Office 365 のモバイルデバイス管理(MDM)設定

今回は、Office 365 MDMの設定手順をご紹介します。設定可能な項目や注意事項などは前回の投稿をご参照ください。

まずはOffice 365 管理画面から [Security&Compliance] – [セキュリティポリシー] – [デバイス管理] 画面へ遷移します。

start

[Mobile Device management for Office 365 のセットアップ] 画面で、「始めましょう」をクリックします。アクティブ化が完了すると、設定画面が表示されます。

manage2

右上の[設定の管理] をクリックすると、[モバイルデバイス管理の設定] ダイアログが表示されます。

config

iOS デバイスの管理を行う場合は、iOS デバイス用 APN 証明書の構成 でセットアップをクリックします。ここで証明書の設定を行います。

まずは、証明書要求ファイルのダウンロードです。

cerdownload

次にAppleのポータルサイトへ移動し、証明書の作成・ダウンロードしたcerファイルのアップロードと続きます。最後に作成された証明書をダウンロードします。その後、Office 365 画面へ戻り、ダウンロードした証明書(pemファイル)を登録(アップロード)します。

この手順は以前投稿した Microsoft Intuneのモバイルデバイスの登録準備と同様の流れですね。

つぎに、デバイス セキュリティ ポリシー の管理 を行います。

[セキュリティ] – [セキュリティポリシー] – [デバイスのセキュリティポリシー] から設定を行います。

1

設定したポリシーは、Office 365 セキュリティグループに対して割り当てます。デバイス管理対象ユーザーは事前にセキュリティグループを作成し、メンバーに登録しておきます。

tenkai.GIF

最後にモバイルデバイスでOutlookアプリをインストールし、セキュリティグループに登録したユーザーのアカウントを設定しようとすると、Microsoft Intune ポータルアプリをインストールするように促されますので、ウィザードに従ってインストールを完了させます。(Androidデバイスの場合も同様です。)

20160825_131940000_iOS

[会社へのアクセスセットアップ] 画面が表示されるので、「開始」をクリックし、あとはウィザードに従って [次へ] をクリックしていきます。

20160825_134206000_iOS

Office 365 デバイス管理画面に登録されていることが確認できます。ここから該当デバイスのフルワイプ(工場出荷時状態)や選択式ワイプ(会社データのみ削除。個人データやアプリは保持)の実行が可能です。

List

Office 365 商用のサブスクリプションであれば別途費用がかからずに利用できます。試用版でも利用可能なので、 会社配布のモバイルデバイスを利用される場合はぜひ試してみてください。

 

 

 

 

 

Office 365 による モバイルデバイス管理(MDM)

前回まで Microsoft Intune による管理手順についてご紹介しておりましたが、Office 365 にもモボモバイルデバイス管理(MDM)の機能が搭載されています。

Office 365 の MDM は、Microsoft Intuneの機能を一部 (iOS / Android / Windows Phone) を対象に切り出してきたものです。

Microsoft Intune の場合は、MDMのみでなく、アプリケーション管理(MAM)やコンテンツ管理(MCM)の機能も網羅できます。より管理の幅を広げることができますが、利用するには Microsoft Intune 用のサブスクリプションを購入する必要があります。

Office 365 の MDM の場合は、Office 365 (企業向けエディション)内の機能となりますので、別途MDM を行うためのサブスクリプション購入は不要です。

このあたりの比較については、Microsoft エバンジェリストの安納さんが以前、情報を Blog にわかりやすく記載してくださっています。現在 (2016年8月末)のOffice 365 の MDM として設定できる項目は以下のとおりです。2015年当時と内容に変更は無いようです。

Office 365 MDM 設定項目

[アクセス要件]
・パスワード
単純なパスワードを禁止
英数字のパスワードを要求:
パスワードには次の文字数以上にする必要があります:  文字セット
パスワードの最小文字数:(デフォルトは4文字)
パスワードの有効期限:    日数
パスワードの履歴を保存して再利用を防止:    最大保存数  以前のパスワード
・サインイン失敗が指定した回数を超えたらデバイスをワイプする
指定した期間は非アクティブなデバイスをロックします

・デバイス上のデータの暗号化を要求
・脱獄またはルート化されたデバイスは接続できません
・メール プロファイルの管理が必要です (iOS で選択的にワイプする場合に必要)
・デバイスが上記の要件を満たさない場合…
アクセスを許可し、違反についてレポートします
アクセスをブロックし、違反についてレポートします

[構成] 
・暗号化されたバックアップを要求
・クラウド バックアップの禁止
・ドキュメントの同期の禁止
・写真の同期の禁止
・画面キャプチャの禁止
・デバイスでのビデオ会議をブロック
・デバイスからの診断データ送信の禁止
・アプリケーション ストアへのアクセスをブロック
・アプリケーション ストアにアクセスするときにパスワードが必要
・リムーバブル記憶域との接続の禁止
・Bluetooth 接続の禁止

注意①:Office 365 MDM とIntune を同時に利用はできません。Office 365 MDM からMicrosoft Intune へ管理を切り替える場合には現状は Microsoft へサービスリクエストなどでお問い合わせいただき設定変更を依頼する必要があります。

注意②:Office 365 MDMで設定可能な項目は利用するモバイルデバイスにより若干異なります。詳細は Microsoft Technet の一覧表をご確認ください。

Office 365 MDMの設定画面は最近アップデートがかかっていますので、設定方法など次回の投稿でご紹介します。

 

 

Windows Server 2016 TP4 のActive Directory グループポリシー③

今回は、グループポリシーを利用したOffice アプリケーションの管理についてご紹介します。
まず、Office アプリケーションをグループポリシーで管理するには、管理用テンプレートが必要です。

Microsoft ダウンロードセンターからダウンロードできます。
Office 2016 Administrative Template files (ADMX/ADML) and Office Customization Tool
Microsoft Download Center
ダウンロードセンターで[ダウンロード] ボタンをクリックし、ダウンロードするファイル(64bit)を選択します。

ダウンロードされたファイルを展開し、[admx] フォルダを確認します。
Office 2016 に関する[admx ファイル]とja-jpフォルダ内の[adml ファイル]をコピーし、
ドメインコントローラーのテンプレート格納場所へ貼り付けます。
セントラルストアを形成していない場合は、既定では C:\Windows\PolicyDefinitionsですね。

Office 2016 テンプレートでは、19の項目が追加されています。
Office 2016 Template
グループポリシー管理エディタで注目ポイントを確認してみましょう。

●コンピューターの構成
 コンピューターの構成 – ポリシー – 管理用テンプレート – Microsoft Office 2016(マシン)- 更新
更新メニュー
 確認すると、Office 2016をクイック実行でインストールした場合の更新プログラム取得が制御できます。
 クイック実行でインストールした場合、既定だと更新プログラムは WAN 回線で自動配信となります。
 
 例えば、LAN 回線で社内から配信したい場合、従来までは Office Deployment Tool を使用して、XML形式で記述する必要がありました。
 GUIのグループポリシーで設定できるので、だいぶ楽になりそうです。
Update Path

●ユーザーの構成
 ユーザーの構成 – ポリシー – 管理用テンプレート – Microsoft Office 2016 – DLP
DLP
Office 2016では、「Exchange」「SharePoint」「Outlook」などで採用されているデータ損失防止(DLP)が実装されています。
グループポリシーで、アプリケーション起動時にDLPを適用させることができます。

ぜひご活用ください。