• [アーティクル]

Configuration Manager での Exchange 電子メールの条件付きアクセス

 

適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックの情報は、System Center 2012 Configuration Manager SP1 以降および System Center 2012 R2 Configuration Manager 以降に適用されます。

Configuration Manager の条件付きアクセスを使用して、指定した条件に基づいて Exchange 電子メールへのアクセスを管理します。

以下のものへのアクセスを管理できます。

  • Microsoft Exchange On-premises

  • Microsoft Exchange Online

  • Exchange Online Dedicated

条件付きアクセスを構成すると、ユーザーが電子メールに接続するには、使用するデバイスが以下の条件を満たさなくてはならなくなります。

  • Intune に登録されている、またはドメインに参加する PC である。

  • デバイスが Azure Active Directory に登録されている (デバイスが Intune に登録されている場合は、自動的に登録されます) (Exchange Online のみ)。 また、クライアントの Exchange ActiveSync ID が Azure Active Directory に登録されている必要があります (Exchange On-premises に接続している Windows および Windows Phone デバイスには該当しません)。

    ドメインに参加している PC の場合、Azure Active Directory に自動的に登録するように設定する必要があります。 「Configuration Manager での条件付きアクセス」トピックの「PC の条件付きアクセス 」セクションでは、PC の条件付きアクセスを有効にするためのすべての要件を示します。

  • そのデバイスに展開されているすべての Configuration Manager コンプライアンス ポリシーを遵守している。

条件付きアクセス条件が満たされない場合、ユーザーにはログイン時に以下のうちのいずれかのメッセージが表示されます。

  • デバイスが Intune に登録されていないか、Azure Active Directory に登録されていない場合は、ポータル サイト アプリのインストールとデバイスの登録の手順が示されているメッセージが表示されます。Android および iOS デバイスの場合は、電子メールをアクティブ化する手順も示されます。アクティブ化によって、デバイスの Exchange ActiveSync ID と Azure Active Directory 内のデバイス レコードとが関連付けられます。

  • デバイスが遵守していない場合は、ユーザーを Intune Web ポータルに導くメッセージが表示されます。このポータルで、問題およびその修復方法に関する情報を見ることができます。

PC の場合:

  • 条件付きアクセス ポリシーの要件が [ドメインに参加する] または [準拠] を許可することである場合、デバイスを登録する方法についての手順が示されているメッセージが表示されます。 PC がどちらの要件も満たさない場合、ユーザーはデバイスを Intune に登録するように求められます。

  • 条件付きアクセス ポリシーの要件がドメインに参加している Windows デバイスのみを許可するように設定されている場合は、デバイスはブロックされ、IT 管理者に問い合わせるようにメッセージが表示されます。

Exchange ActiveSync 電子メール クライアントを組み込まれた、以下のプラットフォームのデバイスから Exchange 電子メールへのアクセスをブロックできます。

  • Android 4.0 以降、Samsung Knox Standard 4.0 以降

  • iOS 7.1 以降

  • Windows Phone 8.1 以降

  • Windows 8.1 以降でのメール アプリケーション

Exchange Online についてのみ、iOS と Android 用の Outlook アプリ、および Outlook デスクトップ 2013 がサポートされています。

条件付きアクセスが機能するには、Configuration Manager と Exchange 間に On-Premises Exchange Connector が必要です。

Configuration Manager コンソールから、Exchange On-premises の条件付きアクセス ポリシーを構成できます。 Exchange Online 用の条件付きアクセス ポリシーを構成する場合、Configuration Manager コンソールでプロセスを開始し、Microsoft Intune コンソールを起動して、プロセスを完了することができます。

手順 1. 条件付きアクセス ポリシーの効果を評価する

On-Premises Exchange Connector を構成した後、Configuration Manager 条件付きアクセスの状態でのデバイスの一覧レポートを使用して、条件付きのアクセス ポリシーを構成した後に Exchange へのアクセスがブロックされるデバイスを識別できます。 このレポートには以下も必要です。

  • Intune へのサブスクリプション

  • Intune コネクタを構成および展開する必要があります

レポート パラメーターで、評価する Intune グループを選び、必要に応じて、ポリシーを適用するデバイス プラットフォームを選びます。

レポートの実行方法の詳細については、「Configuration Manager のレポート」を参照してください。

レポートを実行した後、ユーザーをブロックするかどうかを判断するために、次の 4 つの列を調べます。

  • [管理チャネル] – デバイスが Intune、Exchange ActiveSync、またはその両方によって管理されているかどうかを示します。

  • [AAD に登録済み] – デバイスが Azure Active Directory に登録されている (社内参加と呼ばれます) かどうかを示します。

  • [準拠] – デバイスが、展開したすべてのコンプライアンス ポリシーに準拠しているかどうかを示します。

  • [EAS アクティブ化] – iOS および Android デバイスで、Exchange ActiveSync ID が Azure Active Directory のデバイス登録レコードに関連付けられている必要があります。 これは、ユーザーが検疫電子メールで [電子メールのアクティブ化] のリンクをクリックしたときに発生します。

    [!メモ]

    Windows Phone デバイスは、常にこの列の値を表示します。

対象グループまたはコレクションの一部であるデバイスは、列の値が以下の表に示されている値と一致しない限り、Exchange にアクセスできないようにブロックされます。

管理チャネル

AAD に登録済み

準拠

EAS アクティブ化

結果の動作

Microsoft Intune および Exchange ActiveSync による管理の対象

[はい] または [いいえ] が表示されます

電子メール アクセスが許可される

その他の値

×

×

値が表示されない

電子メール アクセスがブロックされる

レポートの内容をエクスポートし、[電子メール アドレス] 列を使って、ブロックされることをユーザーに通知できます。

手順 2. 条件付きアクセス ポリシーの対象としてユーザー グループまたはコレクションを構成する

条件付きアクセス ポリシーは、ポリシーの種類に応じて、さまざまなユーザーのグループまたはコレクションを対象とします。 これらのグループには、ポリシーの対象となるユーザーや、ポリシーから除外されるユーザーが含まれます。 ユーザーがポリシーの対象となる場合、ユーザーに使用される各デバイスが電子メールにアクセスするには、ポリシーを遵守している必要があります。

  • Exchange Online ポリシーの場合 – Azure Active Directory セキュリティ ユーザー グループを対象。 これらのグループは、Office 365 管理センターまたは Intune アカウント ポータルで構成できます。

  • Exchange On-premises ポリシーの場合 – Configuration Manager ユーザー コレクションを対象。 [資産とコンプライアンス] ワークスペースでこれらを構成できます。

各ポリシーには、次の 2 つのグループの種類を指定できます。

  • 対象グループ – ポリシーが適用されるユーザー グループまたはコレクション

  • 例外グループ – ポリシーから除外されるユーザー グループまたはコレクション (省略可能)

ユーザーが両方に含まれている場合は、ポリシーから除外されます。

条件付きアクセス ポリシーの対象となるグループまたはコレクションだけが、Exchange アクセスのために評価されます。

手順 3. コンプライアンス ポリシーを構成し、展開する

コンプライアンス ポリシーを作成し、Exchange 条件付きアクセス ポリシーの対象となるすべてのデバイスに展開したことを確認します。

コンプライアンス ポリシーを構成する方法の詳細については、「Configuration Manager のコンプライアンス ポリシー」を参照してください。

System_CAPS_important重要

コンプライアンス ポリシーを展開していない状態で、Exchange 条件付きアクセス ポリシーを有効にすると、すべての対象デバイスによるアクセスが許可されます。

準備ができたら、手順 4. に進みます。

手順 4. 条件付きアクセス ポリシーを構成する

Exchange Online (および新しい Exchange Online Dedicated 環境のテナント) の場合

Exchange Online の条件付きアクセス ポリシーは、次のフローを使用して、デバイスを許可するかブロックするかを評価します。

Flow for Exchange Online Conditional Access

電子メールにアクセスするには、デバイスは以下の条件を満たす必要があります。

  • Intune に登録している。

  • PC はドメインに参加しているか、または Intune のポリシー セットに登録または準拠している必要があります。

  • デバイスが Azure Active Directory に登録されている (デバイスが Intune に登録されている場合は、自動的に登録されます)。

    ドメインに参加する PC の場合、デバイスを Azure Active Directory に自動的に登録するように設定する必要があります。

  • アクティブ化された電子メールがある。これによって、デバイスの Exchange ActiveSync ID が Azure Active Directory のデバイス レコードに関連付けられます (iOS および Android デバイスのみに適用)。

  • 展開されているすべてのコンプライアンス ポリシーを遵守している。

デバイスの状態は Azure Active Directory に格納され、条件の評価に基づいて、電子メールへのアクセスが許可されたりブロックされたりします。

条件が満たされない場合、ユーザーにはログイン時に以下のうちのいずれかのメッセージが表示されます。

  • デバイスが登録されていないか、Azure Active Directory に登録されている場合は、メッセージが表示され、ポータル サイト アプリのインストールと登録の手順が示されます。

  • デバイスが遵守していない場合は、ユーザーを Intune Web ポータルに導くメッセージが表示されます。このポータルで、問題およびその修復方法に関する情報を見ることができます。

  • PC の場合:

    • ドメインへの参加を要求するようにポリシーを設定して、PC がドメインに参加していない場合、IT 管理者に連絡するようにメッセージが表示されます。

    • ドメインへの参加または遵守を要求するようにポリシーを設定して、PC がいずれかの要件を満たしていない場合、ポータル サイト アプリをインストールして登録する方法についての手順が示されたメッセージが表示されます。

メッセージは、新しい Exchange Online Dedicated 環境の Exchange Online ユーザーおよびテナントのデバイスに表示され、Exchange On-premises および従来の Exchange Online Dedicated デバイスのユーザー受信トレイに配信されます。

[!メモ]

Configuration Manager 条件付きアクセス規則は、Exchange Online 管理コンソールで定義された規則を上書き、許可、ブロック、および検疫します。

[!メモ]

条件付きアクセス ポリシーは、Intune コンソールで構成する必要があります。 Intune コンソールに Configuration Manager を介してアクセスし、次の手順を開始します。 指示された場合は、Configuration Manager と Intune 間のコネクタを設定するために使用したのと同じ資格情報を使用してログインします。

Exchange Online ポリシーを有効にするには

  1. Configuration Manager コンソールで、[資産とコンプライアンス] をクリックします。

  2. [コンプライアンス設定]、[条件付きアクセス] の順に展開し、[Exchange Online] をクリックします。

  3. [ホーム] タブの [リンク] グループで、[Intune コンソールでの条件付きアクセス ポリシーの構成] をクリックします。Intune サービスの全体管理者と Configuration Manager を結び付けるために使用したアカウントのユーザー名とパスワードの入力が必要になる場合があります。

    Intune 管理コンソールが開きます。

  4. Microsoft Intune 管理コンソールで、[ポリシー] > [条件付きアクセス] > [Exchange Online ポリシー] をクリックします。

    HybridOnlineSetupInIntune

  5. [Exchange Online ポリシー] ページで、[Exchange Online の条件付きアクセス ポリシーを有効にする] を選択します。 これをチェックする場合、デバイスは準拠している必要があります。 これをチェックしないと、条件付きアクセスは適用されません。

    [!メモ]

    コンプライアンス ポリシーを展開していない状態で、Exchange Online ポリシーを有効にすると、すべての対象となるデバイスが準拠デバイスとして報告されます。

    コンプライアンスの状態に関係なく、ポリシーの対象となっているすべてのユーザーがデバイスを Intune に登録する必要があります。

  6. [先進認証を使用するアプリ] で、アクセスを各プラットフォームに準拠しているデバイスのみに制限できます。 Windows デバイスはドメインに参加しているか、Intune に登録または準拠している必要があります。

    System_CAPS_tipヒント

    先進認証では、Active Directory Authentication Library (ADAL) ベースのサインインが Office クライアントに提供されます。

    • ADAL ベースの認証を使用すると、Office クライアントでブラウザー ベースの認証 (パッシブ認証とも呼ばれます) を利用できます。 認証する際に、ユーザーはサインイン Web ページに転送されます。

    • この新しいサインイン方法では、デバイスのコンプライアンスと、多要素認証が実行されたかどうかに基づいて、条件付きのアクセスなどの新しいシナリオを実現できます。

    先進認証の動作の詳細については、この記事を参照してください。

    Configuration Manager と Intune と共に Exchange Online を使用すると、条件付きアクセスでモバイル デバイスだけではなく、デスクトップ コンピューターも管理できます。 PC はドメインに参加しているか、または Intune に登録または準拠している必要があります。 以下の要件を設定できます。

    - **デバイスはドメインに参加しているか準拠デバイスである必要があります**。PC はドメインに参加しているか、Intune のポリシー セットに準拠している必要があります。 PC がどちらの要件も満たさない場合、ユーザーはデバイスを Intune に登録するように求められます。

- **デバイスはドメインに参加している必要があります**。PC は Exchange Online にアクセスするために、ドメインに参加する必要があります。 PC がドメインに参加していない場合、メールへのアクセスはブロックされ、ユーザーは IT 管理者に連絡するように求められます。

- **デバイスは準拠デバイスである必要があります**。PC は Intune に登録および準拠している必要があります。 PC を登録していない場合は、登録する方法についての手順を示したメッセージが表示されます。

  7. [Exchange ActiveSync メール アプリ] で、デバイスがポリシーに準拠していない場合に、メールの Exchange Online へのアクセスをブロックするように選択できます。また、Intune がデバイスを管理できない場合に、メールへのアクセスを許可するかブロックするかを選択できます。

  8. [対象グループ] で、ポリシーを適用するユーザーの Active Directory セキュリティ グループを選択します。

    [!メモ]

    対象グループに含まれているユーザーについては、Exchange のルールとポリシーが Intune のポリシーに置き換えられます。

    次の場合にのみ、Exchange の許可、ブロック、検疫のルールと、Exchange のポリシーが適用されます。

    • ユーザーが Intune のライセンスを取得していない。

    • ユーザーが Intune のライセンスを取得しているが、条件付きアクセス ポリシーの対象となるどのセキュリティ グループにも属していない。

  9. [例外グループ] で、このポリシーから除外するユーザーの Active Directory セキュリティ グループを選択します。 ユーザーが対象グループと例外グループの両方に属している場合、ユーザーはポリシーから除外され、自分のメールにアクセスできます。

  10. 操作が完了したら、[保存] をクリックします。

  • 条件付きアクセス ポリシーを展開する必要はありません。直ちに有効になります。

  • ユーザーが電子メール アカウントを作成すると、デバイスはすぐにブロックされます。

  • ブロックされたユーザーがデバイスを Intune に登録すると (または非準拠を修復すると)、メールのアクセスは 2 分以内でブロック解除されます。

  • ユーザーがデバイスの登録を解除した場合、メールは約 6 時間後にブロックされます。

Exchange On-premises (および従来の Exchange Online Dedicated 環境のテナント) の場合

従来の Exchange Online Dedicated 環境の Exchange On-premises およびテナントの条件付きアクセス ポリシーは、次のフローを使用して、デバイスを許可するかブロックするかを評価します。

Conditional Access flow for Exchange On-Premises

Exchange On-premises ポリシーを有効にするには

  1. Configuration Manager コンソールで、[資産とコンプライアンス] をクリックします。

  2. [コンプライアンス設定]、[条件付きアクセス] の順に展開し、[On-Premises Exchange] をクリックします。

  3. [ホーム] タブの [On-Premises Exchange] グループで、[条件付きアクセス ポリシーの構成] をクリックします。

  4. 条件付きアクセス ポリシーの構成ウィザード[全般] ページで、Intune テナント ドメイン名を指定します。 これは、Intune コネクタをセットアップするために使用したテナント ID のサフィックスです。 たとえば、使用したテナント ID が admin@corpemail.contoso.com の場合は、ウィザードのこのページで入力するドメイン名は corpemail.contoso.com です。

    HybridCondAccessWiz1

    [次へ] をクリックします。

  5. [対象コレクション] ページで、1 つまたは複数のユーザー コレクションを追加します。 Exchange にアクセスするには、これらのコレクション内のユーザーが Intune でデバイスを登録し、展開されたすべてのコンプライアンス ポリシーに準拠する必要があります。

    HybridCondAccessWiz2

    [次へ] をクリックします。

  6. [除外コレクション] ページで、条件付きアクセス ポリシーから除外するすべてのユーザー コレクションを追加します。 これらのグループ内のユーザーは、Intune でデバイスを登録する必要はなく、Exchange にアクセスするために、展開されたすべてのコンプライアンス ポリシーに準拠する必要はありません。

    HybridCondAccessWiz3

    ユーザーが対象リストと例外リストの両方に属している場合、ユーザーは条件付きアクセス ポリシーから除外されます。

    [次へ] をクリックします。

  7. [ユーザー通知の編集] ページで、Intune がデバイスのブロックを解除する方法についての説明と共にユーザーに送信するメールを構成します (Exchange が送信するメールに追加)。

    既定のメッセージを編集したり、テキストの表示方法を HTML タグで書式設定したりすることができます。 変更の予定を通知し、デバイスを登録する手順を説明するメールを事前に従業員に送信することもできます。

    HybridCondAccessWiz4

    [!メモ]

    修復手順が記載されている Intune 通知電子メールはユーザーの Exchange 受信トレイに送信されるため、電子メール メッセージを受信する前にユーザーのデバイスがブロックされた場合は、ブロックされていないデバイスや、Exchange にアクセスするその他の方法を使用して、メッセージを表示できます。

    [!メモ]

    Exchange が通知電子メールを送信できるようにするには、通知電子メールの送信に使用されるアカウントを構成する必要があります。 Exchange Server コネクタのプロパティを構成する場合に、これを実行します。

    詳細については、「Configuration Manager と Exchange を使用してモバイル デバイスを管理する方法」を参照してください。

    [次へ] をクリックします。

  8. [概要] ページで設定を確認し、ウィザードを完了します。

  • 条件付きアクセス ポリシーを展開する必要はありません。直ちに有効になります。

  • ユーザーが Exchange ActiveSync のプロファイルを設定してからデバイスがブロックされるまでに、1 ~ 3 時間かかる場合があります (Intune で管理されていない場合)。

  • ブロックされたユーザーがデバイスを Intune に登録すると (または非準拠を修復すると)、メールのアクセスは 2 分以内でブロック解除されます。

  • ユーザーが Intune から登録解除した場合、デバイスがブロックされるまでに 1 ~ 3 時間かかる場合があります。