PowerShell 経由のメールアクセス制御の設定
Sophos Mobile EAS プロキシを PowerShell モードで設定すると、PowerShell 経由で Exchange メールサーバーに接続し、デバイスのコンプライアンス状態に基づいてメールアクセスを設定します。
制限事項
macOS は ActiveSync プロトコルに対応していないため、Mac によるメールアクセスを、PowerShell を使用して制御することはできません。
PowerShell モードには、プロキシモードに比べて次のようなメリットがあります。
- デバイスは、Exchange メールサーバーと直接通信します。
- メールトラフィックが Sophos Mobile EAS プロキシを通過する必要がないため、ファイアウォールで受信メール用のポートを開く必要はありません。
- 管理下にないデバイスのメールアクセスをブロックすることができます。
- PowerShell モードは Exchange Online および Exchange Server をサポートしますが、プロキシモードは Exchange Server のみをサポートします。
通信フローに関する図は、EAS プロキシのアーキテクチャの例を参照してください。
Exchange メールサーバーは、Exchange Server、または Microsoft 365 の一部である Exchange Online のいずれかです。対応しているバージョンは次のとおりです
- Exchange Server 2016
- Exchange Server 2019
- Microsoft 365 (Exchange Online プランを含む)
PowerShell 経由でメールアクセス制御を設定するには、次の手順を実行します。
PowerShell の設定
-
任意: 必要に応じて、EAS プロキシをインストールするコンピュータに Windows PowerShell をインストールします。
詳細は、Microsoft ドキュメント、Windows への PowerShell のインストールを参照してください。
-
管理者権限で PowerShell を開き、次のコマンドを実行します。
Set-ExecutionPolicy RemoteSigned
オンプレミスの Exchange Server がある場合は、次の手順を実行します。
-
Exchange 管理シェルを開きます。
詳細は、Exchange 管理シェルを開くを参照してください。
-
PowerShell 実行ポリシーを設定します。
Set-ExecutionPolicy RemoteSigned
-
PowerShell 仮想ディレクトリの名前を取得します。
Get-PowerShellVirtualDirectory -Server <サーバー名>
<server name>
は、Exchange Server がインストールされているコンピュータの名前です。標準インストールでは、PowerShell 仮想ディレクトリは
PowerShell (Default Web Site)
です。 -
PowerShell 仮想ディレクトリに基本認証を設定します。
Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true
サービスアカウントの作成
サービスアカウントは、PowerShell コマンドの実行に Sophos Mobile が使用する、Exchange メールサーバー上の特別なユーザーアカウントです。
-
Web ブラウザで Exchange 管理センターを開きます。
-
Exchange Server の場合:
https://<ServerFQDN>/ecp
<ServerFQDN>
は、Exchange サーバーの完全修飾ドメイン名です。 -
Exchange Online の場合:
https://admin.exchange.microsoft.com
-
-
ユーザーアカウントを作成します。
smc_powershell
など、アカウントの用途を明確にするユーザー名を使用します。- ユーザーが次回ログオンした際にパスワードの変更を要求する設定をオフにします。
- 新しいアカウントに自動的に割り当てられた Microsoft 365 のライセンスを削除します。サービスアカウントにライセンスは必要ありません。
-
新しいロールグループを作成して、必要なパーミッションを許可します。
smc_powershell
などのようなロールグループ名を使用します。- 「Mail Recipients」(メール受信者) ロールおよび「Organization Client Access」(組織クライアントアクセス) ロールを追加します。
- ユーザーアカウントをメンバーとして追加します。
PowerShell 接続の設定
-
EAS プロキシをインストールするのと同様に、セットアップアシスタントを使用します。「EAS Proxy instance setup」(EAS プロキシ インスタンスのセットアップ) ページで次の設定を行います。
- Instance type: 「PowerShell Exchange/Office 365」を選択します。
- Instance name: インスタンスの識別に使用される名前。
-
Exchange server: Exchange Server の場合は、サーバーの名前や IP アドレスを入力します。
Exchange Online の場合、グローバル Microsoft 365 サービスを使用している場合は、
outlook.office365.com
と入力します。Office 365 Germany など、他のサービスを使用している場合は、Connect-ExchangeOnline で-ConnectionUri
パラメータの値を参照してください。名前にプロトコル「
https://
」やサフィックス「/powershell-liveid
」は指定しないでください。これは、セットアップアシスタントによって自動的に追加されます。 -
Allow all certificates: EAS プロキシはサーバー証明書を検証しません。Exchange Server を自己署名証明書とともに使用している場合などは、このオプションを選択してください。
警告
この設定によって、メールサーバー接続のセキュリティが低下します。ネットワーク環境で必要な場合のみに選択してください。
-
Service account: Exchange Server や Exchange Online 管理コンソールで作成したユーザーアカウントの名前。
- Password: ユーザーアカウントのパスワード。
-
「Add」(追加) をクリックして、「Instances」(インスタンス) リストにインスタンスを追加します。
- PowerShell を使用して他の Exchange Server のインスタンスに接続するには、上記の手順を繰り返します。
- セットアップを完了します。
-
任意: 必要に応じて、EAS プロキシが Exchange Server や Exchange Online への接続に使用するプロキシサーバーを設定します。EAS プロキシをインストールしたコンピュータで、「管理者として実行」オプションを使用してコマンドプロンプトを開き、次のコマンドを入力します。
netsh winhttp set proxy <サーバー名または IP>:<ポート>
警告
このコマンドによって、システム全体のプロキシが設定されます。コンピュータで実行されている他のプログラムにも影響を与える可能性があります。
設定アシスタントの詳細は、Sophos Mobile EAS プロキシのインストールを参照してください。
PowerShell 証明書のアップロード
PowerShell を使用した Sophos Mobile への接続の証明書をアップロードします。
- Sophos Central Admin で、「マイ プロダクト > モバイル」に移動します。
- サイドバーのメニューの「セットアップ > Sophos セットアップ」をクリックし、「EAS プロキシ」タブをクリックします。
-
「外部サーバー」で、「ファイルのアップロード」をクリックします。設定中に作成した証明書をアップロードします。
インスタンスを複数設定した場合は、各インスタンスの証明書についてもこの手順を繰り返します。
-
「保存」をクリックします。
- Windows で「サービス」ダイアログを開いて、「EASProxy」サービスを起動します。