【WP for ITPro】Exchange Server にアクセスできるスマフォを限定 ~ Exchange ActiveSync デバイス アクセス ポリシー(ABQリスト)


Exchange ActiveSync(EAS)にはさまざまな機能が実装されています。Windows Phone から Global Account List(GAL)を検索するのも、実は EAS によって実現される機能です。

さて、Exchange 2010(および Office 365)の EAS には 「ABQリスト」と呼ばれるポリシーが用意されています。

  • A:Allow(許可)
  • B:Block(ブロック)
  • Q:Quarantine(検疫)

この機能を使用すると、EAS にアクセス可能なデバイスを制限したり、検疫することができます。

例えば、全社で Windows Phone を導入し業務での利用を許可しているとしましょう。社外に Exchange クライアントアクセスサーバーへのアクセスを許可していると、EAS プロトコルを実装しているデバイスから自由にアクセスできてしまいます(もちろんユーザーIDとドメイン名、パスワードを知らなければダメですが)。つまり、会社支給の Windows Phone に加えて、手持ちの iPhone や Android からもアクセス可能です。

社内に IT 部門を持っている企業の場合、未知のデバイスからのアクセスは極力拒否したい…と考えるかもしれません。

そんなときに使えるのが 「EAS デバイスアクセスルール」、通称  ABQ リストです。

image

ABQリストでは、大きく2つのポリシーを設定することができます。

  • 特定のデバイスに対するポリシー
  • その他のデバイスに対するポリシー

「特定のデバイス」に対するポリシーでは、デバイスの「種類」と「モデル」を明に指定し、これらに対して「許可」「ブロック」「検疫」のいずれかのアクションを設定します。指定した種類やモデルに合致したデバイスからアクセスがあった場合には、設定されているアクションが自動的に適用されます。

以下が設定画面です。最近発売されたばかりの IS12T は、デバイスの種類(デバイスファミリ)が「WP」で、デバイスのモデルが「FujitsuToshibaMobileCommun」です。以下の設定では「アクセスを許可」が設定されているので、このモデルは無条件でアクセスできることになります。

image

「検疫」が選択されていると、アクセスしてきたデバイスが検疫リストに表示されます。システム管理者は、検疫リストに表示されているデバイスに対して、個別に「許可」か「ブロック」を選択する必要があります。

image

「検疫」されたり「ブロック」されると、利用者にはメールが届きます。利用者は、サーバーから送られるこのメールだけは受信することができるため、自分のアカウントがどのような状態かを知ることができます。

image

検疫またはブロックされた場合で、かつデバイスがWindows Phone の場合には、アカウント設定画面に以下のようなワーニングが表示されます。黄色い文字で「要確認」と表示されているのがわかるでしょうか。

image

「その他のデバイスに関するポリシー」は、「規定のデバイスに関するポリシー」に条件が明記されていないデバイスに対して適用されます。

ポリシーに何も明記されていないか、「許可」されていれば無条件でアクセスが許可されます。

「検疫」と設定されている場合には、上記と同様検疫リストに表示され、ユーザーにはその旨のメールが送付されます。

image

ちなみに、いくつかのデバイスでアクセステストしてみたところ、以下のようなデバイス種別およびデバイスモデルが収集できました。みずらくてすいません。

image image image

iPhone はおそらくこの1種類だと思われますが、Android および Windows Phone(WP)はベンダーごとに表記が異なる可能性があります。

Comments (1)

  1. にし より:

    いささか古い記事へのコメント、お許し下さい。
    安納さんの記事はユーザー目線に近く、非常に参考になります。
    この記事の仕組みもおおよそは理解しましたが、その先で分からない点があります。
    ルールで検疫状態になったデバイスを管理者が手動で許可した後、ポリシーが変わったのでこのデバイスの許可状態を一旦削除し、ルールを再適用させて検疫状態にしたいのですが、一度 Remove-ActiveSyncDevice で登録状態を削除しても、デバイスで同期を行うと検疫状態にならずに接続できてしまいます。
    Get-ActiveSyncDevice コマンドで確認すると DeviceAccessStateReason が 「Indivisual」のままになっているのが問題だと思うのですが…
    許可状態をクリアする方法がありましたら、教えて頂きたく思います。

Skip to main content