Exchange Online のクライアント アクセス規則

概要: 管理者がクライアント アクセス規則を使用して、Exchange Online へのさまざまな種類のクライアント接続を許可またはブロックする方法について説明します。

クライアント アクセス規則は、クライアント プロパティまたはクライアント アクセス要求に基づいて Exchange Online 組織に対するアクセスを制御するのに役立ちます。 クライアント アクセス規則は、Exchange Online 組織へのクライアント接続に関するメール フロー ルール (トランスポート ルールとも呼ばれる) に似ています。 クライアントが IP アドレス (IPv4 と IPv6)、認証の種類、およびユーザー プロパティの値、および接続に使用しているプロトコル、アプリケーション、サービス、またはリソースに基づいて、Exchange Onlineに接続できないようにすることができます。 例:

  • 特定の IP アドレスからの Exchange ActiveSync クライアントへのアクセスを許可し、他のすべての ActiveSync クライアントをブロックする。
  • 特定の部署、都市、または国/地域のユーザーに対する Exchange Web サービス (EWS) へのアクセスをブロックします。
  • ユーザー名に基づいて特定のユーザーのオフライン アドレス帳 (OAB) へのアクセスをブロックする。
  • フェデレーション認証を使用したクライアント アクセスを防止する。
  • Exchange Online の PowerShell を使用したクライアント アクセスを防止する。
  • 特定の国または地域のユーザーの従来の Exchange 管理センター (EAC) へのアクセスをブロックします。

クライアント アクセス規則の手順については、Exchange Online のクライアント アクセス規則に関する手順 を参照してください。

注:

EWS 偽装を使用する場合にサービス アカウントへのアクセスをブロックすることは、クライアント アクセス規則ではサポートされていません。

2022 年 10 月以降、クライアント アクセス規則を使用していない既存のすべてのExchange Online組織のクライアント アクセス規則へのアクセスが無効になりました。 2023 年 10 月には、すべてのExchange Online組織でクライアント アクセス 規則のサポートが終了します。 詳細については、「Exchange Onlineでのクライアント アクセス規則の廃止」を参照してください。

クライアント アクセス規則の構成要素

規則は、条件、例外、アクション、および優先順位の値で構成されます。

  • 条件: アクションを適用するクライアント接続を識別します。 条件の完全な一覧については、後述する「クライアント アクセス規則の条件と例外」セクションを参照してください。 クライアント接続が規則の条件を満たしている場合は、アクションがクライアント接続に適用され、規則の評価が停止します (これ以上、規則が接続に適用されなくなります)。

  • 例外: アクションが適用されないクライアント接続を識別します (オプション)。 例外は、条件より優先され、接続が構成されたすべての条件を満たしている場合でも、規則のアクションが接続に適用されないようにします。 例外によって許可されたクライアント接続に対する規則の評価は継続されますが、それ以降の規則が接続に影響を与える可能性があります。

  • アクション: 規則内の条件を満たし、どの例外にも該当しないクライアント接続に対するアクションを指定します。 有効なアクションは次のとおりです。

    • 接続を許可します (AllowAccessAction パラメーターの値)。

    • 接続をブロックします (DenyAccessAction パラメーターの値)。

      :特定のプロトコルの接続をブロックすると、同じプロトコルを使用している他のアプリケーションも影響を受ける可能性があります。

  • 優先順位: クライアント接続に規則を適用する順番を示します (数値が小さいほど、優先順位が高いことを示す)。 既定の優先順位は規則の作成時期に基づき (古い規則の方が新しい規則より優先順位が高い)、優先順位の高い規則が優先順位の低い規則よりも先に処理されます。 クライアント接続が規則内の条件を満たした段階で規則の処理が停止することを覚えておいてください。

    規則に対する優先順位の値の設定方法について詳しくは、「Exchange Online PowerShell を使用してクライアント アクセス規則の優先順位を設定する」を参照してください。

クライアント アクセス規則の評価方法

同じ条件を含む複数の規則の評価方法と、複数の条件、条件の値、および例外を含む規則の評価方法について、次の表で説明します。

コンポーネント ロジック Comments
同じ条件を含む複数の規則 最初の規則が適用され、それ以降の規則は無視されます。 たとえば、最高優先順位の規則が Web 上の Outlook 接続をブロックし、特定の IP アドレス範囲の Web 上の Outlook 接続を許可する別の規則を作成した場合は、すべての Web 上の Outlook 接続が最初の規則によってブロックされます。 Web 上の Outlook 用の別の規則を作成するのではなく、指定した IP アドレス範囲からの接続を許可する例外を既存の Web 上の Outlook 規則に追加する必要があります。
1 つの規則内の複数の条件 AND クライアント接続は、規則内のすべての条件を満たす必要があります。 たとえば、経理部門のユーザーからの EWS 接続です。
1 つの規則内に複数の値を持つ 1 つの条件 OR 複数の値を許可する条件の場合は、接続が指定された条件のいずれか (すべてではない) を満たす必要があります。 たとえば、EWS 接続または IMAP4 接続です。
1 つの規則内の複数の例外 OR クライアント接続が例外のいずれかと一致する場合は、アクションがそのクライアント接続に適用されません。 接続は、すべての例外と一致する必要がありません。 たとえば、IP アドレスの 19.2.168.1.1 または基本認証です。

特定のクライアント接続がクライアント アクセス規則から受ける影響 (どの規則が一致して接続に影響するか) をテストすることができます。 詳細については、「Exchange Online の PowerShell を使用してクライアント アクセス規則をテストする」を参照してください。

注:

クライアント アクセス 規則は認証後に評価され、未加工の接続または認証の試行をブロックするために使用することはできません。

重要事項

内部ネットワークからのクライアント接続

ローカル ネットワークからの接続も、クライアント アクセス規則を自動的にバイパスできるわけではありません。 そのため、Exchange Online へのクライアント接続をブロックするクライアント アクセス規則を作成する場合は、内部ネットワークからの接続に与える影響を考慮する必要があります。 内部クライアント接続にクライアント アクセス規則をバイパスさせるための推奨される方法は、内部ネットワーク (すべてのまたは特定の IP アドレス) からのクライアント接続を許可する最高優先順位規則を作成することです。 これにより、将来作成される他のブロッキング規則に関係なく、クライアント接続は常に許可されます。

クライアント アクセス規則と中間層アプリケーション

Exchange Onlineにアクセスする多くのアプリケーションでは、中間層アーキテクチャが使用されます (クライアントは中間層アプリケーションと通信し、中間層アプリケーションはExchange Onlineと通信します)。 ローカル ネットワークからのアクセスのみを許可するクライアント アクセス規則は、中間層アプリケーションをブロックする可能性があります。 そのため、規則では中間層アプリケーションの IP アドレスを許可する必要があります。

Microsoft によって所有される中間層アプリケーション (たとえば、iOS および Android 用の Outlook) は、クライアント アクセス規則によるブロックをバイパスし、常に許可されます。 これらのアプリケーションに対してさらに高度な制御を提供するには、アプリケーションで使用可能な制御機能を使用する必要があります。

規則変更のタイミング

全体的なパフォーマンスを向上させるために、クライアント アクセス 規則ではキャッシュが使用されます。つまり、ルールの変更はすぐには有効になりません。 organizationで作成する最初のルールは、有効になるまでに最大 24 時間かかることがあります。 その後、ルールの変更、追加、または削除が有効になるまでに最大 1 時間かかることがあります。

管理

PowerShell を使用してクライアント アクセス規則を管理することしかできないため、リモート PowerShell へのアクセスをブロックする規則に注意する必要があります。 If you create a rule that blocks your access to remote PowerShell, or if you create a rule that blocks all protocols for everyone, you'll lose the ability to fix the rules yourself. You'll need to call Microsoft Customer Service and Support, and they will create a rule that gives you remote PowerShell access from anywhere so you can fix your own rules. Note that it can take up to one hour for this new rule to take effect.

ベスト プラクティスは、リモート PowerShell へのアクセスを保持するための、最高の優先度のクライアント アクセス規則を作成することです。 例:

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

クライアント アクセス規則の認証の種類とプロトコル

クライアント アクセス 規則のすべてのプロトコルで、すべての認証の種類がサポートされているわけではありません。 プロトコルごとにサポートされる認証の種類は、次の表のとおりです。

プロトコル AdfsAuthentication BasicAuthentication CertificateBasedAuthentication NonBasicAuthentication OAuthAuthentication
ExchangeActiveSync 該当なし サポートされる サポートされる 該当なし サポートされる
ExchangeAdminCenter1 サポートされる サポートされる 該当なし 該当なし 該当なし
IMAP4 該当なし サポートされる 該当なし 該当なし サポートされる
OutlookWebApp サポート対象 サポートされる 該当なし 該当なし 該当なし
POP3 該当なし サポートされる 該当なし 該当なし サポートされる
RemotePowerShell 該当なし サポートされる 該当なし サポートされる 該当なし

1 このプロトコルは、従来の Exchange 管理センター (EAC) にのみ適用されます。

クライアント アクセス規則の条件と例外

クライアント アクセス規則内の条件と例外は、規則が適用されるクライアント接続と、規則が適用されないクライアント接続を識別します。 たとえば、Exchange ActiveSync クライアントによるアクセスを規則でブロックする場合に、特定の IP アドレス範囲からの Exchange ActiveSync 接続を許可するように規則を構成できます。 構文は条件と対応する例外で同じです。 唯一の違いは、条件は含めるクライアント接続を指定するのに対して、例外は除外するクライアント接続を指定することです。

次の表で、クライアント アクセス規則で使用可能な条件と例外について説明します。

Exchange Online の PowerShell の条件パラメーター Exchange Online の PowerShell の例外パラメーター 説明
AnyOfAuthenticationTypes ExceptAnyOfAuthenticationTypes 有効な値は次のとおりです。
  • AdfsAuthentication
  • BasicAuthentication
  • CertificateBasedAuthentication
  • NonBasicAuthentication
  • OAuthAuthentication

複数の値をコンマで区切って指定できます。 引用符は、すべての値を囲むのではなく ("value1,value2" とはしない)、個々の値を囲むように使用できます ("value1"、"value2")。
: を指定するExceptAnyOfAuthenticationTypesAnyOfAuthenticationTypes場合は、 も指定する必要があります。

AnyOfClientIPAddressesOrRanges ExceptAnyOfClientIPAddressesOrRanges IPv4 アドレスと IPv6 アドレスがサポートされています。 有効な値は次のとおりです。
  • 1 つの IP アドレス: 192.168.1.1 や 2001:DB8::2AA:FF:C0A8:640A など。
  • IP アドレス範囲: たとえば、192.168.0.1-192.168.0.254 または 2001:DB8::2AA:FF:C0A8:640A-2001:DB8::2AA:FF:C0A8:6414。
  • クラスレス Inter-Domain ルーティング (CIDR) IP: たとえば、192.168.3.1/24 または 2001:DB8::2AA:FF:C0A8:640A/64。

複数の値をコンマで区切って指定できます。

IPv6 アドレスと構文の詳細については、Exchange 2013 トピック「 IPv6 アドレスの基本」を参照してください。

AnyOfProtocols ExceptAnyOfProtocols 有効な値は次のとおりです。
  • ExchangeActiveSync
  • ExchangeAdminCenter1
  • ExchangeWebServices
  • IMAP4
  • OfflineAddressBook
  • OutlookAnywhere (MAPI over HTTP を含む)
  • OutlookWebApp (Web 上の Outlook)
  • POP3
  • PowerShellWebServices
  • RemotePowerShell
  • REST

複数の値をコンマで区切って指定できます。 個々の値 ("value1","value2") を引用符で囲むことができますが、すべての値を囲むわけではありません ("value1,value2" を使用しないでください)。
:規則でこの条件を使用しない場合、この規則はすべてのプロトコルに適用されます。

スコープ 該当なし 規則を適用する接続の種類を指定します。 有効な値は次のとおりです。
  • Users: 規則は、エンド ユーザー接続にのみ適用されます。
  • All: 規則は、すべての接続の種類 (エンド ユーザーと中間層アプリ) に適用されます。
UsernameMatchesAnyOfPatterns ExceptUsernameMatchesAnyOfPatterns テキストとワイルドカード文字 (*) を受け入れて、ユーザーのアカウント名を形式 <Domain>\<UserName> で識別します (たとえば、 contoso.com\jeff または *jeff*ではなく jeff*)。 英数字以外の文字にエスケープ文字は必要ありません。
複数の値をコンマで区切って指定できます。
UserRecipientFilter 該当なし OPath フィルター構文を使用して、規則を適用するユーザーを識別します。 たとえば、「 "City -eq 'Redmond'" 」のように入力します。 フィルター処理可能な属性は次のとおりです。
  • City
  • Company
  • CountryOrRegion
  • CustomAttribute1 から CustomAttribute15
  • Department
  • Office
  • PostalCode
  • StateOrProvince
  • StreetAddress
    検索条件は構文"<Property> -<Comparison operator> '<Value>'"を使用します。
  • <Property> はフィルター処理が可能なプロパティです。
  • -<Comparison Operator> は OPATH の比較演算子です。 たとえば -eq 、完全一致 (ワイルドカードはサポートされていません) や -like 文字列比較 (プロパティ値に少なくとも 1 つのワイルドカードが必要) の場合などです。 比較演算子の詳細については、「about_Comparison_Operators」を参照してください。
  • <Value> はプロパティの値です。 スペースの有無にかかわらず、またはワイルドカード (*) の値を引用符で囲む必要があります (例: '<Value>' または '*<Value>')。 システム値 $null で引用符を使用しないでください (空白の値の場合)。

論理演算子 -and および -or を使用すると、複数の検索条件を連結することができます。 たとえば、"<Criteria1> -and <Criteria2>" または "(<Criteria1> -and <Criteria2>) -or <Criteria3>" です。 OPATH フィルター構文の詳細については、「 その他の OPATH 構文情報」を参照してください。

1 このプロトコルは、従来の Exchange 管理センター (EAC) にのみ適用されます。