Microsoft 365 向けクラウド ポリシー サービスの概要
注:
"Office クラウド ポリシー サービス" の名前が "Microsoft 365 のクラウド ポリシー サービス" に変更されました。ほとんどの場合、クラウド ポリシーと見なします。
Microsoft 365 のクラウド ポリシー サービスを使用すると、デバイスがドメインに参加していない場合や管理されていない場合でも、ユーザーのデバイスでMicrosoft 365 Apps for enterpriseのポリシー設定を適用できます。 ユーザーがデバイスで Microsoft 365 Apps for enterprise にサインインすると、ポリシー設定がそのデバイスにローミングされます。 ポリシー設定は、Windows、macOS、iOS、Android を実行しているデバイスで使用できますが、すべてのポリシー設定がすべてのオペレーティング システムで使用できるわけではありません。 また、サインインしているゲスト ユーザーとドキュメントに匿名でアクセスするユーザーの両方に対して、Office for the webとLoopに対して一部のポリシー設定を適用することもできます。
クラウド ポリシーは、Microsoft 365 Apps管理センターの一部です。 このサービスには、グループ ポリシーで使用できる同じユーザー ベースのポリシー設定の多くが含まれています。 また、クラウド ポリシーは、Microsoft Intune管理センターの [Apps>Policy>Policies for Office アプリで直接使用することもできます。
要件
サポートされている組み込み管理者ロール
機能にアクセスして管理するには、次の組み込みの Microsoft Entra ロールを使用できます:
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
| 役割 | 説明 |
|---|---|
| Office Apps 管理者 (推奨) | このロールは、ポリシーと設定の管理を含む Office アプリのクラウド サービスを管理し、エンド ユーザーのデバイスに '新機能' 機能コンテンツを選択、選択解除、公開する機能を管理できます。 |
| セキュリティ管理者 | このロールは、セキュリティ情報とレポートを読み取り、Microsoft Entra ID および Office 365 の構成を管理できます。 |
| グローバル管理者 | このロールは、Microsoft Entra ID と、Microsoft Entra ID を使用する Microsoft サービスのすべての側面を管理できます。 |
注:
グローバル リーダーは、Microsoft 365 Apps 管理センターでサポートされている別の組み込みロールですが、クラウド更新やモダン アプリ設定ページなどの一部の機能はサポートされていません。
ライセンスの要件
ユーザーには、次のいずれかのサブスクリプション プランを割り当てる必要があります:
| 型 | サブスクリプション プラン |
|---|---|
| 教育 | |
| Business | |
| Enterprise | |
| Government |
重要
次のプランはサポートされていません:
- 21Vianet が運用している Microsoft 365
- Microsoft 365 GCC High および DoD
注:
- Office LTSC Professional Plus 2021や Office Standard 2019 など、クイック実行を使用するボリューム ライセンスバージョンの Office にはポリシー構成を適用できません。
- Microsoft 365 Apps for businessのポリシー構成を作成できますが、プライバシー制御に関連するポリシー設定のみがサポートされています。 詳細については、「ポリシーの設定を使用して、Microsoft 365 Apps for enterprise のプライバシー コントロールを管理する」をご覧ください。
製品バージョンの要件
次のバージョン要件を満たす Windows 上の Microsoft 365 Apps を管理できます:
- サポートされている Microsoft 365 Apps のバージョン
- サポートされている Microsoft Windows 10/11 のバージョン
- Microsoft 365 Apps をサポートする Windows Server のサポート対象バージョン
注:
GCC のお客様の場合、Windows で実行されているMicrosoft 365 Appsにポリシーを配信するためにサポートされる Office クライアントの最小バージョンはバージョン 2410 以降です。
ネットワーク要件
Microsoft 365 Apps を実行しているデバイスは、次のエンドポイントにアクセスする必要があります:
| Microsoft サービス | allowlist に必要な URL |
|---|---|
| Microsoft 365 Apps の管理センター | |
| Office コンテンツ配信ネットワーク (CDN) |
ソース: Microsoft 365 の URL と IP アドレス範囲
Microsoft Entra グループの要件
Cloud Policy Service では、次の要件を満たすMicrosoft Entra グループの使用がサポートされています。
- ポリシーは ユーザー オブジェクトにのみ適用されます。
- ユーザー オブジェクトは Microsoft Entra ID に存在し、サポートされているライセンスが割り当てられている必要があります。
- ネストされたグループは最大 3 レベルの深さをサポートします。
- グループには 、デバイス オブジェクト と ユーザー オブジェクトの両方が含まれている場合がありますが、 デバイス オブジェクト は無視されます。
ポリシー構成を作成する手順
ポリシー構成を作成するための基本的な手順を次に示します。
- Microsoft 365 Apps管理センターにサインインします。 管理センターを初めて使用する場合は、条件を確認します。 次に、[ 同意する] を選択します。
- [ カスタマイズ] で、[ ポリシー管理] を選択します。
- [ポリシー構成] ページ で 、[ 作成] を選択します。
- [ 基本の開始 ] ページで、名前 (必須) と説明 (省略可能) を入力し、[ 次へ] を選択します。
- [スコープの選択] ページで、ポリシー構成が、すべてのユーザー、特定のグループ、またはOffice for the webを使用してドキュメントに匿名でアクセスするユーザーに適用されるかどうかを判断します。
- ポリシー構成が特定のグループに適用される場合は、より柔軟なターゲット設定のために複数のグループを 1 つのポリシー構成に追加できるようになりました。 グループを追加するには、[グループの追加] を選択し、関連するグループを選択します。 1 つのポリシー構成に複数のグループを追加すると、同じグループを複数のポリシー構成に含めることができます。これにより、より効率的で効率的なポリシー管理プロセスが容易になります。
- 選択した後、[ 次へ] を選択します。
- [ 設定の構成] ページで、ポリシー構成に含めるポリシーを選択します。 名前でポリシーを検索することも、カスタム フィルターを作成することもできます。 プラットフォーム、アプリケーション、ポリシーが構成されているかどうか、およびポリシーが推奨されるセキュリティ ベースラインであるかどうかをフィルター処理できます。
- 選択した後、[ 次へ ] を選択して選択内容を確認します。 次に、[ 作成 ] を選択してポリシー構成を作成します。
ポリシー構成の管理
ポリシー構成を変更するには:
- [ポリシー構成] ページに移動します。
- 変更するポリシーの構成の詳細を選択して開きます。
- ポリシー構成に適切な変更を加えます。
- [ レビューと発行 ] ページに移動します。
- [ 更新] を選択して変更を保存して適用します。
既存のポリシー構成に似た新しいポリシー構成を作成する場合は、[ポリシー構成] ページで既存の ポリシー構成 を選択し、[ コピー] を選択します。 適切な変更を行い、[ 作成] を選択します。
ポリシー構成を編集するときに構成されているポリシーを確認するには、[ ポリシー ] セクションに移動し、[ 状態] 列でフィルター処理するか、ポリシー テーブルの上部にある [構成済み スライサー] を選択します。 アプリケーションとプラットフォームでフィルター処理することもできます。
ポリシー構成の優先順位を変更するには、[ポリシー構成] ページで [優先順位の並べ替え] を選択します。
ポリシー構成をエクスポートする場合は、[ポリシー構成] ページで既存のポリシー 構成を 選択し、[エクスポート] を選択 します。 このアクションにより、ダウンロード用の CSV ファイルが生成されます。
ポリシー構成の適用方法
Microsoft 365 Apps for enterpriseによって使用されるクイック実行サービスは、クラウド ポリシー サービスと定期的にチェックインして、サインインしているユーザーに関連するポリシーがあるかどうかを確認します。 ある場合は、適切なポリシーが適用され、次回ユーザーが Office アプリ (Wordや Excel など) を開くと有効になります。
- Office アプリが起動されたとき、またはサインインしているユーザーが変更されると、クイック実行サービスによって、サインインしているユーザーのポリシーを取得する時間が決まります。
- これがユーザーの最初のサインインである場合は、サインインしているユーザーのポリシーを取得するためにチェック呼び出しが行われます。
- ユーザーが以前にサインインした場合、チェック呼び出しは、チェックイン間隔が経過した場合にのみ行われます。
- サービスがチェック呼び出しを受信すると、Microsoft Entraグループ メンバーシップがユーザーに対して決定されます。
- ユーザーがポリシー構成が割り当てられているMicrosoft Entra グループのメンバーでない場合、サービスは、このユーザーに対して 24 時間以内にクイック実行をチェックするように通知します。
- ユーザーがポリシー構成が割り当てられているMicrosoft Entra グループのメンバーである場合、サービスはユーザーの適切なポリシー設定を返し、クイック実行を通知して 90 分後にチェックします。
- エラーが発生した場合は、次回ユーザーが Office アプリ (Word や Excel など) を開くと、別のチェック呼び出しが行われます。
- 次回のチェック呼び出しのスケジュール時に Office アプリが実行されていない場合は、次回ユーザーが Office アプリ (Word や Excel など) を開いたときにチェックが作成されます。
注:
クラウド ポリシーのポリシーは、Office アプリが再起動された場合にのみ適用されます。 動作は、グループ ポリシーと同じです。 Windows デバイスの場合、ポリシーは、Microsoft 365 Apps for enterpriseにサインインしているプライマリ ユーザーに基づいて適用されます。 複数のアカウントがサインインしている場合は、プライマリ アカウントのポリシーのみが適用されます。 プライマリ アカウントを切り替えた場合、そのアカウントに割り当てられているポリシーのほとんどは、Office アプリが再起動されるまで適用されません。 プライバシー制御に関連する一部のポリシーは、Office アプリを再起動せずに適用されます。
ユーザーが入れ子になったグループに配置され、親グループがポリシーの対象になっている場合、入れ子になったグループ内のユーザーはポリシーを受け取ります。 入れ子になったグループと、それらの入れ子になったグループ内のユーザーを に作成するか、Microsoft Entra IDに同期する必要があります。
チェックの間隔はクラウド ポリシー サービスによって制御され、各チェック呼び出し中にクイック実行に伝達されます。
ユーザーが競合するポリシー設定を持つ複数のMicrosoft Entra グループのメンバーである場合、優先度を使用して、適用されるポリシー設定が決定されます。 最も高い優先度が適用され、割り当て可能な優先度は "0" が最も高くなります。 優先度を設定するには、[ポリシー構成] ページで [優先順位の並べ替え] を選択します。
また、クラウド ポリシーを使用して実装されたポリシー設定は、Windows Server でグループ ポリシーを使用して実装されたポリシー設定よりも優先され、基本設定またはローカルで適用されたポリシー設定よりも優先されます。
基準計画
Microsoft では、最新の管理ツールの作成に伴う IT 管理者の負担を革新し、軽減するよう努めています。 つまり、クラウド ポリシーのベースラインは、organizationのポリシーをデプロイするときに時間を節約するもう 1 つの方法です。 セキュリティとアクセシビリティのベースラインは、organizationを保護し、エンド ユーザーがアクセス可能なコンテンツを作成できるようにするために必要なグループ ポリシーに対する一意のフィルターを提供します。
セキュリティ ベースライン
セキュリティ ベースライン ポリシーを簡単に識別するために、Recommendation という名前の新しい列がポリシー テーブルに追加されました。 セキュリティ ベースラインに推奨されるポリシーは、この列でトリガーされます。 列フィルターを使用して、ビューをセキュリティ ベースラインとしてタグ付けされたポリシーのみに制限することもできます。
詳細については、「Microsoft 365 Apps for enterpriseのセキュリティ ベースライン」を参照してください。
アクセシビリティベースライン
ほとんどのお客様は、organizationとしてアクセシビリティを高めるために前進しています。 アクセシビリティ ベースラインを使用すると、IT 担当者はアクセシビリティ ポリシーを構成して、エンド ユーザーがアクセシビリティ対応コンテンツを作成できるようにし、アクセシビリティ チェック設定を無効から削除する機能を制限できます。
クラウド ポリシーに関する追加情報
- ユーザー ベースのポリシー設定のみを使用できます。 コンピューターベースのポリシー設定は使用できません。
- Office で新しいユーザー ベースのポリシー設定が使用できるようになると、Cloud Policy によって自動的に追加されます。 更新された管理用テンプレート ファイル (ADMX/ADML) をダウンロードする必要はありません。
- また、ポリシー構成を作成して、Project と Visio のサブスクリプション プランに付属するデスクトップ アプリのサポートされているバージョンのポリシー設定を適用することもできます。
- 正常性状態機能は、2022 年 3 月の後半に廃止されました。 今後 (現時点では既知の日付ではありません)、Cloud Policy の高度な正常性レポート機能とコンプライアンス監視機能を提供する予定です。
トラブルシューティングのヒント
予期されるポリシーがユーザーのデバイスに正しく適用されていない場合は、次のアクションを試してください。
ユーザーがMicrosoft 365 Apps for enterpriseにサインインし、アクティブ化され、有効なライセンスを持っていることを確認します。
ユーザーが適切なセキュリティ グループの一部であることを確認します。
認証されたプロキシを使用していないことを確認します。
ポリシー構成の優先順位を確認します。 ユーザーがポリシー構成が割り当てられている複数のセキュリティ グループ内にある場合は、ポリシー構成の優先順位によって、有効なポリシーが決まります。
ポリシーが異なる 2 人のユーザーが同じ Windows セッション中に同じデバイス上の Office にサインインすると、ポリシーが正しく適用されない場合があります。
Cloud Policy から取得したポリシー設定は、HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 の下の Windows レジストリに格納されます。 このキーは、チェックプロセス中にポリシー サービスから新しいポリシー セットが取得されるたびに上書きされます。
ポリシー サービスのチェックアクティビティは、HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy の下の Windows レジストリに格納されます。 このキーを削除して Office アプリを再起動すると、次回 Office アプリが起動されるときにポリシー サービスがチェックされます。
次に Windows を実行しているデバイスがクラウド ポリシーでチェックするようにスケジュールされている場合は、[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy] の下にある FetchInterval を確認します。 値は分単位で表されます。 たとえば、1440 は 24 時間に相当します。
FetchInterval 値が 0 である場合があります。 この値が存在する場合、クライアントは前回のチェックから 24 時間待機してから、Cloud Policy を再度チェックしようとします。