社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。

【Microsoft365参考書】ExchangeOnlineで特定のIPアドレスからのみアクセス可能にするには?クライアントアクセスルールとは?

f:id:it-bibouroku:20200305151118j:plain

 

 

 

Exchange Online へのアクセス (Outlookなど)を会社からのみアクセス可能にしたい場合など、クライアントアクセスルールを利用することで、特定のドメインや特定の IP アドレスからのみアクセスを許可することで実現可能です。  

   

しかしながら、PC 端末のみ対象であり、モバイル端末からのアクセスについては制御ができないことをご承知おきください。

   

以下に該当と設定例をご案内いたしますので、ご参考としていただければ幸いです。  

  

  

クライアント アクセスルールの概要につきまして 

Exchange Online への接続に関して IP アドレス単位、ドメイン単位、ユーザー単位などで制御する機能となります。 

  

クライアント アクセスルールでは、[**** を許可 (または拒否)する] というルールの作成、および、例外条件のパラメーターが指定可能です。 

例えば、特定の IP アドレスの接続を許可または拒否する条件を設定する場合、[AnyOfClientIPAddressesOrRanges] パラメーター、または特定の IP アドレスを例外として設定する場合は ExceptAnyOfClientIPAddressesOrRanges が該当パラメーターを使用します。 

  

上記の条件につきましては、1 つのルール内に複数指定可能でございますが、複数の条件を含めた際、そのいずれかに合致した場合、接続を許可する設定となります。(OR条件) 

  

また、"特定の IP アドレス" に加えて "特定のユーザー" を条件としたい場合など、[AND] で条件を指定する場合は、複数のルールの作成が必要です。

※クライアントアクセスルールに関するコマンドレットは、Exchange Online が含まれるすべてのプランで利用できます。 

  

制御可能なクライアントの情報 

・ PC 端末のブラウザーからのアクセス : クライアント アクセス ルール 

・ PC 端末の Outlook クライアント アプリからのアクセス : クライアント アクセスルール(MAPIの場合はアクセス不可) 

・ PC 端末の 標準メールアプリからのアクセス : 動作しません。(POP,IMAPによる受信は制御可能) 

Thunderbirdも同様にPOP,IMAPの受信の制御可能 

・ モバイル端末のブラウザーからのアクセス : 現状機能の実装に至っておりません (モバイル端末の IP アドレスの固定ができればクライアントアクセスルールで実現できる可能性あり) 

・ モバイル端末の標準メールアプリからのアクセス (POP / IMAP) : 現状機能の実装に至っておりません 

・ モバイル端末の標準メールアプリからのアクセス (ActiveSync 接続) : Exchange ActiveSync アクセスの設定にて検疫 

・ モバイル端末の Outlook for iOS and Android からのアクセス : デバイス アクセス ルールにて検疫 

  

 

  

留意点  

  • クライアント アクセスルールで、誤ってすべてのユーザーが Exchange Online へのアクセスを制限するルールを作成してしまいますと、管理者におきましてもルールを削除、変更することができなくなります。左記の動作を防止するために、管理者が Windows PowerShell を Exchange Online へ接続することを許可するルールを作成しておきます。

  

  • 最初のルールが作成されてから、本機能が有効になるまで、最大 24 時間を要する可能性があります。また、事例ベースでは設定の反映までにさらに 1 日から 2 日程度要する事例を確認してます。 

  

  • 二つめのルールが作成されてから有効になるまでに、1 時間ほどの時間を要します。 

  

  • ルールを削除した場合、本機能は無効化されますが、即時反映はされませんのでご留意ください。 

  

  • ClientAccessRule は、最大 20 のルールの登録までとなります。 

  

  

事前準備 

事前に以下の記事を参照し PowerShell を Exchange Online に接続します。 

  

 

it-bibouroku.hateblo.jp

 

  

クライアントルールの設定例 

クライアント アクセスルールを作成する前に、管理者が設定を変更できなくなる可能性を防止するために、 Windows PowerShell を Exchange Online へ接続することを許可するルールを作成します。 

  

[構文] 

New-ClientAccessRule -Name <ルール名> -Action <Allow または Deny> -AnyOfProtocols <許可するプロトコル> -Priority <ルールの優先順位> 

  

[実行例] 

New-ClientAccessRule -Name AllowRemotePS -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1 

  

※ 実行後に Yes、No が表示される場合は Y キーを押下してから Enter キーを押下してください。 

  

クライアント アクセスルールにおきましては、[Priority] パラメーターにて優先度を設定することが可能です。 

上記実行例では、プロトコル "RemotePowerShell" の利用を許可するルール "AllowRemotePS" を優先順位 1 番で作成しております。 

  

   

クライアント アクセスルールの各種コマンドレットについて  

  

 

 

1. クライアント アクセスルールの作成について 

クライアント アクセスルールは、[New-ClientAccessRule] コマンドレットで作成します。 

コマンドレットには [Name] パラメーターでルール名を指定し、[Action] パラメーターで Exchange Online への接続を許可するのか否かを指定します。 

[Action] パラメーターの値は "Allow" または "Deny" です。"Allow" が許可、"Deny" が拒否となります。 

  

下記は、[Action] にて、アクセスを拒否し、[ExceptAnyOfClientIPAddressesOrRanges] パラメーターにて、拒否の対象外とする IP アドレスを指定しています。 

  

利用可能なパラメーターにつきましては、以下の公開情報をご参照ください。 

  

 

technet.microsoft.com

  

[構文] 

New-ClientAccessRule -Name "作成するルールの名前" -Action Deny -ExceptAnyOfClientIPAddressesOrRanges "IP アドレスの指定" -Priority 2 

  

[実行例] 

New-ClientAccessRule -Name IP -Action Deny -ExceptAnyOfClientIPAddressesOrRanges "192.168.1.1-192.168.1.254" -Priority 2 

  

※ 上記実行例では、IP アドレスレンジ "192.168.1.1-192.168.1.254" 以外からの通信をブロックするルール "IP" を作成しています。範囲が複数存在する場合につきましては、"," (カンマ) で区切って指定ください。 

  

  

 

 

2. クライアント アクセスルールの確認について 

ルールが作成されているかを確認する場合は、以下のコマンドレットを実行することで確認可能です。 

  

[構文] 

Get-ClientAccessRule 

  

[実行結果例] 

Name Priority Enabled DatacenterAdminsOnly 

---- -------- ------- -------------------- 

Test 1        True    False 

  

[実行例] ※ルールの詳細情報を確認する場合 

Get-ClientAccessRule -Identity "作成したルール名" | fl 

  

  

 

 

3. クライアント アクセスルールの編集について 

作成済みのルールを編集する場合は、[Set-ClientAccessRule] コマンドレットを指定します。 

また、編集対象のルールを [Identity] パラメーターで指定し、あわせて編集対象のパラメーターや値を指定します。 

  

[実行例] 

Set-ClientAccessRule -Identity Test -Priority 4 

  

※ 上記実行例では、ルール "Test" の優先順位を 4 に変更しています。 

  

利用可能なパラメーターにつきましては、以下の公開情報をご参照ください。 

  

docs.microsoft.com

  

4. クライアント アクセスルールの削除の概要について 

作成済みのルールを削除する場合は、[Remove-ClientAccessRule] コマンドレットを指定します。 

また、削除対象のルールを [Identity] パラメーターで指定します。 

  

[実行例] 

Remove-ClientAccessRule -Identity Test 

  

※ 上記実行例では、ルール "Test" を削除しています。 

  

 

technet.microsoft.com

 

広告

高スペックPCが約3万円で購入できます


【楽天年間ランキングでパソコン1位!】初期設定不要!すぐ使える! ノートパソコン 中古 Windows10 Office付き 新品 爆速SSD 中古パソコン Corei5 店長おまかせNECノート 4GB 15インチ 中古ノートパソコン リフレッシュPC

 

キーボード入力の手首の疲労軽減 低反発クッション