2017 年 6 月 1 日より、Outlook for iOS/Android で Exchange アカウント タイプを用いて Exchange Online へ接続することはできなくなります


2017/4/19 更新: Q1. と Q2. の内容を更新しました。Q7. を追加しました。

こんにちは。日本マイクロソフト Outlook サポート チームです。
全ての Exchange Online をご利用いただいているユーザー様は、2017 年 6 月 1 日より、Outlook for iOS/Android で Exchange アカウント タイプを用いて Exchange Online へ接続することはできなくなります。

 

Title : Office 365 のお客様向けクライアント アクセス ルールのアップデート
URL : https://support.microsoft.com/ja-jp/help/4013974/update-of-client-access-rules-for-office-365-customers
※「Outlook for iOS および Outlook for Android の変更に伴う影響」 の項目をご確認ください。

今回はこの動作変更についてよくある質問とそれに対する回答をまとめました。

 

Q1. 影響を受けるユーザーは、どのようなユーザーですか ?
A1. 2017 年 6 月 1 日より接続できなくなるのは、以下の 1. と 2. の条件をいずれも満たしているテナントのユーザーです。

1. (AD FS 側の設定) AD FS のクレームルールで、メールへのアクセスは基本的に Exchange ActiveSync からの接続のみを許可している。
2. (デバイス側の設定) Outlook for iOS/Android で、Exchange Online にあるメールボックスを、Exchange アカウント タイプで登録している。

なお、2. だけを満たしているテナントのユーザーの場合は、接続は引き続きできますが、Office 365 アカウント タイプへ変更されます。
詳細は、Q8. をご参照ください。

 

Q2. 「Exchange アカウント タイプ」とは何ですか ?

A2. 現時点では、Outlook for iOS/Android では Exchange Online アカウントを以下の 2 種類の方法で登録可能となっています。
以下は Outlook for iOS を例に手順を記述していますが、Outlook for Android でもほぼ同等の手順です。

 

方法 1 (Exchane アカウント タイプ : 古いアーキテクチャに基づいています)
============================================================================
1. Outlook for iOS を起動し、[始める] をタップします。
2. [メール アカウントの追加] 画面で、Exchange Online メールボックスが存在するユーザーのメールアドレスを入力し、[アカウントの追加] をタップします。
3. 認証画面で右上の [Office 365 ではありません]-[アカウント プロバイダーの変更]-[Exchange] をタップします。
4. パスワードを入力し、[サインイン] をタップします。アカウントの追加が完了します。

– Exchange アカウント タイプを使っているかの確認方法
[設定] をタップすると、アカウント欄に登録したアカウントが表示されています。
・メールアドレスの下にグレーの文字で [Exchange] と表示されています。
・メールアドレスの左側には青い Exchange のアイコンが表示されます。

exchange1

– 動作について
a. Outlook for iOS/Android はバックエンドサービスである Amazon Web Services (AWS) に接続し、AWS より Exchange Online へ接続します。
AWS より Exchange Online へ接続する際に使用される接続方式は、EAS (Exchange ActiveSync) です。
b. AWS 上にユーザー データがキャッシュされます。
c. 認証方式は、基本認証です。

 

方法 2 (※ 推奨 : Office 365 アカウント タイプ : 新しいアーキテクチャに基づいています)
============================================================================
1. Outlook for iOS を起動し、[始める] をタップします。
2. [メール アカウントの追加] 画面で、Exchange Online メールボックスが存在するユーザーのメールアドレスを入力し、[アカウントの追加] をタップします。
3. 認証画面でパスワードを入力し、[サインイン] をタップします。アカウントの追加が完了します。

– Office 365 アカウント タイプを使っているかの確認方法
[設定] をタップすると、アカウント欄に登録したアカウントが表示されています。
・メールアドレスの下にグレーの文字で [Office 365] と表示されています。
・メールアドレスの左側には赤い Office のアイコンが表示されます。

o365_1

– 動作について
a. Outlook for iOS/Android はバックエンドサービスである Microsoft Azure に接続し、Azure より Exchange Online へ接続します。
Azure より Exchange Online へ接続する際に使用される接続方式は、REST API です。
b. Azure 上にユーザー データをキャッシュすることはありません。
c. 認証方式は、先進認証 (ADAL 認証) です。

– 重要
弊社は Exchange Online のアカウントについては、この Office 365 アカウント タイプでの登録方法を強く推奨しております。

– 参考情報
Title : Microsoft Cloud による iOS 向け Outlook と Android 向け Outlook の機能強化
URL : https://blogs.technet.microsoft.com/microsoft_office_/2016/10/17/outlook-for-ios-and-android/

Title : Exchange Online の Outlook for iOS と Outlook for Android
URL : https://technet.microsoft.com/ja-jp/library/mt728167(v=exchg.150).aspx

 

Q3. 現在、Exchange アカウント タイプを使用しています。何をすればよいのでしょうか ?

A3. 対処方法には AD FS 側での対応と、クライアント側での対応があります。

(1) AD FS 側での対応
各状況に応じて、クレームルールもしくは運用の見直しが必要となります。

1. EAS からの接続のみを許可している。ブラウザ ベースの接続 (先進認証はこちらに該当します) は許可していない。
> この場合は、ブラウザ ベースの接続を許可する必要があります。

2. EAS からの接続は許可、ブラウザ ベースの接続は追加で証明書による認証も必要な設定にしている。
> この場合は、証明書による認証を不要とするか、全デバイス側に証明書の導入が必要となります。

(2) デバイス 側での対応
引き続き EAS での接続による制御を行いたい場合は、Windows 10 Mobile の Outlook メール / カレンダー アプリ および iOS/Android の標準メール アプリを使います。
(Exchane Online 側では引き続き EAS 接続はサポートされます)

 

Q4. クレームルールで Outlook for iOS/Android からの先進認証のときのみ許可する方法はありますか ?

A4. Outlook for iOS/Android からの先進認証のときのみ、接続を許可するようにクレームルールで制御することは、残念ながら不可能です。
ブラウザ ベースの接続を許可するようにクレームルールを構成する場合、アプリの User Agent (x-ms-client-user-agent) で判定しますが、以下の通り、複数のアプリで同じ User Agent となります。
これらはアプリ固有の User Agent ではなく、アプリ内で利用されている Webview/WebKit に起因したものであるため、他のアプリでも同様の User Agent となるものがございます。
以下、一例となります。

Title : Restrict iOS apps which can access to Office 365 services (ADFS required)
URL : https://blogs.msdn.microsoft.com/beanexpert/2015/12/24/restrict-ios-apps-which-can-access-to-office-365-services-adfs-required/

こちらの公開情報には以下の旨の記載があります。
・ iOS 8.4.1 での動作確認では、Outlook/Word/Excel/PowerPoint/OneDrive/Intune Managed Browser の全てが以下のクレームであったこと
Mozilla/5.0 (iPhone; CPU iPhone OS 8_4_1 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12H321

・User Agent での制御は、各ソフトウェアベンダー側で変更可能かつユニークである保証は無いこと、弊社以外のアプリが弊社と同じユーザーエージェントになりすます可能性もあることから、完全なソリューションではないこと

そのため、同時に他のアプリからのアクセスも許可されます。

 

Q5. 動作変更の理由は何でしょうか ?

A5. Outlook for iOS/Android のバックエンドサービスの AWS から Azure への移行は、単に AWS を使わないだけでなく、ユーザー データのキャッシュをバックエンドサービスへ保持しないような構成とすることも目的として進めています。
現在の、バックエンドサービスから Exchange Online へ EAS で接続する古いアーキテクチャを用いると、これを実現できません。
既に実装されている Azure から Exchange Online へ REST API にて接続する新しいアーキテクチャの場合は機能面での利便性だけでなく、キャッシュをバックエンドサービスへ保持しないようになっており、セキュリティ・プライバシー・コンプライアンスを考慮した構成となっています。
また、このコンプライアンスの観点から、今後は Outlook for iOS/Android で Exchange Online に接続いただく場合は、Office 365 アカウント タイプでの接続がシステム要件となります。

 

Q6. Exchange アカウント タイプを使用し続ける方法はありませんか ?

A6. 上記の通り機能面・セキュリティ面で刷新された REST API を用いたアーキテクチャが確立されていますので、Outlook for iOS/Android で Exchange Online へ接続する際に EAS で接続するオプションは提供される予定はございません。

 

Q7. 管理者側にて利用ユーザーの接続方式を確認するコマンドや、EAS で接続したユーザーの一覧を出力するコマンドはありますか?

A7. Get-MobileDeviceStatistics コマンドを実行すると、そのユーザーのモバイル デバイス情報を一覧で取得できます。
出力結果の一覧内の DeviceFriendlyName では Outlook for iOS and Android のように利用しているアプリを確認でき、ClientType からは EAS のように接続方式をご確認いただくことができます。
ただし、本コマンドで出力される結果は過去の利用履歴も含むログとなりますので、以前は EAS で利用しており、直近は REST を利用しているという場合にも、、それぞれでエントリ―が作成されます。
現在も過去に作成した EAS のアカウントを利用しているかどうかについてはユーザーに個別に確認を行う必要があります。

コマンド実行例)
Get-MobileDeviceStatistics -Mailbox user01@test.onmicrosoft.com

※ 例えば管理者側にて以下のコマンドを実行すると、直近の 1 ヵ月で組織内のユーザーのうち、Outlook for iOS もしくは Outlook for Android を利用しており、かつ EAS で接続したことがあるユーザーの一覧を出力することが可能です。
ユーザーの利用状況の確認のために参考としてご利用をいただければと思います。

コマンド実行例)
※ユーザー数が多いと実行結果が返ってくるのに時間が掛かります。
1 行目:
$Userlist = Get-CASMailbox -Filter {hasactivesyncdevicepartnership -eq $true -and -not displayname -like “CAS_{*”} | Get-Mailbox

2 行目:
$Userlist | ?{Get-MobileDeviceStatistics -Mailbox $_.Identity | Where-Object {$_.DeviceUserAgent -like “Outlook-iOS-Android*” -and $_.ClientType -like “EAS” -and $_.LastSuccessSync -gt (Get-Date).AddMonths(-1) }} | Select-Object Identity

– 参考情報
Title : Get-MobileDeviceStatistics
URL : https://technet.microsoft.com/JA-JP/library/jj218659(v=exchg.160).aspx

 

Q8. 2017 年 6 月 1 日以降、どのような影響を受けますか ?

A8. Exchane アカウント タイプで登録しているユーザーは、Office 365 アカウント タイプに切り替わっていきます。ユーザーへの影響は生じませんが、再認証を要求される場合もあります。
この際に表示される認証画面は、Office 365 アカウント タイプで登録する際と同じ認証画面が表示され、パスワードを入力することで Office 365 アカウント タイプに切り替わる予定です。

このサービス変更は 6 月 1 日以降適用されますが、バックエンドサービス全体への適用には時間を要するため、6 月 1 日を過ぎてもそのまま Exchange アカウント タイプで使える場合もあります。
この場合でも時間の経過とともに Office 365 アカウント タイプへ切り替わっていく予定です。

 

Q9. Exchane アカウント タイプは無くなるのですか ?

A9. Exchange アカウント タイプは、オンプレミス Exchange サーバー接続用に残ります。Exchange Online 接続用には使えなくなります。

 

Q10. 「2017 年 6 月 1 日までに REST アクセスが有効となっていることを確認する必要があります」とありますが、具体的にどのような確認をすればいいのですか ?

A10. Exchange Online 側で REST アクセスを禁止していないか、以下の要領でご確認ください。
Exchange Online では既定で REST API の使用が有効化されていますが、REST API の使用を制御する方法として以下の 2 種類があります。

(1) クライアント アクセス ルールによる制御
(2) EWS に対する制御

これらの制御により禁止されていなければ REST API の使用は許可されています。

 

(1) クライアント アクセス ルールによる制御
==========================================
クライアント アクセス ルール (CAR) による制御は現時点では一部のテナントでのみ利用可能な機能であり、利用不可であるテナントでは本機能による制御はされていないことになります。
お客様の環境でクライアント アクセス ルールの機能が利用可能かどうかは管理者にて Exchange Online に接続した PowerShell にて以下のコマンドが実行出来るかをご確認ください。

Get-ClientAccessRule
* 利用不可なテナントの場合にはコマンド自体が認識されません。

Title : Get-ClientAccessRule
URL : https://technet.microsoft.com/ja-jp/library/dn913647(v=exchg.160).aspx

Title : New-ClientAccessRule
URL : https://technet.microsoft.com/ja-jp/library/dn913650(v=exchg.160).aspx

 

(2) EWS に対する制御
====================
Exchange Web Service (EWS) による制御は [テナント単位] と [ユーザー単位] の 2 つがございます。(既定ではいずれも制限無し)
テナント単位の制御は Exchange Online に接続した PowerShell にて以下のコマンドを実行することで確認することができます。
以下のコマンド結果で表示される各パラメータが既定値 (空) の場合や、明示的にブロックする構成に変更していない場合は、REST API の使用もテナント単位で許可されています。

Get-OrganizationConfig | fl Ews*

また、ユーザー単位の制御については以下のコマンドを実行することで確認することができます。

Get-CASMailbox -Identity <ユーザー名> | fl EWS*

お客様の環境にて上記のコマンドを利用して EWS による制限が実施されているかご確認ください。

– 補足
EWS による制御に関しては以下にも例が記載されていますので必要に応じてご参照ください。

Title : 方法:Exchange での EWS に対するアクセスの制御
URL : https://msdn.microsoft.com/library/office/dn467892.aspx

************************************************************
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

Skip to main content