対象: Office 365 for Professional and Small Business, Office 365 for Enterprise

 

昨今、スマートフォンやタブレットデバイスの選択肢も増えてきて機能もあがってきているため、仕事場への浸透も進んできているように思います。これらのデバイスはクラウドとも親和性が高いため、PC がなくてもこれらのデバイスからメールやドキュメントなどの最新の情報をクラウドから閲覧したり簡単な編集、返信を行うことができます。ただ、その一方、これらのデバイスにも PC と同じように IT 部門のガバナンスを利かせていきたいというニーズが高まってきています。このニーズには企業規模や業種によってその内容にいくつかのレベルが存在します。今回はそんな中で、利用できる端末の制限(特定の個体識別番号、モデル/ファミリー毎の制限)、利用できる機能の制限や、デバイスに入っている情報に対するセキュリティ コントロールを Office 365 が標準機能として実装しており、実際にどのようなものが利用できるのか、というところに焦点を当てていきたいと思います。

 

組織レベルのモバイル デバイス管理 (管理者)

まず、組織レベルで管理者が設定できる項目について紹介しま���。これには、ActiveSync ポリシーの設定や ActiveSync デバイスのアクセス管理があげられます。

ActiveSync ポリシーテンプレートの設定

Exchange コントロールパネル (ECP) の[組織の管理] で [電話と音声]の [ActiveSync デバイスポリシー]の画面で設定することができます。既定のポリシーを編集したり、特定のユーザーのみに適用するポリシーを新規作成したりすることができます。

 

 

既定のポリシーは以下のようになっています。特に設定をしない場合は、以下のポリシーが適用されます。

以下に各オプションの簡単な説明を記載します。より詳しい説明については、ヘルプ記事「ActiveSync デバイス ポリシーの変更」を参照してください。

 

全般 

  • これを既定のポリシーにする: 既定 (Default) ポリシーにしたい場合オンにします。
  • これらのポリシーを完全にはサポートしないデバイスの同期を許可する: 選択したポリシーの一部またはすべてをサポートしないデバイスによる同期を許可するかどうかを選択します。どのデバイスでどのポリシーがサポートされているかについては、Exchange ActiveSync クライアントの比較リスト (英語)を参照してください。
  • デバイスのポリシーの更新頻度 (時間): デバイスのポリシーを定期的に更新するように設定したいときにオンにします。

 デバイス セキュリティ

 

 同期の設定

デバイスの設定

既定のポリシー以外のポリシーについては、これを割り当てたいユーザーを、ユーザー毎に設定します。

また、Exchange ActiveSync のポリシーは Exchange Online PowerShell からも制御することが可能です。PowerShell からは、ECP から設定できる以上の項目が制御できます。

たとえば、以下のような項目が制御できます。ただし、これらは主に Windows Mobile 6.x を利用するときの専用項目です。

  • POP3/IMAP4 を許可する
  • コンシュマー向けメールを許可する
  • ブラウザーを許可する
  • 署名されていないアプリケーションを許可する
  • 署名されている CAB ファイルを許可する
  • S/MIME 関連の要件
  • デバイスの暗号化を許可/要求する

ActiveSync ポリシーの一覧と、どのデバイスでどのポリシーがサポートされているかについては、Exchange ActiveSync クライアントの比較リスト (英語)を参照してください。

コマンドレット 説明

Get-ActiveSyncMailboxPolicy

組織のメールボックスに接続される Exchange ActiveSync デバイスに適用できるポリシーと、それらのポリシーに対して構成されている設定を表示します。

New-ActiveSyncMailboxPolicy

接続される Exchange ActiveSync デバイスの設定を強制するために組織のメールボックスに適用できる Exchange ActiveSync メールボックス ポリシーを作成します。

Remove-ActiveSyncMailboxPolicy

接続されている Exchange ActiveSync デバイスの設定を強制する既存の Exchange ActiveSync メールボックス ポリシーを削除します。

Set-ActiveSyncMailboxPolicy

接続される Exchange ActiveSync デバイスの設定を強制するために組織のメールボックスに適用される既存のポリシーの設定を構成します。

端末のアクセス制限、検疫、ルールの設定

Exchange コントロールパネル (ECP) の[組織の管理] で [電話と音声]の [ActiveSync アクセス]の画面で設定することができます。Exchange ActiveSync アクセスの設定と、デバイスの検疫を行うことができます。

 

 

 

Exchange ActiveSync の設定で [編集] をクリックすると、以下の画面が表示されます。この画面では、新しいデバイスが接続された時の動作を規定します。接続するかどうかの判断を後で行うこと (検疫する) も可能であり、その場合、接続が行われたときにシステム管理者にメール通知を出して、エンドユーザーにもメッセージを出すことができます。

 

 

これをイメージ図で表示すると以下のようになります。

 

デバイスが検疫されると、エンドユーザーには以下のメッセージが送られます。(ユーザーのメールボックスと、検疫されたデバイスの両方に届きます)

 

デバイスに届く通知

(Windows Phone の例) 

メールボックスに届く通知 

 

一方、管理者には以下のメールが届き、メール内のリンクから、許可/ブロックの操作を選ぶことができます。操作を選んで[OK]をクリックすると、結果が適用され、許可された場合は、ユーザーが再度同期をするとメールボックスの内容を取得することができるようになります。

 

 

管理者には、検疫された端末に関する一連の情報が通知されます。ユーザーが利用する予定のデバイスの IMEI (国際移動体装置識別番号)を、管理者があらかじめ入手しておくことによって、特定の端末だけを承認することが可能です。IMEI は 15 桁の個体識別番号で、通常は電池パックの裏に記載されており、また、待ち受け画面で「*#06#」と入力すると表示させることができます。

 

ちなみに、アクセスしているデバイスがすでにある状態で、[アクセス許可]の状態から[検疫]に設定を変更すると、既存でアクセスしているすべてのデバイスが[検疫]のステータスになることに注意してください。一方、[組織の管理] で [電話と音声]の [ActiveSync アクセス]を見てみると、トリガーになったデバイスのみリストされています。

 

 

また、すべての場合に同じルールを適用するのではなく、ある特定の条件に当たった時だけ検疫をしたりブロックをしたりすることも可能です。たとえば、会社で配布した特定の機種のスマートフォンからだけアクセスを可能にすることを自動化することもできます。

 

 

デバイスファミリとデバイスのモデルは、組織のメールボックスに接続済みのデバイスのファミリーやモデルの一覧が表示されます。最初の状態では何も表示されません。このルールを利用するには、テストとしてルールで利用するデバイスを接続してみてから、このルールの画面を操作してルールを組み立てる必要があります。

 

 

また、Exchange ActiveSync のポリシーは Exchange Online PowerShell からも制御することが可能です。

 

���マンドレット 説明

Get-ActiveSyncDevice

Exchange ActiveSync を使用して組織のメールボックスに接続するモバイル デバイスの一覧を表示します。

Remove-ActiveSyncDevice

モバイル デバイスの Exchange ActiveSync 接続をメールボックスから削除します。 モバイル デバイスの名前とユーザーのメールボックスがわかっている必要があります。

Get-ActiveSyncDeviceAccessRule

New-ActiveSyncDeviceAccessRule コマンドレットで作成した Exchange ActiveSync デバイス アクセス ルールを表示します。

New-ActiveSyncDeviceAccessRule

ユーザーが特定のモバイル デバイス ファミリまたはモデルとメールボックスを同期できるように Exchange ActiveSync デバイス アクセス ルールを作成します。

Remove-ActiveSyncDeviceAccessRule

組織から既存の Exchange ActiveSync デバイス アクセス ルールを削除します。

Set-ActiveSyncDeviceAccessRule

既存の Exchange ActiveSync デバイス アクセス ルールを構成します。

Get-ActiveSyncDeviceClass

組織のメールボックスに接続されている Exchange ActiveSync デバイスの一覧を表示します。

Get-ActiveSyncOrganizationSettings

組織の Exchange ActiveSync 設定を表示します。

Set-ActiveSyncOrganizationSettings

組織の既定の Exchange ActiveSync 設定を構成します。 たとえば、新しいデバイスを許可、ブロック、または検疫する既定のアクセス レベルを設定できます。

ユーザーレベルのモバイル デバイス管理 (管理者)

各ユーザーごとに管理者が設定できる項目には、ユーザーごとのActiveSync の有効化、利用ポリシーの制御、デバイスアクセスのルール、およびリモートワイプの実行があげられます。

ActiveSync の有効化、ポリシーの種類の選択

ECP の [ユーザーとグループ]の[メールボックス]から、特定のユーザーのメールボックスを選択して [詳細] をクリックします。オプション一覧の一番下の [電話および音声の機能]の中に、Exchange ActiveSync を有効化、無効化するオプションがあります。既定では有効になっているので、必要に応じて変更します。

デバイス制限の適用

また、この画面で [Exchange ActiveSync] を選択した状態で [編集]をクリックすると、そのユーザーの ActiveSync のポリシーや、デバイスの利用状況とルールを参照、および変更することができます。詳細についてはヘルプ記事「ユーザー メールボックスの ActiveSync 設定の変更」を参照してください。

  • Exchange ActiveSync デバイスポリシー: あらかじめ作成してある ActiveSync ポリシーの中からこのユーザーに適用するポリシーを選択します。既定の状態では、「Default」ポリシーが適用されています。
  • モバイル機器: このユーザーが利用しているデバイスの一覧が表示されます。特定のデバイスについてアクセスを許可/ブロックしたり、デバイスのファミリーやモデルからルールを作成して取り締まることも可能です。ちなみにデバイスは最大 10 台までしか同時に利用できません。10 台登録されていると、以下のダイアログボックスが表示されます。

同様の画面は、ECP の [他のユーザーの管理]でも実施が可能です。この場合、ユーザーが見る画面を管理者が代わりに操作することになります。[電話]-[携帯電話]から、上の[モバイル機器]の一覧とほぼ同じオプションを管理者が操作することができます。この画面でしか設定できない項目として、回復パスワードに関する操作とログの取得に関する操作があります。この画面の詳しい操作については、ヘルプ記事「[携帯電話] タブ」を参照してください。

デバイスのワイプ

上のいずれかの画面において、特定のデバイスを失くした場合などにデバイスの中身を消去するためにリモートワイプを発動することができます。デバイスは次にネットワークにつながった時にこの指令に従ってデータを消去します。この指令は、実際にデバイスでリモートワイプが実行される前は、この画面からキャンセルすることも可能です。

 

デバイスのワイプや、指定したユーザーのメールボックスと同期しているデバイスの一覧を得るには、Exchange Online PowerShell からも制御することが可能です。

 

コマンドレット 説明

Clear-ActiveSyncDevice

Exchange ActiveSync を使用して組織のメールボックスに接続する指定したモバイル デバイスのコンテンツを消去します。 通常は、デバイスの紛失や盗難が発生した場合に使用します。

Get-ActiveSyncDeviceStatistics

指定したユーザーのメールボックスと同期するように構成されている携帯電話の一覧と、各デバイスの同期統計を表示します。 返される情報には、同期が最後に試行された日時などの統計情報と、デバイスの ID が含まれます。

 

ユーザーが各自行えるモバイル デバイス管理

端末の選択

管理者と同じように、各ユーザーも自分のデバイスについて、管理を行うことができます。この画面の詳しい操作については、ヘルプ記事「[携帯電話] タブ」を参照してください。

 

回復パスワード

携帯電話のロックを解除するために設定したパスワードを忘れた場合は、回復パスワードを入力できます。回復パスワードは、あらかじめ設定をしておく必要があります。回復パスワードを表示するには、一覧から携帯電話を選択し、[回復のパスワードを表示する] をクリックします。回復パスワードが記載されたダイアログ ボックスが表示されます。機器のロックを解除するには、このパスワードを入力します。

デバイスのワイプ

携帯電話を紛失した場合、または機器から個人データをすべて削除する場合は、リモート デバイス ワイプというプロセスを使用できます。このプロセスにより、機器から個人データがすべて削除されます。

ログの取得

 機器が同期できなかったり、正しく同期していない場合、管理者が機器のログを要求することがあります。このログ ファイルには、同期に関する技術情報が含まれます。携帯電話のログを取得するには、一覧から携帯電話を選択し、[ログの取得] をクリックします。ログ ファイルが添付された電子メール メッセージが受信トレイに配信されます。