Microsoft 365 向けクラウド ポリシー サービスの概要

注:

"Office クラウド ポリシー サービス" の名前が "Microsoft 365 のクラウド ポリシー サービス" に変更されました。ほとんどの場合、クラウド ポリシーと見なします。

Microsoft 365 のクラウド ポリシー サービスを使用すると、デバイスがドメインに参加していない場合や管理されていない場合でも、ユーザーのデバイスでMicrosoft 365 Apps for enterpriseのポリシー設定を適用できます。 ユーザーがデバイスで Microsoft 365 Apps for enterprise にサインインすると、ポリシー設定がそのデバイスにローミングされます。 ポリシー設定は、Windows、macOS、iOS、Android を実行しているデバイスで使用できますが、すべてのポリシー設定がすべてのオペレーティング システムで使用できるわけではありません。 また、サインインしているユーザーと匿名でドキュメントにアクセスするユーザーの両方に対して、Office for the webに対して一部のポリシー設定を適用することもできます。

クラウド ポリシーは、Microsoft 365 Apps管理センターの一部です。 このサービスには、グループ ポリシーで使用できる同じユーザー ベースのポリシー設定の多くが含まれています。 クラウド ポリシーは、 Microsoft エンドポイント マネージャー管理センターの [ Office アプリのアプリ>ポリシー ポリシー>] で直接使用することもできます。

ポリシー構成を作成するときに、セキュリティ ベースライン ポリシーとして Microsoft によって推奨されるポリシーを確認して適用できます。 これらの推奨事項は、ポリシーを選択するときに "セキュリティ ベースライン" としてマークされます。

クラウド ポリシーを使用するための要件

Microsoft 365 Apps for enterpriseで Cloud Policy を使用するための要件を次に示します。

  • サポートされているバージョンのMicrosoft 365 Apps for enterprise。
  • Azure Active Directory (Azure AD) で作成または同期されたユーザー アカウント。 ユーザーは、Azure AD ベースのアカウントを使用してMicrosoft 365 Apps for enterpriseにサインインする必要があります。
  • Cloud Policy では、Azure AD で作成または同期されたセキュリティ グループとメールが有効なセキュリティ グループがサポートされています。 メンバーシップの種類は、動的または割り当てのいずれかです。
  • ポリシー構成を作成するには、Azure AD でグローバル管理者、セキュリティ管理者、または Office Apps 管理のいずれかのロールを割り当てる必要があります。
  • 必要な URL と IP アドレス範囲は、ネットワーク上で適切に構成する必要があります。
  • 認証されたプロキシは、Cloud Policy サービスではサポートされていません。

重要

  • クラウド ポリシーは、21Vianet、Office 365 GCC、Office 365 GCC High と DoD によって運営Office 365、次のプランを持つお客様には使用できません。
  • Office LTSC Professional Plus 2021や Office Standard 2019 など、クイック実行を使用するボリューム ライセンスバージョンの Office にはポリシー構成を適用できません。
  • Microsoft 365 Apps for businessのポリシー構成を作成できますが、プライバシー制御に関連するポリシー設定のみがサポートされています。 詳細については、「ポリシーの設定を使用して、Microsoft 365 Apps for enterprise のプライバシー コントロールを管理する」をご覧ください。

ポリシー構成を作成する手順

ポリシー構成を作成するための基本的な手順を次に示します。

  1. Microsoft 365 Apps管理センターにサインインします。 管理センターを初めて使用する場合は、条件を確認します。 次に、[ 同意する] を選択します。
  2. [ カスタマイズ] で、[ ポリシー管理] を選択します。
  3. [ポリシー構成] ページ 、[ 作成] を選択します。
  4. [ 基本の開始 ] ページで、名前 (必須) と説明 (省略可能) を入力し、[ 次へ] を選択します。
  5. [スコープの選択] ページで、ポリシー構成を特定のグループに適用するか、Office for the webを使用してドキュメントに匿名でアクセスするユーザーに適用するかを選択します。
  6. ポリシー構成が特定のグループに適用される場合は、グループを選択します。 各ポリシー構成は 1 つのグループにのみ割り当てることができ、各グループには 1 つのポリシー構成のみを割り当てることができます。 ただし、選択したグループには、他の (入れ子になった) グループを含めることができます。
  7. 選択した後、[ 次へ] を選択します。
  8. [ 設定の構成] ページで、ポリシー構成に含めるポリシーを選択します。 名前でポリシーを検索することも、カスタム フィルターを作成することもできます。 プラットフォーム、アプリケーション、ポリシーが構成されているかどうか、およびポリシーが推奨されるセキュリティ ベースラインであるかどうかをフィルター処理できます。
  9. 選択した後、[ 次へ ] を選択して選択内容を確認します。 次に、[ 作成 ] を選択してポリシー構成を作成します。

ポリシー構成の管理

ポリシー構成を変更するには、[ポリシー構成] ページで ポリシー構成を 選択します。 これにより、ポリシー構成が開きます。 適切な変更を行い、[ レビューと発行 ] ページに移動し、[ 更新] を選択します。

既存のポリシー構成に似た新しいポリシー構成を作成する場合は、[ポリシー構成] ページで既存の ポリシー構成 を選択し、[ コピー] を選択します。 適切な変更を行い、[ 作成] を選択します。

ポリシー構成を編集するときに構成されているポリシーを確認するには、[ ポリシー ] セクションに移動し、[ 状態] 列でフィルター処理するか、ポリシー テーブルの上部にある [構成済み スライサー] を選択します。 アプリケーションとプラットフォームでフィルター処理することもできます。

ポリシー構成の優先順位を変更するには、[ポリシー構成] ページで [優先順位の並べ替え] を選択します。

ポリシー構成をエクスポートする場合は、[ポリシー構成] ページで既存のポリシー 構成を 選択し、[エクスポート] を選択 します。 これにより、ダウンロード用の CSV ファイルが生成されます。

ポリシー構成の適用方法

Microsoft 365 Apps for enterpriseによって使用されるクイック実行サービスは、ユーザーに関連するポリシー構成があるかどうかを定期的に Cloud Policy で確認します。 ある場合は、適切なポリシー設定が適用され、次回ユーザーが Office アプリ (Word や Excel など) を開いた場合に有効になります。

何が起こるかの概要を次に示します。

  • ユーザーが初めてデバイス上の Office にサインインすると、ユーザーに関連するポリシー構成があるかどうかをすぐに確認できます。

  • ユーザーがポリシー構成が割り当てられている Azure AD グループのメンバーでない場合は、24 時間以内にもう一度確認が行われます。

  • ユーザーがポリシー構成が割り当てられている Azure AD グループのメンバーである場合は、適切なポリシー設定が適用されます。 チェックは 90 分後に再度行われます。

  • 前回のチェック以降にポリシー構成に変更がある場合は、適切なポリシー設定が適用され、90 分後にもう一度チェックが行われます。

  • 前回のチェック以降にポリシー構成に変更がない場合は、24 時間以内にもう一度チェックが行われます。

  • エラーが発生した場合は、ユーザーが Word や Excel などの Office アプリを開いたときにチェックが行われます。

  • 次のチェックがスケジュールされているときに Office アプリが実行されていない場合は、次回ユーザーが Office アプリを開いたときにチェックが行われます。

注:

  • クラウド ポリシーのポリシーは、Office アプリが再起動された場合にのみ適用されます。 動作は、グループ ポリシーと同じです。 Windows デバイスの場合、ポリシーは、Microsoft 365 Apps for enterpriseにサインインしているプライマリ ユーザーに基づいて適用されます。 複数のアカウントがサインインしている場合は、プライマリ アカウントのポリシーのみが適用されます。 プライマリ アカウントを切り替えた場合、そのアカウントに割り当てられているポリシーのほとんどは、Office アプリが再起動されるまで適用されません。 プライバシー制御に関連する一部のポリシーは、Office アプリを再起動せずに適用されます。

  • ユーザーが入れ子になったグループに配置され、親グループがポリシーの対象になっている場合、入れ子になったグループ内のユーザーはポリシーを受け取ります。 入れ子になったグループと、それらの入れ子になったグループ内のユーザーは、Azure AD で作成するか、Azure AD に同期する必要があります。

ユーザーが競合するポリシー設定を持つ複数の Azure AD グループのメンバーである場合、優先度を使用して、適用されるポリシー設定が決定されます。 最も高い優先度が適用され、割り当て可能な優先度は "0" が最も高くなります。 優先度を設定するには、[ポリシー構成] ページで [優先順位の並べ替え] を選択します。

また、クラウド ポリシーを使用して実装されたポリシー設定は、Windows Server でグループ ポリシーを使用して実装されたポリシー設定よりも優先され、基本設定またはローカルに適用されたポリシー設定よりも優先されます。

クラウド ポリシーに関する追加情報

  • ユーザー ベースのポリシー設定のみを使用できます。 コンピューターベースのポリシー設定は使用できません。
  • Office で新しいユーザー ベースのポリシー設定が使用できるようになると、Cloud Policy によって自動的に追加されます。 更新された管理用テンプレート ファイル (ADMX/ADML) をダウンロードする必要はありません。
  • ポリシー構成を作成して、Project と Visio のサブスクリプション プランに付属するデスクトップ アプリのサポートされているバージョンにポリシー設定を適用することもできます。
  • 正常性状態機能は、2022 年 3 月の後半に廃止されました。 今後 (現時点では既知の日付ではありません)、Cloud Policy の高度な正常性レポート機能とコンプライアンス監視機能を提供する予定です。

トラブルシューティングのヒント

予期されるポリシーがユーザーのデバイスに正しく適用されていない場合は、次の操作を試してください。

  • ユーザーがMicrosoft 365 Apps for enterpriseにサインインし、アクティブ化し、有効なライセンスを持っていることを確認します。

  • ユーザーが適切なセキュリティ グループの一部であることを確認します。

  • 認証されたプロキシを使用しないことを確認します。

  • ポリシー構成の優先順位を確認します。 ユーザーがポリシー構成が割り当てられている複数のセキュリティ グループ内にある場合は、ポリシー構成の優先順位によって、有効なポリシーが決まります。

  • ポリシーが異なる 2 人のユーザーが同じ Windows セッション中に同じデバイス上の Office にサインインすると、ポリシーが正しく適用されない場合があります。

  • Cloud Policy から取得したポリシー設定は、HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0の下の Windows レジストリに格納されます。 このキーは、チェックイン プロセス中にポリシー サービスから新しいポリシー セットが取得されるたびに上書きされます。

  • ポリシー サービスのチェックイン アクティビティは、HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicyの下の Windows レジストリに格納されます。 このキーを削除して Office アプリを再起動すると、次回 Office アプリが起動されるときにポリシー サービスがチェックインされます。

  • 次に Windows を実行しているデバイスが Cloud Policy で確認されるようにスケジュールされている場合は、[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy] の下にある FetchInterval を確認します。 値は分単位で表されます。 たとえば、1440 は 24 時間に相当します。

  • 次に Windows を実行しているデバイスが Cloud Policy で確認されるようにスケジュールされている場合は、[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy] の下にある FetchInterval を確認します。 値は分単位で表されます。 たとえば、1440 は 24 時間に相当します。

  • FetchInterval 値が 0 になる場合があります。 この値が存在する場合、クライアントは前回のチェックインから 24 時間待ってから、Cloud Policy を再度確認しようとします。