Exchange Online で Outlook for iOS と Outlook for Android を保護する
Outlook for iOS および Android では、ユーザーが最新のモバイル アプリから期待する高速で直感的なメールと予定表のエクスペリエンスをユーザーに提供しながら、Microsoft 365 または Office 365の最高の機能のサポートを提供する唯一のアプリです。
ユーザーのモバイル デバイス上にある会社または組織のデータを保護することは、非常に重要です。 まず、iOS および Android 用の Outlook の設定を調べて、必要なアプリがすべてインストールされているか確認します。 それから、デバイスと組織のデータを保護するためのオプションを次から選択します。
推奨: organizationにEnterprise Mobility + Security サブスクリプションがある場合、または P1 または P2 のMicrosoft IntuneとMicrosoft Entra IDのライセンスを別途取得している場合は、「活用」の手順に従ってください。Enterprise Mobility + Security、Outlook for iOS と Android で企業データを保護し、Outlook for iOS と Android で企業データを保護するためのスイートです。
organizationにMicrosoft Intune Microsoft Entra IDと P1 または P2 のEnterprise Mobility + Securityサブスクリプションまたはライセンスがない場合は、次の手順に従います。Microsoft 365 の基本的なモビリティとセキュリティし、Office 365または Microsoft 365 サブスクリプションに含まれる基本的なモビリティとセキュリティ機能を使用します。
基本の Exchange モバイル デバイス メールボックスとデバイス アクセス ポリシーを実装するには、「Exchange Online モバイル デバイス ポリシーを利用する」にある手順に従います。
一方、組織で iOS および Android 用の Outlook を使わない場合には、「iOS および Android 用の Outlook のブロック」を参照してください。
注:
組織内のモバイル デバイスのアクセスを管理するために EWS アプリケーション ポリシーを実装する場合には、この記事で後ほど取り上げる「Exchange Web サービス (EWS) アプリケーション ポリシー」をご覧ください。
iOS および Android 用の Outlook の設定
統合エンドポイント管理 (UEM) ソリューションに登録されているデバイスの場合、ユーザーは、Intune ポータル サイトなどの UEM ソリューションを利用して、必要なアプリ (Outlook for iOS、Android、Microsoft Authenticator) をインストールします。
UEM ソリューションに登録されていないデバイスの場合、ユーザーは次をインストールする必要があります。
Apple App Store または Google Play ストア経由で iOS および Android 用の Outlook
Apple App Store または Google Play ストア経由で Microsoft Authenticator アプリ
Apple App Store または Google Play ストア経由で Intune ポータル サイト アプリ
アプリがインストールされると、会社の電子メール アカウントを追加して、アプリの基本設定を構成するための手順を行えるようになります。
重要
アプリベースの条件付きアクセス ポリシーを活用するには、iOS デバイスに Microsoft Authenticator アプリをインストールする必要があります。 Android デバイスの場合、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。
Enterprise Mobility + Security スイートを使って iOS および Android 用の Outlook で会社のデータを保護する
重要
許可/ブロック/検疫 (ABQ) の一覧では、セキュリティの保証はありません (クライアントが DeviceType ヘッダーをスプーフィングした場合、特定のデバイスの種類のブロックをバイパスできる可能性があります)。 特定のデバイスの種類へのアクセスを安全に制限するには、条件付きアクセス ポリシーを構成することをお勧めします。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。
Microsoft 365 および Office 365 データの最も豊富で広範な保護機能は、条件付きアクセスなどの P1 または P2 のMicrosoft Intune機能とMicrosoft Entra ID P2 機能を含む、Enterprise Mobility + Security スイートをサブスクライブするときに使用できます。 少なくとも、モバイル デバイスから iOS および Android 用の Outlook への接続だけを許可する条件付きアクセス ポリシーと、会社のデータを保護する Intune アプリ保護ポリシーを展開することをお勧めします。
注:
Enterprise Mobility + Security スイート サブスクリプションには、Microsoft Intune と Microsoft Entra ID P1 または P2 の両方が含まれていますが、お客様はMicrosoft IntuneライセンスとMicrosoft Entra IDを購入できますP1 または P2 ライセンスを個別に使用します。 すべてのユーザーは、この記事で説明されている条件付きアクセスと Intune アプリ保護のポリシーを活用するためには、ライセンスが付与されている必要があります。
条件付きアクセスを使用して、iOS および Android 用の Outlook 以外のすべての電子メール アプリをブロックする
エンドユーザー用の電子メール アプリとして iOS および Android 用の Outlook のみを使用し、ユーザーが Exchange データにアクセスする方法を標準化することを組織で決定した場合は、他のモバイル アクセス方法をブロックする条件付きアクセス ポリシーを構成できます。 これを行うには、すべての潜在的なユーザーを対象とする各ポリシーを含む、いくつかの条件付きアクセス ポリシーが必要です。 これらのポリシーについては、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」で説明されています。
「 モバイル デバイスで承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」の手順に従います。 このポリシーにより、Outlook for iOS と Android は許可されますが、モバイル クライアントが Exchange Online に接続Exchange ActiveSync OAuth と基本認証が可能なブロックされます。
注:
このポリシーにより、モバイル ユーザーは、該当するアプリを使用して、すべての Microsoft 365 エンドポイントにアクセスできるようになります。
「すべてのデバイスでExchange ActiveSyncをブロックする」の手順に従います。これにより、モバイル以外のデバイスで基本認証を使用Exchange ActiveSyncクライアントがExchange Onlineに接続できなくなります。
上記のポリシーでは、アクセス許可制御 の [アプリ保護が必要] ポリシーを利用します。これにより、アクセスを許可する前に、Intune アプリ保護ポリシーが Outlook for iOS および Android 内の関連付けられたアカウントに確実に適用されます。 ユーザーが Intune App Protection ポリシーに割り当てられていない場合、Intune のライセンスが付与されていない場合、またはアプリが Intune アプリ保護ポリシーに含まれていない場合、このポリシーはユーザーがアクセス トークンを取得してメッセージング データにアクセスできないようにします。
「Microsoft Entra条件付きアクセスによるレガシ認証をブロックする」の手順に従って、iOS および Android デバイス上の他の Exchange プロトコルのレガシ認証をブロックします。このポリシーは、Office 365 Exchange Onlineクラウド アプリと iOS および Android デバイス プラットフォームのみを対象とする必要があります。 これにより、基本認証で Exchange Web Services、IMAP4、または POP3 プロトコルを使用するモバイル アプリがExchange Onlineに接続できなくなります。
注:
条件付きアクセス ポリシーが有効になってから、以前に接続した任意のモバイル デバイスがブロックされるまでに、最大 6 時間かかる場合があります。
ユーザーが Outlook for iOS および Android で認証を行うと、次のようなMicrosoft Entra条件付きアクセス ポリシーがユーザーに適用されている場合、Exchange Onlineモバイル デバイス アクセス ルール (許可、ブロック、検疫) はスキップされます。
- クラウド アプリの条件: Exchange OnlineまたはOffice 365
- デバイス プラットフォームの条件: iOS または Android
- クライアント アプリの条件: モバイル アプリとデスクトップ クライアント
- 次のいずれかのアクセス制御の許可: デバイスを準拠としてマークする必要がある、 承認済みのクライアント アプリを要求 する、または アプリ保護ポリシーを要求します。
アプリベースの条件付きアクセス ポリシーを活用するには、iOS デバイスに Microsoft Authenticator アプリをインストールする必要があります。 Android デバイスの場合、Intune ポータル サイト アプリが必要です。 詳細については、「Intune でのアプリベースの条件付きアクセス」を参照してください。
Intune アプリ保護ポリシーを使って、iOS および Android 用の Outlook 内の会社のデータを保護する
アプリ保護ポリシー (APP) は、許可されるアプリと、組織のデータに対して実行できるアクションを定義します。 APP で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。
APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。
- エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
- エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
- エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。
各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。
デバイスが UEM ソリューションに登録されているかどうかに関係なく、「アプリ保護ポリシーを 作成して割り当てる方法」の手順を使用して、iOS アプリと Android アプリの両方に Intune アプリ保護ポリシーを作成する必要があります。 これらのポリシーは、少なくとも次の条件を満たす必要があります。
Edge、OneDrive、Office、Teams など、すべての Microsoft モバイル アプリケーションが含まれます。これにより、ユーザーは Microsoft アプリ内の職場または学校のデータに安全にアクセスして操作できるようになります。
すべてのユーザーに割り当てられる。 これにより、iOS 用 Outlook と Android のどちらを使用しているかに関係なく、すべてのユーザーが保護されます。
要件を満たすフレームワーク レベルを決定します。 ほとんどの組織では、データ保護とアクセス要件の制御を有効にするように、エンタープライズ拡張データ保護 (レベル 2) で定義されている設定を実装する必要があります。
利用可能な設定の詳細については、「Microsoft Intune の Android アプリ保護ポリシー設定」と「iOS アプリ保護ポリシー設定」を参照してください。
重要
Intune に登録していない Android デバイスでアプリに対して Intune App Protection ポリシーを適用するには、Intune ポータル サイトもインストールする必要があります。 詳細については、「アプリ保護ポリシーを使用して Android アプリを管理するときの注意点」を参照してください。
Microsoft 365 の基本的なモビリティとセキュリティを活用する
Enterprise Mobility + Security スイートを活用する予定がない場合は、Microsoft 365 の基本的なモビリティとセキュリティを使用できます。 このソリューションでは、モバイル デバイスを登録する必要があります。 ユーザーが登録されていないデバイスで Exchange Online にアクセスしようとすると、デバイスを登録するまでユーザーはリソースへのアクセスからブロックされます。
これはデバイスの管理ソリューションなので、デバイスが登録された後でもどのアプリが使えるかを制御するネイティブの機能はありません。 iOS および Android 用の Outlook へのアクセスを制限する場合は、「条件付きアクセスを使用して Outlook for iOS と Android を除くすべての電子メール アプリをブロックする」で説明されている条件付きアクセス ポリシーを利用して、Microsoft Entra ID P1 または P2 ライセンスを取得する必要があります。
グローバル管理者は、登録をアクティブ化して設定するために、次の手順を完了する必要があります。 完全な手順については、「基本的なモビリティとセキュリティのセットアップ」を参照してください。 要約すると、手順は次のとおりです。
Microsoft 365 Security Center の手順に従って基本的なモビリティとセキュリティをアクティブ化します。
たとえば、iOS デバイスを管理するための APNs 証明書を作成するなどして、統合エンドポイント管理を設定します。
デバイス ポリシーを作成してユーザーのグループに適用します。 これを行うと、ユーザーのデバイスに登録メッセージが送られます。 登録がすべて完了すると、それらのデバイスは設定済みのポリシーによって制限されます。
注:
基本的なモビリティとセキュリティで作成されたポリシーとアクセス規則は、Exchange モバイル デバイス メールボックス ポリシーと Exchange 管理センターで作成されたデバイス アクセス規則の両方をオーバーライドします。 デバイスが基本的なモビリティとセキュリティに登録されると、そのデバイスに適用されるすべての Exchange モバイル デバイス メールボックス ポリシーまたはデバイス アクセス規則は無視されます。
Exchange Online モバイル デバイス ポリシーを利用する
Enterprise Mobility + Security スイートまたは基本的なモビリティとセキュリティ機能を利用する予定がない場合は、Exchange モバイル デバイス メールボックス ポリシーを実装してデバイスをセキュリティで保護し、デバイスアクセス規則を実装してデバイス接続を制限できます。
モバイル デバイスのメールボックス ポリシー
iOS および Android 用の Outlook は、Exchange Online での次のモバイル デバイス メールボックス ポリシーの設定をサポートしています。
デバイスの暗号化が必要
最小パスワード長 (Android の場合のみ)
パスワード有効
Bluetooth を許可する (Outlook for Android ウェアラブル アプリの管理に使用)
AllowBluetooth が有効になっている (既定の動作) または HandsfreeOnly 用に構成されている場合、Android デバイス上の Outlook とウェアラブル上の Outlook の間のウェアラブル同期は、職場または学校のアカウントで許可されます。
AllowBluetooth が無効になっている場合、Outlook for Android は、Android デバイス上の Outlook と、指定された職場または学校アカウントのウェアラブル版 Outlook との間の同期を無効にします (以前にアカウントに同期されていたデータはすべて削除されます)。 同期を無効にすることは、Outlook 自体内で完全に制御されます。Bluetooth はデバイスまたはウェアラブルで無効にされず、その他のウェアラブル アプリの影響を受けることもありません。
既存のモバイル デバイスのメールボックス ポリシーを作成または変更する方法についての情報は、「Exchange Online のモバイル デバイス メールボックス ポリシー」を参照してください。
さらに、iOS および Android 用の Outlook は、Exchange Online のデバイス ワイプ機能をサポートしています。 Outlook では、リモート ワイプは Outlook アプリ自体内のデータのみをワイプし、デバイス全体のワイプをトリガーしません。 リモート ワイプを実行する方法の詳細については、「Exchange Onlineで携帯電話でリモート ワイプを実行する」を参照してください。
デバイス アクセス ポリシー
Outlook for iOS と Android は既定で有効にする必要がありますが、一部の既存のExchange Online環境では、さまざまな理由でアプリがブロックされる可能性があります。 organizationは、ユーザーが Exchange データにアクセスする方法を標準化し、Outlook for iOS と Android をエンド ユーザーの唯一のメール アプリとして使用することを決定したら、ユーザーの iOS および Android デバイスで実行されている他の電子メール アプリのブロックを構成できます。 Exchange Online内でこれらのブロックを構成するための 2 つのオプションがあります。最初のオプションはすべてのデバイスをブロックし、Outlook for iOS と Android の使用のみを許可します。2 番目のオプションでは、個々のデバイスがネイティブ Exchange ActiveSync アプリを使用できないようにすることができます。
注:
デバイス ID は 物理デバイス ID によって管理されないため、予告なく変更される可能性があります。 この場合、既存の "許可" デバイスが Exchange によって予期せずブロックまたは検疫される可能性があるため、デバイス ID をユーザー デバイスの管理に使用すると、意図しない結果が発生する可能性があります。 そのため、管理者は、デバイスの種類またはデバイス モデルに基づいてデバイスを許可またはブロックするモバイル デバイス アクセス ポリシーのみを設定することをお勧めします。
オプション 1: iOS および Android 用の Outlook 以外のすべての電子メール アプリをブロックする
既定のブロック規則を定義し、次の Exchange Online PowerShell コマンドを使用して、Outlook for iOS および Android、および Windows デバイスの許可規則を構成できます。 この設定によって、Exchange ActiveSync ネイティブ アプリは接続ができなくなり、Outlook for iOS と Outlook for Android のみが許可されるようになります。
既定のブロック規則を作成します。
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel BlockOutlook for iOS と Outlook for Android 用の許可規則を作成します。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
オプション 2:Android デバイスおよび iOS デバイス上のネイティブ Exchange ActiveSync アプリをブロックする
別の方法として、特定の Android デバイスと iOS デバイス、または他の種類のデバイス上で、ネイティブの Exchange ActiveSync アプリをブロックすることもできます。
Outlook for iOS と Outlook for Android をブロックする Exchange ActiveSync デバイス アクセス規則が設定されていないことを確認してください。
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSizeOutlook for iOS と Outlook for Android をブロックするデバイス アクセス規則がある場合、次のコマンドを実行して削除してください。
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRuleほとんどの Android デバイスと iOS デバイスでは、次のコマンドを使用してブロックできます。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel BlockAndroid デバイス製造元のすべてが DeviceType として「Android」を指定しているわけではありません。 製造元により、リリースごとに固有の値が指定されている可能性もあります。 ご使用の環境にアクセスしている他の Android デバイスを検出するため、以下のコマンドを実行して、アクティブな Exchange ActiveSync パートナーシップを持つすべてのデバイスのレポートを生成してください。
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv手順 3 の結果に基づいて、さらにブロック規則を作成します。 たとえば、ご使用の環境において HTCOne Android デバイスが非常に多く使用されていることがわかる場合、その特定のデバイスをブロックする Exchange ActiveSync デバイス アクセス規則を作成して、ユーザーに強制的に Outlook for iOS と Outlook for Android を使用させることができます。 この例の場合、次のように入力できます。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block注:
-QueryString パラメーターは、ワイルドカードまたは部分一致を受け入れません。
その他のリソース:
iOS および Android 用の Outlook のブロック
organizationのユーザーが Outlook for iOS および Android で Exchange データにアクセスすることを望まない場合、実行する方法は、Microsoft Entra条件付きアクセス ポリシーを使用しているか、Exchange Onlineのデバイス アクセス ポリシーを使用しているかによって異なります。
オプション 1:条件付きアクセス ポリシーを使用してモバイル デバイスへのアクセスをブロックする
Microsoft Entra条件付きアクセスでは、他のExchange ActiveSync クライアントを許可しながら、Outlook for iOS と Android を具体的にブロックできるメカニズムは提供されません。 それを踏まえて、条件付きアクセス ポリシーを使ってモバイル デバイスのアクセスをブロックする方法は 2 つあります。
オプション A:iOS および Android のプラットフォームの両方で、モバイル デバイスへのアクセスをブロックする
オプション B:特定のモバイル デバイスのプラットフォームでのモバイル デバイスへのアクセスをブロックする
オプション A:iOS および Android のプラットフォームの両方で、モバイル デバイスへのアクセスをブロックする
条件付きアクセスを使用して、すべてのユーザーまたは一部のユーザーからのモバイル デバイスへのアクセスを防止する場合は、次の手順を実行します。
条件付きアクセス ポリシーを作成し、セキュリティ グループ経由で、それぞれのポリシーの対象をすべてのユーザーまたは一部のユーザーにします。 詳細については、「 一般的な条件付きアクセス ポリシー: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」を参照してください。
最初のポリシーでは、Outlook for iOS と Android、およびその他の OAuth 対応Exchange ActiveSyncクライアントがExchange Onlineに接続できないようにブロックされます。 「手順 1 - Exchange OnlineのMicrosoft Entra条件付きアクセス ポリシーを構成する」を参照してくださいが、5 番目の手順では [アクセスのブロック] を選択します。
2 番目のポリシーは、Exchange ActiveSync クライアントが基本認証を活用して Exchange Online に接続するのを防ぎます。 「手順 2 - ActiveSync (EAS) を使用したExchange OnlineのMicrosoft Entra条件付きアクセス ポリシーの構成」を参照してください。
オプション B:特定のモバイル デバイスのプラットフォームでのモバイル デバイスへのアクセスをブロックする
特定のモバイル デバイスのプラットフォームから Exchange Online への接続を禁止しつつ、iOS および Android 用の Outlook はそのプラットフォームを使って接続を許可するという場合は、次の条件付きアクセス ポリシーを作成し、それぞれのポリシーの対象をすべてのユーザーにします。 詳細については、「 一般的な条件付きアクセス ポリシー: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」を参照してください。
最初のポリシーでは、特定のモバイル デバイス プラットフォームで Outlook for iOS と Android が許可され、他の OAuth 対応Exchange ActiveSyncクライアントがExchange Onlineに接続できないようにブロックされます。 「手順 1 - Exchange OnlineのMicrosoft Entra条件付きアクセス ポリシーを構成する」を参照してください。ただし、手順 4a では、アクセスを許可する目的のモバイル デバイス プラットフォーム (iOS など) のみを選択します。
2 つ目のポリシーは、特定のモバイル デバイス プラットフォーム上のアプリとその他の OAuth 対応Exchange ActiveSyncクライアントがExchange Onlineに接続できないようにブロックします。 「手順 1 - Exchange OnlineのMicrosoft Entra条件付きアクセス ポリシーを構成する」を参照してください。ただし、手順 4a では、アクセスをブロックする目的のモバイル デバイス プラットフォーム (Android など) のみを選択し、手順 5 では [アクセスのブロック] を選択します。
3 番目のポリシーは、Exchange ActiveSync のクライアントが基本認証を活用して Exchange Online に接続するのを防ぎます。 「手順 2 - ActiveSync (EAS) を使用したExchange OnlineのMicrosoft Entra条件付きアクセス ポリシーの構成」を参照してください。
オプション 2:Exchange モバイル デバイス アクセス ルールを使用して、iOS および Android 用の Outlook をブロックする
Exchange Online のデバイス アクセス ルール経由でモバイル デバイスのアクセスを管理している場合、2 つのオプションがあります。
オプション A: iOS と Android の両方のプラットフォームで Outlook for iOS と Outlook for Android をブロックする
オプション B: 特定のモバイル デバイス プラットフォームで Outlook for iOS と Outlook for Android をブロックする
どの Exchange 組織にも、セキュリティやデバイスの管理に関するそれぞれ異なったポリシーがあります。 Outlook for iOS および Outlook for Android が組織のニーズを満たさない、または最適なソリューションではないと判断する場合、管理者はこのアプリをブロックできます。 このアプリをブロックしても、組織内の Exchange モバイル ユーザーは iOS および Android 上の組み込みの電子メール アプリケーションを使用して自分のメールボックスに引き続きアクセスできます。
New-ActiveSyncDeviceAccessRuleコマンドレットにはCharacteristicパラメーターがあり、管理者が Outlook for iOS と Android アプリをブロックするために使用できる 3 つのCharacteristicオプションがあります。 3 つのオプションとは、 UserAgent、DeviceModel、DeviceType です。 次のセクションで取り上げる 2 つのブロック オプションでは、1 つ以上の特性値を使用して Outlook for iOS と Outlook for Android による組織内のメールボックスへのアクセスを制限します。
それぞれの特性値については、次の表で説明します。
| 特性 | iOS の文字列 | Android の文字列 |
|---|---|---|
| DeviceModel | iOS 版および Android 版 Outlook | iOS 版および Android 版 Outlook |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS/2.0 | Outlook-Android/2.0 |
オプション A: iOS と Android の両方のプラットフォームで Outlook for iOS と Outlook for Android をブロックする
コマンドレットをNew-ActiveSyncDeviceAccessRule使用すると、 または DeviceType 特性を使用して、デバイス アクセス規則をDeviceModel定義できます。 どちらの特性の場合も、アクセス規則により Outlook for iOS と Outlook for Android がすべてのプラットフォームでブロックされ、iOS プラットフォームと Android プラットフォームのすべてのデバイスがこのアプリを介して Exchange メールボックスにアクセスできなくなります。
デバイス アクセス規則の例を次に 2 つ示します。 最初の例では 特性を使用し DeviceModel 、2 番目の例では 特性を DeviceType 使用します。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
オプション B: 特定のモバイル デバイス プラットフォームで Outlook for iOS と Outlook for Android をブロックする
特性を UserAgent 使用すると、特定のプラットフォーム全体で Outlook for iOS と Android をブロックするデバイス アクセス規則を定義できます。 この規則によって、指定するプラットフォームのデバイスからは Outlook for iOS と Outlook for Android を使用して接続することができなくなります。 次の例では、特性にデバイス固有の値を使用する方法を UserAgent 示します。
Android をブロックし、iOS を許可する場合:
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow
iOS をブロックし、Android を許可する場合:
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block
Exchange Online コントロール
Microsoft エンドポイント マネージャー、Microsoft 365、および Exchange モバイル デバイス ポリシーの基本的なモビリティとセキュリティ以外にも、さまざまなExchange Onlineコントロールを使用して、モバイル デバイスがorganization内の情報に対するアクセスを管理したり、ユーザーが Outlook for iOS や Android 内のアドインへのアクセスを許可するかどうかを管理したりできます。
Exchange Web サービス (EWS) アプリケーション ポリシー
EWS アプリケーション ポリシーは、アプリケーションが REST API を使用することを許可するかどうかを制御できます。 特定のアプリケーションのみにメッセージング環境へのアクセスを許可する EWS アプリケーション ポリシーを設定する場合は、Outlook for iOS と Outlook for Android 用のユーザー エージェント文字列を EWS 許可一覧に追加する必要があります。
次の例は、ユーザー エージェント文字列を EWS 許可一覧に追加する方法を示しています。
Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
Exchange ユーザー コントロール
Microsoft のネイティブ同期テクノロジを使用すると、管理者はメールボックス レベルで Outlook for iOS と Android の使用状況を制御できます。 既定では、ユーザーは Outlook for iOS と Android を使用してメールボックス データにアクセスできます。 次の例は、Outlook for iOS と Android でユーザーのメールボックス アクセスを無効にする方法を示しています。
Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false
アドインを管理する
Outlook for iOS および Android を使用すると、ユーザーは人気のあるアプリやサービスをメール クライアントと統合できます。 Outlook 用のアドインは、Web、Windows、Mac、モバイルで利用できます。 アドインは Microsoft 365 または Office 365を介して管理されるため、ユーザーは、Microsoft 365 管理センター内のユーザーに対してアドインがオフになっていない限り、Outlook for iOS と Android とアンマネージド アドイン (Intune App Protection ポリシーによって管理されている場合でも) 間でデータとメッセージを共有できます。
エンド ユーザーが (すべての Outlook クライアントに影響を与える) Outlook アドインへのアクセスとインストールを停止する場合は、Microsoft 365 管理センターのロールに対して次の変更を実行します。
- Office ストアのアドインをユーザーがインストールできないようにするには、そのユーザーの [マイ マーケットプレース] 役割を削除します。
- ユーザーがアドインをサイド ロードできないようにするには、ユーザーからマイ カスタム アプリ ロールを削除します。
- ユーザーがすべてのアドインをインストールできないようにするには、両方の My Custom Apps ロールと My Marketplace ロールを削除します。
詳細については、「Outlook 用アドイン」および「Microsoft 365 管理センターでアドインの展開を管理する方法」を参照してください。