 1 ユーザ を選択 し ま す（[Manage Users] ページで検索結果のユーザ名を ク リ ッ ク し ま す）。 ス テ ッ プ 2 [Modify] を ク リ ッ ク し ま す。

図2-9 ユーザのステー タ ス を [Locked] に設定

ス テ ッ プ 4 変更を保存 し ま す。

TLS 配信の使用

Transport Layer Security（TLS）配信では、CRES か ら 発信 さ れ る メ ッ セージ （セ キ ュ リ テ ィ 保護 さ れた返信な ど ）を エ ンベ ロ ープ を使用せずに送信元 ド メ イ ン に暗号化 し て配信で き ま す。 TLS 配信 を 使用すれば、電子 メ ール を 配信す る セ キ ュ リ テ ィ 保護 さ れた方 法を提供で き 、エ ン ド ユーザが電子 メ ールを受信ために CRES に ロ グ イ ン し た り 暗号化プ ラ グ イ ン を イ ン ス ト ール し た り す る 必要はあ り ま せん。 TLS は、ア カ ウ ン ト ご と に有効に さ れ ま す。ア カ ウ ン ト ご と に TLS ド メ イ ンお よ びエ ラ ー処理の動作を 1 つ以上指定 し ま す。

TLS ド メ イ ンの追加 と テ ス ト

ア カ ウ ン ト の TLS を有効にす る には、少な く と も 1 つの ド メ イ ン を追加す る 必要が あ り ま す。ド メ イ ン を追加す る と 、TLS サポー ト のために ド メ イ ン が ス キ ャ ン さ れ る プ ロ セ ス が開始 し ま す。ド メ イ ン は、追加す る 前に TLS ド メ イ ン テ ス ト に合格す る 必要が あ り ま す。 TLS ド メ イ ン テ ス ト では CRES サーバ を 使用 し て情報や接続 を 確認 し ま す。こ のチ ェ ッ ク では、以下の点を確認 し ま す。 • ド メ イ ン エ ン ト リ と 関連す る MX レ コ ー ド が存在す る こ と • MX レ コ ー ド は IP ア ド レ ス に解決で き 、各 MX レ コ ー ド には関連付け ら れた動作 し てい る メ ール サーバが あ る こ と

• CRES サーバはポー ト 25 で上記の メ ール サーバ と の SMTP 接続 を 確立 で き る こ と • 上記の各 メ ール サーバは STARTTLS 拡張を サポー ト す る こ と • 最後に、CRES サーバは MX レ コ ー ド を提供す る 各 メ ール サーバへの TLS 接続 を 正常に開始で き る こ と セ キ ュ リ テ ィ 保護 さ れた返信に TLS を使用す る には、『Cisco Email Encryption Compatibility Matrix』の「Supported Certificate Authorities for CRES」セ ク シ ョ ン に リ ス ト さ れて い る いずれかの証明書に よ っ て署名 さ れ てい る 証明書、ま たはその証明書に接続 さ れてい る 証明書を使用す る 必要 が あ り ま す。ま た、期限が切れていない証明書を使用す る 必要が あ り ま す。 証明書は、TLS 接続が作成 さ れた と き の日時が証明書の有効期間内でない 場合に、期限が切れてい ま す。 ド メ イ ン の TLS テ ス ト は、合格、未確定（一部合格）、失敗 と い う 3 つの考え ら れ る 結果の う ち 1 つを生成 し ま す。 • 合格：MX レ コ ー ド 内のすべてのサーバでテ ス ト が合格 し た場合、ド メ イ ン は TLS テ ス ト に合格 し た と 見な さ れ ま す。TLS テ ス ト に合格す る ド メ イ ン は、TLS ド メ イ ン と し て追加 さ れ、カ ス タ マー サポー ト に よ る 承認の待機中に、[Processing] ス テー タ ス を受け取 り ま す。 • 未確定：少な く と も 1 つの関連付け ら れた メ ール サーバでテ ス ト が合 格 し た も のの、合格 し な か っ た メ ール サーバが あ る 場合、結果は未確定 で あ る と 見な さ れ ま す。未確定の ド メ イ ン は、デ フ ォ ル ト で TLS ド メ イ ン と し て追加 さ れ ま せん。結果に表示 さ れ る [Request Approval] ボ タ ン を ク リ ッ ク し て、未確定の ド メ イ ン を追加で き ま す。ド メ イ ン を追加す べ き で あ る 理由を入力 し 、送信 し ま す。 • 失敗： ド メ イ ン に関連付け ら れた ど の メ ール サーバ も TLS を サポー ト し ない場合、ド メ イ ン はテ ス ト に失敗 し ま し た。TLS テ ス ト に失敗 し た ド メ イ ン は、TLS ド メ イ ン と し て追加 さ れ ま せん。 合格 ド メ イ ン ご と に カ ス タ マー サポー ト チケ ッ ト がオープ ン し 、未確定 ド メ イ ン の場合は承認要求がオープ ン し ま す。ド メ イ ン が追加 さ れた こ と を 知 ら せ る 電子 メ ール、ま たは ド メ イ ン に関す る 詳細情報を要求す る 電子 メ ールが送信 さ れ ま す。

[Add Domain] ボ タ ン ではな く [Test Domain] ボ タ ン を 使用 し て、TLS ド メ イ ン の リ ス ト に追加せずに ド メ イ ン を テ ス ト す る こ と も で き ま す。テ ス ト さ れ る ド メ イ ン に対 し てサポー ト 要求はオープ ン し ま せん。

TLS ド メ イ ン を追加 ま たはテ ス ト す る には、次の手順 を実行 し ま す。 ス テ ッ プ 1 [Accounts] タ ブで、[Manage Accounts] タ ブ を 選択 し ま す。

ス テ ッ プ 2 ア カ ウ ン ト 番号を ク リ ッ ク し て、[Features] タ ブ を選択 し ま す。

図2-10 [Account Management] ページの [Features] タ ブ

ス テ ッ プ 3 ド メ イ ン を入力 し ま す。 a. ド メ イ ン を テ ス ト す る には、[Test Domain] を ク リ ッ ク し ま す。 b. ド メ イ ン を追加す る には、[Add Domain] を ク リ ッ ク し ま す。 ス テ ッ プ 4 結果を示す メ ッ セージが表示 さ れ ま す。 ス テ ッ プ 5 追加 さ れた ド メ イ ン が合格す る と 、[Domain] リ ス ト に [Processing] ス テー タ ス で表示 さ れ ま す。 ス テ ッ プ 6 ゴ ミ 箱ア イ コ ン を ク リ ッ ク し て、ド メ イ ン を削除 し ま す。 （注） TLS エ ラ ー処理の動作の指定 を 忘れな いで く だ さ い。詳細につい て は、 「TLS エ ラ ーの処理」（24 ページ）を参照 し て く だ さ い。

TLS エ ラ ーの処理

TLS 配信が動作 を 停止す る 場合（た と えば、期限切れの証明書が原因）、TLS エ ラ ー処理を設定す る 必要が あ り ま す。「Bounce Messages」ま たは「Fallback to Registered Envelope Delivery」を 選択で き ま す。

（注） TLS 障害時の配信設定 を「Fallback to Registered Envelope Delivery」に設定す る 場合は、社内 メ ール サーバで TLS 配信オプシ ョ ン を TLS 優先に変更 し て く だ さ い。

• [Fallback to Registered Envelope Delivery]：TLS 配信が失敗す る 場合（た と えば、期限切れの証明書が原因）シ ス テ ム は登録済みエ ンベ ロ ープの 送信に戻 り ま す。 • [Bounce Messages]： メ ッ セージ を バ ウ ン ス す る よ う に設定 さ れた ア カ ウ ン ト の場合、TLS 配信が失敗す る と 、1 時間ご と に再試行 さ れ、24 時間後 にバ ウ ン ス が発生 し ま す。登録済みエ ンベ ロ ープに フ ォ ールバ ッ ク す る よ う に設定 さ れた ア カ ウ ン ト の場合、20 分ご と に再試行 さ れ、1 時間後 に フ ォ ールバ ッ ク が発生 し ま す。 ア カ ウ ン ト の TLS エ ラ ー処理の動作を指定する には、次の手順を実行 し ます。 ス テ ッ プ 1 [Accounts] タ ブで、[Manage Accounts] タ ブ を 選択 し ま す。

図2-11 [Account Management] ページ ス テ ッ プ 3 TLS 障害時の配信設定 を 選択 し ま す。 ス テ ッ プ 4 [Save] を ク リ ッ ク し ま す。

送信者の登録の有効化

ア カ ウ ン ト 単位で送信者の登録を自動的に提供す る よ う にシ ス テ ム を設定 で き ま す。こ れは、暗号化 さ れた メ ール を送信す る ために現在 CRES を使用 し ていない電子 メ ール送信者に CRES ア カ ウ ン ト を提供す る 場合に も 役立 ち ま す。登録す る と 、送信者は、暗号化 さ れた メ ッ セージ を制御す る ために 使用可能な オプ シ ョ ン の詳細を確認で き ま す。

こ の機能を有効にす る と 、送信者は CRES サーバでア カ ウ ン ト を作成す る ために招待す る 電子 メ ール メ ッ セージ を受信 し ま す。送信者は、こ れ ら の 招待を 30 日ご と に受信 し ま すが、招待に記載の手順に従っ て簡単にオプ ト ア ウ ト で き ま す。招待の頻度は変更で き ま せん。

ア カ ウ ン ト の送信者の登録を有効にす る には、次の手順を実行 し ま す。 ス テ ッ プ 1 [Accounts] タ ブで、[Manage Accounts] タ ブ を 選択 し ま す。

ス テ ッ プ 2 ア カ ウ ン ト 番号を ク リ ッ ク し て、[Details] タ ブ を選択 し ま す。

図2-12 送信者の登録の有効化

ス テ ッ プ 3 [Enable Sender Registration] チ ェ ッ ク ボ ッ ク ス を オ ン に し ま す。 ス テ ッ プ 4 [Save] を ク リ ッ ク し ま す。

認証方法の選択

2 つの認証方法の 1 つ を ア カ ウ ン ト に割 り 当て、認証 を 適切に設定す る 必要 が あ り ま す。ただ し 、ア カ ウ ン ト の認証方法は必要に応 じ て変更で き ま す。 CRES には、2 つの異な る ユーザ認証方法が用意 さ れて い ま す。 • CRES ア カ ウ ン ト 認証の設定（2-27 ページ） • SAML ア カ ウ ン ト 認証の設定（2-31 ページ） 認証プ ロ セ ス の完全な制御を維持す る 場合は、CRES 認証を使用で き ま す。

SAML はシ ン グ ル サ イ ン オ ン（SSO）用の XML ア プ リ ケーシ ョ ン です。 CRES におけ る SAML 認証の実装方法の詳細につい て は、SAML を使用 し た認証（2-27 ページ）を参照 し て く だ さ い。

Cisco IronPort Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス ま たは PingFederate を SSO の SAML ア イ デ ン テ ィ テ ィ プ ロ バ イ ダー と し てすでに使用 し て い る 場合は、SAML ベー ス の認証を使用す る こ と も で き ま す。詳細については、

PingFederate ロ グ ア ウ ト URL の設定（2-39 ページ）を参照 し て く だ さ い。

CRES ア カ ウン ト 認証の設定

ア カ ウ ン ト の CRES 認証を設定す る には、次の手順を実行 し ま す。 ス テ ッ プ 1 [Accounts] タ ブで、[Manage Accounts] タ ブ を 選択 し ま す。

ス テ ッ プ 2 ア カ ウ ン ト 番号を ク リ ッ ク し て、[Details] タ ブ を選択 し ま す。 ス テ ッ プ 3 [Authentication Method] リ ス ト で、[CRES] を ク リ ッ ク し ま す。 ス テ ッ プ 4 [Save] を ク リ ッ ク し ま す。

SAML を使用 し た認証

SAML は、CRES な ど 複数の Web サー ビ ス でエ ン ド ユーザ を 認証す る よ り 簡単な方法で あ る シ ン グル サ イ ン オ ン（SSO）で主に使用 さ れ る 、XML ベー ス の標準です。現在は、SAML 2.0 のみがサポー ト さ れ ま す。 シ ン グル サ イ ン オ ン では、ユーザは（ア イ デン テ ィ テ ィ プ ロ バ イ ダーに対 し て）認証を受け る ために 1 回 ロ グ イ ン し ま す。その後は、再度 ロ グ イ ンせ ずにサービ ス プ ロ バ イ ダーか ら の さ ま ざ ま なサービ ス を使用 し ま す。こ の プ ロ ト コ ルは、シ ン グル ロ グ ア ウ ト も サポー ト し ま す。 こ れに よ り 、ユーザ エ ク ス ペ リ エ ン ス が簡素化 さ れ ま す。ま た、ユーザは複 数サービ ス の ロ グ イ ン詳細を覚え てお く 必要がな く な る ため、セ キ ュ リ テ ィ が向上 し ま す。CRES の SAML サポー ト は、新規お よ び既存の CRES エ ンベ ロ ープで機能 し ま す。SAML 認証は、企業ア カ ウ ン ト ご と に個別に有効 にす る 必要が あ り ま す。こ れが完了 し た ら 、その ア カ ウ ン ト のすべてのユー ザが SAML で認証 さ れ る 必要が あ り ま す。そのア カ ウ ン ト が所有 し ていな いユーザは、引 き 続 き CRES 認証を使用 し ま す。

SAML の概要 SAML では、異な る セ キ ュ ア な ネ ッ ト ワ ー ク （セ キ ュ リ テ ィ ド メ イ ン と も 呼ばれ ま す）間で認証お よ び許可デー タ を交換で き ま す。通常 SAML は、 Web ブ ラ ウ ザ を 使用 し て ネ ッ ト ワ ー ク （別の ド メ イ ン）に ア ク セ ス す る ユー ザが 1 つの ド メ イ ン に存在す る 場合に使用 さ れ ま す。 シ ン グル サ イ ンオ ン を実行す る には、SAML ダ イ ア ロ グが次の用語を使用 し て各 ド メ イ ン のエ ン テ ィ テ ィ に よ っ て組み込 ま れてい る 必要があ り ま す。 • ア イ デン テ ィ テ ィ プ ロ バ イ ダー（IdP）。ア イ デン テ ィ テ ィ プ ロ バ イ ダーは SAML アサーシ ョ ン を生成す る エ ン テ ィ テ ィ です。ア イ デン テ ィ テ ィ プ ロ バ イ ダーは SAML アサーシ ョ ン を生成す る 前にエ ン ド ユーザ を認証 し ま す。CRES はほ と ん ど の SAML 2.0 ア イ デン テ ィ テ ィ プ ロ バ イ ダー と 連携す る 必要が あ り ま す。ただ し 、Cisco IronPort Web セ キ ュ リ テ ィ アプ ラ イ ア ン ス 、Active Directory Federation Services（AD FS）、お よ び PingFederate だ け と 連携す る こ と が認定 さ れて い ま す。 • サービ ス プ ロ バ イ ダー（SP）。サービ ス プ ロ バ イ ダーは、SAML アサー シ ョ ン を消費す る エ ン テ ィ テ ィ です。サービ ス プ ロ バ イ ダーはア イ デ ン テ ィ テ ィ プ ロ バ イ ダーを使用 し てエ ン ド ユーザ を識別 し 、その識別 情報を SAML アサーシ ョ ン で受け取 り ま す。サービ ス プ ロ バ イ ダーは こ の ア サーシ ョ ン に基づいて ア ク セ ス 制御を決定 し ま す。SAML 認証 が有効な場合、CRES はサービ ス プ ロ バ イ ダー と し て機能 し ま す。 SAML ア サーシ ョ ン は、ア イ デン テ ィ テ ィ プ ロ バ イ ダー と サー ビ ス プ ロ バ イ ダー間の SAML 要求お よ び応答で渡 さ れ る 情報の コ ン テナです。アサー シ ョ ン にはサービ ス プ ロ バ イ ダーがア ク セ ス 制御の決定に使用す る ス テー ト メ ン ト （認証 ス テー ト メ ン ト や許可 ス テー ト メ ン ト ）が含 ま れてい ま す。ア サーシ ョ ン は <saml:Assertion> タ グ で始 ま り ま す。 SAML ダ イ ア ロ グ は フ ロ ー と 呼ばれ、フ ロ ーは ど ち ら のプ ロ バ イ ダーで も 開始で き ま す。 • サービ ス プ ロ バ イ ダーが開始す る フ ロ ー。サービ ス プ ロ バ イ ダーは、ア ク セ ス を要求す る エ ン ド ユーザか ら の問い合わせを受け、ア イ デン テ ィ テ ィ プ ロ バ イ ダーにそのユーザの識別情報を提供す る よ う に問い 合わせて SAML ダ イ ア ロ グ を開始 し ま す。サービ ス プ ロ バ イ ダーが開 始す る フ ロ ーの場合、エ ン ド ユーザは http://www.serviceprovider.com/ な ど のサービ ス プ ロ バ イ ダーの ド メ イ ン を含む URL を使用 し てサー ビ ス プ ロ バ イ ダーにア ク セ ス し ま す。

• ア イ デン テ ィ テ ィ プ ロ バ イ ダーが開始す る フ ロ ー。ア イ デン テ ィ テ ィ プ ロ バ イ ダーは、エ ン ド ユーザに代わ っ てサービ ス プ ロ バ イ ダーに問 い合わせて ア ク セ ス を要求す る こ と で SAML ダ イ ア ロ グ を開始 し ま す。ア イ デン テ ィ テ ィ プ ロ バ イ ダーが開始 し た フ ロ ーの場合、エ ン ド ユーザは http://saas.example.com/ な ど、ロ ーカル ド メ イ ン を含む URL を使用 し てサービ ス プ ロ バ イ ダーにア ク セ ス し ま す。 CRES は、サー ビ ス プ ロ バ イ ダーが開始す る フ ロ ーのみ を サポー ト し ま す。 （注） こ のセ ク シ ョ ン は、SAML の包括的な説明を提供す る も のではな く 、ア イ デ ン テ ィ テ ィ お よ びセ キ ュ リ テ ィ プ ロ バ イ ダーが相互に通信す る 方法を示 す も のでは あ り ま せん。詳細については、 http://saml.xml.org/wiki/saml-wiki-knowledgebase を参照 し て く だ さ い。 ア イ デン テ ィ テ ィ プ ロ バ イ ダー と し て Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス を使用す る 詳細については、『Cisco IronPort AsyncOS for Web User Guide』（ リ リ ー ス 7.0 以降）の章「Controlling Access to SaaS Applications」を参照 し て く だ さ い。

要件

CRES を サー ビ ス プ ロ バ イ ダー と し て SAML 認証 を 使用す る には、次の要 件を満たす必要が あ り ま す。

• CRES では、Cisco IronPort Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス 、Active Directory Federation Services（AD FS）、ま たは PingFederate のみ を 現在ア

イ デン テ ィ テ ィ プ ロ バ イ ダー と し て使用で き ま す。

• ア イ デン テ ィ テ ィ プ ロ バ イ ダーの SAML ロ グ イ ン メ カ ニ ズ ム は、

JavaScript な し で動作で き る 必要が あ り ま す。

• ア イ デン テ ィ テ ィ プ ロ バ イ ダーは、SAML 2.0 を サポー ト す る 必要があ

り ま す。

• SAML ア サーシ ョ ン では、SAML NameID ま たは属性に電子 メ ール ア ド レ ス が含 ま れ る 必要が あ り ま す。

注意事項

SAML 認証 を 使用す る と き の注意事項がい く つか あ り ま す。

• SAML は、企業ア カ ウ ン ト ご と に個別に有効にす る 必要が あ り ま す。

• SAML の ロ グ イ ン ページは、CRES ではな く SAML ア イ デン テ ィ テ ィ プ ロ バ イ ダーが提供 し ま す。こ れは、CRES ロ ギ ン グは SAML の ロ グ イ ン に使用で き ない こ と 、お よ び ロ グ イ ン の問題は SAML ア イ デン テ ィ テ ィ プ ロ バ イ ダーに報告す る 必要が あ る こ と を意味 し ま す。 • パ ス ワ ー ド を忘れた場合の回復やパ ス ワ ー ド の変更な ど 、ユーザ パ ス ワ ー ド の メ ン テナ ン ス は、CRES ではな く SAML 認証 さ れた ア カ ウ ン ト のユーザの ア イ デン テ ィ テ ィ プ ロ バ イ ダー経由で実行 さ れ る 必要が あ り ま す。 • ア カ ウ ン ト が誤っ て ロ ッ ク さ れない よ う にす る ため、SAML 認証は管 理ア カ ウ ン ト （管理者設定）に対 し て有効ではあ り ま せん。 • CRES 認証 さ れた ア カ ウ ン ト と は異な り 、SAML 認証 さ れた ア カ ウ ン ト を統合で き ま せん。

• Cisco IronPort Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス が ア イ デン テ ィ テ ィ プ ロ バ イ ダー と し て使用 さ れ る 場合、ロ グ イ ン ページが正 し く 機能す る ために JavaScript を有効にす る 必要があ り ま す。

• Cisco IronPort Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス が ア イ デン テ ィ テ ィ プ ロ バ イ ダー と し て使用 さ れ る 場合、パ ス ワ ー ド はキ ャ ッ シ ュ さ れず、 ユーザはセ ッ シ ョ ン ご と に認証 さ れ る 必要が あ り ま す。 • ア イ デン テ ィ テ ィ プ ロ バ イ ダーに問題が あ る 場合、SAML ユーザは ク レ デン シ ャ ルが有効で あ っ て も 認証で き ない こ と が あ り ま す。 • ア イ デン テ ィ テ ィ プ ロ バ イ ダーが完全に使用で き な く な っ た場合は、 認証方法を CRES に変更 し て、ユーザが認証 さ れ る よ う にす る 必要が あ り ま す。 • 管理者は、ア イ デン テ ィ テ ィ プ ロ バ イ ダーを使用 し て、SAML サービ ス に問題が あ る 場合の ア ラ ー ト を提供 し ま す。 • エ ン ド ユーザの ク レ デン シ ャ ルが有効で あ っ て も 、ア イ デン テ ィ テ ィ プ ロ バ イ ダーに問題が あ る 場合はサービ ス に ア ク セ ス で き ない可能性 が あ り ま す。

ユーザ エ ク スペ リ エ ン ス SAML 認証のユーザ エ ク ス ペ リ エ ン ス は、JavaScript が有効で あ る か ど う か、1 人以上の受信者がい る か ど う か、ま たは受信者が BCC 受信者で あ る か ど う かに関係な く 、ほ と ん ど 同 じ です。ユーザはエ ンベ ロ ープ（ ま たはモバ イ ル デバ イ ス サポー ト （MDS） リ ン ク ）を開 き 、自分のユーザ ア イ デン テ ィ テ ィ を選択す る か必要に応 じ て電子 メ ール ア ド レ ス を指定 し 、ア イ デン テ ィ テ ィ プ ロ バ イ ダーを通 じ て認証 さ れ ま す。ま たは、Web ブ ラ ウ ザで https://res.cisco.com に移動 し 、電子 メ ール ア ド レ ス を 入力 し 、ア イ デン テ ィ テ ィ プ ロ バ イ ダーを使用 し て認証で き ま す。

SAML ア カ ウン ト 認証の設定

次の う ちいずれかの ア イ デン テ ィ テ ィ プ ロ バ イ ダーを使用す る よ う に SAML 認証 を 設定で き ま す。

• Active Directory Federation Services（AD FS）

• Cisco IronPort Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス

• PingFederate

こ れ ら の ア イ デン テ ィ テ ィ プ ロ バ イ ダーを使用す る ための設定手順は、次 のセ ク シ ョ ン で説明 し ま す。

• AD FS を ア イ デン テ ィ テ ィ プ ロ バ イ ダー と し て使用す る 場合の SAML ア カ ウ ン ト 認証の設定（2-31 ページ）

• Cisco Ironport Web セ キ ュ リ テ ィ ア プ ラ イ ア ン ス ま たは PingFederate を ア イ デン テ ィ テ ィ プ ロ バ イ ダー と し て使用す る 場合の SAML ア カ ウ ン ト 認証の設定（2-37 ページ） AD FS を ア イ デン テ ィ テ ィ プ ロバイ ダー と し て使用する場合の SAML ア カ ウン ト 認証の設定 SAML 認証 を 有効にす る と き は、AD FS ア カ ウ ン ト の設定に合わせて CRES ア カ ウ ン ト を 設定す る こ と が重要です。 次の情報（AD FS におけ る 同等の情報）が必要です。 • サービ ス プ ロ バ イ ダーのエ ン テ ィ テ ィ ID（SaaS アプ リ ケーシ ョ ン名 ま たは接続 ID）

• ア イ デン テ ィ テ ィ プ ロ バ イ ダーの検証証明書 • （オプ シ ョ ン）代替の電子 メ ール属性名（SAML 属性 ま たは電子 メ ール ア ド レ ス ） AD FS を ア イ デン テ ィ テ ィ プ ロ バ イ ダー と し て使用す る 場合の SAML ア カ ウ ン ト 認証の手順は、次のセ ク シ ョ ン で説明 し ま す。 • AD FS の リ レ ー側の信頼の設定 • 請求ルールの設定 • ADFS か ら 署名証明書のエ ク ス ポー ト • CRES の設定 • AD FS 署名の設定 • SAML ロ グ イ ン の有効化

• LDAP ク レ デ ン シ ャ ル を 使用 し た Web Safe への ロ グ イ ン

AD FS の リ レ ー側の信頼の設定

ス テ ッ プ 1 AD FS 2.0 Management ツ ール を 起動 し ま す。 ス テ ッ プ 2 [Add] を ク リ ッ ク し ま す。

ス テ ッ プ 3 [Welcome] 画面で、[Start] を ク リ ッ ク し ま す。

ス テ ッ プ 4 [Enter data about the relying party manually] を選択 し 、[Next] を ク リ ッ ク し ます。 ス テ ッ プ 5 CRES SP の表示名 を 入力 し 、[Next] を ク リ ッ ク し ま す

ス テ ッ プ 6 [AD FS 2.0 profile] を選択 し 、[Next] を ク リ ッ ク し ま す。

ス テ ッ プ 7 [Enable support for the SAML 2.0 Web SSO protocol] を選択 し ま す。 ス テ ッ プ 8 [Relying party SAML 2.0 SSO service URL] で

「https://res.cisco.com/websafe/ssourl」 と 入力 し 、[Next] を ク リ ッ ク し ま す。 ス テ ッ プ 9 [Relying party trust identifier] で「https://res.cisco.com/」 と 入力 し 、[Add] を ク

リ ッ ク し ま す。

ス テ ッ プ 10 [Next] を ク リ ッ ク し ま す。

ス テ ッ プ 12 設定を確認 し 、[Next] を ク リ ッ ク し ま す。

ス テ ッ プ 13 [Open the Edit Claim Rules dialog for this relying party trust when the wizard closes] を選択 し 、[Close] を ク リ ッ ク し ま す。

請求ルールの設定

ス テ ッ プ 1 [Edit Claim Rules for CRES SP] ダ イ ア ロ グ が開い た ら 、[Issuance Transform Rules] タ ブ を 選択 し 、[Add Rule] を ク リ ッ ク し ま す。

ス テ ッ プ 2 [Claim rule template] で [Send LDAP Attributes as Claims] を選択 し 、[Next] を ク リ ッ ク し ま す。

ス テ ッ プ 3 [Claim rule name] を入力 し ま す。

ス テ ッ プ 4 [Attribute store] で、[Active Directory] を選択 し ま す。

ス テ ッ プ 5 [LDAP Attribute] 列で、[User-Principal-Name] ま たは [E-Mail Addresses] を選 択 し ま す。

推奨値は [User-Principal-Name] です。こ れは、Active Directory カ タ ロ グ 内のすべてのユーザに使用で き ま す。SAML 認証中、CRES は Active Directory でのユーザ名 と ユーザの CRES ア カ ウ ン ト と を 比較 し ま す。 [E-Mail Addresses] 値 を 使用す る には、[User’s Properties] 設定の [General] タ ブに あ る [E-mail] フ ィ ール ド に電子 メ ール ア ド レ ス を 入力 す る 必要が あ り ま す。CRES では Active Directory 内のユーザのア カ ウ ン ト か ら 電子 メ ール ア ド レ ス を取得す る ので、オプシ ョ ン の [E-mail] フ ィ ール ド がすべてのユーザに対 し て正 し く 設定 さ れていない場合は エ ラ ーが発生 し ま す。

ス テ ッ プ 6 [Outgoing Claim Type] 列で、[E-Mail Addresses] を選択 し ま す。 ス テ ッ プ 7 [Finish] を ク リ ッ ク し 、[Add Rule] を ク リ ッ ク し ま す。

ス テ ッ プ 8 [Claim rule template] で [Transform an Incoming Claim] を選択 し 、[Next] を ク リ ッ ク し ま す。

ス テ ッ プ 9 [Claim rule name] を入力 し ま す。

ス テ ッ プ 10 [Incoming claim type] で [E-mail Address] を選択 し ま す。 ス テ ッ プ 11 [Outgoing claim type] で [Name ID] を選択 し ま す。