注意:Office 365 用の組み込みモバイル デバイス管理機能は、ユーザー・デバイスの接続をブロックするような機能ではございません - Office 365 のモバイル デバイス管理機能のご紹介 第2回 -
こんにちは、Microsoft Intune / MDM for Office 365 サポート松井です。
非常に多くお問い合わせをいただいております、Office 365 用組み込み モバイル デバイス 管理機能の FAQ を記事にいたします。
Office 365 用組み込み モバイル デバイス 管理機能(MDM for Office 365)についての FAQ
Q1 : この機能を用いることで、特定の"デバイス(例:会社貸与のデバイスは許可し、個人持ちのデバイスは拒否するなど)"を Office 365 へ接続させないようにすることはできますか?
A1 : いいえ、この制限は "ユーザー”に対して適用するものであるため "デバイス”毎に制限をかけることはできません。
Q2 : この機能で、接続してきたデバイスを管理者が接続を拒否(ブロック)することはできますか?
A2 : いいえ、この機能は Office 365 への接続時に MDM への登録を必要とし、 MDM for Office 365 で定義したポリシーに準拠させることで、Office 365 へのアクセスを一定のセキュリティ レベルに保たれたモバイル デバイスのみから接続を許可することを目的としています。
そのため、接続を明示的に許可・拒否するような機能ではなく、Office 365 のライセンスが付与されたユーザーであれば、Office 365 への接続が行えることになります。
Q3 : Exchange Online でも似たような検疫機能がありますが、それとは関係があるのでしょうか?また、重複して利用することはできますか?
A3 : この機能については、Exchange Onlineに以前から備わっている Exchange ActiveSync の検疫 機能であり、MDM for Office 365 の機能とは“排他”的に動作いたします。
こちらの機能概要については、下記 Webページに概要が記載されておりますので併せてご参照願います。(少し古いバージョンの Exchange Online の画面になります)
Exchange Online で実現するモバイル デバイス管理
https://community.office365.com/ja-jp/b/office_365_buzz/archive/2012/04/22/mobile-device-management-using-exchange-online.aspx
Exchange Online の“Exchange ActiveSync アクセスの設定”は、MDM for Office 365 の対象としたメンバー(セキュリティ グループ単位で設定します)には、適用されなくなり、結果として"排他"的に動作することになります。
*Exchange ActiveSync アクセスの設定を適用したい場合には、MDM for Office 365の対象から除外していただきますようよろしくお願いいたします。
Q4 : でも、デバイス レジストレーション サービス(DRS)を利用することで、デバイス事に接続を制限することが可能である、という記述を見たこともあるのですが?
A4 : iOS, Android, Windows Phone などのモバイルデバイスに対しては、Device Registration Service(DRS)という機能を利用することによって、事前に登録されたデバイスからのみ認証を許可する構成をとることも可能です。
この機能を簡単に説明差し上げると、iOS/Android デバイスを ADFS サーバー経由でAD に登録し、その情報を ADFS の認可条件として利用出来る機能になります。
これを利用することで、特定のデバイスのみからのみ ADFS の認証・認可を行うような構成をとることが可能であり、結果として、Office 365 /Intune へのアクセスを特定のデバイスからのみ許可するということが可能です。
しかしながら、Office 365 へ接続するすべてのアプリケーションが DRS による接続制限をかけられるわけではないことをご留意ください。
対応しているアプリケーションなどについては、日々更新されるため恐れ入りますが、ADFS のサポート チームへサービス リクエストなどを用いご確認をよろしくお願いいたします。
Q5 : iOS , Android , Windows Phone などの条件(OS種別や筐体種別、シリアルナンバー等)を用いて、接続を拒否、許可することはできますか?
A5 : いいえ、MDM for Office 365 ではそのような機能は有しておりません。
Qx:では、そもそもOffice 365 用組み込み モバイル デバイス 管理機能(MDM for Office 365)とは、何を目的とした機能なのか?
Ax : この機能の目的は、一言でいうと
「Office 365 (OneDrive for Business) に保存されたドキュメントにアクセスする場合に、モバイル デバイスに対して、一定のセキュリティ レベルを担保した状態を強制する。 」機能です。
弊社がモバイル デバイスに対してセキュリティ ポリシーを展開する手法として利用しているのはこれまでは Exchange ActiveSync プロトコルを用い実現しておりました(もちろん、今後もこの機能は存続します)。
この機能を用いることでモバイル デバイスから Exchange Server のメールボックスに接続する際には、パスワード ポリシーなどが強制され、一定のセキュリティレベルを担保させた状態でメールを受信させることが出来ます。
しかしながら、Office 365 の登場によりモバイル デバイスから Office 365 に保存されたドキュメントにモバイル デバイスからアクセスする場合、まだ Exchange ActiveSync を用いてメールは受信しない事も考えられます。
その場合においては、パスワード ポリシーなどが個人の管理にゆだねられた状態(パスワードによるロックをかけていないデバイスなど)のデバイスから企業領域のドキュメントにアクセスできることになります。
この状態で、もしデバイスを紛失した場合、企業情報へ容易にアクセスできる状態のままになってしまいます。
これを防ぐことをこの機能は目的としており、デバイスをブロックするために存在する機能ではないことを改めてご紹介させていただきます。
/まつい