Exchange Server を対象とする、iOS および Android 用の Outlook でのデバイスの管理
重要
Outlook for iOS および Android では、オンプレミスメールボックスのハイブリッドモダン認証がサポートされており、基本認証を利用する必要がなくなります。 この記事に含まれる情報は、基本認証にのみ関連します。 詳細については、「 iOS および Android 用の Outlook でのハイブリッドモダン認証の使用」を参照してください。
Microsoft では、オンプレミス環境の Exchange メールボックスへのアクセスに使用するモバイル デバイスを管理するために、Exchange ActiveSync を推奨しています。 Exchange ActiveSync は、Microsoft Exchange を実行しているサーバー上の組織の情報に携帯電話がアクセスすることを可能にする Microsoft Exchange の同期プロトコルです。
この記事では、基本的な認証を使用して認証する際に、Outlook for iOS と Android を実行するモバイル デバイスの特定のExchange ActiveSync機能とシナリオについて説明します。 Microsoft Exchange の同期プロトコルの詳細については、Exchange ActiveSync でご確認いただけます。 さらに、「 Office ブログ」では、iOS および Android 用の Outlook を実行するデバイスで Exchange ActiveSync を使用した場合のパスワードの適用とその他のメリットを詳細に説明しています。
モバイル デバイスのメールボックス ポリシー
Outlook for iOS および Android では、Exchange オンプレミスで次のモバイル デバイス メールボックス ポリシー設定がサポートされています。
デバイスの暗号化が必要
最小パスワード長 (Android の場合のみ)
パスワード有効
Bluetooth を許可する (Outlook for Android ウェアラブル アプリの管理に使用)
AllowBluetooth が有効になっている (既定の動作) または HandsfreeOnly 用に構成されている場合、Android デバイス上の Outlook とウェアラブル上の Outlook の間のウェアラブル同期は、職場または学校のアカウントで許可されます。
AllowBluetooth が無効になっている場合、Outlook for Android は、Android デバイス上の Outlook と、指定された職場または学校アカウントのウェアラブル版 Outlook との間の同期を無効にします (以前にアカウント用に同期されたデータはすべて削除されます)。 同期を無効にすることは、Outlook 自体内で完全に制御されます。Bluetooth はデバイスまたはウェアラブルで無効にされず、その他のウェアラブル アプリの影響を受けることもありません。
注:
Outlook for Android では、8 月末から AllowBluetooth 設定のサポートがロールアウトされます。
既存のモバイル デバイス メールボックス ポリシーを作成または変更する方法については、「 モバイル デバイス メールボックス ポリシー」を参照してください。
PIN ロックとデバイスの暗号化
組織の Exchange ActiveSync ポリシーが、ユーザーが電子メールを同期するためにモバイル デバイスのパスワードを必要とする場合は、Outlook はこのポリシーをデバイス レベルで適用します。 この動作は、Apple と Google で提供される使用可能な制御に基づき、iOS デバイスと Android デバイスでは異なります。
IOS デバイスでは、Outlook はパスコードまたは PIN が適切に設定されていることを確認します。 パスコードが設定されていない場合、Outlook は、iOS 設定でパスコードを作成するようユーザーにメッセージを表示します。 パスコードがセットアップされるまで、ユーザーは iOS 用 Outlook にアクセスできません。
Android デバイスでは、Outlook は画面ロックの規則を適用します。 また、Google は、パスワードの長さと複雑さ、および電話をワイプする前に許容される画面ロック解除の試行回数に関する Exchange ポリシーに Android 用 Outlook が従うようにする制御を提供します。 Android 用 Outlook はストレージの暗号化も推奨し (有効になっていない場合)、ステップ バイ ステップ チュートリアルを使用して、ユーザーにこのプロセスの手順をガイドします。
これらのパスワード セキュリティ設定をサポートしていない iOS と Android デバイスは、Exchange メールボックスに接続できません。
デバイスの暗号化
iOS デバイスには組み込みの暗号化が付属しており、パスコードが有効になると、Outlook は iOS デバイス上のすべてのデータ Outlook ストアをローカルで暗号化するために使用します。 そのため、PIN を持つ iOS デバイスは、これが ActiveSync ポリシーで必要かどうかに関係なく暗号化されます。
Outlook for Android では、Exchange モバイル デバイス メールボックス ポリシーを使用したデバイス暗号化がサポートされています。 ただし、Android 7.0 より前のバージョンでは、このプロセスの可用性と実装は、Android OS のバージョンとデバイスの製造元によって異なります。これにより、ユーザーは暗号化プロセス中にキャンセルできます。 Google が Android 7.0 に導入した変更により、Outlook for Android は Android 7.0 以降を実行しているデバイスで暗号化を適用できるようになりました。 これらのオペレーティング システムを実行しているデバイスを持つユーザーは、暗号化プロセスを取り消すことができません。
Android デバイスが暗号化されておらず、攻撃者がデバイスを所持している場合でも、デバイスの PIN が有効になっている限り、Outlook データベースにはアクセスできません。 これは、USB デバッグが有効になっていて、Android SDK がインストールされている場合にも該当します。 攻撃者がこの情報にアクセスするために PIN をバイパスするようにデバイスをルート化しようとすると、ルート化プロセスはすべてのデバイス ストレージをワイプして、すべての Outlook データを削除します。 デバイスが盗まれる前に、ユーザーによってデバイスの暗号化の解除とルート化が行われている場合、攻撃者はデバイスの USB デバッグを有効にし、Android SDK がインストールされているコンピューターにデバイスを接続することによって、Outlook データベースにアクセス可能になります。
Exchange ActiveSync でのリモート ワイプ
Exchange ActiveSyncを使用すると、管理者はデバイスが侵害されたり紛失したり盗まれたりした場合など、デバイスをリモートでワイプできます。 Outlook for iOS と Android では、リモート ワイプでは Outlook アプリ自体内のデータのみがワイプされ、デバイス全体のワイプはトリガーされません。
詳細については、「 携帯電話でリモート ワイプを実行 する」を参照してください。
デバイス アクセス ポリシー
Outlook for iOS と Android は既定で有効にする必要がありますが、一部の既存の Exchange オンプレミス環境では、さまざまな理由でアプリがブロックされる可能性があります。 組織が Exchange データへのアクセス方法を標準化し、エンド ユーザーの唯一のメール アプリとして Outlook for iOS と Android を使用することを決定したら、ユーザーの iOS および Android デバイスで実行されている他の電子メール アプリのブロックを構成できます。 Exchange オンプレミス内でこれらのブロックを作成するための 2 つのオプションがあります。最初のオプションはすべてのデバイスをブロックし、iOS と Android 用の Outlook の使用のみを許可します。2 番目のオプションを使用すると、個々のデバイスがネイティブ Exchange ActiveSync アプリを使用できないようにブロックできます。
注:
デバイス ID は 物理デバイス ID によって管理されないため、予告なく変更される可能性があります。 この場合、既存の "許可" デバイスが Exchange によって予期せずブロックまたは検疫される可能性があるため、デバイス ID をユーザー デバイスの管理に使用すると、意図しない結果が発生する可能性があります。 そのため、管理者は、デバイスの種類またはデバイス モデルに基づいてデバイスを許可またはブロックするモバイル デバイス アクセス ポリシーのみを設定することをお勧めします。
オプション 1: iOS および Android 用の Outlook 以外のすべての電子メール アプリをブロックする
既定のブロック規則を定義し、次の Exchange オンプレミス PowerShell コマンドを使用して、Outlook for iOS と Android、および Windows デバイスの許可規則を構成できます。 この設定によって、Exchange ActiveSync ネイティブ アプリは接続ができなくなり、Outlook for iOS と Outlook for Android のみが許可されるようになります。
既定のブロック規則を作成します。
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel BlockOutlook for iOS と Outlook for Android 用の許可規則を作成します。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow省略可能: Outlook on Windows デバイスでExchange ActiveSync接続を許可するルールを作成します (WindowsMail は、Windows 10に含まれるメール アプリを参照します)。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
オプション 2:Android デバイスおよび iOS デバイス上のネイティブ Exchange ActiveSync アプリをブロックする
別の方法として、特定の Android デバイスと iOS デバイス、または他の種類のデバイス上で、ネイティブの Exchange ActiveSync アプリをブロックすることもできます。
Outlook for iOS と Outlook for Android をブロックする Exchange ActiveSync デバイス アクセス規則が設定されていないことを確認してください。
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -autoOutlook for iOS と Outlook for Android をブロックするデバイス アクセス規則がある場合、次のコマンドを実行して削除してください。
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRuleほとんどの Android デバイスと iOS デバイスでは、次のコマンドを使用してブロックできます。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel BlockAndroid デバイス製造元のすべてが DeviceType として「Android」を指定しているわけではありません。 製造元により、リリースごとに固有の値が指定されている可能性もあります。 ご使用の環境にアクセスしている他の Android デバイスを検出するため、以下のコマンドを実行して、アクティブな Exchange ActiveSync パートナーシップを持つすべてのデバイスのレポートを生成してください。
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv手順 3 の結果に基づいて、さらにブロック規則を作成します。 たとえば、ご使用の環境において HTCOne Android デバイスが非常に多く使用されていることがわかる場合、その特定のデバイスをブロックする Exchange ActiveSync デバイス アクセス規則を作成して、ユーザーに強制的に Outlook for iOS と Outlook for Android を使用させることができます。 この例の場合、次のように入力できます。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
注:
QueryString パラメーターには、ワイルドカードや部分一致は使用できません。
その他の技術情報:
iOS および Android 用の Outlook のブロック
どの Exchange 組織にも、セキュリティやデバイスの管理に関するそれぞれ異なったポリシーがあります。 Outlook for iOS および Outlook for Android が組織のニーズを満たさない、または最適なソリューションではないと判断する場合、管理者はこのアプリをブロックできます。 このアプリをブロックしても、組織内の Exchange モバイル ユーザーは iOS および Android 上の組み込みの電子メール アプリケーションを使用して自分のメールボックスに引き続きアクセスできます。
New-ActiveSyncDeviceAccessRuleコマンドレットにはCharacteristicパラメーターがあり、管理者が Outlook for iOS と Android アプリをブロックするために使用できる 3 つのCharacteristicオプションがあります。 3 つのオプションとは、 UserAgent、DeviceModel、DeviceType です。 次のセクションで取り上げる 2 つのブロック オプションでは、1 つ以上の特性値を使用して Outlook for iOS と Outlook for Android による組織内のメールボックスへのアクセスを制限します。
それぞれの特性値については、次の表で説明します。
| 特性 | iOS の文字列 | Android の文字列 |
|---|---|---|
| DeviceModel | iOS 版および Android 版 Outlook | iOS 版および Android 版 Outlook |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS-Android/1.0 | Outlook-iOS-Android/1.0 |
コマンドレットをNew-ActiveSyncDeviceAccessRule使用すると、 または DeviceType 特性を使用して、デバイス アクセス規則をDeviceModel定義できます。 どちらの特性の場合も、アクセス規則により Outlook for iOS と Outlook for Android がすべてのプラットフォームでブロックされ、iOS プラットフォームと Android プラットフォームのすべてのデバイスがこのアプリを介して Exchange メールボックスにアクセスできなくなります。
デバイス アクセス規則の例を次に 2 つ示します。 最初の例では 特性を使用し DeviceModel 、2 番目の例では 特性を DeviceType 使用します。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block