Exchange activesync アクセスの設定

コース: 管理者のためのMicrosoft Office 365

目次 Show

今すぐコースを受講しましょう
モバイルデバイスアクセスの制御
Exchange アカウントを追加する
メールアドレスを入力する
Exchange Server に接続する
コンテンツを同期する
Exchange の設定を編集する
関連情報

動画はロックされています。

今すぐコースを受講しましょう

今すぐ登録して、20,500件以上登録されている、業界エキスパート指導のコースを受講しましょう。

モバイルデバイスアクセスの制御

“

このレッスンでは組織と同期しようとするユーザの新しいモバイルデバイスの処理方法の制御について学習します。「Exchange 管理センター」の［モバイル］をクリックします。「モバイルデバイスアクセス」を利用します。ユーザがデバイスアクセスルールまたはユーザの独自の判断によって管理対象外となっているモバイルデバイスを同期しようとする時 Exchange ActiveSync で同期を許可するか、ブロックするかまたは検疫するかを設定できます。 Exchange ActiveSync アクセスの設定から［編集］ボタンをクリックします。「アクセスを許可する」「アクセスをブロックする」「検疫」を選択することができます。接続の設定で検疫を選択した場合モバイルデバイスがアクセスすると検疫されたデバイスの一覧にアクセスしてきたデバイスの一覧が表示されます。必要に応じてアクセスを許可または拒否できます。ここでは、キャンセルをしておきます。アクセスしてきたモバイルデバイスごとに管理をするのは非常に煩雑になるので事前にデバイスアクセスルールを作成しておくことができます。デバイスアクセスルールの［＋］をクリックします。デバイスアクセスルールを適用するデバイスファミリ及びモデルを選択して選択したデバイスを許可するかブロックするかまたは検疫するかを選択します。ここでは、キャンセルしておきます。デバイスが検疫された場合にはそのデバイスの一覧からアクセスルールを作成することも可能です。以上、このレッスンでは組織と同期しようとするユーザの新しいモバイルデバイスの処理方法について学習しました。

Exchange アカウントを追加する

「設定」>「メール」>「アカウントを追加」>「Microsoft Exchange」の順にタップします。

別のアカウントを追加する場合は、「アカウント」>「アカウントを追加」の順にタップしてください。

メールアドレスを入力する

メールアドレスを入力してから「次へ」をタップします。アカウントの説明も入力できます。

Exchange Server に接続する

メールアドレスを入力した後、「サインイン」または「手動構成」を選択します。

「サインイン」をタップすると、Exchange アカウント情報が自動検出されます。アカウントで先進認証が使われている場合は、カスタムの認証ワークフローの案内画面が表示されます。

「手動構成」をタップした場合は、アカウントを基本認証で設定できます。メールアドレスを入力してから「次へ」をタップしてください。状況に応じて、追加のサーバ情報の入力画面が表示されます。この情報は、Exchange Server の管理者から入手してください。

コンテンツを同期する

メール、連絡先、カレンダー、リマインダー、およびメモを同期できます。設定が終わったら「保存」をタップします。

Exchange の設定を編集する

「設定」>「メール」>「アカウント」の順にタップし、Exchange アカウントを選択します。この画面で、不在時の自動返信を設定したり、メールを同期する頻度を変更したりできます。詳細設定を変更するには、アカウント名をタップして、SSL や S/MIME などの設定を変更できます。

関連情報

iOS の導入について詳しくは、こちらを参照してください。

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日： 2022 年 10 月 07 日

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

このOMM管理対象iOSデバイスに対するMicrosoft Office 365 EAS向けOkta Device Trustソリューションでは、次のことが可能です。

パスワードの代わりに証明書を使用するようにiOSメール・アプリを構成して、OMMに登録されたユーザーがMicrosoft Office 365 Exchange ActiveSyncへの認証を行えるようにする。
iOSメール・アプリのクライアント・アクセス・ポリシーを構成して、管理対象外のデバイスを使用するユーザーがMicrosoft Office 365 Exchange ActiveSyncにアクセスできないようにする。

このDevice Trustソリューションの主な利点は次のとおりです。

エンド・ユーザーがOMMに登録されたiOSデバイスからネイティブのiOSメール・アプリ（EAS）をSSOでシームレスに利用できる。
パスワードによる認証の代わりに証明書ベースの認証を適用することで、Office 365 Exchange ActiveSyncのセキュリティーが強化される。
管理対象外のiOSデバイスを使用しているユーザーによるOffice 365へのアクセスを防止する。
Active Directory（AD）パスワードのリセットによるユーザーのアカウントのロックアウトを防ぐ。

前提条件

Exchange Onlineの少なくとも1つのライセンスを使用してOkta組織にフェデレーションされたOffice 365テナント
PowerShellコマンドを実行するWindowsコンピューター
Azure PowerShell 5.0（64ビット）
iOS 9以降のデバイス

手順

この手順には4つの主要なステップがあります。

ステップ1：OktaでExchange ActiveSyncの証明書ベースの認証を有効にする

重要

ステップ1の最後で[保存]をクリックしないでください。変更内容は「ステップ3：OMMの登録デバイスにEASの証明書を配布する」で保存します。
組織でOffice 365アプリのインスタンスが複数設定されている場合、OktaではOffice 365アプリのインスタンス/ドメインごとに異なるOkta CA証明書が生成されることに注意してください。つまり、証明書ベースの認証を構成するOffice 365アプリのインスタンス/ドメインごとに、個別のルート証明書をアップロードする必要があります。

管理コンソールで、[アプリケーション] > に移動します。 Office 365アプリのインスタンスをクリックします。
[モバイル]タブに移動し、[Exchange ActiveSyncの設定]まで下にスクロールして[編集]をクリックします。
[Exchange ActiveSyncを有効にする]を選択します。
プロファイル名を入力します。
[iOSの証明書ベースの認証を有効にする]を選択します。
[ルート証明書をダウンロード]をクリックします。
この手順の後半で使用するため、[証明書失効リストのURL]と[デルタ証明書失効リストのURL]の内容をコピーしてテキスト・エディターに貼り付けます。

重要

上記の構成によるデバイスやメール・アカウントへの影響についてエンド・ユーザーに伝えておいてください。「既知の問題」を参照してください。

ステップ2：Office 365でExchange ActiveSyncの証明書ベースの認証を有効にする

Windowsのコマンド・ラインから以下を実行します。

Azure PowerShell 5.0（64ビット）を管理者として起動します。
重要

x86（32ビット）バージョンのPowerShellを使用しようとすると、エラー・メッセージが表示されます。
次のコマンドを発行して、PowerShellのAzureADモジュールをインストールします。
Install-Module -Name AzureAD –RequiredVersion 2.0.0.33
- 「続行するには NuGet プロバイダーが必要です」というメッセージが表示される場合は、[はい]をクリックしてNuGetプロバイダーをインストールおよびインポートします。
- 「信頼されていないリポジトリ」というメッセージが表示される場合は、[すべて続行]をクリックして必要なモジュールをインストールします。
PowerShellで次のコマンドを発行し、Azure ADテナントに接続してOffice 365への認証を行います。
Connect-AzureAD
Azure Active Directoryのサインイン画面でOffice 365の認証情報を入力します。
必要なPowerShell変数を作成するには、PowerShellで次のコマンドを発行します。
$cert=Get-Content -Encoding byte "LOCATION OF YOUR CER FILE\filename.cer"
「LOCATION OF YOUR CER FILE\filename.cer」を*.cerファイルのパスとファイル名に置き換えてください。
$new_ca=New-Object -TypeName Microsoft.Open.AzureAD.Model.CertificateAuthorityInformation
$new_ca.AuthorityType=0
$new_ca.TrustedCertificate=$cert
Office 365で証明書の失効を有効にするには、次のコマンドを発行します。前に保存した失効URLを貼り付けてください。
$new_ca.crlDistributionPoint = "CERTIFICATE REVOCATION LIST URL"
「CERTIFICATE REVOCATION LIST URL」を前に保存した[証明書失効リストのURL]の内容に置き換えます。
$new_ca.deltaCrlDistributionPoint = "DELTA CERTIFICATE REVOCATION LIST URL"
「DELTA CERTIFICATE REVOCATION LIST URL」を前に保存した[デルタ証明書失効リストのURL]の内容に置き換えます。
適切な認証局をOffice 365に追加するには、次のコマンドを発行します。
New-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $new_ca
認証局がOffice 365に追加されたことを確認するには、次のコマンドを発行します。
Get-AzureADTrustedCertificateAuthority
任意：必要に応じて、構成のトラブルシューティングに役立つ以下のコマンドを発行します。
- 既存の認証局を変数に追加する場合は、次のコマンドを発行します。
  $c=Get-AzureADTrustedCertificateAuthority
- 認証局を削除する場合は、次のコマンドを発行して正しい証明書を選択します。番号は0（ゼロ）から始まります。たとえば、最初の証明書を削除するには、次のように「0」を入力します。
  Remove-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]

重要

ステップ4 ：（任意）iOSメール・アプリ（EAS）を使用して、管理対象外のデバイスからOffice 365メールにアクセスできないようにする

注

ステップ4については、ユーザーにOkta Mobility Managementへの登録を通知している場合のみ構成してください。

Office 365クライアント・アクセス・ポリシーを構成します。
1. 管理コンソールで、[アプリケーション] > に移動します。 [アプリケーション]の順に選択し、Office 365アプリのインスタンスをクリックします。
2. [サインオン]タブをクリックし、[サインオン・ポリシー]まで下にスクロールして、[ルールを追加]をクリックします。
3. ルールの名前を入力し、該当するグループまたはユーザーに適用します。
4. [クライアント]セクションで、[Mobile（Exchange ActiveSync）]と[iOS]を選択します。
5. [アクション]セクションで、[上記の条件がすべて満たされた場合、このアプリケーションへのサインオンは次のようになります]の[アクセス]の設定を[拒否]に変更します。
6. [保存]をクリックします。
OMMに登録されたiOSデバイスを使用して、Device Trustの構成を確認します。
1. OMMに登録されたiOSデバイスが適切なOktaモバイル・ポリシーの対象になっていることを確認します。
2. ネイティブのiOSメール・アプリを起動し、Office 365への認証なしでメールを利用できることを確認します。
3. ネイティブのiOSメール・アプリで手動でEASメール・アカウントを作成し、手動で構成したメール・アカウントがOktaでブロックされることを確認します。

既知の問題

EASプロファイルの重複が原因でパスワードのプロンプトが何度も表示される：iOS 9.3およびiOS 10.2デバイスのユーザーがOMMへの登録前にネイティブのiOSメール・アプリを手動で構成していた場合、OMMの登録によって証明書ベースのプロファイルがデバイスに自動的にプッシュされると、デバイスでEASプロファイルが重複した状態になります。iOS 9.3デバイスでは、この重複によって混乱が生じる可能性があります。iOS 10.2デバイスでは、プロファイルの重複の問題に加えて、手動で構成したプロファイルでメールを受信できず、パスワードの入力を何度も求められます。これらの問題に対処するために、手動で構成したプロファイルはデバイスから削除するようにユーザーに勧めることを推奨します。そうしないと、パスワードのプロンプトが繰り返し表示されます。
現在、この機能はiOSデバイスのネイティブのiOSメール・アプリのみをサポートしています。
ユーザーが認証情報の入力を求められることがある ：CBAが構成されたOffice 365アプリ・インスタンスの割り当てを解除してからユーザーまたはグループに再割り当てした場合、ユーザーがEAS対応のネイティブのiOSメール・クライアントにアクセスしようとしたときに認証情報を入力するように求められます。ユーザーが認証情報を入力した後も、「メールを取得できません」というメッセージが表示されます。ユーザーがメールを利用できるようになるまでに数時間かかることがあります。
iOS版またはAndroid版のOutlookへのアクセスをブロックする：エンド・ユーザーがiOS版またはAndroid版のOutlookにアクセスできないようにする場合は、Microsoftの記事「Enabling Outlook for iOS and Android in Exchange Online」の説明に従ってアクセスをブロックできます。下にスクロールして「Blocking Outlook for iOS and Android」を参照してください。
CRLキャッシュの更新が必要：Oktaで証明書が取り消された場合、または信頼されたルートCA証明書がExchange Online/O365/Azure ADから削除された場合、その証明書を使用するCBAのEAS対応デバイスでは、Office 365で次に証明書失効リスト（CRL）キャッシュが無効化されて更新されるまで引き続きメールを利用できます。キャッシュが更新されると、デバイスによるメールの利用がMicrosoftから拒否されるようになります。Microsoftのキャッシュは、24時間ごとに1回、またはデバイスが別のWi-Fiネットワークに切り替わるたびに期限切れになります。
Outlookメール・アプリの使用時にヘッダーに複数のOSタイプが含まれる：Oktaでは、iOSおよびAndroidデバイスのOutlookメール・アプリから要求を受信したときに、ヘッダーにiOSとAndroidの両方が含まれるためOSタイプを正確に識別できません。この場合にクライアント・アクセス・ポリシーが確実に適用されるようにするには、[Mobile（Exchange ActiveSync）]クライアント・アクセス・ポリシーで[その他]オプションを選択します。詳細については、「Office 365クライアント・アクセス・ポリシーのルールの構成」を参照してください。