ゲートキーピングのための権限の設定
Exchange ActiveSync
ゲートキーピングを使用するには、Microsoft Exchange
Server
または Microsoft 365
でユーザーアカウントを作成し、ゲートキーピングのために必要な権限を与える必要があります。Microsoft 365
を使用している場合、Microsoft 365
ユーザーアカウントを作成し、メール受信者と組織のクライアントアクセスのロールを割り当てます。Microsoft Exchange
Server
を使用している場合は、次の手順に従って、Exchange ActiveSync
のメールボックスとクライアントアクセスを管理するための適切な権限を持つ管理ロールを設定します。このタスクを実行するには、適切な権限を保持する Microsoft
Exchange
管理者として、管理ロールの作成および変更する必要があります。- Microsoft Exchangeをホストするコンピューターで、BlackBerry UEMのゲートキーピングを管理するためのアカウントとメールボックスを作成します(例:BUEMAdmin)。Exchange ActiveSyncを作成するときに、このアカウントのログイン情報を指定する必要があります。このアカウントの名前をメモして、以下のタスクの最後に指定します。
- WinRM は、ゲートキーピングを設定するMicrosoft Exchange Serverをホストするコンピューターのデフォルト設定になっています。管理者としてコマンドプロンプトからコマンド「Winrm quickconfig」を実行する必要があります。ツールにMake these changes [y/n]が表示されたら、yを入力します。コマンドが成功すると、次のメッセージが表示されます。WinRM has been updated for remote management. WinRM service type changed to delayed auto start. WinRM service started. Created a WinRM listener on HTTP://* to accept WS-Man requests to any IP on this machine.
- Microsoft Exchange Management Shellを開きます。
- 「New-ManagementRole -Name "」を入力します。Enter キーを押します。<name_new_role_mail_recipients>" -Parent "Mail Recipients"
- 「New-ManagementRole -Name "」を入力します。Enter キーを押します。<name_new_role_org_ca>" -Parent "Organization Client Access"
- 「New-ManagementRole -Name "」を入力します。Enter キーを押します。<name_new_role_exchange_servers>" -Parent "Exchange Servers"
- 「Get-ManagementRoleEntry "」を入力します。Enter キーを押します。<name_new_role_mail_recipients>\*" | Where {$_.Name -ne "Get-ADServerSettings"} | Remove-ManagementRoleEntry
- 「Get-ManagementRoleEntry "」を入力します。Enter キーを押します。<name_new_role_org_ca>\*" | Where {$_.Name -ne "Get-CasMailbox"} | Remove-ManagementRoleEntry
- 「Get-ManagementRoleEntry "」を入力します。Enter キーを押します。<name_new_role_exchange_servers>\*" | Where {$_.Name -ne "Get-ExchangeServer"} | Remove-ManagementRoleEntry
- 「Add-ManagementRoleEntry "」を入力します。Enter キーを押します。<name_new_role_mail_recipients>\Get-ActiveSyncDeviceStatistics" -Parameters Mailbox
- 「Add-ManagementRoleEntry "」を入力します。Enter キーを押します。<name_new_role_mail_recipients>\Get-ActiveSyncDevice" -Parameters Identity
- 「Add-ManagementRoleEntry “」を入力します。Enter キーを押します。<name_new_role_mail_recipients>\Get-MobileDeviceStatistics” –Parameters Mailbox
- 「Add-ManagementRoleEntry “」を入力します。Enter キーを押します。<name_new_role_mail_recipients>\Get-MobileDevice” –Parameters Mailbox
- 「Add-ManagementRoleEntry "」を入力します。Enter キーを押します。<name_new_role_org_ca>\Set-CasMailbox" -Parameters Identity, ActiveSyncBlockedDeviceIDs, ActiveSyncAllowedDeviceIDs
- 「New-RoleGroup "」を入力します。Enter キーを押します。<name_new_group>" -Roles "<name_new_role_mail_recipients>", "<name_new_role_org_ca>", "<name_new_role_exchange_servers>"
- 「Add-RoleGroupMember -Identity "」を入力します。Enter キーを押します。<name_new_group>" -Member "BUEMAdmin"
- 「Add-ManagementRoleEntry "」を入力します。Enter キーを押します。<name_new_role_mail_recipients>\Set-AdServerSettings"
- 「Add-ManagementRoleEntry "」を入力します。Enter キーを押します。<name_new_role_mail_recipients>\Remove-ActiveSyncDevice" -Parameters Identity,Confirm
- 「Add-ManagementRoleEntry "」を入力します。Enter キーを押します。<name_new_role_mail_recipients>\Remove-MobileDevice" -Parameters Identity,Confirm
- 組織がMicrosoft Exchange Serverを使用している場合は、「Microsoft Exchange を設定して承認されているデバイスのみに Exchange ActiveSync へのアクセスを許可」を参照してください。
- 組織がMicrosoft 365を使用している場合は、「Microsoft 365 でのモバイルデバイスアクセスポリシーの設定」を参照してください。