PowerShell 経由のメールアクセス制御の設定

PowerShell を使用した、Exchange サーバーや Office 365 サーバーへの接続を設定できます。この場合、EAS プロキシサービスは、PowerShell 経由でメールサーバーと通信して、管理対象デバイスのメールアクセスを制御します。メールトラフィックは、デバイスからメールサーバーに直接送信されます。プロキシ経由では送信されません。

注: macOS は ActiveSync プロトコルに対応していないため、Mac によるメールアクセスを、PowerShell を使用して制御することはできません。
PowerShell 接続を使用したシナリオのメリットは次のとおりです。
  • デバイスは、Exchange サーバーと直接通信します。
  • サーバーで、管理対象デバイスからの受信メールトラフィック用のポートを開放する必要がありません。

対応しているメールサーバーは次のとおりです。

  • Exchange Server 2013
  • Exchange Server 2016
  • Office 365 (Exchange Online プランを含む)

PowerShell をセットアップする方法は次のとおりです。

  1. PowerShell を設定します。
  2. Exchange サーバーまたは Office 365 にサービスアカウントを作成します。Sophos Mobile は、このアカウントを使用して PowerShell コマンドを実行します。
  3. Exchange または Office 365 への 1つまたは複数の PowerShell の接続インスタンスをセットアップします。
  4. インスタンスの証明書を Sophos Mobile にアップロードします。

PowerShell の設定

  1. EAS プロキシのインストール先コンピュータで、管理者権限で Windows PowerShell を開き、次のように入力します。
    PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned
    注: PowerShell がない場合は、マイクロソフトの文章、Windows PowerShell のインストール (外部リンク) にある説明に従ってインストールします。
  2. ローカル Exchange サーバーを接続する場合は、そのコンピュータで、管理者権限で Windows PowerShell を開いて、先ほどと同じコマンドを入力します。
    PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned
    注: この手順は、Office 365 では不要です。

サービスアカウントの作成

  1. 該当する管理コンソールにログインします。
    • Exchange Server 2013/2016 の場合: Exchange 管理者センター
    • Office 365 の場合: Office 365 管理者センター
  2. ユーザーアカウントを作成します。Sophos Mobile は、このアカウントをサービスアカウントとして使用して、PowerShell コマンドを実行します。
    • smc_powershell など、アカウントの用途を明確にするユーザー名を使用します。
    • ユーザーが次回ログオンした際にパスワードの変更を要求する設定をオフにします。
    • 新しいアカウントに、自動的に割り当てられた Office 365 のライセンスを削除します。サービスアカウントにライセンスは必要ありません。
  3. 新しいロールグループを作成して、必要なパーミッションを許可します。
    • smc_powershell などのようなロールグループ名を使用します。
    • Mail Recipients」(メール受信者) ロールおよび「Organization Client Access」(組織クライアントアクセス) ロールを追加します。
    • サービスアカウントをメンバーとして追加します。

PowerShell 接続のセットアップ

  1. スタンドアロンの EAS プロキシをセットアップするのと同様に、セットアップウィザードを使用します。ウィザードの「EAS Proxy instance setup」(EAS プロキシのインスタンスのセットアップ) ページで、次のオプションを設定します。
    • Instance type: 「PowerShell Exchange/Office 365」を選択します。
    • Instance name: インスタンスの識別に使用される名前。
    • Exchange server: Exchange サーバーの名前や IP アドレス (Exchange サーバーのローカルインストールの場合)、または outlook.office365.com (Office 365 の場合)。プレフィックス https:// やサフィックス /powershell は指定しないでください。自動的に追加されます。
    • Allow all certificates: Exchange サーバーが提示する証明書は確認されません。これは、たとえば、自己署名証明書が Exchange サーバーにインストールされている場合などに使用できます。「Allow all certificates」(すべての証明書を許可する) オプションを選択すると、サーバー通信のセキュリティレベルが低下するため、ネットワーク環境で必要となる場合のみに選択することを強く推奨します。
    • Allow EWS subscription requests from Secure Email (Secure Email から送信される EWS サブスクリプションのリクエストの許可): このオプションを選択して、iOS デバイス上の Sophos Secure Email アプリが、EWS (Exchange Web Service) 経由のプッシュ通知に登録できるようにします。プッシュ通知は、Sophos Secure Email に関するメッセージを受け取るとデバイスに通知を表示します。
      注:
      • セキュリティ上の理由から、EAS プロキシは、Exchange サーバーの EWS インターフェースへのリクエストすべてをデフォルトでブロックします。このチェックボックスを選択すると、サブスクリプションのリクエストが許可されます。それ以外のリクエストのブロックは解除されません。
      • Exchange サーバーの EWS を設定する方法について詳細は、ソフォスのサポートデータベースの文章 127137 を参照してください。
    • Service account: Exchange 管理コンソールや Office 365 管理者センターで作成したユーザーアカウントの名前。
    • Password: ユーザーアカウントのパスワード。
  2. Add」(追加) をクリックして、「Instances」(インスタンス) リストにインスタンスを追加します。
  3. PowerShell を使用して他の Exchange サーバーや Office 365 サーバーに接続するには、上記の手順を繰り返します。
  4. スタンドアロン型 EAS プロキシのインストールの説明に従ってセットアップウィザードを完了します。

証明書のアップロード

  1. Sophos Central Admin にサインインして、「モバイル」を参照します。
  2. サイドバーのメニューの「設定」の下の「セットアップ > Sophos セットアップ」をクリックし、「EAS プロキシ」タブをクリックします。
  3. オプション: 全般」で、「Sophos Secure Email に制限」を選択して Android および iOS 向けの Sophos Secure Email アプリへのメールアクセスを制限します。
    これにより、他のメールアプリがメールサーバーに接続することを防ぎます。
  4. 外部サーバー」で、「ファイルのアップロード」をクリックします。セットアップウィザードを使用して作成した証明書をアップロードします。
    インスタンスを複数設定した場合は、各インスタンスの証明書についてもこの手順を繰り返します。
  5. 保存」をクリックします。
  6. Windows で「サービス」ダイアログを開いて、「EASProxy」サービスを起動します。
これで、PowerShell 接続の初期セットアップが完了しました。デバイスがコンプライアンスルールに違反している場合、管理対象デバイスと Exchange サーバーや Office 365 サーバー間のメールトラフィックはブロックされます。個別のデバイスは、デバイスへのメールアクセスモードを「拒否」に指定してブロックできます。
注: メールアクセスがブロックされると、Exchange サーバーの設定によっては、デバイスは通知を受信します。