PowerShell 経由のメールアクセス制御の設定

スタンドアロンの EAS プロキシを PowerShell モードで設定すると、PowerShell 経由で Exchange メールサーバーに接続し、デバイスのコンプライアンス状態に基づいてメールアクセスを設定します。

PowerShell モードでは、メールトラフィックはプロキシなしで Exchange メールサーバーからデバイスに直接送信されます。通信フローに関する図は、「Sophos Mobile テクニカルガイド」を参照してください。

PowerShell モードの利点:

  • Sophos Mobile サーバーで、デバイスからの受信メールトラフィックに対してポートを開放する必要がありません。
  • Sophos Mobile に未登録のデバイスによるメールアクセスを阻止することができます。

Exchange メールサーバーは、オンプレミス版の Exchange Server、または Office 365 の一部である Exchange Online のいずれかです。対応しているバージョンは次のとおりです

  • Exchange Server 2013
  • Exchange Server 2016
  • Office 365 (Exchange Online プランを含む)
制約事項: macOS は ActiveSync プロトコルに対応していないため、Mac によるメールアクセスを、PowerShell を使用して制御することはできません。

PowerShell 経由でメールアクセス制御を設定するには、次の手順を実行します。

PowerShell の設定

  1. オプション: 必要に応じて、EAS プロキシをインストールするコンピュータに Windows PowerShell をインストールします。
  2. 管理者権限で PowerShell を開き、次のコマンドを実行します。
    Set-ExecutionPolicy RemoteSigned

Exchange Server の場合は、追加の設定が必要です。

  1. Exchange 管理シェルを開きます。
  2. PowerShell 実行ポリシーを設定します。
    Set-ExecutionPolicy RemoteSigned
  3. PowerShell 仮想ディレクトリの名前を取得します。
    Get-PowerShellVirtualDirectory -Server <サーバー名>

    <サーバー名> は、Exchange Server がインストールされているコンピュータの名前です。

    標準インストールでは、PowerShell 仮想ディレクトリは PowerShell (Default Web Site) です。

  4. PowerShell 仮想ディレクトリに基本認証を設定します。
    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true

サービスアカウントの作成

サービスアカウントは、PowerShell コマンドの実行に Sophos Mobile が使用する、Exchange メールサーバー上の特別なユーザーアカウントです。

  1. 該当する管理コンソールにサインインします。
    • Exchange Server の場合: Exchange 管理者センター
    • Exchange Online の場合: Office 365 管理者センター
  2. ユーザーアカウントを作成します。
    • smc_powershell など、アカウントの用途を明確にするユーザー名を使用します。
    • ユーザーが次回ログオンした際にパスワードの変更を要求する設定をオフにします。
    • 新しいアカウントに、自動的に割り当てられた Office 365 のライセンスを削除します。サービスアカウントにライセンスは必要ありません。
  3. 新しいロールグループを作成して、必要なパーミッションを許可します。
    • smc_powershell などのようなロールグループ名を使用します。
    • Mail Recipients」(メール受信者) ロールおよび「Organization Client Access」(組織クライアントアクセス) ロールを追加します。
    • ユーザーアカウントをメンバーとして追加します。

PowerShell 接続の設定

  1. スタンドアロンの EAS プロキシをインストールするのと同様に、セットアップアシスタントを使用します。「EAS Proxy instance setup」(EAS プロキシ インスタンスのセットアップ) ページで次の設定を行います。
    • Instance type: 「PowerShell Exchange/Office 365」を選択します。
    • Instance name: インスタンスの識別に使用される名前。
    • Exchange server: Exchange Server の場合は、サーバーの名前や IP アドレスを入力します。

      Exchange Online の場合、グローバル Office 365 サービスを使用している場合は、outlook.office365.com と入力します。Office 365 Germany など、他のサービスを使用している場合は、Microsoft の文章、Exchange Online PowerShell に接続するでアドレスを参照してください。

      名前にプロトコル「https://」やサフィックス「/powershell-liveid」は指定しないでください。これは、セットアップウィザードによって自動的に追加されます。

    • Allow all certificates: EAS プロキシはサーバー証明書を検証しません。Exchange Server を自己署名証明書とともに使用している場合などは、このオプションを選択してください。
      警告: この設定によって、メールサーバー接続のセキュリティが低下します。 ネットワーク環境で必要な場合のみに選択してください。
    • Service account: Exchange Server や Exchange Online 管理コンソールで作成したユーザーアカウントの名前。
    • Password: ユーザーアカウントのパスワード。
  2. Add」(追加) をクリックして、「Instances」(インスタンス) リストにインスタンスを追加します。
  3. PowerShell を使用して他の Exchange Server のインスタンスに接続するには、上記の手順を繰り返します。
  4. セットアップを完了します。
  5. オプション: 必要に応じて、EAS プロキシが Exchange Server や Exchange Online への接続に使用するプロキシサーバーを設定します。EAS プロキシをインストールしたコンピュータで、「管理者として実行」オプションを使用してコマンドプロンプトを開き、次のコマンドを入力します。

    netsh winhttp set proxy <サーバー名または IP>:<ポート>

    警告: このコマンドによって、システム全体のプロキシが設定されます。コンピュータで実行されている他のプログラムにも影響を与える可能性があります。

PowerShell 証明書のアップロード

PowerShell を使用した Sophos Mobile への接続の証明書をアップロードします。

  1. Sophos Central Admin にサインインして、「モバイル」を参照します。
  2. サイドバーのメニューの「設定」の下の「セットアップ > Sophos セットアップ」をクリックし、「EAS プロキシ」タブをクリックします。
  3. オプション: 全般」で、「Sophos Secure Email に制限」を選択して Android および iOS 向けの Sophos Secure Email アプリへのメールアクセスを制限します。
  4. 外部サーバー」で、「ファイルのアップロード」をクリックします。設定中に作成した証明書をアップロードします。

    インスタンスを複数設定した場合は、各インスタンスの証明書についてもこの手順を繰り返します。

  5. 保存」をクリックします。
  6. Windows で「サービス」ダイアログを開いて、「EASProxy」サービスを起動します。