Cisco Unity Connection ユーザーは、さまざまな Unity Connection アプリケーションにアクセスするために異なる PIN とパスワードを使用します。 各アプリケーションに必要なパスワードを知ることは、Unity Connection のパスワード管理の範囲を理解する上で重要です。

Cisco Unity Connection Administration の [ユーザー] > [ユーザー] > [パスワードの変更] ページで、いつでも個々のユーザーの Web アプリケーション（Cisco PCA）パスワードを変更できます。

パスワードの有効期限が切れると、ユーザーと管理者は、次回 Cisco PCA または Connection Administration にサインインするときに新しいパスワードを入力する必要があります。

ユーザーは、Unity Connection Messaging Assistant で Cisco PCA パスワードを変更することもできます。

複数のエンド ユーザー アカウント (メールボックスを持つユーザー) のパスワードを変更するには、一括パスワード編集ツールを使用して、アカウントに一意の新しいパスワードを割り当てることができます。 パスワードを一括で適用するには、パスワードの一意の文字列を含む CSV ファイルとともに一括パスワード編集ツールを使用します。 パスワード一括編集ツールは Windows ベースのツールです。 ツールをダウンロードし、http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html でヘルプを参照してください。 Cisco Unity Connection 一括管理ツール（BAT）を使用して、複数のユーザー パスワードを一度に変更することもできます。

IMAP クライアントで音声メッセージにアクセスできるユーザーの場合は、Messaging Assistant で Cisco PCA パスワードを変更するたびに、IMAP クライアントでもパスワードを更新する必要があることを必ず理解してください。 パスワードは IMAP クライアントと Cisco PCA 間で同期されません。

ベストプラクティス:

8 文字以上の長い、単純ではないパスワードを指定します。 ユーザーがパスワードを変更するたびに同じ手順に従うように促すか、そうすることを要求する認証ルールにユーザーを割り当てます。 Cisco PCA パスワードは 6 か月ごとに変更する必要があります。

Cisco Unity Connection Administration の [ユーザー] > [ユーザー] > [パスワードの変更] ページで、いつでも個々のユーザーの電話 PIN を変更できます。

ユーザーは、Unity Connection 電話会話または Unity Connection メッセージング アシスタントを使用して、電話の PIN を変更できます。

複数のエンド ユーザー アカウント (メールボックスを持つユーザー) の PIN を変更するには、一括パスワード編集ツールを使用して、アカウントに一意の新しい PIN を割り当てることができます。 一括パスワード編集ツールと、PIN の一意の文字列を含む CSV ファイルを使用して、PIN を一括で適用します。 パスワード一括編集ツールは Windows ベースのツールです。 ツールをダウンロードし、 http://www.ciscounitytools.com/Applications/CxN/BulkPasswordEdit/BulkPasswordEdit.html でヘルプを参照してください。 Cisco Unity Connection 一括管理ツール（BAT）を使用して、複数のユーザー PIN を一度に変更することもできます。

PIN の有効期限が切れると、ユーザーは次に Unity Connection カンバセーションにサインインするときに新しい PIN を入力する必要があります。

ユーザーは Messaging Assistant を使用して電話機の PIN を変更できるため、Web アプリケーション (Cisco PCA) のパスワードも安全に保つための適切な手段を講じることで、PIN のセキュリティを確保できます。

ユーザーは、電話の PIN と Cisco PCA パスワードが同期されないことを理解する必要があります。 初回登録時には初期の電話 PIN を変更するように求められますが、Cisco PCA Web サイトにログインするために使用するパスワードを変更することはできません。

ベストプラクティス:

各ユーザーには、6 桁以上で単純ではない一意の PIN を割り当てる必要があります。 ユーザーにも同様の慣行に従うように促すか、そうすることを要求する認証ルールをユーザーに割り当てます。

（注）	Cisco Unity Connection 認証ルールは、Cisco Unified Communications Manager Business Edition（CMBE）でのユーザー パスワードの管理や、LDAP 認証が有効になっている場合には適用されません。これは、これらの場合、認証は Unity Connection によって処理されないためです。

認証規則を使用して、ユーザーが電話で Unity Connection にアクセスするときに Cisco Unity Connection が適用するサインイン、パスワード、およびロックアウト ポリシー、およびユーザーが Cisco Unity Connection Administration、Cisco PCA、および IMAP クライアントなどのその他のアプリケーションにアクセスする方法をカスタマイズします。

Connection Administration の [認証ルールの編集] ページで指定する設定によって、次の内容が決定されます。

• アカウントがロックされるまでに許可される、Unity Connection 電話インターフェイス、Cisco PCA、または Connection Administration へのサインイン試行の失敗回数。

• アカウントがリセットされるまでの時間 (分) です。

• ロックされたアカウントを管理者が手動で解除する必要があるかどうか。

• パスワードと PIN の最小文字数です。

• パスワードまたは PIN の有効期限が切れるまでの日数です。

ベストプラクティス:

セキュリティを強化するために、認証ルールを定義するときは次のベスト プラクティスをお勧めします。

• ユーザーは少なくとも 6 か月に 1 回は Unity Connection のパスワードと PIN を変更する必要があります。

• Web アプリケーションのパスワードは 8 文字以上で、単純なものではないことが必要です。

• ボイスメールの PIN は 6 文字以上で、単純でないものにする必要があります。

セキュリティを強化するために、PIN とパスワードが簡単に推測されたり長期間使用されたりするのを防ぐ認証ルールを確立します。 同時に、PIN やパスワードが非常に複雑であったり、頻繁に変更する必要があり、ユーザーが覚えるために書き留めなければならないような PIN やパスワードを要求することも避けるのが最善です。

さらに、次のフィールドで認証ルールを指定するときは、次のガイドラインに従ってください。

サインイン失敗 __ 回:

このフィールドを使用して、ユーザーが間違った PIN またはパスワードを繰り返し入力した場合に Unity Connection がどのように状況を処理するかを指定します。 サインイン試行に 3 回失敗したらユーザー アカウントをロックするようにフィールドを設定することをお勧めします。

失敗したサインイン試行を__分ごとにリセット:

このフィールドを使用して、Unity Connection が失敗したサインイン試行回数をクリアするまでの分数を指定します（サインイン失敗回数の制限にすでに達していてアカウントがロックされている場合を除く）。 30 分後に失敗したサインイン試行回数をクリアするようにフィールドを設定することをお勧めします。

ロックアウト期間:

このフィールドを使用して、ロックアウトされたユーザーが再度ログインを試みるまでに待機する必要がある時間の長さを指定します。

セキュリティをさらに強化するには、[管理者によるロック解除が必要] チェックボックスをオンにして、管理者が該当する [ユーザー] > [パスワード設定] ページでロックを解除するまで、ユーザーがアカウントにアクセスできないようにすることができます。 管理者がすぐにユーザーを支援できる場合、またはシステムが不正アクセスや通話料詐欺の被害を受けやすい場合にのみ、[管理者によるロック解除が必要] チェック ボックスをオンにします。

資格情報は__日後に期限切れになります:

ベストプラクティスとして、「無期限」オプションを有効にしないでください。 代わりに、このフィールドの値が 0 より大きいことを確認して、ユーザーに X 日ごとにパスワードを変更するように要求します (X は、[資格情報の有効期限] フィールドで指定された値です)。

Web パスワードは 120 日後に期限切れになるように、電話の PIN は 180 日後に期限切れになるように設定することをお勧めします。

最小認証情報の長さ:

ベストプラクティスとしては、このフィールドを 6 以上に設定します。

Web アプリケーションのパスワードに使用される認証ルールでは、ユーザーに 8 文字以上の長さのパスワードの使用を要求することをお勧めします。

電話の PIN に使用される認証ルールでは、ユーザーに 6 桁以上の長さの PIN の使用を要求することをお勧めします。

最小資格情報の長さを変更すると、ユーザーは次回 PIN とパスワードを変更するときに新しい長さを使用する必要があります。

連続する資格情報間の文字変更の最小数:

このフィールドを使用して、Web アプリケーションのパスワードを更新するときにユーザーが変更する必要がある文字数を指定します (PIN には適用されません)。

このフィールドの値は、[最小資格情報長（Minimum Credential Length）] の値以下である必要があります。

デフォルトでは、このフィールドの値は 1 に設定されており、ユーザーは古いパスワードと新しいパスワードの間で少なくとも 1 文字を変更する必要があることを意味します。

保存されている以前の認証情報の数:

ベストプラクティスとして、このフィールドに数値を指定します。 これにより、Unity Connection は各ユーザーの以前のパスワードまたは PIN を指定された数だけ保存し、パスワードの一意性を強制できるようになります。 ユーザーがパスワードや PIN を変更すると、Unity Connection は新しいパスワードまたは PIN を認証情報履歴に保存されているものと比較します。 Unity Connection は、履歴に保存されているパスワードまたは PIN と一致するパスワードまたは PIN を拒否します。

デフォルトでは、Unity Connection は 5 つのパスワードまたは PIN を資格情報履歴に保存します。

単純なパスワードのチェック:

ベストプラクティスとして、このフィールドが有効になっていて、ユーザーが単純ではない PIN とパスワードを使用する必要があることを確認します。

単純ではない電話の PIN には次の属性があります。

• PIN は、ユーザーの名または姓の数値表現と一致できません。

• PIN には、ユーザーのプライマリ内線番号または代替内線番号を含めることはできません。

• PIN には、ユーザーのプライマリ内線番号または代替内線番号を逆にした番号を含めることはできません。

• PIN には、「408408」や「123123」などの繰り返し数字のグループを含めることはできません。

• PIN には、「121212」のように 2 つの異なる数字のみを含めることはできません。

• 数字は 2 回以上連続して使用することはできません (例:「28883」)。

• PIN は、昇順または降順の連続する数値（012345、987654 など）ではない。

• PIN には、キーパッド上で一直線にダイヤルされる数字のグループを含めることはできません。その数字のグループが、許可されている認証情報の最小の長さに等しい場合です (たとえば、3 桁が許可されている場合、ユーザーは PIN として「123」、「456」、または「789」を使用することはできません)。

• 数字のグループが、許可されている資格情報の最小の長さに等しい場合、PIN には、キーパッド上で縦に並んでダイヤルされる数字のグループを含めることはできません（たとえば、3 桁が許可されている場合、ユーザーは PIN として「147」、「258」、または「369」を使用することはできません)。

• 数字のグループが、許可されている資格情報の最小の長さに等しい場合、PIN には、キーパッド上で斜めに並んでダイヤルされる数字のグループを含めることはできません（たとえば、3 桁が許可されている場合、ユーザーは PIN として「159」、「357」を使用することはできません)。

単純ではない Web アプリケーション パスワードには、次の属性があります。

• 大文字、小文字、数値、または記号の 4 つの文字のうち、少なくとも 3 つが必要。

• パスワードにユーザーエイリアスまたはその逆を使用することはできません。

• パスワードに、プライマリ内線または代理内線番号を使用することはできません。

• 文字は 4 回以上続けて使用できない（たとえば !cooool）。

• 文字列全体を昇順または降順の連続（たとえば abcdef や fedcba）にすることはできない。

Unity Connection SRSV ユーザーの PIN を変更する場合は、Cisco Unity Connection Administration インターフェイスから変更できます。 選択したユーザーの PIN を変更した後、関連付けられたブランチをプロビジョニングして、Unity Connection SRSV データベース内のユーザー情報を更新する必要があります。

（注）	Cisco Unity Connection SRSV 管理インターフェイスを通じて SRSV ユーザーの PIN を変更することはできません。

Unity Connection では、管理者がユーザーの非アクティブ タイムアウトの日数を設定できるようにすることで、セキュリティを強化する新しい機能が提供されます。 設定された日数の間、ユーザーが TUI や Web 受信ボックスなどの Unity Connection インターフェイスのいずれからもボイスメール アカウントにログインしない場合、アカウントは無効になり、それ以降のアクセスは拒否されます。

この機能を有効にするには、Cisco Unity Connection Administration にログインし、 [システム設定] > [詳細設定] > [接続管理] に移動して、 [ユーザーの非アクティビティ タイムアウト（日数）] フィールドに非アクティビティ タイムアウトの値を入力します。

（注）	デフォルトでは、 「ユーザーの非アクティブ タイムアウト (日数)」 フィールドの値は 0 に設定されており、この機能は無効になっています。

この機能を有効にすると、Unity Connection に次の設定が適用されます。

• Cisco Unity Connection Administration の [ユーザー] > [ユーザーの検索] ページで、検索条件を [非アクティブ ユーザー] に制限することで、非アクティブ ユーザーを検索できます。

• Cisco Unity Connection Administration の [ユーザー（Users）] > [ユーザーの基本設定の編集（Edit User Basics）] ページで、ユーザーの [ボイスメール アプリケーションへのアクセス（VoiceMail Application Access）] を [アクティブ（Active）] または [非アクティブ（Inactive）] に更新できます。

• [非アクティブなユーザーのチェック（Check Inactive Users）] sysagent タスクは、設定された間隔で実行されるようにスケジュール設定でき、設定された日数を超えてユーザーがログインしていない場合は、そのユーザーを非アクティブとしてマークできます。