シナリオ
次のような状況で問題が発生します。
-
Exchange Server を実行している。
-
Exchange Web サービス (EWS) を有効にしている。
-
プッシュ通知が有効であり、環境内で使用している。
原因
クライアントが Exchange Server からのプッシュ通知にサブスクライブすると、クライアントに送信される通知には、Exchange Server を実行しているサーバーであるという認証に使用される可能性がある NTLM 情報が含まれています。 この情報は、サブスクライブしたクライアントへの認証済みの応答を許可するために以前は含まれていました。 プッシュ通知のみが影響を受けます。 プル通知とストリーミング通知は影響を受けません。
回避策
このシナリオを回避し、情報の悪用を防ぐには、サブスクライブ済みのクライアントに EWS 通知が送信されないようにする調整ポリシーを定義します。 この動作の影響を受けるのはプッシュ通知のみですが、調整ポリシーは、プッシュ通知、プル通知、ストリーミング通知に等しく影響があります。
注: この回避策によって、一部のクライアントが正しく機能しなくなる可能性があります。 たとえば、Outlook for Mac、Skype for Business、ネイティブ iOS メール クライアント、その他のサードパーティ製クライアントなどです。 また、カスタムの LOB アプリケーションも含まれる可能性があります。
解決方法
マイクロソフトは、EWS クライアントと Exchange Server を実行しているサーバーとの間で確立されている通知コントラクトを変更し、認証された通知をサーバーからストリーミングできないようにしました。 このような通知は、匿名認証メカニズムを使用してストリーミングされるようになります。 クライアントはサブスクリプションを確立するために認証を受ける必要があるため、この方法は、サーバーの資格情報と ID を保護するために適切かつ必要な設計と考えられます。 Exchange Server を実行しているサーバーからの認証済み EWS プッシュ通知を利用しているクライアントがこの変更後も正常に機能するには、クライアントの更新プログラムが必要になります。
この動作の変更は、以下の Exchange リリースで反映されます。
-
Exchange Server 2019 – 累積的な更新プログラム 1
-
Exchange Server 2016 – 累積的な更新プログラム 12
-
Exchange Server 2013 – 累積的な更新プログラム 22
-
Exchange Server 2010 – 更新プログラムのロールアップ 26
