基本的なモビリティとセキュリティでデバイス セキュリティ ポリシーを作成する
基本的なモビリティとセキュリティを使用して、Microsoft 365 のorganization情報を不正なアクセスから保護するのに役立つデバイス ポリシーを作成できます。 デバイスのユーザーが該当する Microsoft 365 ライセンスを持ち、デバイスを基本的なモビリティとセキュリティに登録しているorganization内の任意のモバイル デバイスにポリシーを適用できます。
はじめに
重要
モバイル デバイス ポリシーを作成する前に、基本的なモビリティとセキュリティをアクティブ化して設定する必要があります。 詳細については、「Microsoft 365 の基本的なモビリティとセキュリティの概要」を参照してください。
- 基本的なモビリティとセキュリティがサポートするデバイス、モバイル デバイス アプリ、セキュリティ設定について説明します。 「基本的なモビリティとセキュリティの機能」を参照してください。
- ポリシーを展開する Microsoft 365 ユーザーと、Microsoft 365 へのアクセスをブロックされないように除外する可能性があるユーザーを含むセキュリティ グループを作成します。 organizationに新しいポリシーを展開する前に、少数のユーザーに展開してポリシーをテストすることをお勧めします。 ポリシーをテストできる自分または少数の Microsoft 365 ユーザーのみを含むセキュリティ グループを作成して使用できます。 セキュリティ グループの詳細については、「セキュリティ グループの 作成、編集、または削除」を参照してください。
- Microsoft 365 で基本的なモビリティとセキュリティ ポリシーを作成して展開するには、Microsoft 365 グローバル管理者である必要があります。詳細については、「Microsoft Defenderおよび Microsoft Purview コンプライアンスのロールと役割グループ」を参照してください。
- ポリシーを展開する前に、デバイスを基本的なモビリティとセキュリティに登録することの潜在的な影響をorganizationに知らせます。 ポリシーの設定方法によっては、非準拠デバイスが Microsoft 365 へのアクセスをブロックされ、登録されたデバイスにインストールされているアプリケーション、写真、個人情報などのデータが削除される可能性があります。
注:
Microsoft 365 Business Standardの基本的なモビリティとセキュリティで作成されたポリシーとアクセス規則は、Exchange 管理センターで作成されたモバイル デバイス メールボックス ポリシーとデバイス アクセス規則Exchange ActiveSyncオーバーライドされます。 デバイスがMicrosoft 365 Business Standardの基本的なモビリティとセキュリティに登録された後、デバイスに適用されたモバイル デバイス メールボックス ポリシーまたはデバイス アクセス規則Exchange ActiveSyncは無視されます。 Exchange ActiveSyncの詳細については、「Exchange OnlineのExchange ActiveSync」を参照してください。
手順 1: デバイス ポリシーを作成し、テスト グループに展開する
開始する前に、基本的なモビリティとセキュリティをアクティブ化して設定していることを確認してください。 手順については、「基本的なモビリティとセキュリティの概要」を参照してください。
ブラウザーから、 に移動します https://compliance.microsoft.com/basicmobilityandsecurity。
[ポリシー] タブ で 、[ 作成] を選択します。
[ ポリシー名 ] ページで、名前と説明を追加し、[ 次へ] を選択します。
[アクセス要件] ページで、organizationのモバイル デバイスに適用する要件を指定し、[次へ] を選択します。
[構成] ページで、organizationの構成要件を選択し、[次へ] を選択します。
[ デプロイ ] ページで、このポリシーを適用するセキュリティ グループを選択します。
[ レビュー ] ページで、選択内容を確認し、[送信] を選択 します。
ポリシーは、モバイル デバイスを使用して次回 Microsoft 365 にサインインする際にポリシーが適用される各ユーザーのデバイスにプッシュされます。 ユーザーが以前にモバイル デバイスにポリシーを適用していない場合は、ポリシーを展開した後に、基本的なモビリティとセキュリティを登録してアクティブ化する手順を含む通知がデバイスに表示されます。 詳細については、「基本的なモビリティとセキュリティを使用してモバイル デバイスを登録する」を参照してください。 Intune サービスによってホストされている基本的なモビリティとセキュリティでの登録が完了するまで、電子メール、OneDrive、およびその他のサービスへのアクセスは制限されます。 Intune ポータル サイト アプリを使用して登録を完了すると、サービスを使用でき、ポリシーがデバイスに適用されます。
手順 2: ポリシーが機能することを確認する
デバイス ポリシーを作成したら、organizationに展開する前に、ポリシーが期待どおりに動作することをチェックします。
- ブラウザーから、 に移動します https://compliance.microsoft.com/basicmobilityandsecurity。
- [ 管理対象デバイスの一覧を表示する] を選択します。
- ポリシーが適用されているユーザー デバイスの状態を確認します。 デバイスの 状態 を管理する必要があります 。
- デバイスを選択した後、[工場出荷時のリセット] または [管理から会社のデータを削除する] ボタンをクリックして、デバイスで完全または選択的なワイプを実行することもできます。 手順については、「基本的なモビリティとセキュリティでモバイル デバイスをワイプする」を参照してください。
手順 3: organizationにポリシーをデプロイする
デバイス ポリシーを作成し、期待どおりに動作することを確認したら、organizationに展開します。
- ブラウザーの種類: https://compliance.microsoft.com/basicmobilityandsecurity。
- 展開するポリシーを選択し、[適用されるグループ] の横にある [編集] を選択します。
- 追加するグループのSearchし、[選択] をクリックします。
- [ 閉じる] と [ 設定の変更] を選択します。
- [ 閉じる] と [ポリシーの編集] を選択します。
ポリシーは、各ユーザーのモバイル デバイスにプッシュされ、次回モバイル デバイスから Microsoft 365 にサインインする際にポリシーが適用されます。 ユーザーがモバイル デバイスにポリシーを適用していない場合は、デバイスで通知を受け取り、基本的なモビリティとセキュリティに登録してアクティブ化する手順が表示されます。 登録が完了すると、ポリシーがデバイスに適用されます。 詳細については、「基本的なモビリティとセキュリティを使用してモバイル デバイスを登録する」を参照してください。
手順 4: サポートされていないデバイスの電子メール アクセスをブロックする
organization情報をセキュリティで保護するには、基本的なモビリティとセキュリティでサポートされていないモバイル デバイスの Microsoft 365 メールへのアプリ アクセスをブロックする必要があります。 サポートされているデバイスの一覧については、「 サポートされているデバイス」を参照してください。
アプリアクセスをブロックするには:
ブラウザーから、「」と入力します https://compliance.microsoft.com/basicmobilityandsecurity。
[organization全体のデバイス アクセス設定の管理] を選択します。
サポートされていないデバイスをブロックするには、[Microsoft 365 の基本的なモビリティとセキュリティでデバイスがサポートされていない場合] で [アクセス] を選択し、[保存] を選択します。
手順 5: 条件付きアクセス チェックから除外するセキュリティ グループを選択する
一部のユーザーをモバイル デバイスの条件付きアクセス チェックから除外し、それらのユーザー用に 1 つ以上のセキュリティ グループを作成した場合は、ここにセキュリティ グループを追加します。 これらのグループのユーザーは、サポートされているモバイル デバイスに適用されるポリシーを持ちません。 これは、organizationで基本的なモビリティとセキュリティを使用しない場合に推奨されるオプションです。
ブラウザーから、「」と入力します https://compliance.microsoft.com/basicmobilityandsecurity。
[organization全体のデバイス アクセス設定の管理] を選択します。
[ 追加] を選択して、Microsoft 365 へのアクセスをブロックしないように除外するユーザーを含むセキュリティ グループを追加します。 ユーザーがこの一覧に追加されると、サポートされていないデバイスを使用しているときに Microsoft 365 メールにアクセスできます。
[グループの選択] パネルで、使用するセキュリティ グループを選択 します。
名前を選択し、[保存の追加]を選択>します。
[ 組織全体のデバイス アクセス設定] パネルで 、[保存] を選択 します。
さまざまなデバイスの種類に対するセキュリティ ポリシーの影響は何ですか?
ユーザー デバイスにポリシーを適用すると、各デバイスへの影響はデバイスの種類によって多少異なります。 さまざまなデバイスに対するポリシーの影響の例については、次の表を参照してください。
| セキュリティ ポリシー | Android | Samsung KNOX | iOS | Notes (メモ) |
|---|---|---|---|---|
| 暗号化されたバックアップを要求 | いいえ | はい | はい | iOS で暗号化されたバックアップが必要です。 |
| クラウド バックアップの禁止 | はい | はい | はい | Android での Google バックアップのブロック (淡色表示)、監視対象の iOS でのクラウド バックアップ。 |
| ドキュメントの同期の禁止 | いいえ | いいえ | はい | iOS: 監視対象の iOS デバイス上のクラウド内のドキュメントをブロックします。 |
| 写真の同期の禁止 | いいえ | いいえ | はい | iOS (ネイティブ): 写真のStreamをブロックします。 |
| 画面キャプチャの禁止 | いいえ | はい | はい | 試行された場合にブロックされます。 |
| ビデオ会議をブロックする | いいえ | いいえ | はい | 監視対象の iOS デバイスでは FaceTime がブロックされ、Skype やその他のデバイスではブロックされません。 |
| 診断データの送信をブロックする | いいえ | はい | はい | Android での Google クラッシュ レポートの送信をブロックします。 |
| アプリ ストアへのアクセスをブロックする | いいえ | はい | はい | Android ホーム ページにアプリ ストア アイコンが表示されていない、Windows で無効になっている、監視対象の iOS デバイス。 |
| アプリ ストアにパスワードを要求する | いいえ | いいえ | はい | iOS: iTunes の購入にパスワードが必要です。 |
| リムーバブル 記憶域への接続をブロックする | いいえ | はい | 該当なし | Android: 設定で SD カードが淡色表示され、Windows によってユーザーに通知され、インストールされているアプリは使用できません |
| Bluetooth 接続の禁止 | メモを参照する | メモを参照する | はい | Android の設定として BlueTooth を無効にすることはできません。 代わりに、BlueTooth を必要とするすべてのトランザクションを無効にします。Advanced Audio Distribution、Audio/Video Remote Control、ハンズフリー デバイス、ヘッドセット、電話帳アクセス、シリアル ポート。 これらのメッセージのいずれかが使用されると、ページの下部に小さなトースト メッセージが表示されます。 |
ポリシーを削除したり、ポリシーからユーザーを削除したりするとどうなりますか?
ポリシーを削除するか、ポリシーが展開されたグループからユーザーを削除すると、ポリシー設定、Microsoft 365 電子メール プロファイル、およびキャッシュされた電子メールがユーザーのデバイスから削除される可能性があります。 さまざまなデバイスの種類について削除される内容については、次の表を参照してください。
| 削除された内容 | iOS | Android (Samsung KNOX を含む) |
|---|---|---|
| マネージド メール プロファイル1 | はい | いいえ |
| クラウド バックアップの禁止 | はい | いいえ |
1 プロファイルEmail管理されているオプションを使用してポリシーが展開された場合、そのプロファイル内の管理された電子メール プロファイルとキャッシュされた電子メールはユーザー デバイスから削除されます。
ポリシーは、ユーザーごとにモバイル デバイスから削除され、次回デバイスが 基本的なモビリティとセキュリティ でチェックインされるときにポリシーが適用されます。 これらのユーザー デバイスに適用される新しいポリシーを展開すると、基本的なモビリティとセキュリティに再登録するように求められます。
デバイスを完全にワイプすることも、デバイスから組織の情報を選択的にワイプすることもできます。 詳細については、「基本的なモビリティとセキュリティでモバイル デバイスをワイプする」を参照してください。
関連コンテンツ
基本的なモビリティとセキュリティの概要 (記事)
基本的なモビリティとセキュリティの機能 (記事)
フィードバック
近日公開予定: 2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub イシューを段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、以下を参照してください: https://aka.ms/ContentUserFeedback。
フィードバックの送信と表示