Microsoft Intune を使用して iOS および Android 用の Microsoft 365 (Office) でのコラボレーション エクスペリエンスを管理する
iOS および Android 用の Microsoft 365 (Office) には、次のようないくつかの主な利点があります:
- ダウンロードや切り替えが必要なアプリが少なくなり、エクスペリエンスがシンプルになるように Word、Excel、PowerPoint を組み合わせます。 ユーザーが既に知り、使用している既存のモバイル アプリの機能を事実上すべて維持できる一方で、個々のアプリをインストールするよりもスマートフォンのストレージがはるかに少なくて済みます。
- Microsoft Lens テクノロジを統合して、画像を編集可能な Word や Excel ドキュメントに変換する機能、PDF をスキャンする機能、ホワイトボードをデジタルで自動でキャプチャしてコンテンツを読みやすくする機能を備えています。
- スマートフォンで作業する際によく発生する一般的なタスク (クイック ノートの作成、PDF への署名、QR コードのスキャン、デバイス間でのファイルの転送など) の新機能を追加します。
Microsoft Intune と Microsoft Entra ID P1 または P2 の機能を含む Enterprise Mobility + Security スイートに登録すると、条件付きアクセスなど、Microsoft 365 のデータの最も広範で充実した保護機能を利用できます。 少なくとも、モバイル デバイスから iOS および Android の Microsoft 365 (Office) への接続を許可する条件付きアクセス ポリシーと、コラボレーション エクスペリエンスを確実に保護する Intune アプリ保護ポリシーを展開する必要があります。
条件付きアクセスを適用する
組織は Microsoft Entra 条件付きアクセス ポリシーを使用して、ユーザーが iOS および Android 用の Microsoft 365 (Office) を使用してのみ職場または学校のコンテンツにアクセスできるようにすることができます。 これを行うには、可能性のあるすべてのユーザーを対象とする条件付きアクセス ポリシーが必要です。 これらのポリシーについては、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」で説明されています。
「承認されたクライアント アプリまたはモバイル デバイスを使用したアプリ保護ポリシーを必要とする」の手順に従います。これにより、iOS および Android 用のMicrosoft 365 (Office) が許可されますが、サードパーティ製の OAuth 対応モバイル デバイス クライアントは Microsoft 365 エンドポイントに接続できなくなります。
注:
このポリシーにより、モバイル ユーザーは、該当するアプリを使用してすべての Microsoft 365 エンドポイントにアクセスできるようになります。
注:
アプリベースの条件付きアクセス ポリシーを活用するには、iOS デバイスに Microsoft Authenticator アプリをインストールする必要があります。 Android デバイスの場合、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。
Intune アプリ保護ポリシーを作成する
アプリ保護ポリシー (APP) は、許可されるアプリと、組織のデータに対して実行できるアクションを定義します。 APP で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。
APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。
- エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
- エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
- エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。
各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。
デバイスが統合エンドポイント管理 (UEM) ソリューションに登録されているかどうかに関わらず、「アプリ保護ポリシーを作成して割り当てる方法」の手順を使用して、iOS アプリと Android アプリ両方の Intune アプリ保護ポリシーを作成する必要があります。 これらのポリシーは、少なくとも次の条件を満たす必要があります。
これには、Edge、Outlook、OneDrive、Microsoft 365 (Office)、Teams などのすべての Microsoft 365 モバイル アプリケーションが含まれます。これにより、ユーザーは安全な方法で任意の Microsoft アプリ内の職場または学校のデータにアクセスして操作できるようになります。
すべてのユーザーに割り当てられる。 これにより、iOS または Android 用の Microsoft 365 (Office) を使用しているかどうかに関係なくすべてのユーザーを保護することができます。
要件を満たすフレームワーク レベルを決定します。 ほとんどの組織では、データ保護とアクセス要件の制御を有効にするように、エンタープライズ拡張データ保護 (レベル 2) で定義されている設定を実装する必要があります。
利用可能な設定の詳細については、「Android アプリ保護ポリシー設定」と「iOS アプリ保護ポリシー設定」を参照してください。
重要
Intune に登録していない Android デバイスでアプリに対して Intune App Protection ポリシーを適用するには、Intune ポータル サイトもインストールする必要があります。 Android App Protection ポリシーの場合は、Office Hub、Office Hub [HL]、および Office Hub [ROW] アプリを追加します。 詳細については、「サポート ヒント: Office モバイルでアプリ保護ポリシー Intune有効にする方法」を参照してください。
アプリ構成を利用する
iOS および Android 用の Microsoft 365 (Office) では、管理者がアプリの動作をカスタマイズする Microsoft Intune などの統合エンドポイント管理を可能にするアプリ設定がサポートされています。
アプリ構成は、登録済みデバイスのモバイル デバイス管理 (MDM) OS チャネル (iOS の場合はマネージド アプリの構成チャネル、Android の場合は Enterprise の Android チャネル) または Intune ぷあり保護ポリシー (APP) チャネルを介して配信できます。 iOS および Android 用の Microsoft 365 (Office) では、次の構成シナリオがサポートされています:
- 職場または学校アカウントのみを許可する
- 一般的なアプリ構成
- データ保護の設定:
重要
Android でのデバイス登録を必要とする構成シナリオでは、デバイスを Android Enterprise と Android 用 Microsoft 365 (Office) に登録し、managed Google Play ストア経由で展開する必要があります。 詳細については、「Android Enterprise 個人所有の仕事用プロファイル デバイスの登録を設定する」および「マネージド Android Enterprise デバイスのアプリ構成ポリシーを追加する」を参照してください。 Android アプリ構成の場合は、Office Hub、Office Hub [HL]、および Office Hub [ROW] アプリを追加します。 詳細については、「サポート ヒント: Office モバイルでアプリ保護ポリシー Intune有効にする方法」を参照してください。
各構成シナリオでは、その特定の要件が強調表示されています。 たとえば、構成シナリオでデバイスの登録が必要で、UEM プロバイダーと連携するか、Intune アプリ保護ポリシーを必要とするかなどです。
重要
アプリ構成キーでは、大文字と小文字が区別されます。 適切な大文字と小文字を区別して、構成を有効にします。
注:
Microsoft Intune では、MDM OS チャネルを介して配信されるアプリ構成は、マネージド デバイスのアプリ構成ポリシー (ACP) と呼ばれます。アプリ保護ポリシー チャネルを介して配信されるアプリ構成は、マネージド アプリのアプリ構成ポリシーと呼ばれます。
職場または学校アカウントのみを許可する
最大かつ高度に規制されているお客様のデータ セキュリティとコンプライアンス ポリシーを尊重することは、Microsoft 365 の価値の重要な柱です。 一部の企業では、企業環境内のすべての通信情報をキャプチャする必要があります。また、デバイスが企業の通信にのみ使用されるようにする必要があります。 これらの要件をサポートするために、登録済みデバイス上の Android 用 Microsoft 365 (Office) は、アプリ内で 1 つの企業アカウントのみをプロビジョニングできるように構成できます。
組織で許可されているアカウント モード設定の構成の詳細については、こちらを参照してください。
この構成シナリオは、登録済みデバイスでのみ機能します。 ただし、任意の UEM プロバイダーがサポートされています。 Microsoft Intune を使用していない場合は、これらの構成キーを展開する方法に関する UEM ドキュメントを参照する必要があります。
一般的なアプリ構成シナリオ
iOS/iPadOS および Android 用の Microsoft 365 (Office) では、管理者は iOS/iPadOS または Android アプリ構成ポリシーを使用して、いくつかのアプリ内設定の既定の構成をカスタマイズできます。 この機能は、UEM プロバイダーを介して登録されたデバイスと、iOS および Android 用の Microsoft 365 (Office) に Intune アプリ保護ポリシーが適用されている場合に登録されていないデバイスの両方に対して提供されます。
注:
アプリ保護ポリシーがユーザーを対象としている場合は、マネージド アプリ登録モデルに一般的なアプリ構成設定を展開することが推奨されます。 これにより、アプリ保護ポリシーが登録されたデバイスと登録されていないデバイスの両方に確実に展開されます。
Microsoft 365 (Office) では、次の構成設定がサポートされています:
- 付箋の作成を管理する
- アドインの基本設定を設定する
- iOS および Android 用 Microsoft 365 (Office) で実行されている Teams アプリを管理する
- iOS および Android の Microsoft 365 フィードを有効または無効にする
付箋の作成を管理する
既定では、iOS および Android 用の Microsoft 365 (Office) を使用すると、ユーザーは付箋を作成できます。 Exchange Online メールボックスを持つユーザーの場合、メモはユーザーのメールボックスに同期されます。 オンプレミスのメールボックスを持つユーザーの場合、これらのメモはローカル デバイスにのみ保存されます。
| キー | 値 |
|---|---|
| com.microsoft.office.NotesCreationEnabled |
true (既定値) にすると、職場または学校アカウントの付箋作成が有効になります false に設定すると、職場または学校アカウントの付箋作成を無効にします |
アドインの基本設定を設定する
Office を実行している iOS/iPadOS デバイスの場合、(管理者として) Microsoft 365 (Office) アドインを有効にするかどうかを設定できます。 これらのアプリ設定は、Intune で アプリ構成ポリシーを使用して展開できます。
| キー | 値 |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs |
true (既定) に設定すると、アドイン プラットフォーム全体が無効になります false に設定すると、アドイン プラットフォームが有効になります |
iOS デバイス用プラットフォームの Microsoft 365 (Office) ストア部分を有効または無効にする必要がある場合は、次のキーを使用できます。
| キー | 値 |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog |
true (既定値) に設定すると、プラットフォームの Microsoft 365 (Office) ストア部分のみが無効になります false に設定すると、プラットフォームの Microsoft 365 (Office) ストア部分が有効になります 注: サイドロードは引き続き機能します。 |
構成キーの追加の詳細については、「マネージド iOS/iPadOS デバイスのアプリ構成ポリシーを追加する」を参照してください。
iOS および Android 用 Microsoft 365 (Office) で実行されている Teams アプリを管理する
IT 管理者は、Teams 管理センターを使用してカスタム アクセス許可ポリシーを作成し、これらのポリシーをユーザーに割り当てて、Teams アプリへのアクセスを管理できます。 iOS および Android 用の Microsoft 365 (Office) で Teams 個人用タブ アプリを実行できるようになりました。 Microsoft Teams JavaScript クライアント SDK v2 (バージョン 2.0.0) と Teams アプリ マニフェスト (バージョン 1.13) を使用して構築された Teams 個人用タブ アプリは、iOS および Android 用の Microsoft 365 (Office) の [アプリ] メニューに表示されます。
iOS および Android 用の Microsoft 365 (Office) に固有の追加の管理要件がある場合があります。 次の処理を行う場合:
- 組織内の特定のユーザーのみが、iOS および Android 用の Microsoft 365 (Office) で強化された Teams アプリを試すことを許可するか、または
- 組織内のすべてのユーザーが、iOS および Android 用の Microsoft 365 (Office) で強化された Teams アプリを使用できないようにします。
これらを管理するには、次のキーを使用できます:
| キー | 値 |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed |
true (既定値) に設定すると、iOS および Android 用の Microsoft 365 (Office) で Teams アプリが有効になります false に設定すると、iOS および Android 用 Microsoft 365 (Office) の Teams アプリを無効にします |
このキーは、マネージド デバイスとマネージド アプリの両方で使用できます。
Microsoft 365 のデータ保護設定 (Office)
アプリケーション保護ポリシーによって "ローカル ストレージに名前を付けて保存" がブロックされている場合に、オフライン キャッシュを有効または無効にできます。
重要
この設定は、Android の Microsoft 365 (Office) アプリにのみ適用されます。 この設定を構成するには、次のキーを使用できます:
| キー | 値 |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked |
false (既定値) に設定すると、"ローカル ストレージに名前を付けて保存する" ときにオフライン キャッシュが無効になります true に設定すると、"ローカル ストレージに保存名前を付けて保存する" ロックされている場合にオフライン キャッシュが有効になります |
iOS および Android の Microsoft 365 フィードを有効または無効にする
管理者は、Intune 管理センターで次の設定を構成することで、Microsoft 365 フィードを有効または無効にできるようになりました。 このアプリ設定をデプロイするには、Intune でアプリ構成ポリシーを使用します。
Microsoft 365 フィードを管理するには、次のキーを使用できます:
| キー | 値 |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed |
true (既定) に設定すると、フィードはテナントに対して有効になります false に設定すると、テナントのフィードが無効になります |
このキーは、マネージド デバイスとマネージド アプリで使用できます。
エンタープライズ データ保護を使用した Copilot
管理者は、Intune 管理センターで次の設定を構成することで、Microsoft 365 アプリで Copilot を有効または無効にできるようになりました。 このアプリ設定をデプロイするには、Intune でアプリ構成ポリシーを使用します。
Microsoft 365 アプリで Copilot を管理するには、次のキーを使用できます:
| キー | 値 |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed |
true (既定) に設定すると、テナントに対して Copilot が有効になります false に設定すると、テナントの Copilot を無効にします |
このキーは、マネージド デバイスとマネージド アプリで使用できます。