基本的なモビリティとセキュリティから Intune へのアクセス要件のポリシー マッピング
この記事では、基本的なモビリティとセキュリティから Intune へのマッピングの詳細について説明します。 具体的には、このページでは、Microsoft Purview コンプライアンス ポータルアクセス要件ポリシーを、Microsoft Intune内の同等のポリシーにマップします。 Intune では、ポリシーの柔軟性が高くなります。 そのため、各 Office ポリシーは複数の Intune ポリシーと Microsoft Entra ポリシーに変換され、同じ結果が得られます。
基本的なモビリティとセキュリティ から Intune に移行する場合は、移行評価ツールを使用して、このマッピングの大部分を自動化できます。
Microsoft Purview コンプライアンス ポータルでこれらの設定を確認するには、Purview コンプライアンス ポータルにサインインします。 次に、[デバイス セキュリティ ポリシー] の一覧に移動し、ポリシー名 > [ポリシー>のアクセス要件の編集]を選択します。
はじめに
Intune ポリシーで設定を構成するには、Microsoft Intune管理センターにサインインします。 Microsoft Intune リストを使用したロールベースのアクセス制御 (RBAC) と、ポリシーを作成できる組み込みのロールについて説明します。
デバイスが上記の要件を満たさない場合...
この設定は、すべてのアクセス要件設定に Intune コンプライアンス ポリシーまたは構成プロファイルを使用する必要があるかどうかを決定します。 最初に、この設定の詳細を確認してください。
注:
基本的なモビリティとセキュリティ Windows での条件付きアクセスの適用はサポートされていません。
アクセスとレポート違反を許可する (1 回限りの登録は引き続き適用されます)
すべてのアクセス要件は、Intune デバイス構成プロファイルに展開されます。
アクセスをブロックし、違反について報告する
すべてのアクセス要件は、Intune コンプライアンス ポリシーに展開されます。 割り当てられたグループは、従来の条件付きアクセス ポリシーに割り当てられます。
- [GraphAggregatorService] デバイス ポリシー
- [Office 365 Exchange Online] デバイス ポリシー
- [Outlook Service for Exchange] デバイス ポリシー
- [Office 365 SharePoint Online] デバイス ポリシー
- [Outlook Service for OneDrive] デバイス ポリシー
パスワードを要求
注:
すべてのパスワード関連の設定は、Windows 上のローカル アカウントにのみ影響します。 Microsoft Entra ID から取得したユーザー アカウントは、これらのポリシーによって管理されません。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
- デバイス>Windows>コンプライアンス ポリシー> ポリシー name_O365_W >プロパティ>コンプライアンス設定の編集>システム セキュリティ>モバイル デバイスのロックを解除するためのパスワードが必要
- デバイス>iOS/iPadOS>コンプライアンス ポリシー> ポリシー name_O365_i >プロパティ>コンプライアンス設定 の編集>システム セキュリティ>モバイル デバイスのロックを解除するためのパスワードが必要
- デバイス>Android>コンプライアンス ポリシー>ポリシー name_O365_A >プロパティ> コンプライアンス設定システム セキュリティ>の編集>モバイル デバイスのロックを解除するためのパスワードが必要
単純なパスワードを禁止する
Android デバイスの場合、この設定と他の複数の Office 設定は、1 つの Android コンプライアンス設定でカバーされます。 そのため、この設定だけでは、特定の Android コンプライアンス値は決まりません。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
デバイス>Windows>コンプライアンス ポリシー>policy name_O365_W >プロパティ>コンプライアンス設定システム セキュリティ>の編集> 簡易パスワード
デバイス>iOS/iPadOS>コンプライアンス ポリシー>policy name_O365_i >プロパティ>コンプライアンス設定システム セキュリティ>の編集> 簡易パスワード
デバイス>Android>コンプライアンス ポリシー>policy name_O365_A >プロパティ> コンプライアンス設定システム セキュリティ>の編集>必要なパスワードの種類。
- [単純なパスワードを禁止する] をオンにする場合は、(他の Office の設定に基づいて) [複雑な数字]、[英字]、[英数字]、または [英数字と記号] を選択します。
- [単純なパスワードを禁止する] をオフにする場合は、(他の Office の設定に基づいて) 一覧の [数字] またはより高い種類を選択します。
英数字のパスワードを要求
Android デバイスの場合、この設定と他の複数の Office 設定は、1 つの Android コンプライアンス設定でカバーされます。 そのため、この設定だけでは、特定の Android コンプライアンス値は決まりません。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
デバイス>Windows>コンプライアンス ポリシー>policy name_O365_W >プロパティ> コンプライアンス設定システム セキュリティ>の編集>必要なパスワードの種類
デバイス>iOS/iPadOS>コンプライアンス ポリシー>policy name_O365_i >プロパティ> コンプライアンス設定システム セキュリティ>の編集>必要なパスワードの種類
デバイス>Android>コンプライアンス ポリシー>policy name_O365_A >プロパティ> コンプライアンス設定システム セキュリティ>の編集>必要なパスワードの種類。
- [単純なパスワードを禁止する] をオンにする場合は、(他の Office の設定に基づいて) [複雑な数字]、[英字]、[英数字]、または [英数字と記号] を選択します。
- [単純なパスワードを禁止する] をオフにする場合は、(他の Office の設定に基づいて) 一覧の [数字] またはより高い種類を選択します。
パスワードに 1-4 種類以上の文字セットを含める必要がある
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
4 つのコンプライアンス ポリシー:
デバイス>Windows>コンプライアンス ポリシー>policy name_O365_W >プロパティ>コンプライアンス設定システム セキュリティ>パスワードの複雑さを編集>します。
Office の値 Intune の値 1 [数字と小文字が必要]。 Windows コンプライアンス ポリシーでは 1 つの文字セットのみが許可されないため、Office の設定 が 1 の場合、[ 数字と小文字を必須にする] に変換されます。 2 [数字と小文字が必要] 3 [数字、小文字、大文字が必要] 4 [数字、小文字、大文字、特殊文字が必要] デバイス>iOS/iPadOS>コンプライアンス ポリシー>policy name_O365_i >プロパティ>コンプライアンス設定パスワード内の英数字以外の文字のシステム セキュリティ>番号を編集>します。
iOS コンプライアンス ポリシーでは、文字セットの数は適用されませんが、使用する必要がある英数字以外の文字の数のみが適用されます。 そのため、Office の値は、同数の必要な英数字以外の文字に変換されます。
Office の値 Intune の値 無効 (0) 未構成 1 1 2 2 3 3 4 4 デバイス>Android>コンプライアンス ポリシー>policy name_O365_A >プロパティ> コンプライアンス設定システム セキュリティ>の編集>必要なパスワードの種類。
Android では、小文字と大文字を異なる文字セットとして区別することはサポートされていないため、Office の値 4 は適用できません。 代わりに、少なくとも [英数字と記号] に変換されます。
Office の値 Intune の値 1 (他の Office の設定に基づいて) 少なくとも [数字] または [複雑な数字] 2 少なくとも [英数字] 3 少なくとも [英数字と記号] 4 少なくとも [英数字と記号] policy-name_OfficeMDM >アクセス制御許可>>デバイスを準拠としてマークする必要がある
パスワードの最小文字数
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
デバイス>Windows>コンプライアンス ポリシー>policy name_O365_W >プロパティ>コンプライアンス設定システム セキュリティ>の編集 >最小パスワード長
デバイス>iOS/iPadOS>コンプライアンス ポリシー>policy name_O365_i >プロパティ>コンプライアンス設定システム セキュリティ>の編集 >パスワードの最小長
デバイス>Android>コンプライアンス ポリシー>policy name_O365_A >プロパティ> コンプライアンス設定システム セキュリティ>の編集>必要なパスワードの種類と最小パスワードの長さ。
[英数字のパスワードが必要] の Office の値 [英数字のパスワードが必要] の Intune の値 選択済み (他の Office の設定に基づいて) 少なくとも [数字] 未選択 (他の Office の設定に基づいて) 少なくとも [数字]
デバイスがワイプされるまでに許容されるサインインの失敗回数
この設定は、基本的なモビリティとセキュリティの [アクセス要件] の下に一覧表示されますが、アクセスは引き続き許可されます。 この設定がまだデバイスで有効になっていない場合でも許可され、この設定はデバイスのコンプライアンス基準ではありません。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つの構成プロファイル:
- デバイス>Windows>構成プロファイル>ポリシー name_O365_W >プロパティ>コンプライアンス設定 の編集> デバイスをワイプする前のサインイン エラーのパスワード>数
- デバイス>iOS/iPadOS>構成プロファイル>ポリシー name_O365_i >プロパティ>コンプライアンス設定 の編集デバイスをワイプする前にサインインエラーのパスワード>数を編集>する
- デバイス>Android>構成プロファイル>ポリシー name_O365_A >プロパティ>コンプライアンス設定 の編集> デバイスをワイプする前のサインイン エラーのパスワード>数
次の期間非アクティブなデバイスをロックする
Windows、iOS/iPadOS、および Android のコンプライアンス ポリシーでは、同じ粒度の値が提供されないため、Office の設定範囲は Intune の値の数にマップされます。
3 つのコンプライアンス ポリシー:
デバイス>Windows>コンプライアンス ポリシー>ポリシー name_O365_W >プロパティ>コンプライアンス設定 の編集>システム セキュリティ>パスワードが必要になるまでの非アクティブ時間の最大時間 (分)
Office の値 Intune の値 1 から 4 1 分 5 から 14 5 分 15 以上 15 分 デバイス>iOS/iPadOS>コンプライアンス ポリシー> ポリシー name_O365_i >プロパティ>コンプライアンス設定 の編集>システム セキュリティ>パスワードが必要になるまでの非アクティブ時間の最大時間 (分)
Office の値 Intune の値 1 1 分 2 2 分 3 3 分 4 4 分 5 から 9 5 分 (iOS の最大値) 10 から 14 10 分 (iPadOS のみ) 15 以上 15 分 (iPadOS のみ) デバイス>Android>コンプライアンス ポリシー>policy name_O365_A >プロパティ> コンプライアンス設定システム セキュリティ>の編集>必要なパスワードの種類。
Office の値 Intune の値 1 から 4 1 分 5 から 14 5 分 15 から 29 15 分 30 から 59 30 分 60 60 分
パスワードの期限切れ
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
- デバイス>Windows>コンプライアンス ポリシー>ポリシー name_O365_W >プロパティ>コンプライアンス設定システム セキュリティ> パスワードの有効期限の編集 >(日数)
- デバイス>iOS/iPadOS>コンプライアンス ポリシー>ポリシー name_O365_i >プロパティ>コンプライアンス設定システム セキュリティ>パスワードの有効期限の編集 > (日数)
- デバイス>Android>コンプライアンス ポリシー>policy name_O365_A >プロパティ>コンプライアンス設定システム セキュリティ>の編集 >パスワードの有効期限が切れるまでの日数。
パスワードの履歴を記憶して再利用を防止
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
デバイス>Windows>コンプライアンス ポリシー>ポリシー name_O365_W >プロパティ>コンプライアンス設定の編集 システム セキュリティ>以前のパスワードの数を編集>して再利用を防止する
デバイス>iOS/iPadOS>コンプライアンス ポリシー>ポリシー name_O365_i >プロパティ>コンプライアンス設定の編集 システム セキュリティ>以前のパスワードの数を編集>して再利用を防止する
デバイス>Android>コンプライアンス ポリシー>ポリシー name_O365_A >プロパティ>コンプライアンス設定再利用を防ぐために以前のパスワードのシステム セキュリティ>番号を編集>し、必要なパスワードの種類
[英数字のパスワードが必要] の Office の値 [英数字のパスワードが必要] の Intune の値 選択済み (他の Office の設定に基づいて) 少なくとも [数字] 未選択 (他の Office の設定に基づいて) 少なくとも [数字]
デバイス上のデータの暗号化を要求
Windows または iOS/iPadOS の基本的なモビリティとセキュリティでは、この設定を構成できませんでした。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
1 つのコンプライアンス ポリシー:
- デバイス>Android>コンプライアンス ポリシー>ポリシー name_O365_A >プロパティ>コンプライアンス設定デバイス上のデータ ストレージのシステム セキュリティ>暗号化を編集>する
脱獄またはルート化されたデバイスを接続しない
Windows の基本的なモビリティとセキュリティでは、この設定を構成できませんでした。
Android デバイスの場合、Intune では Android デバイス管理者デバイスに対してのみこの設定がサポートされます。
Important
Microsoft Intune は、Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを 2024 年 8 月 30 日に終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
2 つのコンプライアンス ポリシー:
- デバイス>iOS/iPadOS>コンプライアンス ポリシー>ポリシー name_O365_i >プロパティ>コンプライアンス設定デバイス正常性>脱獄デバイスの編集>
- デバイス>Android>コンプライアンス ポリシー>ポリシー name_O365_A >プロパティ>コンプライアンス設定デバイスの正常性>のルート化されたデバイスの編集>
[メール プロファイルの管理が必要] (iOS での選択的ワイプに必要)
この設定を必要にすることは、Windows または Android のコンプライアンスの基本的なモビリティとセキュリティではサポートされていませんでした。 Windows のメールは、Windows 10 の基本的なモビリティとセキュリティではサポートされていませんでした。
Android の場合、この設定は、Samsung Knox デバイス上の基本的なモビリティとセキュリティでのみサポートされていました。
Intune では、デバイス セキュリティ ポリシーで使用できない電子メールを展開するときに、さらに多くの設定を構成する必要があります。 詳細については、「 Intune で電子メール プロファイルに必要なその他の設定」を参照してください。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つの構成プロファイルと 1 つのコンプライアンス ポリシー:
デバイス>Windows>構成プロファイル> ポリシー name_O365_W_Email >プロパティ>構成設定 編集
設定 値 電子メール サーバー outlook.office365.com アカウント名 Office 365 メール Microsoft Entra ID からの Username 属性 ユーザー プリンシパル名 Microsoft Entra ID からのアドレス属性のEmail ユーザー プリンシパル名 SSL 有効にする デバイス>iOS/iPadOS>構成プロファイル> ポリシー name_O365_i_Email >プロパティ>構成設定 編集
設定 値 電子メール サーバー outlook.office365.com アカウント名 Office 365 メール Microsoft Entra ID からの Username 属性 ユーザー プリンシパル名 Microsoft Entra ID からのアドレス属性のEmail ユーザー プリンシパル名 認証名 ユーザー名とパスワード SSL 有効にする デバイス>iOS/iPadOS>コンプライアンス ポリシー>ポリシー name_O365_i >プロパティ>コンプライアンス設定 編集>Email>デバイス>で電子メールを設定する必要があります
デバイス>Android ** >構成プロファイル> ポリシー name_O365_A_Email >プロパティ> ** 構成設定 編集
設定 値 電子メール サーバー outlook.office365.com アカウント名 Office 365 メール Microsoft Entra ID からの Username 属性 ユーザー プリンシパル名 Microsoft Entra ID からのアドレス属性のEmail ユーザー プリンシパル名 認証名 ユーザー名とパスワード SSL 有効にする
Intune で電子メール プロファイルに必要なその他の設定
次の設定は、デバイス セキュリティ ポリシーによって展開されません。 ただし、電子メール プロファイルを展開する場合、Intune では設定に値が必要です。
| プラットフォーム | Setting | 移行の値 |
|---|---|---|
| Android | S/MIME を使用する必要がある | false |
| Android | 連絡先の同期 | true |
| Android | 予定表の同期 | true |
| Android | タスクの同期 | true |
| Android | メモの同期 | false |
| iOS | 他のメール アカウントへのメッセージの移動をブロックする | false |
| iOS | サードパーティのアドレスからのメールの送信をブロックする | false |
| iOS | 最近使用したメール アドレスの同期をブロックする | false |
| iOS | S/MIME を使用する必要がある | false |
| Windows 10 | 連絡先の同期 | true |
| Windows 10 | 予定表の同期 | true |
| Windows 10 | タスクの同期 | true |
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示