チュートリアル: Microsoft Intuneを使用してマネージド デバイス上のExchange Onlineメールを保護する

このチュートリアルでは、条件付きアクセス ポリシーを使用して Microsoft デバイス コンプライアンス ポリシー Microsoft Entra使用し、iOS デバイスが Intune によって管理され、承認済みの電子メール アプリを使用している場合にのみ Exchange にアクセスできるようにする方法について説明します。

このチュートリアルでは、次の方法について学ぶことができます。

  • Intune iOS デバイス コンプライアンス ポリシーを作成して、デバイスが準拠済みと見なされるために満たす必要のある条件を設定します。
  • iOS デバイスを Intune に登録し、Intune ポリシーに準拠し、承認済みの Outlook モバイル アプリを使用して電子メールにアクセスする必要があるMicrosoft Entra条件付きアクセス ポリシー Exchange Online作成します。

前提条件

このチュートリアルには、次のサブスクリプションを持つテスト テナントが必要です。

Intune にサインイン

グローバル管理者または Intune サービス管理者としてMicrosoft Intune管理センターにサインインします。 Intune 試用版サブスクリプションがある場合は、サブスクリプションを作成したアカウントがグローバル管理者です。

メール デバイス プロファイルを作成する

このチュートリアルでは、iOS/iPadOS デバイス Email プロファイルを作成する必要があります。 これを行うには、「 手順 11 – Intune ドキュメントの [Intune タスクの試用 ] 領域からデバイス プロファイルを作成する」のガイダンスに従います。 電子メール プロファイルは、iOS/iPad デバイスで仕事用メールを使用することを要求するために使用されます。

電子メール プロファイルを作成するときは、このチュートリアルの後続の手順で作成した デバイス コンプライアンス ポリシーと 条件付きアクセス ポリシーに後で使用するのと同じデバイス グループにプロファイルを割り当てます。

メール プロファイルを作成したら、ここに戻って続行します。

iOS デバイスのコンプライアンス ポリシーを作成する

Intune デバイス コンプライアンス ポリシーを設定して、デバイスが準拠済みと見なされるために満たす必要のある条件を設定します。 このチュートリアルでは、iOS デバイスのデバイス コンプライアンス ポリシーを作成します。 コンプライアンス ポリシーはプラットフォームに固有なので、評価するデバイス プラットフォームごとに独立したコンプライアンス ポリシーが必要です。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイスのコンプライアンス] を選択します>。

  3. [ポリシー] タブ で、[ポリシーの 作成] を選択 します

  4. [ ポリシーの作成 ] ページで、[ プラットフォーム ] で [ iOS/iPadOS] を選択します。 [ 作成] を 選択して続行します。

  5. [ 基本 ] タブで、次のプロパティを入力します。

    • 名前: 新しいプロファイルのわかりやすい名前を入力します。 この例では、「 iOS コンプライアンス ポリシー テスト」と入力します。
    • 説明: 省略可能 - iOS コンプライアンス ポリシー テストを入力します。

    [次へ] を選んで続行します。

  6. [ コンプライアンス設定 ] タブで、次の手順を実行します。

    1. [Email] を展開し、[デバイスで電子メールを設定できません] を [必須] に設定します。

    2. [ デバイスの正常性] を展開し、[ 脱獄された デバイス] を [ブロック] に設定します。

    3. [ システム セキュリティ] を展開し、次の設定を構成します。

      • モバイル デバイスのロックを解除するためにパスワードを要求する
      • ブロックする簡単なパスワード
      • パスワードの最小長は4

      ヒント

      グレー表示で斜体の既定値は推奨目的でのみ提示されています。 推奨値を置換して設定を構成する必要があります。

      • 英数字必要なパスワードの種類
      • [即時] にパスワードが必要になるまでの画面ロック後の最大分数
      • パスワードの有効期限 (日数) から 41
      • 5 への再利用を防ぐための以前のパスワードの数

    続行するには、[Next] を選択します。

    iOS コンプライアンス ポリシーの構成。

  7. [ 次へ ] を選択して、 準拠していない場合は [アクション] をスキップします

  8. [ 割り当て ] タブの [ 含まれるグループ] で、[ すべてのデバイスの追加] を選択するか、このポリシーを受け取るデバイスのみを含むグループを選択します。 メール デバイス プロファイルに使用したのと同じ割り当てを使用してください。

    [次へ] を選んで続行します。

  9. [ 確認と作成 ] タブで、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。

条件付きアクセス ポリシーを作成する

次に、Microsoft Intune管理センターを使用して条件付きアクセス ポリシーを作成します。 条件付きアクセスを Intune と統合して、組織のメールやリソースに接続できるデバイスとアプリを制御できます。

条件付きアクセス ポリシーでは、次の処理が行われます。

  • Intune に登録し、Intune コンプライアンス ポリシーに準拠するために、任意のプラットフォームを実行するデバイスを、それらのデバイスを使用してExchange Onlineにアクセスできるようにする必要があります。
  • デバイスでメール アクセスに Outlook アプリを使用する必要があります。

条件付きアクセス ポリシーは、Microsoft Entra 管理センターまたはMicrosoft Intune管理センターで構成できます。 既に管理センターにいますので、ここでポリシーを作成できます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [エンドポイント セキュリティ>] [条件付きアクセス]> [新しいポリシーの作成] を選択します

  3. [名前] に「Test policy for Microsoft 365 email」と入力します。

  4. [ 割り当て] の [ ユーザー] で、 選択した 0 人のユーザーとグループを選択します。 [ 含める ] タブで、[ すべてのユーザー] を選択します。 [ユーザー] の値が [すべてのユーザー] に更新されます。

  5. また、[ 割り当て] で [ ターゲット リソース] を選択します。 [ このポリシーが適用される内容を選択する ] ドロップダウンで、[ クラウド アプリ] を選択します。

    次に、Microsoft 365 Exchange Onlineメールを保護するため、次の手順に従ってアプリを選択します。

    1. [含む] タブで、[アプリを選択] を選択します。
    2. [選択] カテゴリで [なし] を選択し、アプリケーションの一覧で [選択] ウィンドウを開きます。
    3. アプリケーションの一覧で、Office 365 Exchange Onlineのチェック ボックスをオンにし、[選択] を選択します

    [Office 365 Exchange Online] を選択します。

  6. また、[割り当て] で [デバイスプラットフォームの条件>] を選択して、[デバイス プラットフォーム] ウィンドウを開きます。

    1. [ 構成] を[はい] に設定します。
    2. [含む] タブで [任意のデバイス] を選択してから、[完了] を選択します。

    デバイス プラットフォームを構成する

  7. もう一度、[ 割り当て] で [ 条件>クライアント アプリ] を選択します。

    1. [ 構成] を[はい] に設定します。

    2. このチュートリアルでは、モダン認証クライアントの一部である [モバイル アプリとデスクトップ クライアント] を選択します (これは、Outlook for iOS や Outlook for Android などのアプリを指します)。 他のチェック ボックスはすべてオフにします。

    3. [完了] を選択し、[完了] をもう一度選択します。

    アプリとクライアントを選択します。

  8. [アクセス制御][許可] を選択します。

    1. [許可] ウィンドウで、[アクセス権の付与] を選択します。

    2. [デバイスは準拠としてマーク済みである必要があります] を選択します。

    3. [承認されたクライアント アプリが必要です] を選択します。

    4. [複数のコントロールの場合] で、[選択したコントロールすべてが必要] を選択します。 この設定により、デバイスがメールへのアクセスを試みるときに、選択した両方の要件が適用されます。

    5. [選択] を選択します。

    コントロールを選択する

  9. ポリシーを有効にする で、オン を選択します。

    ポリシーを有効にします。

  10. [ 作成] を 選択して変更を保存します。 プロファイルが割り当てられます。

試してみる

作成したポリシーを使用して、Microsoft 365 メールへのサインインを試みる iOS デバイスは、Intune に登録し、iOS/iPadOS 用 Outlook モバイル アプリを使用する必要があります。 iOS デバイスでこのシナリオをテストするには、テスト テナントのユーザーの資格情報を使用して、Exchange Online へのサインインを試みます。 デバイスを登録し、Outlook モバイル アプリをインストールするように求められます。

  1. iPhone でテストするには、[Settings]\(設定\)>[Passwords & Accounts]\(パスワードとアカウント\)>[Add Account]\(アカウントの追加\)>[Exchange] に移動します。

  2. テスト テナント内のユーザーのメール アドレスを入力し、[次へ] を選択します。

  3. [サインイン] を選択します。

  4. テスト ユーザーのパスワードを入力して、[サインイン] を選択します。

  5. デバイスのリソース アクセスを管理する必要があるというメッセージと、登録のオプションが表示されます。

リソースをクリーンアップする

テスト ポリシーが必要なくなった場合は削除できます。

  1. Microsoft Intune管理センターにグローバル管理者または Intune サービス管理者としてサインインします。

  2. [デバイスのコンプライアンス] を選択します>。

  3. [ ポリシー名 ] の一覧で、テスト ポリシーのコンテキスト メニュー (...) を選択し、[ 削除] を選択します。 確認メッセージが表示されたら、[OK] を選択します。

  4. [ エンドポイント セキュリティ>] [条件付きアクセス>ポリシー] の順に選択します

  5. [ ポリシー名 ] の一覧で、テスト ポリシーのコンテキスト メニュー (...) を選択し、[ 削除] を選択します。 [はい] を選択して確認します。

次の手順

このチュートリアルでは、iOS デバイスに対して、Intune に登録することと、Outlook アプリを使用して Exchange Online のメールにアクセスすることを要求する、ポリシーを作成しました。 Exchange ActiveSync クライアントや Microsoft 365 Exchange Online などの他のアプリやサービスを保護するために条件付きアクセスで Intune を使用する方法については、条件付きアクセスの設定に関するページを参照してください。