Exchange Online のクライアント アクセス規則Client Access Rules in Exchange Online

概要: 管理者がクライアント アクセス規則を使用して、Exchange Online へのさまざまな種類のクライアント接続を許可またはブロックする方法について説明します。Summary: Learn how administrators can use Client Access Rules to allow or block different types of client connections to Exchange Online.

クライアント アクセス規則は、クライアント プロパティまたはクライアント アクセス要求に基づいて Exchange Online 組織に対するアクセスを制御するのに役立ちます。クライアント アクセス規則は、Exchange Online 組織へのクライアント接続に関するメール フロー ルール (トランスポート ルールとも呼ばれる) に似ています。クライアントが、IP アドレス、認証の種類、ユーザー プロパティの値、および接続に使用しているプロトコル、アプリケーション、サービス、リソースに基づいて Exchange Online に接続できないようにすることができます。次に例を示します。Client Access Rules help you control access to your Exchange Online organization based on client properties or client access requests. Client Access Rules are like mail flow rules (also known as transport rules) for client connections to your Exchange Online organization. You can prevent clients from connecting to Exchange Online based on their IP address, authentication type, and user property values, and the protocol, application, service, or resource that they're using to connect. For example:

  • 特定の IP アドレスからの Exchange ActiveSync クライアントへのアクセスを許可し、他のすべての ActiveSync クライアントをブロックする。Allow access to Exchange ActiveSync clients from specific IP addresses, and block all other ActiveSync clients.

  • 特定の部門、市町村、国のユーザーの Exchange Web サービス (EWS) へのアクセスをブロックする。Block access to Exchange Web Services (EWS) for users in specific departments, cities, or countries.

  • ユーザー名に基づいて特定のユーザーのオフライン アドレス帳 (OAB) へのアクセスをブロックする。Block access to an offline address book (OAB) for specific users based on their usernames.

  • フェデレーション認証を使用したクライアント アクセスを防止する。Prevent client access using federated authentication.

  • Exchange Online の PowerShell を使用したクライアント アクセスを防止する。Prevent client access using Exchange Online PowerShell.

  • 特定の国または地域内のユーザーの Exchange 管理センター (EAC) へのアクセスをブロックする。Block access to the Exchange admin center (EAC) for users in a specific country or region.

クライアント アクセス規則の手順については、Exchange Online のクライアント アクセス規則に関する手順 を参照してください。For Client Access Rule procedures, see Procedures for Client Access Rules in Exchange Online.

クライアント アクセス規則の構成要素Client Access Rule components

規則は、条件、例外、アクション、および優先順位の値で構成されます。A rule is made of conditions, exceptions, an action, and a priority value.

  • 条件: アクションを適用するクライアント接続を識別します。条件の完全な一覧については、後述する「クライアント アクセス規則の条件と例外」セクションを参照してください。クライアント接続が規則の条件を満たしている場合は、アクションがクライアント接続に適用され、規則の評価が停止します (これ以上、規則が接続に適用されなくなります)。Conditions: Identify the client connections to apply the action to. For a complete list of conditions, see the Client Access Rule conditions and exceptions section later in this topic. When a client connection matches the conditions of a rule, the action is applied to the client connection, and rule evaluation stops (no more Rules are applied to the connection).

  • 例外: アクションが適用されないクライアント接続を識別します (オプション)。例外は、条件より優先され、接続が構成されたすべての条件を満たしている場合でも、規則のアクションが接続に適用されないようにします。例外によって許可されたクライアント接続に対する規則の評価は継続されますが、それ以降の規則が接続に影響を与える可能性があります。Exceptions: Optionally identify the client connections that the action shouldn't apply to. Exceptions override conditions and prevent the rule action from being applied to a connection, even if the connection matches all of the configured conditions. Rule evaluation continues for client connections that are allowed by the exception, but a subsequent rule could still affect the connection.

  • アクション: 規則内の条件を満たし、どの例外にも該当しないクライアント接続に対するアクションを指定します。有効なアクションは次のとおりです。Action: Specifies what to do to client connections that match the conditions in the rule, and don't match any of the exceptions. Valid actions are:

    • 接続を許可する (、 AllowAccess _アクション_パラメーターの値)。Allow the connection (the AllowAccess value for the Action parameter).

    • 接続をブロック (、 DenyAccess _アクション_パラメーターの値)。Block the connection (the DenyAccess value for the Action parameter).

      :特定のプロトコルの接続をブロックすると、同じプロトコルを使用している他のアプリケーションも影響を受ける可能性があります。Note: When you block connections for a specific protocol, other applications that rely on the same protocol might also be affected.

  • 優先順位: クライアント接続に規則を適用する順番を示します (数値が小さいほど、優先順位が高いことを示す)。既定の優先順位は規則の作成時期に基づき (古い規則の方が新しい規則より優先順位が高い)、優先順位の高い規則が優先順位の低い規則よりも先に処理されます。クライアント接続が規則内の条件を満たした段階で規則の処理が停止することを覚えておいてください。Priority: Indicates the order that the rules are applied to client connections (a lower number indicates a higher priority). The default priority is based on when the rule is created (older rules have a higher priority than newer rules), and higher priority rules are processed before lower priority rules. Remember, rule processing stops once the client connection matches the conditions in the rule.

    規則に対する優先順位の値の設定方法について詳しくは、「Exchange Online の PowerShell を使用してクライアント アクセス規則の優先順位を設定する」を参照してください。For more information about setting the priority value on rules, see Use Exchange Online PowerShell to set the priority of Client Access Rules.

クライアント アクセス規則の評価方法How Client Access Rules are evaluated

同じ条件を含む複数の規則の評価方法と、複数の条件、条件の値、および例外を含む規則の評価方法について、次の表で説明します。How multiple rules with the same condition are evaluated, and how a rule with multiple conditions, condition values, and exceptions are evaluated are described in the following table.

コンポーネントComponent ロジックLogic コメントComments
同じ条件を含む複数の規則Multiple rules that contain the same condition 最初の規則が適用され、それ以降の規則は無視されます。The first rule is applied, and subsequent rules are ignored たとえば、最高優先順位の規則が Web 上の Outlook 接続をブロックし、特定の IP アドレス範囲の Web 上の Outlook 接続を許可する別の規則を作成した場合は、すべての Web 上の Outlook 接続が最初の規則によってブロックされます。Web 上の Outlook 用の別の規則を作成するのではなく、指定した IP アドレス範囲からの接続を許可する例外を既存の Web 上の Outlook 規則に追加する必要があります。For example, if your highest priority rule blocks Outlook on the web connections, and you create another rule that allows Outlook on the web connections for a specific IP address range, all Outlook on the web connections are still blocked by the first rule. Instead of creating another rule for Outlook on the web, you need to add an exception to the existing Outlook on the web rule to allow connections from the specified IP address range.
1 つの規則内の複数の条件Multiple conditions in one rule ANDAND クライアント接続は、規則内のすべての条件を満たす必要があります。たとえば、経理部門のユーザーからの EWS 接続です。A client connection must match all conditions in the rule. For example, EWS connections from users in the Accounting department.
1 つの規則内に複数の値を持つ 1 つの条件One condition with multiple values in a rule OROR 複数の値を許可する条件の場合は、接続が指定された条件のいずれか (すべてではない) を満たす必要があります。たとえば、EWS 接続または IMAP4 接続です。For conditions that allow more than one value, the connection must match any one (not all) of the specified conditions. For example, EWS or IMAP4 connections.
1 つの規則内の複数の例外Multiple exceptions in one rule OROR クライアント接続が例外のいずれかと一致する場合は、アクションがそのクライアント接続に適用されません。接続は、すべての例外と一致する必要がありません。たとえば、IP アドレスの 19.2.168.1.1 または基本認証です。If a client connection matches any one of the exceptions, the actions are not applied to the client connection. The connection doesn't have to match all the exceptions. For example, IP address 19.2.168.1.1 or Basic authentication.

特定のクライアント接続がクライアント アクセス規則から受ける影響 (どの規則が一致して接続に影響するか) をテストすることができます。詳細については、「Exchange Online の PowerShell を使用してクライアント アクセス規則をテストする」を参照してください。You can test how a specific client connection would be affected by Client Access Rules (which rules would match and therefore affect the connection). For more information, see Use Exchange Online PowerShell to test Client Access Rules.

重要事項Important notes

内部ネットワークからのクライアント接続Client connections from your internal network

ローカル ネットワークからの接続も、クライアント アクセス規則を自動的にバイパスできるわけではありません。そのため、Exchange Online へのクライアント接続をブロックするクライアント アクセス規則を作成する場合は、内部ネットワークからの接続に与える影響を考慮する必要があります。内部クライアント接続にクライアント アクセス規則をバイパスさせるための推奨される方法は、内部ネットワーク (すべてのまたは特定の IP アドレス) からのクライアント接続を許可する最高優先順位規則を作成することです。これにより、将来作成される他のブロッキング規則に関係なく、クライアント接続は常に許可されます。Connections from your local network aren't automatically allowed to bypass Client Access Rules. Therefore, when you create Client Access Rules that block client connections to Exchange Online, you need to consider how connections from your internal network might be affected. The preferred method to allow internal client connections to bypass Client Access Rules is to create a highest priority rule that allows client connections from your internal network (all or specific IP addresses). That way, the client connections are always allowed, regardless of any other blocking rules that you create in the future.

クライアント アクセス規則と中間層アプリケーションClient Access Rules and middle-tier applications

Exchange Online にアクセスするアプリケーションの多くは、中間層 (中間層アプリケーションにクライアントの説明およびアーキテクチャ Exchange Online に中間層アプリケーションの説明) を使用します。のみ、ローカル ネットワークからのアクセスを許可するクライアントのアクセス ルールは、中間層アプリケーションをブロック可能性があります。そのため、ルールでは、中間層アプリケーションの IP アドレスを許可する必要があります。Many applications that access Exchange Online use a middle-tier architecture (clients talk to the middle-tier application, and the middle-tier application talks to Exchange Online). A Client Access Rule that only allows access from your local network might block middle-tier applications. So, your rules need to allow the IP addresses of middle-tier applications.

Microsoft によって所有される中間層アプリケーション (たとえば、iOS および Android 用の Outlook) は、クライアント アクセス規則によるブロックをバイパスし、常に許可されます。これらのアプリケーションに対してさらに高度な制御を提供するには、アプリケーションで使用可能な制御機能を使用する必要があります。Middle-tier applications owned by Microsoft (for example, Outlook for iOS and Android) will bypass blocking by Client Access Rules, and will always be allowed. To provide additional control over these applications, you need to use the control capabilities that are available in the applications.

規則変更のタイミングTiming for rule changes

全体的なパフォーマンスを向上させるため、クライアント アクセス規則はキャッシュを使用します。つまり、規則への変更はすぐには有効になりません。組織で作成する最初の規則が有効になるまで、最大 24 時間かかることがあります。その後、規則の変更、追加、削除が有効になるには、最大 1 時間かかることがあります。To improve overall performance, Client Access Rules use a cache, which means changes to rules don't immediately take effect. The first rule that you create in your organization can take up to 24 hours to take effect. After that, modifying, adding, or removing rules can take up to one hour to take effect.

管理Administration

クライアント アクセス規則の管理に使用できるのはリモート PowerShell のみであるため、リモート PowerShell へのアクセスをブロックする規則には注意が必要です。リモート PowerShell へのアクセスをブロックする規則を作成する、またはすべてのユーザーのすべてのプロトコルをブロックする規則を作成する場合、作成したユーザーも規則を修正できなくなります。Microsoft カスタマー サービス & サポートに問い合わせて、自分が作成した規則を修正できるように、リモート PowerShell アクセスを付与する規則を作成してもらいます。この新しい規則が有効になるには、最大で 1 時間かかることに注意してください。You can only use remote PowerShell to manage Client Access Rules, so you need to be careful about rules that block your access to remote PowerShell. If you create a rule that blocks your access to remote PowerShell, or if you create a rule that blocks all protocols for everyone, you'll lose the ability to fix the rules yourself. You'll need to call Microsoft Customer Service and Support, and they will create a rule that gives you remote PowerShell access from anywhere so you can fix your own rules. Note that it can take up to one hour for this new rule to take effect.

ベスト プラクティスは、リモート PowerShell へのアクセスを保持するための、最高の優先度のクライアント アクセス規則を作成することです。例:As a best practice, create a Client Access Rule with the highest priority to preserve your access to remote PowerShell. For example:

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

認証の種類とプロトコルAuthentication types and protocols

すべてのプロトコルは、すべての認証の種類がサポートされています。プロトコルごとのサポートされている認証の種類は次の表で説明します。Not all authentication types are supported for all protocols. The supported authentication types per protocol are described in this table:

AdfsAuthenticationAdfsAuthentication BasicAuthenticationBasicAuthentication CertificateBasedAuthenticationCertificateBasedAuthentication NonBasicAuthenticationNonBasicAuthentication OAuthAuthenticationOAuthAuthentication
ExchangeActiveSync 該当なしn/a サポートされるsupported サポートされるsupported 該当なしn/a サポートされるsupported
ExchangeAdminCenter サポートされるsupported サポートされるsupported 該当なしn/a 該当なしn/a 該当なしn/a
ExchangeWebServices 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a
IMAP4 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a
OfflineAddressBook 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a
OutlookAnywhere 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a
OutlookWebApp サポートされるsupported サポートされるsupported 該当なしn/a 該当なしn/a 該当なしn/a
POP3 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a
PowerShellWebServices 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a
RemotePowerShell 該当なしn/a サポートされるsupported 該当なしn/a サポートされるsupported 該当なしn/a
REST 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a
UniversalOutlook 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a 該当なしn/a

クライアント アクセス規則の条件と例外Client Access Rule conditions and exceptions

クライアント アクセス規則内の条件と例外は、規則が適用されるクライアント接続と、規則が適用されないクライアント接続を識別します。たとえば、Exchange ActiveSync クライアントによるアクセスを規則でブロックする場合に、特定の IP アドレス範囲からの Exchange ActiveSync 接続を許可するように規則を構成できます。構文は条件と対応する例外で同じです。唯一の違いは、条件は含めるクライアント接続を指定するのに対して、例外は除外するクライアント接続を指定することです。Conditions and exceptions in Client Access Rules identify the client connections that the rule is applied to or not applied to. For example, if the rule blocks access by Exchange ActiveSync clients, you can configure the rule to allow Exchange ActiveSync connections from a specific range of IP addresses. The syntax is the same for a condition and the corresponding exception. The only difference is conditions specify client connections to include, while exceptions specify client connections to exclude.

次の表で、クライアント アクセス規則で使用可能な条件と例外について説明します。This table describes the conditions and exceptions that are available in Client Access Rules:

Exchange Online の PowerShell の条件パラメーターCondition parameter in Exchange Online PowerShell Exchange Online の PowerShell の例外パラメーターException parameter in Exchange Online PowerShell 説明Description
AnyOfAuthenticationTypesAnyOfAuthenticationTypes ExceptAnyOfAuthenticationTypesExceptAnyOfAuthenticationTypes 有効な値は次のとおりです。Valid values are:
AdfsAuthentication
BasicAuthentication
CertificateBasedAuthentication
NonBasicAuthentication
OAuthAuthentication
複数の値をコンマで区切って指定できます。引用符は、すべての値を囲むのではなく ("value1,value2" とはしない)、個々の値を囲むように使用できます ("value1"、"value2")。You can specify multiple values separated by commas. You can use quotation marks around each individual value ("value1","value2"), but not around all values (don't use "value1,value2").
AnyOfClientIPAddressesOrRangesAnyOfClientIPAddressesOrRanges ExceptAnyOfClientIPAddressesOrRangesExceptAnyOfClientIPAddressesOrRanges 有効な値は次のとおりです。Valid values are:
1 つの IP アドレス: たとえば、 192.168.1.1A single IP address: For example, 192.168.1.1.
1 の IP アドレスの範囲: たとえば、 192.168.0.1-192.168.0.254An IP address range: For example, 192.168.0.1-192.168.0.254.
クラスレス ドメイン間ルーティング (CIDR) IP: たとえば、 192.168.3.1/24Classless Inter-Domain Routing (CIDR) IP: For example, 192.168.3.1/24.
複数の値をコンマで区切って指定できます。You can specify multiple values separated by commas.
AnyOfProtocolsAnyOfProtocols ExceptAnyOfProtocolsExceptAnyOfProtocols 有効な値は次のとおりです。Valid values are:
ExchangeActiveSync
ExchangeAdminCenter
ExchangeWebServices
IMAP4
OfflineAddressBook
OutlookAnywhere (HTTP 経由で MAPI を含む)OutlookAnywhere (includes MAPI over HTTP)
OutlookWebApp (Outlook web 上)OutlookWebApp (Outlook on the web)
POP3
PowerShellWebServices
RemotePowerShell
REST
UniversalOutlook (メールや予定表アプリケーション)UniversalOutlook (Mail and Calendar app)
コンマで区切られた複数の値を指定することができます。ごとの個別の値を囲む引用符を使用することができます (" value1","値 2")、("value1value2"を使用しない) すべての値の周りにいませんが。You can specify multiple values separated by commas. You can use quotation marks around each individual value (" value1","value2"), but not around all values (don't use "value1,value2").
:すべてのプロトコルにルールが適用されるルールでこの条件を使用しない場合。Note: If you don't use this condition in a rule, the rule is applied to all protocols.
ScopeScope 該当なしn/a 規則を適用する接続の種類を指定します。有効な値は次のとおりです。 Specifies the type of connections that the rule applies to. Valid values are:
Users: ルールは、エンド ・ ユーザーの接続にのみ適用されます。Users: The rule only applies to end-user connections.
All: すべての種類の接続 (エンド ・ ユーザーおよびアプリケーションの中間層) に規則が適用されます。All: The rule applies to all types of connections (end-users and middle-tier apps).
UsernameMatchesAnyOfPatternsUsernameMatchesAnyOfPatterns ExceptUsernameMatchesAnyOfPatternsExceptUsernameMatchesAnyOfPatterns テキストとワイルドカード文字を受け入れる (*) の形式でユーザーのアカウント名を識別する<Domain>\<UserName>(たとえば、contoso.com\jeffまたは*jeff*、ではなくjeff*)。英数字以外の文字は、エスケープ文字を必要としません。Accepts text and the wildcard character (*) to identify the user's account name in the format <Domain>\<UserName> (for example, contoso.com\jeff or *jeff*, but not jeff*). Non-alphanumeric characters don't require an escape character.
複数の値をコンマで区切って指定できます。You can specify multiple values separated by commas.
UserRecipientFilterUserRecipientFilter 該当なしn/a OPath フィルター構文を使用して、ルールを適用するユーザーを識別します。たとえば、 {City -eq 'Redmond'}。フィルターの属性は次のとおりです。Uses OPath filter syntax to identify the user that the rule applies to. For example, {City -eq 'Redmond'}. The filterable attributes are:
City
Company
CountryOrRegion
CustomAttribute1CustomAttribute15CustomAttribute1 to CustomAttribute15
Department
Office
PostalCode
StateOrProvince
StreetAddress
検索条件の構文を使用する{<Property> -<Comparison operator> '<Value>'}The search criteria uses the syntax {<Property> -<Comparison operator> '<Value>'}.
<Property>は、フィルターのプロパティです。<Property> is a filterable property.
-<Comparison Operator> OPATH 比較演算子です。たとえば-eq(ワイルドカードはサポートされていません) 厳密に一致して-likeの文字列比較を必要とするプロパティの値の少なくとも 1 つのワイルドカード)。比較演算子の詳細については、 about_Comparison_Operatorsを参照してください。-<Comparison Operator> is an OPATH comparison operator. For example -eq for exact matches (wildcards are not supported) and -like for string comparison (which requires at least one wildcard in the property value). For more information about comparison operators, see about_Comparison_Operators.
<Value>は、プロパティの値です。スペースまたはワイルドカードを使用した値の有無にかかわらず、テキスト値 (*) 引用符で囲む必要があります (たとえば、'<Value>'または'*<Value>')。システムの値に引用符を使用しない$nullの空の値) または整数です。<Value> is the property value. Text values with or without spaces or values with wildcards (*) need to be enclosed in quotation marks (for example, '<Value>' or '*<Value>'). Don't use quotation marks with the system value $null (for blank values) or integers.
論理演算子を使用して複数の検索条件を結合することができます-and-or。たとえば、{<Criteria1>) -and <Criteria2>}または{(<Criteria1> -and <Criteria2>) -or <Criteria3>}You can chain multiple search criteria together using the logical operators -and and -or. For example, {<Criteria1>) -and <Criteria2>} or {(<Criteria1> -and <Criteria2>) -or <Criteria3>}.