Basic Mobility and Security でデバイス セキュリティ ポリシーを作成する
Basic Mobility と Security を使用して、Microsoft 365 の組織情報を不正なアクセスから保護するのに役立つデバイス ポリシーを作成できます。 デバイスのユーザーが該当する Microsoft 365 ライセンスを持ち、デバイスを Basic Mobility and Security に登録している組織内の任意のモバイル デバイスにポリシーを適用できます。
開始する前に
重要
モバイル デバイス ポリシーを作成する前に、Basic Mobility and Security をアクティブ化して設定する必要があります。 詳細については、「 Microsoft 365 の基本的なモビリティとセキュリティの概要」を参照してください。
- Basic Mobility と Security がサポートするデバイス、モバイル デバイス アプリ、セキュリティ設定について説明します。 「基本的なモビリティとセキュリティの機能」を参照してください。
- ポリシーを展開する Microsoft 365 ユーザーと、Microsoft 365 へのアクセスをブロックされないように除外する可能性があるユーザーを含むセキュリティ グループを作成します。 組織に新しいポリシーを展開する前に、少数のユーザーに展開してポリシーをテストすることをお勧めします。 ポリシーをテストできる自分または少数の Microsoft 365 ユーザーのみを含むセキュリティ グループを作成して使用できます。 セキュリティ グループの詳細については、「セキュリティ グループの 作成、編集、または削除」を参照してください。
- Microsoft 365 で Basic Mobility ポリシーとセキュリティ ポリシーを作成して展開するには、コンプライアンス管理者である必要があります。 詳細については、「 Microsoft Entra 組み込みロール」を参照してください。
- ポリシーを展開する前に、Basic Mobility and Security にデバイスを登録することの潜在的な影響を組織に知らせます。 ポリシーの設定方法によっては、非準拠デバイスが Microsoft 365 へのアクセスをブロックされ、登録されたデバイスにインストールされているアプリケーション、写真、個人情報などのデータが削除される可能性があります。
注:
Microsoft 365 Business Standard の Basic Mobility and Security で作成されたポリシーとアクセス規則は、 Exchange 管理センターで作成された Exchange ActiveSync モバイル デバイス メールボックス ポリシーとデバイス アクセス 規則をオーバーライドします。 デバイスが Microsoft 365 Business Standard の Basic Mobility and Security に登録されると、そのデバイスに適用されている Exchange ActiveSync モバイル デバイス メールボックス ポリシーまたはデバイス アクセス規則は無視されます。 Exchange ActiveSync の詳細については、「 Exchange Online の Exchange ActiveSync」を参照してください。
手順 1: デバイス ポリシーを作成し、テスト グループに展開する
開始する前に、Basic Mobility and Security をアクティブ化して設定していることを確認してください。 手順については、「 基本的なモビリティとセキュリティの概要」を参照してください。
ブラウザーから、[ https://compliance.microsoft.com/basicmobilityandsecurity] に移動します。
[ポリシー] タブ で 、[ 作成] を選択します。
[ ポリシー名 ] ページで、名前と説明を追加し、[ 次へ] を選択します。
[ アクセス要件 ] ページで、組織内のモバイル デバイスに適用する要件を指定し、[ 次へ] を選択します。
[構成] ページで、組織 の 構成要件を選択し、[ 次へ] を選択します。
[ デプロイ ] ページで、このポリシーを適用するセキュリティ グループを選択します。
[ レビュー ] ページで、選択内容を確認し、[送信] を選択 します。
ポリシーは、モバイル デバイスを使用して次回 Microsoft 365 にサインインする際にポリシーが適用される各ユーザーのデバイスにプッシュされます。 ユーザーが以前にモバイル デバイスにポリシーを適用していない場合は、ポリシーを展開した後、デバイスに通知が届きます。これには、Basic Mobility and Security を登録してアクティブ化する手順が含まれます。 詳細については、「 Basic Mobility and Security を使用してモバイル デバイスを登録する」を参照してください。 Intune サービスによってホストされる Basic Mobility and Security への登録が完了するまで、メール、OneDrive、およびその他のサービスへのアクセスは制限されます。 Intune ポータル サイト アプリを使用して登録を完了すると、サービスを使用でき、ポリシーがデバイスに適用されます。
手順 2: ポリシーが機能することを確認する
デバイス ポリシーを作成したら、組織に展開する前に、ポリシーが期待どおりに動作することを確認します。
- ブラウザーから、[ https://compliance.microsoft.com/basicmobilityandsecurity] に移動します。
- [ 管理対象デバイスの一覧を表示する] を選択します。
- ポリシーが適用されているユーザー デバイスの状態を確認します。 デバイスの 状態 を管理する必要があります 。
- デバイスを選択した後、[工場出荷時のリセット] または [管理から会社のデータを削除する] ボタンをクリックして、デバイスで完全または選択的なワイプを実行することもできます。 手順については、「 Basic Mobility and Security」の「モバイル デバイスをワイプする」を参照してください。
手順 3: 組織にポリシーを展開する
デバイス ポリシーを作成し、期待どおりに動作することを確認したら、組織に展開します。
- ブラウザーの種類: https://compliance.microsoft.com/basicmobilityandsecurity。
- 展開するポリシーを選択し、[適用されるグループ] の横にある [編集] を選択します。
- 追加するグループを検索し、[ 選択] をクリックします。
- [ 閉じる] と [ 設定の変更] を選択します。
- [ 閉じる] と [ポリシーの編集] を選択します。
ポリシーは、各ユーザーのモバイル デバイスにプッシュされ、次回モバイル デバイスから Microsoft 365 にサインインする際にポリシーが適用されます。 ユーザーがモバイル デバイスにポリシーを適用していない場合は、デバイスに通知を受け取り、Basic Mobility and Security に登録してアクティブ化する手順が表示されます。 登録が完了すると、ポリシーがデバイスに適用されます。 詳細については、「 Basic Mobility and Security を使用してモバイル デバイスを登録する」を参照してください。
手順 4: サポートされていないデバイスの電子メール アクセスをブロックする
組織の情報をセキュリティで保護するには、Basic Mobility and Security でサポートされていないモバイル デバイスの Microsoft 365 メールへのアプリ アクセスをブロックする必要があります。 サポートされているデバイスの一覧については、「 サポートされているデバイス」を参照してください。
アプリアクセスをブロックするには:
ブラウザーから、「 https://compliance.microsoft.com/basicmobilityandsecurity」と入力します。
[ 組織の設定] タブを選択 します。
サポートされていないデバイスをブロックするには、[デバイスが Basic Mobility and Security for Microsoft 365 でサポートされていない場合] で [アクセス] を選択し、[保存] を選択します。
手順 5: 条件付きアクセス チェックから除外するセキュリティ グループを選択する
一部のユーザーをモバイル デバイスの条件付きアクセス チェックから除外し、それらのユーザー用に 1 つ以上のセキュリティ グループを作成した場合は、ここにセキュリティ グループを追加します。 これらのグループのユーザーは、サポートされているモバイル デバイスに適用されるポリシーを持ちません。 これは、組織で Basic Mobility と Security を使用する必要がなくなった場合に推奨されるオプションです。
ブラウザーから、「 https://compliance.microsoft.com/basicmobilityandsecurity」と入力します。
[ 組織の設定] タブを選択 します。
[ 追加] を選択して、Microsoft 365 へのアクセスをブロックしないように除外するユーザーを含むセキュリティ グループを追加します。 ユーザーがこの一覧に追加されると、サポートされていないデバイスを使用しているときに Microsoft 365 メールにアクセスできます。
[グループの選択] パネルで、使用するセキュリティ グループを選択 します。
名前を選択し、[ 追加>保存] を選択します。
[ 組織の設定] パネルで、[保存] を選択 します。
![[Basic Mobility and Security allow access]\(基本的なモビリティとセキュリティでアクセスを許可する\) オプション。](../../media/basic-mobility-security/basic-mobility-groups.png?view=o365-worldwide)
さまざまなデバイスの種類に対するセキュリティ ポリシーの影響は何ですか?
ユーザー デバイスにポリシーを適用すると、各デバイスへの影響はデバイスの種類によって多少異なります。 さまざまなデバイスに対するポリシーの影響の例については、次の表を参照してください。
| セキュリティ ポリシー | Android | Samsung KNOX | iOS | メモ |
|---|---|---|---|---|
| 暗号化されたバックアップを要求 | いいえ | はい | はい | iOS で暗号化されたバックアップが必要です。 |
| クラウド バックアップの禁止 | はい | はい | はい | Android での Google バックアップのブロック (淡色表示)、監視対象の iOS でのクラウド バックアップ。 |
| ドキュメントの同期の禁止 | いいえ | いいえ | はい | iOS: 監視対象の iOS デバイス上のクラウド内のドキュメントをブロックします。 |
| 写真の同期の禁止 | いいえ | いいえ | はい | iOS (ネイティブ): フォト ストリームをブロックします。 |
| 画面キャプチャの禁止 | いいえ | はい | はい | 試行された場合にブロックされます。 |
| ビデオ会議をブロックする | いいえ | いいえ | はい | 監視対象の iOS デバイスでは FaceTime がブロックされ、Skype やその他のデバイスではブロックされません。 |
| 診断データの送信をブロックする | いいえ | はい | はい | Android での Google クラッシュ レポートの送信をブロックします。 |
| アプリ ストアへのアクセスをブロックする | いいえ | はい | はい | Android ホーム ページにアプリ ストア アイコンが表示されていない、Windows で無効になっている、監視対象の iOS デバイス。 |
| アプリ ストアにパスワードを要求する | いいえ | いいえ | はい | iOS: iTunes の購入にパスワードが必要です。 |
| リムーバブル 記憶域への接続をブロックする | いいえ | はい | 該当なし | Android: 設定で SD カードが淡色表示され、Windows からユーザーに通知され、インストールされているアプリは使用できません |
| Bluetooth 接続の禁止 | メモを参照する | メモを参照する | はい | Android の設定として BlueTooth を無効にすることはできません。 代わりに、BlueTooth を必要とするすべてのトランザクションを無効にします。Advanced Audio Distribution、Audio/Video Remote Control、ハンズフリー デバイス、ヘッドセット、電話帳アクセス、シリアル ポート。 これらのメッセージのいずれかが使用されると、ページの下部に小さなトースト メッセージが表示されます。 |
ポリシーを削除したり、ポリシーからユーザーを削除したりするとどうなりますか?
ポリシーを削除するか、ポリシーが展開されたグループからユーザーを削除すると、ポリシー設定、Microsoft 365 電子メール プロファイル、およびキャッシュされた電子メールがユーザーのデバイスから削除される可能性があります。 さまざまなデバイスの種類について削除される内容については、次の表を参照してください。
| 削除された内容 | iOS | Android (Samsung KNOX を含む) |
|---|---|---|
| マネージド メール プロファイル1 | はい | いいえ |
| クラウド バックアップの禁止 | はい | いいえ |
1 [ メール プロファイルの管理 ] オプションが選択された状態でポリシーが展開された場合、そのプロファイル内の管理された電子メール プロファイルとキャッシュされた電子メールはユーザー デバイスから削除されます。
ポリシーは、デバイスが Basic Mobility and Security で次回チェックインしたときに適用されるユーザーごとにモバイル デバイスから削除されます。 これらのユーザー デバイスに適用される新しいポリシーを展開すると、Basic Mobility and Security に再登録するように求められます。
デバイスを完全にワイプすることも、デバイスから組織の情報を選択的にワイプすることもできます。 詳細については、「 Basic Mobility and Security でモバイル デバイスをワイプする」を参照してください。
関連コンテンツ
基本的なモビリティとセキュリティの概要 (記事)
基本的なモビリティとセキュリティの機能 (記事)