Intune の Exchange On-Premises アクセスを構成する

この記事では、デバイスのコンプライアンスに基づく Exchange On-Premises の条件付きアクセスを構成する方法を示します。

Exchange Online Dedicated 環境を使用していて、それが新しい構成であるか既存の構成であるかを確認する必要がある場合は、アカウント マネージャーに問い合わせてください。 Exchange On-Premises または従来の Exchange Online Dedicated 環境への電子メール アクセスを制御するには、Intune で Exchange On-Premises に対する条件付きアクセスを構成します。

はじめに

条件付きアクセスを構成する前に、次の構成が存在することを確認します。

• Exchange のバージョンが Exchange 2010 SP3 以降であること。 Exchange Server クライアント アクセス サーバー (CAS) アレイがサポートされています。

• Exchange ActiveSync On-Premises Exchange Connector をインストールして使用していること。これにより、Intune が Exchange On-Premises に接続されます。

  重要

  Intune は、サブスクリプションあたり複数のオンプレミス Exchange コネクタに対応できます。 ただし、それぞれのオンプレミスの Exchange コネクタは、単一の Intune テナントに固有であり、他のテナントでは使用できません。 オンプレミス Exchange 組織が複数ある場合、Exchange 組織別にコネクタを設定できます。

• オンプレミス Exchange 組織用のコネクタは、Exchange サーバーと通信できる任意のコンピューターにインストールできます。

• このコネクタは、Exchange CAS 環境をサポートします。 Intune では、Exchange CAS サーバーにコネクタを直接インストールすることがサポートされています。 これは別のコンピューターにインストールすることをお勧めします。そのコネクタによって、サーバーにさらなる負荷が追加されるためです。 コネクタを構成するときには、Exchange CAS サーバーのいずれかと通信するように設定する必要があります。

• Exchange ActiveSync は、証明書ベースの認証またはユーザーの資格情報のエントリで構成する必要があります。

• 条件付きアクセス ポリシーを構成してユーザーに適用すると、ユーザーが電子メールに接続するには、使用しているデバイスが以下の条件を満たしている必要があります。

  • Intune に登録されているか、ドメインに参加している PC である。
  • Microsoft Entra ID に登録されています。 さらに、クライアントの Exchange ActiveSync ID を Microsoft Entra ID に登録する必要があります。

• Microsoft Entra Device Registration Service (DRS) は、Intune および Microsoft 365 のお客様に対して自動的にアクティブ化されます。 ADFS Device Registration Service をデプロイ済みのお客様には、オンプレミスの Active Directory に登録されたデバイスは表示されません。 これは、Windows の PC とデバイスには適用されません。

• そのデバイスに展開されているデバイス コンプライアンス ポリシーに準拠している。

• デバイスが条件付きアクセス設定を満たしていない場合、ユーザーのサインイン時に、次のいずれかのメッセージが表示されます。

  • デバイスが Intune に登録されていない場合、または Microsoft Entra ID に登録されていない場合は、ポータル サイト アプリのインストール、デバイスの登録、電子メールのアクティブ化の方法に関する指示が表示されます。 このプロセスでは、デバイスの Exchange ActiveSync ID も Microsoft Entra ID のデバイス レコードに関連付けられます。
  • デバイスが準拠していない場合は、ユーザーを Intune ポータル サイト Web サイトまたはポータル サイト アプリに誘導するメッセージが表示されます。 会社のポータルから、問題とその修復方法に関する情報を確認することができます。

モバイル デバイスのサポート

• iOS/iPadOS のネイティブ電子メール アプリ - 条件付きアクセス ポリシーを作成するには、条件付きアクセス ポリシーの作成に関する記事を参照してください

• Android 4 以降の Gmail などの EAS メール クライアント - 条件付きアクセス ポリシーを作成するには、条件付きアクセス ポリシーの作成に関する記事を参照してください

• Android Enterprise Personally-Owned 仕事用プロファイル デバイス上の EAS メール クライアント - Android Enterprise 個人所有の仕事用プロファイル デバイスでは、Gmail と Nine Work for Android Enterprise のみがサポートされます。 Android Enterprise 個人所有の仕事用プロファイルで条件付きアクセスを使用するには、 Gmail または Nine Work for Android Enterprise アプリのメール プロファイルを展開し、必要なインストールとしてそれらのアプリを展開する必要があります。 アプリを展開した後、デバイスベースの条件付きアクセスを設定できます。

• Android デバイス管理者の EAS メール クライアント - 条件付きアクセス ポリシーを作成するには、「条件付きアクセス ポリシーを作成する」を参照してください

Android Enterprise 個人所有の仕事用プロファイル デバイスの条件付きアクセスを設定するには

1. Microsoft Intune 管理センターにサインインします。

2. Gmail または Nine Work アプリを [必須] という設定で展開します。

3. [デバイス>管理デバイス>構成] に移動し、[作成] を選択します。

4. プロファイルの [名前] と [説明] を入力します。

5. [プラットフォーム] で [Android エンタープライズ] を選択し、[プロファイルの種類] で [電子メール] を選択します。

6. [電子メール プロファイル] の設定を構成します。

7. 完了したら、[OK]>[作成] を選択して変更を保存します。

8. 電子メール プロファイルを作成したら、グループに割り当てます。

9. デバイスベースの条件付きアクセスを設定します。

PC のサポート

現在、Windows 8.1 以降のネイティブ メール アプリケーションがサポートされています (Intune で MDM に登録されている場合)。

Exchange On-premises アクセスの構成

Exchange Connector の新規インストールのサポートは、2020 年 7 月に非推奨とされ、コネクタ インストール パッケージはダウンロードできなくなりました。 代わりに、Exchange ハイブリッド先進認証 (HMA) を使用してください。

次の手順を使用して Exchange On-Premises アクセス制御を設定する前に、Exchange On-Premises 用の Intune On-Premises Exchange コネクタを少なくとも 1 つインストールして構成しておく必要があります。

1. Microsoft Intune 管理センターにサインインします。

2. [テナント管理]>[Exchange へのアクセス] に移動し、[Exchange On-Premises のアクセス] を選択します。

3. [Exchange On-Premises のアクセス] ウィンドウで [はい] を選択し、Exchange On-Premises のアクセス制御を有効にします。

   

4. [割り当て] で [含めるグループを選択] を選択し、アクセスを構成する 1 つまたは複数のグループを選択します。

   選択したグループのメンバーに、Exchange On-Premises アクセスの条件付きアクセス ポリシーが適用されます。 このポリシーを受け取ったユーザーは、Exchange On-Premises にアクセスする前に、Intune にデバイスを登録し、コンプライアンス プロファイルに準拠しておく必要があります。

   

5. グループを除外するには、[含めないグループを選択] を選択し、Exchange On-Premises にアクセスする前にデバイスを登録してコンプライアンス プロファイルに準拠しておくという要件から除外する 1 つまたは複数のグループを選択します。

   [保存] を選択して構成を保存し、[Exchange へのアクセス] ペインに戻ります。

6. 次に、Intune On-Premises Exchange コネクタの設定を構成します。 管理センターで、 テナント管理>Exchange Access>Exchange ActiveSync オンプレミス コネクタ を選択し、構成する Exchange 組織のコネクタを選択します。

7. [ユーザー通知] の [編集] を選択し、[Edit Organization]\(組織の編集\) ワークフローを開きます。ここで [ユーザーへの通知] メッセージを変更できます。

   

   デバイスが準拠しておらず、オンプレミスの Exchange にアクセスした場合に、ユーザーに送信される既定のメール メッセージを変更します。 メッセージ テンプレートでは、マークアップ言語が使用されます。 また、入力しながら、メッセージがどのように表示されるかをプレビュー表示できます。

   [レビューと保存]、[保存] の順に選択して編集内容を保存し、Exchange On-Premises へのアクセスの構成を完了します。

   ヒント

   マークアップ言語の詳細については、Wikipedia のこちらの記事を参照してください。

8. 次に、[Exchange Active Sync アクセスの詳細設定] を選択して [Exchange ActiveSync アクセスの詳細設定] ワークフローを開き、デバイス アクセス ルールを構成します。

   

   • [アンマネージド デバイス アクセス] で、条件付きアクセスやその他の規則の影響を受けないデバイスからのアクセスに対してグローバル既定の規則を設定します。

     • [アクセスを許可] - すべてのデバイスから Exchange On-Premises にすぐにアクセスできます。 前の手順で含まれるように構成したグループのユーザーのデバイスについては、そのデバイスが後でコンプライアンス ポリシーに非準拠と評価されたり、Intune に登録されていなかったりするとブロックされます。

     • [アクセスのブロック] および [検査] - 最初はすべてのデバイスが Exchange On-Premises へのアクセスをすぐにブロックされます。 前の手順で含まれるように構成されたグループのユーザーのデバイスについては、デバイスが Intune に登録され、準拠として評価された後でアクセスできるようになります。

       この設定は、Samsung Knox 標準を実行する Android デバイスでサポートされています。 他の Android デバイスはこの設定をサポートしていないため、常にブロックされます。

   • [デバイス プラットフォームの例外] では、[追加] を選択し、環境の必要に応じて詳細を指定します。

     [アンマネージド デバイス アクセス] 設定が [ブロック済み] に設定されている場合は、それらをブロックするプラットフォーム例外があっても、登録済みの準拠デバイスは許可されます。

9. [OK] を選択して編集を保存します。

10. [レビューと保存]、[保存] の順に選択し、Exchange の条件付きアクセス ポリシーを保存します。

次の手順

次に、コンプライアンス ポリシーを作成し、それを Intune のユーザーに割り当てて、ユーザーのモバイル デバイスを評価します。デバイス コンプライアンスの概要に関する記事を参照してください。

Microsoft Intune での Intune オンプレミス Exchange コネクタのトラブルシューティング