Microsoft Office 365でのモダン認証
Secure Mailは、Active Directoryフェデレーションサービス (AD FS) またはIDプロバイダー (IDP) を使用するMicrosoft Office 365でのモダン認証をサポートしています。モダン認証は、ユーザー名とパスワードによるOAuthトークンベースの認証です。iOSデバイスを使用するSecure Mailユーザーは、Office 365への接続時に証明書ベースの認証を利用できます。Secure Mailにサインオンする際、ユーザーは資格情報を入力する代わりにクライアント証明書を使用して認証します。
続行する前に、以下を実行してください。
- Microsoft Office 365でモダン認証 (OAuth) を有効にします。
- 最適なネットワーク接続を確保するために、ファイアウォールでOffice 365のエンドポイント、URL、およびIPアドレス範囲を有効にします。詳細については、MicrosoftドキュメントのOffice 365 の URL および IP アドレス範囲を参照してください。
注:
- ハイブリッドExchangeメールボックスソリューションを移行または作成するには、MicrosoftドキュメントのExchangeハイブリッド展開でのExchange ActiveSyncデバイス設定を参照してください。
Citrix Endpoint Management™ポリシーの前提条件
Citrix Endpoint Managementコンソールで以下のポリシーを有効にします。
- **iOSデバイスの場合:**
- **Office 365認証メカニズム:** このポリシーを使用して、Office 365でアカウントを構成する際に認証に使用されるOAuthメカニズムを指定します。このポリシーには、構成する必要がある以下の値があります。
- **OAuthを使用しない:** アカウント構成時の基本認証には、このポリシーを使用します。
- **ユーザー名とパスワードでOAuthを使用する:** 認証時のOAuthプロトコルには、このポリシーを使用します。ユーザーは、OAuthフローのためにユーザー名とパスワード、およびオプションで多要素認証コードを提供する必要があります。
- **クライアント証明書でOAuthを使用する:** Office 365が証明書ベースの認証を実行するように構成されている場合は、このポリシーを使用します。デフォルトの構成は**OAuthを使用しない**です。
- **Androidデバイスの場合:**
- **O365にモダン認証を使用する:** 認証時のOAuthプロトコルには、このポリシーを使用します。
- **トンネリングポリシーにWeb SSOを使用する:** このポリシーを使用して、OAuthトラフィックをトンネル化されたWeb SSO経由で送信します。これを行うには:
- **トンネリングにWeb SSOを使用する**ポリシーを**オン**に設定します。
- ネットワークアクセスポリシーで**トンネル化されたWeb SSO**オプションを選択します。
> **注:**
>
> STAの有効化については、「[STAを介したメールサーバーへの接続](/ja-jp/citrix-secure-mail/configuring-background-services-secure-mail#connection-to-a-mail-server-via-the-sta)」を参照してください。
- **バックグラウンドサービス**ポリシーから、OAuthに関連するすべてのホスト名を除外します。
-
iOSおよびAndroidデバイスに共通のポリシー:
- モダン認証用のカスタムユーザーエージェント: このポリシーを使用して、モダン認証のデフォルトのユーザーエージェント文字列を変更します。
-
信頼されたExchange Onlineホスト名: このポリシーを使用して、アカウント構成時に認証にOAuthメカニズムを使用する信頼されたExchange Onlineホスト名のリストを定義します。これは、
server.company.com, server.company.co.ukのようなコンマ区切りの形式です。このリストには、デフォルト値またはバニティURLを含めることができますが、空にすることはできません。デフォルト値はoutlook.office365.comです。 -
信頼されたAD FSホスト名: このポリシーを使用して、Office 365 OAuth認証中にパスワードが自動入力されるWebページの信頼されたAD FSホスト名のリストを定義します。これは、
sts.companyname.com, sts.company.co.ukのようなコンマ区切りの形式です。リストが空の場合、Secure Mailはパスワードを自動入力しません。Secure Mailは、Office 365認証中に遭遇したWebページのホスト名とリストされたホスト名を照合し、そのページがHTTPSプロトコルを使用しているかどうかを確認します。たとえば、sts.company.comがリストされたホスト名であり、ユーザーがhttps://sts.company.comに移動した場合、そのページにパスワードフィールドがあれば、Secure Mailはパスワードを自動入力します。デフォルト値はlogin.microsoftonline.comです。 -
Office 365 Exchange Server: このポリシーを使用して、クラウド上にあるOffice 365メールボックスのホスト名を定義します。ホスト名は、
outlook.office365.comのような単一の値です。デフォルト値はoutlook.office365.comです。 - Secure Mail Exchange Server: このポリシーを使用して、Exchange Serverのアドレスを定義します。このポリシーを使用して、要件に基づいてオンプレミスサーバーアドレスまたはクラウドサーバーアドレスのいずれかを定義できます。
-
HTTP 451リダイレクトの構成: リダイレクトの構成方法の詳細については、Knowledge Centerの記事「Secure Mail ActiveSync redirect 451」を参照してください。
-
デバイスでポリシーが更新されると、iOS版Secure Mailでモダン認証が有効になります。
-
Exchange Serverの構成オプション
Secure Mailは、outlook.office365.comまたはMicrosoft統合ドメインoutlook.cloud.microsoftのいずれかを使用して構成できます。
outlook.office365.comを使用した構成
Secure Mail Exchange Serverとしてoutlook.office365.comを使用してSecure Mailを構成するには:
-
Secure Mail Exchange Serverを
outlook.office365.comに設定します。 -
バックグラウンドネットワークサービスに
outlook.office365.com:443を追加します。 -
信頼されたExchange Onlineホスト名をデフォルト値の
outlook.office365.comのままにします。 -
Office 365 Exchange Serverをデフォルト値の
outlook.office365.comのままにします。
Microsoft統合ドメインoutlook.cloud.microsoftを使用した構成
Secure Mail Exchange Serverとしてoutlook.cloud.microsoftを使用してSecure Mailを構成するには:
-
Secure Mail Exchange Serverを
outlook.cloud.microsoftに設定します。 -
バックグラウンドネットワークサービスに
outlook.cloud.microsoft:443を追加します。 -
信頼されたExchange Onlineホスト名に
outlook.cloud.microsoftを追加します。 -
Office 365 Exchange Serverをデフォルト値の
outlook.office365.comのままにします。新しいドメインに置き換えないでください。
制限事項
- 環境でモダン認証を使用している場合、iOSのリッチプッシュ通知機能は利用できません。リッチプッシュ通知の詳細については、「Secure Mailのプッシュ通知」を参照してください。
- 証明書ベースの認証を実行しているセットアップでは、複数のアカウントはサポートされていません。
Secure Mailポリシー
以下の2つの表は、Exchangeインフラストラクチャに基づいて必要なSecure Mailポリシーを示しています。
| Exchange Infrastructure | Office 365 authentication mechanism/ Use Modern authentication for O365 | Trusted AD FS Online Hostnames | Trusted Exchange Online Hostnames |
|---|---|---|---|
| On-premises | OFF | NA | NA |
| Hybrid* | ON | AD FS/IDP |
Outlook.office365.com or vanity URL |
| Exchange online | ON | AD FS/IDP |
Outlook.office365.com or vanity URL |
| Exchange Infrastructure | Secure Mail Exchange Server | Background network services (iOS) | Background network services (Android) |
| On-premises | Exchange on-premises Hostname | On-premises | On-premises |
| Hybrid* | on-premises, Exchange online Hostnames | On-premises, Exchange on-premises Hostname | On-premises, Exchange on-premises Hostname, AD FS/IDP (Internal only) |
| Exchange online | Outlook.office365.com |
Exchange Online Hostnames | Exchange on-premises Hostname, AD FS, IDP |
*Secure Mailは、移行されたメールボックスを持つハイブリッドExchangeインフラストラクチャをサポートしています。
オンプレミスユーザーのメールボックスがExchange Onlineに移行された場合、Secure Mailはこの変更を自動的に検出し、アカウントを再構成することなくモダン認証をユーザーに促します。
Secure Mail の OAuth サポートマトリックス
iOS および Android デバイスにおける Secure Mail の OAuth サポートマトリックスを次の表に示します。
| 認証タイプ | IDP/外部 AD FS | IDP/内部 AD FS | Azure AD | Intune |
|---|---|---|---|---|
| ユーザー名とパスワード | はい | はい | はい | はい |
| クライアント証明書 | はい | Android のみ | いいえ | いいえ |