Product Documentation

アクセス制御規則

Apr 27, 2017
XenMobile Mail Managerでは、Exchange ActiveSyncデバイスのアクセス制御を動的に構成するための、規則に基づく手法が提供されます。XenMobile Mail Managerのアクセス制御規則は、一致式と目的のアクセス状態(許可またはブロック)の2つで構成されます。特定のExchange ActiveSyncデバイスに対して規則を評価して、その規則がデバイスに適用されるかどうか、またはデバイスと一致するかどうかを判別できます。一致式にはいくつかの種類があります。たとえば、規則は、特定のデバイスの種類のすべてのデバイス、特定のExchange ActiveSyncデバイスID、特定のユーザーのすべてのデバイスと一致するなどの条件を指定できます。

規則一覧の規則を追加、削除、および並べ替えているときに[Cancel]をクリックすると、規則一覧が最初に開いたときの状態に戻ります。[Save]をクリックしない限り、構成ツールを閉じるとこのウィンドウに対して加えた変更が失われます。

XenMobile Mail Managerには、ローカル規則、XenMobileサーバー規則(XDM規則とも呼ばれます)、およびデフォルトのアクセス規則の3種類の規則があります。

ローカル規則:ローカル規則は最も優先されます。デバイスがローカル規則と一致すると、規則の評価は停止します。XenMobileサーバー規則とデフォルトのアクセス規則は参照されません。ローカル規則は、[Configure]>[Access Rules]>[Local Rules]タブから、XenMobile Mail Managerに対してローカルに構成します。サポート一致は、特定のActive Directoryグループ内のユーザーのメンバーシップに基づきます。サポート一致は、次のフィールドの正規表現に基づきます。

  • Active SyncデバイスID
  • ActiveSyncデバイスの種類
  • ユーザープリンシパル名(User Principal Name:UPN)
  • ActiveSyncユーザーエージェント(通常、デバイスプラットフォームまたはメールクライアント)

メジャースナップショットが完了し、デバイスが検出されている限り、通常の規則または正規表現の規則のいずれかを追加できます。メジャースナップショットが完了していない場合、正規表現の規則のみを追加できます。

XenMobileサーバー規則。XenMobileサーバー規則は、管理対象デバイスに関する規則を提供する外部のXenMobileサーバーへの参照です。XenMobileサーバーは、デバイスがジェイルブレイク済みかどうかや、デバイスに禁止アプリケーションが含まれているかどうかなど、XenMobileが認識しているプロパティに基づいてデバイスが許可されるか、ブロックされるかを識別する独自の高レベルの規則を使用して構成できます。XenMobileでは、高レベルの規則が評価され、許可またはブロックする一連のActiveSyncデバイスIDが生成されて、これらがXenMobile Mail Managerに配信されます。

デフォルトのアクセス規則デフォルトのアクセス規則は、すべてのデバイスと一致する可能性があり、常に最後に評価されるという点で独特です。この規則は、あらゆる状況に対応できる規則です。つまり、特定のデバイスがローカル規則とXenMobleサーバー規則のいずれにも一致しない場合は、デフォルトのアクセス規則での目的のアクセス状態によってデバイスにおける目的のアクセス状態が決まります。

  • Default Access – Allow。ローカル規則とXenMobleサーバー規則のいずれにも一致しないすべてのデバイスが許可されます。
  • Default Access – Blockローカル規則とXenMobleサーバー規則のいずれにも一致しないすべてのデバイスがブロックされます。
  • Default Access - Unchanged。ローカル規則とXenMobleサーバー規則のいずれにも一致しないすべてのデバイスのアクセス状態は、XenMobile Mail Managerによって変更されません。ExchangeによってデバイスがQuarantineモードになっている場合、アクションは実行されません。たとえば、Quarantineモードからデバイスを削除する方法は、ローカル規則またはXDM規則で隔離を明示的に上書きすることのみです。

規則の評価について

ExchangeからXenMobile Mail Managerに報告されるデバイスごとに、次のように優先度の高い順に規則が評価されます。

  • ローカル規則
  • XenMobileサーバー規則
  • デフォルトのアクセス規則

一致が検出されると、評価は停止します。たとえば、ローカル規則が特定のデバイスと一致すると、そのデバイスはXenMobileサーバー規則またはデフォルトのアクセス規則に対して評価されません。このことは、特定の種類の規則内でも当てはまります。たとえば、ローカル規則一覧で、特定のデバイスに対して複数の一致がある場合、最初の一致が見つかるとすぐに評価は停止します。

デバイスプロパティが変更されたとき、デバイスが追加または削除されたとき、または規則自体が変更されたときは、現在定義されている一連の規則がXenMobile Mail Managerによって再評価されます。メジャースナップショットにより、構成可能な間隔でデバイスのプロパティ変更または削除が確認されます。マイナースナップショットにより、構成可能な間隔で新しいデバイスが確認されます。

Exchange ActiveSyncにも、アクセスを管理する規則があります。XenMobile Mail Managerのコンテキストでこれらの規則がどのように機能するかを理解することが重要です。Exchangeは、個人の適用除外、デバイスの規則、組織の設定という3つのレベルの規則で構成できます。XenMobile Mail Managerでは、リモートPowerShell要求をプログラムで発行して個人の適用除外一覧に反映させることで、アクセス制御を自動化します。これらは、特定のメールボックスに関連する、許可またはブロックするExchange ActiveSyncデバイスIDの一覧です。展開すると、XenMobile Mail ManagerはExchange内の適用除外一覧の管理機能を効果的に引き継ぎます。詳細については、このMicrosoftの技術文書を参照してください。

分析は、同じフィールドに対して複数の規則が定義されている場合に特に便利です。規則間の関係をトラブルシューティングできます。規則フィールドの観点から分析を実行します。たとえば、ActiveSyncデバイスID、ActiveSyncデバイスの種類、ユーザー、ユーザーエージェントなどの照合されるフィールドに基づくグループで規則が分析されます。

規則の用語:

  • 上書き規則。同じデバイスに複数の規則が適用される可能性がある場合に上書きが発生します。一覧の優先度の順序で規則が評価されるので、優先度の低い、適用される可能性がある規則のインスタンスが評価されない場合があります。
  • 競合規則。同じデバイスに複数の規則が適用される可能性があり、アクセス(許可/ブロック)が一致しない場合に競合が発生します。競合規則が正規表現の規則でない場合、競合には常に暗黙的に上書きの意味も含まれます。
  • 補足規則。正規表現の規則が複数あるので、2つ(またはそれ以上)の正規表現を1つの正規表現の規則に結合できるか、またはそれらの機能が重複していないようにする必要がある場合に補足が発生します。補足規則もアクセス(許可/ブロック)で競合する場合があります。
  • プライマリ規則。プライマリ規則は、ダイアログボックス内でクリックされた規則です。この規則は、実線の罫線で囲まれて示されます。この規則には、上方向または下方向を指す1つまたは2つの緑色の矢印も示されます。矢印が上方向を指している場合は、プライマリ規則よりも優先される補助規則があることを示しています。矢印が下方向を指している場合は、プライマリ規則よりも優先度の低い補助規則があることを示しています。アクティブにできるプライマリ規則は、常に1つのみです。
  • 補助規則。補助規則は、上書き、競合、または補足の関係のいずれかで、プライマリ規則と何らかの関係を持ちます。この規則は、破線の罫線で囲まれて示されます。各プライマリ規則に対して、1対多の補助規則を指定できます。下線付きのエントリをクリックしたときに強調表示される補助規則は、常にプライマリ規則の観点から示されます。たとえば、補助規則がプライマリ規則によって上書きされたり、プライマリ規則とアクセスで競合したり、プライマリ規則を補足したりします。

[Rule Analysis]ダイアログボックスのルールの種類の外観

競合、上書き、または補足がない場合、[Rule Analysis]ダイアログボックスに下線付きのエントリは表示されません。どのアイテムをクリックしても影響はありません。通常の選択済みアイテムの表示になります。

[Rule Analysis]ウィンドウにあるチェックボックスを選択すると、競合、上書き、重複、または補足構造であるルールのみが表示されます。  

上書きが発生した場合、2つ以上の規則(プライマリ規則と、1つまたは複数の補助規則)に下線が付けられます。1つまたは複数の補助規則が淡色のフォントで表示され、より優先度の高い規則によって上書きされたことが示されます。上書きされた規則をクリックして、その規則を上書きした規則を確認できます。規則がプライマリ規則または補助規則であることの結果として上書きされた規則が強調表示されている場合は常に、その規則が非アクティブであることを示す追加表示として、その規則の横に黒の円が表示されます。たとえば、規則をクリックする前は、次のようにダイアログボックスが表示されます。

 

 

最も優先度の高い規則をクリックすると、ダイアログボックスの表示は次のようになります。

 



この例では、正規表現の規則WorkMail.*がプライマリ規則(実線の罫線で表示)で、通常の規則workmailc633313818が補助規則(破線の罫線で表示)です。補助規則の横の黒点は、より優先度の高い正規表現の規則が優先されるので、その規則が非アクティブである(評価されない)ことを示す追加表示です。上書きされる規則をクリックすると、ダイアログボックスの表示は次のようになります。

 


 

上記の例では、正規表現の規則WorkMail.*が補助規則(破線の罫線で表示)で、通常の規則workmailc633313818がプライマリ規則(実線の罫線で表示)です。このシンプルな例では、大きな違いはありません。より複雑な例については、このトピックで後述する複雑な式の例を参照してください。多くの規則が定義されたシナリオでは、上書きされる規則をクリックすると、その規則を上書きした規則がすばやく識別されます。

競合が発生した場合、2つ以上の規則(プライマリ規則と、1つまたは複数の補助規則)に下線が付けられます。競合している規則は赤色の点で示されます。相互に競合のみが発生している規則は、2つ以上の正規表現の規則が定義されている場合に限り発生します。ほかのすべての競合のシナリオでは、競合のみではなく、上書きも発生します。シンプルな例で説明すると、いずれかの規則をクリックする前は、次のようにダイアログボックスが表示されます。

 


 

2つの正規表現の規則を確認すると、最初の規則で「App」がデバイスIDに含まれるすべてのデバイスを許可し、2つ目の規則で「Appl」がデバイスIDに含まれるすべてのデバイスを拒否することがわかります。さらに、2つ目の規則で「Appl」がデバイスIDに含まれるすべてのデバイスが拒否されますが、許可する規則の優先度の方が高いので、その一致条件のデバイスは決して拒否されません。最初の規則をクリックすると、ダイアログボックスの表示は次のようになります。

 


 

前述のシナリオでは、プライマリ規則(正規表現の規則App.*)と補助規則(正規表現の規則Appl.*)の両方が黄色で強調表示されます。これは、複数の正規表現の規則を単一の一致可能なフィールドに適用したことについての単純な警告の表示です。この警告は、冗長性の問題や、より深刻な問題を示す場合があります。

競合と上書きの両方を含むシナリオでは、プライマリ規則(正規表現の規則App.*)と補助規則(正規表現の規則Appl.*)の両方が黄色で強調表示されます。これは、複数の正規表現の規則を単一の一致可能なフィールドに適用したことについての単純な警告の表示です。この警告は、冗長性の問題や、より深刻な問題を示す場合があります。

 


 

上記の例では、最初の規則(正規表現の規則SAMSUNG.*)が次の規則(通常の規則SAMSUNG-SM-G900A/101.40402)を上書きするだけでなく、2つの規則のアクセスが異なる(プライマリ規則では許可を指定し、補助規則ではブロックを指定)ことも容易に確認できます。2つ目の規則(通常の規則SAMSUNG-SM-G900A/101.40402)は淡色のテキストで表示され、上書きされて非アクティブであることが示されます。

正規表現の規則をクリックすると、ダイアログボックスの表示は次のようになります。

 


 

プライマリ規則(正規表現の規則SAMSUNG.*)の末尾には赤色の点が付けられて、アクセス状態が1つまたは複数の補助規則と競合していることが示されます。補助規則(通常の規則SAMSUNG-SM-G900A/101.40402)の末尾には、アクセス状態がプライマリ規則と競合していることを示す赤色の点に加えて、その規則が上書きされて非アクティブであることを示す黒点が付けられます。

2つ以上の規則(プライマリ規則と、1つまたは複数の補助規則)に下線が付けられます。相互に補足のみが発生している規則には、正規表現の規則のみが定義されています。相互に補足が発生している規則は、黄色のオーバーレイで示されます。シンプルな例で説明すると、いずれかの規則をクリックする前は、次のようにダイアログボックスが表示されます。

 


 

目視で確認すると、両方の規則が正規表現の規則で、両方ともXenMobile Mail Managerの[ActiveSync device ID]フィールドに適用されていることが容易にわかります。最初の規則をクリックすると、ダイアログボックスの表示は次のようになります。

 


 

プライマリ規則(正規表現の規則「WorxMail.*」)が黄色のオーバーレイで強調表示され、正規表現の補助規則がほかに1つ以上存在することが示されます。補助規則(正規表現の規則SAMSUNG.*)が黄色のオーバーレイで強調表示され、この規則とプライマリ規則の両方が、XenMobile Mail Manager内の同じフィールド(この場合は、[ActiveSync device ID]フィールド)に適用されている正規表現の規則であることが示されます。正規表現は重複する場合としない場合があります。正規表現が適切に作成されているかどうかの判断は、ユーザーに委ねられます。

複雑な式の例

発生する可能性のある上書き、競合、または補足は多くあるので、発生する可能性のあるシナリオの例をすべて示すことはできません。次の例では、すべきでないことについて説明し、ルール分析の完全な視覚的構造を示します。次の図では、ほとんどのアイテムに下線が付けられています。多くのアイテムが淡色のフォントで表示され、問題となる規則が、何らかの方法でより優先度の高い規則によって上書きされていることが示されています。同様に、アイコンで示される多数の正規表現の規則も一覧に含まれています。

 


 

上書きの分析方法

特定の規則を上書きした規則を確認するには、その規則をクリックします。

例1:この例では、zentrain01@zenprise.comが上書きされた理由を調べます。

 


 

このプライマリ規則(zentrain01@zenprise.comがメンバーとして属するADグループ規則zenprise/TRAINING/ZenTraining B)には、次の特性があります。

  • 青色で強調表示され、実線の罫線で囲まれている。
  • 上方向を指す緑色の矢印が付けられている(すべての補助規則がこの規則より上に表示されていることを示します)。
  • 末尾に、1つまたは複数の補助規則とアクセスが競合していることを示す赤色の点と、プライマリ規則が上書きされて非アクティブであることを示す黒点が付けられている。

上方向にスクロールすると、次が表示されます。

 


 

この場合、プライマリ規則を上書きする2つの補助規則(正規表現の規則zen.*と通常の規則zentrain01@zenprise.com (of zenprise/TRAINING/ZenTraining A))があります。後者の補助規則の場合、Active Directoryグループ規則ZenTraining Aにユーザーzentrain01@zenprise.comが含まれる一方で、Active Directoryグループ規則ZenTraining Bにもユーザーzentrain01@zenprise.comが含まれることになります。ただし、補助規則の優先度がプライマリ規則の優先度よりも高いので、プライマリ規則は上書きされています。プライマリ規則のアクセスが許可で、両方の補助規則のアクセスがブロックであるので、これらすべての末尾に赤色の点が付けられて、アクセスが競合していることも示されています。

例2:次の例は、ActiveSyncデバイスIDが069026593E0C4AEAB8DE7DD589ACED33であるデバイスが上書きされた理由を示しています。

 


 

このプライマリ規則(通常のデバイスIDの規則069026593E0C4AEAB8DE7DD589ACED33)には、次の特性があります。

  • 青色で強調表示され、実線の罫線で囲まれている。
  • 上方向を指す緑色の矢印が付けられている(補助規則がこの規則より上に表示されていることを示します)。
  • 末尾に、補助規則がそのプライマリ規則を上書きして、非アクティブであることを示す黒色の円が付けられている。

 


 

この場合、単一の補助規則(正規表現のActiveSyncデバイスIDの規則3E.*)がプライマリ規則を上書きします。正規表現3E.*が069026593E0C4AEAB8DE7DD589ACED33に一致するので、プライマリ規則は評価されません。

補足および競合の分析方法

この場合、プライマリ規則は正規表現のActiveSyncデバイスの種類の規則touch.*です。特性は次のとおりです。

  • 実線の罫線で囲まれ、特定の規則フィールド(この場合は、ActiveSyncデバイスの種類)に対して複数の正規表現の規則が使用されているという警告として、黄色のオーバーレイが適用されている。
  • 上方向および下方向をそれぞれ指す2つの矢印が付けられ、より優先度の高い1つ以上の補助規則とより優先度の低い1つ以上の補助規則が存在することが示されている。
  • 横に赤色の円が付けられ、1つ以上の補助規則のアクセスが許可に設定されて、プライマリ規則のアクセス状態のブロックと競合することが示されている。
  • 2つの補助規則(正規表現のActiveSyncデバイスの種類の規則SAM.*と正規表現のActiveSyncデバイスの種類の規則Andro.*)が存在する。
  • 両方の補助規則が破線の罫線で囲まれ、補助規則であることが示されている。
  • 両方の補助規則に黄色のオーバーレイが適用され、ActiveSyncデバイスの種類の規則フィールドにこれらが補足として適用されていることが示されている。
  • このようなシナリオでは、正規表現の規則が冗長でないようにする必要がある。

 


 

規則の高度な分析方法

次の例では、規則の関係が常にプライマリ規則の観点から示されるしくみを確認します。前述の例では、デバイスの種類の規則フィールドに適用され、値がtouch.*である正規表現の規則をクリックした場合を示しました。補助規則Andro.*をクリックすると、別の一連の補助規則が強調表示されます。

 


 

この例では、規則の関係に含まれる上書きされた規則が示されています。この規則は、通常のActiveSyncデバイスの種類の規則Androidです。この規則は上書きされ(淡色のフォントで示され、横に黒点が付けられています)、プライマリ規則(正規表現のActiveSyncデバイスの種類の規則Andro.*。この規則は、クリック前は補助規則でした)のアクセスと競合しています。前述の例では、その時点でのプライマリ規則(正規表現のActiveSyncデバイスの種類の規則touch.*)の観点からは関係しなかったので、通常のActiveSyncデバイスの種類の規則Androidは補助規則として表示されていませんでした。

通常の式のローカル規則を構成するには

  1. [Access Rules]タブをクリックします。
     

  2. [Device ID]一覧で、ローカル規則を作成するフィールドを選択します。
  3. 虫眼鏡アイコンをクリックして、選択したフィールドに固有の一致をすべて表示します。この例では、[Device Type]フィールドが選択され、下のリストボックスに選択肢が表示されています。
     

  4. 表示されたリストボックスでいずれかのアイテムをクリックして、次のいずれかのオプションをクリックします。
    • 許可を選ぶと、すべての一致するデバイスに対して、ActiveSyncトラフィックを許可するようにExchangeが構成されます。
    • 禁止を選ぶとすべての一致するデバイスに対して、ActiveSyncトラフィックを拒否するようにExchangeが構成されます。

    この例では、デバイスの種類がTouchDownであるすべてのデバイスのアクセスが拒否されます。

     

正規表現を追加するには

正規表現のローカル規則は、横に表示されるアイコン()で識別できます。正規表現の規則を追加するには、特定のフィールドの結果一覧にある既存の値から正規表現の規則を作成(メジャースナップショットが完了している場合)するか、または必要な正規表現をそのまま入力します。

既存のフィールド値から正規表現を作成するには

  1. [Access Rules]タブをクリックします。

  2. [Device ID]一覧で、正規表現のローカル規則を作成するフィールドを選択します。
  3. 虫眼鏡アイコンをクリックして、選択したフィールドに固有の一致をすべて表示します。この例では、[Device Type]フィールドが選択され、下のリストボックスに選択肢が表示されています。

  4. 結果一覧でいずれかのアイテムをクリックします。この例では、SAMSUNGSPHL720が選択され、[Device Type]に隣接するテキストボックスに表示されています。
     

  5. デバイスの種類の値に「Samsung」が含まれるすべてのデバイスの種類を許可するには、次の手順に従って正規表現の規則を追加します。
    1. 選択済みアイテムのテキストボックス内をクリックします。
    2. SAMSUNGSPHL720からSAMSUNG.*にテキストを変更します。
    3. [regular expression]チェックボックスをオンにします。
    4. [Allow]をクリックします。

     

アクセス規則を作成するには

  1. [Local Rules]タブをクリックします。
  2. 正規表現を入力するには、[Device ID]一覧と選択済みアイテムのテキストボックスの両方を使用する必要があります。

  3. 照合するフィールドを選択します。この例では[Device Type]を使用します。
  4. 正規表現を入力します。この例ではsamsung.*を使用します。
  5. [regular expression]チェックボックスをオンにして、[Allow]または[Deny]をクリックします。この例では、[Allow]を選択し、最終結果は次のようになります。
     

デバイスを検出するには

[regular expression]チェックボックスをオンにして、特定の式に一致する特定のデバイスの検索を実行できます。この機能は、メジャースナップショットが正常に完了している場合にのみ利用できます。正規表現の規則を使用しない場合でも、この機能を使用できます。たとえば、ActiveSyncデバイスIDにテキスト「workmail」が含まれるすべてのデバイスを検出するとします。これを行うには、以下の手順に従います。

  1. [Access Rules]タブをクリックします。
  2. デバイスの照合フィールドセレクターが[Device ID](デフォルト)に設定されていることを確認します。
     

  3. 選択済みアイテムのテキストボックス内(上記の図に青色で示されています)をクリックし、「workmail.*」と入力します。
  4. [regular expression]チェックボックスをオンにして、虫眼鏡アイコンをクリックし、次の図に示すように一致を表示します。
     

個々のユーザー、デバイス、またはデバイスの種類を静的規則に追加するには

[ActiveSync Devices]タブで、ユーザー、デバイスID、またはデバイスの種類に基づく静的規則を追加できます。
  1. [ActiveSync Devices]タブをクリックします。
  2. 一覧で、ユーザー、デバイス、またはデバイスの種類を右クリックして、選択内容を許可するか、または拒否するかを選択します。

    次の図は、user1を選択したときの許可/拒否オプションを示しています。