Exchange Online のモバイル デバイス メールボックス ポリシー
Microsoft 365 または Office 365では、モバイル デバイス メールボックス ポリシーを作成して、一般的なポリシーセットまたはセキュリティ設定をユーザーのコレクションに適用できます。 既定のモバイル デバイス メールボックス ポリシーは、すべての Microsoft 365 またはOffice 365 organizationに作成されます。
モバイル デバイス メールボックス ポリシーの概要
モバイル デバイス メールボックス ポリシーを使用して、多様な設定を管理できます。 これには、以下の設定が含まれます。
- パスワードを要求
- 最低限必要なパスワードの長さを指定する
- パスワードで、数字 PIN を許可する、または特殊文字を要求する
- ユーザーにパスワードの再入力を要求するまでのデバイスの非アクティブ時間を指定する
- 指定した回数パスワードの入力に失敗したらデバイスを無効にする
モバイル デバイスのパスワード設定と生体認証
多くのモバイル デバイスでは、Apple Touch ID や Face ID などの生体認証がサポートされています。 Exchange モバイル デバイス メールボックス ポリシーは、デバイス PIN を入力する代わりに生体認証を使用できるかどうかを制御しません。 モバイル デバイス メールボックス ポリシーは、デバイス PIN を必要とするように構成できますが、デバイス PIN 要件に準拠した後、ユーザーは生体認証を使用するかどうかを制御します。
生体認証の使用を高度に制御する必要があるお客様は、Microsoft Intuneなどのデバイス登録ソリューションを検討する必要があります。 詳細については、「 Outlook for iOS および Android アプリの構成設定の展開」を参照してください。
モバイル デバイスのパスワード設定と Android
Android 9.0 以前のバージョンでは、Android のデバイス管理機能を使用して、モバイル デバイス メールボックス ポリシーで定義されているデバイス パスワード設定を管理します。
Android 10.0 以降では、Android によってデバイス管理機能が削除されました。 代わりに、画面ロックを必要とするアプリは、 getPasswordComplexity API を使用して、デバイス (または仕事用プロファイル) の画面ロックの複雑さを照会します。 より強力な画面ロックを必要とするアプリは、ユーザーを システム画面ロック 設定に誘導し、ユーザーがセキュリティ設定を更新して準拠できるようにします。 ユーザーのパスワードをアプリが認識している時間はありません。アプリは、パスワードの複雑さのレベルのみを認識しています。 Android では、次の 4 つのパスワードの複雑さのレベルがサポートされています。
パスワードの複雑さのレベル | パスワードの要件 |
---|---|
なし | パスワード要件は構成されていません。 |
低い | パスワードは、繰り返し (4444) シーケンスまたは順序付け (1234、4321、2468) シーケンスを含むパターンまたは PIN にすることができます。 |
中 | 次のいずれかの条件を満たすパスワード:
|
高い | 次のいずれかの条件を満たすパスワード:
|
Android のパスワードの複雑さのレベルは、次の Exchange モバイル デバイス メールボックス ポリシー設定にマップされます。
モバイル デバイス メールボックス ポリシー設定 | Android パスワードの複雑さのレベル |
---|---|
パスワードが有効 = false | なし |
単純なパスワードを許可する = true 最小パスワード長 < 4 |
低い |
英数字パスワード必須 = false 最小パスワード長 >= 4 最小パスワード長 < 8 |
中 |
英数字パスワード必須 = true 最小パスワード長 < 6 |
中 |
英数字パスワード必須 = false 最小パスワード長 >= 8 |
高い |
英数字パスワード必須 = true 最小パスワード長 >= 6 |
高い |
モバイル デバイスのメールボックス ポリシーの設定
次の表は、モバイル デバイス メールボックス ポリシーを使用して指定できる設定をまとめたものです。 モバイル デバイス メールボックス ポリシーの設定
設定 | 説明 |
---|---|
Bluetooth を許可する | この設定では、モバイル デバイスで Bluetooth 接続を許可するかどうかを指定します。 使用可能なオプションは 、[無効]、[ ハンズフリーのみ]、および [許可] です。 既定値は [許可] です。 |
ブラウザーを許可する | この設定では、モバイル デバイスで Pocket Internet Explorer が許可されているかどうかを指定します。 この設定は、モバイル デバイスにインストールされているサード パーティ製のブラウザーには影響しません。 既定値は $true です。 |
カメラを許可する | この設定では、モバイル デバイスのカメラを使用できるかどうかを指定します。 既定値は $true です。 |
コンシューマー メールを許可する | この設定では、モバイル デバイスのユーザーが、モバイル デバイス上に個人用の電子メール アカウント (POP3 または IMAP4) を構成できるかどうかを指定します。 既定値は $true です。 この設定では、サード パーティ製のモバイル デバイス電子メール プログラムを使用する電子メール アカウントへのアクセスは制御されません。 |
デスクトップからの同期を許可する | この設定では、モバイル デバイスとコンピューターがケーブル、Bluetooth、または IrDA 接続経由で同期できるようにするかどうかを指定します。 既定値は $true です。 |
外部デバイス管理を許可する | この設定では、外部デバイス管理プログラムでモバイル デバイスを管理できるかどうかを指定します。 |
HTML 電子メールを許可する | この設定では、モバイル デバイスと同期する電子メールを HTML 形式に変換できるかどうかを指定します。 この設定を $false に設定すると、すべてのメールがプレーン テキストに変換されます。 |
インターネット共有を許可する | この設定では、デスクトップまたはポータブル コンピューター用のモバイル デバイスをモデムとして使用できるかどうかを指定します。 既定値は $true です。 |
AllowIrDA | この設定では、モバイル デバイスとの赤外線接続を許可するかどうかを指定します。 |
モバイル OTA の更新を許可する | この設定では、携帯電話のデータ接続を介してモバイル デバイス メールボックス ポリシー設定をモバイル デバイスに送信できるかどうかを指定します。 既定値は true です。 |
サポートしていないデバイスのアクセスを許可する | この設定では、すべてのポリシー設定の適用をサポートしていない可能性があるモバイル デバイスが、Exchange ActiveSyncを使用してOffice 365に接続できるかどうかを指定します。 サポートしていないモバイル デバイスを許可すると、セキュリティに影響を及ぼします。 たとえば、サポートしていないデバイスでは、組織のパスワード要件を満たすことができない場合があります。 |
POPIMAPEmail を許可する | この設定では、ユーザーがモバイル デバイスに POP3 または IMAP4 電子メール アカウントを構成できるようにするかどうかを指定します。 既定値は $true です。 この設定では、サード パーティ製の電子メール プログラムによるアクセスは制御されません。 |
リモート デスクトップを許可する | この設定では、モバイル デバイスがリモート デスクトップ接続を開始できるようにするかどうかを指定します。 既定値は $true です。 |
簡易パスワードを許可する | この設定では、1111 や 1234 などの単純なパスワードの使用を有効または無効にします。 既定値は $true です。 |
S/MIME 暗号化アルゴリズム ネゴシエーションを許可する | この設定では、指定した暗号化アルゴリズムを受信者の証明書がサポートしていない場合に、モバイル デバイスのメッセージング アプリケーションが暗号化アルゴリズムとネゴシエートできるようにするかどうかを指定します。 |
S/MIME ソフトウェア証明書を許可する | この設定では、モバイル デバイスで S/MIME ソフトウェア証明書を許可するかどうかを指定します。 |
ストレージ カードを許可する | この設定では、ストレージ カードに格納されている情報にモバイル デバイスがアクセスできるようにするかどうかを指定します。 |
テキスト メッセージングを許可する | この設定では、モバイル デバイスからのテキスト メッセージングを許可するかどうかを指定します。 既定値は $true です。 |
署名されていないアプリケーションを許可する | この設定では、署名のないアプリケーションをモバイル デバイスにインストールできるようにするかどうかを指定します。 既定値は $true です。 |
署名されていないインストール パッケージを許可する | この設定では、モバイル デバイスで署名のないインストール パッケージを実行できるようにするかどうかを指定します。 既定値は $true です。 |
Wi-Fi を許可する | この設定では、モバイル デバイスでワイヤレス インターネット アクセスを許可するかどうかを指定します。 既定値は $true です。 |
英数字のパスワードが必要 | この設定では、パスワードに数字と数字以外の文字を含めることを必須にします。 既定値は $true です。 |
承認されたアプリケーションの一覧 | この設定では、モバイル デバイスで実行できる承認済みアプリケーションの一覧を格納します。 |
ファイルの添付を有効にする | この設定では、モバイル デバイスへの添付ファイルのダウンロードを有効にします。 既定値は $true です。 |
デバイスの暗号化が必要 | この設定では、モバイル デバイスでの暗号化を有効にします。 ただしすべてのモバイル デバイスで暗号化を実行できるわけではありません。 詳細については、デバイスおよびモバイル オペレーティング システムのドキュメントを参照してください。 |
デバイス ポリシーの更新間隔 | この設定では、モバイル デバイス メールボックス ポリシーをサーバーからモバイル デバイスに送信する頻度を指定します。 |
IRM が有効 | この設定では、モバイル デバイスで Information Rights Management (IRM) を有効にするかどうかを指定します。 |
最大添付ファイル サイズ | この設定では、モバイル デバイスにダウンロードできる添付ファイルの最大サイズを制御します。 既定値は 無制限です。 |
予定表の最大範囲のフィルター | この設定では、モバイル デバイスと同期できる予定表の最大範囲を指定します。 以下の値を入力できます。 すべて TwoWeeks OneMonth ThreeMonths SixMonths |
電子メールの最大範囲フィルター | この設定では、メール アイテムがモバイル デバイスに同期される最大日数を指定します。 以下の値を入力できます。 すべて OneDay ThreeDays OneWeek TwoWeeks OneMonth |
電子メール本文の最大切り捨てサイズ | この設定では、モバイル デバイスと同期するときに電子メール メッセージを切り捨てる際の最大サイズを指定します。 値は "キロバイト (KB)" です。 |
電子メール HTML 本文の最大切り捨てサイズ | この設定では、モバイル デバイスと同期するときに HTML 電子メール メッセージを切り捨てる際の最大サイズを指定します。 値は "キロバイト (KB)" です。 |
ロックをかけるまでの休止時間 | この値は、パスワードを再アクティブ化する必要がある前にモバイル デバイスを非アクティブにできる時間の長さを指定します。 30 秒から 1 時間の間隔を入力できます。 既定値は 15 分です。 |
パスワード失敗の最大回数 | この設定では、モバイル デバイスの正しいパスワードを入力するために試行できる回数を指定します。 4 から 16 までの任意の数値を入力できます。 既定値は 8 です。 |
パスワードの複雑な文字の最少数 | この設定では、モバイル デバイスのパスワードに必要な複雑な文字の最小数を指定します。 複合文字は、文字ではない文字です。 |
最小パスワード長 | この設定では、モバイル デバイスのパスワードの最小文字数を指定します。 1 から 16 までの任意の数値を入力できます。 既定値は 4 です。 |
パスワード有効 | この設定では、モバイル デバイスのパスワードを有効にします。 |
パスワードの期限切れ | この設定では、モバイル デバイスのパスワードの変更が必要になるまでの時間を管理者が構成できるようにします。 |
パスワードの履歴 | この設定には、ユーザーのメールボックスに格納できる過去のパスワードの数を指定します。 ユーザーは、格納されているパスワードを再度使用することはできません。 |
パスワードの回復を可能にする | この設定を有効にすると、サーバーに送信される回復パスワードがモバイル デバイスにより生成されます。 ユーザーがモバイル デバイスのパスワードを忘れた場合、回復パスワードを使用してモバイル デバイスのロックを解除し、新しいモバイル デバイスのパスワードを作成することができます。 |
デバイスでの暗号化が必要 | この設定には、デバイスでの暗号化を要求するかどうかを指定します。
$true に設定されている場合、モバイル デバイスは、サーバーと同期するための暗号化をサポートして実装できる必要があります。 |
S/MIME メッセージの暗号化が必要 | この設定には、S/MIME メッセージを暗号化する必要があるかどうかを指定します。 既定値は $false です。 |
S/MIME 暗号化アルゴリズムの署名が必要 | この設定では、S/MIME メッセージを暗号化するときに使用するアルゴリズムを指定します。 |
ローミング時に手動による同期が必要 | この設定では、ローミング中にモバイル デバイスを同期する必要があるかどうかを指定します。 ローミング中の自動同期を頻繁に許可すると、モバイル デバイス データ プランの予想を超えるデータ コストが発生します。 |
S/MIME アルゴリズムの署名が必要 | この設定では、メッセージに署名するときに使用するアルゴリズムを指定します。 |
S/MIME メッセージの署名が必要 | この設定では、モバイル デバイスが署名付き S/MIME メッセージを送信する必要があるかどうかを指定します。 |
ストレージ カードの暗号化が必要 | この設定には、ストレージ カードを暗号化する必要があるかどうかを指定します。 すべてのモバイル デバイスのオペレーティング システムが、ストレージ カードの暗号化をサポートしているわけではありません。 詳細については、モバイル デバイスおよびモバイル オペレーティング システムのドキュメントを参照してください。 |
承認しない InROM アプリケーション一覧 | この設定には、ROM で実行できないアプリケーションの一覧を指定します。 |
モバイル デバイス メールボックス ポリシーの管理
モバイル デバイス メールボックス ポリシーは、Exchange 管理センター (EAC) または PowerShell Exchange Onlineで作成、変更、または削除できます。 EAC でポリシーを作成する場合は、使用可能な設定の一部のみを構成できます。 残りの設定は、PowerShell Exchange Online使用して構成できます。
はじめに把握しておくべき情報
予想所要時間 : 15 分。
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可については、Exchange Online記事の「機能のアクセス許可」の「モバイル デバイス」機能を参照してください。
Exchange 管理センター (EAC) を開く方法については、Exchange Onlineの Exchange 管理センターに関するページを参照してください。 Exchange Online PowerShell に接続する方法については、「PowerShell に接続する」Exchange Online参照してください。
この記事の手順に適用されるキーボード ショートカットの詳細については、「 Exchange 管理センターのキーボード ショートカット」を参照してください。
新しい モバイル デバイス メールボックス ポリシーを作成します。
EAC を使用して、新しいモバイル デバイス メールボックス ポリシーを作成するには
EAC で、[ Mobile>Mobile デバイス メールボックス ポリシー] に移動し、[ 新しいを選択します。
[ 新しいモバイル デバイス メールボックス ポリシー の詳細] ページで、さまざまなチェックボックスとドロップダウン リストを使用して、次のセクションの設定を構成します。
- ポリシーの作成
- セキュリティ設定を追加する
- 確認して完了します。
[作成] を選択します。
警告
[ これは既定のポリシー] を 選択して、新しいモバイル メールボックス ポリシーを既定のポリシーにします。 既定のポリシーとしてモバイル メールボックス ポリシーを作成すると、すべての新しいユーザーが作成されると、このポリシーが自動的に割り当てられます。
Exchange Online PowerShell を使用して新しいモバイル デバイス メールボックス ポリシーを作成する
New-MobileDeviceMailboxPolicy コマンドレットを使用して、新しいモバイル デバイス メールボックス ポリシーを作成できます。
Exchange Online PowerShell で、次のコマンドを実行します。
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
正常な動作を確認する方法
モバイル デバイス メールボックス ポリシーが正常に作成されたことを確認するには、次の手順のいずれかを使用します。
EAC で、[ Mobile>Mobile デバイス メールボックス ポリシー] に移動し、[ リスト ] ビューに新しいポリシーが表示されていることを確認します。
Exchange Online PowerShell で、次のコマンドを実行します。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
このコマンドレットの詳細については、「 Get-MobileDeviceMailboxPolicy」を参照してください。
EAC を使用してモバイル デバイス メールボックス ポリシーを編集するには
注:
EAC では、モバイル デバイス メールボックス ポリシー設定のサブセットのみを編集できます。 すべてのモバイル デバイス メールボックス ポリシー設定を編集するには、Exchange Online PowerShell を使用する必要があります。
EAC で、[ Mobile>Mobile デバイス メールボックス ポリシー] に移動します。
[リスト] ビューからポリシーを選択し、[編集] アイコンを選択。
[全般] および [セキュリティ] タブを使用してモバイル デバイス メールボックス ポリシー設定を編集します。
[ 保存] を選択 してポリシーを更新します。
Exchange Online PowerShell を使用してモバイル デバイス メールボックス ポリシー設定を編集する
モバイル デバイス メールボックス ポリシーは 、Set-MobileDeviceMailboxPolicy コマンドレットを使用して編集できます。
- Exchange Online PowerShell で、次のコマンドを実行します。
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
正常な動作を確認する方法
モバイル デバイス メールボックス ポリシーが正常に編集されたことを確認するには、次のいずれかの手順を実行します。
EAC で、[ Mobile>Mobile デバイス メールボックス ポリシー] に移動し、特定のポリシーを選択します。 メールボックス ポリシーの詳細を示すウィンドウに、いくつかのポリシー設定が一覧表示されます。
PowerShell Exchange Onlineで、次のコマンドを実行します。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
このコマンドレットの詳細については、「 Get-MobileDeviceMailboxPolicy」を参照してください。