Microsoft Intuneで Outlook for iOS と Android を使用してメッセージング コラボレーション アクセスを管理する
iOS および Android 用の Outlook アプリは、電子メール、予定表、連絡先、その他のファイルを集約し、組織内のユーザーが自分のモバイル デバイスから、より多くのことを行えるように設計されています。
Microsoft 365 データの最も豊富で広範な保護機能は、条件付きアクセスなどの P1 または P2 のMicrosoft Intune機能やMicrosoft Entra ID P2 機能を含む、Enterprise Mobility + Security スイートをサブスクライブするときに使用できます。 少なくとも、モバイル デバイスから Outlook for iOS と Android への接続を許可する条件付きアクセス ポリシーと、コラボレーション エクスペリエンスを確実に保護するIntune アプリ保護ポリシーを展開する必要があります。
条件付きアクセスを適用する
組織は、Microsoft Entra条件付きアクセス ポリシーを使用して、ユーザーが Outlook for iOS と Android を使用して職場または学校のコンテンツにのみアクセスできるようにします。 これを行うには、すべての潜在的なユーザーを対象とする条件付きアクセス ポリシーが必要です。 これらのポリシーについては、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」で説明されています。
「 モバイル デバイスで承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」の手順に従います。 このポリシーにより、Outlook for iOS と Android は許可されますが、モバイル クライアントが Exchange Online に接続Exchange ActiveSync OAuth と基本認証が可能なブロックされます。
注:
このポリシーにより、モバイル ユーザーは、該当するアプリを使用してすべての Microsoft 365 エンドポイントにアクセスできるようになります。
「すべてのデバイスでExchange ActiveSyncをブロックする」の手順に従います。これにより、モバイル以外のデバイスで基本認証を使用Exchange ActiveSyncクライアントがExchange Onlineに接続できなくなります。
上記のポリシーでは、アクセス許可制御の [アプリ保護が必要] ポリシーを利用します。これにより、アクセスを許可する前に、Intuneアプリ保護ポリシーが Outlook for iOS および Android 内の関連付けられたアカウントに確実に適用されます。 ユーザーがIntune App Protection ポリシーに割り当てられていない場合、Intuneのライセンスが付与されていない場合、またはアプリがIntuneアプリ保護ポリシーに含まれていない場合、ポリシーはユーザーがアクセス トークンを取得してメッセージング データにアクセスできないようにします。
「方法: レガシ認証をブロックして条件付きアクセスをMicrosoft Entra IDして iOS および Android デバイス上の他の Exchange プロトコルのレガシ認証をブロックする」の手順に従います。このポリシーは、クラウド アプリと iOS および Android デバイス プラットフォームMicrosoft Exchange Onlineのみを対象にする必要があります。 これにより、基本認証で Exchange Web Services、IMAP4、または POP3 プロトコルを使用するモバイル アプリがExchange Onlineに接続できなくなります。
注:
アプリベースの条件付きアクセス ポリシーを利用するには、Microsoft Authenticator アプリを iOS デバイスにインストールする必要があります。 Android デバイスの場合、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。
Intune アプリ保護ポリシーを作成する
アプリ保護ポリシー (APP) は、許可されるアプリと、組織のデータに対して実行できるアクションを定義します。 APP で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。
APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。
- エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
- エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
- エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。
各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。
デバイスが統合エンドポイント管理 (UEM) ソリューションに登録されているかどうかに関わらず、「アプリ保護ポリシーを作成して割り当てる方法」の手順を使用して、iOS アプリと Android アプリ両方の Intune アプリ保護ポリシーを作成する必要があります。 これらのポリシーは、少なくとも次の条件を満たす必要があります。
これには、Edge、Outlook、OneDrive、Office、Teams などのすべての Microsoft 365 モバイル アプリケーションが含まれます。これにより、ユーザーは安全な方法で任意の Microsoft アプリ内の職場または学校のデータにアクセスして操作できるようになります。
すべてのユーザーに割り当てられる。 これにより、iOS 用 Outlook と Android のどちらを使用しているかに関係なく、すべてのユーザーが保護されます。
要件を満たすフレームワーク レベルを決定します。 ほとんどの組織では、データ保護とアクセス要件の制御を有効にするように、エンタープライズ拡張データ保護 (レベル 2) で定義されている設定を実装する必要があります。
利用可能な設定の詳細については、「Android アプリ保護ポリシー設定」と「iOS アプリ保護ポリシー設定」を参照してください。
重要
Intune に登録していない Android デバイスでアプリに対して Intune App Protection ポリシーを適用するには、Intune ポータル サイトもインストールする必要があります。
アプリ構成を使用する
Outlook for iOS および Android では、統合エンドポイント管理管理者がアプリの動作をカスタマイズできるようにするアプリ設定がサポートされています。 統合エンドポイント管理ソリューションであるMicrosoft Intuneは、組織のエンド ユーザーにアプリを構成して割り当てるために一般的に使用されます。
アプリ構成は、登録済みデバイスのモバイル デバイス管理 (MDM) OS チャネル (iOS の場合はマネージド アプリの構成チャネル、Android の場合は Enterprise の Android チャネル) または Intune ぷあり保護ポリシー (APP) チャネルを介して配信できます。 Outlook for iOS および Android では、次の構成シナリオがサポートされています。
- 職場または学校アカウントのみを許可する
- 一般的なアプリ構成設定
- S/MIME 設定
- データ保護の設定:
アプリ構成設定 Outlook for iOS および Android でサポートされる具体的な手順と詳細なドキュメントについては、「Outlook for iOS および Android アプリ構成設定の展開」を参照してください。