1,996 views(since 2013/10/08)

Microsoft Intune – 基本 (MDM, MAM)

目次

  1. Microsoft Intune – 基本 (MDM, MAM)
  2. Microsoft Intune – 設定 (MAM アプリケーション展開 for iOS)
  3. Microsoft Intune – 登録 (Windows Desktop PC編)

概要

Intuneの設定について、主要なところを、確認してみました。
https://docs.microsoft.com/ja-jp/intune/understand-explore/introduction-to-microsoft-intune

  • モバイル デバイス管理 (MDM):
    プロビジョニング、構成、監視、およびデバイスのワイプなどのアクションをデバイスで実行できるように、それらのデバイスを Intune に登録する機能。
    例)
    1. リモートワイプ
    2. Root化デバイスの検出
    3. パスワードポリシーの設定
    4. Wifi設定

  • モバイル アプリケーション管理 (MAM):
    ユーザーのモバイル アプリを公開、プッシュ、構成、セキュリティ保護、監視、および更新する機能。
    例)
    1. アプリケーションの配布(自社 Store)
    2. メール設定
    3. Office365への条件付きアクセス

  • モバイル アプリケーションのセキュリティ (MAMの機能の一部?):
    モバイル アプリの管理の一部として、Intune は会社のデータから個人のデータを分離し、会社のデータを選択的にワイプできるようにすることで、モバイル データをセキュリティ保護するために役立つ機能を備えています
    例)
    1. 許可していない、アプリの間でのコピペ
    2. Office365のSharePoint/OneDrive以外への保存
    3. Office365のSharePoint/OneDriveのリモートで切断

公式のDocument(一読すると良いです)

  1. Microsoft Intune のドキュメント
    特に「展開と使用」を読む
  2. Intune Documentation
    特に[Deploy & Use]を読む

ここ重要(2016/6/23日現在)

条件付きアクセスについて(ポリシー=Password等)

Office 365 サービス用条件付きアクセスのデバイス ポリシー

よく寄せられる質問 (FAQ)

Q: サポートされていないデバイス プラットフォームに対する既定の除外ポリシーとは何ですか。

A: 現在のところ、条件付きアクセス ポリシーは、iOS デバイスおよび Android デバイスのユーザーに選択的に適用されます。その他のデバイス プラットフォームのアプリケーションは、既定では、iOS デバイスおよび Android デバイスの条件付きアクセス ポリシーの影響を受けません。ただし、テナント管理者は、サポートされていないプラットフォームのユーザーへのアクセスを許可しないようにグローバル ポリシーを上書きすることができます。今後、条件付きアクセス ポリシーが拡張されて、Windows を含むその他のプラットフォームのユーザーにもポリシーが適用される予定です。

Q: Office 365 サービスに対する条件付きアクセス ポリシーがブラウザー ベースのアプリ (OWA、ブラウザー ベースの SharePoint など) に拡張されるのはいつですか。

A: 現在のところ、Office 365 サービスへの条件付きのアクセスは、デバイスの機能豊富なアプリケーションに制限されます。今後、条件付きアクセス ポリシーが拡張されて、ブラウザーからサービスにアクセスするユーザーにもポリシーが適用される予定です。

補足

  1. つまり、ポリシー(Password等)に準拠した、デバイスか判断して、メールアプリやSharePointアプリのアクセス制限(Webブラウザー経由は関係ない)はiOSとAndroidしか使えないというです。
  2. 補足:Azure AD Premiumの条件付きアクセス(IP制限、デバイス制限)を利用すれば、
    Intuneとは別機能ですが、iPhoneのOutlookは先進認証(Web認証)を使用しますので、登録済みデバイスでアクセス許可できます。(デバイスの登録時のIP制限が出来るので、登録自体は社内で実施する等)
  3. ※Office Desktopアプリも先進認証にできます。

MAM – iOS(iPhone) – アプリケーション配布

Microsoft Intune 設定 (MAM アプリケーション展開 for iOS)

MAM – iOS(iPhone) – 電子メールプロファイル

構成ポリシーで以下のように設定します。

ホスト名:outlook.office365.com

あとは、デェフォルトでOK

参考

Microsoft Intune を使って iOS デバイスに電子メール アクセスをセットアップする

intune0010

結果

残念ながら、 Outlook for iOS は設定されない

intune0020

標準のメールには設定が自動で設定されます。

intune0030

 

intune0040

MAM – 条件付きアクセス

デバイスが準拠していない(パスワード等)場合は,「Exchange Online」「SharePoint/OneDrive」に接続できないようにします。

注意)

  1. Web Browserからのアクセスはこの設定と関係ありません。
    例)以下のoutlook webサイト等
    https://outlook.office.com/owa/
  2. Intuneでは接続できるデバイス数を全体で1~5に設定できます。
    この方法で、1台しか接続できなないようにする設定はできます。
  3. 確実にデバイス制限するにはADFSを使用します。
    AD DS(オンプレミス)にデバイス登録を行い
    ※Intuneの場合はIntuneにデバイス登録時に、AD Syncで自動的にAD DSに登録される
    ADFSに認証時に登録されていないデバイスは許可しない設定をします。
  4. SharePoint/OneDriveについては、iOSとAndroidのみ対象です。

Exchnage Onlineのポリシー

intune0230

SharePoint Online (OneDrive含む)のポリシー
SharePoint/OneDriveについては、iOSとAndroidのみ対象です。

intune0240

コンプライアンスポリシーを違反させます。

現在のiPhoneはパスワード5文字のところを、準拠は6文字に変更

iPhone上では60分以内にパスワードを変更してくださいと言われる

intune0250

上記だとどうしても以下のように準拠にしかなりませんでした。(非準拠の仕方が不明、この辺りは、更に検証が必要)

intune0260

しかたないので、サインアウトして

intune0270

念のためにIntuneのプロファイルを削除して

intune0280

iPhone再起動後、Outlookの メールアカウント削除して追加すると以下のように拒否されるようになりました。

intune0290

 

更に、確認のために、Exchange Onlineポリシー無効にします。

intune0300

Exchange Online条件付きポリシーが無効のため、メールアカウントが以下のように追加できました。

intune0310

intune0320

 

MAM – モバイルアプリ管理  – 組織のデータ保護

注意点:現時点で構成出来るポリシーは iOS, Androidです。(2014/07/20)

mam0800

MAMのメニューはAzureにあります。

Azure のメニューから、参照で[intune]を探します

intune0050

MAMを使用するセキュリティグループをOffice365の セキュリティグループで作成し、MAMで管理したいユーザを追加しておきます。

intune0060

AzureのIntuneにて[ポリシーの追加]をします。

intune0070

[ポリシー]にユーザグループを割り当てます。

Office365で作成した、セキュリティグループを割り当てます

intune0080

対象アプリを割り付けます

intune0090

ポリシーの設定を行います。今回は標準にします(変更しません)

intune0100

結果

Excel, Outlook等のアプリケーションを起動すると、最初の1回だけPINを設定する画面ができてきます。

2日目以降はPINを要求されます。

 

intune0110

一度PINを打つと1時間?程度PINを入力する必要がないです。

intune0120

OneDrive/SharePointにあるデータは、iPhoneに保存できなくなります。

その文章をiPhoneに保存したときに、「保存を許可しません」、と表示されます。

※新規文章作成時(保存していない状況)はどこにも保存できます。一旦、OneDrive/SharePointに保存するとiPhoneに保存できなくなります。

intune0130

組織管理のデータ(OneDrive/SharePoint)のデータですと「コピー・ペースト」もできません。

wordで「コピー」します。

intune0140

iPhoneのノートに「ペースト」できません。

intune0150

許可されたアプリ、PowerPointは「ペースト」できます。

intune0160

MAM – モバイルアプリ管理  – 組織のデータ保護 (注意点:メモへの抜け道)

Outlookでなぜか保存するときに iPhone ローカルのメモに保存できてしまいます。

受信ファイルのzipをタッチします。

intune0400

「メモを追加」をタッチする。

intune0410

iPhoneでメモアプリを起動する。

intune0425

iPhoneのローカルのメモをタッチします。

intune0430

zipが保存されています。

※組織のデータを封じ込めるには、iPhoneをユーザに配るときににメモを使えなくなる必要がありそう。

intune0440

クラウドに保存を実行してみます。

Outlookのメールの添付ファイルをタッチします。

intune0450

Google ドライブに保存する。

intune0460

「保護されたファイル」 「ITポリシーはこのファイルの保存を許可してません。」と表示されます。

intune0470

 

MAM – モバイルアプリ管理 – ワイプ要求

ユーザとデバイスを選んでワイプ要求をします。

intune0170

PowerPointを起動するとワイプされます。

実際にはOfficeからサインアウトされて OneDrive/SharePointにアクセスできなくなるだけです。

 

 

intune0180

ワイプされたあとは、OneDirve/SharePointがありません。

intune0190

もう一度Office365にサインインします。

intune0200

Office365にサインすると OneDrive/SharePointにアクセスできます。

 

intune0210

データは削除されずに、残っています。
※このワイプは、データの削除ではなく、OneDirve/SharePointのアクセスの切断です。

intune0220

参考

  1. Azure Rights Management with Office365 (EMS 及び Azure RMSの解説)

  2. Microsoft Windows Intune(統合管理ソフトウェア)

  3. Office 365のモバイルデバイス管理機能  (365の無料のMDM, Intuneの機能限定版)

  4. [EMS] 他社 MDM を利用しながらでも Office アプリの保護が可能! Intune MAM without MDM 機能の提供について

  5. Microsoft Intune でのモバイル アプリ管理ポリシーの作成および展開
  6. Microsoft様の解説サイトとってもわかりやすいので、以下の図を参照しておきます。Office365 のE3, E5 は Azure RMSのIRMの機能を使用しているのが以下の図からわかります。

    Office 365 と Azure AD、Intune、Azure RMS の関係について

    image

 

Filed Under: AzureEMSIntuneOffice365全般

Tags:

About the Author

野呂清二(ご連絡はこちらまで (http://www.exceedone.co.jp/inquiry/)

Leave a Reply




If you want a picture to show with your comment, go get a Gravatar.