デバイス セキュリティ ポリシーを作成して展開する

Office 365 向けモバイル デバイス管理 を使用すれば、Office 365 上の組織の情報を不正アクセスから保護するのに役立つセキュリティ ポリシーを作成することができます。デバイスのユーザーが適用可能な Office 365 ライセンスを持ち、デバイスを Office 365 向け MDM に登録している組織では、ポリシーを任意のデバイスに適用することができます。

この記事の内容:

始める前に

  • Office 365 向け MDM でサポートされているデバイス、モバイル デバイス アプリ、セキュリティ設定について確認してください。詳細については、「Office 365 の組み込みモバイル デバイス管理の機能」を参照してください。

  • ポリシーを適用する Office 365 ユーザーを含むセキュリティ グループ、および Office 365 へのアクセスがブロックされる対象から除外することが望ましいユーザーのためのセキュリティ グループを作成します。新しいポリシーを組織に展開する前に、少数のユーザーにポリシーを展開してテストすることをお勧めします。自分しか含まれていないセキュリティ グループまたは自分の代わりにポリシーをテストしてくれる少数の Office 365 ユーザーを含むセキュリティ グループを作成し使用することができます。セキュリティ グループの詳細については、「セキュリティ グループを作成、編集、削除する」を参照してください。

  • 重要: モバイル デバイス ポリシーを作成するには、事前に Office 365 向け MDM をアクティブ化し、セットアップしておく必要があります。詳細については、「Office 365 のモバイル デバイス管理 (MDM) の概要」を参照してください。

  • Office 365 でモバイル デバイス管理ポリシーを作成して展開するには、Office 365 グローバル管理者である必要があります。詳細については、「Office 365 セキュリティ/コンプライアンス センターでのアクセス許可」を参照してください。

  • ポリシーを展開する場合は、Office 365 向け MDM にデバイスを登録した場合の潜在的な影響について事前に組織内に告知しておくようにしてください。ポリシーの設定によって異なりますが、ポリシーを順守していないデバイスは Office 365 へのアクセスがブロックされる可能性があります。また、インストールされたアプリケーション、写真、個人的な情報など、登録済のデバイスにあるデータが削除される可能性もあります。

注: Office 365 向け MDM で作成されたポリシーやルールは、Exchange 管理センターで作成された Exchange ActiveSync モバイル デバイス メールボックス ポリシーとデバイス アクセス ルールを上書きします。デバイスが Office 365 向け MDM に登録されると、デバイスに適用されている Exchange ActiveSync モバイル デバイス メールボックス ポリシーまたはデバイス アクセス ルールは無視されます。Exchange ActiveSync についての詳細は、「Exchange ActiveSync in Exchange Online (Exchange Online の Exchange ActiveSync)」を参照してください。

手順 1: セキュリティ ポリシーを作成して、テスト グループに展開する

作業を開始する前に、Office 365 向け MDM をアクティブ化してセットアップしたことを確認してください。手順については、「Office 365 のモバイル デバイス管理の概要」を参照してください。

  1. Office 365 のセキュリティ/コンプライアンス センターで、[データ損失防止]、[デバイス セキュリティ ポリシー] の順に移動します。

    注: [デバイス セキュリティ ポリシー] は、モバイル デバイス管理をアクティブ化した場合にのみ、メニューに表示されます。

  2. [+ ポリシーの作成] を選択します。

  3. 新しいポリシーの [名前] と [説明] を指定し、[次へ] を選択します。

  4. [デバイスに必要な要件は何ですか?] ページで、組織内のモバイル デバイスに適用する要件を指定し、[次へ] を選択します。

  5. [デバイスに必要な要件は何ですか?] ページで、組織内のモバイル デバイスに適用する追加の要件を指定し、[次へ] を選択します。

  6. [このポリシーを今すぐ適用しますか?] ページで、[はい] を選択してから [+ 追加] を選択します。

  7. 組織にポリシーを展開する前に、ポリシーをテストするグループ (複数可) を選択してから、[追加] を選択します。

  8. [次へ] を選択します。

  9. 新しいデバイス ポリシーの詳細を確認し、[このポリシーを作成] を選択します。

  10. [閉じる] をクリックします。

ポリシーが適用された各ユーザーには、次回モバイル デバイスを使用して Office 365 にサインインしたときに各自のデバイスに該当するポリシーがプッシュされます。以前にユーザーのモバイル デバイスにポリシーが適用されたことがない場合、ポリシーを展開すると、Office 365 向け MDM に対してデバイスを登録してアクティブ化するための手順を含む通知が該当するユーザーのデバイスに届きます。ユーザーが登録を完了するまで、メールや OneDrive などのサービスへのアクセスは制限されます。ユーザーは、Intune 会社ポータル アプリを使用して登録を完了すると、サービスを使用できるようになり、ポリシーがユーザーのデバイスに適用されます。

手順 2: ポリシーが機能するかどうかを確認する

セキュリティ ポリシーを作成したら、組織に展開する前に、期待どおりに機能するかどうかを確認する必要があります。

  1. Office 365 で、[コンプライアンス センター]、[データ損失防止]、[デバイス管理] の順に移動します。

  2. [Mobile Device Management for Office 365] ページで、ポリシーが適用されるユーザー デバイスの状態を確認します。すべてのデバイスを表示する場合は [すべて] で、ブロックされているデバイスを表示する場合は [ブロック] でフィルターまたは並べ替えることができます。

  3. デバイスのフル ワイプまたは選択的ワイプを行うこともできます。手順については、「Office 365 でモバイル デバイスをワイプする」を参照してください。

手順 3: ポリシーを組織に展開する

モバイル デバイス ポリシーを作成し、期待どおりに機能することを確認したら、組織に展開します。

  1. Office 365 で、[セキュリティ/コンプライアンス センター]、[データ損失防止]、[デバイス セキュリティ ポリシー] の順に移動します。

  2. 展開するポリシーを選び、<policy name> パネルで [ポリシーの編集] を選択します。

  3. [展開] タブを選択します。

  4. [展開] タブで、[このポリシーの適用先となるユーザーが含まれているセキュリティ グループを 1 つ以上選択します] の上の [はい] を選択してから、[追加] を選択します。

    • [グループの選択] パネルで、追加するグループを検索することができ、エイリアスまたは表示名でフィルターすることができます。[グループ] リストから既存のグループを追加することもできます。

      ポリシーを適用する複数のグループを追加することができます。

      パネルの下部にある [追加] を選択します。

  5. [展開] タブの [保存] を選択します。

    MDM ポリシーを組織に展開します。

ポリシーが適用された各ユーザーにおいては、次回モバイル デバイスから Office 365 にサインインしたときに各自のデバイスに該当するポリシーがプッシュされます。以前にユーザーのモバイル デバイスにポリシーが適用されたことがない場合、Office 365 向け MDMに対して登録しアクティブ化のための手順を含む通知が該当するユーザーのデバイスに届きます。ユーザーが登録を完了すると、各自のデバイスにポリシーが適用されます。

手順 4: サポートされていないデバイスのメール アクセスをブロックする

組織の情報をセキュリティで保護するには、MOffice 365 向け MDM でサポートされていないモバイル デバイスでの Office 365 メールへのアプリ アクセスをブロックする必要があります。サポートされているデバイスのリストについては、「サポートされるデバイス」を参照してください。これを行うには、次の手順を実行します。

  1. [コンプライアンス センター]、[データ損失防止]、[デバイス セキュリティ ポリシー] の順に移動します。

  2. [組織全体のデバイス アクセス設定の管理] を選択します。

    [コンプライアンス センター] から [デバイス] に移動して、[デバイス アクセスの設定の管理] リンクをクリックします。
  3. サポートされていないデバイスをブロックするには、[デバイスが Office 365 の MDM でサポートされていない場合、組織のメールにアクセスするときに Exchange アカウントの使用を許可または禁止しますか?] で [ブロック] を選び、[保存] を選択します。

    [コンプライアンス センター]、[デバイス セキュリティ ポリシー]、[組織全体のデバイス アクセス設定の管理]、[ブロック] の順に移動します。

ステップ 5: セキュリティ グループが条件付きのアクセス チェックから除外されるようにする

モバイル デバイスに対する条件付きのアクセス チェックから一部のユーザーを除外する必要があり、それらのユーザーに対してはセキュリティ グループを 1 つまたは複数作成済みである場合、ここでセキュリティ グループを追加します。これらのグループ内のユーザーのサポートされているモバイル デバイスに対してはいかなるポリシーも適用されません。

  1. [セキュリティ/コンプライアンス センター]、[データ損失防止]、[デバイス セキュリティ ポリシー] の順に移動します。

  2. [組織全体のデバイス アクセス設定の管理] を選択します。

    [コンプライアンス センター] から [デバイス] に移動して、[デバイス アクセスの設定の管理] リンクをクリックします。
  3. [追加] を選択して、Office 365 へのアクセスがブロックされる対象から除外したいユーザーが含まれるセキュリティ グループを追加します。このリストにユーザーが追加されると、そのユーザーはサポートされていないデバイスを使用している場合でも Office 365 メールにアクセスできるようになります。

  4. [グループの選択] パネルで使用するセキュリティ グループを選択します。

  5. 名前を選択し、[追加]、[保存] の順に選択します。

  6. [組織全体のデバイス アクセス設定] パネルで、[保存] を選択します。

    [組織全体のデバイス アクセス設定] で、アクセス制御から除外されているグループを選択します。

セキュリティ ポリシーが各種のデバイスに及ぼす影響とは

ユーザー デバイスにポリシーを適用した場合、各デバイスに及ぼす影響は、デバイスの種類によってある程度異なります。ポリシーが各種デバイスに及ぼす影響の例を次の表に示します。

セキュリティ ポリシー

Windows Phone 8.1 以上

Android 4 以上

Samsung Knox

IOS 6 以上

メモ

暗号化されたバックアップを要求

IOS で暗号化されたバックアップを要求

クラウドバックアップの禁止

Android での Google バックアップ (淡色表示)、iOS でのクラウド バックアップを禁止する。

ドキュメントの同期の禁止

iOS:クラウド内のドキュメントの禁止

写真の同期の禁止

iOS (ネイティブ):写真ストリームの禁止

画面のキャプチャの禁止

試行されたときにブロック

ビデオ会議の禁止

FaceTime は iOS でブロックされ、Skype またはその他ではブロックされない。

診断データの送信の禁止

Android での Google クラッシュ レポートの送信を禁止する。

アプリ ストアへのアクセスの禁止

アプリ ストア アイコンが Android のホーム ページに表示されない、Windows では無効、iOS でも表示されない。

アプリ ストアのパスワードが必要

iOS:iTunes の購入時にパスワードが必要である。

リムーバブル ストレージへの接続をブロック

該当なし

Android:SD カードが設定で淡色表示、Windows ではそこにインストールされたアプリが利用できない旨をユーザーに通知する。

Bluetooth 接続の禁止

***

***

Android での設定で BlueTooth を無効にすることができません。そこで、BlueTooth を必要とするすべてのトランザクションを無効にします。詳細なオーディオ配信、オーディオ/ビデオ リモート_コントロール、ハンズフリーのデバイス、ヘッドセット、電話帳のアクセス、およびシリアル ポートが該当します。これらのいずれかが使用されると、ページの下部に小さなトースト メッセージが表示されます。

ポリシーを削除した場合またはポリシーからユーザーを削除した場合にはどのようなことが起こるか

ポリシーを削除した場合、またはポリシーが展開されたグループからユーザーを削除した場合、ポリシー設定、Office 365 メール プロファイル、キャッシュに入れられたメールがユーザーのデバイスから削除される可能性があります。各種デバイスにおいて削除されるものを次の表に示します

削除されるもの

Windows Phone 8.1 以上

iOS 6 以上

Android 4 以上 (Samsung Knox を含む)

管理されたメール プロファイル*

ポリシー設定


[デバイスからの診断データの送信をブロック] については例外です。

注: * [メール プロファイルを管理する] オプションを選択した状態でポリシーが展開された場合、管理されたメール プロファイルと、そのプロファイル内のキャッシュに入れられたメールはユーザーのデバイスから削除されます。

削除されるポリシーが適用されていた各ユーザーのポリシーは、次回、各ユーザーのモバイル デバイスが Office 365 向け MDM でチェックインしたときに各自のデバイスから削除されます。これらのユーザーのデバイスに適用される新しいポリシーを展開した場合、該当するユーザーには Office 365 向け MDM で再登録するように求めるメッセージが表示されます。

デバイスをワイプすることもできます。その場合、デバイスから組織情報を完全にワイプするか、選択してワイプできます。

関連トピック

Office 365 のモバイル デバイス管理 (MDM) の概要
Office 365 の組み込みモバイル デバイス管理の機能

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×