(注) |
Cisco Unity Connection 認証規則は、Cisco Unified Communications Manager Business Edition(CMBE)でのユーザ パスワードの管理や、LDAP 認証が有効な場合には適用されません。これは、このような状況では認証が Unity Connection で処理されないためです。
|
認証規則を使用して、ユーザが電話で Unity Connection にアクセスするときに Cisco Unity Connection によって適用されるサインイン、パスワード、およびロックアウトのポリシーをカスタマイズします。また、ユーザが Cisco Unity Connection Administration、Cisco PCA、およびその他のアプリケーション(IMAP クライアントなど)にアクセスする方法もカスタマイズします。
Connection Administration の [認証規則の編集(Edit Authentication Rule)] ページで指定する設定によって、次の値が決まります。
-
アカウントがロックされるまでに許容される、Unity Connection 電話インターフェイス、Cisco PCA、または Connection Administration へのサインイン試行回数。
-
アカウントがリセットされるまでロックが維持される分数。
-
ロックされたアカウントを管理者が手作業でロック解除する必要があるかどうか。
-
パスワードと PIN に許可される最小長。
-
パスワードまたは PIN の有効期限が切れるまでの日数。
ベスト プラクティス:
セキュリティを強化するため、認証規則を定義する際には、次のベスト プラクティスに従うよう推奨します。
-
ユーザが少なくとも 6 か月に 1 回 Unity Connection のパスワードと PIN を変更することを必須とする。
-
Web アプリケーションのパスワードは 8 文字以上の単純でないパスワードにすることを必須とする。
-
ボイスメール PIN は 6 文字以上の単純でない PIN にすることを必須とする。
セキュリティをさらに強化するには、PIN やパスワードを簡単に推測できないものにし、また、長期間使用しないようにする認証規則を設定します。それと同時に、複雑すぎる PIN やパスワードを設定するようにしたり、PIN やパスワードをあまりに頻繁に変更するようにしたりすると、ユーザが PIN やパスワードを書き留めなくてはならなくなるので、そのような規則は避けます。
また、次の各フィールドで認証規則を指定する際には、次のガイドラインに従ってください。
サインイン試行回数(Failed Sign-In __ Attempts):
このフィールドでは、ユーザが間違った PIN またはパスワードを繰り返し入力した場合に、Unity Connection がどのように処理するかを指定します。サインインの試みが 3 回失敗した場合にユーザ アカウントをロックするように設定することを推奨します。
サインイン試行回数をリセットする間隔(Reset Failed Sign-In Attempts Every __ Minutes):
このフィールドでは、サインインの試みが失敗した回数を Unity Connection がクリアするまでの分数を指定します(サインイン失敗回数の制限をすでに超えて、アカウントがロックされている場合を除く)。30 分超過してから、サインインの試みが失敗した回数をクリアするように設定することを推奨します。
ロックアウト期間(Lockout Duration):
このフィールドでは、ロックアウトされたユーザが再度サインインを試みるまで待機する時間を指定します。
セキュリティをさらに強固にするには、[管理者によるロック解除が必要(Administrator Must Unlock)] チェックボックスをオンにします。そうすることで、ユーザは、管理者が該当する [ユーザ(User)] > [パスワードの設定(Password Settings)] ページでそのユーザのロックを解除するまで、アカウントにアクセスできなくなります。[管理者によるロック解除が必要(Administrator Must Unlock)] チェックボックスは、管理者がすぐに対応できる場合、またはシステムが不正アクセス/不正通話されやすい場合にだけ、オンにしてください。
クレデンシャルの有効期限(Credential Expires After __ Days):
[無期限(Never Expires)] オプションは有効にしないことを推奨します。その代わりに、このフィールドを 0 より大きい値に設定し、ユーザが X 日(X は、[クレデンシャルの有効期限(Credential Expires After)] フィールドで指定した値)ごとにパスワードの変更を求められるようにします。
Web パスワードは 120 日後に、電話機 PIN は 180 日後に期限切れになるように設定することを推奨します。
最小クレデンシャル長(Minimum Credential Length):
このフィールドは 6 以上の値に設定することを推奨します。
Web アプリケーションのパスワードに適用される認証規則については、ユーザが 8 文字以上のパスワードを使用することを必須にするよう、推奨します。
電話機 PIN に適用される認証規則については、ユーザが 6 桁以上の PIN を使用することを必須にするよう、推奨します。
最小クレデンシャル長を変更すると、ユーザは、ユーザの PIN およびパスワードを次回変更するときに、最小クレデンシャル長の新しい値を使用する必要があります。
連続するクレデンシャル間での最小変更文字数(Minimum Number of Character Changes between Successive Credentials):
このフィールドを使用して、ユーザが Web アプリケーション パスワードの更新時に変更する必要がある文字の数を指定します(PIN には適用されません)。
このフィールドの値は、[最小クレデンシャル長(Minimum Credential Length)] フィールドの値以下に設定してください。
デフォルトでは、このフィールドの値は 1 に設定されており、ユーザは古いパスワードと新しいパスワードの間で少なくとも 1 文字を変更する必要があります。
以前のクレデンシャルの保存数(Stored Number of Previous Credentials):
このフィールドに値を指定することを推奨します。そうすることによって、Unity Connection が各ユーザの以前のパスワードまたは PIN を、指定した数だけ保存して、パスワードの一意性を強制できるようになります。ユーザがパスワードと PIN を変更すると、Unity Connection で、新しいパスワードまたは PIN が、クレデンシャル履歴に保存されているパスワードまたは PIN と比較されます。Unity Connection では、履歴に保存されているパスワードまたは PIN と一致するパスワードまたは PIN が拒否されます。
デフォルトでは、Unity Connection のクレデンシャル履歴に 5 つのパスワードまたは PIN が保存されます。
単純すぎるパスワードの確認(Check for Trivial Passwords):
ユーザが単純すぎない PIN およびパスワードを使用するように、このフィールドを有効にすることを推奨します。
単純すぎない電話機 PIN には、次の特性があります。
-
PIN が、ユーザの姓または名を数値で表したものと一致しない。
-
PIN に、ユーザのプライマリ内線番号や代行内線番号が含まれていない。
-
PIN に、ユーザのプライマリ内線番号や代行内線番号を逆順で示す数値が含まれていない。
-
PIN に、数値の組み合わせが繰り返されたもの(408408、123123 など)が含まれていない。
-
PIN に含まれているのが 2 つの数値のみ(121212 など)ではない。
-
数字は 3 回以上続けて使用できない(たとえば 28883)。
-
PIN は、昇順または降順の連続する数値(012345、987654 など)ではない。
-
PIN に、許可されている最小クレデンシャル長と一致する数値グループの場合、キーパッド上で 1 列に並んだ数値グループが含まれていない(たとえば、3 桁の長さが許可されている場合、123、456、または 789 を PIN として使用することはできない)。
単純すぎない Web アプリケーション パスワードには、次の特性があります。
-
パスワードに、大文字、小文字、数値、および記号のうち、少なくとも 3 つの文字が含まれている。
-
パスワードに、ユーザのエイリアス、または逆順にしたユーザのエイリアスが含まれていない。
-
パスワードに、プライマリ内線番号や代行内線番号が含まれていない。
-
1 つの文字が 4 回以上連続して使用(!Cooool など)されていない。
-
昇順または降順の、すべて連続する文字(abcdef、fedcba など)が使用されていない。