スタンドアロン型 EAS プロキシのインストール

前提条件:
  • 必要なすべてのメールサーバーにアクセスできること。EAS プロキシのインストーラでは、アクセスできないサーバーへの接続は設定されません。
  • EAS プロキシをインストールするコンピュータで管理者権限があること。
  • Sophos Mobile サーバーの URL がわかっていること。詳細は、Sophos Mobile サーバー URL の確認を参照してください。
注:Sophos Mobile サーバー導入ガイド (英語)」には、スタンドアロン型 EAS プロキシを企業のインフラに統合するアーキテクチャの例が掲載されています。スタンドアロン ESA プロキシのインストールと導入を行う前に、同ガイドを参照することをお勧めします。
  1. Sophos Mobile EAS Proxy Setup.exe を実行して、「Sophos Mobile EAS Proxy - Setup Wizard」(Sophos Mobile EAS プロキシ - セットアップウィザード) を起動します。
  2. Choose Install Location」(インストール先の選択) ページでインストール先フォルダを選択して、「Install」(インストール) をクリックしてインストールを開始します。
    インストールが完了すると、「Sophos Mobile EAS Proxy - Configuration Wizard」(Sophos Mobile EAS プロキシ - 設定ウィザード) が自動的に起動されるので、指示に従って設定を行います。
  3. Sophos Mobile server configuration」(Sophos Mobile サーバーの設定) ダイアログで、EAS プロキシが接続する Sophos Mobile サーバーの URL を入力します。

    必要に応じて「Use proxy server」(プロキシサーバーの使用) を選択して、EAS プロキシが Sophos Mobile サーバーへの接続に使用するプロキシサーバーを設定します。

    また、「Use SSL for incoming connections (Clients to EAS Proxy)」(クライアントから EAS プロキシへの受信接続に SSL を使用) を選択して、クライアントと EAS プロキシ間の通信をセキュリティで保護してください。

    また、任意で、「Use client certificates for authentication」(認証にクライアント証明書を使用) を選択して、クライアントが、EAS プロキシのアカウント情報のほかに証明書を使用して認証するように設定することもできます。これによって、接続のセキュリティが強化されます。

  4. Use SSL for incoming connections (Clients to EAS Proxy)」(クライアントから EAS プロキシへの受信接続に SSL を使用) を選択している場合は、「Configure server certificate」(サーバー証明書の設定) ページが表示されます。このページでは、EAS プロキシへの安全なアクセス (HTTPS) に必要な証明書を作成またはインポートします。
    • 信頼できる証明書がない場合は、「Create self-signed certificate」(自己署名証明書の作成) を選択します。
    • 信頼できる証明書がある場合は、「Import a certificate from a trusted issuer」(信頼できる発行元からの証明書をインポート) をクリックして、リストから次のいずれかのオプションを選択します。
      • PKCS12 with certificate, private key and certificate chain (intermediate and CA)
      • Separate files for certificate, private key, intermediate and CA certificate
  5. 次に表示されるページで、選択した証明書の種類に応じて該当する証明書情報を入力します。
    注: 自己署名証明書の場合は、クライアントデバイスからアクセス可能なサーバーを指定する必要があります。
  6. Use client certificates for authentication」(クライアントから EAS プロキシへの受信接続に SSL を使用) を選択している場合は、「SMC client authentication configuration」(サーバー証明書の設定) ページが表示されます。このページでは、認証局 (CA) からの証明書を選択します。クライアント証明書はこの証明書から生成されます。
    クライアントが接続を試行すると、クライアントの証明書が、ここで指定した CA から生成された証明書かどうかが、EAS プロキシによってチェックされます。
  7. EAS Proxy instance setup」(EAS プロキシ インスタンスのセットアップ) ページで、1つまたは複数の EAS プロキシのインスタンスを設定します。
    • Instance type (Secure Email から送信される EWS サブスクリプションのリクエストの許可): 「EAS proxy」を選択します。
    • Instance name: インスタンスの識別に使用される名前。
    • Server port (Secure Email から送信される EWS サブスクリプションのリクエストの許可): 受信メールトラフィック用の EAS プロキシのポート。複数のプロキシのインスタンスを設定する場合は、各インスタンスに対して異なるポートを指定する必要があります。
    • Require client certificate authentication (Secure Email から送信される EWS サブスクリプションのリクエストの許可): メールクライアントは、EAS プロキシに接続する際に認証が必要です。
    • ActiveSync server (Secure Email から送信される EWS サブスクリプションのリクエストの許可): プロキシのインスタンスが接続する Exchange ActiveSync サーバーのインスタンスの名前や IP アドレス。
    • SSL (Secure Email から送信される EWS サブスクリプションのリクエストの許可): プロキシのインスタンスと Exchange ActiveSync サーバー間の通信は、SSL または TLS (サーバーの対応状況に依存) で保護されます。
    • Allow EWS subscription requests from Secure Email (Secure Email から送信される EWS サブスクリプションのリクエストの許可): このオプション選択して、iPhone および iPad 上の Sophos Secure Email アプリが、EWS (Exchange Web Service) 経由のプッシュ通知に登録できるようにします。プッシュ通知は、Sophos Secure Email に関するメッセージを受け取るとデバイスに通知を表示します。
      注:
      • セキュリティ上の理由から、EAS プロキシは、Exchange サーバーの EWS インターフェースへのリクエストすべてをデフォルトでブロックします。このチェックボックスを選択すると、サブスクリプションのリクエストが許可されます。それ以外のリクエストのブロックは解除されません。
      • Exchange サーバーの EWS を設定する方法について詳細は、ソフォスのサポートデータベースの文章 127137 を参照してください。
    • Enable Traveler client access (Secure Email から送信される EWS サブスクリプションのリクエストの許可): このチェックボックスは、iOS 以外のデバイス上の IBM Notes Traveler クライアントにアクセスを許可する必要がある場合のみに選択します。
  8. インスタンス情報を入力して、「Add」(追加) をクリックしてインスタンスを「Instances」(インスタンス) リストに追加します。
    各プロキシのインスタンスに対して、Sophos Mobile サーバーにアップロードが必要な証明書がインストーラによって作成されます。「Add」(追加) をクリックすると、証明書のアップロード方法を説明するメッセージウィンドウが表示されます。
  9. メッセージウィンドウで、「OK」をクリックします。
    これによって、証明書の作成先フォルダがダイアログに表示されます。
    注: このダイアログは、該当するインスタンスを選択して、「EAS Proxy instance setup」(EAS プロキシ インスタンスのセットアップ) ページの「 Export config and upload to Sophos Mobile server」(設定をエクスポートして SMC にアップロード) リンクをクリックしても表示できます。
  10. 証明書フォルダの詳細をメモします。この情報は、証明書を Sophos Mobile へアップロードする際に必要になります。
  11. オプション: Add」(追加) を再クリックして、EAS プロキシの追加インスタンスを設定します。
  12. 必要な EAS プロキシのインスタンスすべてを設定したら、「Next」(次へ) をクリックします。
    入力したサーバーポートがテストされ、Windows ファイアウォールの受信の規則が設定されます。
  13. Allowed mail user agents」(許可するメール ユーザー エージェント) ページで、EAS プロキシへの接続が許可されているメール ユーザー エージェント (つまり、メール クライアント アプリケーション) を指定します。クライアントが、ここで指定されていないメールアプリケーションを使用して EAS プロキシにが接続しようとすると、要求は拒否されます。
    • すべてを許可する場合は、「Allow all mail user agents」(すべてのメール ユーザー エージェントを許可する) を選択します。
    • Only allow the specified mail user agents」(指定したメール ユーザー エージェントのみを許可する) を選択して、一覧からメール ユーザー エージェントを選択します。「Add」(追加) をクリックして、許可するエージェントの一覧に追加します。EAS プロキシへの接続を許可するメール ユーザー エージェントすべてに対して、この手順を繰り返します。
  14. Sophos Mobile EAS Proxy - Configuration Wizard finished」(Sophos Mobile EAS Proxy - 設定ウィザードが完了しました) ページで、「Finish」(完了) をクリックして設定ウィザードを閉じて、セットアップウィザードに戻ります。
  15. セットアップウィザードで、「Start Sophos Mobile EAS Proxy server now」(Sophos Mobile EAS プロキシサーバーを今すぐ起動) が選択されていることを確認した後、「Finish」(完了) をクリックして設定を完了し、EAS プロキシを初回起動してください。

EAS プロキシの設定を完了するには、各プロキシのインスタンスに対して作成された証明書を Sophos Mobile にアップロードします。

  1. Sophos Central Admin にサインインして、「モバイル」を参照します。
  2. サイドバーのメニューの「設定」の下の「セットアップ > Sophos セットアップ」をクリックし、「EAS プロキシ」タブをクリックします。
  3. 外部サーバー」で、「ファイルのアップロード」をクリックします。設定中に作成した証明書をアップロードします。

    インスタンスを複数設定した場合は、各インスタンスの証明書についてもこの手順を繰り返します。

  4. 保存」をクリックします。
  5. Windows で「サービス」ダイアログを開いて、「EASProxy」サービスを起動します。
これで、スタンドアロン型 EAS プロキシの初期セットアップが完了しました。
注: EAS プロキシのログのエントリは、毎日 EASProxy.log.yyyy-mm-dd という命名規則で作成されるファイルに移動されます。毎日作成されるこのログは自動削除されないため、将来、空きディスク容量が不足する可能性があります。ログファイルをバックアップフォルダに移動する手順を設定することを推奨します。