モバイル デバイスの管理について

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2014-03-05

MicrosoftExchange Server 2010 Service Pack 1 (SP1) と MicrosoftExchange ActiveSync には、ユーザーと管理者の両方に対してさまざまな機能が用意されています。管理者は、許可一覧、禁止一覧、および検疫一覧を作成して、Exchange メールボックスへのアクセスを許可するモバイル デバイスを指定できます。検疫一覧では、ユーザーの割り当て済みデバイスのみ Exchange サーバーへの接続を許可できます。

注意

ここでは、モバイル デバイスとは、携帯電話サービス付きと当該サービスなしのモバイル デバイスを指します。すべての携帯電話とモバイル デバイスに、移動体データ プランであれ、ワイヤレス インターネット アクセスであれ、何らかの形態のインターネット接続があるものと見なされます。

目次

モバイル デバイスのアクセス状態の判断

デバイスのアクセス状態について

デバイス アクセスの制御

共通のアクセス管理戦略の構成

モバイル デバイスのアクセス状態の判断

Exchange 2010 SP1 サーバーは、簡単な論理シーケンスに従ってモバイル デバイスのアクセス状態を判断します。すべてのデバイスについて、そのデバイスを許可するのか、ブロックするのか、または検疫するのかを指定できます。組織のルールまたはユーザー独自の判断に基づいて、各デバイスのアクセス状態を定義できます。適用除外は 1 人のユーザーまたは単一のデバイスに適用されるルールです。これは、Exchange 2010 サーバー上に保管されているメールボックスからのデータを同期しようとしているモバイル デバイスから Exchange ActiveSync 要求が受信されるたびに、発生します。問題解決の順序には、以下の手順が含まれます。

  1. モバイル デバイスは認証済みか?   認証済みでない場合、モバイル デバイスに対して正しい資格情報を求めます。それ以外の場合、次の手順に進みます。

  2. 現在のユーザーに対して Exchange ActiveSync が有効になっているか?   有効になっていない場合、"アクセスは制限されています" というエラーをデバイスに返します。それ以外の場合、次の手順に進みます。

  3. モバイル ポリシー適用条件が現在のモバイル デバイスによって満足されているか?   満足されていない場合、アクセスをブロックします。それ以外の場合、次の手順に進みます。

  4. このモバイル デバイスは、ユーザー独自の判断によってブロックされているか?   ブロックされている場合、アクセスをブロックします。それ以外の場合、次の手順に進みます。

  5. このモバイル デバイスは、ユーザー独自の判断によって許可されているか?   許可されている場合、完全なアクセス権を与えます。それ以外の場合、次の手順に進みます。

  6. このモバイル デバイスは、デバイス アクセス ルールによってブロックされているか?   ブロックされている場合、アクセスをブロックします。それ以外の場合、次の手順に進みます。

  7. このモバイル デバイスは、デバイス アクセス ルールによって検疫されているか?   検疫されている場合、デバイスを検疫します。それ以外の場合、次の手順に進みます。

  8. このモバイル デバイスは、デバイス アクセス ルールによって許可されているか?   許可されている場合、完全なアクセス権を与えます。それ以外の場合、次の手順に進みます。

  9. Exchange ActiveSync の組織設定ごとに既定のアクセス状態を適用します。   これにより、組織設定に応じて現在のデバイスに対してアクセスの付与、アクセスのブロック、検疫が行われます。

ページのトップへ

デバイスのアクセス状態について

デバイスのアクセス状態とは、特定のデバイスの状態のことです。デバイスのアクセス状態は、許可、ブロック、検疫のいずれかになります。デバイスのアクセス状態は、いくつかの方法で制御できます。モバイル デバイスは、それぞれのアクセス状態で異なる動作をします。

許可アクセス状態

許可アクセス状態では、モバイル デバイスは、Exchange ActiveSync 経由で同期し、Exchange サーバーに接続して、電子メールを取得し、予定表の情報、連絡先、タスク、メモを操作できます。これは、デバイスが構成した Exchange ActiveSync メールボックス ポリシーに従っている限り、継続します。

詳細については、「Exchange ActiveSync メールボックス ポリシーのプロパティの表示または構成」を参照してください。

ブロック アクセス状態

構成したデバイスのアクセス設定のためにブロックされるモバイル デバイスは、Exchange サーバーへの接続は許可されず、"HTTP 403 許可されていません" というエラーを受け取ります。ユーザーは、モバイル デバイスからのユーザーのメールボックスへのアクセスがブロックされたことを通知する電子メール メッセージを、Exchange サーバーから受け取ります。このメッセージにカスタマイズしたテキストを追加して、デバイスがブロックされたユーザーに指示を与えることができます。

Exchange ActiveSync メールボックス ポリシーを適用できないために、モバイル デバイスがブロックされる場合もあります。この場合、ユーザーは、モバイル デバイスからのユーザーのメールボックスへのアクセスがブロックされたことを通知する電子メール メッセージを受け取りません。ただし、Outlook Web App に表示されるモバイル デバイス情報として、デバイスが Exchange ActiveSync メールボックス ポリシーを適用できなかったため、ブロックされたことが示されます。

検疫アクセス状態

モバイル デバイスを検疫すると、そのモバイル デバイスは Exchange サーバーに接続できます。ただし、データへのアクセスは制限されます。ユーザーは自身の [予定表]、[連絡先]、[タスク]、および [メモ] フォルダーに内容を追加できますが、サーバーは、デバイスがユーザーのメールボックスからいかなる内容も取得することを許可しません。ユーザーは、モバイル デバイスが検疫されていることを通知する 1 つの電子メール メッセージを受け取ります。このメッセージはデバイスによって受信され、ユーザーのメールボックスでも使用可能です。このメッセージにカスタマイズしたテキストを追加して、デバイスが検疫されたユーザーに指示を与えることができます。

Exchange ActiveSync の組織設定を構成する場合、検疫対象のデバイスが最初に Exchange サーバーへの接続を試みたときに、電子メール メッセージを受け取る管理者を 1 人以上指定できます。その後、管理者は、ユーザー独自の判断を作成してモバイル デバイスを検疫から解放するか、デバイスを完全にブロックするか、モバイル デバイスやその他の類似モバイル デバイスで操作を実行するルールを作成するかどうかを決定できます。

既定の [猶予期間のアップグレード] が有効になっている場合、検疫済みデバイスは以前のバージョンの Exchange から Exchange Server 2010 に移動されたメールボックスと引き続き同期します。既定の [猶予期間のアップグレード] は、デバイスの同期状態がアップグレードされた日から 7 日間です。デバイスのアクセス状態がアップグレードされるのは、デバイスが Exchange サーバーに接続しているときだけです。したがって、デバイスがサーバーに接続していない場合、デバイスのアクセス状態はアップグレードされません。

また、デバイスが以前のバージョンの Exchange 上で実行されているときに、デバイスのアップグレード前の同期状態が検出されない場合、[猶予期間のアップグレード] がデバイスに受け入れられません。

デバイス検出アクセス状態

モバイル デバイスは、最初に Exchange ActiveSync 接続したときに一時的に "デバイス検出" アクセス状態になります。この状態では、デバイスはサーバーによって認識されるまで検疫されます。この状態は 1 ~ 14 分続く場合があります。モバイル デバイスがこの状態になっていると、管理者またはユーザーに電子メール メッセージは送信されません。

メールボックス アップグレード アクセス状態

モバイル デバイスがメールボックス アップグレード アクセス状態になっている場合、ユーザーのメールボックスに対する完全なアクセス権が付与されます。メールボックス アップグレード アクセス状態は、メールボックスが以前のバージョンの Exchange 2010 から移行後、初めてデバイスが Microsoft Exchange サーバーに接続したときから最長で 7 日間その状態が継続することを除き、許可状態と同じです。この状態は、モバイル デバイスに、それらの情報と通信プロトコルを最新の Exchange ActiveSync バージョンに正しくアップグレードし、デバイス アクセス管理システムに認識させる時間を与えるために必要です。モバイル デバイスが認識されるとすぐに、Exchange は Exchange 2010 構成に基づいて適切なアクセス権を適用します。

ページのトップへ

デバイス アクセスの制御

次の項目を構成することによってデバイス アクセスを制御できます。

  • ユーザー独自の判断。

  • モバイル デバイス ファミリーまたは特定のモデルに対する組織全体のルール。

  • 別のカテゴリに属さないすべてのデバイスの既定のアクセス状態。

ユーザー独自の判断の作成

特定のユーザーに特定のモバイル デバイスを割り当てることができます。この割り当てによって、ルールやその他のデバイス アクセス設定に無関係に、特定のデバイスに関するアクセス権を明示的に付与したり、特定のデバイスを明示的にブロックしたりできます。モバイル デバイスに対するアクセス権が明示的に付与されていないか、モバイル デバイスが特定のユーザーに対してブロックされていない場合は、前に説明した手順に従って、デバイスのアクセス権が決定されます。

注意

Microsoft Exchange Server 2007 とは異なり、ユーザーに対して特定のデバイスのアクセス権を明示的に付与しても、他のデバイスに対するアクセス権が暗黙的に拒否されるわけではありません。ユーザーが別のデバイスへの接続を試みた場合、そのデバイスのアクセス状態は組織のデバイス アクセス設定によって決まります。

ユーザー独自の判断は、Set-CASMailbox コマンドレットまたは Exchange コントロール パネル (ECP) を使用して作成できます。

デバイス アクセス ルールの作成

デバイス アクセス ルールを使用すると、モデルなどのデバイスの一部のプロパティに基づいて、特定のデバイス グループに使用できるアクセスの種類を設定できます。これらのルールを作成するには、デバイスのモデルとファミリー情報を知っておく必要があります。この情報は、モバイル デバイスが Exchange サーバーと正常に同期された後に取得できます。

デバイス アクセス ルールは、次の図に示すように、New-ActiveSyncDeviceAccessRule コマンドレットまたは ECP を使用して作成できます。

新しいデバイス アクセス ルールの作成

デバイス アクセス ルールの新規作成

デバイスに対してルールを設定する際は、デバイス "ファミリー" と特定のデバイスとの相違点を理解することが重要です。この情報は EAS プロトコルの一部として伝達され、デバイス自身によって通知されます。たとえば、デバイス ルールは特定のデバイス タイプのみに適用されます。デバイス ファミリーは、ポケット PC などのような一連の同類デバイスを表します。この区別は重要です。デバイス メーカーの多くは、キャリアごとに別の名前を付けて同じデバイスをリリースしているからです。ルールを作成する際は、デバイス ファミリーと特定のモデルの両方でなく、どちらか一方だけを選択してください。

[デバイス アクセス ルールの新規作成] ページで、[参照] をクリックして、Exchange サーバーに最近接続されたすべてのデバイスまたはデバイス ファミリーの一覧を表示します。次に、実行するアクションを選択します。選択できるアクションは次のいずれかです。

アクセスの許可

アクセスの禁止

検疫

既定の組織アクセス状態の設定

Exchange ActiveSync の既定の組織アクセス状態によって、デバイス アクセス ルールでもユーザー独自の判断でも管理されないモバイル デバイスに付与されるアクセス レベルが決まります。既定の組織アクセス状態は、Set-ActiveSyncOrganizationSettings コマンドレットを使用して設定できます。

検疫通知を選択した場合、デバイスが検疫されたときの電子メール警告の受信先を指定することができます。管理者、ユーザー、または配布グループのいずれかを 1 つ以上リストに追加できます。このリスト上の人はだれでも、デバイス、デバイスの接続を試みたユーザー、および接続試行時刻の情報を提供する電子メール通知を受信します。

ページのトップへ

共通のアクセス管理戦略の構成

モバイル デバイスのアクセス レベルを指定する前に、組織内のすべての携帯電話とモバイル デバイスの一覧を取得する必要がある場合があります。この一覧を取得するには、Get-CASMailbox コマンドレットを Get-ActiveSyncDeviceStatistics コマンドレットと共に使用します。詳細については、「Get-ActiveSyncDeviceStatistics」を参照してください。

許可一覧の作成

許可一覧を使用すると、既知のデバイスの一覧に対するアクセス権を付与し、その他すべてのアクセスを制限できます。これを行うには、必要な特定のデバイスがユーザーのメールボックスにアクセスできるようなルールを作成する必要があります。このようなルールを作成したらすぐに、組織の既定のアクセス状態を、他のすべてのデバイスをブロックするように設定する必要があります。新しいデバイスを許可一覧に追加するには、新しいルールを作成します。

禁止一覧の作成

禁止一覧を使用すると、既定ですべてのデバイスに対するアクセス権を付与し、組織へのアクセスを望まない一連のデバイスのアクセスをブロックできます。禁止一覧を作成するには、組織のメールボックスと同期させないデバイスのブロック ルールを作成します。組織設定では、既存のルールで明示的にブロックされていないデバイスすべてにアクセス権を付与することによって、すべてを許可するように設定する必要があります。新しいデバイスまたは一連のデバイスを禁止一覧に追加するには、新しいルールを作成します。

許可一覧と禁止一覧が混在した環境

許可一覧と禁止一覧を作成するほかに、新しいモバイル デバイスの組織への導入時に、それらのデバイスを評価する一方で検疫できます。たとえば、組織内で許可されないモバイル デバイスの禁止一覧と組織内で許可されるモバイル デバイスの許可一覧がある場合、既定の組織アクセス設定を検疫するように設定できます。その他すべてのデバイスは自動的に検疫されるため、組織への導入時に新しいデバイスを検出し、それらのデバイスを許可一覧または禁止一覧に追加するかどうかを決定できます。次の図に、特定のユーザー用に検疫されるモバイル デバイスを示します。

検疫されるユーザーのモバイル デバイス

このユーザー向けにデバイスが検疫された

ライブ監査

ライブ監査を使用すると、組織内で現在 Exchange サーバーと同期しているすべてのデバイスを検出できます。ライブ監査を設定するには、既定の組織アクセス設定を検疫に設定します。

検疫されたデバイスの一覧は、既定の組織アクセス設定が検疫に切り替えられてから数分以内に生成されます。この一覧を使用して、許可一覧と禁止一覧を作成できます。許可一覧と禁止一覧が作成されるまで、すべてのユーザーは Exchange サーバーと同期できなくなります。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.