これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。
OMMの管理対象iOSデバイスへのExchange ActiveSyncに対応したOkta Device Trustの適用
このOMM管理対象iOSデバイスに対するMicrosoft Office 365 EAS向けOkta Device Trustソリューションでは、次のことが可能です。
- パスワードの代わりに証明書を使用するようにiOSメール・アプリを構成して、OMMに登録されたユーザーがMicrosoft Office 365 Exchange ActiveSyncへの認証を行えるようにする。
- iOSメール・アプリのクライアント・アクセス・ポリシーを構成して、管理対象外のデバイスを使用するユーザーがMicrosoft Office 365 Exchange ActiveSyncにアクセスできないようにする。
このDevice Trustソリューションの主な利点は次のとおりです。
- エンド・ユーザーがOMMに登録されたiOSデバイスからネイティブのiOSメール・アプリ(EAS)をSSOでシームレスに利用できる。
- パスワードによる認証の代わりに証明書ベースの認証を適用することで、Office 365 Exchange ActiveSyncのセキュリティーが強化される。
-
管理対象外のiOSデバイスを使用しているユーザーによるOffice 365へのアクセスを防止する。
- Active Directory(AD)パスワードのリセットによるユーザーのアカウントのロックアウトを防ぐ。
前提条件 - Exchange Onlineの少なくとも1つのライセンスを使用してOkta組織にフェデレーションされたOffice 365テナント
- PowerShellコマンドを実行するWindowsコンピューター
- Azure PowerShell 5.0(64ビット)
- iOS 9以降のデバイス
手順 この手順には4つの主要なステップがあります。
ステップ1:OktaでExchange ActiveSyncの証明書ベースの認証を有効にする
重要
- ステップ1の最後で[保存]をクリックしないでください。変更内容は「ステップ3:OMMの登録デバイスにEASの証明書を配布する」で保存します。
- 組織でOffice 365アプリのインスタンスが複数設定されている場合、OktaではOffice 365アプリのインスタンス/ドメインごとに異なるOkta CA証明書が生成されることに注意してください。つまり、証明書ベースの認証を構成するOffice 365アプリのインスタンス/ドメインごとに、個別のルート証明書をアップロードする必要があります。
- 管理コンソールで、[アプリケーション] > に移動します。 Office 365アプリのインスタンスをクリックします。
- [モバイル]タブに移動し、[Exchange ActiveSyncの設定]まで下にスクロールして[編集]をクリックします。
- [Exchange ActiveSyncを有効にする]を選択します。
- プロファイル名を入力します。
- [iOSの証明書ベースの認証を有効にする]を選択します。
- [ルート証明書をダウンロード]をクリックします。
- この手順の後半で使用するため、[証明書失効リストのURL]と[デルタ証明書失効リストのURL]の内容をコピーしてテキスト・エディターに貼り付けます。
注意
[保存]はまだクリックしないでください。これらの設定は、「ステップ2:Office 365でExchange ActiveSyncの証明書ベースの認証を有効にする」でPowerShellの操作を完了した後、「ステップ3:OMMの登録デバイスにEASの証明書を配布する」で保存します。この時点で保存すると、Office 365でExchange ActiveSyncの証明書ベースの認証を有効にするときに問題が発生した場合に、ユーザーがメール・アプリにアクセスできなくなる可能性があります。
ステップ2:Office 365でExchange ActiveSyncの証明書ベースの認証を有効にする - Azure PowerShell 5.0(64ビット)を管理者として起動します。
重要
x86(32ビット)バージョンのPowerShellを使用しようとすると、エラー・メッセージが表示されます。
次のコマンドを発行して、PowerShellのAzureADモジュールをインストールします。
Install-Module -Name AzureAD –RequiredVersion 2.0.0.33
- 「続行するには NuGet プロバイダーが必要です」というメッセージが表示される場合は、[はい]をクリックしてNuGetプロバイダーをインストールおよびインポートします。
- 「信頼されていないリポジトリ」というメッセージが表示される場合は、[すべて続行]をクリックして必要なモジュールをインストールします。
- PowerShellで次のコマンドを発行し、Azure ADテナントに接続してOffice 365への認証を行います。
Connect-AzureAD
Azure Active Directoryのサインイン画面でOffice 365の認証情報を入力します。
- 必要なPowerShell変数を作成するには、PowerShellで次のコマンドを発行します。
$cert=Get-Content -Encoding byte "LOCATION OF YOUR CER FILE\filename.cer"
「LOCATION OF YOUR CER FILE\filename.cer」を*.cerファイルのパスとファイル名に置き換えてください。
$new_ca=New-Object -TypeName Microsoft.Open.AzureAD.Model.CertificateAuthorityInformation
$new_ca.AuthorityType=0
$new_ca.TrustedCertificate=$cert
- Office 365で証明書の失効を有効にするには、次のコマンドを発行します。前に保存した失効URLを貼り付けてください。
$new_ca.crlDistributionPoint = "CERTIFICATE REVOCATION LIST URL"
「CERTIFICATE REVOCATION LIST URL」を前に保存した[証明書失効リストのURL]の内容に置き換えます。
$new_ca.deltaCrlDistributionPoint = "DELTA CERTIFICATE REVOCATION LIST URL"
「DELTA CERTIFICATE REVOCATION LIST URL」を前に保存した[デルタ証明書失効リストのURL]の内容に置き換えます。
- 適切な認証局をOffice 365に追加するには、次のコマンドを発行します。
New-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $new_ca
- 認証局がOffice 365に追加されたことを確認するには、次のコマンドを発行します。
Get-AzureADTrustedCertificateAuthority
- 任意:必要に応じて、構成のトラブルシューティングに役立つ以下のコマンドを発行します。
既存の認証局を変数に追加する場合は、次のコマンドを発行します。
$c=Get-AzureADTrustedCertificateAuthority
認証局を削除する場合は、次のコマンドを発行して正しい証明書を選択します。番号は0(ゼロ)から始まります。たとえば、最初の証明書を削除するには、次のように「0」を入力します。
Remove-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]
ステップ3:OMMの登録デバイスにEASの証明書を配布する - 手動で構成したEASプロファイルがデバイスにインストールされている場合は削除するようにエンド・ユーザーに勧めます。
- Okta管理コンソールで、[Exchange ActiveSyncの設定]ダイアログ・ボックスに戻り、[保存]をクリックします。
- [Exchange ActiveSyncの変更を確認]メッセージで[保存]をクリックします。
ステップ4 :(任意)iOSメール・アプリ(EAS)を使用して、管理対象外のデバイスからOffice 365メールにアクセスできないようにする 注
ステップ4については、ユーザーにOkta Mobility Managementへの登録を通知している場合のみ構成してください。
- Office 365クライアント・アクセス・ポリシーを構成します。
- 管理コンソールで、[アプリケーション] > に移動します。 [アプリケーション]の順に選択し、Office 365アプリのインスタンスをクリックします。
- [サインオン]タブをクリックし、[サインオン・ポリシー]まで下にスクロールして、[ルールを追加]をクリックします。
- ルールの名前を入力し、該当するグループまたはユーザーに適用します。
- [クライアント]セクションで、[Mobile(Exchange ActiveSync)]と[iOS]を選択します。
- [アクション]セクションで、[上記の条件がすべて満たされた場合、このアプリケーションへのサインオンは次のようになります]の[アクセス]の設定を[拒否]に変更します。
- [保存]をクリックします。
重要
他のオプションが選択されていないことを確認してください。
- OMMに登録されたiOSデバイスを使用して、Device Trustの構成を確認します。
- OMMに登録されたiOSデバイスが適切なOktaモバイル・ポリシーの対象になっていることを確認します。
- ネイティブのiOSメール・アプリを起動し、Office 365への認証なしでメールを利用できることを確認します。
- ネイティブのiOSメール・アプリで手動でEASメール・アカウントを作成し、手動で構成したメール・アカウントがOktaでブロックされることを確認します。
既知の問題 - EASプロファイルの重複が原因でパスワードのプロンプトが何度も表示される:iOS 9.3およびiOS 10.2デバイスのユーザーがOMMへの登録前にネイティブのiOSメール・アプリを手動で構成していた場合、OMMの登録によって証明書ベースのプロファイルがデバイスに自動的にプッシュされると、デバイスでEASプロファイルが重複した状態になります。iOS 9.3デバイスでは、この重複によって混乱が生じる可能性があります。iOS 10.2デバイスでは、プロファイルの重複の問題に加えて、手動で構成したプロファイルでメールを受信できず、パスワードの入力を何度も求められます。これらの問題に対処するために、手動で構成したプロファイルはデバイスから削除するようにユーザーに勧めることを推奨します。そうしないと、パスワードのプロンプトが繰り返し表示されます。
- 現在、この機能はiOSデバイスのネイティブのiOSメール・アプリのみをサポートしています。
ユーザーが認証情報の入力を求められることがある :CBAが構成されたOffice 365アプリ・インスタンスの割り当てを解除してからユーザーまたはグループに再割り当てした場合、ユーザーがEAS対応のネイティブのiOSメール・クライアントにアクセスしようとしたときに認証情報を入力するように求められます。ユーザーが認証情報を入力した後も、「メールを取得できません」というメッセージが表示されます。ユーザーがメールを利用できるようになるまでに数時間かかることがあります。
- iOS版またはAndroid版のOutlookへのアクセスをブロックする:エンド・ユーザーがiOS版またはAndroid版のOutlookにアクセスできないようにする場合は、Microsoftの記事「Enabling Outlook for iOS and Android in Exchange Online」の説明に従ってアクセスをブロックできます。下にスクロールして「Blocking Outlook for iOS and Android」を参照してください。
CRLキャッシュの更新が必要:Oktaで証明書が取り消された場合、または信頼されたルートCA証明書がExchange Online/O365/Azure ADから削除された場合、その証明書を使用するCBAのEAS対応デバイスでは、Office 365で次に証明書失効リスト(CRL)キャッシュが無効化されて更新されるまで引き続きメールを利用できます。キャッシュが更新されると、デバイスによるメールの利用がMicrosoftから拒否されるようになります。Microsoftのキャッシュは、24時間ごとに1回、またはデバイスが別のWi-Fiネットワークに切り替わるたびに期限切れになります。
- Outlookメール・アプリの使用時にヘッダーに複数のOSタイプが含まれる:Oktaでは、iOSおよびAndroidデバイスのOutlookメール・アプリから要求を受信したときに、ヘッダーにiOSとAndroidの両方が含まれるためOSタイプを正確に識別できません。この場合にクライアント・アクセス・ポリシーが確実に適用されるようにするには、[Mobile(Exchange ActiveSync)]クライアント・アクセス・ポリシーで[その他]オプションを選択します。詳細については、「Office 365クライアント・アクセス・ポリシーのルールの構成」を参照してください。