本記事に記載の内容は、
「Exchange - モバイルデバイスで利用可能なOutlookから接続された場合に検疫を行う方法」に関する内容となっています。
ぜひ参考にしてください。
目次
Exchange Online - モバイルデバイスの検疫とは
スマートフォン 向け(iOS/Android)で配信されている、OutlookアプリケーションからExchange Onlineに接続してきた際に一時的に送受信を制限し管理者が許可しない限り、スマートフォン向けのOutlookアプリケーションを利用して送受信を出来ないようにする機能です。
管理者により許可された場合、利用者がExchange Onlineに接続を試みたスマートフォンでは Outlookアプリケーションを利用したメールの送受信が可能になります。
許可せず放置したり、拒否した場合は送受信が不可能となります。
この許可/拒否は端末ごとに設定することになるので、複数端末利用する場合には都度承認が必要になります。
モバイルデバイス検疫 と条件付きアクセスを比較した時のメリット と デメリット
モバイルデバイスの検疫を条件付きアクセスと比較した際のメリットとデメリットを記載します。
モバイルデバイス アクセス (検疫) のメリット
- 必要なライセンスは、Exchange Online P1 or Exchange Online P2 で良い
- Exchange 管理センター で管理が出来るため、複数管理画面を参照する必要がない
- 検疫を設定した場合、必ずスマートフォンのOutlookにて送受信できない状態にすることが出来る
- 利用者が、スマートフォンでOutlookを立ち上げるだけで制限の対象になる
- 管理者が必要と感じたタイミングで、承認すれば良い
モバイルデバイス アクセス (検疫) のデメリット
- 検疫を設定した場合、必ず送受信できない状態が発生し利用者が困惑する
- 条件付きアクセスと違い、検疫するかしないかの2択しかなく柔軟な制御が不可能
- 許可 または 拒否したデバイスを管理画面上で一覧表示できない
PowerShellを使うことで確認可能 - 検疫されたデバイス確認した時に参照できる情報が少なく、
利用者と連携しないと許可 または 拒否するデバイスが確定できない - 許可したデバイスを途中で拒否することが出来ない
(利用者に協力してもらいOutlookの再セットアップをして貰うことで可能)
Exchange Online - モバイルデバイスの検疫設定 手順
Enterprise Mobility + SecurityのライセンスやAzure AD Premiumのライセンスが必要無いのは大きいメリットですよね。
上記メリットとデメリットをご参考頂いたうえで、設定をしよう!と考えた方は
以下手順で設定を進めてみてください。
モバイルデバイスの検疫を開始する方法
- Exchange 管理センターに接続します。
※新しいExchange 管理センターに接続されている場合は、
従来のExchange 管理センターに接続してください。 - 画面左側のメニューにある[モバイル]をクリックします。
開かれた画面の[モバイル デバイス アクセス]が選択されていることを確認します。
画面右側にある[編集]をクリックします。![左側のメニューにある[モバイル]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAzQAAAMaAQAAAAB4rz6cAAAAAnRSTlMAAHaTzTgAAABmSURBVBgZ7cExAQAAAMIg+6febwZgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAnQp8AAartL5MAAAAASUVORK5CYII=)
- 検疫を開始する場合は、以下設定を行い、[保存]をクリックします。
- 接続の設定:[検疫:ブロックまたは許可の判断を後で行う]
- 検疫通知のメールメッセージ:スマートフォンが検疫されたときに通知を受け取りたいアカウント
![検疫を開始する場合は、以下設定を行い、[保存]](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAk4AAAIzAQAAAADenqtHAAAAAnRSTlMAAHaTzTgAAABASURBVHja7cEBDQAAAMKg909tDjegAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIAbA6TxAAHKDKSqAAAAAElFTkSuQmCC)
![左側のメニューにある[モバイル]をクリック](https://kurataku.com/wp-content/uploads/2022/03/5e49eeacd9ba97dc31451c1be1b97951.png)
![検疫を開始する場合は、以下設定を行い、[保存]](https://kurataku.com/wp-content/uploads/2022/03/0245dce036128e23c4c27017dfef47a0.png)
モバイルデバイスが検疫されたときに許可する方法
検疫されたデバイスの詳細情報を確認する
- 検疫されたデバイスをダブルクリックするか、クリックした後に編集ボタンをクリックします。
※以下画面だけでも、ユーザー名や利用アプリケーション、OS、接続時間を確認することが可能です。
- 以下画面が表示されるので、必要な情報が表示されていれば
その情報を元に検疫されたデバイスを許可するか拒否するか確定させます。
検疫されたデバイスを許可する
デバイスが検疫されてくると、検疫画面にデバイスが表示されます。
許可をしたい場合、検疫画面に表示されたデバイスをクリックして、許可ボタンをクリックします。
スマートフォン側では、1時間程度すると受信トレイが確認できるようになり送受信可能になります。
さいごに・・・
条件付きアクセスに比べると利便性は落ちますが、費用面を考えるとかなり節約できる機能です。
Azure AD Premiumを導入するのはちょっと・・・という方は、1度本機能の導入をご検討頂くと良いかもしれません。
ただ。。。スマートフォンしか制限できないためセキュリティ面を考える場合は、条件付きアクセスの導入をお勧めします。
Azure AD Premiumを導入した時のメリットは計り知れないので
他に何が出来るか。を考えたうえで条件付きアクセス以外でのセキュリティ/利便性向上も検討してみてください。
-
-
AADAP - Azure AD Application Proxy で社内Webアプリケーションを公開する
続きを見る
-
-
Azure AD - 条件付きアクセス でセキュアな運用
続きを見る
-
-
Microsoft 365 - 不正アクセス を検知
Microsoft 365 の ユーザーアカウントやパスワードが流出してしまった場合や、パスワードアタックを受け突破されてしまった場合に、流出/突破されたアカウント情報を利用して悪意のあるユーザーから ...
続きを見る
