Microsoft Office 365の先進認証
Secure Mailは、Active Directoryフェデレーションサービス(AD FS)またはIDプロバイダー(IDP)でMicrosoft Office 365の先進認証をサポートしています。先進認証は、ユーザー名とパスワードを使用したOAuthトークンによる認証です。iOSデバイスを使用しているSecure Mailユーザーは、Office 365に接続するときに、証明書ベースの認証を利用できます。Secure Mailにサインインするときに、ユーザーは、資格情報を入力する代わりにクライアント証明書を使用して認証します。
続行する前に、次の操作を行います:
- Microsoft Office 365の先進認証(OAuth)を有効にします。
- 最適なネットワーク接続を確保するために、ファイアウォール内のOffice 365エンドポイント、URL、IPアドレス範囲を有効にします。詳しくは、MicrosoftのドキュメントでOffice 365のURLとIPアドレスの範囲を参照してください。
注:
- ハイブリッドExchangeメールボックスソリューションを移行・移動または作成するには、Microsoftサイトの[ドキュメント]にある 「Exchangeハイブリッド展開でのExchange ActiveSyncデバイスの設定」を参照してください。
Citrix Endpoint Managementポリシーの前提条件
Citrix Endpoint Managementコンソールで以下のポリシーを有効にします:
iOSを実行しているデバイスの場合:
-
Office 365の認証メカニズム: このポリシーは、Office 365でアカウントを構成する時に認証に使用するOAuthメカニズムを示します。このポリシーでは、次の値を構成する必要があります:
- OAuthを使用しない: このポリシーは、アカウントの構成時に基本認証で使用します。
- OAuthでユーザー名とパスワードを使用する: このポリシーは、認証時にOAuthプロトコルで使用します。ユーザーは、OAuthのフローでユーザー名とパスワード、およびオプションで多要素認証コードを提供する必要があります。
- クライアント証明書でOAuthを使用: このポリシーは、証明書ベースの認証を実行するようOffice 365が構成されている場合に使用します。デフォルトの構成は、[OAuthを使用しない] です。
Androidを実行しているデバイスの場合:
- Office 365に先進認証を使用: このポリシーは、認証時にOAuthプロトコルで使用します。
-
トンネリング ポリシーの Web SSO: このポリシーを使用して、OAuthトラフィックをトンネリングしてトンネル - Web SSOを経由させます。必要な操作:
- トンネリングにWeb SSOを使用するポリシーを [オン] に設定します。
- ネットワークアクセスポリシーで、[トンネル–Web SSO] オプションを選択します。
注:
STAを有効にする方法については、「STA経由のメールサーバーへの接続」を参照してください。
- バックグラウンドサービスポリシーからOAuthに関連したホスト名を除外します。
iOSとAndroid端末に共通するポリシー:
- 先進認証用のカスタムユーザーエージェント: このポリシーを使用して、先進認証でデフォルトのユーザーエージェント文字列を変更します。
- 信頼されたExchange Onlineホスト名: このポリシーを使用して、アカウントの構成時に、認証にOAuthメカニズムを使用する信頼できるExchange Onlineのホスト名一覧を定義します。これは、server.company.com, server.company.co.ukのようなコンマ区切りの形式です。この一覧には、デフォルト値またはバニティURLを含めることができますが、空にはできません。デフォルト値はoutlook.office365.comです。
-
信頼されたAD FSホスト名: このポリシーを使用して、Office 365 OAuth認証中にパスワードを入力するWebページの、信頼できるAD FSホスト名一覧を定義します。これは、
sts.companyname.com, sts.company.co.ukのようなコンマ区切りの形式です。一覧が空の場合、Secure Mailはパスワードを自動入力しません。Secure Mailは、ホスト名一覧をOffice 365認証中に検出されたWebページのホスト名と照合し、そのページがHTTPSプロトコルを使用しているかを確認します。たとえば、sts.company.comがホスト名一覧にある場合、ユーザーがhttps://sts.company.comにアクセスすると、パスワードフィールドがあれば、Secure Mailがパスワードを入力します。デフォルトの値はlogin.microsoftonline.comです。 - Secure Mail Exchange Server: このポリシーを使用して、Exchange Serverのアドレスを定義します。このポリシーを使用して、要件に基づいて、オンプレミスのサーバーアドレスまたはクラウドサーバーアドレスのいずれかを定義できます。
- HTTP 451リダイレクトを構成する:リダイレクトの構成方法について詳しくは、Knowledge Centerの記事「Secure Mail ActiveSync redirect 451」を参照してください。
Secure Mail for iOSでは、ポリシーがデバイス上で更新されると先進認証が有効になります。
制限事項
- 環境で先進認証を使用している場合、iOSのリッチプッシュ通知機能は利用できません。リッチプッシュ通知について詳しくは、「Secure Mailのプッシュ通知」を参照してください。
- 証明書ベースの認証を実行するセットアップでは、複数アカウントはサポートされていません。
Secure Mailポリシー
次の2つの表は、Exchangeインフラストラクチャごとに必要なSecure Mailポリシーです。
| Exchangeインフラストラクチャ | Office 365の認証メカニズム/Office 365に先進認証を使用 | 信頼されたAD FSホスト名 | 信頼されたExchange Onlineホスト名 |
|---|---|---|---|
| オンプレミス | オフ | - | - |
| ハイブリッド* | オン | AD FS/IDP |
Outlook.office365.comまたはバニティURL |
| Exchange Online | オン | AD FS/IDP |
Outlook.office365.comまたはバニティURL |
| Exchangeインフラストラクチャ | Secure MailのExchange Server | バックグラウンドネットワークサービス(iOS) | バックグラウンドネットワークサービス(Android) |
|---|---|---|---|
| オンプレミス | Exchangeのオンプレミスホスト名 | オンプレミス | オンプレミス |
| ハイブリッド* | オンプレミス、Exchange Onlineのホスト名 | オンプレミス、Exchangeのオンプレミスホスト名 | オンプレミス、Exchangeのオンプレミスホスト名、AD FS/IDP(内部のみ) |
| Exchange Online | Outlook.office365.com |
Exchange Onlineのホスト名 | Exchangeのオンプレミスホスト名、AD FS、IDP |
*Secure Mailは、ハイブリッドExchangeインフラストラクチャと移行されたメールボックスの使用をサポートします。
オンプレミスユーザーのメールボックスがExchange Onlineに移行されると、Secure Mailは自動的にこの変更を検出し、先進認証を使用するよう求めるメッセージをユーザーに表示します。アカウントを再構成する必要はありません。
Secure MailでのOAuthのサポートマトリックス
次の表は、iOSおよびAndroidデバイス上のSecure Mailに関するOAuthのサポートマトリックスです:
| 認証の種類 | IDP/外部AD FS | IDP/内部AD FS | Azure AD | Intune |
|---|---|---|---|---|
| ユーザー名とパスワード | はい | はい | はい | はい |
| クライアント証明書 | はい | Androidのみ | いいえ | いいえ |