基本的なモビリティとセキュリティの機能
Basic Mobility and Security は、組織内のライセンスを持つ Microsoft 365 ユーザーが使用する iPhone、iPad、Android、Windows Phone などのモバイル デバイスをセキュリティで保護および管理するのに役立ちます。 サポートされているモバイル デバイスとアプリの組織の Microsoft 365 メールとドキュメントへのアクセスを制御するのに役立つ設定を使用して、モバイル デバイス管理ポリシーを作成できます。 デバイスの紛失または盗難時には、リモートからデバイスをワイプして、組織の機密情報を削除できます。
サポートされるオペレーティング システム
Basic Mobility and Security によってデバイスでサポートされる最小オペレーティング システムについては、Microsoft Intune オペレーティング システム ガイドに従ってください。 詳細については、「 Intune でサポートされているオペレーティング システム」を参照してください。
Basic Mobility と Security を使用して、次のデバイスをセキュリティで保護および管理できます。
- iOS
- Android (Samsung Knox を含む)1
- Windows2、3
12020 年 6 月以降、9 より後の Android バージョンでは、Samsung Knox デバイス以外のパスワード設定を管理できません。
2Windows 8.1 RT デバイスのアクセス制御は、Exchange ActiveSync に制限されます。
3Windows 10 のアクセス制御には、Microsoft Entra ID P1 または P2 を含むサブスクリプションが必要であり、デバイスを Microsoft Entra ID に参加させる必要があります。
注:
以前の OS バージョンに既に登録されているデバイスは引き続き機能しますが、機能は予告なく変更される可能性があります。
組織内のユーザーが Basic Mobility and Security でサポートされていないモバイル デバイスを使用している場合は、組織のデータのセキュリティを強化するために、それらのデバイスの Microsoft 365 メールへの Exchange ActiveSync アプリアクセスをブロックすることができます。 Exchange ActiveSync をブロックする手順については、「 Basic Mobility and Security でデバイス アクセス設定を管理する」を参照してください。
Microsoft 365 の電子メールとドキュメントのアクセス制御
次の表に示すさまざまな種類のモバイル デバイスでサポートされているアプリでは、ユーザーのデバイスに適用される新しいモバイル デバイス管理ポリシーがあり、ユーザーが以前にデバイスを登録していない Basic Mobility and Security に登録するように求められます。 ユーザーのデバイスがポリシーに準拠していない場合、ポリシーの設定方法によっては、ユーザーがこれらのアプリ内の Microsoft 365 リソースへのアクセスをブロックされたり、アクセス権を持っている可能性がありますが、Microsoft 365 ではポリシー違反が報告される可能性があります。
製品 | iOS | Android |
---|---|---|
Exchange Exchange ActiveSync には、Exchange ActiveSync バージョン 14.1 以降を使用する組み込みの電子メールアプリと、TouchDown などのサードパーティ製アプリが含まれています。 | メール | 電子メール |
Microsoft 365 および OneDrive for Business のアプリ | Outlook OneDrive Word Excel PowerPoint |
スマートフォンとタブレットの場合: Outlook OneDrive Word Excel PowerPoint 電話のみ: Microsoft 365 mobile |
注:
- iOS 10.0 以降のバージョンのサポートには、iPhone デバイスと iPad デバイスが含まれます。
- BlackBerry OS デバイスの管理は、Basic Security と Mobility ではサポートされていません。 BlackBerry OS デバイスを管理するには、BlackBerry から BlackBerry Business Cloud Services (BBCS) を使用します。 Android OS を実行している Blackberry デバイスは、標準の Android デバイスとしてサポートされています
- モバイル ブラウザーを使用して Microsoft 365 SharePoint サイト、Web 上の Microsoft 365 のドキュメント、Outlook Web App の電子メールにアクセスする場合、ユーザーは登録を求めず、ポリシー違反のブロックや報告もされません。
次の図は、新しいデバイスを持つユーザーが、Basic Mobility and Security でアクセス制御をサポートするアプリにサインインした場合の動作を示しています。 ユーザーは、デバイスを登録するまで、アプリ内の Microsoft 365 リソースへのアクセスがブロックされます。
注:
Microsoft 365 Business Standard の Basic Mobility and Security で作成されたポリシーとアクセス規則は、Exchange 管理センターで作成された Exchange ActiveSync モバイル デバイス メールボックス ポリシーとデバイス アクセス規則をオーバーライドします。 デバイスが Microsoft 365 Business Standard の Basic Mobility and Security に登録されると、そのデバイスに適用されている Exchange ActiveSync モバイル デバイス メールボックス ポリシーまたはデバイス アクセス 規則は無視されます。 Exchange ActiveSync の詳細については、「 Exchange Online の Exchange ActiveSync」を参照してください。
モバイル デバイス用のポリシー設定
特定の設定を有効にしてアクセスをブロックするポリシーを作成した場合、Microsoft 365 のメールとドキュメントのアクセス制御に記載されているサポートされているアプリを使用している場合、ユーザーは Microsoft 365 リソースへのアクセスをブロックされます。
ユーザーが Microsoft 365 リソースにアクセスできないようにするための設定は、次のセクションにあります。
セキュリティ
暗号化
脱獄
管理された電子メール プロファイル
例として次の図は、登録済みデバイスを使用しているユーザーが、そのデバイスに適用されるモバイル デバイス管理ポリシーのセキュリティ設定を満たしていない場合の動作を示しています。 ユーザーは、Basic Mobility and Security を使用してアクセス制御をサポートするアプリにサインインします。 デバイスがセキュリティ設定に準拠するまで、アプリ内の Microsoft 365 リソースへのアクセスはブロックされます。
次のセクションでは、Microsoft 365 組織リソースに接続するモバイル デバイスのセキュリティ保護と管理に使用できるポリシー設定の一覧を示します。
セキュリティの設定
設定名 | iOS | Android | Samsung Knox |
---|---|---|---|
パスワードを要求 | はい | いいえ | いいえ |
シンプルなパスワードを禁止 | はい | いいえ | いいえ |
英数字のパスワードを要求 | はい | いいえ | いいえ |
パスワードの最小文字数 | はい | はい | はい |
デバイスがワイプされるまでのサインイン失敗回数 | はい | はい | はい |
デバイスがロックされるまでのアイドル時間 (分) | はい | いいえ | いいえ |
パスワードの有効期限 (日) | はい | はい | はい |
パスワードの履歴を記憶して再利用を防止 | はい | はい | はい |
重要
この数分間非アクティブなデバイスのロック は、Android と Samsung Knox ではサポートされなくなりました。
暗号化の設定
設定名 | iOS | Android | Samsung Knox |
---|---|---|---|
デバイスでデータ暗号化を要求する1 | いいえ | はい | はい |
1Samsung Knox では、ストレージ カードに暗号化を必要とすることもできます。
脱獄の設定
設定名 | iOS | Android | Samsung Knox |
---|---|---|---|
デバイスの脱獄またはルート化はできません | はい | はい | はい |
管理された電子メール プロファイルのオプション
手動で作成したメール プロファイルを使用している場合、次のオプションを使用すると、ユーザーが Microsoft 365 メールにアクセスできないようにすることができます。 iOS デバイスを使用しているユーザーは、電子メールにアクセスする前に、手動で作成した電子メール プロファイルを削除しておく必要があります。 プロファイルを削除すると、デバイスに新しいプロファイルが自動的に作成されます。 エンド ユーザーが準拠する方法については、「 既存のメール アカウントが見つかりました」を参照してください。
設定名 | iOS | Android | Samsung Knox |
---|---|---|---|
電子メール プロファイルが管理されている | はい | いいえ | いいえ |
クラウドの設定
設定名 | iOS | Android | Samsung Knox |
---|---|---|---|
暗号化されたバックアップを要求 | はい | いいえ | いいえ |
クラウド バックアップをブロックする 1 | はい | いいえ | いいえ |
ドキュメント同期をブロックする 1 | はい | いいえ | いいえ |
写真の同期の禁止 | はい | いいえ | いいえ |
Google バックアップを許可する | 該当なし | いいえ | はい |
Google アカウントの自動同期を許可する | 該当なし | いいえ | はい |
1機能するには、これらの設定には監視対象の iOS デバイスが必要です。
システムの設定
設定名 | iOS | Android | Samsung Knox |
---|---|---|---|
画面キャプチャの禁止 | はい | いいえ | はい |
デバイスからの診断データ送信の禁止 | はい | いいえ | はい |
アプリケーションの設定
設定名 | iOS | Android | Samsung Knox |
---|---|---|---|
デバイス1 でビデオ会議をブロックする | はい | いいえ | いいえ |
アプリケーション ストアへのアクセスをブロックする 1 | はい | いいえ | はい |
アプリケーション ストアへアクセスする際にパスワードを要求する | はい | いいえ | いいえ |
1機能するには、これらの設定には監視対象の iOS デバイスが必要です。
デバイスの機能の設定
設定名 | iOS | Android | Samsung Knox |
---|---|---|---|
リムーバブル記憶域との接続の禁止 | いいえ | いいえ | はい |
Bluetooth 接続の禁止 | いいえ | いいえ | はい |
その他の設定
Security & Compliance PowerShell コマンドレットを使用して、次の追加ポリシー設定を設定できます。 詳細については、「セキュリティ/コンプライアンス PowerShell」を参照してください。
設定名 | iOS | Android |
---|---|---|
CameraEnabled | はい | はい |
RegionRatings | はい | いいえ |
MoviesRatings | はい | いいえ |
TVShowsRating | はい | いいえ |
AppsRatings | はい | いいえ |
AllowVoiceDialing | はい | いいえ |
AllowVoiceAssistant | はい | いいえ |
AllowAssistantWhileLocked | はい | いいえ |
AllowPassbookWhileLocked | はい | いいえ |
MaxPasswordGracePeriod | はい | いいえ |
PasswordQuality | いいえ | はい |
SystemSecurityTLS | はい | いいえ |
WLANEnabled | いいえ | いいえ |
Windows でサポートされる設定
Windows 10 デバイスは、モバイル デバイスとして登録することで管理できます。 該当するポリシーを展開した後、Windows 10 デバイスを使用するユーザーは、組み込みの電子メール アプリを初めて使用して Microsoft 365 メールにアクセスする際に Basic Mobility and Security に登録する必要があります (Microsoft Entra ID P1 または P2 サブスクリプションが必要です)。
モバイル デバイスとして登録されている Windows 10 デバイスでは、次の設定がサポートされています。 これらの設定は、ユーザーが Microsoft 365 リソースにアクセスすることをブロックしません。
セキュリティの設定
英数字のパスワードを要求
パスワードの最小文字数
デバイスがワイプされるまでのサインイン失敗回数
デバイスがロックされるまでのアイドル時間 (分)
パスワードの有効期限 (日)
パスワードの履歴を記憶して再利用を防止
注:
パスワードを規制する次の設定では、ローカル Windows アカウントのみを制御します。 ドメインへの参加または Microsoft Entra ID によって提供される Windows アカウントは、これらの設定の影響を受けません。
システムの設定
デバイスからの診断データの送信をブロックします。
その他の設定
PowerShell コマンドレットを使用して、これらの追加のポリシー設定を設定できます。
AllowConvenienceLogon
UserAccountControlStatus
FirewallStatus
AutoUpdateStatus
AntiVirusStatus
AntiVirusSignatureStatus
SmartScreenEnabled
WorkFoldersSyncUrl
モバイル デバイスをリモートからワイプする
デバイスが紛失または盗難された場合は、Microsoft Purview コンプライアンス ポータル>のデータ損失防止>デバイス管理からワイプを実行することで、機密性の高い組織データを削除し、Microsoft 365 組織リソースへのアクセスを防ぐことができます。 個別のワイプで組織のデータのみを削除することも、全体のワイプでデバイスからすべての情報を削除して出荷時の設定に戻すこともできます。
詳細については、「 Basic Mobility and Security」の「モバイル デバイスをワイプする」を参照してください。
関連コンテンツ
Microsoft 365 の基本的なモビリティとセキュリティの概要 (記事)
Basic Mobility and Security でデバイス セキュリティ ポリシーを作成 する (記事)