モバイル E メール管理
VMware Workspace ONE UEM
最新の技術ドキュメントは、 VMware の Web サイト(https://docs.vmware.com/jp/)
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304 www.vmware.com
ヴイエムウェア株式会社
〒108-0023 東京都港区芝浦 3-1-1 田町ステーションタワー N 18階 www.vmware.com/jp
モバイル E メール管理
1
Mobile Email Management (MEM) の概要 42
E メールインフラストラクチャ管理用の展開モデル 63
Workspace ONE UEM への E メールの移行 144
モバイル E メール管理の展開を構成する 175
モバイル E メール管理へのデバイスの割り当て 216
E メールプロファイルを構成する 237
E メールアクセスコントロールの適用 308
E メールトラフィックをモニタリングする 38Mobile Email Management (MEM)
の概要 1
Workspace ONE UEM powered by AirWatch を使用して、モバイル E メール展開を管理します。
企業データをデバイスに表示できると、利便性と生産性が向上しますが、同時にセキュリティや展開に関する課題も 生じます。そうした課題を克服するため、Workspace ONE UEM powered by AirWatch モバイル E メール管 理 (MEM) ソリューションが、企業 E メールインフラストラクチャの包括的なセキュリティを実現します。
課題
モバイル E メールは利点と同時に、以下のような大きな課題をもたらします。
n 多岐にわたるデバイスタイプ、OS、E メールクライアントへの E メールのプロビジョニング。
n 安全ではないネットワークでの E メールアクセスのセキュリティ確保。
n サードパーティ製アプリからの機密情報の保護。
n 認証されていないデバイスや、紛失または盗難に遭ったデバイスからの E メールアクセスの制限。
n サードパーティ製リーダーアプリで閲覧したときに E メールの添付ファイルが漏洩、拡散することの防止。
Mobile Email Management (MEM) の利点
Workspace ONE UEM powered by AirWatch MEM は、モバイル E メールの確実かつセキュアな導入に必要 な主要要素をすべて網羅しています。MEM を使用する利点には、以下のようなものがあります。
n SSL セキュリティの強制適用
n ワイヤレスでの Eメール構成
n 既存の管理外デバイスを検出
n Eメールデータ漏洩防止対策
n 管理外デバイスによる E メールアクセスをブロック
n Eメールアクセスを貴社承認済みのデバイスのみに制限
n 証明書統合と失効機能
MEM の要件
VMware AirWatch® Mobile Email Management® (MEM) ソリューションを続行する前に、このセクションに あるブラウザの要件を確認してください。
[免責事項]
サードパーティ製品との統合は、サードバーティソリューションが適切に機能するかに依存するため、保証されてい ません。
[サポートするブラウザ]
Workspace ONE UEM コンソールは、以下のウェブブラウザの最新版安定ビルドをサポートします。
n Chrome
n Firefox
n Safari
n Internet Explorer 11
n Microsoft Edge
注: UEM Console へのアクセスに IE を使用している場合、[コントロールパネル] - [設定] - [インターネット
オプション] - [セキュリティ] の順に進み、[フォントダウンロード] オプションを含むセキュリティレベルまたはカ スタムセキュリティレベルが [有効] に設定されていることを確認します。
上記に挙げられたものより古いブラウザをご使用の場合は、Workspace ONE UEM コンソールで利用可能なすべ ての特長や機能をご利用いただくために新しいブラウザへアップグレードしてください。上記のウェブブラウザに 関しては、包括的なプラットフォームテストを実施し、動作確認を行っています。UEM コンソールは、これ以外の ブラウザでも動作することがありますが、不具合が生じる場合があります。
E メール インフラストラクチャ管理用
の展開モデル 2
Workspace ONE UEM では、E メールインフラストラクチャを保護および管理するために 2 種類の展開モデル を用意しています。それは、プロキシモデルとダイレクトモデルです。
次の E メール展開モデルのいずれかと、UEM console で定義した E メールポリシーを使用すると、モバイルデ バイスを効率的に管理できます。
n プロキシ展開モデルでは、Secure Email Gateway (SEG) プロキシサーバという別のサーバが Workspace ONE サーバと企業のメールサーバの間に配置されます。このプロキシサーバが、デバイスからメールサーバ へのすべてのリクエストをフィルタし、承認されたデバイスからのトラフィックのみを中継します。このように、
モバイルデバイスと直接通信しないため、企業のメールサーバが保護されます。
n ダイレクト展開モデルでは、プロキシサーバは関与せず、Workspace ONE UEM がメールサーバと直接通 信します。このモデルでは、プロキシサーバがないため、インストールと構成の手順がよりシンプルになりま す。
注: プロキシ展開モデルには、Classic と SEG v2 の 2 つのバリアントがあります。SEG V2 プラットフォーム の方が確実にパフォーマンスに優れているため、Classic SEG プラットフォームはサポートされなくなりました。
SEG V2 プラットフォームは、最小限のダウンタイムで、アップグレード中に既存の SEG サーバにインストールで きます。プロファイルの変更やエンドユーザーの操作は必要ありません。
展開モデル 構成モード メールインフラストラクチャ
プロキシ展開モデル Microsoft Exchange 2010/2013/2016 Exchange Office 365
Microsoft Exchange 2010/2013/2016/2019 Exchange Office 365
HCL Domino と HCL Gmail
ダイレクト展開モデル - PowerShell Powershell モデル Microsoft Exchange 2010/2013/2016/2019 Microsoft Office 365
ダイレクト展開モデル - Gmail Gmail
注: Workspace ONE UEM でサポートされるのは、メールサーバのプロバイダで現在サポートされているバー
ジョンのサードパーティメールサーバのみです。プロバイダが使用を中止したサーババージョンとの統合は、
Workspace ONE UEM ではサポートされないことにご注意ください。
セキュア E メール ゲートウェイ プロキシ モデル
セキュア E メールゲートウェイ (SEG) プロキシサーバは、既存のメールサーバと 1 列になるようにインストール される別個のサーバであり、モバイルデバイスに送られるすべての E メールトラフィックについてプロキシとして 機能します。SEG プロキシサーバは、UEM Console で定義された設定に基づき、管理するモバイルデバイスの それぞれに対して許可または禁止を決定します。
SEG プロキシサーバは、企業のメールサーバへのすべての通信リクエストをフィルタし、承認されたデバイスから のトラフィックのみを中継します。このリレーにより、デバイスと企業メールサーバの通信を避けられるため、企業 のサーバを保護することができます。
SEG サーバを企業 E メールトラフィックと一列になるように貴社のネットワークにインストールします。また、
DMZ 領域またはリバースプロキシの背後にインストールすることもできます。Workspace ONE MDM サーバ がクラウドにあるかオンプレミスかに関わらず、SEG サーバは貴社のデータセンターでホストする必要があります。
ダイレクト展開 PowerShell モデル
PowerShell モデルでは、Workspace ONE UEM は PowerShell 管理者として Exchange ActiveSync (EAS) インフラストラクチャにコマンドを送信し、UEM console で定義されたポリシーに基づいて E メールアク セスを許可または禁止します。PowerShell 展開には別個の E メールプロキシサーバは必要なく、インストール プロセスはシンプルです。
PowerShell 展開は、組織が Microsoft Exchange 2010、2013、2016、2019、または Office 365 を使用して いる場合に適しています。
Workspace ONE UEM サーバと Exchange サーバの配置場所に応じて、PowerShell コマンドが発行される方 法が 2 通りあります。
n Workspace ONE サーバがクラウド上にあり、Exchange サーバがオンプレミスである - Workspace ONE UEM サーバは PowerShell コマンドを発行します。VMware Enterprise Systems Connector は、
E メールサーバとの PowerShell セッションを設定します。
n Workspace ONE UEM サーバと E メールサーバがオンプレミスである - Workspace ONE UEM サーバ は E メールサーバとの PowerShell セッションを直接セットアップします。この場合、Workspace ONE UEM サーバが E メールサーバと直接通信できない場合を除き、VMware Enterprise Systems Connector サーバは必要ありません。
Secure Email Gateway 展開モデルと PowerShell 展開モデルの選択に関する詳細については、Workspace
ONE UEM の推奨事項のセクションを参照してください。
ダイレクト Gmail モデル
Workspace ONE UEM サーバを Google と統合します。
Gmail インフラストラクチャを使用している組織であれば、Gmail の E メールエンドポイントをセキュア化した り、メールがセキュアなエンドポイントを迂回するのを防いだりするのが困難なことをよくご存知かもしれません。
Workspace ONE UEM は、貴社の E メールインフラを統合する柔軟で安全な方法を提案し、この課題に対処す るソリューションを提供します。
モバイル E メール管理
ダイレクト Gmail 展開モデルでは、Workspace ONE UEM サーバが Google と直接通信します。セキュリティ のニーズに応じて、Workspace ONE でユーザーの Google パスワードを管理し、ユーザーのメールボックスへ のアクセスを制御することができます。
Google Suite への API 呼び出し - ユーザーのメールアドレスの代わりに代替属性を指定することで、Google
Suite への API 呼び出しで使用する属性をカスタマイズできます。既定では、ユーザーのメールアドレスが使用さ
れます。ダイレクト Google モデルを構成する方法の詳細については、「Integrate Direct Model using Password Management」を参照してください。
MEM 展開モデル マトリックス
次の機能マトリックスを使用して、異なる MEM 展開モデルで使用できる機能を比較できます。
Office 365 では、SEG プロキシモデルに追加構成が必要です。Workspace ONE UEM ではクラウドベースの メールサーバを統合する際にはダイレクトモデルを推奨しています。詳細については、Workspace ONE UEM の推奨事項セクションを参照してください。
✓ サポート対象 □ Workspace ONE UEM ではサポートされていません [X] 利用できない機能 N/A 該当しない
表 2-1. 展開マトリックス
SEG プロキシモデル
ダイレクトモデ ル
Exchange
2010/2013/2016/2019 Office 365
HCL Notes
Traveler Google
Office 365 (PowerShell)
Exchange
2010/2013/2016/2019
(PowerShell) Gmail
E メールセキュリティ ツール
セキュリティ設定を強 制
S/MIME 機能でデジタ ル署名を使用する
✓ □ □ ✓ ✓ N/A
表 2-1. 展開マトリックス(続き)
SEG プロキシモデル
ダイレクトモデ ル
Exchange
2010/2013/2016/2019 Office 365
HCL Notes
Traveler Google
Office 365 (PowerShell)
Exchange
2010/2013/2016/2019
(PowerShell) Gmail
SSL セキュリティを強 制
✓ ✓ ✓ ✓ ✓ ✓
E メール添付ファイル とハイパーリンクセキ ュリティ
添付ファイルとハイパ ーリンクを VMware AirWatch Content Locker または Workspace ONE Web でのみ開くこと を強制する
✓ ✓ ✓ x x x
自動 E メール構成 デバイスの E メールを ワイヤレスで構成
✓ ✓ ✓ ✓ ✓ ✓
E メールアクセスコン トロール
管理外デバイスによる E メールアクセスをブ ロック
✓ ✓ ✓ ✓ ✓ ✓
既存の管理外デバイス を検出
✓ ✓ ✓ ✓ ✓ N/A
カスタマイズ可能な順 守ポリシーを適用した E メールアクセス
✓ ✓ ✓ ✓ ✓ ✓
E メールアクセスにデ バイス暗号化を必須に する
✓ ✓ ✓ ✓ ✓ ✓
侵害状態デバイスの E メールアクセスを防止 する
✓ ✓ ✓ ✓ ✓ ✓
E メールを許可/ブロッ ク - メールクライアン ト
✓ ✓ ✓ ✓ ✓ x
E メールアクセスコン トロール
E メールを許可/ブロッ ク - ユーザー
✓ ✓ ✓ ✓ ✓ x
モバイル E メール管理
表 2-1. 展開マトリックス(続き)
SEG プロキシモデル
ダイレクトモデ ル
Exchange
2010/2013/2016/2019 Office 365
HCL Notes
Traveler Google
Office 365 (PowerShell)
Exchange
2010/2013/2016/2019
(PowerShell) Gmail
E メールを許可/ブロッ ク - デバイスモデル
✓ ✓ ✓ ✓ ✓ ✓
E メールを許可/ブロッ ク - デバイス OS
✓ ✓ ✓ ✓ ✓ ✓
E メールを許可/ブロッ ク - EAS デバイスタ イプ
✓ ✓ ✓ ✓ ✓ x
管理の可視性 E メールトラフィック 統計
✓ ✓ ✓ x x x
E メールクライアント 統計
✓ ✓ ✓ x x x
証明書の管理
認証局統合/失効 ✓ □ □ ✓ ✓ N/A
アーキテクチャ インラインゲートウェ イ (プロキシ)
✓ ✓ ✓ N/A N/A ✓
Exchange PowerShell
N/A N/A N/A ✓ ✓ N/A
Gmail のパスワード管 理
N/A N/A ✓ N/A N/A ✓
Gmail のディレクトリ API 統合
N/A N/A N/A N/A N/A ✓
サポート対象 iOS および Android 向け Workspace ONE Boxer [^]
✓ ✓ ✓ ✓ ✓ ✓
iOS ネイティブ E メー ルクライアント
✓ ✓ ✓ ✓ ✓ ✓
Android ネイティブ E メールクライアント (Gmail)
✓ ✓ ✓ ✓ ✓ ✓
Android HCL Notes クライアント*
N/A ✓ N/A N/A N/A N/A
*E メール添付ファイルとハイパーリンクセキュリティは、Android HCL Notes クライアントではサポートされ ていません。
+ Exchange 2003 はサポートされていません。
^ Exchange 2003。ActiveSync プロファイルが必要です。また、Workspace ONE Boxer では複数 MEM は サポートされていません。
Workspace ONE UEM の推奨事項
Workspace ONE UEM によってサポートされる機能と適切な展開サイズのリストがこのセクションに表示されま
す。貴社にとって最適な展開を決定する際には、決定マトリックス表をお役立てください。
[添付ファイル暗号化]
モバイルデバイス上で添付ファイルを強制的に暗号化することで、Workspace ONE UEM は、エンドユーザーの 使用感を損なうことなく、電子メールの添付ファイルをセキュアな状態に保つことができます。
ネイテ
ィブ Traveler
Workspace ONE Boxer
iOS ✓
Android ✓
SEG は、Workspace ONE Boxer での添付ファイル暗号化とハイパーリンク変換をサポートし ていますが、UEM console の Boxer アプリケーション構成でこれらの機能を有効にする必要が あります。
SEG は、Exchange 2010/2013/2016/2019 および Office 365 での添付ファイル暗号化をサ ポートしています。
注: SEG は、Workspace ONE Boxer の添付ファイルを暗号化しませんが、DLP はアプリケーションレベル
で適用できます。
[E メール管理]
このリストは、最高レベルのセキュリティを提供しながら、展開と管理をできる限り簡易化するためのものです。
E メールインフラストラクチャ Gmail PowerShell セキュア E メールゲートウェイ (SEG)
[クラウドメールインフラ]
Office 365 ✓ ✓
Gmail ✓ ✓
[オンプレミス E メールインフラ]
Exchange 2010 ✓ ✓
Exchange 2013 ✓ ✓
Exchange 2016 ✓ ✓
モバイル E メール管理
E メールインフラストラクチャ Gmail PowerShell セキュア E メールゲートウェイ (SEG)
Exchange 2019 ✓ ✓
HCL Notes ✓
[^]デバイス展開が 10 万台を超えるすべてのオンプレミス E メールインフラストラクチャで、Secure Email Gateway (SEG) を使用します。10 万台以下のデバイス展開においては、E メール管理の別のオプションとして、
PowerShell を使用することもできます。詳細は、「セキュア E メールゲートウェイと PowerShell の決定マトリ ックス」を参照してください。
[**]PowerShell 実装のしきい値は、完了した一連のパフォーマンステストの最新結果に基づいており、リリースご
とに変更される可能性があります。5 万台までのデバイス展開では、ある程度迅速な同期と順守実行時間枠 (3 時間 未満) を見込むことができます。デバイスが 10 万台近くなると、同期と順守実行プロセスの時間枠は 3 ~ 7 時間ほ どに増えることが見込まれます。
[セキュア E メールゲートウェイと PowerShell の決定マトリックス]
このマトリックスでは SEG と PowerShell の展開の特徴を説明しています。貴社のニーズに適う展開の選択にお 役立てください。
長所 短所
SEG n リアルタイムコンプライアンス
n 添付ファイル暗号化 n ハイパーリンク変換
n 追加のサーバが必要
PowerShell n E メール管理用の追加のオンプレミスサーバを必要としない
n E メールトラフィックは Office 365 にルーティングされる 前にオンプレミスサーバにルーティングされないため、
ADFS は不要
n リアルタイム順守の同 期なし
n 大規模な展開 (10 万台 以上) 向きではない Microsoft 社では、Office 365 E メール
アカウントへの直接アクセスを防止するた めに Active Directory フェデレーション サービス (ADFS) の使用を提案していま す。
Workspace ONE UEM への E メー
ルの移行 3
Workspace ONE UEM を使用して、E メールをモバイル E メール管理 (MEM) モデルに移行することができま す。
次の MEM モデルのいずれかに移行することで、E メールアクセスコントロールポリシーを適用し、承認されたユ
ーザーとデバイスに対してのみ E メールアクセスを提供することができます。
n Secure Email Gateway (SEG)
n PowerShell
n Gmail
セキュア E メール ゲートウェイ (SEG) に移行する
Secure Email Gateway (SEG) に E メールを移行することで、ユーザーによる E メールアクセスを SEG プロキ シ経由のみに制限することができます。
SEG を使用して、E メールアクセスコントロールポリシーを適用し、承認ユーザーとデバイスのみにアクセスを 限定します。添付ファイル暗号化ポリシーは、データのセキュリティを確保します。
1 Workspace ONE UEM Console で、「グローバル」の下の必要な組織グループのレベルで SEG を構成しま す。
2 SEG をダウンロードしてインストールします。
3 E メール順守ポリシーを使用し、SEG 機能をテストします。
a 一時的にすべての順守ポリシーのアクティベーションの解除を行います。
b すべてのユーザーに、デバイスを Workspace ONE UEM に加入するよう連絡します。
c すべての加入デバイスに、新しい E メールプロファイル (ホスト名として SEG サーバ URL を使用したプ ロファイル) をプロビジョンします。
d 管理外デバイスを持つユーザーに向け、Workspace ONE UEM にデバイスを加入するよう、定期的に通 知します。
e 特定の日付のメールサーバへの EAS アクセスをブロックするには、ファイアウォール (または脅威管理ゲ ートウェイ) のルールを変更します。そうすることで、モバイルデバイスがメールサーバに直接アクセスす ることをブロックすることができます。
f 順守ポリシーを有効にします
注: 既存のウェブメール、Outlook Web Access (OWA)、その他の E メールクライアントは、継続して メールサーバにアクセスできます。
PowerShell に移行する
PowerShell に移行することにより、デバイスを保護し、E メール用に Exchange または Office 365 と同期でき ます。
PowerShell では、管理デバイスと管理外デバイスが検出され、E メールアクセスコントロールポリシーによっ て、承認されたユーザーとデバイスのみにアクセスが許可されます。
1 Workspace ONE UEM console で、「グローバル」の下の必要な組織グループのレベルで PowerShell 統合 を構成します。
2 ユーザーグループ (カスタムまたは事前定義) との統合を構成します。
3 ユーザーのサブセット (たとえばテストユーザーグループ) を対象に PowerShell 機能テストを行い、以下が 正常に機能することを確認します。
a デバイスを検出するためのメールサーバとの同期機能 b リアルタイムのアクセスコントロール
4 一時的にすべての順守ポリシーのアクティベーションの解除を行います。
5 該当するメールサーバホスト名で Workspace ONE UEM に加入しているデバイスのすべてに、新しい E メ ールプロファイルをプロビジョニングします。
6 E メールを同期している管理デバイス、管理外デバイスをすべて検出するためには、メールサーバとの同期を行 います。
7 管理外デバイスを持つユーザーに対して、Workspace ONE UEM にデバイスを加入するように定期的に通知 します。
8 順守ルールをアクティブ化し適用して、指定した日にすべての非順守状態にあるデバイス(管理対象外デバイス を含む)の E メールアクセスをブロックします。
9 既定設定として、メールサーバがすべてのデバイスをブロックするようにします。
注: E メールダッシュボードに、管理外デバイスのリストが、E メールについて許可されているブロック済みデバ
イスおよび管理デバイスとして表示されます。
Gmail と Workspace ONE UEM を統合する
Gmail に移行すると、デバイスを Gmail サーバと同期できます。Gmail と統合する際には、Secure Email Gateway (SEG) を使用するかどうか、またはディレクトリ API を使用して直接統合するかを選択できます。
1 Gmail のシングルサインオン (SSO) オプションを有効にするか、サービスアカウント証明書を作成します。
3 新しくランダムに作成されたパスワードでユーザーに EAS プロファイルをプロビジョニングします。このプロ ファイルが割り当てられないデバイスは、Gmail へのアクセスが自動的に禁止されます。
デバイスを移行する
Workspace ONE UEM を使用して、複数の組織グループや MEM 展開にわたってデバイスを移行することができ ます。
1 Workspace ONE UEM Console で、[E メールダッシュボード] に移動します。
2 フィルタを適用し、現在の「MEM 展開」に含まれる管理デバイスを抽出します。
3 [リスト表示] 画面のすべてのデバイスを選択し、ドロップダウンメニューから [管理者] - [デバイスを移行す る] を選択します。
4 [デバイス移行確認] 画面で、移行確認用の与えられたキーコードを入力し、デバイスの移行先の構成を選択しま す。
5 [続行] をクリックします。
[結果]
前述の手順を実行した後、Workspace ONE UEM が自動的に以前の Exchange ActiveSync (EAS) プロファイ ルを削除し、新しい EAS プロファイルを展開対象のグループにプッシュします。デバイスは新しい展開グループに 接続します。E メールダッシュボードに、デバイスの更新済みの MEM 構成名が表示されます。
モバイル E メール管理
る 4
モバイル E メール管理 (MEM) 構成ウィザードを使用して、簡単に E メールインフラを統合します。
MEM はメイン組織グループのみで構成が可能です。サブ組織グループでは上書きできません。1 つの MEM 構成 は、1 つ以上の Exchange ActiveSync (EAS) プロファイルと関連付けることができます。
1 [E メール] > [設定] と進み [構成] を選択します。
2 展開モデルを選択し、次に E メールタイプを選択します。[次へ] を選択します。
a 展開モデルが「プロキシ」の場合は、E メールタイプを選択します。
[選択元]:
n Exchange
n Google
n HCL Notes
b 展開モデルが「ダイレクト」の場合は、E メールタイプを選択します。
[選択元]:
n Exchange
n ダイレクト API を使用する Google アプリ
n パスワードプロビジョニングを使用する Google アプリ - 「Gmail 展開タイプ」として「パスワード 保持つき」または「パスワード保持なし」を選択します。
展開方法の詳細は、「E メール展開タイプ」セクションを参照してください。
3 選択した展開タイプの詳細を入力します。
[選択元]:
n SEG 展開を構成するには、次の手順を実行します。
1 この展開のフレンドリ名を入力します。
2 SEG プロキシサーバの詳細情報を入力します。
n PowerShell 展開
1 この展開のフレンドリ名を入力します。
n Gmail の場合
1 この展開のフレンドリ名を入力します。
2 Gmail の設定、認証、Gmail ディレクトリ API 統合、SEG プロキシ設定の詳細を入力します。
4 テンプレート EAS プロファイルを MEM 展開と関連付け、[次へ] を選択します。
a この展開向けにテンプレート EAS プロファイルを作成します。
新規のテンプレートプロファイルは、デバイスに自動的に公開されません。デバイスへのプロファイルの公 開は、プロファイル画面から行います。
b (オプション)1 つの組織グループで複数の MEM 展開を構成する場合、既存のプロファイルをこの展開に 関連付けます。
[MEM 構成概要] 画面に構成の詳細が表示されます。
5 [保存] を選択して設定を保存します。
6 保存した後に、高度な設定をこの展開に追加することもできます。
a 展開に対応する [高度な設定] アイコン を選択します。
b [モバイル E メール管理の高度な構成] 画面で、ユーザーメールボックスで利用できるようにする設定を必 要に応じて構成します。
c [[保存]] を選択します。
[次に行うこと]
複数の MEM 展開を構成するには、[追加]([モバイル E メール管理構成] のメイン画面で利用可能)を選択し、ス テップ 2 ~ 7 を実行します。
SEG 展開で、 の下から利用可能な [既定として設定] オプションを使用して、特定の構成を既定として割り当て ることができます。
モバイル E メール管理
注:
n 複数の PowerShell 環境を同じ Exchange サーバに接続する場合、重複しないユーザーグループを作成する必 要があります。
n 複数の Gmail 環境を接続する場合、構成設定の異なるドメインを使用します。
n 適切に設定されている MEM 展開を移行する場合のみ、SEG と PowerShell 統合を同じ E メール環境に接続 することをご検討ください。Workspace ONE サポートは、この実装で役立ちます。
証明書ベースの E メールを有効にする
ユーザー名とパスワードによる標準の資格情報に加えて証明書を使用すると、不正アクセスに対してより強力な認証 が行われるため、一定の利点があります。また、エンドユーザーによるパスワード入力や毎月のパスワード変更が不 要になります。受信者間の機密性が高い E メールを S/MIME を使用して暗号化することや、メッセージ署名を通じ てアイデンティティを証明することもできます。
1 [デバイス] - [プロファイルとリソース] - [プロファイル] の順に進みます。
2 [追加] - [プロファイルを追加] をクリックし、該当するプラットフォームを選択します。
3 [資格情報] プロファイル設定を選択し、構成します。
a [資格情報ソース] では、リストから任意の項目を選択します。
[選択元]:
n [アップロード] – 証明書をアップロードし、証明書の名前を入力します。
n [定義済み認証局] – ドロップダウンメニューから組織グループの認証局と証明書テンプレートを選択 します。
認証局とテンプレートを組織グループに追加するには、[デバイス] - [証明書] - [認証局] と進みます。
4 設定を [保存して公開] します。
Google Suite への MEM 呼び出しのユーザー属性を構成する
Gmail 展開では、デフォルトで Google API を使用して Gmail へのアクセスを管理します。Google にコマンド を送信しながら、登録ユーザーをユーザーのメールアドレスで識別できます。あるいは、管理者がユーザーのメール アドレスではなく Active Directory のカスタム属性を選択して、Google でユーザーを識別することもできます。
このカスタム属性を使用できるのは、Google のメールアドレスがお客様の Active Directory のカスタム属性フ ィールドにある場合です。カスタム属性の設定が適用されるのは、パスワードプロビジョニングを使用する Google アプリ、ダイレクト API を使用する Google アプリ、および自動パスワードプロビジョニング展開方法を使用する SEG V2 です。
1 [アカウント] - [管理者] - [管理者設定] - [ディレクトリサービス] - [ユーザー] の順に進みます。
Workspace ONE UEM 管理者は、カスタム属性値をマッピングして、お客様の Active Directory のマッピ ング値を使用できます。
2 [ ディレクトリサービス] ページでカスタム属性を有効にし、マッピング値を入力し、Active Directory ユー ザーを同期して、登録ユーザーのカスタム属性を更新します。カスタム属性を有効にする方法の詳細については、
『ディレクトリサービス統合』ガイドの「ディレクトリサービスのユーザー情報のマッピング」を参照してくだ さい。
3 [E メール] - [E メール設定] の順に選択し、[構成] を選択します。プラットフォームゲートウェイを構成し、
[次へ] を選択します。
4 [E メール構成を追加] ページで、展開モデルとして [ダイレクト] を選択し、E メールタイプとして [Google Apps with Direct API] を選択し、[次へ] を選択します。
5 [展開] ページで、この展開のわかりやすい名前を入力します。Gmail の設定、認証、Gmail ディレクトリ API 統合、SEG プロキシ設定の詳細を入力します。
6 [Google ユーザーのメールアドレス] を入力します。[Google ユーザーのメールアドレス] の既定値は「メー ルアドレス」です。管理者は、デフォルトのメールアドレスではなくカスタム属性を選択できます。
7 E メールプロファイルを構成します。詳細は、6 章 E メールプロファイルを構成するを参照してください。
[結果]:
カスタム属性を使用できるのは、Google のメールアドレスがお客様の Active Directory のカスタム属性フィー ルドにある場合です。
モバイル E メール管理
割り当て 5
デバイス加入、デバイスへの Eメールプロファイルの割り当て、およびデバイス順守状態の変更は影響を及ぼしま す。デバイスの EAS プロファイルに基づいて、MEM 構成が割り当てられます。管理対象順守ポリシーと
"ActiveSync プロファイルを必須にする" 順守ポリシーを使用すれば、管理対象外および手動の構成を不許可のまま 維持することができます。
EAS プロファイルがあるデバイス
EAS プロファイルを使用したデバイスが特定の MEM 構成に関連付けられている場合、その MEM 構成に対して、
Workspace ONE UEM からポリシー更新情報が送信されます。この機能により、移行が円滑に行われ、複数の E メール環境がある MEM 構成を管理できます。
Eメールクライアントとは無関係にすべての Google MEM モデルは EAS プロファイルを必要とします。新規イ ンストールの場合、EAS プロファイルを MEM 構成に関連付ける必要があります。アップグレードでは、アップグ レードプロセスの完了時に、管理者が EAS プロファイルを MEM 構成に関連付ける必要があります。
[SEG プロキシ統合]
Workspace ONE UEM は、デバイスの加入先組織グループのすべての MEM 構成にブロードキャストメッセー ジを送信します。このメッセージには、デバイスの順守状態が記載されています。順守状態が変更された場合、新し いメッセージが送信されます。デバイスが特定の SEG サーバに接続すると、SEG は、先に送信されたブロードキャ ストメッセージにより、デバイスを認識します。SEG プロキシはデバイスを検出済みとして VMware AirWatch に報告します。次に、Workspace ONE UEM は、デバイスを SEG に対する MEM 構成に関連付け、E メールダ ッシュボードに表示します。
複数の SEG サーバ間で負荷分散を行っている場合は、1 つのポリシーのブロードキャストメッセージは 1 つの SEG にしか適用されません。ここには、加入時に Workspace ONE UEM Console から SEG に送信されるメッセー ジや順守違反、是正メッセージなどが含まれます。新規加入デバイスや順守デバイスの処理を円滑に行うため、差分 同期は更新頻度を 10 分間隔に設定して使用してください。これらのデバイスが E メール同期を開始するまで、最大 10 分間の待ち時間があることになります。
メリット:
n すべての SEG サーバを対象に同じ API ソースからポリシーを更新できる
n API サーバへのパフォーマンス上のインパクトを軽減できる
n SEG クラスタリングモデルに比べ、実装とメンテナンスの複雑さを緩和できる
n ユーザーエクスペリエンスの向上 [PowerShell 統合]
PowerShell MEM 構成は、ポリシー更新に関して SEG と同じように振る舞います。PowerShell に移行する場 合、新しいポリシーを PowerShell MEM 構成に関連付けることが重要です。新しいプロファイルを割り当てると、
以前の MEM 構成との不必要な通信を減らすことができます。
[Gmail 統合]
Google ディレクトリ API と統合する場合を除き、このタイプの展開に対してプロファイルは必須です。デバイス
がプロファイルを使用してプロビジョニングされない限り、構成された Gmail 展開では、デバイスは識別または管 理されません。
デバイスの同期
MEM を使用して、組織グループに関連付けられているデバイスを同期します。
Mobile Email Management (MEM) 展開の構成が完了すると、関連付けられた組織グループのデバイスが MEM と同期されます。Workspace ONE UEM Console の [Eメールダッシュボード] ページで、デバイスの状態とそ の他の詳細を表示できます。
デバイスが割り当てられている展開モデルに応じて、デバイスがダッシュボードに表示されます。
n SEG プロキシ - SEG プロキシにより管理されるデバイスは、SEG プロキシにより、デバイスが接続済みで管 理対象であると報告された時点でダッシュボード上に表示されます。
n PowerShell - PowerShell により管理されるデバイスは、Workspace ONE UEM が PowerShell
cmdlet を送信し、デバイスによる Eメール接続が許可された時点でダッシュボード上に表示されます。
n Gmail - Gmail により管理されるデバイスは、Workspace ONE UEM EAS プロファイルがデバイスのキュ ーに登録された時点でダッシュボードに表示されます。
E メールダッシュボードには以下の状態が表示されます。
n [管理対象割り当て済み] - 識別済みの memconfigID のある加入済みデバイス。
n [管理対象未割り当て] - プロファイル割り当てまたは自動検知を通して、memConfigID が識別されていない 加入済みデバイス。
n [管理外検出済み] - まだ Workspace ONE UEM に加入していないが、組織グループにおける特定の MEM 構成により検出されているデバイス。
モバイル E メール管理
6
Gmail クライアント (Android) を使用して EAS メールを展開するには、Gmail クライアントの構成プロファイル を作成します。
1 [デバイス] - [プロファイルとリソース] - [プロファイル] - [追加] - [プロファイルを追加] - [Android] の順に 進みます。
2 プロファイルをデバイスに展開するには、[デバイス] を選択します。
3 プロファイルの [全般] 設定を構成します。これらの設定では、プロファイルの展開方法およびプロファイルの受 信者を指定します。
4 [Exchange ActiveSync] ペイロードを選択します。
5 [Exchange ActiveSync] 設定を構成します。
設定 説明
メールクライアント メールクライアントタイプとして [Gmail] を選択します。
アカウント名 メールアカウントの説明を入力します。
Exchange ActiveSync ホスト 社内の ActiveSync サーバの外部 URL を入力します。
ActiveSync サーバには、ActiveSync プロトコルを実装している任 意のメールサーバ(例:HCL Notes Traveler、Novell Data Synchronizer、Microsoft Exchange)を使用できます。セキュア Eメールゲートウェイ (SEG) 展開の場合、Eメールサーバ URL では なく SEG URL を使用します。
SSL エラーを無視 このオプションを有効にした場合、デバイスは Workspace ONE Intelligent Hub プロセスにおける SSL エラーを無視できます。
ドメイン エンドユーザーのドメインを入力します。
エンドユーザーごとにプロファイルを作成する代わりに、参照値を使 用することができます。
ユーザー エンドユーザーのユーザー名を入力します。
エンドユーザーごとにプロファイルを作成する代わりに、参照値を使 用することができます。
設定 説明
メールアドレス エンドユーザーの E メールアドレスを入力します。
エンドユーザーごとに個別のプロファイルを作成する代わりに、参照 値を使用できます。
注: GSuite のカスタム属性を使用している場合は、Exchange
ActiveSync メールプロファイルの [メールアドレス] フィールドに カスタム属性の参照値を使用する必要があります。「Google Suite
への MEM 呼び出しのユーザー属性を構成する」を参照してください。
パスワード エンドユーザーにのパスワードを入力します。
エンドユーザーごとにプロファイルを作成する代わりに、参照値を使 用することができます。
証明書の識別 Exchange ActiveSync に接続するエンドユーザーに証明書を要求 する場合、ドロップダウンリストで ID 証明書を選択します。証明書 を要求しない場合は、[なし] を選択します (既定値)。
このペイロードの証明書を選択する際に必要な情報については、「資格 情報を展開する」を参照してください。
メールの同期を取りに遡る日数 過去何日分のメールをデバイスと同期させるかを指定します。
カレンダーの同期を取りに遡る日数 過去何日分のカレンダー項目をデバイスと同期させるかを指定しま す。
カレンダーの同期 このオプションを有効にした場合、カレンダーをデバイスと同期させ
ることができます。
連絡先の同期 このオプションを有効にした場合、連絡先をデバイスと同期させるこ
とができます。
タスクの同期を許可 このオプションを有効にした場合、タスクをデバイスと同期させるこ とができます。
E メール最大サイズ E メールメッセージをデバイスと同期させる際に許容される、各 E メ ールメッセージの上限サイズを指定します。このサイズを超過した分 は切り詰められます。
Eメール署名 発信メールに表示する Eメール署名を入力します。
添付ファイルを許可する このオプションを有効にした場合、E メールにファイルを添付できま す。
添付ファイルの最大サイズ (MB) 添付ファイルの上限サイズ (単位: MB) を指定します。
Eメール転送を許可 このオプションを有効にした場合、E メールを転送できます。
HTML フォーマットを許可 HTML 形式の E メールを HTML 形式のままデバイスと同期させる
かどうかを指定します。
このオプションを無効にした場合、同期する E メールはすべてプレー ンテキスト形式に変換されます。
スクリーンショットを無効にする このオプションを有効にした場合、デバイス上でスクリーンショット を取ることはできません。
同期の間隔 同期間隔 (単位: 分) を入力します。
モバイル E メール管理
設定 説明
同期スケジュールのピーク日 n 同期処理におけるピーク日を指定します。また、[開始時間] およ び [終了時間] で、選択した日における同期処理の開始/終了時刻 を指定します。
n [ピーク時の同期スケジュール] および [オフピーク時の同期スケ ジュール] で、同期処理の頻度を指定します。
n [自動] を選択した場合、更新データが発生するたびに Eメー ル同期処理が実行されます。
n [手動] を選択した場合、選択したときにのみ Eメール同期処 理が実行されます。
n 時刻値を選択した場合、設定したスケジュールに基づいて E メール同期処理が実行されます。
n 必要に応じて、[SSL の使用]、[TLS の使用] および [既定のアカ ウント] を有効にします。
S/MIME 設定 [S/MIME を使用] を選択し、[資格情報] ペイロードで [ユーザー証明
書] として関連付ける S/MIME 証明書をここから選択することがで きます。
n [S/MIME 証明書] – 使用する証明書を選択します。
n [暗号化した S/MIME メッセージを要求する] – 暗号化を要求す るにはこれを有効にします。
n [署名済み S/MIME メッセージを要求する] – S/MIME の署名 済みのメッセージを要求するには、これを有効にします。
暗号化に S/MIME 証明書を使用する場合は、[移行ホスト] を入力し ます。
[保存] を選択して設定を保存するか、[保存して公開] を選択し、必要 なデバイスにプロファイル設定をプッシュします。
6 [保存] を選択して設定を保存するか、[保存して公開] を選択し、必要なデバイスにプロファイル設定をプッシュ します。
ネイティブ メール クライアントの EAS メール プロファイルの構成
iOS デバイスのネイティブメールクライアント用の E メール構成プロファイルを作成します。
1 [デバイス] - [プロファイルとリソース] - [プロファイル] - [追加] の順に進みます。[Apple iOS] を選択しま す。
2 プロファイルの [全般] 設定を構成します。
3 [Exchange ActiveSync] ペイロードを選択します。
4 [メールクライアント] から [ネイティブメールクライアント] を選択します。[アカウント名] 欄に、このメー ルアカウントの説明を入力します。[Exchange ActiveSync ホスト] フィールドに、貴社の ActiveSync サー バの外部 URL を入力します。
注: ActiveSync サーバには、ActiveSync プロトコルを実装している任意のメールサーバ(例:HCL Notes
Traveler、Novell Data Synchronizer、Microsoft Exchange)を使用できます。セキュア E メールゲー トウェイ (SEG) 展開の場合は、メールサーバ URL ではなく SEG URL を使用します。
5 [SSL を使用] チェックボックスを選択して、受信 E メールトラフィックの Secure Socket Layer の使用を有 効にします。
6 追加の暗号化証明書を使用する場合は [S/MIME] ボックスにチェックを入れます。このオプションを有効にす る前に、[資格情報] プロファイル設定の下に必要な証明書がアップロードされていることを確認してください。
a Eメールメッセージに署名するには、[S/MIME 証明書] を選択します。
b Eメールメッセージの署名と暗号化の双方を行うには、[S/MIME 暗号化証明書] を選択します。
c エンドユーザーが個別の Eメールメッセージごとにネイティブ iOS メールクライアントを使用して署名と 暗号化を行うかを選択できるようにするには、[メッセージごとに切り替える] にチェックを入れます (iOS 8+ の監視対象デバイスのみ).
7 参照値機能を用いて、[ドメイン名、ユーザー名と E メールアドレス] を含む [ログイン情報] を入力します。参 照値は、ユーザーアカウントレコードのデータを直接取得します。参照値 {EmailDomain}、
{EmailUserName}、 {EmailAddress} を使用するには、Workspace ONE UEM ユーザーアカウントに E メールアドレスと E メールユーザー名が定義されていることを確認してください。
8 [パスワード] 欄は、ユーザ自身が入力するようプロンプトを表示するのであれば、空欄のままにしてください。
9 [資格情報] ペイロードに証明書を追加した後に、[ペイロード証明書] を選択し、証明書ベースの認証に使用する 証明書を定義します。
10 必要に応じて以下の [設定とセキュリティ] のオプション設定を構成します。
a [メールの同期を取りに遡る日数] – ダウンロードするメールの量を定義します。遡る日数が多いほど、メー ルをダウンロードする間のデバイスのデータ消費量が大きくなるのでご注意ください。
b [メッセージの移動を禁止する] – Exchange メールボックスからデバイス上の他のメールボックスにメー ルを移動できないようにします。
c [サードパーティ製アプリでの使用を禁止する] – 他のアプリが Exchange メールボックスを使ってメッセ ージを送信することを禁止します。
d [最近のアドレスの同期を禁止する] – Exchange でメールを送信する際の連絡先提案機能のアクティベー ションの解除を行います。
e [Mail Drop を禁止する] – Apple 社の Mail Drop 機能の使用についてアクティベーションの解除を行い ます。
f (iOS 13)[Enable Mail] – Exchange アカウント用に別のメールアプリを構成できるようにします。
g (iOS 13) [メールの切り替えを許可] – アクティベーションの解除を行うと、ユーザーによるメールのオン/ オフ切り替えができなくなります。
h (iOS 13)[連絡先を有効にする] – Exchange アカウント用に別の連絡先アプリを構成できるようにしま す。
i (iOS 13) [連絡先の切り替えを許可] – アクティベーションの解除を行うと、ユーザーによる連絡先のオン/ オフの切り替えができなくなります。
j (iOS 13)[カレンダーを有効にする] – Exchange アカウント用に別のカレンダーアプリを構成できるよ うにします。
モバイル E メール管理
k (iOS 13) [カレンダーの切り替えを許可] – 非アクティブ化すると、ユーザーによるカレンダーのオン/オフ の切り替えができなくなります。
l [メモを有効にする] – Exchange アカウント用に別のメモアプリを構成できるようにします。
m (iOS 13) [メモの切り替えを許可] – アクティベーションの解除を行うと、ユーザーによるメモのオン/オフ の切り替えができなくなります。
n (iOS 13) [リマインダーを有効にする] – Exchange アカウント用に別のリマインダーアプリを構成でき るようにします。
o (iOS 13) [リマインダーの切り替えを許可] – アクティベーションの解除を行うと、ユーザーによるリマイン ダーのオン/オフの切り替えができなくなります。
11 [既定の音声通話アプリ] で、E メールメッセージに記載されている電話番号を選択したときにネイティブ EAS アカウントによって使用される既定の音声通話アプリケーションを割り当てます。
12 [保存して公開] を選択すると、利用可能なデバイスにプロファイルがプッシュされます。
Exchange ActiveSync プロファイル (Windows デスクトップ )
Exchange ActiveSync プロファイルによって、Windows デスクトップデバイスから貴社の Exchange ActiveSync サーバにアクセスして E メールとカレンダーを使用できるように構成できます。
信頼できるサードパーティの認証局 (CA) によって署名された証明書を使用します。接続をセキュリティ保護して も、証明書に不備がある場合、"man-in-the-middle" (MITM) 攻撃を招いてしまう可能性があるからです。このよ うな攻撃は製品コンポーネント間で転送されるデータの信頼性と整合性を損ない、攻撃者に転送中のデータを傍受し て改変する機会を与える可能性があります。
Exchange ActiveSync プロファイルは、Windows デスクトップ向けのネイティブメールクライアントをサポー トします。使用するメールクライアントによって構成が変わります。
[プロファイル削除または企業情報ワイプを行う]
プロファイル削除コマンドや順守ポリシー、または企業情報ワイプによってプロファイルが削除されると、以下の項 目を含むすべての E メールデータが削除されます。
n ユーザーアカウント/ログイン情報
n E メールメッセージのデータ
n 連絡先とカレンダー情報
n アプリ内ストレージに保存された添付ファイル [ユーザー名とパスワード]
E メールユーザー名をユーザーの E メールアドレス以外の値に設定した場合、[{EmailUserName}] 欄を使用でき ます。この値は、ディレクトリサービス統合時にインポートされた E メールユーザー名に対応しています。E メー ルユーザー名が E メールアドレスと同じ場合でも、[{EmailUserName}] 欄を使用することをお勧めします。この 欄は、ディレクトリサービス統合の際にインポートされた E メールアドレスを使用します。
