対象: 新Office365 Office 365 Enterprise , Office 365 Business , Office 365 Education (この記事は 2015 年 7 月 21 日に Office Blogs に投稿された記事 Explore the built-in Mobile Device Management (MDM) feature for Office 365 の翻訳です。最新情報については、翻訳元の記事をご参照ください。) 今年初めに、 Office 365 の組み込みモバイル デバイス管理 (MDM) 機能の提供を開始 してから数か月が経ちました。今回は、組織でこの機能を導入し利用する際のヒントをご紹介したいと思います。 わずか数ステップで簡単に利用を開始できます。詳しくは「 Office 365 の組み込みモバイル デバイス管理の概要 」をご覧ください。 Office 365 の MDM のセットアップ – 機能をアクティブ化し、環境を構成します。 MDM ポリシーの設定 – セキュリティ グループとデバイス ポリシーを構成します。 デバイスの登録 – ユーザーが MDM 対応アプリケーションを使用して Exchange、SharePoint、または OneDrive にアクセスするには、デバイスを登録する必要があります。 デバイスの管理 – 管理者は、登録済みのデバイスをワイプしたり、レポートを確認したりすることができます。 Office 365 の MDM のセットアップ MDM をセットアップしても、MDM ポリシーを構成するまでは組織のユーザーには一切影響しません。利用を開始するには、Office 365 管理センターにアクセスし、[ Mobile Devices ] タブで [ Get started ] をクリックします。 機能のアクティブ化には、Office 365 のテナントのサイズに応じて数分から数時間を要します。組織のユーザーとデバイス用に、Azure Active Directory と Intune がバックグラウンドで構成されます。すべてが透過的に処理され、管理者は Office 365 から操作するだけで済みます。プロセスの完了まで若干時間がかかる場合があります。機能がアクティブ化されたら、次の構成に進みます。 テナント全体に対していくつかの設定を構成します。[ Manage Settings ] リンクから設定にアクセスできます。iOS デバイスを管理する場合は Apple プッシュ通知サービスの証明書をセットアップし、Windows デバイス向けには MDM をサポートするカスタム ドメインを構成します。 MDM の条件付きアクセスのしくみ MDM ポリシーは、ユーザーのグループに対して適用され (ユーザーが使用するデバイスすべてに影響します)、 サポート対象のモバイル アプリケーション を介して、Exchange Online、SharePoint Online、OneDrive for Business に対して条件付きアクセスを適用します。 条件付きアクセスは次のように機能します。ユーザーがサポート対象のモバイル アプリから Office 365 にログインすると、アプリは Azure Active Directory を利用して、ユーザーが条件付きアクセス ポリシーの適用対象であるかどうかをチェックします。ユーザーにポリシーが関連付けられており、デバイスが登録済みかつポリシーに準拠していると見なされない場合、デバイスを MDM に登録するように求めるメッセージがユーザーに表示されます。Exchange ActiveSync (EAS) クライアントの場合は、登録用のリンクが記載されたメールが Exchange から送信されます。ユーザーがデバイスを登録すると、デバイス設定ポリシーがデバイスに送信されるので、ユーザーは PIN や暗号化などの適切な設定を満たすようにデバイスを更新する必要があります。設定が更新され、デバイス上のエージェントによって管理サービスへ通知されると、管理サービスはユーザーのデバイスを、Azure Active Directory に登録済みかつポリシーに準拠していると見なします。 MDM ポリシーの設定 手始めにテスト用のユーザー グループ向けに最初のポリシーをセットアップする場合は、管理者ご自身またはテストの協力者数人のみを追加して始めるとよいでしょう。そのうえで、自社の環境への影響を判断し、デバイスの登録プロセスを把握します。 MDM ポリシーは (配布グループではなく) セキュリティ グループにのみ適用されるため、Office 365 管理センターまたは Exchange 管理センターで、テスト用のユーザー グループのセキュリティ グループをセットアップするか、あるいは既存のセキュリティ グループを使用します。MDM ポリシーを作成するには [ Manage device security policies and access rules ] リンクをクリックし、ご利用の Office 365 テナントのすべてのポリシーが管理されているコンプライアンス センターに移動します。 最初のページ ([What requirements do you want to have on devices?]) にあるポリシー設定一覧には、ユーザーのデバイスがポリシーに準拠するために必要な要件が記載されています。 以下は、いくつかの設定項目についての注意事項です。 設定 注意事項 デバイス上のデータの暗号化 Android デバイスのユーザーは、設定を通じてデバイスを暗号化する必要があります。この処理には時間がかかる場合があります。 電子メール プロファイルの管理 この設定により、電子メール プロファイルが Exchange Online から iOS に送信されます。ユーザーが既に Exchange Online に関連付けられた電子メール プロファイルをデバイスで定義している場合、デバイスがポリシーに準拠していると識別させるには、そのプロファイルを削除する必要があります。 アクセスの許可とアクセスのブロック ページの最後のセクション ([If a device doesn't meet the requirements above, then …]) では、デバイスが接続されたときにどう処理されるかを設定します。どちらの場合でも、ユーザーが Exchange、SharePoint、OneDrive に接続する前に、デバイスを登録するように求めるメッセージが表示されます。ただし、「許可」の場合は、設定によってデバイスをポリシーに準拠させる必要はなく、アクセスが認められます。「ブロック」の場合は、設定によってデバイスがこのページのポリシーに準拠しない限り、ユーザーは Office 365 にアクセスできません。このオプションは、後からポリシーを更新する際に変更することはできません。許可からブロックに変更する場合は、ポリシーを作成し直す必要があります。 次のペー�� ([What else do you want to configure?]) には、デバイスの設定が表示されています。これらの設定はデバイスにプッシュされますが、デバイスが準拠しているかどうかの判定には使用されないため、この設定が Office 365 の接続に影響を及ぼすことはありません。 最後のステップは、テスト用のユーザー グループへのポリシーの適用です。ポリシーをセキュリティ グループに適用するときは、そのグループの名前を検索して指定する必要があります (ヒント:「*」を使用してすべてのグループを表示するか、グループ名の最初の数文字で検索します)。 ポリシーの作成が完了すると、適切なシステムへのポリシー配布中は、ポリシーの状態が「Turning on....」と表示され、ポリシーの配布が完了すると「On」になります。 デバイスの登録 MDM ポリシーは、サポート対象の Office アプリケーションのいずれかが iOS または Android デバイスで使用されたときに開始されます。最新バージョンのアプリケーションを使用していることを確認してください。Office 365 の資格情報でサインインすると、登録を求めるメッセージが表示されます (ポリシーが適用されるセキュリティ グループに属している必要があります)。 [ Enroll ] ボタンをタップすると、Intune の企業ポータル アプリケーションをダウンロードするように求められます。アプリケーションにログインし、デバイスを登録します。必要なステップがすべて完了したら、MDM デバイス設定がデバイスに送信されます。まだ構成されていない設定がある場合は、それらを設定するように求めるメッセージが表示されます。 企業ポータル アプリを開き、[ Check Compliance ] をタップするだけで、すべての設定が正しく構成されているかどうかを調べることができます。構成が正しくない場合は、企業ポータル アプリに修正手順が表示されます。 デバイスが準拠していることを確認したら、Office アプリケーションを再起動し、Office 365 に接続します。 また、MDM ポリシーは、ネイティブの電子メール クライアントによっても開始されます。電子メール クライアントは、iOS、Android、または Windows Phone 8.1 からの接続に EAS を使用します。Exchange Online に接続すると、次のようなメッセージを受信します。 [ Enroll your device ] リンクをクリックし、Office アプリケーションから [Enroll] ボタンが表示されたときと同じ登録プロセスを踏みます (まだ登録していないものとします)。デバイスの登録と準拠を確認したら (電子メールの 2 番目のリンクからチェックできます)、[ activate your email ] リンクをクリックし、Active Directory に EAS ID を送信します。 Windows Phone 8.1 の場合は、インストールする企業ポータル アプリがないため、指示に従い会社アカウントを追加します。 以前から同じデバイスで Exchange に接続していた場合、検疫メールを受信するまでに 24 時間かかることがあります。これは、Exchange サービスが以前のコンプライアンス状態をキャッシュしているためです。ただし、ほとんどの場合はこのテストで初めて MDM ポリシーを定義するので、「適用されているポリシーはない」状態になっています。 デバイスの管理 Office 365 の [Mobile Devices] ページには、お客様のテナントの MDM サービスに登録されたすべてのデバイスの一覧が表示されます。この一覧から、デバイスの詳細の確認やワイプ コマンドの発行を行います。Office 365 では 2 種類のワイプ オプションが利用できます。 フル ワイプ – ユーザーのモバイル デバイス上の全データを削除し、デバイスを出荷時の設定に戻します。 選択的ワイプ – 組織のデータのみを削除し、ユーザーのモバイル デバイスにインストールされているアプリケーション、写真、個人情報は残します。 Office 365 の MDM の選択的ワイプでは、次の組織データが削除されます。 iOS 向けおよび Android 向け Outlook iOS 向けおよび Android 向け OneDrive iOS 向け EAS メール (「メール プロファイルの管理が必要」のポリシー オプションが定義されている場合) Office 365 データにアクセスする他のアプリケーション、特に上記以外のデバイス (またはメール プロファイル管理のポリシー オプションが選択されていない iOS) の EAS メールの場合、新たにアクセスしようとすると、デバイスを再登録しない限りアクセスがブロックされます。ただし既存のデータは残されます。 Office 365 管理センターからは、デバイスのコンプライアンス レポートを確認することも可能です。このレポートには、お客様の環境に接続を行った組織のデバイス数に関する情報が表示されます。 次のステップ ご自身や協力者のポリシーにて Office 365 の MDM のテストを終了したら、ユーザーに通知し、ユーザーに適用するポリシーを追加 (グループごとに異なる設定が必要な場合があります) して、ポリシーが完全に配布されるまで待ちます。これでお客様の Office 365 は適切に保護されます。 さらに強力な保護が必要なお客様には、Office 365 の MDM では、Intune の機能の一部を提供しています (機能比較については こちらのページ (英語) をご覧ください)。さらに高度な保護機能をお求めの場合は、Microsoft Enterprise Mobility Suite に含まれる Microsoft Intune のサブスクリプションをご契約いただければ、スマートフォン、タブレット、PC を対象とするデバイスおよびアプリケーションの管理機能を追加でご利用いただけます。たとえば、Intune には管理対象アプリケーションに対して切り取り、コピー、貼り付け、保存などの操作を制限する機能を提供しており、企業の情報の安全性をさらに向上させることが可能です。 同一の Office 365 テナント内での Intune と Office 365 の MDM の併用に関して、現在すべてのテナントには対応していません。ご希望の場合は、サポート チームまでお問い合わせください。プライベート プレビュー プログラムの一環としてセット アップ可能な場合もあります。 5 月の Ignite カンファレンスにて Office 365 の MDM についてご説明しました。実際の動作をご覧になりたい方は、 カンファレンスのビデオ (英語) をご視聴ください。 ぜひ Office 365 の MDM をお試しいただき、ご感想をお聞かせください。 -Astrid McClean (Office 365 情報保護チーム、シニア プログラム マネージャー)
↧
