モバイルデバイスアクセスルールの管理 - Amazon WorkMail
モバイルデバイスアクセスルールの仕組みモバイルデバイスアクセスルールの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

モバイルデバイスアクセスルールの管理

Amazon WorkMail のモバイルデバイスアクセスルールを使用すると、管理者は特定の種類のモバイルデバイスのメールボックスアクセスを制御できます。デフォルトでは、各 Amazon WorkMail 組織は、タイプ、モデル、オペレーティングシステム、ユーザーエージェントに関係なく、すべてのデバイスへのメールボックスアクセスを許可するルールを使用します。そのデフォルトルールを編集したり、独自のルールに置き換えたりできます。ルールは追加、変更、削除できます。

警告

組織のすべてのモバイルデバイスアクセスルールを削除すると、Amazon WorkMail はすべてのモバイルデバイスアクセスをブロックします。

次のデバイスプロパティに基づいて、アクセスを許可または拒否するルールを作成できます。

  • デバイスタイプ — 「iPhone」、「iPad」、または「Android」

  • デバイスモデル-「iPhone10C1」、「iPad5C1」、または「HTCOneX」

  • デバイスオペレーティングシステム-「iOS 12.3.1 16F203」、または「Android 8.1.0」

  • デバイスユーザーエージェント-「iOS/14.2 (18B92) exchangesyncd/1.0」、または「Android-Mail/7.7.16.163886392.release」

AWS マネジメントコンソールでデバイスプロパティを表示するには、「モバイルデバイスの詳細の表示」を参照してください。

注記

一部のデバイスおよびクライアントでは、すべてのフィールドのプロパティがレポートされない場合があります。これらのケースを回避する方法については、Dealing with empty fields を参照してください。

重要

Amazon WorkMail モバイルデバイスアクセスルールは、Microsoft Exchange ActiveSync プロトコルを使用するデバイスにのみ適用されます。IMAP などの別のプロトコルを使用するモバイルクライアントは、ここにリストされているデバイスのプロパティを報告しないため、これらのルールは適用されません。

他のプロトコルを使用するデバイスのアクセスを制限する必要がある場合は、アクセスコントロールルールを作成します。これらの詳細については、アクセスコントロールルールの使用を参照してください。例えば、他のプロトコルやウェブメールへのアクセスを社内 IP アドレスの範囲に制限しても、他の場所からの Microsoft ActiveSync を許可し、モバイルデバイスアクセスルールを使用して、許可されるクライアントの種類とバージョンをさらに制限できます。

モバイルデバイスアクセスルールの仕組み

モバイルデバイスアクセスルールは、Microsoft Exchange ActiveSync プロトコルを使用するデバイスにのみ適用されます。各ルールには、ルールが適用されるタイミングを指定する一連の条件と、デバイスの ALLOW または DENY のアクセス効果があります。ルールは、ルールのすべての条件がユーザーのモバイルデバイスのプロパティと一致する場合のみ、アクセスリクエストに適用されます。条件のないルールは、すべてのリクエストに適用されます。各条件は、デバイスのレポートされたプロパティに対して、大文字と小文字を区別しないプレフィクスの一致を使用します。

Amazon WorkMail は、ルールを次のように評価します。

  • DENY ルールがデバイスプロパティと一致すれば、ポリシーによってデバイスがブロックされます。DENY ルールは優先されます ALLOW ルールよりも優先されます。

  • ALLOW ルールが少なくとも 1 つ一致し、DENY ルールは一致するものがなければ、ポリシーはデバイスを許可します。

  • ルールが適用されない場合、デバイスはブロックされます。

重要

モバイルデバイスは、ルールがオペレーションに使用するプロパティを報告します。Microsoft ActiveSync デバイスのプロビジョニングプロセス中に、デバイスのプロパティがレポートされます。Amazon WorkMail は、モバイルクライアントが正しい情報や最新情報を報告していることを個別に検証することはできません。

モバイルデバイスアクセスルールの使用

API または AWS コマンドラインインターフェイス (CLI) を使用して、モバイルデバイスアクセスルールを作成および管理できます。の詳細については AWS CLI、AWS コマンドラインインターフェイスユーザーガイドを参照してください。

重要

Amazon WorkMail 組織のアクセスルールを変更すると、影響を受けるデバイスが更新されたルールに従うまでに 5 分かかることがあり、その間にデバイスが一貫性のない動作を示すことがあります。ただし、ルールをテストすると、すぐに正しい動作が表示されます。詳細については、「Testing mobile device access rules」を参照してください。

モバイルデバイスアクセスルールの一覧表示

次の例は、モバイルデバイスアクセスルールを一覧表示する方法を示しています。

aws workmail list-mobile-device-access-rules --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56
モバイルデバイスアクセスルールの作成

次の例では、すべての Android デバイスがメールボックスへのアクセスをブロックするルールを作成します。

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name BlockAllAndroid --effect DENY --device-types "android"

次の例では、特定のバージョンの iOS のみを許可するルールを作成します。デフォルト ALLOW-all ルールは必ず削除してください。

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.3"
モバイルデバイスアクセスルールの更新

次の例では、識別子を追加してデバイスルールを更新します。

aws workmail update-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.4"
モバイルデバイスアクセスルールの削除

次の例では、指定された ID を持つモバイルデバイスアクセスルールを削除します。

aws workmail delete-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d
モバイルデバイスアクセスルールのテスト

アクセスルールをテストするには、GetMobileDeviceAccessEffect API、または AWS CLI の [get-mobile-device-access-effect] コマンドを使用します。の詳細については AWS CLI、AWS 「 コマンドラインインターフェイスユーザーガイド」を参照してください。

テストする際、シミュレートされたモバイルデバイスのプロパティを渡すと、API または CLI がアクセス効果 (ALLOW または DENY) を返します。アクセス効果はプロパティを持つ実際のモバイルデバイスが受け取ることになります。例えば、このコマンドは、iOS 14.2 を実行している iPhone とデフォルトのメールアプリケーションが、メールボックスにアクセスできるかどうかをテストします。

aws workmail get-mobile-device-access-effect --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --device-type "iPhone" --device-model "iPhone10C1" --device-operating-system "iOS 14.2.1 16F203" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0"
空のフィールドの取り扱い

一部のモバイルデバイスまたはクライアントでは、1 つ以上のフィールドの情報をレポートしないため、値が空のままになることがあります。ルールは、条件で特別な値を $NONE を使用して、これらのデバイスと一致させることができます。例えば、 DeviceTypes=["iphone", "ipad", "$NONE"] を持つルールは、「"iphone"」または「"ipad"」のデバイスタイプを報告するデバイスと一致するか、デバイスタイプをまったく報告しないデバイスと一致します。

NotDeviceTypes または NotDeviceUserAgents のような負の条件は、これらの空の値と一致しません。例えば、NotDeviceTypes=["android"] を持つルールは、「"android"」以外のデバイスタイプを報告するデバイスと一致します。ただし、ルールは、デバイスタイプをまったく報告しないデバイスには一致しません。