基本的なモビリティとセキュリティから Intune へのアクセス要件のポリシー マッピング
この記事では、基本的なモビリティとセキュリティから Intune へのマッピングの詳細について説明します。 具体的には、このページでは、Microsoft Purview コンプライアンス ポータルのアクセス要件ポリシーを Microsoft Intune の同等のポリシーにマップします。 Intune では、ポリシーの柔軟性が高くなります。 そのため、各 Office ポリシーは複数の Intune ポリシーと Microsoft Entra ポリシーに変換され、同じ結果が得られます。
Basic Mobility and Security から Intune に移行する場合は、 移行評価ツール を使用して、このマッピングの大部分を自動化できます。
Microsoft Purview コンプライアンス ポータルでこれらの設定を確認するには、 Purview コンプライアンス ポータルにサインインします。 次に、[デバイス セキュリティ ポリシー] の一覧に移動し、ポリシー名>[ポリシーの編集>アクセス要件] を選択します。
開始する前に
Intune ポリシーで設定を構成するには、 Microsoft Intune 管理センターにサインインします。 Microsoft Intune を使用したロールベースのアクセス制御 (RBAC) には、ポリシーを作成できる組み込みのロールが一覧表示され、説明されています。
デバイスが上記の要件を満たさない場合...
この設定は、すべてのアクセス要件設定に Intune コンプライアンス ポリシーまたは構成プロファイルを使用する必要があるかどうかを決定します。 最初に、この設定の詳細を確認してください。
注:
Basic Mobility と Security では、Windows での条件付きアクセスの適用はサポートされていません。
アクセスとレポート違反を許可する (1 回限りの登録は引き続き適用されます)
すべてのアクセス要件は、Intune デバイス構成プロファイルに展開されます。
アクセスをブロックし、違反について報告する
すべてのアクセス要件は、Intune コンプライアンス ポリシーに展開されます。 割り当てられたグループは、従来の条件付きアクセス ポリシーに割り当てられます。
- [GraphAggregatorService] デバイス ポリシー
- [Office 365 Exchange Online] デバイス ポリシー
- [Outlook Service for Exchange] デバイス ポリシー
- [Office 365 SharePoint Online] デバイス ポリシー
- [Outlook Service for OneDrive] デバイス ポリシー
パスワードを要求
注:
すべてのパスワード関連の設定は、Windows 上のローカル アカウントにのみ影響します。 Microsoft Entra ID から提供されたユーザー アカウントは、これらのポリシーによって管理されません。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
- デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance 設定 編集>System Security>モバイル デバイスのロックを解除するためのパスワードを必要とします
- デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定 編集>System Security>モバイル デバイスのロックを解除するためのパスワードを要求する
- デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance 設定 編集>System Security>モバイル デバイスのロックを解除するためのパスワードを要求する
単純なパスワードを禁止する
Android デバイスの場合、この設定と他の複数の Office 設定は、1 つの Android コンプライアンス設定でカバーされます。 そのため、この設定だけでは、特定の Android コンプライアンス値は決まりません。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance settings Edit>System Security>Simple パスワード
デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定編集>System Security>Simple パスワード
デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type.
- [単純なパスワードを禁止する] をオンにする場合は、(他の Office の設定に基づいて) [複雑な数字]、[英字]、[英数字]、または [英数字と記号] を選択します。
- [単純なパスワードを禁止する] をオフにする場合は、(他の Office の設定に基づいて) 一覧の [数字] またはより高い種類を選択します。
英数字のパスワードを要求
Android デバイスの場合、この設定と他の複数の Office 設定は、1 つの Android コンプライアンス設定でカバーされます。 そのため、この設定だけでは、特定の Android コンプライアンス値は決まりません。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance settings Edit>System Security>Required password type
デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance settings Edit>System Security>Required password type
デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type.
- [単純なパスワードを禁止する] をオンにする場合は、(他の Office の設定に基づいて) [複雑な数字]、[英字]、[英数字]、または [英数字と記号] を選択します。
- [単純なパスワードを禁止する] をオフにする場合は、(他の Office の設定に基づいて) 一覧の [数字] またはより高い種類を選択します。
パスワードに 1-4 種類以上の文字セットを含める必要がある
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
4 つのコンプライアンス ポリシー:
デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance 設定編集>System Security>Password の複雑さ。
Office の値 Intune の値 1 [数字と小文字が必要]。 Windows コンプライアンス ポリシーでは 1 つの文字セットのみが許可されないため、Office の設定 が 1 の場合、[ 数字と小文字を必須にする] に変換されます。 2 [数字と小文字が必要] 3 [数字、小文字、大文字が必要] 4 [数字、小文字、大文字、特殊文字が必要] デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance settings Edit>System Security>パスワード内の英数字以外の文字の番号。
iOS コンプライアンス ポリシーでは、文字セットの数は適用されませんが、使用する必要がある英数字以外の文字の数のみが適用されます。 そのため、Office の値は、同数の必要な英数字以外の文字に変換されます。
Office の値 Intune の値 無効 (0) 未構成 1 1 2 2 3 3 4 4 デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type.
Android では、小文字と大文字を異なる文字セットとして区別することはサポートされていないため、Office の値 4 は適用できません。 代わりに、少なくとも [英数字と記号] に変換されます。
Office の値 Intune の値 1 (他の Office の設定に基づいて) 少なくとも [数字] または [複雑な数字] 2 少なくとも [英数字] 3 少なくとも [英数字と記号] 4 少なくとも [英数字と記号] policy-name_OfficeMDM >Access コントロール>Grant>デバイスが準拠としてマークされるように設定する
パスワードの最小文字数
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance 設定 編集>System Security>Minimum パスワードの長さ
デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定編集>System Security>Minimum パスワードの長さ
デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type and Minimum password length.
[英数字のパスワードが必要] の Office の値 [英数字のパスワードが必要] の Intune の値 選択済み (他の Office の設定に基づいて) 少なくとも [数字] 未選択 (他の Office の設定に基づいて) 少なくとも [数字]
デバイスがワイプされるまでに許容されるサインインの失敗回数
この設定は、Basic Mobility and Security の [アクセス要件 ] の下に一覧表示されますが、アクセスは引き続き許可されます。 この設定がまだデバイスで有効になっていない場合でも許可され、この設定はデバイスのコンプライアンス基準ではありません。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つの構成プロファイル:
- デバイス>プラットフォーム別>Windows>デバイスの管理>構成>policy name_O365_W >Properties>Compliance 設定 デバイスをワイプする前のサインイン エラーの編集>Password>Number
- デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>構成>policy name_O365_i >Properties>Compliance 設定 デバイスをワイプする前のサインイン エラーの編集>Password>Number
- デバイス>プラットフォーム別>Android>デバイスの管理>構成>policy name_O365_A >Properties>Compliance 設定 デバイスをワイプする前のサインイン エラーの編集>Password>Number
次の期間非アクティブなデバイスをロックする
Windows、iOS/iPadOS、および Android のコンプライアンス ポリシーでは、同じ粒度の値が提供されないため、Office の設定範囲は Intune の値の数にマップされます。
3 つのコンプライアンス ポリシー:
デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance settings Edit>System Security>Maximum minutes of inactivity before password is required
Office の値 Intune の値 1 から 4 1 分 5 から 14 5 分 15 以上 15 分 デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance settings Edit>System Security>Maximum minutes of inactivity before password is required
Office の値 Intune の値 1 1 分 2 2 分 3 3 分 4 4 分 5 から 9 5 分 (iOS の最大値) 10 から 14 10 分 (iPadOS のみ) 15 以上 15 分 (iPadOS のみ) デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>Required password type.
Office の値 Intune の値 1 から 4 1 分 5 から 14 5 分 15 から 29 15 分 30 から 59 30 分 60 60 分
パスワードの期限切れ
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
- デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance 設定編集>System Security>Password の有効期限 (日数)
- デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定編集>System Security>Password の有効期限 (日数)
- デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>パスワードの有効期限が切れるまでの日数。
パスワードの履歴を記憶して再利用を防止
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つのコンプライアンス ポリシー:
デバイス>プラットフォーム別>Windows>デバイスの管理>コンプライアンス>policy name_O365_W >Properties>Compliance settings Edit>System Security>再利用を防ぐための以前のパスワードの番号
デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance settings Edit>System Security>再利用を防ぐための以前のパスワードの番号
デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance 設定編集>System Security>再利用を防ぐための以前のパスワードの番号と必要なパスワードの種類
[英数字のパスワードが必要] の Office の値 [英数字のパスワードが必要] の Intune の値 選択済み (他の Office の設定に基づいて) 少なくとも [数字] 未選択 (他の Office の設定に基づいて) 少なくとも [数字]
デバイス上のデータの暗号化を要求
Windows または iOS/iPadOS の基本的なモビリティとセキュリティでは、この設定を構成できませんでした。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
1 つのコンプライアンス ポリシー:
- デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance settings Edit>System Security>デバイス上のデータ ストレージの暗号化
脱獄またはルート化されたデバイスを接続しない
Windows の基本的なモビリティとセキュリティでは、この設定を構成できませんでした。
Android デバイスの場合、Intune では Android デバイス管理者デバイスに対してのみこの設定がサポートされます。
重要
Microsoft Intune は、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
2 つのコンプライアンス ポリシー:
- デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance 設定編集>Device Health>Jailbroken デバイス
- デバイス>プラットフォーム別>Android>デバイスの管理>コンプライアンス>policy name_O365_A >Properties>Compliance 設定 編集>Device Health>Rooted デバイス
[メール プロファイルの管理が必要] (iOS での選択的ワイプに必要)
この設定を必要にすることは、Windows または Android のコンプライアンスの基本的なモビリティとセキュリティではサポートされていませんでした。 Windows のメールは、Windows 10 の基本的なモビリティとセキュリティではサポートされていませんでした。
Android の場合、この設定は、Samsung Knox デバイス上の基本的なモビリティとセキュリティでのみサポートされていました。
Intune では、デバイス セキュリティ ポリシーで使用できない電子メールを展開するときに、さらに多くの設定を構成する必要があります。 詳細については、「 Intune で電子メール プロファイルに必要なその他の設定」を参照してください。
デバイスが上記の要件を満たしていない場合は、[アクセスをブロックして違反を報告する] に設定されている場合は、次に示すように Intune コンプライアンス ポリシーを使用します。 この設定が [許可] に設定されている場合は、代わりに構成プロファイルを使用します。
3 つの構成プロファイルと 1 つのコンプライアンス ポリシー:
デバイス>プラットフォーム別>Windows>デバイスの管理>構成> policy name_O365_W_Email >Properties>Configuration settings Edit
設定 値 電子メール サーバー outlook.office365.com アカウント名 Office 365 メール Microsoft Entra ID からの Username 属性 ユーザー プリンシパル名 Microsoft Entra ID からの電子メール アドレス属性 ユーザー プリンシパル名 SSL 有効にする デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>構成> policy name_O365_i_Email >Properties>Configuration settings Edit
設定 値 電子メール サーバー outlook.office365.com アカウント名 Office 365 メール Microsoft Entra ID からの Username 属性 ユーザー プリンシパル名 Microsoft Entra ID からの電子メール アドレス属性 ユーザー プリンシパル名 認証名 ユーザー名とパスワード SSL 有効にする デバイス>プラットフォーム別>iOS/iPadOS>デバイスの管理>コンプライアンス>policy name_O365_i >Properties>Compliance settings Edit>Email>Unable を使用して、デバイスに電子メールを設定します>Require
デバイス>Android ** >Configuration プロファイル> ポリシー name_O365_A_Email >Properties> ** 構成設定編集
設定 値 電子メール サーバー outlook.office365.com アカウント名 Office 365 メール Microsoft Entra ID からの Username 属性 ユーザー プリンシパル名 Microsoft Entra ID からの電子メール アドレス属性 ユーザー プリンシパル名 認証名 ユーザー名とパスワード SSL 有効にする
Intune で電子メール プロファイルに必要なその他の設定
次の設定は、デバイス セキュリティ ポリシーによって展開されません。 ただし、電子メール プロファイルを展開する場合、Intune では設定に値が必要です。
| プラットフォーム | Setting | 移行の値 |
|---|---|---|
| Android | S/MIME を使用する必要がある | false |
| Android | 連絡先の同期 | true |
| Android | 予定表の同期 | true |
| Android | タスクの同期 | true |
| Android | メモの同期 | false |
| iOS | 他のメール アカウントへのメッセージの移動をブロックする | false |
| iOS | サードパーティのアドレスからのメールの送信をブロックする | false |
| iOS | 最近使用したメール アドレスの同期をブロックする | false |
| iOS | S/MIME を使用する必要がある | false |
| Windows 10 | 連絡先の同期 | true |
| Windows 10 | 予定表の同期 | true |
| Windows 10 | タスクの同期 | true |
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示