受信者は、S/MIME を使用してエンコードされた電子メール メッセージを表示できません

  • [アーティクル]
  • 適用対象:
    Exchange Server 2010 Service Pack 2

元の KB 番号: 2621062

現象

次のシナリオを検討してください。

シナリオ 1

  • Exchange Server 2010 Service Pack 2 (SP2) でホストされているメールボックスにアクセスします。
  • Outlook Web App (OWA) の Secure/多目的インターネット メール拡張機能 (S/MIME) コントロールをダウンロードしてインストールします。 次に、次のいずれかの操作を行います。
    • OWA の S/MIME コントロールを使用して、電子メール メッセージを暗号化します。
    • Outlook を使用してメール メッセージを暗号化します。
  • 配布リストに電子メール メッセージを送信します。
  • 受信者が Outlook で電子メール メッセージを開こうとします。

このシナリオでは、受信者に次のエラー メッセージが表示される場合があります。

このアイテムを開くことができません。 基になるセキュリティ システムでデジタル ID 名が見つかりません

シナリオ 2

  • Exchange Server 2010 SP2 でホストされているメールボックスにアクセスします。
  • Outlook Web App (OWA) で S/MIME コントロールをダウンロードしてインストールします。 次に、次のいずれかの操作を行います。
    • OWA の S/MIME コントロールを使用して、電子メール メッセージを暗号化します。
    • Outlook を使用してメール メッセージを暗号化します。
  • 配布リストに電子メール メッセージを送信します。
  • 受信者は、Outlook Web App (OWA) で電子メール メッセージを開こうとします。

このシナリオでは、受信者に次のエラー メッセージが表示される場合があります。

暗号化アルゴリズムがサポートされていないか、デジタル ID が見つからないため、このメッセージを暗号化解除できません。 スマート カード ベースのデジタル ID がある場合は、カードを挿入し、もう一度メッセージを開いてみます。

原因

この問題は、次の条件がすべて満たされている場合に発生する可能性があります。

  • Exchange 管理者がアドレス帳ポリシーを定義しました。
  • アドレス帳ポリシーのスコープには、配布グループのすべてのメンバーが含まれているわけではありません。

注:

この動作は仕様です。

解決策 - 方法 1

連絡先機能を使用します。 これを行うには、次の手順を実行します。

  1. Outlook を使用して、アドレス帳に含まれていない送信者からデジタル署名されたメッセージを開きます。
  2. [ 差出人: ] 行で、送信者の名前を右クリックし、[ Outlook の連絡先に追加] を選択します。
  3. [連絡先] ウィンドウで、[表示] グループで [証明書] を選択します。
  4. 連絡先の公開キー証明書を確認します。
  5. [ 保存] & [閉じる] を選択します
  6. 連絡先機能を使用して、配布グループを含む電子メール メッセージ受信者の一覧にユーザーを追加します。 これを行うには、次の手順を実行します。
    1. Outlook で [ 新規] を選択し、[ メール メッセージ] を選択し、[To] を選択 します
    2. [ アドレス帳] で、[連絡先] を選択 します
    3. 追加するユーザーをダブルクリックします。

解決方法 - 方法 2

これらのメンバーが複数のアドレス帳ポリシーにまたがる場合は、メンバーを含む配布リストを作成しないでください。

詳細

Exchange Server 2010 SP2 では、管理者はアドレス帳ポリシーと呼ばれる新しい機能を実装できます。 この機能を使用すると、管理者はポリシーを使用して、メールボックス ユーザーが表示できる Exchange オブジェクトを定義できます。 このポリシーは、メールボックス ユーザーがアドレス帳クエリを実行すると、クライアント アクセス サーバーのアドレス帳サービスによって評価されます。 クエリで要求されたオブジェクトが、ポリシーに対して定義されているスコープと一致しない場合、メールボックス ユーザーはそのオブジェクトを表示できません。

配布グループ (DG) の場合、アドレス帳ポリシーのスコープにそのグループのすべてのメンバーが含まれている場合、メールボックス ユーザーにグループのメンバーシップ全体が表示されないことがあります。 Exchange Server 2010 SP2 のアドレス帳サービスでは、名前付きサービス プロバイダー インターフェイス (NSPI) の分離が実装されています。 メール クライアントが DL 展開を実行し、配布リストのすべてのメンバーのパブリック証明書を検索しようとすると、メール クライアントには、ポリシーのスコープに一致しないユーザーが表示されません。 そのため、メール クライアントは、表示できないユーザーの証明書を検索しようとしません。

メッセージが送信された後、ハブ トランスポートはアドレス帳ポリシーの対象になりません。 したがって、トランスポートは、配布リストの展開が実行されるときに、配布リストの実際のメンバーシップにメッセージを送信できます。

表示できないメンバーを含む配布リストに送信する場合、Outlook と Outlook Web App は、Active Directory Domain Servicesで受信者の証明書情報を見つけることができません。 そのため、証明書情報はロックボックスのエンコードに使用されず、受信者はメッセージの暗号化を解除する証明書と秘密キーを見つけることができません。

[解決] セクションに記載されているいずれかの方法を使用して電子メール メッセージを暗号化する場合、受信者はメッセージの暗号化を解除するための証明書と秘密キーを見つける方法を決定できます。

関連情報

アドレス帳ポリシーの詳細については、「アドレス帳ポリシー について」を参照してください。