Exchange Online のクライアント アクセス規則に関する手順Procedures for Client Access Rules in Exchange Online

概要: Exchange Online でクライアント アクセス規則を表示、作成、変更、削除、テストする方法について説明します。Summary: Learn how to view, create, modify, delete, and test Client Access Rules in Exchange Online.

クライアント アクセス規則は、接続プロパティに基づいて Exchange Online の組織へのクライアントの接続を許可またはブロックします。クライアント アクセス規則の詳細については、「Exchange Online のクライアント アクセス規則」を参照してください。Client Access Rules allow or block client connections to your Exchange Online organization based on the properties of the connection. For more information about Client Access Rules, see Client Access Rules in Exchange Online.

ヒント

規則が期待どおりに動作することを確認してください。各規則と規則間の相互動作を十分にテストしてください。詳細については、このトピックで後述する「Exchange Online の PowerShell を使用してクライアント アクセス規則をテストする」のセクションを参照してください。Verify that your rules work the way you expect. Be sure to thoroughly test each rule and the interactions between rules. For more information, see the Use Exchange Online PowerShell to test Client Access Rules section later in this topic.

始める前に把握しておくべき情報What do you need to know before you begin?

  • 各手順の推定完了時間: 5 分未満Estimated time to complete each procedure: less than 5 minutes.

  • このトピックの手順は、Exchange Online の PowerShell でのみ利用できます。 Windows PowerShell を使って Exchange Online に接続する方法については、「Exchange Online PowerShell への接続」を参照してください。The procedures in this topic are only available in Exchange Online PowerShell. To learn how to use Windows PowerShell to connect to Exchange Online, see Connect to Exchange Online PowerShell.

  • この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、以下を参照してください。「Exchange Online の機能アクセス許可」の「メール フロー」。You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Mail flow" entry in Feature permissions in Exchange Online.

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts for the Exchange admin center.

ヒント

問題がある場合は、Exchange のフォーラム (Exchange Online または Exchange Online Protection) にアクセスして質問してください。Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Online or Exchange Online Protection.

Exchange Online の PowerShell を使用してクライアントアクセス規則を表示するUse Exchange Online PowerShell to view Client Access Rules

すべてのクライアント アクセス規則の要約一覧を返すには、次のコマンドを実行します。To return a summary list of all Client Access Rules, run this command:

Get-ClientAccessRule

特定のルールについての詳細情報を返すには、次の構文を使用します。To return detailed information about a specific rule, use this syntax:

Get-ClientAccessRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

次の例では、「Block Client Connections from 192.168.1.0/24」という名前のルールのすべてのプロパティ値が返されます。This example returns all the property values for the rule named "Block Client Connections from 192.168.1.0/24".

Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List

この例では、同じルールの指定されたプロパティのみを返します。This example returns only the specified properties for the same rule.

Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List Name,Priority,Enabled,Scope,Action

構文およびパラメーターの詳細については、「Get-ClientAccessRule」を参照してください。For detailed syntax and parameter information, see Get-ClientAccessRule.

Exchange Online の PowerShell を使用してクライアント アクセス規則を作成するUse Exchange Online PowerShell to create Client Access Rules

Exchange Online の PowerShell でクライアント アクセス規則を作成するには、次の構文を使用します。To create Client Access Rules in Exchange Online PowerShell, use this syntax:

New-ClientAccessRule -Name "<RuleName>" [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]

この例では、Exchange ActiveSync クライアントのアクセスをブロックする「Block ActiveSync」という新しいクライアント アクセス規則を作成します。ただし、IP アドレスの範囲 192.168.10.1/24 にあるクライアントは例外とします。This example creates a new Client Access Rule named Block ActiveSync that blocks access for Exchange ActiveSync clients, except for clients in the IP address range 192.168.10.1/24.

New-ClientAccessRule -Name "Block ActiveSync" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24

:Notes:

  • ベストプラクティスとして、リモート PowerShell への管理者アクセスを保持するために、最高の優先度を持つクライアントアクセス規則を作成します。As a best practice, create a Client Access Rule with the highest priority to preserve your administrator access to remote PowerShell. 例: New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1For example: New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1.

  • _Priority_パラメーターを使用していないため、ルールには既定の優先度の値があります。The rule has the default priority value, because we didn't use the Priority parameter. 詳細については、このトピックで後述する「Exchange Online の PowerShell を使用してクライアントアクセス規則の優先順位を設定する」のセクションを参照してください。For more information, see the Use Exchange Online PowerShell to set the priority of Client Access Rules section later in this topic.

  • _Enabled_パラメーターを使用しておらず、既定値が$trueであるため、ルールが有効になっている。The rule is enabled, because we didn't use the Enabled parameter, and the default value is $true.

この例では、クライアントが 192.168.10.1/24 の範囲内の IP アドレスから来ている場合、またはユーザーアカウント名に "tanyas" が含まれている場合を除き、Exchange 管理センターへのアクセスをブロックする、Restrict EAC Access という名前の新しいクライアントアクセス規則を作成します。This example creates a new Client Access Rule named Restrict EAC Access that blocks access for the Exchange admin center, except if the client is coming from an IP address in the 192.168.10.1/24 range or if the user account name contains "tanyas".

New-ClientAccessRule -Name "Restrict EAC Access" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24 -ExceptUsernameMatchesAnyOfPatterns *tanyas*

構文およびパラメーターの詳細については、「New-ClientAccessRule」を参照してください。For detailed syntax and parameter information, see New-ClientAccessRule.

正常な動作を確認する方法How do you know this worked?

クライアント アクセス規則が正常に作成されたことを確認するには、次のいずれかの手順を使用します。To verify that you've successfully created a Client Access Rule, use any of these procedures:

  • Exchange Online の PowerShell で次のコマンドを実行して、ルールの一覧に新しいルールを表示します。Run this command in Exchange Online PowerShell to see the new rule in the list of rules:

    Get-ClientAccessRule
    
  • _ <RuleName> _をルールの名前に置き換え、次のコマンドを実行してルールの詳細を表示します。Replace <RuleName> with the name of the rule, and run this command to see the details of the rule:

    Get-ClientAccessRule -Identity "<RuleName>" | Format-List
    
  • どのクライアント アクセス規則が Exchange Online への特定のクライアント接続に影響するかは、 Test-ClientAccessRule コマンドレットを使用して確認します。詳細については、このトピックで後述する「 Exchange Online の PowerShell を使用してクライアント アクセス規則をテストする」のセクションを参照してください。See which Client Access Rules would affect a specific client connection to Exchange Online by using the Test-ClientAccessRule cmdlet. For more information, see the Use Exchange Online PowerShell to test Client Access Rules section later in this topic.

Exchange Online の PowerShell を使用してクライアント アクセス規則を変更するUse Exchange Online PowerShell to modify Client Access Rules

クライアント アクセス規則を変更する際には、他の追加の設定はありません。規則の作成時に利用可能だったものと同じ設定が利用できます。No additional settings are available when you modify a Client Access Rule. They're the same settings that were available when you created the rule.

Exchange Online の PowerShell でクライアント アクセス規則を変更するには、次の構文を使用します。To modify a Client Access Rule in Exchange Online PowerShell, use this syntax:

Set-ClientAccessRule -Identity "<RuleName>" [-Name "<NewName>"] [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]

次の例では、「Allow IMAP4」という名前の既存のクライアント アクセス規則を無効にします。This example disables the existing Client Access Rule named Allow IMAP4.

Set-ClientAccessRule -Identity "Allow IMAP4" -Enabled $false

クライアント アクセス規則を変更する際の考慮すべき重要な点は、複数の値を許可する条件や例外を変更する場合です。An important consideration when you modify Client Access Rules is modifying conditions or exceptions that accept multiple values:

  • 既存の値はすべて指定した値に置き換えられますThe values that you specify will replace any existing values.

  • 他の既存の値に影響を及ぼさずに値を追加または削除するには、次の構文を使用します。@{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}To add or remove values without affecting other existing values, use this syntax: @{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}

この例の場合、IP アドレス範囲 172.17.17.27/16 を、既存の IP アドレス値に影響を及ぼすことなく「Allow IMAP4」という名前の既存のクライアント アクセス規則に追加します。This example adds the IP address range 172.17.17.27/16 to the existing Client Access Rule named Allow IMAP4 without affecting the existing IP address values.

Set-ClientAccessRule -Identity "Allow IMAP4" -AnyOfClientIPAddressesOrRanges @{Add="172.17.17.27/16"}

構文およびパラメーターの詳細については、「Set-ClientAccessRule」を参照してください。For detailed syntax and parameter information, see Set-ClientAccessRule.

正常な動作を確認する方法How do you know this worked?

クライアント アクセス規則が正常に変更されたことを確認するには、次の手順のいずれかを使用します。To verify that you've successfully modified a Client Access Rule, use any of these procedures:

  • _ <RuleName> _をルールの名前に置き換え、次のコマンドを実行してルールの詳細を表示します。Replace <RuleName> with the name of the rule, and run this command to see the details of the rule:

    Get-ClientAccessRule -Identity "<RuleName>" | Format-List
    
  • どのクライアント アクセス規則が Exchange Online への特定のクライアント接続に影響するかは、 Test-ClientAccessRule コマンドレットを使用して確認します。詳細については、このトピックで後述する「 Exchange Online の PowerShell を使用してクライアント アクセス規則をテストする」のセクションを参照してください。See which Client Access Rules would affect a specific client connection to Exchange Online by using the Test-ClientAccessRule cmdlet. For more information, see the Use Exchange Online PowerShell to test Client Access Rules section later in this topic.

Exchange Online の PowerShell を使用してクライアント アクセス規則の優先順位を設定するUse Exchange Online PowerShell to set the priority of Client Access Rules

既定では、クライアント アクセス規則には作成された順序に基づく優先度が与えられます (新しい規則は、古い規則より優先度が低いです)。低い優先度の値は、規則の優先度が高いことを示し、規則は優先順位に従って処理されます (優先度の高い規則は優先度の低い規則より先に処理されます)。二つの規則が同じ優先度を持つことはできません。By default, Client Access Rules are given a priority that's based on the order they were created in (newer rules are lower priority than older rules). A lower priority number indicates a higher priority for the rule, and rules are processed in priority order (higher priority rules are processed before lower priority rules). No two rules can have the same priority.

規則に設定できる優先度の最高値は 1 です。設定できる最低値は規則の数に依存します。たとえば、規則が 5 つある場合、使用できる優先度の値は 1 から 5 です。既存の 1 つの規則の優先度を変更すると、他の規則にも連鎖的な影響が起こりえます。たとえば、規則が 5 つある場合 (優先度 1 から 5) に、1 つの規則の優先度を 5 から 2 に変更した場合、既存の優先度 2 の規則は優先度 3 に変更され、優先度 3 は優先度 4 に変更され、優先度 4 は優先度 5 に変更されます。The highest priority you can set on a rule is 1. The lowest value you can set depends on the number of rules. For example, if you have five rules, you can use the priority values 1 through 5. Changing the priority of an existing rule can have a cascading effect on other rules. For example, if you have five rules (priorities 1 through 5), and you change the priority of a rule from 5 to 2, the existing rule with priority 2 is changed to priority 3, the rule with priority 3 is changed to priority 4, and the rule with priority 4 is changed to priority 5.

Exchange Online の PowerShell でクライアント アクセス規則の優先度を設定するには、次の構文を使用します。To set the priority of a Client Access Rule in Exchange Online PowerShell, use this syntax:

Set-ClientAccessRule -Identity "<RuleName>" -Priority <Number>

この例では、「Disable IMAP4」という名前の規則の優先度を 2 に設定します。2 と同等またはそれ以下の優先度を持つすべての既存のルールは、優先度が 1 低くなります (優先度番号は 1 ずつ上がります)。This example sets the priority of the rule named Disable IMAP4 to 2. All existing rules that have a priority less than or equal to 2 are decreased by 1 (their priority numbers are increased by 1).

Set-ClientAccessRule -Identity "Disable IMAP" -Priority 2

:新しく作成したルールの優先度を設定するには、New-ClientAccessRule コマンドレット上の Priority パラメーターを使用します。Note: To set the priority of a new rule when you create it, use the Priority parameter on the New-ClientAccessRule cmdlet.

正常な動作を確認する方法How do you know this worked?

クライアント アクセス規則の優先度が正常に設定されたことを確認するには、次の手順のいずれかを使用します。To verify that you've successfully set the priority of a Client Access Rule, use either of these procedures:

  • Exchange Online の PowerShell で次のコマンドを実行して規則の一覧とその Priority 値を表示します。Run the this command in Exchange Online PowerShell to see the list of rules and their Priority values:

    Get-ClientAccessRule
    
  • _ <RuleName> _をルールの名前に置き換えて、次のコマンドを実行します。Replace <RuleName> with the name of the rule, and run this command:

    Get-ClientAccessRule -Identity "<RuleName>" | Format-List Name,Priority
    

Exchange Online の PowerShell を使用してクライアント アクセス規則を削除するUse Exchange Online PowerShell to remove Client Access Rules

Exchange Online の PowerShell でクライアント アクセス規則を削除するには、次の構文を使用します。To remove Client Access Rules in Exchange Online PowerShell, use this syntax:

Remove-ClientAccessRule -Identity "<RuleName>"

この例では、「Block POP3」という名前のクライアント アクセス規則を削除します。This example removes the Client Access Rule named Block POP3.

Remove-ClientAccessRule -Identity "Block POP3"

: クライアントアクセス規則を削除せずに無効にするには、 _Enabled_パラメーターを$falseSet-clientaccessruleコマンドレットの値と共に使用します。Note: To disable a Client Access Rule without deleting it, use the Enabled parameter with the value $false on the Set-ClientAccessRule cmdlet.

構文およびパラメーターの詳細については、「Remove-ClientAccessRule」を参照してください。For detailed syntax and parameter information, see Remove-ClientAccessRule.

正常な動作を確認する方法How do you know this worked?

クライアント アクセス規則が正常に削除されたことを確認するためには、Exchange Online の PowerShell で次のコマンドを実行し、規則が表示されなくなったことを確認します。To verify that you've successfully removed a Client Access Rule, run this command in Exchange Online PowerShell to verify that the rule is no longer listed:

Get-ClientAccessRule

Exchange Online の PowerShell を使用してクライアント アクセス規則をテストするUse Exchange Online PowerShell to test Client Access Rules

どのクライアント アクセス規則が Exchange Online への特定のクライアント接続に影響するかを確認するには、次の構文を使用します。To see which Client Access Rules would affect a specific client connection to Exchange Online, use this syntax:

Test-ClientAccessRule -User <MailboxIdentity> -AuthenticationType <AuthenticationType> -Protocol <Protocol> -RemoteAddress <ClientIPAddress> -RemotePort <TCPPortNumber>

この例では、次のプロパティを持つ Exchange Online へのクライアント接続に一致するクライアント アクセス規則を返します。This example returns the Client Access Rules that would match a client connection to Exchange Online that has these properties:

  • 認証の種類: 基本Authentication type: Basic

  • プロトコル:OutlookWebAppProtocol: OutlookWebApp

  • リモートアドレス: 172.17.17.26Remote address: 172.17.17.26

  • リモートポート: 443Remote port: 443

  • ユーザー: julia@contoso.comUser: julia@contoso.com

Test-ClientAccessRule -User julia@contoso.com -AuthenticationType BasicAuthentication -Protocol OutlookWebApp -RemoteAddress 172.17.17.26 -RemotePort 443

構文およびパラメーターの詳細については、「Test-ClientAccessRule」を参照してください。For detailed syntax and parameter information, see Test-ClientAccessRule.