[管理] > [Microsoft Azure] > [Office 365アプリ保護]

ライセンス: Gold

Office 365アプリ保護ポリシーを設定すると、企業データの保護に役立ちます。 このポリシーは、Microsoft Graph APIを使用してMicrosoft Office 365アプリに情報漏洩防止(DLP)制御を適用します。 これらのGraph APIの一部により管理者は、Graph SDKを利用するiOSとAndroidのネイティブアプリにアプリ保護機能を適用できます。

この機能を使用して以下のようなポリシーを適用してください。

  • ユーザーによるOffice 365アプリからの印刷を防止
  • Office 365アプリから外部へのデータ共有を防止
  • Office 365アプリへのPIN適用
  • Office 365アプリからの連絡先同期の無効化

Office 365アプリ保護を使用するための前提条件

Office 365アプリ保護を使用するには、以下が必要です。

  • 有効なMobileIronライセンス。
  • Ivanti Neurons for MDM で有効化されているOffice 365アプリ保護機能。
  • IntuneサブスクリプションまたはIntuneを含むMicrosoft EMSサブスクリプション。

    • ポリシーが適用される使用ごとにライセンスが必要ですが、統合の有効化とテストはライセンス1件のみで実行できます。

  • モバイルデバイスでのOffice 365アプリへのアクセス権を含むOffice EnterpriseまたはBusinessの有効なサブスクリプション。
  • 1つ以上のOffice 365アプリ。
  • Active DirectoryユーザーとAzure Active Directoryの同期。
  • Word、Excel、PowerPointのデータを保護するためのOne Drive for Businessのデバイスへのインストール。 これは必須ではありません。
  • Intuneアプリ保護ポリシーを構成する場合は、Microsoft Azureポータル(https://portal.azure.com/)にアクセスしてください。

  • AndroidデバイスへのIntune Company Portalアプリのインストール。

    デバイスユーザーによるサインインは必要ありませんが、デバイス上のデータを保護するためにこのアプリをデバイスにインストールする必要があります。 ユーザーがアプリにサインインすれば、保護が自動的に適用されます。

AzureアプリとしてのMobileIronの登録

ここでは、Ivanti Neurons for MDM ソフトウェアでAzureテナント認証情報を登録および保存し、Android および iOS Office 365アプリ対応のMicrosoft Azureクラウドでアプリ保護ポリシーをリモート管理する方法を説明します。 必須ではありませんが、2つのブラウザを開いて以下の手順を実行することをお勧めします。 最初のブラウザでMicrosoft Azureポータルにログインしてください。 2番目のブラウザで Ivanti Neurons for MDM 管理ポータルにログインします。

Microsoft Azureポータルの手順

Microsoftは時折、Azureポータルのユーザーインターフェイスを変更する場合があります。 この手順はユーザーがMicrosoft Azureポータルの使用に慣れ、AzureアプリとしてMobileIronを登録する際に必要な修正を加えられることを前提とします。

  1. 最初のブラウザを開き、Microsoft Azureポータル(https://portal.azure.com/)にログインします。
  2. 左ペインの [アプリ登録] をクリックします。
  3. [+新規アプリケーションの登録]をクリックします。
  4. 以下の情報を入力し、MobileIronをAzureアプリとして登録します。

    • 名前:MobileIronアプリの名前を入力します。 (このフィールドは4文字以上で必須です。)

    • アプリケーションタイプ:Webアプリ/APIを選択します。

    • サインオンURL:デバイスユーザーがMobileIronにサインイン(必須)するためのURLを入力します。

  5. ペイン最下部の [作成] をクリックし、アプリを追加してAzureホームページに戻ります。

  6. 新しく作成したMobileIronアプリをAzureホームページでクリックします。

  7. Azureホームページに戻り、MobileIron Azureアプリへの許可を割り当てます。

  8. 新しく作成されたMobileIronアプリに必要なAPI許可を設定するには、アプリ登録でアプリ名をクリックします。

  9. [API許可] > [許可を追加] をクリックします。

  10. [Microsoft Graph] > [委譲許可] > [Device Management Apps] セクションを開き、[DeviceManagementApps.Read.All] 許可を選択して [保存] をクリックします。をクリックします。デフォルトではアプリのuser.Read許可が有効化されています。

  11. アクセス権を付与するには [MobileIronに管理者の同意を付与] をクリックします。

  12. Ivanti Neurons for MDM管理ポータルで次の手順を実行します。

Ivanti Neurons for MDM 管理ポータルの手順

  1. 2番目のブラウザを開き、Ivanti Neurons for MDM 管理ポータルにログインします。

  2. [管理] > [Microsoft Azure] > [Office 365アプリ保護] を開きます。

  3. アプリケーションIDIvanti Neurons for MDM管理ポータルに貼り付けます。
  4. 手順

    1. Azureポータルを開きます。
    2. [MobileIronアプリ] > [プロパティ] を選択します。

    3. アプリケーションIDをコピーします。

    4. 管理ポータルで [管理] > [Microsoft Azure] > [Office 365アプリ保護] に戻ります。
    5. [アプリケーションID] フィールドに貼り付けます。

  5. アプリケーションシークレット(クライアントシークレット)をIvanti Neurons for MDM管理ポータルに貼り付けます。

  6. 手順

    1. Azureポータルを開きます。

    2. [MobileIronアプリ] を選択します。

    3. [キー] をクリックし、[キーの説明] に名前を入力した後、[時間] で有効期間を選択します。

    4. [保存] をクリックし、[キー] の値をコピーします。

    5. 管理ポータルで [管理] > [Microsoft Azure] > [Office 365アプリ保護] に戻ります。

    6. [アプリケーションシークレット](クライアントシークレット)フィールドに貼り付けます。

  7. テナントIDIvanti Neurons for MDM管理ポータルに貼り付けます。

  8. 手順

    1. Azureポータルを開きます。

    2. 左ペインの [Azure Active Directory] をクリックし、[プロパティ] をクリックします。

    3. ディレクトリIDをコピーします。

    4. 管理ポータルで [管理] > [Microsoft Azure] > [Office 365アプリ保護] に戻ります。

    5. [テナントID] フィールドに貼り付けます。

  9. Intune管理者のユーザー名パスワードを入力します。

    • Azureアカウントにはグローバル管理者権限または限定管理者 + Intuneサービス管理権限が必要です。

    • Ivantiは、Intuneサービス管理権限のみのローカルAzureアカウントの作成を推奨しています。 IDプロバイダーに連携しているユーザーアカウントはMicrosoftにサポートされていないためGraph APIでの認証ができません。

    • アカウントにMFA要件を指定することはできません。 指定した場合は認証が失敗します。

  10. [認証および保存] をクリックします。
  11. 送信した日付が正しくない場合、エラーメッセージが表示されます。

Office 365アプリ保護のポリシー

Microsoft Graphの認証情報を構成した後、[アプリ] > [Office 365アプリ保護] を開き、各ユーザーグループについてiOSまたはAndroidデバイスに対応する新しいOffice 365アプリ保護ポリシーを追加します。

ポリシーは [アプリ] > [Office 365アプリ保護] ページにリスト化されています。ページは [アプリポリシー] タブにあります。 ポリシーのリストは、最新のタイムスタンプ、プラットフォーム、割り当てられたアプリ、展開されているユーザーグループなど、表形式の詳細情報を提供します。

iOSデバイスに対応するOffice 365アプリ保護ポリシーの追加

手順

  1. [アプリ] > [Office 365アプリ保護] を開きます。
  2. [アプリポリシー] > [+ 追加] をクリックします。
  3. ポリシーの名前説明(任意)を入力します。
  4. [OSを選択] で [iOS] をクリックします。
  5. [データ再配置] で以下の設定とオプションを選択します。
    • iTunesおよびiCloudバックアップを防止
    • アプリが他のアプリにデータを転送するのを許可 - すべてのアプリ(デフォルト)、ポリシーマネージドアプリ、なし
    • アプリが他のアプリからデータを受信するのを許可 - すべてのアプリ(デフォルト)、ポリシーマネージドアプリ、なし
    • 「名前を付けて保存」を防止
    • 異なるアプリ間の切り取り、コピー、貼り付けを制限 - 任意のアプリ(デフォルト)、ブロック、ポリシーマネージドアプリ、ペーストインでポリシーを管理
    • マネージドブラウザで表示されるWebコンテンツを制限
    • アプリデータを暗号化 - デバイスがロックされている場合(デフォルト)、デバイスがロックされ、開いたファイルがある場合、デバイスの再起動後、デバイス設定の使用
    • 連絡先同期を無効化
    • 印刷を無効化
  6. [アクセス] で以下の設定とオプションを選択します。

    • アクセスにPINを要求

    • PINリセットまでの試行回数(デフォルトは5)

    • シンプルなPINを許可

    • PINの長さ(デフォルトは4)

    • PINの代わりに指紋を許可(iOS 8+)

    • デバイスPINが管理されている場合はアプリPINを無効化

    • アクセスに企業認証情報を要求

    • 脱獄済みのデバイスやルート化したデバイスでマネージドアプリの実行をブロック

    • アクセス条件の再チェック間隔(分):

      • タイムアウト - 1から65535までの値(デフォルトは30)

      • オフライン - 猶予期間は1から65535までの値(デフォルトは720)

      • アプリデータがワイプされるまでのオフライン間隔(日) - 1から65535までの値(デフォルトは90)

    • 最小iOSオペレーティングシステムを要求

    • 最小iOSオペレーティングシステムを要求(警告のみ)

    • 最小アプリバージョンを要求

    • 最小アプリバージョンを要求(警告のみ)

    • 最小Intuneアプリ保護ポリシーSDKバージョンを要求

  7. [次へ] をクリックします。

  8. このポリシーを適用するアプリを選択し、割り当てます。

  9. [次へ] をクリックします。

  10. このポリシーが適用されるユーザーグループを選択します。

  11. [完了] をクリックします。

Androidデバイスに対応するOffice 365アプリ保護ポリシーの追加

手順

  1. [アプリ] > [Office 365アプリ保護] を開きます。
  2. [アプリポリシー] > [+ 追加] をクリックします。
  3. ポリシーの名前説明(任意)を入力します。
  4. [OSを選択] で [Android] をクリックします。
  5. [データ再配置] で以下の設定とオプションを選択します。
    • Androidバックアップを防止
    • アプリが他のアプリにデータを転送するのを許可 - すべてのアプリ(デフォルト)、ポリシーマネージドアプリ、なし
    • アプリが他のアプリからデータを受信するのを許可 - すべてのアプリ(デフォルト)、ポリシーマネージドアプリ、なし
    • 「名前を付けて保存」を防止
    • 異なるアプリ間の切り取り、コピー、貼り付けを制限 - 任意のアプリ(デフォルト)、ブロック、ポリシーマネージドアプリ、ペーストインでポリシーを管理
    • マネージドブラウザで表示されるWebコンテンツを制限
    • アプリデータを暗号化
    • デバイス暗号化が有効化されている場合はアプリ暗号化を無効化
    • 連絡先同期を無効化
    • 印刷を無効化
  6. [アクセス] で以下の設定とオプションを選択します。
    • アクセスにPINを要求
    • PINリセットまでの試行回数(デフォルトは5)
    • シンプルなPINを許可
    • PINの長さ(デフォルトは4)
    • PINの代わりに指紋を許可(Android 6+)
    • デバイスPINが管理されている場合はアプリPINを無効化
    • アクセスに企業認証情報を要求
    • 脱獄済みのデバイスやルート化したデバイスでマネージドアプリの実行をブロック
    • アクセス条件の再チェック間隔(分):
      • タイムアウト - 1から65535までの値(デフォルトは30)

      • オフライン - 猶予期間は1から65535までの値(デフォルトは720)

      • アプリデータがワイプされるまでのオフライン間隔(日) - 1から65535までの値(デフォルトは90)

    • スクリーンキャプチャとAndroidアシスタントをブロック
    • 最小Androidオペレーティングシステムを要求
    • 最小Androidオペレーティングシステムを要求(警告のみ)
    • 最小アプリバージョンを要求
    • 最小アプリバージョンを要求(警告のみ)
    • 最小Intuneアプリ保護ポリシーSDKバージョンを要求
  7. [次へ] をクリックします。
  8. このポリシーを適用するアプリを選択します。
  9. [次へ] をクリックします。
  10. このポリシーを適用するユーザーグループを選択します。
  11. [完了] をクリックします。

Office 365アプリ保護ポリシーの変更

手順

  1. [アプリ] > [Office 365アプリ保護] を開きます。
  2. [アプリポリシー] をクリックします。
  3. 変更したいポリシーの名前をクリックします。
  4. ポリシーの詳細ページで [編集] をクリックします。
  5. ポリシーの構成を変更します。
  6. [次へ] をクリックします。
  7. このポリシーを適用するアプリのリストを変更します。
  8. [次へ] をクリックします。
  9. このポリシーを適用するユーザーグループを変更します。
  10. [完了] をクリックします。

Office 365アプリ保護ポリシーの削除

手順

  1. [アプリ] > [Office 365アプリ保護] を開きます。
  2. [アプリポリシー] をクリックします。
  3. [アクション] 列で、削除したいポリシー名に対応する削除アイコンをクリックします。
  4. [はい] をクリックして確定します。

Office 365アプリ構成

[アプリ] > [Office 365アプリ保護] ページを開き、[アプリ構成] タブで各ユーザーグループのOffice 365アプリ構成を追加、変更、削除します。このアプリ構成で、管理者はキーと値のペアのリストを追加し、 1つ以上のOffice 365アプリに構成を割り当てることができます。 [アプリ構成] タブには、最新のタイムスタンプ、割り当てられたアプリ、展開のステータスなど、表形式で詳細情報が記載されています。

Office 365アプリ構成の追加

手順

  1. [アプリ] > [Office 365アプリ保護] を開きます。
  2. [アプリ構成] > [+ 追加] をクリックします。
  3. 構成の名前説明(任意)を入力します。
  4. キーと値のペアを入力します。
  5. [次へ] をクリックします。
  6. この構成を適用するアプリを選択します。
  7. [次へ] をクリックします。
  8. この構成を適用するユーザーグループを選択します。
  9. [完了] をクリックします。

Office 365アプリ構成の変更

手順

  1. [アプリ] > [Office 365アプリ保護] を開きます。
  2. [アプリ構成] をクリックします。
  3. 変更したい構成の名前をクリックします。
  4. 構成の詳細ページで [編集] をクリックします。
  5. あるいは、[アプリ配布] または [ユーザーグループ配布] タブをクリックします。 [編集] をクリックし、それらの設定だけを変更して [保存] をクリックします。
  6. 構成の設定を変更します。
  7. [次へ] をクリックします。
  8. この構成を適用するアプリのリストを変更します。
  9. [次へ] をクリックします。
  10. この構成を適用するユーザーグループを変更します。
  11. [完了] をクリックします。

Office 365アプリ構成の削除

手順

  1. [アプリ] > [Office 365アプリ保護] を開きます。
  2. [アプリ構成] をクリックします。
  3. [アクション] カラムで、削除したい構成名に対応する削除アイコンをクリックします。
  4. [はい] をクリックして確定します。

Office 365 アプリを使用するコンプライアンス違反ユーザー

管理者は、コンプライアンス違反のあるユーザーとデバイスのリストを確認できます。 このページを使用し、フラグのあるデバイスにOffice 365アプリがある場合はワイプしてください。

Office 365アプリのワイプ

手順

  1. [アプリ] > [Office 365アプリ保護] を開きます。
  2. [コンプライアンス違反ユーザー] をクリックします。
  3. 以下のいずれかのアクションを実行します。
    • リストからユーザーを選択し、[Office 365アプリをワイプ] をクリックします。
    • ユーザーの名前をクリックし、コンプライアンス違反のアプリを持つデバイスのリストを表示します。 [アクション] カラムで、特定のデバイスの [Office 365アプリをワイプ] アイコンをクリックします。
    • ユーザーの名前をクリックし、コンプライアンス違反のアプリを持つデバイスのリストを表示します。 各デバイスの名前をクリックし、アプリとバンドルID/パッケージ名、フラグの理由を確認します。 [Office 365アプリをワイプ] をクリックします。
  4. [はい] をクリックしてアクションを確定します。

または、次の手順を実行します。

  1. [ユーザー] を開きます。
  2. ユーザーの名前をクリックし、ユーザー詳細ページを表示します。
  3. [アクション] > [Office 365アプリをワイプ] をクリックします。
  4. Office 365アプリをワイプする必要のあるデバイスを選択します。
  5. [OK] をクリックしてアクションを確定します。

Office 365アプリのワイプ要求取り消し

手順

  1. [ユーザー] を開きます。
  2. ユーザーの名前をクリックし、ユーザー詳細ページを表示します。
  3. [Office 365保護] タブをクリックします。
  4. [レポートタイプ選択] ドロップダウンボックスから [ワイプ要求] レポートを選択し、対応する情報を表示します。
  5. ワイプ要求を取り消す必要のあるデバイスを選択します。 ステータスがワイプ保留のデバイスのみ選択可能です。
  6. [ワイプを取り消す] をクリックします。
  7. [OK] をクリックしてアクションを確定します。

Office 365アプリ保護を使用するユーザーのアプリレポート

管理者は、以下のレポートのいずれかを選択し、Office 365アプリ保護を使用しているユーザーのリストと関連情報を確認できます。

  • アプリポリシーレポート
  • アプリ構成レポート
  • ワイプ要求

アプリレポートに記載されている情報には、バンドルID/パッケージ名、デバイス名、デバイスの種類、ポリシーまたは構成(デバイスに適用されている)、ステータス(同期している、同期しているが古い、同期していない)、最後のチェックイン時刻などがあります。 アプリレポートの情報はCSVファイルにエクスポートし、後で参照や分析が可能です。

ワイプ要求レポートに記載されている情報には、表示名、ユーザー名、デバイス名、デバイスの種類、ワイプステータス(ワイプ保留中またはワイプ完了)などがあります。

レポートを表示するには、以下の手順を実行してください。

  1. [ユーザー] を開きます。
  2. ユーザーの名前をクリックし、ユーザー詳細ページを表示します。
  3. [Office 365保護] タブをクリックします。
  4. [レポートタイプ選択] ドロップダウンボックスから1つレポートを選択し、対応する情報を表示します。
  5. (任意)ワイプ要求レポートページからワイプ要求を取り消す必要のあるデバイスを選択し、[ワイプを取り消す] をクリックします。 ステータスがワイプ保留のデバイスのみ選択可能です。
  6. (任意)[CSVにエクスポート] をクリックし、後で参照または分析できるようレポートの内容をCSVファイルにダウンロードします。