PowerShell 経由のメールアクセス制御の設定
スタンドアロンの EAS プロキシを PowerShell モードで設定すると、PowerShell 経由で Exchange メールサーバーに接続し、デバイスのコンプライアンス状態に基づいてメールアクセスを設定します。
PowerShell モードでは、メールトラフィックはプロキシなしで Exchange メールサーバーからデバイスに直接送信されます。通信フローに関する図は、Sophos Mobile サーバー導入ガイドの「EAS proxy architecture examples」(EAS プロキシのアーキテクチャの例) を参照してください。
PowerShell モードの利点:
- Sophos Mobile サーバーで、デバイスからの受信メールトラフィックに対してポートを開放する必要がありません。
- Sophos Mobile に未登録のデバイスによるメールアクセスを阻止することができます。
Exchange メールサーバーは、Exchange Server、または Microsoft 365 の一部である Exchange Online のいずれかです。対応しているバージョンは次のとおりです
- Exchange Server 2013
- Exchange Server 2016
- Microsoft 365 (Exchange Online プランを含む)
制限事項
macOS は ActiveSync プロトコルに対応していないため、Mac によるメールアクセスを、PowerShell を使用して制御することはできません。
PowerShell 経由でメールアクセス制御を設定するには、次の手順を実行します。
PowerShell の設定
-
任意: 必要に応じて、EAS プロキシをインストールするコンピュータに Windows PowerShell をインストールします。
詳細は、Microsoft ドキュメント、Windows PowerShell のインストールを参照してください。
-
管理者権限で PowerShell を開き、次のコマンドを実行します。
Set-ExecutionPolicy RemoteSigned
Exchange Server の場合は、追加の設定が必要です。
-
Exchange 管理シェルを開きます。
詳細は、Microsoft ドキュメント、Exchange 管理シェルを開くを参照してください。
-
PowerShell 実行ポリシーを設定します。
Set-ExecutionPolicy RemoteSigned
-
PowerShell 仮想ディレクトリの名前を取得します。
Get-PowerShellVirtualDirectory -Server <サーバー名\>
<server name\>
は、Exchange Server がインストールされているコンピュータの名前です。標準インストールでは、PowerShell 仮想ディレクトリは
PowerShell (Default Web Site)
です。 -
PowerShell 仮想ディレクトリに基本認証を設定します。
Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true
サービスアカウントの作成
サービスアカウントは、PowerShell コマンドの実行に Sophos Mobile が使用する、Exchange メールサーバー上の特別なユーザーアカウントです。
-
Web ブラウザで Exchange 管理センターを開きます。
-
Exchange Server の場合:
https://<ServerFQDN\>/ecp
\<サーバーの FQDN> は、Exchange サーバーの完全修飾ドメイン名です。
-
Exchange Online の場合:
https://admin.exchange.microsoft.com
-
-
ユーザーアカウントを作成します。
smc_powershell
など、アカウントの用途を明確にするユーザー名を使用します。- ユーザーが次回ログオンした際にパスワードの変更を要求する設定をオフにします。
- 新しいアカウントに自動的に割り当てられた Microsoft 365 のライセンスを削除します。サービスアカウントにライセンスは必要ありません。
-
新しいロールグループを作成して、必要なパーミッションを許可します。
smc_powershell
などのようなロールグループ名を使用します。- 「Mail Recipients」(メール受信者) ロールおよび「Organization Client Access」(組織クライアントアクセス) ロールを追加します。
- ユーザーアカウントをメンバーとして追加します。
PowerShell 接続の設定
-
スタンドアロンの EAS プロキシをインストールするのと同様に、セットアップアシスタントを使用します。「EAS Proxy instance setup」(EAS プロキシ インスタンスのセットアップ) ページで次の設定を行います。
- Instance type: 「PowerShell Exchange/Office 365」を選択します。
- Instance name: インスタンスの識別に使用される名前。
-
Exchange server: Exchange Server の場合は、サーバーの名前や IP アドレスを入力します。
Exchange Online の場合、グローバル Microsoft 365 サービスを使用している場合は、
outlook.office365.com
と入力します。Office 365 Germany など、他のサービスを使用している場合は、Microsoft の文章、Basic 認証 - Exchange Online PowerShell に接続するでアドレスを参照してください。名前にプロトコル「
https://
」やサフィックス「/powershell-liveid
」は指定しないでください。これは、セットアップウィザードによって自動的に追加されます。 -
Allow all certificates: EAS プロキシはサーバー証明書を検証しません。Exchange Server を自己署名証明書とともに使用している場合などは、このオプションを選択してください。
警告
この設定によって、メールサーバー接続のセキュリティが低下します。ネットワーク環境で必要な場合のみに選択してください。
-
Service account: Exchange Server や Exchange Online 管理コンソールで作成したユーザーアカウントの名前。
- Password: ユーザーアカウントのパスワード。
-
「Add」(追加) をクリックして、「Instances」(インスタンス) リストにインスタンスを追加します。
- PowerShell を使用して他の Exchange Server のインスタンスに接続するには、上記の手順を繰り返します。
- セットアップを完了します。
-
任意: 必要に応じて、EAS プロキシが Exchange Server や Exchange Online への接続に使用するプロキシサーバーを設定します。EAS プロキシをインストールしたコンピュータで、「管理者として実行」オプションを使用してコマンドプロンプトを開き、次のコマンドを入力します。
netsh winhttp set proxy <サーバー名または IP>:<ポート>
警告
このコマンドによって、システム全体のプロキシが設定されます。コンピュータで実行されている他のプログラムにも影響を与える可能性があります。
PowerShell 証明書のアップロード
PowerShell を使用した Sophos Mobile への接続の証明書をアップロードします。
- スーパー管理者権限で Sophos Mobile Admin にサインインします。
- サイドバーのメニューの「設定」の下の「セットアップ > Sophos セットアップ」をクリックし、「EAS プロキシ」タブをクリックします。
- 「全般」で、「Sophos Secure Email に制限」を選択して Android および iOS 向けの Sophos Secure Email アプリへのメールアクセスを制限します。
-
「外部サーバー」で、「ファイルのアップロード」をクリックします。設定中に作成した証明書をアップロードします。
インスタンスを複数設定した場合は、各インスタンスの証明書についてもこの手順を繰り返します。
-
「保存」をクリックします。
- Windows で「サービス」ダイアログを開いて、「EASProxy」サービスを起動します。