Exchange Serverのモバイル デバイス メールボックス ポリシー
Exchange Serverでは、モバイル デバイス メールボックス ポリシーを作成して、一般的なポリシーセットまたはセキュリティ設定をユーザーのコレクションに適用できます。 Exchange Server組織にExchange ActiveSyncを展開した後、新しいモバイル デバイス メールボックス ポリシーを作成したり、既存のポリシーを変更したりできます。 Exchange Serverをインストールすると、既定のモバイル デバイス メールボックス ポリシーが作成されます。 すべてのユーザーは、この既定のモバイル メールボックス ポリシーに自動的に割り当てられます。
モバイル デバイス メールボックス ポリシーの概要
モバイル デバイス メールボックス ポリシーを使用して、多様な設定を管理できます。 これらには次のようなものがあります。
- パスワードを要求する
- 最低限必要なパスワードの長さを指定する
- パスワードで数字または特殊文字の使用を要求する
- ユーザーにパスワードの再入力を要求するまでのデバイスの非アクティブ時間を指定する
- 指定した回数パスワードの入力に失敗したらデバイスを無効にする
構成可能なすべての設定の詳細については、「モバイル デバイス ポリシーの設定」を参照してください。
Exchange モバイル デバイス メールボックス ポリシー
Exchange ActiveSync は、モバイル デバイスを Exchange メールボックスと同期できるようにするクライアント プロトコルです。 Exchange ActiveSyncは、Exchange Serverをインストールするときに既定で有効になります。
モバイル デバイス メールボックス ポリシーは、Exchange 管理センター (EAC) または Exchange 管理シェル で作成できます。 EAC でポリシーを作成する場合は、使用可能な設定の一部のみを構成できます。 残りの設定は、Exchange 管理シェル を使用することによって構成できます。
モバイル デバイスのパスワード設定と生体認証
多くのモバイル デバイスでは、Apple Touch ID や Face ID などの生体認証がサポートされています。 Exchange モバイル デバイス メールボックス ポリシーは、デバイス PIN を入力する代わりに生体認証を使用できるかどうかを制御しません。 モバイル デバイス メールボックス ポリシーは、デバイス PIN を必要とするように構成できますが、デバイス PIN 要件に準拠した後、ユーザーは生体認証を使用するかどうかを制御します。
モバイル デバイスのパスワード設定と Android
Android 9.0 以前のバージョンでは、Android のデバイス管理機能を使用して、モバイル デバイス メールボックス ポリシーで定義されているデバイス パスワード設定を管理します。
Android 10.0 以降では、Android によってデバイス管理機能が削除されました。 代わりに、画面ロックを必要とするアプリは、デバイスの (または仕事用プロファイルの) 画面ロックの複雑さを照会します。 より強力な画面ロックを必要とするアプリは、ユーザーをシステム画面ロック設定に誘導し、ユーザーがセキュリティ設定を更新して準拠できるようにします。 ユーザーのパスワードをアプリが認識している時間はありません。アプリは、パスワードの複雑さのレベルのみを認識しています。 Android では、次の 4 つのパスワードの複雑さのレベルがサポートされています。
| パスワードの複雑さのレベル | パスワードの要件 |
|---|---|
| None | パスワード要件が構成されていません |
| 低 | パスワードは、パターンまたは PIN で、繰り返し (4444) または順序付け (1234、4321、2468) シーケンスのいずれかです |
| 中 | 次のいずれかの条件を満たすパスワード:
|
| 高 | 次のいずれかの条件を満たすパスワード:
|
Exchange モバイル デバイス メールボックス ポリシーの観点から、Android のパスワードの複雑さのレベルは、次のポリシー設定にマップされます。
| モバイル デバイス メールボックス ポリシー設定 | Android パスワードの複雑さのレベル |
|---|---|
| パスワードが有効 = false | None |
| 単純なパスワードを許可する = true 最小パスワード長 < 4 |
低 |
| 単純なパスワードを許可する = true 最小パスワード長 < 6 |
中 |
| 単純なパスワードを許可する = false 英数字パスワード必須 = true 最小パスワード長 < 6 |
中 |
| 単純なパスワードを許可する = true 最小パスワード長 > 6 |
高 |
| 単純なパスワードを許可する = false 英数字パスワード必須 = true 最小パスワード長 >= 6 |
高 |
モバイル デバイスのメールボックス ポリシーの設定
次の表は、モバイル デバイス メールボックス ポリシーを使用して指定できる設定の要約です。
| Setting | 説明 |
|---|---|
| Bluetooth を許可する | この設定では、モバイル デバイスで Bluetooth 接続を許可するかどうかを指定します。 利用可能なオプションは、Disable、HandsFree Only、および Allow です。 既定値は許可です。 |
| ブラウザーを許可する | この設定では、モバイル デバイスで Pocket Internet Explorer が許可されているかどうかを指定します。 この設定は、モバイル デバイスにインストールされているサード パーティ製のブラウザーには影響しません。 既定値は $true です。 |
| カメラを許可する | この設定では、モバイル デバイスのカメラを使用できるかどうかを指定します。 既定値は $true です。 |
| コンシューマー メールを許可する | この設定では、モバイル デバイスのユーザーが、モバイル デバイス上に個人用の電子メール アカウント (POP3 または IMAP4) を構成できるかどうかを指定します。 既定値は $true です。 この設定では、サード パーティ製のモバイル デバイス電子メール プログラムを使用する電子メール アカウントへのアクセスは制御されません。 |
| デスクトップからの同期を許可する | この設定では、モバイル デバイスとコンピューターがケーブル、Bluetooth、または IrDA 接続経由で同期できるようにするかどうかを指定します。 既定値は $true です。 |
| 外部デバイス管理を許可する | この設定では、外部デバイス管理プログラムでモバイル デバイスを管理できるかどうかを指定します。 |
| HTML 電子メールを許可する | この設定では、モバイル デバイスと同期する電子メールを HTML 形式に変換できるかどうかを指定します。 この設定が に $false設定されている場合、すべての電子メールがプレーン テキストに変換されます。 |
| インターネット共有を許可する | この設定では、デスクトップまたはポータブル コンピューター用のモバイル デバイスをモデムとして使用できるかどうかを指定します。 既定値は $true です。 |
| AllowIrDA | この設定では、モバイル デバイスとの赤外線接続を許可するかどうかを指定します。 |
| モバイル OTA の更新を許可する | この設定では、携帯電話のデータ接続を介してモバイル デバイス メールボックス ポリシー設定をモバイル デバイスに送信できるかどうかを指定します。 既定値は $true です。 |
| サポートしていないデバイスのアクセスを許可する | この設定では、すべてのポリシー設定の適用をサポートしていない可能性があるモバイル デバイスが、Exchange ActiveSyncを使用してExchange Serverに接続できるかどうかを指定します。 サポートしていないモバイル デバイスを許可すると、セキュリティに影響を及ぼします。 たとえば、サポートしていないデバイスでは、組織のパスワード要件を満たすことができない場合があります。 |
| POPIMAPEmail を許可する | この設定では、ユーザーがモバイル デバイスに POP3 または IMAP4 電子メール アカウントを構成できるようにするかどうかを指定します。 既定値は $true です。 この設定では、サード パーティ製の電子メール プログラムによるアクセスは制御されません。 |
| リモート デスクトップを許可する | この設定では、モバイル デバイスがリモート デスクトップ接続を開始できるようにするかどうかを指定します。 既定値は true です。 |
| 簡易パスワードを許可する | この設定では、1111 や 1234 などの単純なパスワードの使用を有効または無効にします。 既定値は $true です。 |
| S/MIME 暗号化アルゴリズム ネゴシエーションを許可する | この設定では、指定した暗号化アルゴリズムを受信者の証明書がサポートしていない場合に、モバイル デバイスのメッセージング アプリケーションが暗号化アルゴリズムとネゴシエートできるようにするかどうかを指定します。 |
| S/MIME ソフトウェア証明書を許可する | この設定では、モバイル デバイスで S/MIME ソフトウェア証明書を許可するかどうかを指定します。 |
| ストレージ カードを許可する | この設定では、ストレージ カードに格納されている情報にモバイル デバイスがアクセスできるようにするかどうかを指定します。 |
| テキスト メッセージングを許可する | この設定では、モバイル デバイスからのテキスト メッセージングを許可するかどうかを指定します。 既定値は $true です。 |
| 署名されていないアプリケーションを許可する | この設定では、署名のないアプリケーションをモバイル デバイスにインストールできるようにするかどうかを指定します。 既定値は $true です。 |
| 署名されていないインストール パッケージを許可する | この設定では、モバイル デバイスで署名のないインストール パッケージを実行できるようにするかどうかを指定します。 既定値は $true です。 |
| Wi-Fi を許可する | この設定では、モバイル デバイスでワイヤレス インターネット アクセスを許可するかどうかを指定します。 既定値は $true です。 |
| 英数字のパスワードが必要 | この設定では、パスワードに数字と数字以外の文字を含めることを必須にします。 既定値は $true です。 |
| 承認されたアプリケーションの一覧 | この設定では、モバイル デバイスで実行できる承認済みアプリケーションの一覧を格納します。 |
| ファイルの添付を有効にする | この設定では、モバイル デバイスへの添付ファイルのダウンロードを有効にします。 既定値は $true です。 |
| デバイスの暗号化が必要 | この設定では、モバイル デバイスでの暗号化を有効にします。 ただしすべてのモバイル デバイスで暗号化を実行できるわけではありません。 詳細については、デバイスおよびモバイル オペレーティング システムのドキュメントを参照してください。 |
| デバイス ポリシーの更新間隔 | この設定では、モバイル デバイス メールボックス ポリシーをサーバーからモバイル デバイスに送信する頻度を指定します。 |
| IRM が有効 | この設定では、モバイル デバイスで Information Rights Management (IRM) を有効にするかどうかを指定します。 |
| 最大添付ファイル サイズ | この設定では、モバイル デバイスにダウンロードできる添付ファイルの最大サイズを制御します。 既定値は Unlimited です。 |
| 予定表の最大範囲のフィルター | この設定では、モバイル デバイスと同期できる予定表の最大範囲を指定します。 以下の値を入力できます。 1: すべて 2: OneDay 3: ThreeDays 4: OneWeek 5: TwoWeeks 6: OneMonth |
| 電子メールの最大範囲フィルター | この設定では、電子メール アイテムがモバイル デバイスと同期する最大日数を指定します。 以下の値を入力できます。 1: すべて 2: OneDay 3: ThreeDays 4: OneWeek 5: TwoWeeks 6: OneMonth |
| 電子メール本文の最大切り捨てサイズ | この設定では、モバイル デバイスと同期するときに電子メール メッセージを切り捨てる際の最大サイズを指定します。 値は KB 単位です。 |
| 電子メール HTML 本文の最大切り捨てサイズ | この設定では、モバイル デバイスと同期するときに HTML 電子メール メッセージを切り捨てる際の最大サイズを指定します。 値は KB 単位です。 |
| ロックをかけるまでの休止時間 | この値では、モバイル デバイスが非アクティブな状態であるときに、携帯電話を再びアクティブにするためにパスワードの入力が必要になるまでの時間を指定します。 30 秒~ 1 時間の時間間隔を入力できます。 この既定値は 15 分です。 |
| パスワード失敗の最大回数 | この設定では、モバイル デバイスの正しいパスワードを入力するために試行できる回数を指定します。 4 ~ 16 の整数を入力できます。 既定値は 8 です。 |
| パスワードの複雑な文字の最少数 | この設定では、モバイル デバイスのパスワードに必要な文字セットの数を指定します。 文字セット:
1 ~ 4 の整数を入力できます。 既定値は 1 です。 |
| 最小パスワード長 | この設定では、モバイル デバイスのパスワードの最小文字数を指定します。 1 ~ 16 の整数を入力できます。 既定値は 4 です。 |
| パスワード有効 | この設定では、モバイル デバイスのパスワードを有効にします。 |
| パスワードの期限切れ | この設定では、モバイル デバイスのパスワードの変更が必要になるまでの時間を管理者が構成できるようにします。 |
| パスワードの履歴 | この設定には、ユーザーのメールボックスに格納できる過去のパスワードの数を指定します。 ユーザーは、格納されているパスワードを再度使用することはできません。 |
| パスワードの回復を可能にする | この設定を有効にすると、サーバーに送信される回復パスワードがモバイル デバイスにより生成されます。 ユーザーがモバイル デバイスのパスワードを忘れた場合、回復パスワードを使用してモバイル デバイスのロックを解除し、新しいモバイル デバイスのパスワードを作成することができます。 |
| デバイスでの暗号化が必要 | この設定には、デバイスでの暗号化を要求するかどうかを指定します。 に設定されている $true場合、モバイル デバイスは、サーバーと同期するための暗号化をサポートして実装できる必要があります。 |
| S/MIME メッセージの暗号化が必要 | この設定には、S/MIME メッセージを暗号化する必要があるかどうかを指定します。 既定値は $false です。 |
| S/MIME 暗号化アルゴリズムの署名が必要 | この設定では、S/MIME メッセージを暗号化するときにどの必須アルゴリズムを使用する必要があるかを指定します。 |
| ローミング時に手動による同期が必要 | この設定では、ローミング中にモバイル デバイスを同期する必要があるかどうかを指定します。 ローミング時の自動同期を許可すると、多くの場合、モバイル デバイスのデータ プランでは予期しなかったデータ コストが発生します。 |
| S/MIME アルゴリズムの署名が必要 | この設定では、メッセージに署名するときにどの必須アルゴリズムを使用する必要があるかを指定します。 |
| S/MIME メッセージの署名が必要 | この設定では、モバイル デバイスが署名付き S/MIME メッセージを送信する必要があるかどうかを指定します。 |
| ストレージ カードの暗号化が必要 | この設定には、ストレージ カードを暗号化する必要があるかどうかを指定します。 すべてのモバイル デバイスのオペレーティング システムが、ストレージ カードの暗号化をサポートしているわけではありません。 詳細については、モバイル デバイスおよびモバイル オペレーティング システムのドキュメントを参照してください。 |
| 承認しない InROM アプリケーション一覧 | この設定には、ROM で実行できないアプリケーションの一覧を指定します。 |