クライアント アクセス ポリシーは、Office 365 クライアントの資格情報を使用して、Workspace ONE 環境の Office 365 アプリケーションにアクセスします。VMware Boxer、Microsoft Outlook、iOS および Android のネイティブ E メール クライアントなどの Office 365 クライアントは、認証のためにユーザー インターフェイスで資格情報を収集します。クライアント アクセス ポリシーを使用すると、認証のために収集した認証情報を Workspace ONE Access で管理できます。また、クライアント アクセス ポリシーを使用すると、Office 365 アプリケーションの他のアクセス パラメータを設定することもできます。単一の Office 365 アプリケーションで設定されたポリシーは、すべての Office 365 アプリケーションに適用されます。クライアント アクセス ポリシーを編集すると、ユーザーがこれらのアプリケーションにアクセスできるかどうかに影響が及びます。

クライアント アクセス ポリシーの順序

ポリシーは上から下の順で適用されるため、クライアント アクセス ポリシーは適用する順番に配置します。システムは、クライアントの認証やアクセス拒否に最初のポリシーを使用します。

たとえば、すべてのデバイス タイプのアクセスを拒否するポリシーを作成し、これを Android デバイスへのアクセスを許可するポリシーの上にドラッグすると、システムはユーザー名とパスワードを使用するすべてのデバイス アクセスを拒否します。Android デバイスへのアクセスを許可するポリシーは適用されません。アクセスを拒否する最初のポリシーが優先されます。

クライアント アクセス ポリシーを使用して Office 365 アプリケーションを追加する

クライアント アクセス ポリシーを使用してアクセスを制御できるように、Office 365 アプリケーションを Workspace ONE UEM console に追加できます。
  1. [リソース] > [アプリ] > [SaaS]の順に進み、[新規] を選択します。
  2. [定義] タブのオプションを入力します。
    表 1.
    設定 説明
    キーワード 使用可能なアプリケーションのリストを表示するには Office 365 と入力します。
    名前 SaaS アプリケーションの名前を入力または表示します。
    説明 (オプション) アプリの説明を入力します。多くの場合、このテキスト ボックスは事前入力されています。
    アイコン (オプション) アイコンが事前入力されていない場合は、アイコンを選択します。
    カテゴリ (オプション) Workspace ONE カタログでアプリの並べ替えやフィルタ処理ができるように、カテゴリを割り当てます。

    Workspace ONE Access でカテゴリを構成し、カテゴリ リストに表示されるようにします。

  3. [構成] タブのオプションを入力します。
    1. Office 365 アプリケーションではシングル サインオンを提供する [認証タイプ][WSFed 1.2] を使用します。
      設定 説明
      ターゲット URL インターネット上の SaaS アプリケーションにユーザーを誘導するための URL を入力します。
      シングル サインオン URL Assertion Consumer Service (ACS) の URL を入力します。

      シングル サインオンのためにこの URL が Workspace ONE からサービス プロバイダに送信されます。

      アプリ ID Workspace ONE にサービス プロバイダのテナントを識別させるための ID を入力します。Workspace ONE からこの ID に SAML アサーションが送信されます。

      一部のサービス プロバイダは、[シングル サインオン URL] を使用します。

      ユーザー名の形式 サービス プロバイダが求める SAML のサブジェクト形式を選択します。
      ユーザー名の値 Workspace ONE から SAML アサーションのサブジェクト ステートメントで送信される名前 ID 値を入力します。

      この値は、アプリのサービス プロバイダにおいては、ユーザー名の既定のプロファイル テキスト ボックス値です。

    2. アプリケーションの起動を許可する [アプリケーション パラメータ] の値を追加します。
    3. Workspace ONE でシングル サインオン プロセスでのメッセージング機能を詳細に制御する場合は、[WSFed 1.2][高度なプロパティ] を追加します。
      設定 説明
      資格情報の検証 資格情報の検証方法を選択します。
      署名アルゴリズム ダイジェスト アルゴリズムと一致する署名アルゴリズムを選択します。

      サービス プロバイダが SHA256 をサポートする場合、このアルゴリズムを選択します。

      ダイジェスト アルゴリズム 署名アルゴリズムと一致するダイジェスト アルゴリズムを選択します。

      サービス プロバイダが SHA256 をサポートする場合、このアルゴリズムを選択します。

      アサーションの時間 Workspace ONE が認証のためにサービス プロバイダに送信するアサーションが有効な時間 (秒数) を入力します。
      カスタム属性マッピング サービス プロバイダがシングル サインオンの属性ではなくカスタム属性を許可している場合、カスタム属性を追加します。
    4. アプリケーション リソースに安全にサインインするためのポリシーを [アクセス ポリシー] で割り当てます。
      設定 説明
      アクセスポリシー ユーザー認証とアクセスを制御するために使用する Workspace ONE のポリシーを選択します。

      カスタムのアクセス ポリシーがない場合は既定のアクセス ポリシーを利用できます。

      これらのポリシーは UEM コンソールで構成することができます。

      VMware Browser で開く VMware Browser でアプリケーションを開くために Workspace ONE が必要です。

      VMware Browser を使用して SaaS アプリケーションを開くとセキュリティ機能が強化されます。このアクションにより内部リソースでのアクセスが維持されます。

      ライセンス承認が必要 アプリケーションをインストールしてライセンスをアクティブ化する前に承認が必要です。
      • [ライセンス価格] - SaaS アプリケーションのライセンスを購入する際の価格設定モデルを選択します。
      • [ライセンス タイプ] - ライセンスのユーザー モデル (名前付きユーザーまたは同時実行ユーザー) を選択します。
      • [ライセンスあたりのコスト] - ライセンスあたりの価格を入力します。
      • [ライセンス数] - SaaS アプリケーションの購入済みライセンス数を入力します。

      SaaS アプリケーションの [設定] セクションで対応する [承認] を構成します。

  4. Office 365 クライアントの [クライアント アクセス ポリシー] を追加します。クライアント アクセス ポリシーを使用すると、認証のために収集した Office 365 クライアント ユーザー インターフェイス認証情報を Workspace ONE Access で管理できます。クライアントの例として VMware Boxer や Microsoft Outlook などがあります。[ポリシー ルールの追加]を選択し、設定を完了します。
    設定 説明
    ユーザーのクライアント 使用可能な Office 365 クライアントを選択します。
    ユーザーのネットワーク範囲 以前、ネットワーク範囲プロセスで構成したネットワーク範囲を選択します。
    ユーザーのデバイス タイプ アクセスが許可されているデバイス プラットフォームを選択します。
    ユーザーの属するグループ このポリシーの基準に従ってコンテンツにアクセスするユーザー グループを選択します。

    グループを選択しない場合、すべてのユーザーにポリシーが適用されます。

    クライアントの Eメール プロトコル Office 365 クライアントで使用可能なプロトコルを選択します。
    このアクションを実行 Office 365 アプリケーションへのアクセスを許可または拒否します。
  5. SaaS アプリケーションの [概要] を表示して、割り当てプロセスに移動します。

Office 365 アプリケーションのプロビジョニング アダプタの構成

プロビジョニングにより、1 つの場所からアプリケーション ユーザーを自動管理することが可能です。プロビジョニング アダプタを使用すると、Web アプリケーションで Workspace ONE UEM サービスから必要に応じて特定の情報を取得できます。Web アプリケーションのプロビジョニングが有効な場合、ユーザーに Workspace ONE UEM サービス内のアプリケーションに対する資格を付与すると、ユーザーが Web アプリケーションでプロビジョニングされます。 Workspace ONE UEMサービスには、現在 Microsoft Office 365 用のプロビジョニング アダプタが含まれています。 Workspace ONE UEMサービスには、現在 Microsoft Office 365 用のプロビジョニング アダプタが含まれています。Office 365 のプロビジョニング アダプタを構成するのには、次の手順を完了します。
  1. [リソース] > [アプリ] > [SaaS] の順に選択し、[新規] を選択します。
  2. [定義] タブで Office 365 を参照します。[定義] タブを完了し、[次へ] を選択します。
  3. [構成] タブの各テキスト ボックスに入力します。
  4. [プロビジョニングのセットアップ] を有効にします。既定では、プロビジョニングのセットアップは無効です。[プロビジョニングのセットアップ] を選択すると、[プロビジョニング][ユーザー プロビジョニング][グループ プロビジョニング] タブが左側のナビゲーションに追加されます。
  5. Office 365 クライアントの [クライアント アクセス ポリシー] を追加します。
  6. [プロビジョニング] タブで、[プロビジョニングを有効にする] を選択し、次の情報を入力します。
    設定 説明
    Office 365 ドメイン Office 365 ドメイン名を入力します。たとえば、[example.com] と入力します。このドメインの下でユーザーがプロビジョニングされます。
    アプリケーション クライアント ID サービス プリンシパル ユーザーを作成するときに取得した AppPrincipalId を入力します。
    アプリケーション クライアント シークレット サービス プリンシパル ユーザー用に作成したパスワードを入力します。
  7. 既定では、[ライセンスによるプロビジョニング] は無効です。[ライセンスによるプロビジョニング] を選択すると、次の情報を入力できます。
    設定 説明
    SKU ID SKU 情報を入力します。
    プロビジョニング解除時にライセンスを削除する Office 365 アプリケーションのプロビジョニングを解除するときにライセンスを削除する場合は、このオプションを選択します。
  8. Office 365 テナントに到達できることを確認するには、[接続のテスト] を選択します。
  9. [次へ] を選択します。
  10. [ユーザー プロビジョニング] タブで、Office 365 でユーザーをプロビジョニングするための属性を選択します。次の必要な Active Directory 属性が、[ユーザー属性] ページで必要な属性名のいずれかに構成されていることを確認してください。
    • メールのニックネーム属性はディレクトリ内で一意である必要があります。特殊文字を含めることはできません。メールのニックネーム属性をユーザー名にマッピングします。マッピング後は、メールのニックネームを変更しないでください。
    • ObjectGUID 属性は、最初にユーザー属性のリストに追加する必要があるカスタム属性です。ObjectGUID は GUID 属性にマッピングされます。
    • [属性名][値] を追加する場合は、[マップされた値を追加] を選択します。
    注:
    UserPrincipalName (UPN) が自動的に構築されます。マップされた値は表示されません。プロビジョニング アダプタは、mailNickname 属性の値 (user.userName) に Office 365 ドメインを付加して UPN を作成します。これは、ユーザー名 + @ + O365_domainname として付加されます。たとえば、jdow@office365example.com となります。
  11. [次へ] を選択します。
  12. [グループ プロビジョニング] 画面で、[グループ プロビジョニング] タスクを完了できます。Office 365 でグループがプロビジョニングされる場合、そのグループはセキュリティ グループとしてプロビジョニングされます。グループのメンバーは、Office 365 テナントに存在しない場合、ユーザーとしてプロビジョニングされます。プロビジョニング時に、リソースに対する資格はグループに付与されません。リソースに対する資格をグループに付与する場合は、グループを作成してから、そのグループにリソースへの資格を付与します。[グループを追加] を選択し、以下の手順を完了します。
    1. [グループを選択] テキスト ボックスで、Office 365 でプロビジョニングするグループを検索します。
    2. [メールのニックネーム] テキスト ボックスで、このグループの名前を入力します。ニックネームはエイリアスとして使用されます。そのため、ニックネームに特殊文字は使用できません。
    3. [[保存]] を選択します。
    Office 365 アプリケーションのグループをプロビジョニング解除することができます。セキュリティ グループは、Office 365 テナントから削除されます。グループ内のユーザーは削除されません。グループのプロビジョニングを解除するには、ユーザー グループを選択し、[プロビジョニング解除] を選択します。
  13. [次へ] を選択して [概要] タブを表示します。
  14. 「保存」 を選択して構成を保存するか、[保存して割り当て] を選択して Active Directory システムから構成したユーザーおよびグループに Office 365 を展開します。