スキップしてメイン コンテンツへ

デバイス セキュリティ ポリシーを作成して展開する

注: 最新のヘルプ コンテンツをできるだけ早く、お客様がお使いの言語で提供したいと考えております。このページは、自動翻訳によって翻訳されているため、文章校正のエラーや不正確な情報が含まれている可能性があります。私たちの目的は、このコンテンツがお客様の役に立つようにすることです。お客様にとって役立つ情報であったかどうかを、このページの下部でお知らせください。簡単に参照できるように、こちらに英語の記事があります。

不正アクセスからOffice 365に、組織の情報を保護するためのデバイス ポリシーを作成するのには、 Office 365 向けモバイル デバイス管理を使用することができます。デバイスのユーザーが該当するOffice 365ライセンスがあるし、 Office 365 向け MDMのデバイスが登録組織でモバイル デバイスにポリシーを適用できます。

この記事の内容:

始める前に

  • Office 365 向け MDM でサポートされているデバイス、モバイル デバイス アプリ、セキュリティ設定について確認してください。詳細については、「Office 365 の組み込みモバイル デバイス管理の機能」を参照してください。

  • ポリシーを適用する Office 365 ユーザーを含むセキュリティ グループ、および Office 365 へのアクセスがブロックされる対象から除外することが望ましいユーザーのためのセキュリティ グループを作成します。新しいポリシーを組織に展開する前に、少数のユーザーにポリシーを展開してテストすることをお勧めします。自分しか含まれていないセキュリティ グループまたは自分の代わりにポリシーをテストしてくれる少数の Office 365 ユーザーを含むセキュリティ グループを作成し使用することができます。セキュリティ グループの詳細については、「セキュリティ グループを作成、編集、削除する」を参照してください。

  • 重要: モバイル デバイス ポリシーを作成するには、事前に Office 365 向け MDM をアクティブ化し、セットアップしておく必要があります。詳細については、「Office 365 のモバイル デバイス管理 (MDM) の概要」を参照してください。

  • Office 365 でモバイル デバイス管理ポリシーを作成して展開するには、Office 365 グローバル管理者である必要があります。詳細については、「Office 365 セキュリティ/コンプライアンス センターでのアクセス許可」を参照してください。

  • ポリシーを展開する場合は、Office 365 向け MDM にデバイスを登録した場合の潜在的な影響について事前に組織内に告知しておくようにしてください。ポリシーの設定によって異なりますが、ポリシーを順守していないデバイスは Office 365 へのアクセスがブロックされる可能性があります。また、インストールされたアプリケーション、写真、個人的な情報など、登録済のデバイスにあるデータが削除される可能性もあります。

注: Office 365 向け MDM で作成されたポリシーやルールは、Exchange 管理センターで作成された Exchange ActiveSync モバイル デバイス メールボックス ポリシーとデバイス アクセス ルールを上書きします。 デバイスが Office 365 向け MDM に登録されると、デバイスに適用されている Exchange ActiveSync モバイル デバイス メールボックス ポリシーまたはデバイス アクセス ルールは無視されます。 Exchange ActiveSync についての詳細は、「Exchange ActiveSync in Exchange Online」 (Exchange Online の Exchange ActiveSync) を参照してください。

手順 1: デバイス ポリシーを作成し、テストのグループを展開します。

作業を開始する前に、Office 365 向け MDM をアクティブ化してセットアップしたことを確認してください。手順については、「Office 365 のモバイル デバイス管理の概要」を参照してください。

  1. Office 365] で [セキュリティとコンプライアンス センターに移動データ損失防止>デバイス管理します。

  2. [デバイスの動作] ページで、デバイスのポリシーを選択します。

  3. [ + 追加] をクリックします。

  4. 指定のポリシー name

  5. ドロップダウン リストからポリシーの種類を選択します。

  6. 組織でモバイル デバイスに適用されている必要な要件を指定します。

  7. [これらの設定を表示できるユーザーはよいですか?更、ポリシーをテストするが、組織に展開して、[選択する前に、グループの検索] をクリックします。

  8. ポリシーを作成するのには、追加でをクリックします。

ポリシーが適用された各ユーザーには、次回モバイル デバイスを使用して Office 365 にサインインしたときに各自のデバイスに該当するポリシーがプッシュされます。以前にユーザーのモバイル デバイスにポリシーが適用されたことがない場合、ポリシーを展開すると、Office 365 向け MDM に対してデバイスを登録してアクティブ化するための手順を含む通知が該当するユーザーのデバイスに届きます。ユーザーが登録を完了するまで、メールや OneDrive などのサービスへのアクセスは制限されます。ユーザーは、Intune 会社ポータル アプリを使用して登録を完了すると、サービスを使用できるようになり、ポリシーがユーザーのデバイスに適用されます。

手順 2: ポリシーが機能するかどうかを確認する

デバイスのポリシーを作成した後、ポリシーが組織に展開する前に、期待どおりに動作するかを確認する必要があります。

  1. Office 365、 セキュリティ/コンプライアンス センターに移動 >データ損失防止>デバイス管理します。

  2. [デバイスのアクション] ページでは、ポリシーが適用されているユーザーのデバイスの状態を確認します。目的にデバイスの状態管理

  3. をクリックしてFactory リセットまたは会社のデータを削除する管理] ボタンからデバイスを選択したら、デバイスでの全体または選択的ワイプを行うことができます。手順については、 Office 365 でモバイル デバイスのワイプを参照してください。

手順 3: ポリシーを組織に展開する

デバイスのポリシーを作成し、期待どおりに機能することを確認した、組織に展開します。

  1. Office 365、 セキュリティ/コンプライアンス センターに移動 >データ損失防止>デバイス管理します。

  2. [デバイスのポリシー ] をクリックします。

  3. 展開するポリシーを選択し、次に [編集] を選んでに適用されているグループ

  4. 追加の選択] をクリックしてグループを検索します。

  5. [閉じる] をクリックして設定を変更します

  6. [閉じる] をクリックしてポリシーを編集します

ポリシーが適用された各ユーザーにおいては、次回モバイル デバイスから Office 365 にサインインしたときに各自のデバイスに該当するポリシーがプッシュされます。以前にユーザーのモバイル デバイスにポリシーが適用されたことがない場合、Office 365 向け MDMに対して登録しアクティブ化のための手順を含む通知が該当するユーザーのデバイスに届きます。ユーザーが登録を完了すると、各自のデバイスにポリシーが適用されます。

手順 4: サポートされていないデバイスのメール アクセスをブロックする

保護に役立つ、組織の情報をする必要がありますアプリのアクセスをブロックOffice 365メールにOffice 365 向け MDMでサポートされていないモバイル デバイス向けです。サポートされているデバイスの一覧については、サポートされているデバイスを参照してください。これを行うには。

  1. セキュリティ/コンプライアンス センターに >データ損失防止>デバイス管理します。[デバイスの動作] ページで、デバイスのポリシーを選択します。

  2. [組織全体のデバイス アクセス設定の管理] を選択します。

    [コンプライアンス センター] から [デバイス] に移動して、[デバイス アクセスの設定の管理] リンクをクリックします。
  3. サポートされていないデバイスをブロックするには、[デバイスが Office 365 の MDM でサポートされていない場合、組織のメールにアクセスするときに Exchange アカウントの使用を許可または禁止しますか?] で [ブロック] を選び、[保存] を選択します。

    [コンプライアンス センター]、[デバイス セキュリティ ポリシー]、[組織全体のデバイス アクセス設定の管理]、[ブロック] の順に移動します。

ステップ 5: セキュリティ グループが条件付きのアクセス チェックから除外されるようにする

モバイル デバイスに対する条件付きのアクセス チェックから一部のユーザーを除外する必要があり、それらのユーザーに対してはセキュリティ グループを 1 つまたは複数作成済みである場合、ここでセキュリティ グループを追加します。これらのグループ内のユーザーのサポートされているモバイル デバイスに対してはいかなるポリシーも適用されません。

  1. セキュリティ/コンプライアンス センターに >データ損失防止>デバイス管理します。[デバイスの動作] ページで、デバイスのポリシーを選択します。

  2. [組織全体のデバイス アクセス設定の管理] を選択します。

    [コンプライアンス センター] から [デバイス] に移動して、[デバイス アクセスの設定の管理] リンクをクリックします。
  3. [追加] を選択して、Office 365 へのアクセスがブロックされる対象から除外したいユーザーが含まれるセキュリティ グループを追加します。このリストにユーザーが追加されると、そのユーザーはサポートされていないデバイスを使用している場合でも Office 365 メールにアクセスできるようになります。

  4. [グループの選択] パネルで使用するセキュリティ グループを選択します。

  5. 名前を選択し、[追加]、[保存] の順に選択します。

  6. [組織全体で使うデバイス アクセスの設定] パネルの [保存] を選びます。

    [組織全体のデバイス アクセス設定] で、アクセス制御から除外されているグループを選択します。

セキュリティ ポリシーが各種のデバイスに及ぼす影響とは

ユーザー デバイスにポリシーを適用した場合、各デバイスに及ぼす影響は、デバイスの種類によってある程度異なります。ポリシーが各種デバイスに及ぼす影響の例を次の表に示します。

セキュリティ ポリシー

Windows Phone 8.1 以上

Android 4 以上

Samsung Knox

IOS 6 以上

メモ

暗号化されたバックアップを要求

IOS で暗号化されたバックアップを要求

クラウドバックアップの禁止

Android での Google バックアップ (淡色表示)、iOS でのクラウド バックアップを禁止する。

ドキュメントの同期の禁止

iOS:クラウド内のドキュメントの禁止

写真の同期の禁止

iOS (ネイティブ):写真ストリームの禁止

画面のキャプチャの禁止

試行されたときにブロック

ビデオ会議の禁止

FaceTime は iOS でブロックされ、Skype またはその他ではブロックされない。

診断データの送信の禁止

Android での Google クラッシュ レポートの送信を禁止する。

アプリ ストアへのアクセスの禁止

アプリ ストア アイコンが Android のホーム ページに表示されない、Windows では無効、iOS でも表示されない。

アプリ ストアのパスワードが必要

iOS:iTunes の購入時にパスワードが必要である。

リムーバブル ストレージへの接続をブロック

該当なし

Android:SD カードが設定で淡色表示、Windows ではそこにインストールされたアプリが利用できない旨をユーザーに通知する。

Bluetooth 接続の禁止

***

***

Android での設定で BlueTooth を無効にすることができません。そこで、BlueTooth を必要とするすべてのトランザクションを無効にします。詳細なオーディオ配信、オーディオ/ビデオ リモート_コントロール、ハンズフリーのデバイス、ヘッドセット、電話帳のアクセス、およびシリアル ポートが該当します。これらのいずれかが使用されると、ページの下部に小さなトースト メッセージが表示されます。

ポリシーを削除した場合またはポリシーからユーザーを削除した場合にはどのようなことが起こるか

ポリシーを削除した場合、またはポリシーが展開されたグループからユーザーを削除した場合、ポリシー設定、Office 365 メール プロファイル、キャッシュに入れられたメールがユーザーのデバイスから削除される可能性があります。各種デバイスにおいて削除されるものを次の表に示します

削除されるもの

Windows Phone 8.1 以上

iOS 6 以上

Android 4 以上 (Samsung Knox を含む)

管理されたメール プロファイル*

ポリシー設定


[デバイスからの診断データの送信をブロック] については例外です。

注: * [メール プロファイルを管理する] オプションを選択した状態でポリシーが展開された場合、管理されたメール プロファイルと、そのプロファイル内のキャッシュに入れられたメールはユーザーのデバイスから削除されます。

削除されるポリシーが適用されていた各ユーザーのポリシーは、次回、各ユーザーのモバイル デバイスが Office 365 向け MDM でチェックインしたときに各自のデバイスから削除されます。これらのユーザーのデバイスに適用される新しいポリシーを展開した場合、該当するユーザーには Office 365 向け MDM で再登録するように求めるメッセージが表示されます。

デバイスをワイプすることもできます。その場合、デバイスから組織情報を完全にワイプするか、選択してワイプできます。

関連トピック

Office 365 のモバイル デバイス管理 (MDM) の概要
Office 365 の組み込みモバイル デバイス管理の機能

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×