Office 365 のモバイルデバイス管理(MDM)設定

今回は、Office 365 MDMの設定手順をご紹介します。設定可能な項目や注意事項などは前回の投稿をご参照ください。

まずはOffice 365 管理画面から [Security&Compliance] – [セキュリティポリシー] – [デバイス管理] 画面へ遷移します。

start

[Mobile Device management for Office 365 のセットアップ] 画面で、「始めましょう」をクリックします。アクティブ化が完了すると、設定画面が表示されます。

manage2

右上の[設定の管理] をクリックすると、[モバイルデバイス管理の設定] ダイアログが表示されます。

config

iOS デバイスの管理を行う場合は、iOS デバイス用 APN 証明書の構成 でセットアップをクリックします。ここで証明書の設定を行います。

まずは、証明書要求ファイルのダウンロードです。

cerdownload

次にAppleのポータルサイトへ移動し、証明書の作成・ダウンロードしたcerファイルのアップロードと続きます。最後に作成された証明書をダウンロードします。その後、Office 365 画面へ戻り、ダウンロードした証明書(pemファイル)を登録(アップロード)します。

この手順は以前投稿した Microsoft Intuneのモバイルデバイスの登録準備と同様の流れですね。

つぎに、デバイス セキュリティ ポリシー の管理 を行います。

[セキュリティ] – [セキュリティポリシー] – [デバイスのセキュリティポリシー] から設定を行います。

1

設定したポリシーは、Office 365 セキュリティグループに対して割り当てます。デバイス管理対象ユーザーは事前にセキュリティグループを作成し、メンバーに登録しておきます。

tenkai.GIF

最後にモバイルデバイスでOutlookアプリをインストールし、セキュリティグループに登録したユーザーのアカウントを設定しようとすると、Microsoft Intune ポータルアプリをインストールするように促されますので、ウィザードに従ってインストールを完了させます。(Androidデバイスの場合も同様です。)

20160825_131940000_iOS

[会社へのアクセスセットアップ] 画面が表示されるので、「開始」をクリックし、あとはウィザードに従って [次へ] をクリックしていきます。

20160825_134206000_iOS

Office 365 デバイス管理画面に登録されていることが確認できます。ここから該当デバイスのフルワイプ(工場出荷時状態)や選択式ワイプ(会社データのみ削除。個人データやアプリは保持)の実行が可能です。

List

Office 365 商用のサブスクリプションであれば別途費用がかからずに利用できます。試用版でも利用可能なので、 会社配布のモバイルデバイスを利用される場合はぜひ試してみてください。

 

 

 

 

 

Office 365 による モバイルデバイス管理(MDM)

前回まで Microsoft Intune による管理手順についてご紹介しておりましたが、Office 365 にもモボモバイルデバイス管理(MDM)の機能が搭載されています。

Office 365 の MDM は、Microsoft Intuneの機能を一部 (iOS / Android / Windows Phone) を対象に切り出してきたものです。

Microsoft Intune の場合は、MDMのみでなく、アプリケーション管理(MAM)やコンテンツ管理(MCM)の機能も網羅できます。より管理の幅を広げることができますが、利用するには Microsoft Intune 用のサブスクリプションを購入する必要があります。

Office 365 の MDM の場合は、Office 365 (企業向けエディション)内の機能となりますので、別途MDM を行うためのサブスクリプション購入は不要です。

このあたりの比較については、Microsoft エバンジェリストの安納さんが以前、情報を Blog にわかりやすく記載してくださっています。現在 (2016年8月末)のOffice 365 の MDM として設定できる項目は以下のとおりです。2015年当時と内容に変更は無いようです。

Office 365 MDM 設定項目

[アクセス要件]
・パスワード
単純なパスワードを禁止
英数字のパスワードを要求:
パスワードには次の文字数以上にする必要があります:  文字セット
パスワードの最小文字数:(デフォルトは4文字)
パスワードの有効期限:    日数
パスワードの履歴を保存して再利用を防止:    最大保存数  以前のパスワード
・サインイン失敗が指定した回数を超えたらデバイスをワイプする
指定した期間は非アクティブなデバイスをロックします

・デバイス上のデータの暗号化を要求
・脱獄またはルート化されたデバイスは接続できません
・メール プロファイルの管理が必要です (iOS で選択的にワイプする場合に必要)
・デバイスが上記の要件を満たさない場合…
アクセスを許可し、違反についてレポートします
アクセスをブロックし、違反についてレポートします

[構成] 
・暗号化されたバックアップを要求
・クラウド バックアップの禁止
・ドキュメントの同期の禁止
・写真の同期の禁止
・画面キャプチャの禁止
・デバイスでのビデオ会議をブロック
・デバイスからの診断データ送信の禁止
・アプリケーション ストアへのアクセスをブロック
・アプリケーション ストアにアクセスするときにパスワードが必要
・リムーバブル記憶域との接続の禁止
・Bluetooth 接続の禁止

注意①:Office 365 MDM とIntune を同時に利用はできません。Office 365 MDM からMicrosoft Intune へ管理を切り替える場合には現状は Microsoft へサービスリクエストなどでお問い合わせいただき設定変更を依頼する必要があります。

注意②:Office 365 MDMで設定可能な項目は利用するモバイルデバイスにより若干異なります。詳細は Microsoft Technet の一覧表をご確認ください。

Office 365 MDMの設定画面は最近アップデートがかかっていますので、設定方法など次回の投稿でご紹介します。

 

 

Microsoft Intune 入門編⑤ ~モバイルデバイスの登録(登録編)~

iOS デバイスの場合は前回のMicrosoft Intune 入門編④ ~モバイルデバイスの登録(準備編)~作業が完了している前提です。

iOS デバイスで、Apple Store から「Microsoft Intune ポータルサイト」を検索し、インストールを行います。Androidデバイスの場合も同様にPlayストアから検索しインストールを実行します。

[Intune Company Portal] 画面で、Microsoft Intune のライセンスを保有するユーザーのユーザー名とパスワードを入力し、[サインイン] をクリックします。

[会社アクセスのセットアップ] 画面で、[開始] をクリックします。

20160816_115737000_iOS

[デバイスを登録する理由] 画面で、[続行] をクリックします。

20160816_120943000_iOS

[ユーザーのプライバシーに配慮しています。] 画面で [続行] をクリックします。

20160816_121427000_iOS

[次の操作] 画面で、[登録] をクリックします。

[プロファイルをインストール] 画面で、[インストール] をクリックします。

20160817_023116000_iOS

デバイスのパスコードを入力しインストールを継続します。

[警告] 画面で、インストールをクリックし、リモート管理で[信頼] をクリックします。

20160817_025600000_iOS

[インストール完了] 画面で、[完了] をクリックします。

[会社アクセスのセットアップ] 画面で [続行] をクリックするとポリシーの準拠状況の確認がはじまります。ポリシーをまだ作成していない段階なので、これはスキップでかまいません。

Microsoft Intune 管理画面からすべてのデバイスを確認すると iOS デバイスが登録されていることが確認できます。

End

 

これでiOS デバイスの登録は完了です。

Microsoft のサイトはこちら

Intune に iOS デバイスを登録する

なお、デバイス登録でエラーが発生した場合には以下のサイトを確認してみてください。

Microsoft Intune での会社のリソースへのアクセスに関する問題のトラブルシューティング

 

 

 

 

 

 

 

 

 

Microsoft Intune 入門編④ ~モバイルデバイスの登録(準備編)~

今回はMDMらしく、Microsoft Intune へ管理対象のモバイルデバイスの登録方法(主にスマートフォン)をご紹介しますが、iOS の場合は事前に Microsoft Intune へ Apple Push Notification サービス(APNs)証明書を登録する必要があります。

*AppleIDとパスワードをご用意ください。

Intune 管理画面で、[管理者] – [モバイル デバイス管理] – [iOS および Mac OS X] をクリックし、[iOS および Mac OS X モバイル デバイス管理のセットアップ] 画面で、[iOS および Mac OS X プラットフォームを有効にする] リンクをクリックします。

active

[APNs 証明書のアップロード] 画面で、[APNs 証明書要求のダウンロード] をクリックします。

upload

証明書署名要求 (.csr) ファイルを任意の場所(デスクトップなど)へ名前をつけて保存します。

次に[APNs 証明書のアップロード] 画面で、[Apple Push Certificate Portal] をクリックし、所有している Apple ID / Password を入力し、サインインを行います。

Appleportal

[Certificates for Third-Party Servers] 画面で、[Create a Certificate] をクリックします。

NewCreatecer

[Terms of User]画面で、[I have read and agree to these terms and conditions.]にチェックをオンにして [Accept] をクリックします。

[Create a New Push Certificate] 画面で、[参照] をクリックし[アップロードするファイルの選択] 画面で、前の手順で作成した APNs証明書要求ファイル (ここでは、ダウンロード フォルダーの ios.csr ファイル) を選択します。

「created<xxxxx>.json」 ファイルを名前を付けて保存し、[Create a New Push Certificate] 画面はキャンセルで次へすすみます。(少し時間がかかることがあります。)

[Apple Push Certificates Portal] 画面で、表示されている証明書の [Download] をクリックしpem  ファイルを保存するメッセージが表示されたら、ファイル名を付けて保存 をします。

Microsoft Intune 管理画面に戻り、[APNs 証明書のアップロード] 画面で、[APNs 証明書のアップロード] をクリックします。

upload2

[APNs 証明書のアップロード] 画面で、[APNs 証明書] 欄の [参照] をクリックし APNs 証明書 (pem ファイル)を選択します。

[APNs 証明書のアップロード] 画面で、[Apple ID] を入力し、[アップロード] をクリックします。

[iOS モバイル デバイス管理のセットアップ] 画面で、登録準備完了という表示が確認できます。

complete

これで事前準備は完了です。

 

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune 入門編① ~Microsoft Intuneへのユーザー登録~

Office 365 とともに MDM / MAM といった観点から、Microsoft Intune のトレーニングを実施する機会が増えているのですが、まず最初に戸惑うポイントは「どうやってユーザーを登録するか?」という部分のようです。

今回は、まずユーザー登録の手順を確認してみます※あくまで2016.07現在の仕様であることをご承知おきください。

1.管理ポータルへサインイン

Microsoft Intune管理ポータルへ管理者権限でサインインします。左ペインから [グループ] を選択し右サイド  [タスク] – [ユーザーの追加] をクリックします。

adduser

[ユーザーの追加] をクリックすると、Office 365管理センター画面へ遷移します。

※以前はユーザー登録用のアカウントポータル画面が別途用意されていましたが、現在はOffice 365管理センターによるユーザー管理に統合されています。Office 365 とともに利用されることが多いと思いますが、Microsoft Intune のみのサブスクリプションでもOffice 365 管理ポータルからのユーザー登録機能はご利用いただけます。詳細は以下のサイトでご確認ください。

Japan Microsoft Intune & MDM for Office 365 Support Team Blog

 2.ライセンス割り当て

Office 365 管理センター ユーザー管理メニューから、該当するユーザーを選択し、ライセンス[Intune A Direct] を割り当てます。画像ではEMS(Enterprise Mobility Suite)内の [Intune] ライセンスを割り当てていますが、Intune単体のライセンスをご利用いただくことも可能です。(※いずれも無料試用版あり)

addlicense

 3.ユーザー登録の確認

Microsoft Intune 管理ポータルに戻り [グループ] – [すべてのユーザー] をクリックします。一覧にはまだユーザーが表示されていません。その場合、いったんグループを作成し、手動でユーザーを追加することができます。

nouser1

4.グループの作成

Microsoft Intune 管理ポータルで、[ダッシュボード] – [グループの作成] をクリックします。

グループ作成画面で、[全般] 画面で、任意のグループ名を入力します。次に [ダイレクトメンバーシップ] 画面で、[参照] ボタンをクリックします。下部にある[ユーザーを手動で追加する] リンクをクリックし、[未登録デバイスをもつユーザーを追加する] 画面で登録するユーザーをクリックします。

updusers1

[OK] -[完了] をクリックし、グループの作成を完了します。Microsoft Intune 管理ポータルに戻り [グループ] – [すべてのユーザー] をクリックします。一覧にユーザーが表示されていることが確認できます。

userlist

次回以降でご紹介しますが、ポリシーを割り当てる際に部署ごとなど、グループ単位で行うことも多いと思います。まずはこの手順を把握しておきたいですね。

 

 

 

 

 

 

Azure AD Connect 構成前の準備

先日、Azure AD Connect のNew Version 1.1.105.0 が出てきました。
こちらに新機能情報が網羅されているので、ご確認下さい。
Azure AD Connect: Version Release History

Office 365 のディレクトリ同期ツールとしてもこちらの利用が推奨されるようになりました。
DirSync を利用されている企業も多いと思いますが、サポート期限の問題もありますので、
折をみてこちらへの移行をお勧めいたします。

さて、Azure AD Connect は、ディレクトリ同期のみならず、ADFSを利用したシングルサインオン環境をほぼ自動で構築することもできます。
詳細は、こちらをご一読下さい。
Office 365 運用管理入門(10)
最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する

さて、前置きが長くなりました。
AADConnectを利用してSSO環境を構成する場合、極力一度の操作で終了できるように事前準備を行いましょう。
設定漏れ、準備ミスなどで失敗した場合、「AADConnectアンインストール」 → 「WID(ADFSでSQLServer以外の場合に利用するDB)削除」→「ADFS アンインストール」
などの対応が必要です。
※WIDの削除に関しては、他システムで利用している可能性がある場合は、必要なDBのみ選択して削除します。

エバンジェリスト安納さんのブログ
こちらはADFS 2.0 ベースのお話ですが、ADFS 3.0 の場合は対応する SQLServer Managementを別途ダウンロードしてください。

では、何を準備するかを以下にまとめます。

<準備リスト>
①SSL証明書…さすがにこれは忘れないと思いますが、公的な認証局から取得して下さい。AADConnect構成時に、証明書を参照する必要があります。
②公開DNSレコードの登録…公開DNSへフェデレーションサービス名でプロキシに設置するADFSのIPを登録します。
③内部DNSレコードの登録…DC,ADFSはドメイン内なので問題ありませんが、ADFSプロキシのプライベートIPも登録しておかないと、AADConnectで構成する際に、認識してくれないことがあります。
④リモート管理の有効化…とくにAzure仮想マシンでこの環境を構成する場合は必須です。
(さらにGUIだと一見有効化になっていても認識されないことがあるので)PowerShellでADFS、ADFS Proxy 側で以下のコマンドを実行します。

Enable-PSRemoting -Force

ADFSプロキシをリモート管理するために、DC側で、以下のコマンドを実行します。

Set-Item WSMan:\Localhost\Client\TrustedHosts -Value <Web アプリケーション プロキシのホスト名>.<Active Directory ドメイン名

上記の準備を終了してからAADConnectを構成しましょう。
アンインストールして再実行しようとすると、初回にはなかったエラーが出てくることがあります。
準備を整えて、1度の構成で終了できるようにするのがお勧めです。