Microsoft Intuneを使用して Microsoft 365 (Office) for iOS および Android のコラボレーション エクスペリエンスを管理する

iOS および Android 用の Microsoft 365 (Office) には、次のようないくつかの重要な利点があります。

• Word、Excel、PowerPoint を組み合わせることで、ダウンロードまたは切り替えるアプリの数が減り、エクスペリエンスが簡素化されます。 ユーザーが既に知り、使用している既存のモバイル アプリのほぼすべての機能を維持しながら、個々のアプリをインストールするよりもはるかに少ない電話ストレージが必要です。
• Microsoft Lens テクノロジを統合して、カメラのパワーをロック解除し、画像を編集可能なWordや Excel ドキュメントに変換したり、PDF をスキャンしたり、自動デジタル拡張機能を使用してホワイトボードをキャプチャしたりして、コンテンツを読みやすくする機能を備えています。
• 電話で作業するときによく発生する一般的なタスクの新機能を追加します。たとえば、クイック ノートの作成、PDF への署名、QR コードのスキャン、デバイス間でのファイルの転送などです。

Microsoft 365 データの最も豊富で広範な保護機能は、条件付きアクセスなどのMicrosoft IntuneおよびMicrosoft Entra ID P1 または P2 機能を含む、Enterprise Mobility + Security スイートをサブスクライブするときに使用できます。 少なくとも、モバイル デバイスから iOS と Android 用の Microsoft 365 (Office) への接続を許可する条件付きアクセス ポリシーと、コラボレーション エクスペリエンスが確実に保護される Intune アプリ保護ポリシーを展開する必要があります。

条件付きアクセスを適用する

組織は、Microsoft Entra条件付きアクセス ポリシーを使用して、ユーザーが iOS および Android 用の Microsoft 365 (Office) を使用して職場または学校のコンテンツにのみアクセスできるようにします。 これを行うには、可能性のあるすべてのユーザーを対象とする条件付きアクセス ポリシーが必要です。 これらのポリシーについては、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」で説明されています。

1. 「 モバイル デバイスで承認されたクライアント アプリまたはアプリ保護ポリシーを要求する」の手順に従います。これにより、Microsoft 365 (Office) for iOS および Android が許可されますが、サードパーティの OAuth 対応モバイル デバイス クライアントが Microsoft 365 エンドポイントに接続できないようにブロックされます。

   注:

   このポリシーにより、モバイル ユーザーは、該当するアプリを使用して、すべての Microsoft 365 エンドポイントにアクセスできるようになります。

注:

アプリベースの条件付きアクセス ポリシーを活用するには、iOS デバイスに Microsoft Authenticator アプリをインストールする必要があります。 Android デバイスの場合、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。

Intune アプリ保護ポリシーを作成する

アプリ保護ポリシー (APP) は、許可されるアプリと、組織のデータに対して実行できるアクションを定義します。 APP で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。

APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。

• エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
• エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
• エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。

各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。

デバイスが統合エンドポイント管理 (UEM) ソリューションに登録されているかどうかに関わらず、「アプリ保護ポリシーを作成して割り当てる方法」の手順を使用して、iOS アプリと Android アプリ両方の Intune アプリ保護ポリシーを作成する必要があります。 これらのポリシーは、少なくとも次の条件を満たす必要があります。

1. Edge、Outlook、OneDrive、Microsoft 365 (Office)、Teams など、すべての Microsoft 365 モバイル アプリケーションが含まれます。これにより、ユーザーは Microsoft アプリ内の職場または学校のデータに安全にアクセスして操作できます。

2. すべてのユーザーに割り当てられる。 これにより、iOS または Android 用に Microsoft 365 (Office) を使用するかどうかにかかわらず、すべてのユーザーが確実に保護されます。

3. 要件を満たすフレームワーク レベルを決定します。 ほとんどの組織では、データ保護とアクセス要件の制御を有効にするように、エンタープライズ拡張データ保護 (レベル 2) で定義されている設定を実装する必要があります。

利用可能な設定の詳細については、「Android アプリ保護ポリシー設定」と「iOS アプリ保護ポリシー設定」を参照してください。

重要

Intune に登録していない Android デバイスでアプリに対して Intune App Protection ポリシーを適用するには、Intune ポータル サイトもインストールする必要があります。

アプリ構成を利用する

iOS および Android 用の Microsoft 365 (Office) では、Microsoft Intuneなどの統合エンドポイント管理を管理者がアプリの動作をカスタマイズできるようにするアプリ設定がサポートされています。

アプリ構成は、登録済みデバイスのモバイル デバイス管理 (MDM) OS チャネル (iOS の場合はマネージド App Configuration チャネル、Android の場合は Enterprise チャネルの Android) または Intune App Protection Policy (APP) チャネルを介して配信できます。 iOS および Android 用の Microsoft 365 (Office) では、次の構成シナリオがサポートされています。

• 職場または学校アカウントのみを許可する
• 一般的なアプリ構成
• データ保護の設定:

重要

Android でのデバイス登録を必要とする構成シナリオでは、デバイスを Android Enterprise に登録し、Android 用 Microsoft 365 (Office) をマネージド Google Play ストア経由で展開する必要があります。 詳細については、「Android Enterprise 個人所有の仕事用プロファイル デバイスの登録を設定する」および「マネージド Android Enterprise デバイスのアプリ構成ポリシーを追加する」を参照してください。

各構成シナリオでは、その特定の要件が強調表示されています。 たとえば、構成シナリオでデバイスの登録が必要で、UEM プロバイダーと連携するか、Intune アプリ保護ポリシーを必要とするかなどです。

重要

アプリ構成キーでは、大文字と小文字が区別されます。 適切な大文字と小文字を区別して、構成を有効にします。

注:

Microsoft Intuneでは、MDM OS チャネルを介して配信されるアプリ構成は、マネージド デバイス App Configuration ポリシー (ACP) と呼ばれます。アプリ保護ポリシー チャネルを介して配信されるアプリ構成は、マネージド アプリ App Configuration ポリシーと呼ばれます。

職場または学校アカウントのみを許可する

最大かつ高度に規制されているお客様のデータ セキュリティとコンプライアンス ポリシーを尊重することは、Microsoft 365 の価値の重要な柱です。 一部の企業では、企業環境内のすべての通信情報をキャプチャする必要があります。また、デバイスが企業の通信にのみ使用されるようにする必要があります。 これらの要件をサポートするために、登録済みデバイス上の Android 用 Microsoft 365 (Office) は、アプリ内で 1 つの企業アカウントのみをプロビジョニングできるように構成できます。

組織で許可されているアカウント モード設定の構成の詳細については、こちらを参照してください。

• Android 設定
• iOS 設定

この構成シナリオは、登録済みデバイスでのみ機能します。 ただし、任意の UEM プロバイダーがサポートされています。 Microsoft Intune を使用していない場合は、これらの構成キーを展開する方法に関する UEM ドキュメントを参照する必要があります。

一般的なアプリ構成シナリオ

iOS/iPadOS および Android 用の Microsoft 365 (Office) では、管理者は 、iOS/iPadOS または Android アプリ構成ポリシーを使用して、複数のアプリ内設定の既定の構成をカスタマイズできます。 この機能は、任意の UEM プロバイダー経由で登録されたデバイスと、iOS および Android 用の Microsoft 365 (Office) に Intune App Protection ポリシーが適用されている場合に登録されていないデバイスの両方に対して提供されます。

注:

アプリ保護ポリシーがユーザーを対象としている場合は、一般的なアプリ構成設定を Managed Apps 登録モデルにデプロイすることをお勧めします。 これにより、登録されているデバイスと登録されていないデバイスの両方にApp Configuration ポリシーが展開されます。

Microsoft 365 (Office) では、構成に関する次の設定がサポートされています。

• 付箋の作成を管理する
• アドインの基本設定を設定する
• iOS および Android 用の Microsoft 365 (Office) で実行されている Teams アプリを管理する
• iOS および Android 用の Microsoft 365 フィードを有効または無効にする

付箋の作成を管理する

既定では、iOS および Android 用の Microsoft 365 (Office) を使用すると、ユーザーは付箋を作成できます。 Exchange Onlineメールボックスを持つユーザーの場合、メモはユーザーのメールボックスに同期されます。 オンプレミスのメールボックスを持つユーザーの場合、これらのメモはローカル デバイスにのみ保存されます。

キー	値
com.microsoft.office.NotesCreationEnabled	true (既定値) を使用すると、職場または学校アカウントの付箋作成が有効になります false を指定すると、職場または学校アカウント付箋作成が無効になります

アドインの基本設定を設定する

Office を実行している iOS/iPadOS デバイスの場合、(管理者として) Microsoft 365 (Office) アドインを有効にするかどうかを設定できます。 これらのアプリ設定は、Intune の アプリ構成ポリシー を使用して展開できます。

キー	値
com.microsoft.office.OfficeWebAddinDisableAllCatalogs	true (既定値) は、アドイン プラットフォーム全体を無効にします false を指定すると、アドイン プラットフォームが有効になります

iOS デバイス用のプラットフォームの Microsoft 365 (Office) ストア部分を有効または無効にする必要がある場合は、次のキーを使用できます。

キー	値
com.microsoft.office.OfficeWebAddinDisableOMEXCatalog	true (既定値) は、プラットフォームの Microsoft 365 (Office) ストア部分のみを無効にします false を指定すると、プラットフォームの Microsoft 365 (Office) ストア部分が有効になります メモ： サイドローディングは引き続き機能します。

構成キーの追加の詳細については、「 マネージド iOS/iPadOS デバイスのアプリ構成ポリシーを追加する」を参照してください。

iOS および Android 用の Microsoft 365 (Office) で実行されている Teams アプリを管理する

IT 管理者は、 カスタムアクセス許可ポリシー を作成し、Teams 管理センターを使用して これらのポリシーをユーザーに割り当てること で、Teams アプリへのアクセスを管理できます。 iOS および Android 用の Microsoft 365 (Office) で Teams 個人用タブ アプリを実行できるようになりました。 Microsoft Teams JavaScript クライアント SDK v2 (バージョン 2.0.0) と Teams アプリ マニフェスト (バージョン 1.13) を使用して構築された Teams 個人用タブ アプリは、iOS および Android 用の Microsoft 365 (Office) の [アプリ] メニューに表示されます。

iOS と Android 用の Microsoft 365 (Office) に固有の追加の管理要件がある場合があります。 次の処理を行う場合:

• iOS および Android 用の Microsoft 365 (Office) で強化された Teams アプリを試してみるのは、organizationの特定のユーザーにのみ許可します。
• iOS および Android 用の Microsoft 365 (Office) で強化された Teams アプリを使用できないように、organizationのすべてのユーザーをブロックします。

これらを管理するには、次のキーを使用します。

キー	値
com.microsoft.office.officemobile.TeamsApps.IsAllowed	true (既定値) では、Microsoft 365 (Office) で iOS および Android 用の Teams アプリが有効になります false は 、iOS と Android 用の Microsoft 365 (Office) 上の Teams アプリを無効にします

このキーは、マネージド デバイスとマネージド アプリの両方で使用できます。

Microsoft 365 (Office) のデータ保護設定

ローカル ストレージへの名前を付けて保存 が アプリ保護ポリシーによってブロックされている場合は、オフライン キャッシュを有効または無効にすることができます。

重要

この設定は、Android 上の Microsoft 365 (Office) アプリにのみ適用されます。 この設定を構成するには、次のキーを使用します。

キー	値
com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked	false (既定値) は、 ローカル ストレージへの名前を付けて保存 がブロックされている場合にオフライン キャッシュを無効にします true を指定すると、 ローカル ストレージへの名前を付けて保存 がブロックされている場合にオフライン キャッシュが有効になります

iOS および Android 用の Microsoft 365 フィードを有効または無効にする

管理者は、Intune 管理センターで次の設定を構成することで、Microsoft 365 フィードを有効または無効にできるようになりました。 このアプリ設定を展開するには、Intune で アプリ構成ポリシー を使用します。

Microsoft 365 フィードを管理するには、次のキーを使用します。

キー	値
com.microsoft.office.officemobile.Feed.IsAllowed	true (既定値) テナントに対してフィードが有効になっている false を指定 すると、テナントのフィードが無効になります

このキーは、マネージド デバイスとマネージド アプリで使用できます。

商用データ保護を使用した Copilot

管理者は、Intune 管理センターで次の設定を構成することで、Microsoft 365 アプリで Copilot を有効または無効にできるようになりました。 このアプリ設定を展開するには、Intune で アプリ構成ポリシー を使用します。

Microsoft 365 アプリで Copilot を管理するには、次のキーを使用します。

キー	値
com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed	true (既定値) テナントに対して Copilot が有効になっている false は テナントの Copilot を無効にします

このキーは、マネージド デバイスとマネージド アプリで使用できます。

次の手順

• アプリ保護ポリシーとは
• Microsoft Intune のアプリ構成ポリシー