Exchange Online のクライアント アクセス規則

Exchange Online
 

適用先:Exchange Online

トピックの最終更新日:2017-11-28

概要: 管理者がクライアント アクセス規則を使用して、Exchange Online へのさまざまな種類のクライアント接続を許可またはブロックする方法について説明します。

クライアント アクセス規則は、クライアント プロパティまたはクライアント アクセス要求に基づいて Exchange Online 組織に対するアクセスを制御するのに役立ちます。クライアント アクセス規則は、Exchange Online 組織へのクライアント接続に関するメール フロー ルール (トランスポート ルールとも呼ばれる) に似ています。クライアントが、IP アドレス、認証の種類、ユーザー プロパティの値、および接続に使用しているプロトコル、アプリケーション、サービス、リソースに基づいて Exchange Online に接続できないようにすることができます。次に例を示します。

  • 特定の IP アドレスからの Exchange ActiveSync クライアントへのアクセスを許可し、他のすべての ActiveSync クライアントをブロックする。

  • 特定のグループのメンバーの Web 上の Outlook (以前の Web 上の Outlook) へのアクセスをブロックする。

  • 特定の部門、市町村、国のユーザーの Exchange Web サービス (EWS) へのアクセスをブロックする。

  • ユーザー名に基づいて特定のユーザーのオフライン アドレス帳 (OAB) へのアクセスをブロックする。

  • フェデレーション認証を使用したクライアント アクセスを防止する。

  • Exchange Online の PowerShell を使用したクライアント アクセスを防止する。

  • 特定の国または地域内のユーザーの Exchange 管理センター (EAC) へのアクセスをブロックする。

クライアント アクセス規則の手順については、Exchange Online のクライアント アクセス規則に関する手順 を参照してください。

規則は、条件、例外、アクション、および優先順位の値で構成されます。

  • 条件   アクションを適用するクライアント接続を識別します。条件の完全な一覧については、後述する「クライアント アクセス規則の条件と例外」セクションを参照してください。クライアント接続が規則の条件を満たしている場合は、アクションがクライアント接続に適用され、規則の評価が停止します (これ以上、規則が接続に適用されなくなります)。

  • 例外   アクションが適用されないクライアント接続を識別します (オプション)。例外は、条件より優先され、接続が構成されたすべての条件を満たしている場合でも、規則のアクションが接続に適用されないようにします。例外によって許可されたクライアント接続に対する規則の評価は継続されますが、それ以降の規則が接続に影響を与える可能性があります。

  • アクション   規則内の条件を満たし、どの例外にも該当しないクライアント接続に対するアクションを指定します。有効なアクションは次のとおりです。

    • 接続を許可する (Actionパラメーターに対する AllowAccess の値)。

    • 接続をブロックする (Action パラメーターに対する DenyAccess の値)。

    :特定のプロトコルの接続をブロックすると、同じプロトコルを使用している他のアプリケーションも影響を受ける可能性があります。

  • 優先順位   クライアント接続に規則を適用する順番を示します (数値が小さいほど、優先順位が高いことを示す)。既定の優先順位は規則の作成時期に基づき (古い規則の方が新しい規則より優先順位が高い)、優先順位の高い規則が優先順位の低い規則よりも先に処理されます。クライアント接続が規則内の条件を満たした段階で規則の処理が停止することを覚えておいてください。

    規則に対する優先順位の値の設定方法について詳しくは、「Exchange Online PowerShell を使用してクライアント アクセス規則の優先順位を設定する」を参照してください。

同じ条件を含む複数の規則の評価方法と、複数の条件、条件の値、および例外を含む規則の評価方法について、次の表で説明します。

 

コンポーネント ロジック コメント

同じ条件を含む複数の規則

最初の規則が適用され、それ以降の規則は無視されます。

たとえば、最高優先順位の規則が Web 上の Outlook 接続をブロックし、特定の IP アドレス範囲の Web 上の Outlook 接続を許可する別の規則を作成した場合は、すべての Web 上の Outlook 接続が最初の規則によってブロックされます。Web 上の Outlook 用の別の規則を作成するのではなく、指定した IP アドレス範囲からの接続を許可する例外を既存の Web 上の Outlook 規則に追加する必要があります。

1 つの規則内の複数の条件

AND

クライアント接続は、規則内のすべての条件を満たす必要があります。たとえば、経理部門のユーザーからの EWS 接続です。

1 つの規則内に複数の値を持つ 1 つの条件

OR

複数の値を許可する条件の場合は、接続が指定された条件のいずれか (すべてではない) を満たす必要があります。たとえば、EWS 接続または IMAP4 接続です。

1 つの規則内の複数の例外

OR

クライアント接続が例外のいずれかと一致する場合は、アクションがそのクライアント接続に適用されません。接続は、すべての例外と一致する必要がありません。たとえば、IP アドレスの 19.2.168.1.1 または基本認証です。

特定のクライアント接続がクライアント アクセス規則から受ける影響 (どの規則が一致して接続に影響するか) をテストすることができます。詳細については、「Exchange Online PowerShell を使用してクライアント アクセス規則をテストする」を参照してください。

ローカル ネットワークからの接続も、クライアント アクセス規則を自動的にバイパスできるわけではありません。そのため、Exchange Online へのクライアント接続をブロックするクライアント アクセス規則を作成する場合は、内部ネットワークからの接続に与える影響を考慮する必要があります。内部クライアント接続にクライアント アクセス規則をバイパスさせるための推奨される方法は、内部ネットワーク (すべてのまたは特定の IP アドレス) からのクライアント接続を許可する最高優先順位規則を作成することです。これにより、将来作成される他のブロッキング規則に関係なく、クライアント接続は常に許可されます。

Exchange Online にアクセスする多くのアプリケーションが中間層アーキテクチャを使用します (クライアントが中間層アプリケーションと対話し、中間層アプリケーションが Exchange Online と対話します)。ローカル ネットワークからのアクセスのみを許可するクライアント アクセス規則は、中間層アプリケーションをブロックする可能性があります。そのため、規則では中間層アプリケーションの IP アドレスを許可する必要があります。

Microsoft によって所有される中間層アプリケーション (たとえば、iOS および Android 用の Outlook) は、クライアント アクセス規則によるブロックをバイパスし、常に許可されます。これらのアプリケーションに対してさらに高度な制御を提供するには、アプリケーションで使用可能な制御機能を使用する必要があります。

全体的なパフォーマンスを向上させるため、クライアント アクセス規則はキャッシュを使用します。つまり、規則への変更はすぐには有効になりません。組織で作成する最初の規則が有効になるまで、最大 24 時間かかることがあります。その後、規則の変更、追加、削除が有効になるには、最大 1 時間かかることがあります。

クライアント アクセス規則の管理に使用できるのはリモート PowerShell のみであるため、リモート PowerShell へのアクセスをブロックする規則には注意が必要です。リモート PowerShell へのアクセスをブロックする規則を作成する、またはすべてのユーザーのすべてのプロトコルをブロックする規則を作成する場合、作成したユーザーも規則を修正できなくなります。Microsoft カスタマー サービス & サポートに問い合わせて、自分が作成した規則を修正できるように、リモート PowerShell アクセスを付与する規則を作成してもらいます。この新しい規則が有効になるには、最大で 1 時間かかることに注意してください。

クライアント アクセス規則内の条件と例外は、規則が適用されるクライアント接続と、規則が適用されないクライアント接続を識別します。たとえば、Exchange ActiveSync クライアントによるアクセスを規則でブロックする場合に、特定の IP アドレス範囲からの Exchange ActiveSync 接続を許可するように規則を構成できます。構文は条件と対応する例外で同じです。唯一の違いは、条件は含めるクライアント接続を指定するのに対して、例外は除外するクライアント接続を指定することです。

次の表で、クライアント アクセス規則で使用可能な条件と例外について説明します。

 

Exchange Online の PowerShell の条件パラメーター Exchange Online の PowerShell の例外パラメーター 説明

AnyOfAuthenticationTypes

ExceptAnyOfAuthenticationTypes

有効な値は次のとおりです。

  • AdfsAuthentication

  • BasicAuthentication

  • CertificateBasedAuthentication

  • NonBasicAuthentication

  • OAuthAuthentication

複数の値をコンマで区切って指定できます。

AnyOfClientIPAddressesOrRanges

ExceptAnyOfClientIPAddressesOrRanges

有効な値は次のとおりです。

  • 単一の IP アドレス   例: 192.168.1.1

  • IP アドレス範囲   例: 192.168.0.1-192.168.0.254

  • クラスレス ドメイン間ルーティング (CIDR) IP   例: 192.168.3.1/24

複数の値をコンマで区切って指定できます。

AnyOfProtocols

ExceptAnyOfProtocols

有効な値は次のとおりです。

  • ExchangeActiveSync

  • ExchangeAdminCenter

  • ExchangeWebServices

  • IMAP4

  • OfflineAddressBook

  • OutlookAnywhere (MAPI over HTTP を含む)

  • OutlookWebApp (Web 上の Outlook)

  • POP3

  • PowerShellWebServices

  • RemotePowerShell

  • REST

複数の値をコンマで区切って指定できます。

:規則でこの条件を使用しない場合、この規則はすべてのプロトコルに適用されます。

Scope

該当なし

規則を適用する接続の種類を指定します。有効な値は次のとおりです。

  • Users   規則は、エンド ユーザー接続にのみ適用されます。

  • All   規則は、すべての接続の種類 (エンド ユーザーと中間層アプリ) に適用されます。

UsernameMatchesAnyOfPatterns

ExceptUsernameMatchesAnyOfPatterns

ユーザーのアカウント名を識別するテキストとワイルドカード文字 (*) を受け入れます。英数字以外の文字にエスケープ文字は必要ありません。

複数の値をコンマで区切って指定できます。

UserRecipientFilter

該当なし

OPath フィルター構文を使用して、規則を適用するユーザーを識別します。たとえば、{City -eq 'Redmond'} などです。フィルター処理可能な属性は次のとおりです。

  • City

  • Company

  • CountryOrRegion

  • CustomAttribute1 から CustomAttribute15

  • Department

  • Office

  • PostalCode

  • StateOrProvince

  • StreetAddress

検索条件では、構文 {<Property> -<Comparison operator> '<Value>'} が使用されます。

  • <Property> はフィルター処理が可能なプロパティです。

  • -<Comparison Operator> は OPATH の比較演算子です。たとえば、完全一致用の -eq (ワイルドカードはサポートされない) と文字列比較用の -like (プロパティ値に少なくとも 1 つのワイルドカードが含まれている必要がある) です。比較演算子の詳細については、「about_Comparison_Operators」を参照してください。

  • <Value> はプロパティの値です。スペースを含むテキスト値、スペースを含まないテキスト値、またはワイルドカード (*) を含むテキスト値は、引用符で囲む ('<Value>''*<Value>' など) 必要があります。システム値 $null (空白の値用) または整数と一緒に引用符を使用しないでください。

論理演算子 -and および -or を使用すると、複数の検索条件を連結することができます。たとえば、{<Criteria1>) -and <Criteria2>} または {(<Criteria1> -and <Criteria2>) -or <Criteria3>} などです。

 
表示: