Intune の Exchange On-Premises アクセスを構成する

  • [アーティクル]

重要

オンプレミスの Intune Exchange コネクタのサポートは、2024 年 2 月 19 日に終了します。 この日付を過ぎると、Exchange コネクタは Intune と同期されなくなります。 Exchange コネクタを使用する場合は、2024 年 2 月 19 日より前に次のいずれかのアクションを実行することをお勧めします。

この記事では、デバイスのコンプライアンスに基づく Exchange On-Premises の条件付きアクセスを構成する方法を示します。

Exchange Online Dedicated 環境を使用していて、それが新しい構成であるか既存の構成であるかを確認する必要がある場合は、アカウント マネージャーに問い合わせてください。 Exchange On-Premises または従来の Exchange Online Dedicated 環境への電子メール アクセスを制御するには、Intune で Exchange On-Premises に対する条件付きアクセスを構成します。

はじめに

条件付きアクセスを構成する前に、次の構成が存在することを確認します。

  • Exchange のバージョンが Exchange 2010 SP3 以降であること。 Exchange Server クライアント アクセス サーバー (CAS) アレイがサポートされています。

  • Exchange ActiveSync On-Premises Exchange Connector をインストールして使用していること。これにより、Intune が Exchange On-Premises に接続されます。

    重要

    Intune は、サブスクリプションあたり複数のオンプレミス Exchange コネクタに対応できます。 ただし、それぞれのオンプレミスの Exchange コネクタは、単一の Intune テナントに固有であり、他のテナントでは使用できません。 オンプレミス Exchange 組織が複数ある場合、Exchange 組織別にコネクタを設定できます。

  • オンプレミス Exchange 組織用のコネクタは、Exchange サーバーと通信できる任意のコンピューターにインストールできます。

  • このコネクタは、Exchange CAS 環境をサポートします。 Intune では、Exchange CAS サーバーにコネクタを直接インストールすることがサポートされています。 これは別のコンピューターにインストールすることをお勧めします。そのコネクタによって、サーバーにさらなる負荷が追加されるためです。 コネクタを構成するときには、Exchange CAS サーバーのいずれかと通信するように設定する必要があります。

  • Exchange ActiveSync は、証明書ベースの認証またはユーザーの資格情報のエントリで構成する必要があります。

  • 条件付きアクセス ポリシーを構成してユーザーに適用すると、ユーザーが電子メールに接続するには、使用しているデバイスが以下の条件を満たしている必要があります。

    • Intune に登録されているか、ドメインに参加している PC である。
    • Microsoft Entra IDに登録されています。 さらに、クライアント Exchange ActiveSync ID をMicrosoft Entra IDに登録する必要があります。

  • Microsoft Entraデバイス登録サービス (DRS) は、Intune および Microsoft 365 のお客様に対して自動的にアクティブ化されます。 ADFS Device Registration Service をデプロイ済みのお客様には、オンプレミスの Active Directory に登録されたデバイスは表示されません。 これは、Windows の PC とデバイスには適用されません。

  • そのデバイスに展開されているデバイス コンプライアンス ポリシーに準拠している。

  • デバイスが条件付きアクセス設定を満たしていない場合、ユーザーのサインイン時に、次のいずれかのメッセージが表示されます。

    • デバイスが Intune に登録されていない場合、またはMicrosoft Entra IDに登録されていない場合は、ポータル サイト アプリのインストール方法、デバイスの登録、電子メールのアクティブ化に関する手順が表示されます。 このプロセスでは、デバイスのExchange ActiveSync ID も、Microsoft Entra IDのデバイス レコードに関連付けられます。
    • デバイスが準拠していない場合は、ユーザーを Intune ポータル サイト Web サイトまたはポータル サイト アプリに誘導するメッセージが表示されます。 会社のポータルから、問題とその修復方法に関する情報を確認することができます。

モバイル デバイスのサポート

  • iOS/iPadOS のネイティブ電子メール アプリ - 条件付きアクセス ポリシーを作成するには、条件付きアクセス ポリシーの作成に関する記事を参照してください

  • Android 4 以降の Gmail などの EAS メール クライアント - 条件付きアクセス ポリシーを作成するには、条件付きアクセス ポリシーの作成に関する記事を参照してください

  • Android Enterprise Personally-Owned 仕事用プロファイル デバイス上の EAS メール クライアント - Android Enterprise 個人所有の仕事用プロファイル デバイスでは、GmailNine Work for Android Enterprise のみがサポートされます。 Android Enterprise 個人所有の仕事用プロファイルで条件付きアクセスを使用するには、 Gmail または Nine Work for Android Enterprise アプリのメール プロファイルを展開し、必要なインストールとしてそれらのアプリを展開する必要があります。 アプリを展開した後、デバイスベースの条件付きアクセスを設定できます。

  • Android デバイス管理者の EAS メール クライアント - 条件付きアクセス ポリシーを作成するには、「条件付きアクセス ポリシーを作成する」を参照してください

Important

Microsoft Intune は、Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを 2024 年 8 月 30 日に終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

Android Enterprise 個人所有の仕事用プロファイル デバイスの条件付きアクセスを設定するには

  1. Microsoft Intune 管理センターにサインインします。

  2. Gmail または Nine Work アプリを [必須] という設定で展開します。

  3. [デバイス>の構成] に移動し、[*作成] を選択します。

  4. プロファイルの [名前][説明] を入力します。

  5. [プラットフォーム][Android エンタープライズ] を選択し、[プロファイルの種類][電子メール] を選択します。

  6. [電子メール プロファイル] の設定を構成します。

  7. 完了したら、[OK]>[作成] を選択して変更を保存します。

  8. 電子メール プロファイルを作成したら、グループに割り当てます

  9. デバイスベースの条件付きアクセスを設定します。

注:

Exchange のオンプレミス コネクタを介した Android および iOS/iPadOS 用 Microsoft Outlook の使用はサポートされていません。 Microsoft Entra条件付きアクセス ポリシーと Intune アプリ保護ポリシーを、オンプレミスメールボックス用の Outlook for iOS/iPadOS と Android で利用する場合は、「Outlook for iOS/iPadOS および Android でハイブリッドモダン認証を使用する」を参照してください。

PC のサポート

現在、Windows 8.1 以降のネイティブメール アプリケーションがサポートされています (Intune で MDM に登録されている場合)。

重要

2022 年 10 月 22 日、Microsoft IntuneはWindows 8.1を実行しているデバイスのサポートを終了しました。 これらのデバイスのテクニカル アシスタンスと自動更新は利用できません。

現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移行することをお勧めします。 Microsoft Intuneには、Windows 10/11 クライアント デバイスを管理する組み込みのセキュリティ機能とデバイス機能があります。

Exchange On-premises アクセスの構成

Exchange Connector の新規インストールのサポートは、2020 年 7 月に非推奨とされ、コネクタ インストール パッケージはダウンロードできなくなりました。 代わりに、Exchange ハイブリッド先進認証 (HMA) を使用してください。

次の手順を使用して Exchange On-Premises アクセス制御を設定する前に、Exchange On-Premises 用の Intune On-Premises Exchange コネクタを少なくとも 1 つインストールして構成しておく必要があります。

  1. Microsoft Intune 管理センターにサインインします。

  2. [テナント管理]>[Exchange へのアクセス] に移動し、[Exchange On-Premises のアクセス] を選択します。

  3. [Exchange On-Premises のアクセス] ウィンドウで [はい] を選択し、Exchange On-Premises のアクセス制御を有効にします

    Exchange オンプレミス アクセス画面のスクリーンショットの例

  4. [割り当て][含めるグループを選択] を選択し、アクセスを構成する 1 つまたは複数のグループを選択します。

    選択したグループのメンバーに、Exchange On-Premises アクセスの条件付きアクセス ポリシーが適用されます。 このポリシーを受け取ったユーザーは、Exchange On-Premises にアクセスする前に、Intune にデバイスを登録し、コンプライアンス プロファイルに準拠しておく必要があります。

    含めるグループを選択する

  5. グループを除外するには、[含めないグループを選択] を選択し、Exchange On-Premises にアクセスする前にデバイスを登録してコンプライアンス プロファイルに準拠しておくという要件から除外する 1 つまたは複数のグループを選択します。

    [保存] を選択して構成を保存し、[Exchange へのアクセス] ペインに戻ります。

  6. 次に、Intune On-Premises Exchange コネクタの設定を構成します。 管理センターで、[テナント管理>] [Exchange Access>Exchange ActiveSyncオンプレミス コネクタ] を選択し、構成する Exchange organizationのコネクタを選択します。

  7. [ユーザー通知][編集] を選択し、[Edit Organization]\(組織の編集\) ワークフローを開きます。ここで [ユーザーへの通知] メッセージを変更できます。

    通知の [組織の編集] ワークフローのスクリーンショットの例

    デバイスが準拠しておらず、オンプレミスの Exchange にアクセスした場合に、ユーザーに送信される既定のメール メッセージを変更します。 メッセージ テンプレートでは、マークアップ言語が使用されます。 また、入力しながら、メッセージがどのように表示されるかをプレビュー表示できます。

    [レビューと保存][保存] の順に選択して編集内容を保存し、Exchange On-Premises へのアクセスの構成を完了します。

    ヒント

    マークアップ言語の詳細については、Wikipedia のこちらの記事を参照してください。

  8. 次に、[Exchange Active Sync アクセスの詳細設定] を選択して [Exchange ActiveSync アクセスの詳細設定] ワークフローを開き、デバイス アクセス ルールを構成します。

    詳細設定の [Edit Organization]\(組織の編集\) ワークフローのスクリーンショットの例

    • [アンマネージド デバイス アクセス] で、条件付きアクセスやその他の規則の影響を受けないデバイスからのアクセスに対してグローバル既定の規則を設定します。

      • [アクセスを許可] - すべてのデバイスから Exchange On-Premises にすぐにアクセスできます。 前の手順で含まれるように構成したグループのユーザーのデバイスについては、そのデバイスが後でコンプライアンス ポリシーに非準拠と評価されたり、Intune に登録されていなかったりするとブロックされます。

      • [アクセスのブロック] および [検査] - 最初はすべてのデバイスが Exchange On-Premises へのアクセスをすぐにブロックされます。 前の手順で含まれるように構成されたグループのユーザーのデバイスについては、デバイスが Intune に登録され、準拠として評価された後でアクセスできるようになります。

        この設定は、Samsung Knox 標準を実行する Android デバイスでサポートされています。 他の Android デバイスはこの設定をサポートしていないため、常にブロックされます。

    • [デバイス プラットフォームの例外] では、[追加] を選択し、環境の必要に応じて詳細を指定します。

      [アンマネージド デバイス アクセス] 設定が [ブロック済み] に設定されている場合は、それらをブロックするプラットフォーム例外があっても、登録済みの準拠デバイスは許可されます。

  9. [OK] を選択して編集を保存します。

  10. [レビューと保存][保存] の順に選択し、Exchange の条件付きアクセス ポリシーを保存します。

次の手順

次に、コンプライアンス ポリシーを作成し、それを Intune のユーザーに割り当てて、ユーザーのモバイル デバイスを評価します。デバイス コンプライアンスの概要に関する記事を参照してください。

Microsoft Intune での Intune オンプレミス Exchange コネクタのトラブルシューティング