【WP for ITPro】Exchange Server にアクセスできるスマフォを限定 ~ Exchange ActiveSync デバイス アクセス ポリシー(ABQリスト)
Exchange ActiveSync(EAS)にはさまざまな機能が実装されています。Windows Phone から Global Account List(GAL)を検索するのも、実は EAS によって実現される機能です。
さて、Exchange 2010(および Office 365)の EAS には 「ABQリスト」と呼ばれるポリシーが用意されています。
- A:Allow(許可)
- B:Block(ブロック)
- Q:Quarantine(検疫)
この機能を使用すると、EAS にアクセス可能なデバイスを制限したり、検疫することができます。
例えば、全社で Windows Phone を導入し業務での利用を許可しているとしましょう。社外に Exchange クライアントアクセスサーバーへのアクセスを許可していると、EAS プロトコルを実装しているデバイスから自由にアクセスできてしまいます(もちろんユーザーIDとドメイン名、パスワードを知らなければダメですが)。つまり、会社支給の Windows Phone に加えて、手持ちの iPhone や Android からもアクセス可能です。
社内に IT 部門を持っている企業の場合、未知のデバイスからのアクセスは極力拒否したい...と考えるかもしれません。
そんなときに使えるのが 「EAS デバイスアクセスルール」、通称 ABQ リストです。
ABQリストでは、大きく2つのポリシーを設定することができます。
- 特定のデバイスに対するポリシー
- その他のデバイスに対するポリシー
「特定のデバイス」に対するポリシーでは、デバイスの「種類」と「モデル」を明に指定し、これらに対して「許可」「ブロック」「検疫」のいずれかのアクションを設定します。指定した種類やモデルに合致したデバイスからアクセスがあった場合には、設定されているアクションが自動的に適用されます。
以下が設定画面です。最近発売されたばかりの IS12T は、デバイスの種類(デバイスファミリ)が「WP」で、デバイスのモデルが「FujitsuToshibaMobileCommun」です。以下の設定では「アクセスを許可」が設定されているので、このモデルは無条件でアクセスできることになります。
「検疫」が選択されていると、アクセスしてきたデバイスが検疫リストに表示されます。システム管理者は、検疫リストに表示されているデバイスに対して、個別に「許可」か「ブロック」を選択する必要があります。
「検疫」されたり「ブロック」されると、利用者にはメールが届きます。利用者は、サーバーから送られるこのメールだけは受信することができるため、自分のアカウントがどのような状態かを知ることができます。
検疫またはブロックされた場合で、かつデバイスがWindows Phone の場合には、アカウント設定画面に以下のようなワーニングが表示されます。黄色い文字で「要確認」と表示されているのがわかるでしょうか。
「その他のデバイスに関するポリシー」 は、「規定のデバイスに関するポリシー」に条件が明記されていないデバイスに対して適用されます。
ポリシーに何も明記されていないか、「許可」されていれば無条件でアクセスが許可されます。
「検疫」と設定されている場合には、上記と同様検疫リストに表示され、ユーザーにはその旨のメールが送付されます。
ちなみに、いくつかのデバイスでアクセステストしてみたところ、以下のようなデバイス種別およびデバイスモデルが収集できました。みずらくてすいません。
iPhone はおそらくこの1種類だと思われますが、Android および Windows Phone(WP)はベンダーごとに表記が異なる可能性があります。