チュートリアル: Microsoft Intuneを使用してマネージド iOS デバイスでExchange Onlineメールを保護する
このチュートリアルでは、条件付きアクセス ポリシーを使用して Microsoft デバイス コンプライアンス ポリシー Microsoft Entra使用し、iOS デバイスがIntuneによって管理され、承認済みの電子メール アプリを使用する場合にのみ Exchange にアクセスできるようにする方法について説明します。
このチュートリアルでは、次の方法について学ぶことができます。
- Intune iOS デバイス コンプライアンス ポリシーを作成して、デバイスが準拠済みと見なされるために満たす必要のある条件を設定します。
- iOS デバイスがIntuneに登録し、Intune ポリシーに準拠し、承認済みの Outlook モバイル アプリを使用してメールにアクセスする必要があるMicrosoft Entra条件付きアクセス ポリシー Exchange Online作成します。
前提条件
このチュートリアルでは、非運用試用版サブスクリプションを使用することをお勧めします。
試用版サブスクリプションは、このチュートリアル中に間違った構成で運用環境に影響を与えないようにするのに役立ちます。 試用版では、このチュートリアルの各タスクを完了するためのアクセス許可があるため、試用版サブスクリプションの作成時に作成したアカウントのみを使用して、Intuneを構成および管理することもできます。 このアカウントを使用すると、チュートリアルの一部として管理アカウントを作成および管理する必要がなくなります。
このチュートリアルでは、次のサブスクリプションを持つテスト テナントが必要です。
- Microsoft Intune プラン 1 サブスクリプション (無料試用版アカウントにサインアップする)
- Microsoft Entra ID P1 (無料試用版)
- Exchange を含む Microsoft 365 Apps for business サブスクリプション (無料試用版)
Intune にサインイン
このチュートリアルでは、Microsoft Intune管理センターにサインインするときに、Intune試用版サブスクリプションにサインアップしたときに作成されたアカウントでサインインします。 このチュートリアルでは、引き続きこのアカウントを使用して管理センターにサインインします。
メール デバイス プロファイルを作成する
このチュートリアルでは、iOS/iPadOS デバイス Email プロファイルを作成する必要があります。 これを行うには、Intune ドキュメントの「手順 11 – Intuneタスクの試用」領域からデバイス プロファイルを作成するのガイダンスに従います。 電子メール プロファイルは、iOS/iPad デバイスで仕事用メールを使用することを要求するために使用されます。
電子メール プロファイルを作成するときは、このチュートリアルの後続の手順で作成した デバイス コンプライアンス ポリシーと 条件付きアクセス ポリシーに後で使用するのと同じデバイス グループにプロファイルを割り当てます。
メール プロファイルを作成したら、ここに戻って続行します。
iOS デバイスのコンプライアンス ポリシーを作成する
Intune デバイス コンプライアンス ポリシーを設定して、デバイスが準拠済みと見なされるために満たす必要のある条件を設定します。 このチュートリアルでは、iOS デバイスのデバイス コンプライアンス ポリシーを作成します。 コンプライアンス ポリシーはプラットフォームに固有なので、評価するデバイス プラットフォームごとに独立したコンプライアンス ポリシーが必要です。
Microsoft Intune 管理センターにサインインします。
[ デバイス>コンプライアンス] を選択します。
[ポリシー] タブ で、[ポリシーの 作成] を選択 します。
[ ポリシーの作成 ] ページで、[ プラットフォーム ] で [ iOS/iPadOS] を選択します。 [ 作成] を 選択して続行します。
[ 基本 ] タブで、次のプロパティを入力します。
- 名前: 新しいプロファイルのわかりやすい名前を入力します。 この例では、「 iOS コンプライアンス ポリシー テスト」と入力します。
- 説明: 省略可能 - iOS コンプライアンス ポリシー テストを入力します。
[次へ] を選んで続行します。
[ コンプライアンス設定 ] タブで、次の手順を実行します。
[Email] を展開し、[デバイスで電子メールを設定できません] を [必須] に設定します。
[ デバイスの正常性] を展開し、[ 脱獄された デバイス] を [ブロック] に設定します。
[ システム セキュリティ] を展開し、次の設定を構成します。
- モバイル デバイスのロックを解除するためにパスワードを要求する
- ブロックする簡単なパスワード
- パスワードの最小長は4
ヒント
グレー表示で斜体の既定値は推奨目的でのみ提示されています。 推奨値を置換して設定を構成する必要があります。
- 英数字に必要なパスワードの種類
- [即時] にパスワードが必要になるまでの画面ロック後の最大分数
- パスワードの有効期限 (日数) から 41
- 5 への再利用を防ぐための以前のパスワードの数
続行するには、[Next] を選択します。
[ 次へ ] を選択して、 準拠していない場合は [アクション] をスキップします。
[ 割り当て ] タブの [ 含まれるグループ] で、[ すべてのデバイスの追加] を選択するか、このポリシーを受け取るデバイスのみを含むグループを選択します。 メール デバイス プロファイルに使用したのと同じ割り当てを使用してください。
[次へ] を選んで続行します。
[ 確認と作成 ] タブで、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。
条件付きアクセス ポリシーを作成する
次に、Microsoft Intune管理センターを使用して条件付きアクセス ポリシーを作成します。 条件付きアクセスをIntuneと統合して、組織のメールやリソースに接続できるデバイスとアプリを制御できます。
条件付きアクセス ポリシーでは、次の処理が行われます。
- 任意のプラットフォームを実行するデバイスをIntuneに登録し、Intuneコンプライアンス ポリシーに準拠するように要求してから、それらのデバイスを使用してExchange Onlineにアクセスできるようにする必要があります。
- デバイスでメール アクセスに Outlook アプリを使用する必要があります。
条件付きアクセス ポリシーは、Microsoft Entra 管理センターまたはMicrosoft Intune管理センターで構成できます。 既に管理センターにいますので、ここでポリシーを作成できます。
Microsoft Intune 管理センターにサインインします。
[ Endpoint security>Conditional Access>新しいポリシーを作成する] を選択します。
[名前] に「Test policy for Microsoft 365 email」と入力します。
[ 割り当て] の [ ユーザー] で、 選択した 0 人のユーザーとグループを選択します。 [ 含める ] タブで、[ すべてのユーザー] を選択します。 [ユーザー] の値が [すべてのユーザー] に更新されます。
また、[ 割り当て] で [ ターゲット リソース] を選択します。 [ このポリシーが適用される内容を選択する ] ドロップダウンで、[ クラウド アプリ] を選択します。
次に、Microsoft 365 Exchange Onlineメールを保護するため、次の手順に従ってアプリを選択します。
- [含む] タブで、[アプリを選択] を選択します。
- [選択] カテゴリで [なし] を選択し、アプリケーションの一覧で [選択] ウィンドウを開きます。
- アプリケーションの一覧で、Office 365 Exchange Onlineのチェック ボックスをオンにし、[選択] を選択します。
また、[ 割り当て] で [ 条件>デバイス プラットフォーム ] を選択して、[ デバイス プラットフォーム ] ウィンドウを開きます。
- [ 構成] を[はい] に設定します。
- [含む] タブで [任意のデバイス] を選択してから、[完了] を選択します。
もう一度、[ 割り当て] で [ 条件>Client アプリ] を選択します。
[ 構成] を[はい] に設定します。
このチュートリアルでは、モダン認証クライアントの一部である [モバイル アプリとデスクトップ クライアント] を選択します (これは、Outlook for iOS や Outlook for Android などのアプリを指します)。 他のチェック ボックスはすべてオフにします。
[完了] を選択し、[完了] をもう一度選択します。
[アクセス制御] で [許可] を選択します。
[許可] ウィンドウで、[アクセス権の付与] を選択します。
[デバイスは準拠としてマーク済みである必要があります] を選択します。
[承認されたクライアント アプリが必要です] を選択します。
[複数のコントロールの場合] で、[選択したコントロールすべてが必要] を選択します。 この設定により、デバイスがメールへのアクセスを試みるときに、選択した両方の要件が適用されます。
[選択] を選択します。
ポリシーを有効にする で、オン を選択します。
[ 作成] を 選択して変更を保存します。 プロファイルが割り当てられます。
注:
Microsoft Teamsなどの一部の依存サービスは、Exchange Online リソースと統合され、早期バインド ポリシーの適用によって管理されます。 そのため、ユーザーはMicrosoft Teamsにサインインする前に Exchange ポリシーに準拠する必要があります。
Exchange Online リソースの認証要求を制限する条件付きアクセス ポリシーがある場合、ユーザーは Teams にサインインする前に Exchange ポリシーの要件を満たす必要があります。 これらのポリシーに準拠しないと、Teams にサインインする機能に影響します。
試してみる
作成したポリシーを使用して、Microsoft 365 メールへのサインインを試みる iOS デバイスは、Intuneに登録し、iOS/iPadOS 用 Outlook モバイル アプリを使用する必要があります。 iOS デバイスでこのシナリオをテストするには、テスト テナントのユーザーの資格情報を使用して、Exchange Online へのサインインを試みます。 デバイスを登録し、Outlook モバイル アプリをインストールするように求められます。
iPhone でテストするには、[Settings]\(設定\)>[Passwords & Accounts]\(パスワードとアカウント\)>[Add Account]\(アカウントの追加\)>[Exchange] に移動します。
テスト テナント内のユーザーのメール アドレスを入力し、[次へ] を選択します。
[サインイン] を選択します。
テスト ユーザーのパスワードを入力して、[サインイン] を選択します。
デバイスのリソース アクセスを管理する必要があるというメッセージと、登録のオプションが表示されます。
リソースをクリーンアップする
テスト ポリシーが必要なくなった場合は削除できます。
Microsoft Intune 管理センターにサインインします。
[ デバイス>コンプライアンス] を選択します。
[ ポリシー名 ] の一覧で、テスト ポリシーのコンテキスト メニュー (...) を選択し、[ 削除] を選択します。 確認メッセージが表示されたら、[OK] を選択します。
[ エンドポイント セキュリティ>Conditional Access>policies] を選択します。
[ ポリシー名 ] の一覧で、テスト ポリシーのコンテキスト メニュー (...) を選択し、[ 削除] を選択します。 [はい] を選択して確認します。
次の手順
このチュートリアルでは、iOS デバイスに対して、Intune に登録することと、Outlook アプリを使用して Exchange Online のメールにアクセスすることを要求する、ポリシーを作成しました。 Exchange ActiveSync クライアントや Microsoft 365 Exchange Online などの他のアプリやサービスを保護するために条件付きアクセスで Intune を使用する方法については、条件付きアクセスの設定に関するページを参照してください。