Microsoft 365 Business Premiumでのデバイス管理とアプリケーション管理

Microsoft 365 Business Premiumのセキュリティ戦略の重要な部分は、会社のデータにアクセスするために使用されるコンピューター、タブレット、電話を保護することです。 Business Premium には、Microsoft Intune プラン 1、デバイスを登録、監視、管理できる包括的なデバイス管理ソリューションが含まれています。 詳細については、「Microsoft Intuneの概要」を参照してください。

Intuneによって管理されるデバイスは通常、会社所有のデバイスですが、個人用デバイス (独自のデバイスの持ち込みまたは BYOD とも呼ばれます) の場合もあります。 Microsoft 365 for Campaigns では、ほとんどのデバイスが BYOD である可能性があります。

Intuneには、会社のデータにアクセスするデバイスを管理するための 2 つの基本的な戦略が用意されています。

• モバイル デバイス管理 (MDM): organizationは、デバイスのすべての側面を制御します。 デバイスがIntuneに登録されると、管理者はアプリのインストール、プラットフォーム別の登録の許可またはブロック、個人用デバイスのブロックなどを行うことができます。 デバイスが紛失または盗難にあった場合は、デバイスをリモートでワイプできます。 登録されたデバイスは管理されると言 われます。

  会社所有のデバイスには常に MDM をお勧めします。 この記事の手順については、「デバイス保護のためのIntuneでのモバイル デバイス管理」を参照してください。

• モバイル アプリケーション管理 (MAM): ユーザーはデバイスを制御しますが、organizationはデバイス上の会社のデータへのアクセスを制御します。 ユーザーが自分の個人用デバイスを MDM に登録できないようにするポリシーを作成する必要があります。 アプリケーション管理ポリシーを使用すると、ユーザーはビジネス データをMicrosoft 365 Appsから個人用アプリにコピーできなくなります。 デバイスが紛失または盗難にあった場合は、マネージド アプリからすべてのorganizationデータをリモートから削除できます。 デバイスは 管理されていないと言われます。

  個人のデバイスには MDM または MAM を使用できます。 この記事の MAM の手順については、「データ保護のためのIntuneのモバイル アプリ管理」を参照してください。

organization内のデバイスの性質に基づいて、organization内のデータへのアクセスを保護するために、1 つまたは両方の方法を選択できます。

この記事の残りの部分では、Business Premium での MDM と MAM に推奨されるオプションについて説明します。

デバイス保護にIntuneを使用したモバイル デバイス管理

Business Premium では、次のサブセクションで説明されているように、Microsoft Intuneに会社所有のデバイスを登録することをお勧めします。

手順 1: Intuneのデバイス登録制限を構成する

ユーザーが特定の種類の対象デバイスをIntuneに登録できないようにブロックする必要がある場合があります。 たとえば、個人の iOS および Android フォンに MAM を使用する予定であるため、ユーザーがそれらのデバイスをIntuneに登録できないようにします。

手順については、「 デバイス プラットフォームの制限を作成する」を参照してください。

手順 2: Intuneのデバイス登録の前提条件を構成する

MDM に登録するデバイスの種類については、いくつかの前提条件を満たす必要があります。

• Apple: Apple MDM プッシュ証明書を取得する
• Android: Intune アカウントを管理対象の Google Play アカウントに接続する
• Windows: Windows デバイスの自動登録を設定する

  • Enterprise State Roaming を使用すると、特定のユーザー設定を同期して格納することで、Windows デバイス全体で統合されたエクスペリエンスがユーザーに提供されます。 詳細については、「Microsoft Entra IDでエンタープライズ状態ローミングを有効にする」を参照してください。

    ヒント

    Microsoft Edge データを同期するように Microsoft Edge エンタープライズ同期を構成するには、「 Microsoft Edge エンタープライズ同期を構成する」を参照してください。

  • windows デバイスにMicrosoft 365 Appsを自動的にインストールするようにIntuneを構成します。 手順については、「Microsoft Intuneを使用して Windows 10/11 デバイスにMicrosoft 365 Appsを追加する」を参照してください。

  • Windows Autopilot では、サポートされているバージョンの Windows Semi-Annual Enterprise Channel を使用して、PC をユーザーに提供する前に、ビジネス クリティカルなアプリ、ポリシー、機能 (BitLocker など) を備えた PC を設定します。 Autopilot は、Windows デバイスのリセット、再利用、回復も可能です。 詳細については、「 Windows Autopilot の概要」を参照してください。

  • Business Premium には、次のバージョンの Windows からWindows 10 ProまたはWindows 11 Proへの無料アップグレードが含まれています。

    • Windows 7 Pro
    • Windows 8 Pro
    • Windows 8.1 Pro

    詳細については、「Windows デバイスを Windows 10 または 11 Pro にアップグレードする」を参照してください。

手順 3: Intuneでコンプライアンス ポリシー設定を構成する

コンプライアンス ポリシー設定はorganization全体であり、デバイス コンプライアンス ポリシー (コンプライアンス ポリシーとも呼ばれます) が割り当てられていないデバイスIntune処理方法を決定します。 使用可能な値は次のとおりです。

• コンプライアンス ポリシーが割り当てられていないデバイスを としてマークします>準拠: デバイス コンプライアンス ポリシーが割り当てられた後に準拠していないと検証されるまで、デバイスは準拠と見なされます。 この値が既定値です。
• コンプライアンス ポリシーが割り当てられていないデバイスを としてマークします>準拠していない: デバイス コンプライアンス ポリシーが割り当てられた後に準拠として検証されるまで、デバイスは準拠していないと見なされます。

通常、既定値は [準拠] をお勧めします。 ただし、次のセクションで説明するようにデバイス ベースの条件付きアクセス ポリシーを使用していて、準拠しているデバイスのみが会社のリソースへのアクセスを許可されるようにする場合は、[コンプライアンス ポリシーが割り当てられていないデバイスをマークする] の値>[準拠していない] を使用します。

詳細については、「 コンプライアンス ポリシー設定」を参照してください。

手順 4: Intuneでデバイス コンプライアンス ポリシーを作成する

MDM への登録を計画するすべての種類のデバイスに対して、デバイス コンプライアンス ポリシー (コンプライアンス ポリシーとも呼ばれます) を作成することをお勧めします。 各デバイスの種類のコンプライアンス ポリシーは、会社のデータへのアクセスを許可する最小構成を指定します。 ポリシーは、対応するデバイス ベースの条件付きアクセス ポリシーがデバイスに適用されるまで適用されません。

推奨事項を次に示します。

• Windows デバイス:

  • コンプライアンス設定:
    • デバイスの正常性: 次のオプションを [必須] に設定します。
      • BitLocker
      • セキュア ブート
      • コードの整合性
    • システム セキュリティ:
      • デバイス セキュリティ: 次のオプションを [必須] に設定します。
        • ファイアウォール
        • トラステッド プラットフォーム モジュール (TPM)
        • ウイルス対策
        • スパイウェア対策
      • Defender: 次のオプションを [必須] に設定します。
        • Microsoft Defender マルウェア対策
        • 最新の Microsoft Defender マルウェア対策セキュリティ インテリジェンス
        • リアルタイム保護:
  • コンプライアンス違反に対するアクション:
    • [デバイスに非準拠のマークを付ける]: [スケジュール] (非準拠後の日数) の値を [直ちに] から 1 に変更します。
  • 割り当て: [含まれているグループ] で、[ すべてのユーザーの追加] を選択します。

• その他のデバイスの種類: 使用可能な場合は、次のオプションを選択します。

  • デバイスのロックを解除するには、パスワードが必要です。
  • デバイスの暗号化が必要です。
  • コードの整合性が必要です。

詳細については、「Microsoft Intune でコンプライアンス ポリシーを作成する」を参照してください。

手順 5: デバイス ベースの条件付きアクセス ポリシーを作成する

Intuneには、次のデバイス ベースの条件付きアクセス ポリシーをお勧めします。

• Intuneデバイス登録に MFA を要求する
• 不明またはサポートされていないデバイス プラットフォームをブロックする
• 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する
• 準拠しているデバイス、ハイブリッド参加済みデバイスMicrosoft Entra、またはすべてのユーザーに MFA を要求する

手順 6: デバイスをIntuneに登録する

前の手順を実行してIntuneを準備して構成した後、ユーザーはデバイスを登録できるようになりました。 手順については、次の記事を参照してください。

• iOS/iPadOS: 職場または学校用の個人用 iOS デバイスを設定する
• Android: Android 仕事用プロファイルを使用してデバイスを登録する
• Linux: Intuneに Linux デバイスを登録する
• macOS: ポータル サイト アプリを使用して macOS デバイスを登録する
• Windows: IntuneにWindows 10/11 デバイスを登録する

MDM のその他のオプション

• Defender ポータルでデバイスの正常性を表示および監視する: Defender for Businessまたは Business Premium のIntuneでは、オンボードされているすべてのデバイスの正常性状態や公開レベルなどのデバイスの詳細を表示できます。 ウイルス対策スキャンの実行や自動調査の開始など、デバイスでアクションを実行することもできます。 詳細については、「Microsoft Defender for Businessでデバイスを管理する」および「検出された脅威を確認する」を参照してください。

マネージド デバイスでは、ユーザーは次の手順を実行してデバイスを保護できます。

• Windows デバイスでアクティブ時間を設定する: ウイルス対策、マルウェア対策、およびその他の脅威保護機能は、オンボードされたデバイスに自動的にインストール、構成、および定期的に更新されます。 デバイスの再起動を必要とするUpdatesは、Windows デバイスのアクティブ時間設定で定義されている勤務時間後に実行できます。 詳細については、「 PC を最新の状態に保つ」を参照してください。

データ保護のためのIntuneでのモバイル アプリ管理

Business Premium では、モバイル アプリ管理 (MAM) を使用して、MDM の完全なデバイス管理を行わずに、個人のデバイス上の会社のデータへのアクセスを保護できます。 次のサブセクションでは、MAM を構成するための要件について説明します。

手順 1: MAM のデバイス登録制限を構成する

MAM で保護する予定の個人用デバイスは、Intune (MDM) に登録できません。 特定のデバイスの種類が MDM に登録されないようにするには、「 デバイス プラットフォームの制限を作成する」を参照してください。

手順 2: MAM にアプリ保護ポリシーをデプロイする

アプリ保護 ポリシー (APP) を使用すると、iOS/iPadOS および Android デバイスで MAM が有効になり、Intune (MDM) にデバイスを登録する必要はありません。 例:

• デバイスで Microsoft Outlook を開くには PIN が必要です。
• 会社のデータをデバイスにローカルに保存しないようにします。

詳細については、「 アプリ保護ポリシーを作成して割り当てる方法」を参照してください。

基本的な推奨事項は次のとおりです。

• iOS/iPadOS デバイスと Android デバイスの両方のポリシーを作成します。
• ターゲット ポリシーの対象: [コア Microsoft Apps (Outlook を含む)] を選択します。
• 組織データを iTunes バックアップと iCloud バックアップにバックアップする: [ブロック] を選択 します。
• 組織データを他のアプリに送信する: [ ポリシーで管理されているアプリ] を選択します。
  • 組織データのコピーを保存する: [ブロック] を選択 します。
  • 選択したサービスへのコピーの保存をユーザーに許可する: [OneDrive と SharePoint] を選択します。

個別のセキュリティレベルに関する推奨事項については、「 アプリ保護ポリシーを使用したデータ保護フレームワーク」で説明されています。

MAM のその他のオプション

多要素認証 (MFA) と 、Microsoft Authenticator アプリ のようなサポートされている認証アプリは、既定ですべての Business Premium アカウントに必要です。 詳細については、「 Microsoft 365 の多要素認証」を参照してください。

それ以外の場合、デバイス所有者は、MAM シナリオで独自のデバイスを保護および維持する責任を負います。 次の手順を実行できます。

• 暗号化とファイアウォール保護を有効にします。 ディスクを暗号化すると、デバイスの紛失時または盗難時にデータが保護されます。 ファイアウォール保護は、インターネットやその他のネットワーク上の他のコンピューターによる不要な接触からデバイスを保護するのに役立ちます。 詳細については、「 アンマネージド デバイスの保護」を参照してください。

• ウイルス対策/マルウェア対策ソフトウェアがインストールされていることを確認し、最新の状態に保つ: 詳細については、「Windows セキュリティで保護された状態を維持する」を参照してください。

• オペレーティング システムとアプリケーションの更新プログラムに対応する: 詳細については、「 PC を最新の状態に保つ」を参照してください。

次の手順

• 情報保護機能を設定する
• ビジネス向け Microsoft 365 でのフィッシングやその他の攻撃からユーザーを保護する
• セキュイティで保護された共同作業および共有を行う