基本的なモビリティとセキュリティの機能
基本的なモビリティとセキュリティは、ライセンスを取得した Microsoft 365 ユーザーがorganizationで使用する iPhone、iPad、Android、Windows Phone などのモバイル デバイスのセキュリティ保護と管理に役立ちます。 モバイル デバイス管理ポリシーは、サポートされているモバイル デバイスとアプリのorganizationの Microsoft 365 メールとドキュメントへのアクセスを制御するのに役立つ設定で作成できます。 デバイスの紛失または盗難時には、リモートからデバイスをワイプして、組織の機密情報を削除できます。
サポートされるオペレーティング システム
基本的なモビリティとセキュリティでデバイスでサポートされている最小オペレーティング システムについては、Microsoft Intune オペレーティング システム ガイドに従ってください。 詳細については、「サポートされているオペレーティング システムIntune」を参照してください。
基本的なモビリティとセキュリティを使用して、次のデバイスをセキュリティで保護および管理できます。
- iOS
- Android (Samsung Knox を含む)1
- Windows2、3
12020 年 6 月以降、9 より後の Android バージョンでは、Samsung Knox デバイス以外のパスワード設定を管理できません。
2Windows 8.1 RT デバイスのアクセス制御は、Exchange ActiveSyncに制限されます。
3Windows 10のアクセス制御には、Microsoft Entra ID P1 または P2 を含むサブスクリプションが必要であり、デバイスをMicrosoft Entra IDに参加させる必要があります。
注:
以前の OS バージョンに既に登録されているデバイスは引き続き機能しますが、機能は予告なく変更される可能性があります。
organizationのユーザーが基本的なモビリティとセキュリティでサポートされていないモバイル デバイスを使用している場合は、organizationのデータのセキュリティを強化するために、それらのデバイスの Microsoft 365 メールへのExchange ActiveSyncアプリアクセスをブロックすることができます。 Exchange ActiveSyncをブロックする手順については、「基本的なモビリティとセキュリティでデバイス アクセス設定を管理する」を参照してください。
Microsoft 365 の電子メールとドキュメントのアクセス制御
次の表に示すさまざまな種類のモバイル デバイスでサポートされているアプリでは、ユーザーのデバイスに適用される新しいモバイル デバイス管理ポリシーがあり、ユーザーが以前にデバイスを登録していない基本的なモビリティとセキュリティに登録するように求められます。 ユーザーのデバイスがポリシーに準拠していない場合、ポリシーの設定方法によっては、ユーザーがこれらのアプリ内の Microsoft 365 リソースへのアクセスをブロックされたり、アクセス権を持っている可能性がありますが、Microsoft 365 ではポリシー違反が報告される可能性があります。
| 製品 | iOS | Android |
|---|---|---|
| Exchange Exchange ActiveSyncには、Exchange ActiveSync バージョン 14.1 以降を使用する、TouchDown などの組み込みの電子メール アプリとサード パーティ製アプリが含まれています。 | メール | 電子メール |
| Microsoft 365 および OneDrive for Business のアプリ | Outlook OneDrive Word Excel PowerPoint |
スマートフォンとタブレットの場合: Outlook OneDrive Word Excel PowerPoint 電話のみ: Microsoft 365 mobile |
注:
- iOS 10.0 以降のバージョンのサポートには、iPhone デバイスと iPad デバイスが含まれます。
- BlackBerry OS デバイスの管理は、Basic Security と Mobility ではサポートされていません。 BlackBerry OS デバイスを管理するには、BlackBerry から BlackBerry Business Cloud Services (BBCS) を使用します。 Android OS を実行している Blackberry デバイスは、標準の Android デバイスとしてサポートされています
- モバイル ブラウザーを使用して Microsoft 365 SharePoint サイト、Web 上の Microsoft 365 のドキュメント、またはOutlook Web Appの電子メールにアクセスする場合、ユーザーは登録を求めず、ポリシー違反のブロックや報告もされません。
次の図は、新しいデバイスを持つユーザーが、基本的なモビリティとセキュリティを使用してアクセス制御をサポートするアプリにサインインした場合の動作を示しています。 ユーザーは、デバイスを登録するまで、アプリ内の Microsoft 365 リソースへのアクセスがブロックされます。
注:
Microsoft 365 Business Standardの基本的なモビリティとセキュリティで作成されたポリシーとアクセス規則は、Exchange 管理センターで作成されたモバイル デバイス メールボックス ポリシーとデバイス アクセス規則Exchange ActiveSyncオーバーライドされます。 デバイスがMicrosoft 365 Business Standardの基本的なモビリティとセキュリティに登録された後、デバイスに適用されたExchange ActiveSyncモバイル デバイス メールボックス ポリシーまたはデバイス アクセス規則は無視されます。 Exchange ActiveSyncの詳細については、「Exchange OnlineのExchange ActiveSync」を参照してください。
モバイル デバイス用のポリシー設定
特定の設定を有効にしてアクセスをブロックするポリシーを作成した場合、Microsoft 365 のメールとドキュメントのアクセス制御に記載されているサポートされているアプリを使用している場合、ユーザーは Microsoft 365 リソースへのアクセスをブロックされます。
ユーザーが Microsoft 365 リソースにアクセスできないようにするための設定は、次のセクションにあります。
セキュリティ
暗号化
脱獄
管理された電子メール プロファイル
例として次の図は、登録済みデバイスを使用しているユーザーが、そのデバイスに適用されるモバイル デバイス管理ポリシーのセキュリティ設定を満たしていない場合の動作を示しています。 ユーザーは、基本的なモビリティとセキュリティを使用したアクセス制御をサポートするアプリにサインインします。 デバイスがセキュリティ設定に準拠するまで、アプリ内の Microsoft 365 リソースへのアクセスはブロックされます。
次のセクションでは、Microsoft 365 organization リソースに接続するモバイル デバイスのセキュリティ保護と管理に使用できるポリシー設定の一覧を示します。
セキュリティの設定
| 設定名 | iOS | Android | Samsung Knox |
|---|---|---|---|
| パスワードを要求 | はい | いいえ | いいえ |
| シンプルなパスワードを禁止 | はい | いいえ | いいえ |
| 英数字のパスワードを要求 | はい | いいえ | いいえ |
| パスワードの最小文字数 | はい | はい | はい |
| デバイスがワイプされるまでのサインイン失敗回数 | はい | はい | はい |
| デバイスがロックされるまでのアイドル時間 (分) | はい | いいえ | いいえ |
| パスワードの有効期限 (日) | はい | はい | はい |
| パスワードの履歴を記憶して再利用を防止 | はい | はい | はい |
重要
この数分間非アクティブなデバイスのロック は、Android と Samsung Knox ではサポートされなくなりました。
暗号化の設定
| 設定名 | iOS | Android | Samsung Knox |
|---|---|---|---|
| デバイスでデータ暗号化を要求する1 | いいえ | はい | はい |
1Samsung Knox では、ストレージ カードに暗号化を必要とすることもできます。
脱獄の設定
| 設定名 | iOS | Android | Samsung Knox |
|---|---|---|---|
| デバイスの脱獄またはルート化はできません | はい | はい | はい |
管理された電子メール プロファイルのオプション
手動で作成したメール プロファイルを使用している場合、次のオプションを使用すると、ユーザーが Microsoft 365 メールにアクセスできないようにすることができます。 iOS デバイスを使用しているユーザーは、電子メールにアクセスする前に、手動で作成した電子メール プロファイルを削除しておく必要があります。 プロファイルを削除すると、デバイスに新しいプロファイルが自動的に作成されます。 エンド ユーザーが準拠する方法については、「 デバイスに電子メール プロファイルが既にインストールされている」を参照してください。
| 設定名 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 電子メール プロファイルが管理されている | はい | いいえ | いいえ |
クラウドの設定
| 設定名 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 暗号化されたバックアップを要求 | はい | いいえ | いいえ |
| クラウド バックアップをブロックする 1 | はい | いいえ | いいえ |
| ドキュメント同期をブロックする 1 | はい | いいえ | いいえ |
| 写真の同期の禁止 | はい | いいえ | いいえ |
| Google バックアップを許可する | 該当なし | いいえ | はい |
| Google アカウントの自動同期を許可する | 該当なし | いいえ | はい |
1機能するには、これらの設定には監視対象の iOS デバイスが必要です。
システムの設定
| 設定名 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 画面キャプチャの禁止 | はい | いいえ | はい |
| デバイスからの診断データ送信の禁止 | はい | いいえ | はい |
アプリケーションの設定
| 設定名 | iOS | Android | Samsung Knox |
|---|---|---|---|
| デバイス1 でビデオ会議をブロックする | はい | いいえ | いいえ |
| アプリケーション ストアへのアクセスをブロックする 1 | はい | いいえ | はい |
| アプリケーション ストアへアクセスする際にパスワードを要求する | はい | いいえ | いいえ |
1機能するには、これらの設定には監視対象の iOS デバイスが必要です。
デバイスの機能の設定
| 設定名 | iOS | Android | Samsung Knox |
|---|---|---|---|
| リムーバブル記憶域との接続の禁止 | いいえ | いいえ | はい |
| Bluetooth 接続の禁止 | いいえ | いいえ | はい |
その他の設定
Security & Compliance PowerShell コマンドレットを使用して、次の追加ポリシー設定を設定できます。 詳細については、「セキュリティ/コンプライアンス PowerShell」を参照してください。
| 設定名 | iOS | Android |
|---|---|---|
| CameraEnabled | はい | はい |
| RegionRatings | はい | いいえ |
| MoviesRatings | はい | いいえ |
| TVShowsRating | はい | いいえ |
| AppsRatings | はい | いいえ |
| AllowVoiceDialing | はい | いいえ |
| AllowVoiceAssistant | はい | いいえ |
| AllowAssistantWhileLocked | はい | いいえ |
| AllowPassbookWhileLocked | はい | いいえ |
| MaxPasswordGracePeriod | はい | いいえ |
| PasswordQuality | いいえ | はい |
| SystemSecurityTLS | はい | いいえ |
| WLANEnabled | いいえ | いいえ |
Windows でサポートされる設定
Windows 10デバイスは、モバイル デバイスとして登録することで管理できます。 該当するポリシーが展開された後、Windows 10 デバイスを持つユーザーは、組み込みの電子メール アプリを初めて使用して Microsoft 365 メールにアクセス基本的なモビリティとセキュリティに登録する必要があります (P1 または P2 サブスクリプションMicrosoft Entra ID必要)。
モバイル デバイスとして登録されているWindows 10デバイスでは、次の設定がサポートされています。 これらの設定は、ユーザーが Microsoft 365 リソースにアクセスすることをブロックしません。
セキュリティの設定
英数字のパスワードを要求
パスワードの最小文字数
デバイスがワイプされるまでのサインイン失敗回数
デバイスがロックされるまでのアイドル時間 (分)
パスワードの有効期限 (日)
パスワードの履歴を記憶して再利用を防止
注:
パスワードを規制する次の設定では、ローカル Windows アカウントのみを制御します。 ドメインへの参加またはMicrosoft Entra IDによって提供される Windows アカウントは、これらの設定の影響を受けません。
システムの設定
デバイスからの診断データの送信をブロックします。
その他の設定
PowerShell コマンドレットを使用して、これらの追加のポリシー設定を設定できます。
AllowConvenienceLogon
UserAccountControlStatus
FirewallStatus
AutoUpdateStatus
AntiVirusStatus
AntiVirusSignatureStatus
SmartScreenEnabled
WorkFoldersSyncUrl
モバイル デバイスをリモートからワイプする
デバイスが紛失または盗難にあった場合は、機密性の高い組織データを削除し、Microsoft Purview コンプライアンス ポータルデータ損失防止>Device 管理からワイプを実行することで>、Microsoft 365 organization リソースへのアクセスを防ぐことができます。 個別のワイプで組織のデータのみを削除することも、全体のワイプでデバイスからすべての情報を削除して出荷時の設定に戻すこともできます。
詳細については、「基本的なモビリティとセキュリティでモバイル デバイスをワイプする」を参照してください。
関連コンテンツ
Microsoft 365 の基本的なモビリティとセキュリティの概要 (記事)
基本的なモビリティとセキュリティでデバイス セキュリティ ポリシーを作成する (記事)