Exchangeへの不法アクセス防止

MobiControl v14 Manual


1. Exchange ActiveSyncサーバのフィルタ

Microsoft Exchangeサーバのフロントに、Exchange ActiveSyncサーバを設置し、それに Exchange ActiveSync Filterをインストールします。Exchange ActiveSync Filterは、SOTIから無償で提供されます。
端末をMobiControlサーバに登録すると、自動的に、アクセス許容コマンドが、MobiControlサーバから Exchange ActiveSync Filterに送られます。
一方、Exchange ActiveSync Filterは、 Mobicontrolサーバに登録してない端末からのアクセスを、原則的に、拒否するようになります。
(図1)
MobiControlに登録してある端末が、紛失したとの連絡があれば、 コンソールから、アクセス阻止の指示を出します。 これにより、当該端末からMicrosoft Exchangeサーバへのアクセスは阻止されます。
(図1)のようなアレンジをしてないと、従業員はMDM/EMMの管理下にない私物端末で、Exchangeサーバにアクセスできるように 設定できるようになります。
その私物端末が紛失し、リモートロックやWipeに失敗すると、端末拾得者によってExchangeサーバにアクセスされるようになります。
このような情報漏洩リスクを無くすために、Exchange ActiveSync Filterをインストールします。
(図2)

コンソールで、該当端末の名前をクリックし、現われた画面の右上の「その他」のアイコンをプルダウンすると、 (図3)が現われます。(図3)の「Exchangeへのアクセスを阻止」をクリックすると、 MobiControlサーバから、Exchange ActiveSync Filterに向けて、アクセスの阻止コマンドが送られます。

(図3)

Exchange ActiveSyncサーバを設定すると、端末に対し、「プッシュ通信」ができるようになります。 Exchange ActiveSyncサーバがないと、端末ユーザは、着信があったことに気づくことができません。

2. MobiControl Secure Email Access フィルタのインストール

  1. 上辺バーから、「全OS」タブを選択します。
  2. 下辺のタブ群から、「サーバ」タブを開きます
  3. 左ペインの「Exchange ActiveSyncフィルタ」を右クリック
  4. 「Exchange ActiveSync フィルタのインストール」というプルダウンが現れるので、これをクリック
  5. (図4)のダウンロード警告がでますが、これのダウンロードを「実行」

(図4)

  1. ダウンロードしたexeファイルを、サーバに保存
  2. IIS Managerを開き、Exchange ActiveSyncが公開されているサーバを選択
  3. ISAPIフィルタを選択。「ADD」ボタンを押します。(図5)参照。

(図5)

  1. (図6)で、 フィルタ名として、"MobiControl Secure Email Access"を入力
  2. ここで実行ファイルを実行します。
    • Exchange Active Syncサーバが32bitのアプリケーションプールであれば、 
      Program Files\SOTI\XAS\mcxas.dll を選択
    • Exchange Active Syncサーバが64bitのアプリケーションプールであれば、 
      \Program files\SOTI\XAS\mcxas64.dll を選択

(図6)

  1. フィルタを保存するために、「OK」ボタンを押す
  2. Microsoft Exchange ActiveSync上のリストの中に、MobiControl Secure Email Access フィルタが 存在しているかどうかを確認。もし、そこに無ければ、View Orderリストを選択し、 MobiControl Secure Email Accessにハイライトを与え、上の方に動かします。

(図7)


ご注意
このフィルタインストール作業では、コンソールとMS Exchange Active Syncサーバとは 接続が可能であることが前提です。ポート443を経由するSSLを使います。

3. 例外ユーザの設定

上記の設定で、MobiControlの管理にない端末は、Exchange ActiveSyncにアクセスできなくなりました。 しかし、それでは困るという端末ユーザがでてくるかもしれません。 そこで、MobiControlの管理にないユーザにも、例外的にExchange ActiveSyncにアクセスできるようにします。
(図8)
  1. 上辺バーから、「全OS」タブを選択
  2. 下辺のタブ群から、「サーバ」タブを選択
  3. 左ペインの「Secure Email Access」を左クリック
(図9)のダイアログが現れます。

(図9)

(図9)で、「Add」ボタンを押します。そこで現れる入力ポップアップで下記を入力します。
  • Active Directoryでのユーザ名またはユーザグループ名
  • 同じユーザ名で、 例外アクセスを許可する端末台数
例えば3台と登録すると、3台目までは、アクセスを許可しますが、4台目はアクセスを拒否します。 (図9)の右下で、「Manage Authorized Devices」を押すと、(図10)が表示されます。

(図10)

例外扱いを停止するには、該当のユーザ名を選択して、下の削除ボタンを押します。

(図11)