次の方法で共有

Exchange Online で Outlook for iOS と Outlook for Android を管理する

  • [アーティクル]

概要: この記事では、Exchange Online で iOS および Android 用の Outlook を使うモバイル デバイスを管理するためのベスト プラクティスについて説明します。

Outlook for iOS と Android を使用すると、ユーザーは、Microsoft 365 と Office 365の最高の機能をサポートする唯一のアプリである一方で、高速で直感的な電子メールと予定表のエクスペリエンスが提供されます。 さらに、Microsoft では、Exchange Online organizationのモバイル デバイスで会社のデータを管理および保護するための多くのユーティリティを提供しています。

デバイスとアプリケーションを管理するためのオプション

iOS および Android 用の Outlook を管理する場合、次のオプションを利用できます。

  1. 推奨: Microsoft IntuneとMicrosoft Entra条件付きアクセスを含むEnterprise Mobility + Security スイート。

  2. Microsoft 365 の基本的なモビリティとセキュリティ。

  3. サード パーティの統合エンドポイント管理ソリューション。

  4. モバイル デバイス アクセスとモバイル デバイス メールボックス ポリシー。

注:

3 つのオプションそれぞれの実装の詳細については、「Exchange Online で Outlook for iOS と Outlook for Android を保護する」を参照してください。

Microsoft では、これらのサービスによって提供される高度な機能により、Enterprise Mobility + Security スイートの機能を使用してモバイル デバイス上の企業データを保護することをお勧めします。

重要

ユーザーが Outlook for iOS および Android で認証を行うと、次のようなMicrosoft Entra条件付きアクセス ポリシーがユーザーに適用されている場合、Exchange Onlineモバイル デバイス アクセス ルール (許可、ブロック、検疫) はスキップされます。

注:

Get-MobileDeviceなどのモバイル デバイス コマンドレットを使用してデバイスの状態をチェックする場合、LastSyncTime プロパティで示される Outlook for iOS と Android の同期のタイムスタンプは、同期の実際の時刻から最大 15 分遅れている可能性があります。 デバイスの同期はリアルタイムで行われていても、返されるタイム スタンプに遅れが生じることがあります。

Enterprise Mobility + Security を使う

Microsoft 365 および Office 365 データの最も豊富で広範な保護機能は、Enterprise Mobility + Security スイートをサブスクライブするときに利用できます。 このスイートには、Microsoft Intune、Azure Information Protection、条件付きアクセスなどの P1 または P2 のMicrosoft Entra ID機能が含まれています。

注:

Enterprise Mobility + Security スイートサブスクリプションには、Microsoft IntuneとMicrosoft Entra IDの両方のライセンスが含まれていますが、お客様はMicrosoft IntuneライセンスとMicrosoft Entra IDP1 または P2 ライセンスを個別に使用します。 すべてのユーザーは、この記事で説明されている条件付きアクセスと Intune アプリ保護ポリシーを活用するためには、ライセンスが付与されている必要があります。

Intuneは、モバイル アプリケーション管理 (MAM) 機能、およびその他の条件付きアクセスとデバイス管理機能を提供します。 Intuneアプリ保護ポリシーを使用すると、Intuneによって管理されるアプリとアンマネージド アプリの間で企業データに対するアクションを制限できます。 たとえば、切り取り、コピー、貼り付け、"名前を付けて保存" などです。詳細については、「 アプリ保護ポリシーを作成して割り当てる方法」を参照してください。 また、Intune で管理される Outlook アプリには、複数の ID を管理するための新機能が含まれており、ユーザーは、同じ Outlook アプリで個人用と職場の両方の電子メール アカウントにアクセスできますが、Intune アプリ保護ポリシーは職場アカウントにのみ適用できます。 この機能により、はるかにシームレスなユーザー エクスペリエンスが提供されます。

条件付きアクセスは、特定の条件に基づいてアプリのアクセス制御を一元的に適用できるMicrosoft Entra IDの機能です。 条件付きアクセス ポリシーを使用すると、必要な条件下で、適切なアクセス制御を適用することができます。 Microsoft Entra条件付きアクセスを使用すると、このようなセキュリティが必要な場合にセキュリティが強化され、そうでない場合はユーザーの邪魔になりません。

iOS および Android 用の Outlook を使用したときの Enterprise Mobility + Security スイートの主な機能は以下のとおりです。

  • 条件付きアクセス。 Microsoft Entra IDでは、条件付きアクセス要件が満たされている場合にのみ、Exchange Onlineメールにアクセスできるようになります。 デバイス登録の詳細については、「 条件付きアクセスとは」を参照してください。

  • Intune アプリ保護。 iOS および Android 用の Outlook では、Intune アプリ保護ポリシーを使うことにより、会社のデータを保護することができます。 この方法は、ユーザーのデバイスを管理せずに企業データを安全に保つ "独自のデバイスを持ち込む" (BYOD) シナリオに最適なオプションです。 Intune アプリ保護ポリシーの詳細については、「Microsoft Intune でアプリ保護ポリシーを使用してアプリ データを保護する」を参照してください。

  • デバイスの登録。 Intune で、従業員のデバイスとアプリ、および従業員による会社のデータへのアクセス方法を管理することができます。 iOS および Android 用の Outlook では、Exchange Onlineメールにアクセスできるのは、マネージドおよび準拠している電話とタブレットのみです。 ユーザーが管理されていないモバイル デバイスで Outlook アプリにサインインすると、Outlook は、Azure 条件付きアクセス ポリシーを使用してデバイスをIntuneに登録するようユーザーに求め、デバイスが組織のデバイスコンプライアンス基準を満たしていることを検証します。

  • デバイスの管理とレポート。 登録プロセスを使用すると、組織はセキュリティ ポリシーを設定および管理できます。 たとえば、デバイス レベルの PIN ロックを適用し、データ暗号化を要求し、侵害されたデバイスをブロックして、信頼されていないデバイスが企業の電子メールやデータにアクセスできないようにします。 登録された各デバイスがMicrosoft 365 管理センターに表示され、レポートを使用して、会社のデータにアクセスするデバイスの詳細を提供できます。

  • 選択的ワイプ。 Microsoft Intuneは、Outlook for iOS と Android から電子メール データを削除しながら、個人のメール アカウントをそのまま残すことができます (デバイスが登録されているかどうか)。 この機能は、より多くの企業が携帯電話やタブレットに「独自のデバイスを持ち込む」アプローチを採用するため、ますます重要な要件です。

Microsoft 365 の基本的なモビリティとセキュリティの使用

Microsoft 365 の基本的なモビリティとセキュリティでは、追加コストなしでデバイス管理機能が提供されます。 Microsoft Intuneは、これらの基本的な機能を強化し、基本を必要とする組織に対してMicrosoft 365 管理センターの主要なコントロール セットを提供します。

デバイスが登録された後でも、使用できるアプリを制御するネイティブ機能はありません。 iOS および Android 用の Outlook へのアクセスを制限する場合は、条件付きアクセス ポリシーを使用するには、P1 または P2 ライセンスをMicrosoft Entra IDする必要があります。

Outlook for iOS および Android では、基本的なモビリティとセキュリティ for Microsoft 365 によって提供される機能が完全にサポートされています。

詳細については、次のリソースを参照してください。

サード パーティの統合エンドポイント管理ソリューションの使用

サード パーティの統合エンドポイント管理プロバイダーは、既存のツールを使用して、iOS または Android アプリを展開するのと同じ方法で Outlook for iOS と Android を展開できます。 また、重要なユニバーサル デバイス管理コントロールを適用することもできます。 たとえば、デバイス PIN、デバイス暗号化、デバイス ワイプなどです。

サード パーティのプロバイダーは、アカウントのセットアップ、許可されたアカウント モードorganization、一般的なアプリ構成設定など、特定のアプリ構成設定を Outlook for iOS および Android に展開することもできます。詳細については、「Outlook for iOS および Android アプリ構成設定の展開」を参照してください。

アプリ内の企業データを管理および保護するには (たとえば、会社のデータで切り取り、コピー、貼り付け、名前を付けて保存する)、お客様は Microsoft の Enterprise Mobility + Security スイートを使用する必要があります。

モバイル デバイス アクセスおよびモバイル デバイス メールボックス ポリシーの使用

Microsoft では、これらのサービスによって提供される高度な機能により、Microsoft 365 の Enterprise Mobility + Security スイートまたは組み込みの基本的なモビリティとセキュリティを使用してモバイル デバイス上の会社のデータを管理することをお勧めします。 Outlook for iOS および Android では、モバイル デバイス アクセスとモバイル デバイス メールボックス ポリシー (旧称 Exchange Active Sync ポリシー) がサポートされています。これは Exchange 管理センターから入手できます。

iOS および Android 用の Outlook は、次の Exchange のモバイル デバイス メールボックス ポリシーの設定をサポートしています。

  • デバイスの暗号化が必要

  • 最小パスワード長 (Android の場合のみ)

  • パスワード有効

  • Bluetoothを許可する (アプリ保護ポリシーが使用されていない場合に Outlook for Android ウェアラブル アプリIntune管理するために使用)

    • この設定が有効になっている (既定で有効になっている) 場合、または HandsfreeOnly 用に構成されている場合、Android デバイスとウェアラブル デバイス間の Outlook 同期は職場または学校アカウントで許可されます。
    • この設定を無効にすると、Android デバイスとウェアラブル デバイスの間の Outlook 同期は職場または学校のアカウントでは許可されません (以前に同期されたアカウントのデータは削除されます)。 同期を無効にすることは、Outlook 自体内で完全に制御されます。 Bluetoothは、デバイスまたはウェアラブルで無効にされておらず、その他のウェアラブル アプリにも影響を与えません。

既存のモバイル デバイスのメールボックス ポリシーを作成または変更する方法についての情報は、「Exchange Online のモバイル デバイス メールボックス ポリシー」を参照してください。

Exchange 管理者は、Exchange 管理センターを使用して、Outlook for iOS および Android に対してリモート デバイス ワイプを開始することもできます。 リモート ワイプ要求を受信すると、アプリは Outlook プロファイルと、それに関連付けられているすべてのデータを削除します。

注:

Outlook for iOS および Android では、[ データのワイプ ] リモート ワイプ コマンドのみがサポートされ、Exchange 管理センターで定義されている アカウントのみのリモート ワイプ デバイス はサポートされていません。 リモート ワイプを実行する方法の詳細については、「 携帯電話でリモート ワイプを実行する」を参照してください。

Microsoft Intuneの詳細については、「Microsoft Intuneのドキュメント」を参照してください