次の方法で共有

基本的なモビリティとセキュリティから Intune へのアクセス要件のポリシー マッピング

  • [アーティクル]

この記事では、基本的なモビリティとセキュリティから Intune へのマッピングの詳細について説明します。 具体的には、このページでは、Microsoft Purview コンプライアンス ポータルアクセス要件ポリシーを、Microsoft Intune内の同等のポリシーにマップします。 Intuneにより、ポリシーの柔軟性が向上します。 そのため、各 Office ポリシーは複数のIntuneポリシーとMicrosoft Entraポリシーに変換され、同じ結果が得られます。

基本的なモビリティとセキュリティからIntuneに移行する場合は、移行評価ツールを使用して、このマッピングの大部分を自動化できます。

Microsoft Purview コンプライアンス ポータルでこれらの設定を確認するには、Purview コンプライアンス ポータルにサインインします。 次に、[デバイス セキュリティ ポリシー] の一覧に移動し、ポリシー名>[ポリシーの編集>アクセス要件] を選択します。

開始する前に

Intune ポリシーで設定を構成するには、Microsoft Intune管理センターにサインインします。 Microsoft Intune リストを使用したロールベースのアクセス制御 (RBAC) と、ポリシーを作成できる組み込みのロールについて説明します。

デバイスが上記の要件を満たさない場合...

この設定により、すべてのアクセス要件設定Intuneコンプライアンス ポリシーまたは構成プロファイルを使用する必要があるかどうかが決まります。 最初に、この設定の詳細を確認してください。

注:

基本的なモビリティとセキュリティ Windows での条件付きアクセスの適用はサポートされていません。

アクセスとレポート違反を許可する (1 回限りの登録は引き続き適用されます)

すべてのアクセス要件は、Intune デバイス構成プロファイルに展開されます。

アクセスをブロックし、違反について報告する

すべてのアクセス要件は、Intuneコンプライアンス ポリシーに展開されます。 割り当てられたグループは、従来の条件付きアクセス ポリシーに割り当てられます。

  • [GraphAggregatorService] デバイス ポリシー
  • [Office 365 Exchange Online] デバイス ポリシー
  • [Outlook Service for Exchange] デバイス ポリシー
  • [Office 365 SharePoint Online] デバイス ポリシー
  • [Outlook Service for OneDrive] デバイス ポリシー

パスワードを要求

注:

すべてのパスワード関連の設定は、Windows 上のローカル アカウントにのみ影響します。 Microsoft Entra IDから取得したユーザー アカウントは、これらのポリシーによって管理されません。

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

3 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance 設定 編集>System Security>モバイル デバイスのロックを解除するためのパスワードを必要とします
  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定 編集>System Security>モバイル デバイスのロックを解除するためのパスワードを要求する
  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance 設定 編集>System Security>モバイル デバイスのロックを解除するためのパスワードを要求する

単純なパスワードを禁止する

Android デバイスの場合、この設定と他の複数の Office 設定は、1 つの Android コンプライアンス設定でカバーされます。 そのため、この設定だけでは、特定の Android コンプライアンス値は決まりません。

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

3 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance settings Edit>System Security>Simple パスワード

  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定編集>System Security>Simple パスワード

  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type.

    • [単純なパスワードを禁止する] をオンにする場合は、(他の Office の設定に基づいて) [複雑な数字][英字][英数字]、または [英数字と記号] を選択します。
    • [単純なパスワードを禁止する] をオフにする場合は、(他の Office の設定に基づいて) 一覧の [数字] またはより高い種類を選択します。

英数字のパスワードを要求

Android デバイスの場合、この設定と他の複数の Office 設定は、1 つの Android コンプライアンス設定でカバーされます。 そのため、この設定だけでは、特定の Android コンプライアンス値は決まりません。

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

3 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance settings Edit>System Security>Required password type

  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance settings Edit>System Security>Required password type

  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type.

    • [単純なパスワードを禁止する] をオンにする場合は、(他の Office の設定に基づいて) [複雑な数字][英字][英数字]、または [英数字と記号] を選択します。
    • [単純なパスワードを禁止する] をオフにする場合は、(他の Office の設定に基づいて) 一覧の [数字] またはより高い種類を選択します。

パスワードに 1-4 種類以上の文字セットを含める必要がある

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

4 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance 設定編集>System Security>Password の複雑さ

    Office の値 Intune の値
    1 [数字と小文字が必要]。 Windows コンプライアンス ポリシーでは 1 つの文字セットのみが許可されないため、Office の設定 が 1 の場合、[ 数字と小文字を必須にする] に変換されます。
    2 [数字と小文字が必要]
    3 [数字、小文字、大文字が必要]
    4 [数字、小文字、大文字、特殊文字が必要]

  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance settings Edit>System Security>パスワード内の英数字以外の文字の番号

    iOS コンプライアンス ポリシーでは、文字セットの数は適用されませんが、使用する必要がある英数字以外の文字の数のみが適用されます。 そのため、Office の値は、同数の必要な英数字以外の文字に変換されます。

    Office の値 Intune の値
    無効 (0) 未構成
    1 1
    2 2
    3 3
    4 4

  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type.

    Android では、小文字と大文字を異なる文字セットとして区別することはサポートされていないため、Office の値 4 は適用できません。 代わりに、少なくとも [英数字と記号] に変換されます。

    Office の値 Intune の値
    1 (他の Office の設定に基づいて) 少なくとも [数字] または [複雑な数字]
    2 少なくとも [英数字]
    3 少なくとも [英数字と記号]
    4 少なくとも [英数字と記号]

  • policy-name_OfficeMDM >Access コントロール>Grant>デバイスが準拠としてマークされるように設定する

パスワードの最小文字数

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

3 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance 設定 編集>System Security>Minimum パスワードの長さ

  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定編集>System Security>Minimum パスワードの長さ

  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type and Minimum password length.

    [英数字のパスワードが必要] の Office の値 [英数字のパスワードが必要] の Intune の値
    選択済み (他の Office の設定に基づいて) 少なくとも [数字]
    未選択 (他の Office の設定に基づいて) 少なくとも [数字]

デバイスがワイプされるまでに許容されるサインインの失敗回数

この設定は、基本的なモビリティとセキュリティの [アクセス要件] の下に一覧表示されますが、アクセスは引き続き許可されます。 この設定がまだデバイスで有効になっていない場合でも許可され、この設定はデバイスのコンプライアンス基準ではありません。

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

3 つの構成プロファイル:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>構成>policy name_O365_W >Properties>Compliance 設定 デバイスをワイプする前のサインイン エラーの編集>Password>Number
  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>構成>policy name_O365_i >Properties>Compliance 設定 デバイスをワイプする前のサインイン エラーの編集>Password>Number
  • デバイス>プラットフォーム別>Android>デバイスの管理>構成>policy name_O365_A >Properties>Compliance 設定 デバイスをワイプする前のサインイン エラーの編集>Password>Number

次の期間非アクティブなデバイスをロックする

Windows、iOS/iPadOS、および Android のコンプライアンス ポリシーでは、同じ粒度の値が提供されないため、Office の設定範囲は、Intuneの値の数を減らします。

3 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance settings Edit>System Security>Maximum minutes of inactivity before password is required

    Office の値 Intune の値
    1 から 4 1 分
    5 から 14 5 分
    15 以上 15 分

  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance settings Edit>System Security>Maximum minutes of inactivity before password is required

    Office の値 Intune の値
    1 1 分
    2 2 分
    3 3 分
    4 4 分
    5 から 9 5 分 (iOS の最大値)
    10 から 14 10 分 (iPadOS のみ)
    15 以上 15 分 (iPadOS のみ)

  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type.

    Office の値 Intune の値
    1 から 4 1 分
    5 から 14 5 分
    15 から 29 15 分
    30 から 59 30 分
    60 60 分

パスワードの期限切れ

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

3 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance 設定編集>System Security>Password の有効期限 (日数)
  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定編集>System Security>Password の有効期限 (日数)
  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>パスワードの有効期限が切れるまでの日数

パスワードの履歴を記憶して再利用を防止

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

3 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance settings Edit>System Security>再利用を防ぐための以前のパスワードの番号

  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance settings Edit>System Security>再利用を防ぐための以前のパスワードの番号

  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance 設定編集>System Security>再利用を防ぐための以前のパスワードの番号必要なパスワードの種類

    [英数字のパスワードが必要] の Office の値 [英数字のパスワードが必要] の Intune の値
    選択済み (他の Office の設定に基づいて) 少なくとも [数字]
    未選択 (他の Office の設定に基づいて) 少なくとも [数字]

デバイス上のデータの暗号化を要求

Windows または iOS/iPadOS の基本的なモビリティとセキュリティでは、この設定を構成できませんでした。

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

1 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>デバイス上のデータ ストレージの暗号化

脱獄またはルート化されたデバイスを接続しない

Windows の基本的なモビリティとセキュリティでは、この設定を構成できませんでした。

Android デバイスの場合、Intune では Android デバイス管理者デバイスに対してのみこの設定がサポートされます。

重要

Android デバイス管理者の管理は非推奨となり、Google Mobile Services (GMS) にアクセスできるデバイスでは使用できなくなります。 現在デバイス管理者管理を使用している場合は、別の Android 管理オプションに切り替えることをお勧めします。 サポートとヘルプのドキュメントは、Android 15 以前を実行している GMS を使用しない一部のデバイスで引き続き利用できます。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

2 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定編集>Device Health>Jailbroken デバイス
  • デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance 設定 編集>Device Health>Rooted デバイス

[メール プロファイルの管理が必要] (iOS での選択的ワイプに必要)

この設定を必要にすることは、Windows または Android のコンプライアンスの基本的なモビリティとセキュリティではサポートされていませんでした。 Windows のメールは、Windows 10 の基本的なモビリティとセキュリティではサポートされていませんでした。

Android の場合、この設定は、Samsung Knox デバイス上の基本的なモビリティとセキュリティでのみサポートされていました。

Intuneでは、デバイス セキュリティ ポリシーで使用できない電子メールを展開するときに、さらに多くの設定を構成する必要があります。 詳細については、「電子メール プロファイルのIntuneに必要なその他の設定」を参照してください。

デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すようにIntuneコンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。

3 つの構成プロファイルと 1 つのコンプライアンス ポリシー:

  • デバイス>プラットフォーム別>Windows>デバイスの管理>構成> policy name_O365_W_Email >Properties>Configuration settings Edit

    設定
    電子メール サーバー outlook.office365.com
    アカウント名 Office 365 メール
    Microsoft Entra IDからの Username 属性 ユーザー プリンシパル名
    Microsoft Entra IDからのアドレス属性のEmail ユーザー プリンシパル名
    SSL 有効にする

  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>構成> policy name_O365_i_Email >Properties>Configuration settings Edit

    設定
    電子メール サーバー outlook.office365.com
    アカウント名 Office 365 メール
    Microsoft Entra IDからの Username 属性 ユーザー プリンシパル名
    Microsoft Entra IDからのアドレス属性のEmail ユーザー プリンシパル名
    認証名 ユーザー名とパスワード
    SSL 有効にする

  • デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定 デバイスで電子メールを設定するには、編集>Email>Unable>Require

  • デバイス>Android ** >Configuration プロファイル> ポリシー name_O365_A_Email >Properties> ** 構成設定編集

    設定
    電子メール サーバー outlook.office365.com
    アカウント名 Office 365 メール
    Microsoft Entra IDからの Username 属性 ユーザー プリンシパル名
    Microsoft Entra IDからのアドレス属性のEmail ユーザー プリンシパル名
    認証名 ユーザー名とパスワード
    SSL 有効にする

電子メール プロファイルのIntuneに必要なその他の設定

次の設定は、デバイス セキュリティ ポリシーによって展開されません。 ただし、電子メール プロファイルを展開するときは、Intune設定に値が必要です。

プラットフォーム Setting 移行の値
Android S/MIME を使用する必要がある false
Android 連絡先の同期 true
Android 予定表の同期 true
Android タスクの同期 true
Android メモの同期 false
iOS 他のメール アカウントへのメッセージの移動をブロックする false
iOS サードパーティのアドレスからのメールの送信をブロックする false
iOS 最近使用したメール アドレスの同期をブロックする false
iOS S/MIME を使用する必要がある false
Windows 10 連絡先の同期 true
Windows 10 予定表の同期 true
Windows 10 タスクの同期 true

移行評価ツール