Exchange Online で Outlook for iOS と Outlook for Android を管理する

  • [アーティクル]

概要: この記事では、Exchange Online で iOS および Android 用の Outlook を使うモバイル デバイスを管理するためのベスト プラクティスについて説明します。

Outlook for iOS と Android を使用すると、ユーザーは、Microsoft 365 と Office 365 の最高の機能をサポートする唯一のアプリである一方で、高速で直感的なメールと予定表のエクスペリエンスが提供されます。 さらに、Microsoft には、Exchange Online 組織内のモバイル デバイスで会社のデータを管理および保護するための多くのユーティリティが用意されています。

デバイスとアプリケーションを管理するためのオプション

iOS および Android 用の Outlook を管理する場合、次のオプションを利用できます。

  1. 推奨: Microsoft Intune と Microsoft Entra 条件付きアクセスを含む Enterprise Mobility + Security スイート。

  2. Microsoft 365 の基本的なモビリティとセキュリティ。

  3. サード パーティの統合エンドポイント管理ソリューション。

  4. モバイル デバイス アクセスとモバイル デバイス メールボックス ポリシー。

注:

3 つのオプションそれぞれの実装の詳細については、「Exchange Online で Outlook for iOS と Outlook for Android を保護する」を参照してください。

Microsoft では、これらのサービスによって提供される高度な機能により、Enterprise Mobility + Security スイートの機能を使用してモバイル デバイス上の企業データを保護することをお勧めします。

重要

ユーザーが Outlook for iOS および Android で認証を行うと、次のような Microsoft Entra 条件付きアクセス ポリシーがユーザーに適用されている場合、Exchange Online モバイル デバイスアクセスルール (許可、ブロック、検疫) はスキップされます。

注:

Get-MobileDeviceなどのモバイル デバイス コマンドレットを使用してデバイスの状態を確認する場合、LastSyncTime プロパティで示される Outlook for iOS と Android の同期のタイムスタンプは、同期の実際の時刻から最大 15 分遅れている可能性があります。 デバイスの同期はリアルタイムで行われていても、返されるタイム スタンプに遅れが生じることがあります。

Enterprise Mobility + Security を使う

Microsoft 365 および Office 365 データの最も豊富で広範な保護機能は、Enterprise Mobility + Security スイートをサブスクライブするときに利用できます。 このスイートには、Microsoft Intune、Azure Information Protection、Microsoft Entra ID P1 または P2 の機能 (条件付きアクセスなど) が含まれています。

注:

Enterprise Mobility + Security Suite サブスクリプションには Microsoft Intune と Microsoft Entra ID の両方のライセンスが含まれていますが、お客様は Microsoft Intune ライセンスと Microsoft Entra ID P1 または P2 ライセンスを個別に購入できます。 すべてのユーザーは、この記事で説明されている条件付きアクセスと Intune アプリ保護ポリシーを活用するためには、ライセンスが付与されている必要があります。

Intune には、モバイル アプリケーション管理 (MAM) 機能、およびその他の条件付きアクセスとデバイス管理機能が用意されています。 Intune アプリ保護ポリシーを使用すると、Intune によって管理されるアプリとアンマネージド アプリの間で企業データに対するアクションを制限できます。 たとえば、切り取り、コピー、貼り付け、"名前を付けて保存" などです。詳細については、「 アプリ保護ポリシーを作成して割り当てる方法」を参照してください。 また、Intune で管理される Outlook アプリには、複数の ID を管理するための新機能が含まれており、ユーザーは、同じ Outlook アプリで個人用と職場の両方の電子メール アカウントにアクセスできますが、Intune アプリ保護ポリシーは職場アカウントにのみ適用できます。 この機能により、はるかにシームレスなユーザー エクスペリエンスが提供されます。

条件付きアクセスは Microsoft Entra ID の機能であり、特定の条件に基づいてアプリのアクセス制御を一元的に適用できます。 条件付きアクセス ポリシーを使用すると、必要な条件下で、適切なアクセス制御を適用することができます。 Microsoft Entra 条件付きアクセスを使用すると、このようなセキュリティが必要な場合にセキュリティが強化され、そうでない場合はユーザーの邪魔になりません。

iOS および Android 用の Outlook を使用したときの Enterprise Mobility + Security スイートの主な機能は以下のとおりです。

  • 条件付きアクセス。 Microsoft Entra ID を使用すると、条件付きアクセス要件が満たされている場合にのみ Exchange Online メールにアクセスできます。 デバイス登録の詳細については、「 条件付きアクセスとは」を参照してください。

  • Intune アプリ保護。 iOS および Android 用の Outlook では、Intune アプリ保護ポリシーを使うことにより、会社のデータを保護することができます。 この方法は、ユーザーのデバイスを管理せずに企業データを安全に保つ "独自のデバイスを持ち込む" (BYOD) シナリオに最適なオプションです。 Intune アプリ保護ポリシーの詳細については、「Microsoft Intune でアプリ保護ポリシーを使用してアプリ データを保護する」を参照してください。

  • デバイスの登録。 Intune で、従業員のデバイスとアプリ、および従業員による会社のデータへのアクセス方法を管理することができます。 iOS および Android 用の Outlook では、Exchange Online メールにアクセスできるのは、管理されている準拠している電話とタブレットのみです。 ユーザーが管理されていないモバイル デバイスで Outlook アプリにサインインすると、Azure 条件付きアクセス ポリシーを使用してデバイスを Intune に登録するようにユーザーに求められた後、デバイスが組織のデバイス コンプライアンス基準を満たしていることを検証します。

  • デバイスの管理とレポート。 登録プロセスを使用すると、組織はセキュリティ ポリシーを設定および管理できます。 たとえば、デバイス レベルの PIN ロックを適用し、データ暗号化を要求し、侵害されたデバイスをブロックして、信頼されていないデバイスが企業の電子メールやデータにアクセスできないようにします。 登録されている各デバイスが Microsoft 365 管理センターに表示され、レポートを使用して、会社のデータにアクセスするデバイスの詳細を提供できます。

  • 選択的ワイプ。 Microsoft Intune では、Outlook for iOS と Android から電子メール データを削除できますが、個人のメール アカウントはそのまま残ります (デバイスが登録されているかどうか)。 この機能は、より多くの企業が携帯電話やタブレットに「独自のデバイスを持ち込む」アプローチを採用するため、ますます重要な要件です。

Microsoft 365 の基本的なモビリティとセキュリティの使用

Microsoft 365 の基本的なモビリティとセキュリティは、追加コストなしでデバイス管理機能を提供します。 Microsoft Intune は、これらの基本的な機能を強化し、基本を必要とする組織向けの Microsoft 365 管理センターの主要なコントロール セットを提供します。

デバイスが登録された後でも、使用できるアプリを制御するネイティブ機能はありません。 iOS および Android 用 Outlook へのアクセスを制限する場合は、条件付きアクセス ポリシーを使用するために Microsoft Entra ID P1 または P2 ライセンスが必要です。

Outlook for iOS および Android では、Basic Mobility and Security for Microsoft 365 によって提供される機能が完全にサポートされています。

詳細については、次のリソースを参照してください。

サード パーティの統合エンドポイント管理ソリューションの使用

サード パーティの統合エンドポイント管理プロバイダーは、既存のツールを使用して、iOS または Android アプリを展開するのと同じ方法で Outlook for iOS と Android を展開できます。 また、重要なユニバーサル デバイス管理コントロールを適用することもできます。 たとえば、デバイス PIN、デバイス暗号化、デバイス ワイプなどです。

サード パーティのプロバイダーは、アカウントのセットアップ、組織の許可されたアカウント モード、一般的なアプリ構成設定など、特定のアプリ構成設定を Outlook for iOS および Android に展開することもできます。詳細については、「 Outlook for iOS および Android アプリの構成設定の展開」を参照してください。

アプリ内の企業データを管理および保護するには (たとえば、会社のデータを使用して切り取り、コピー、貼り付け、名前を付けて保存する)、お客様は Microsoft の Enterprise Mobility + Security スイートを使用する必要があります。

モバイル デバイス アクセスおよびモバイル デバイス メールボックス ポリシーの使用

Microsoft では、Enterprise Mobility + Security スイートまたは組み込みの Basic Mobility and Security for Microsoft 365 のいずれかを使用して、モバイル デバイス上の会社のデータを管理することをお勧めします。これらのサービスによって提供される高度な機能が原因です。 Outlook for iOS および Android では、モバイル デバイス アクセスとモバイル デバイス メールボックス ポリシー (旧称 Exchange Active Sync ポリシー) がサポートされています。これは Exchange 管理センターから入手できます。

iOS および Android 用の Outlook は、次の Exchange のモバイル デバイス メールボックス ポリシーの設定をサポートしています。

  • デバイスの暗号化が必要

  • 最小パスワード長 (Android の場合のみ)

  • パスワード有効

  • Bluetoothを許可する (Intune アプリ保護ポリシーが使用されていない場合に Outlook for Android ウェアラブル アプリを管理するために使用)

    • この設定が有効になっている (既定で有効になっている) 場合、または HandsfreeOnly 用に構成されている場合、Android デバイスとウェアラブル デバイス間の Outlook 同期は職場または学校アカウントで許可されます。
    • この設定を無効にすると、Android デバイスとウェアラブル デバイスの間の Outlook 同期は職場または学校のアカウントでは許可されません (以前に同期されたアカウントのデータは削除されます)。 同期を無効にすることは、Outlook 自体内で完全に制御されます。 Bluetoothは、デバイスまたはウェアラブルで無効にされておらず、その他のウェアラブル アプリにも影響を与えません。

既存のモバイル デバイスのメールボックス ポリシーを作成または変更する方法についての情報は、「Exchange Online のモバイル デバイス メールボックス ポリシー」を参照してください。

Exchange 管理者は、Exchange 管理センターを使用して、Outlook for iOS および Android に対してリモート デバイス ワイプを開始することもできます。 リモート ワイプ要求を受信すると、アプリは Outlook プロファイルと、それに関連付けられているすべてのデータを削除します。

注:

Outlook for iOS および Android では、[ データのワイプ ] リモート ワイプ コマンドのみがサポートされ、Exchange 管理センターで定義されている アカウントのみのリモート ワイプ デバイス はサポートされていません。 リモート ワイプを実行する方法の詳細については、「 携帯電話でリモート ワイプを実行する」を参照してください。

Microsoft Intune の詳細については、「Microsoft Intune のドキュメント」を参照してください