Add e-mail settings for iOS and iPadOS devices in Microsoft Intune (Microsoft Intune で iOS デバイスおよび iPadOS デバイス用のメール設定を追加する)

Microsoft Intune では、Exchange 電子メール サーバーに接続する電子メールを作成して構成したり、ユーザーの認証方法を選択したり、暗号化に S/MIME を使用したりできます。 電子メール プロファイルは、デバイス上のネイティブまたは組み込みの電子メール アプリを使用し、ユーザーが組織のメールに接続できるようにします。

この機能は、以下に適用されます。

• iOS/iPadOS

この記事では、iOS/iPadOS を実行しているデバイスで使用できるすべての電子メール設定について説明します。 デバイス構成プロファイルを作成して、これらの電子メール設定を iOS/iPadOS デバイスにプッシュまたは展開できます。

開始する前に

• メール アプリをデプロイします。 詳細については、 電子メール アプリの構成に関するページを参照してください。

• iOS/iPadOS 電子メール デバイス構成プロファイルを作成します。

• これらの設定:

  • すべての登録の種類で使用できます。 登録の種類の詳細については、「 iOS/iPadOS 登録」を参照してください。
  • Apple ExchangeActiveSync ペイロードを使用します (Apple の Web サイトが開きます)。

Exchange ActiveSync アカウント設定

• 電子メール サーバー: Exchange サーバーのホスト名を入力します。

• [アカウント名]: メール アカウントの表示名を入力します。 この名前は、デバイスでユーザーに対して表示されます。

• Microsoft Entra ID の Username 属性: この名前は、Intune が Microsoft Entra ID から取得する属性です。 Intune では、このプロファイルで使用されるユーザー名が動的に生成されます。 次のようなオプションがあります:

  • ユーザー プリンシパル名: user1 や などの名前を取得します。 user1@contoso.com
  • プライマリ SMTP アドレス: 電子メール アドレス形式で簡易メール転送プロトコル (SMTP) 名を取得します (例: user1@contoso.com
  • sAM アカウント名: domain\user1などのドメインが必要です。 また、以下の内容も入力します。
    • ユーザー ドメイン名のソース: [Microsoft Entra ID ] または [ カスタム] を選択します。

      • Microsoft Entra ID: Microsoft Entra ID から属性を取得します。 また、以下の内容も入力します。

        • Microsoft Entra ID のユーザー ドメイン名属性: ユーザーの 完全なドメイン名 (contoso.com) または NetBIOS 名 (contoso) 属性を取得することを選択します。

      • カスタム: カスタム ドメイン名から属性を取得します。 また、以下の内容も入力します。

        • 使用するカスタム ドメイン名: Intune がドメイン名に使用する値 ( contoso.com や contosoなど) を入力します。

• Microsoft Entra ID のメール アドレス属性: ユーザーのメール アドレスの生成方法を選択します。 選んだ属性と一致するメール アドレスをユーザーが持っていることを確認してください。 次のようなオプションがあります。

  • ユーザー プリンシパル名: user1@contoso.com や user1など、完全なプリンシパル名を電子メール アドレスとして使用します。
  • プライマリ SMTP アドレス: Exchange にサインインするプライマリ SMTP アドレス ( user1@contoso.comなど) を使用します。

• 認証方法: ユーザーが電子メール サーバーに対して認証する方法を選択します。 次のようなオプションがあります:

  • 証明書: Exchange 接続を認証するために前に作成したクライアント SCEP または PKCS 証明書プロファイルを選択します。 このオプションは、ユーザーにとって最も安全で優れたエクスペリエンスを提供します。
  • ユーザー名とパスワード: ユーザー名とパスワードの入力を求められます。
  • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 詳細については、「 Microsoft Intune で派生資格情報を使用する」を参照してください。

  注:

  Azure 多要素認証はサポートされていません。

• SSL: 有効にすると 、メールの送信、電子メールの受信、Exchange サーバーとの通信時に Secure Sockets Layer (SSL) 通信が使用されます。 無効にすると 、Secure Sockets Layer (SSL) 通信が使用されます。

• OAuth: 有効にすると 、メールの送信、電子メールの受信、Exchange との通信時に Open Authorization (OAuth) 通信が使用されます。 OAuth サーバーで証明書認証が使用されている場合は、認証方法として [証明書] を選択し、プロファイルに証明書を含めます。 それ以外の場合は、認証方法として [ユーザー名とパスワード] を選択します。 OAuth を使用する場合は、次のことを確認してください。

  • このプロファイルをユーザーにターゲットにする前に、メール ソリューションで OAuth がサポートされていることを確認します。 Microsoft 365 Exchange Online では OAuth がサポートされています。 オンプレミスの Exchange やその他のパートナーまたは Microsoft 以外のソリューションが OAuth をサポートしていない可能性があります。 オンプレミスの Exchange は、先進認証用に構成できます。 詳細については、「 ハイブリッド先進認証の概要とオンプレミスの Skype for Business および Exchange サーバーの前提条件」を参照してください。

    電子メール プロファイルが Oauth を使用していて、電子メール サービスでサポートされていない場合は、[ パスワードの再入力 ] オプションが壊れているように見えます。 たとえば、ユーザーが Apple のデバイス設定で [パスワードの再入力 ] を選択しても何も起こりません。

  • OAuth が有効になっている場合、エンド ユーザーには、多要素認証 (MFA) をサポートする別の "モダン認証" メール サインイン エクスペリエンスがあります。

  • 一部の組織では、エンド ユーザーが セルフサービス アプリケーション アクセスを行う機能を無効にします。 このシナリオでは、管理者が "iOS アカウント" エンタープライズ アプリを作成し、ユーザーに Microsoft Entra ID でアプリへのアクセスを許可するまで、先進認証サインインが失敗する可能性があります。

    既定のアクションでは、アプリケーション アクセス パネルの [アプリの追加] 機能を使用して、ビジネスの承認なしでアプリケーションを追加します。 詳細については、「 アプリケーションにユーザーを割り当てる」を参照してください。

  注:

  OAuth を有効にすると、次の処理が実行されます。

  1. 既に対象になっているデバイスには、新しいプロファイルが発行されます。
  2. エンド ユーザーは、資格情報をもう一度入力するように求められます。

Exchange ActiveSync プロファイルの構成

これらの設定を構成すると、既存の電子メール プロファイルが更新されてこれらの設定が含まれる場合でも、新しいプロファイルがデバイスに展開されます。 ユーザーは、Exchange ActiveSync アカウントのパスワードを入力するように求められます。 これらの設定は、パスワードが入力されたときに有効になります。

• 同期する Exchange データ: Exchange ActiveSync を使用する場合は、デバイスで同期される Exchange サービス (予定表、連絡先、リマインダー、メモ、電子メール) を選択します。 次のようなオプションがあります:

  • すべてのデータ (既定値): すべてのサービスに対して同期が有効になっています。
  • 電子メールのみ: 同期は電子メールに対してのみ有効です。 他のサービスの同期は無効になっています。
  • 予定表のみ: 同期は予定表でのみ有効です。 他のサービスの同期は無効になっています。
  • 予定表と連絡先のみ: 同期は予定表と連絡先に対してのみ有効です。 他のサービスの同期は無効になっています。
  • 連絡先のみ: 同期は連絡先に対してのみ有効です。 他のサービスの同期は無効になっています。

  この機能は、以下に適用されます。

  • iOS 13.0 以降
  • iPadOS 13.0 以降

• ユーザーによる同期設定の変更を許可する: ユーザーがデバイス上の Exchange サービスの Exchange ActiveSync 設定を変更できるかどうかを選択します(予定表、連絡先、リマインダー、メモ、電子メール)。 次のようなオプションがあります:

  • はい (既定値): ユーザーはすべてのサービスの同期動作を変更できます。 [ はい ] を選択すると、 すべての サービスを変更できます。
  • いいえ: ユーザーはすべてのサービスの同期設定を変更できません。 [ いいえ ] を選択すると、 すべての サービスに対する変更がブロックされます。

  ヒント

  一部のサービスのみを 同期するように Exchange データを同期するように 設定した場合は、この設定で [いいえ ] を選択することをお勧めします。 [いいえ] を選択すると、ユーザーは同期されている Exchange サービスを変更できなくなります。

  この機能は、以下に適用されます。

  • iOS 13.0 以降
  • iPadOS 13.0 以降

Exchange ActiveSync メール設定

• S/MIME: S/MIME では、署名、暗号化、復号化によって、メール通信にセキュリティを強化する電子メール証明書が使用されます。 メール メッセージで S/MIME を使用する場合は、送信者の信頼性とメッセージの整合性と機密性を確認します。

  次のようなオプションがあります:

  • S/MIME を無効にする (既定値): S/MIME メール証明書を使用してメールの署名、暗号化、または暗号化解除を行いません。

  • S/MIME を有効にする: ユーザーが iOS/iPadOS ネイティブ メール アプリケーションで電子メールに署名または暗号化できるようにします。 また、以下の内容も入力します。

    • S/MIME 署名が有効: 無効 (既定値) では、ユーザーがメッセージにデジタル署名することはできません。 有効にすると 、ユーザーは入力したアカウントの送信メールにデジタル署名できます。 署名を使用すると、メッセージを受信するユーザーは、送信者を装ったユーザーではなく、特定の送信者からメッセージが送信されたことを確認できます。

      • [ユーザーによる設定の変更を許可する]: [有効] を選択 すると、ユーザーは署名オプションを変更できます。 [無効] (既定値) を使用すると、ユーザーは署名を変更できず、ユーザーは構成した署名を強制的に使用できます。

      • 署名証明書の種類: オプション:

        • 未構成: Intune はこの設定を更新または変更しません。
        • なし: 管理者は、特定の証明書を強制しません。 ユーザーが独自の証明書を選択できるように、このオプションを選択します。
        • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 詳細については、「 Microsoft Intune で派生資格情報を使用する」を参照してください。
        • 証明書: 電子メール メッセージに署名する既存の SCEP または PKCS 証明書プロファイルを選択します。

      • [ユーザーによる設定の変更を許可する]: [有効] を選択 すると、ユーザーは署名証明書を変更できます。 [無効] (既定値) を使用すると、ユーザーは署名証明書を変更できず、構成した証明書を強制的に使用できます。

        この機能は、以下に適用されます。

        • iOS 12 以降
        • iPadOS 12 以降

    • [既定で暗号化]: [有効] にすると、既定の動作としてすべてのメッセージが暗号化されます。 無効 ( 既定値) では、既定の動作としてすべてのメッセージが暗号化されるわけではありません。

      • [ユーザーによる設定の変更を許可する]: [有効] を選択 すると、ユーザーは既定の暗号化動作を変更できます。 [無効] を選択 すると、ユーザーは暗号化の既定の動作を変更できなくなり、ユーザーは構成した暗号化を強制的に使用できます。

        この機能は、以下に適用されます。

        • iOS 12 以降
        • iPadOS 12 以降

    • メッセージごとの暗号化を強制する: メッセージごとの暗号化を使用すると、ユーザーは送信前に暗号化するメールを選択できます。

      [有効] には 、新しいメールを作成するときにメッセージごとの暗号化オプションが表示されます。 その後、ユーザーはメッセージごとの暗号化をオプトインまたはオプトアウトできます。 [既定で暗号化] 設定も有効になっている場合、メッセージごとの暗号化を有効にすると、ユーザーはメッセージごとに暗号化をオプトアウトできます。

      [無効] (既定値) にすると、メッセージごとの暗号化オプションが表示されなくなります。 [既定で暗号化] 設定も無効になっている場合、メッセージごとの暗号化を有効にすると、ユーザーはメッセージごとに暗号化をオプトインできます。

      • 暗号化証明書の種類: オプション:

        • 未構成: Intune はこの設定を更新または変更しません。
        • なし: 管理者は、特定の証明書を強制しません。 ユーザーが独自の証明書を選択できるように、このオプションを選択します。
        • 派生資格情報: ユーザーのスマート カードから派生した証明書を使用します。 詳細については、「 Microsoft Intune で派生資格情報を使用する」を参照してください。
        • 証明書: 電子メール メッセージに署名する既存の SCEP または PKCS 証明書プロファイルを選択します。

      • [ユーザーによる設定の変更を許可する]: [ユーザーが暗号化証明書を変更できるようにする ] を有効にします 。 [無効] (既定値) を使用すると、ユーザーは暗号化証明書を変更できず、ユーザーは構成した証明書を強制的に使用できます。

        この機能は、以下に適用されます。

        • iOS 12 以降
        • iPadOS 12 以降

• 同期するメールの量: 同期するメールの日数を選択します。 または、[ 無制限 ] を選択して、使用可能なすべてのメールを同期します。

• 他のメール アカウントへのメッセージの移動を許可する: [有効] (既定値) を使用すると、ユーザーはデバイスで構成された別のアカウント間で電子メール メッセージを移動できます。 無効にすると 、ユーザーはメール メッセージを移動できなくなります。

• [サード パーティ製アプリケーションからの電子メールの送信を許可する]: [有効] (既定値) にすると、ユーザーは電子メールを送信するための既定のアカウントとしてこのプロファイルを選択できます。 これにより、Microsoft 以外のアプリケーションとパートナー アプリケーションは、メールにファイルを添付するなどのネイティブメール アプリで電子メールを開きます。 無効にすると 、この機能は無効になります。

• 最近使用したメール アドレスを同期する: [有効] (既定値) を使用すると、デバイスで最近使用されたメール アドレスの一覧をサーバーと同期できます。 無効にすると 、この機能は無効になります。

• アカウントごとの VPN プロファイル VPN: iOS/iPadOS 14 以降では、ネイティブメール アプリのメール トラフィックは、ユーザーが使用しているアカウントに基づいて VPN 経由でルーティングできます。 [なし] に設定すると、Intune では、この電子メール プロファイルのアカウントごとの VPN は有効になりません。

  作成したアプリごとの VPN 接続がこの一覧に表示されます。 一覧から VPN プロファイルを選択すると、メール アプリ内のこのアカウントとの間で送受信されるすべてのメールで VPN トンネルが使用されます。 ユーザーがメール アプリで組織アカウントを使用すると、アプリごとの VPN 接続が自動的にオンになります。

  この機能は、以下に適用されます。

  • iOS 14 以降
  • iPadOS 14 以降

関連記事

• プロファイルを割り当て、その状態を監視します。

• Android、Android Enterprise、および Windows 10 デバイスで電子メール設定を構成します。