Exchange Online で Outlook for iOS と Outlook for Android を管理する

概要: この記事では、Exchange Online で iOS および Android 用の Outlook を使うモバイル デバイスを管理するためのベスト プラクティスについて説明します。

Outlook for iOS と Android では、ユーザーが最新のモバイル アプリから期待する高速で直感的なメールと予定表のエクスペリエンスをユーザーに提供しながら、Microsoft 365 と Office 365の最高の機能をサポートする唯一のアプリです。 さらに Microsoft では、Exchange Online 組織内のモバイル デバイスで会社のデータを管理また保護するためのいくつかのユーティリティを提供しています。

デバイスとアプリケーションを管理するためのオプション

iOS および Android 用の Outlook を管理する場合、次のオプションを利用できます。

1. 推奨: Microsoft IntuneとMicrosoft Entra条件付きアクセスを含むEnterprise Mobility + Security スイート。

2. Microsoft 365 の基本的なモビリティとセキュリティ。

3. サード パーティの統合エンドポイント管理ソリューション。

4. モバイル デバイス アクセスとモバイル デバイス メールボックス ポリシー。

Microsoft では、これらのサービスによって提供される高度な機能により、Enterprise Mobility + Security スイートの機能を使用してモバイル デバイス上の企業データを保護することをお勧めします。

Enterprise Mobility + Security を使う

Microsoft 365 および Office 365 データの最も豊富で広範な保護機能は、Enterprise Mobility + Security Microsoft Intune、Azure Information Protection、および条件付きアクセスなどの P1 または P2 機能をMicrosoft Entra IDします。

Intune は、モバイル アプリケーション管理 (MAM) 機能と、その他の条件付きアクセスおよびデバイス管理機能を提供します。 Intune アプリ保護ポリシーを使うと、Intune で管理されるアプリと Intune で管理されていないアプリの間での、会社のデータに対する切り取り、コピー、貼り付け、"名前を付けて保存" などの操作を制限できます。 さらに詳しい情報は、「アプリ保護ポリシーを作成して割り当てる方法」を参照してください。 また、Intune で管理される Outlook アプリには、複数の ID を管理するための新機能が含まれており、ユーザーは、同じ Outlook アプリで個人用と職場の両方の電子メール アカウントにアクセスできますが、Intune アプリ保護ポリシーは職場アカウントにのみ適用できます。 これにより、はるかにシームレスなユーザー エクスペリエンスを実現します。

条件付きアクセスは、Microsoft Entra IDの機能であり、中央の場所からの特定の条件に基づいて、環境内のアプリへのアクセスに対する制御を適用できます。 条件付きアクセス ポリシーを使用すると、必要な条件下で、適切なアクセス制御を適用することができます。 Microsoft Entra条件付きアクセスを使用すると、このようなセキュリティが必要な場合にセキュリティが強化され、そうでない場合はユーザーの邪魔になりません。

iOS および Android 用の Outlook を使用したときの Enterprise Mobility + Security スイートの主な機能は以下のとおりです。

• 条件付きアクセス。 Microsoft Entra IDでは、条件付きアクセス要件が満たされている場合にのみ、Exchange Onlineメールにアクセスできるようになります。 デバイス登録の詳細については、「 条件付きアクセスとは」を参照してください。

• Intune アプリ保護。 iOS および Android 用の Outlook では、Intune アプリ保護ポリシーを使うことにより、会社のデータを保護することができます。 これは、ユーザーのデバイスを管理せずに企業データを安全に保ちたい "独自のデバイスを持ち込む" (BYOD) シナリオに最適なオプションです。 Intune アプリ保護ポリシーの詳細については、「Microsoft Intune でアプリ保護ポリシーを使用してアプリ データを保護する」を参照してください。

• デバイスの登録。 Intune で、従業員のデバイスとアプリ、および従業員による会社のデータへのアクセス方法を管理することができます。 このモデルでは、iOS および Android 用の Outlook は、会社によって管理されており、組織のポリシーに準拠する電話やタブレットのみが Exchange Online 電子メールにアクセスできるようにします。 ユーザーが、管理されていないモバイル デバイスを使って Outlook アプリにログオンすると、Azure の条件付きアクセス ポリシーを利用して Intune でデバイスを登録するよう促すダイアログが Outlook から表示された後、デバイス コンプライアンスに関する組織の基準をデバイスが満たしていることが検証されます。

• デバイスの管理とレポート。 登録プロセスを使用すると、組織はセキュリティ ポリシーを設定および管理できます。たとえば、信頼されていないデバイスが会社のメールやデータにアクセスするのを防ぐために、デバイス レベルの PIN ロックの適用、データ暗号化の要求、侵害されたデバイスのブロックなどです。 登録された各デバイスがMicrosoft 365 管理センターに表示され、レポートを使用して、会社のデータにアクセスするデバイスの詳細を提供できます。

• 選択的ワイプ。 Microsoft Intuneは、Outlook for iOS と Android から電子メール データを削除しながら、個人のメール アカウントをそのまま残すことができます (デバイスが登録されているかどうか)。 これは、電話やタブレットに対して "Bring Your Own Device" (私物のデバイスを持参する) アプローチを導入する企業が増える中、ますます重要な要件となっています。

Microsoft 365 の基本的なモビリティとセキュリティの使用

Microsoft 365 の基本的なモビリティとセキュリティは、追加コストなしでデバイス管理機能を提供します。 Microsoft Intuneは、これらの基本的な機能を強化し、基本を必要とする組織に対してMicrosoft 365 管理センターの主要なコントロール セットを提供します。

これはデバイスの管理ソリューションなので、デバイスが登録された後でも、どのアプリが使えるかを制御するネイティブの機能はありません。 iOS および Android 用 Outlook へのアクセスを制限する場合は、Microsoft Entra ID P1 または P2 ライセンスを取得し、条件付きアクセス ポリシーを利用する必要があります。

Outlook for iOS および Android では、基本的なモビリティとセキュリティ for Microsoft 365 によって提供される機能が完全にサポートされています。

詳細については、次のリソースを参照してください。

• Microsoft 365 の基本的なモビリティとセキュリティの概要。

• Microsoft Intune ポリシーを使用してデバイスの設定と機能を管理する

• エンド ユーザーがデバイスを基本的なモビリティとセキュリティに登録するための手順: 基本的なモビリティとセキュリティを使用してモバイル デバイスを登録する

サード パーティの統合エンドポイント管理ソリューションの使用

サード パーティの統合エンドポイント管理プロバイダーは、既存のツールを使用して、iOS または Android アプリを展開するのと同じ方法で Outlook for iOS と Android を展開できます。 また、デバイス PIN、デバイス暗号化、デバイス ワイプなどのデバイス管理コントロールを適用することもできます。これらはすべて、セキュリティで保護されたメール エクスペリエンスにとって重要ですが、Outlook for iOS や Android からも完全に独立しています。

サード パーティのプロバイダーは、アカウントのセットアップ、許可されたアカウント モードorganization、一般的なアプリ構成設定など、特定のアプリ構成設定を Outlook for iOS および Android に展開することもできます。詳細については、「Outlook for iOS および Android アプリ構成設定の展開」を参照してください。

アプリ内の企業データ (切り取り、コピー、貼り付け、"名前を付けて保存" などの企業データによるアクションの制限など) を管理および保護するには、お客様は Microsoft の Enterprise Mobility + Security スイートを使用する必要があります。

モバイル デバイス アクセスおよびモバイル デバイス メールボックス ポリシーの使用

Microsoft では、これらのサービスによって提供される高度な機能により、Microsoft 365 の Enterprise Mobility + Security スイートまたは組み込みの基本的なモビリティとセキュリティを使用してモバイル デバイス上の会社のデータを管理することをお勧めします。 Outlook for iOS および Android では、モバイル デバイス アクセスとモバイル デバイス メールボックス ポリシー (旧称 Exchange Active Sync ポリシー) がサポートされています。これは Exchange 管理センターから入手できます。

iOS および Android 用の Outlook は、次の Exchange のモバイル デバイス メールボックス ポリシーの設定をサポートしています。

• デバイスの暗号化が必要

• 最小パスワード長 (Android の場合のみ)

• パスワード有効

• Bluetooth を許可する (Intune アプリ保護ポリシーが使用されていない場合に Outlook for Android ウェアラブル アプリを管理するために使用)

  • AllowBluetooth が有効になっている (既定の動作) または HandsfreeOnly 用に構成されている場合、Android デバイス上の Outlook とウェアラブル上の Outlook の間のウェアラブル同期は、職場または学校のアカウントで許可されます。

  • AllowBluetooth が無効になっている場合、Outlook for Android は、Android デバイス上の Outlook と、指定された職場または学校アカウントのウェアラブル版 Outlook との間の同期を無効にします (以前にアカウントに同期されていたデータはすべて削除されます)。 同期を無効にすることは、Outlook 自体内で完全に制御されます。Bluetooth はデバイスまたはウェアラブルで無効にされず、その他のウェアラブル アプリの影響を受けることもありません。

既存のモバイル デバイスのメールボックス ポリシーを作成または変更する方法についての情報は、「Exchange Online のモバイル デバイス メールボックス ポリシー」を参照してください。

Exchange 管理者は、Exchange 管理センターを使用して、Outlook for iOS および Android に対してリモート デバイス ワイプを開始することもできます。 リモート ワイプ要求を受信すると、アプリは Outlook プロファイルとそれに関連付けられているすべてのデータを削除します。

Microsoft Intune の詳細については、「Microsoft Intune のドキュメント」を参照してください。