Exchange Online のモバイル デバイス メールボックス ポリシー
Microsoft 365 または Office 365では、モバイル デバイス メールボックス ポリシーを作成して、一般的なポリシーセットまたはセキュリティ設定をユーザーのコレクションに適用できます。 既定のモバイル デバイス メールボックス ポリシーは、すべての Microsoft 365 またはOffice 365組織で作成されます。
モバイル デバイス メールボックス ポリシーの概要
モバイル デバイス メールボックス ポリシーを使用して、多様な設定を管理できます。 これらには次のようなものがあります。
- パスワードを要求する
- 最低限必要なパスワードの長さを指定する
- パスワードで、数字 PIN を許可する、または特殊文字を要求する
- ユーザーにパスワードの再入力を要求するまでのデバイスの非アクティブ時間を指定する
- 指定した回数パスワードの入力に失敗したらデバイスを無効にする
モバイル デバイスのパスワード設定と生体認証
多くのモバイル デバイスでは、Apple Touch ID や Face ID などの生体認証がサポートされています。 Exchange モバイル デバイス メールボックス ポリシーは、デバイス PIN を入力する代わりに生体認証を使用できるかどうかを制御しません。 モバイル デバイス メールボックス ポリシーは、デバイス PIN を必要とするように構成できますが、デバイス PIN 要件に準拠した後、ユーザーは生体認証を使用するかどうかを制御します。
生体認証の使用を高度に制御する必要があるお客様は、Microsoft Intuneなどのデバイス登録ソリューションを検討する必要があります。 詳細については、「 Outlook for iOS および Android アプリの構成設定の展開 」を参照してください。
モバイル デバイスのパスワード設定と Android
Android 9.0 以前のバージョンでは、Android のデバイス管理機能を使用して、モバイル デバイス メールボックス ポリシーで定義されているデバイス パスワード設定を管理します。
Android 10.0 以降では、Android によってデバイス管理機能が削除されました。 代わりに、画面ロックを必要とするアプリは、 getPasswordComplexity API を使用して、デバイス (または仕事用プロファイル) の画面ロックの複雑さを照会します。 より強力な画面ロックを必要とするアプリは、ユーザーをシステム画面ロック設定に誘導し、ユーザーがセキュリティ設定を更新して準拠できるようにします。 ユーザーのパスワードをアプリが認識している時間はありません。アプリは、パスワードの複雑さのレベルのみを認識しています。 Android では、次の 4 つのパスワードの複雑さのレベルがサポートされています。
| パスワードの複雑さのレベル | パスワードの要件 |
|---|---|
| None | パスワード要件が構成されていません |
| 低 | パスワードは、パターンまたは PIN で、繰り返し (4444) または順序付け (1234、4321、2468) シーケンスのいずれかです |
| 中 | 次のいずれかの条件を満たすパスワード:
|
| 高 | 次のいずれかの条件を満たすパスワード:
|
Android のパスワードの複雑さのレベルは、次の Exchange モバイル デバイス メールボックス ポリシー設定にマップされます。
| モバイル デバイス メールボックス ポリシー設定 | Android パスワードの複雑さのレベル |
|---|---|
| パスワードが有効 = false | None |
| 単純なパスワードを許可する = true 最小パスワード長 < 4 |
低 |
| 英数字パスワード必須 = false 最小パスワード長 >= 4 最小パスワード長 < 8 |
中 |
| 英数字パスワード必須 = true 最小パスワード長 < 6 |
中 |
| 英数字パスワード必須 = false 最小パスワード長 >= 8 |
高 |
| 英数字パスワード必須 = true 最小パスワード長 >= 6 |
高 |
モバイル デバイスのメールボックス ポリシーの設定
次の表は、モバイル デバイス メールボックス ポリシーを使用して指定できる設定の要約です。
モバイル デバイス メールボックス ポリシーの設定:
| Setting | 説明 |
|---|---|
| Bluetooth を許可する | この設定では、モバイル デバイスで Bluetooth 接続を許可するかどうかを指定します。 利用可能なオプションは、Disable、HandsFree Only、および Allow です。 既定値は許可です。 |
| ブラウザーを許可する | この設定では、モバイル デバイスで Pocket Internet Explorer が許可されているかどうかを指定します。 この設定は、モバイル デバイスにインストールされているサード パーティ製のブラウザーには影響しません。 既定値は $true です。 |
| カメラを許可する | この設定では、モバイル デバイスのカメラを使用できるかどうかを指定します。 既定値は $true です。 |
| コンシューマー メールを許可する | この設定では、モバイル デバイスのユーザーが、モバイル デバイス上に個人用の電子メール アカウント (POP3 または IMAP4) を構成できるかどうかを指定します。 既定値は $true です。 この設定では、サード パーティ製のモバイル デバイス電子メール プログラムを使用する電子メール アカウントへのアクセスは制御されません。 |
| デスクトップからの同期を許可する | この設定では、モバイル デバイスとコンピューターがケーブル、Bluetooth、または IrDA 接続経由で同期できるようにするかどうかを指定します。 既定値は $true です。 |
| 外部デバイス管理を許可する | この設定では、外部デバイス管理プログラムでモバイル デバイスを管理できるかどうかを指定します。 |
| HTML 電子メールを許可する | この設定では、モバイル デバイスと同期する電子メールを HTML 形式に変換できるかどうかを指定します。 この設定が に $false設定されている場合、すべての電子メールがプレーン テキストに変換されます。 |
| インターネット共有を許可する | この設定では、デスクトップまたはポータブル コンピューター用のモバイル デバイスをモデムとして使用できるかどうかを指定します。 既定値は $true です。 |
| AllowIrDA | この設定では、モバイル デバイスとの赤外線接続を許可するかどうかを指定します。 |
| モバイル OTA の更新を許可する | この設定では、携帯電話のデータ接続を介してモバイル デバイス メールボックス ポリシー設定をモバイル デバイスに送信できるかどうかを指定します。 既定値は true です。 |
| サポートしていないデバイスのアクセスを許可する | この設定では、すべてのポリシー設定の適用をサポートしていない可能性があるモバイル デバイスが、Exchange ActiveSyncを使用してOffice 365に接続できるかどうかを指定します。 サポートしていないモバイル デバイスを許可すると、セキュリティに影響を及ぼします。 たとえば、サポートしていないデバイスでは、組織のパスワード要件を満たすことができない場合があります。 |
| POPIMAPEmail を許可する | この設定では、ユーザーがモバイル デバイスに POP3 または IMAP4 電子メール アカウントを構成できるようにするかどうかを指定します。 既定値は $true です。 この設定では、サード パーティ製の電子メール プログラムによるアクセスは制御されません。 |
| リモート デスクトップを許可する | この設定では、モバイル デバイスがリモート デスクトップ接続を開始できるようにするかどうかを指定します。 既定値は $true です。 |
| 簡易パスワードを許可する | この設定では、1111 や 1234 などの単純なパスワードの使用を有効または無効にします。 既定値は $true です。 |
| S/MIME 暗号化アルゴリズム ネゴシエーションを許可する | この設定では、指定した暗号化アルゴリズムを受信者の証明書がサポートしていない場合に、モバイル デバイスのメッセージング アプリケーションが暗号化アルゴリズムとネゴシエートできるようにするかどうかを指定します。 |
| S/MIME ソフトウェア証明書を許可する | この設定では、モバイル デバイスで S/MIME ソフトウェア証明書を許可するかどうかを指定します。 |
| ストレージ カードを許可する | この設定では、ストレージ カードに格納されている情報にモバイル デバイスがアクセスできるようにするかどうかを指定します。 |
| テキスト メッセージングを許可する | この設定では、モバイル デバイスからのテキスト メッセージングを許可するかどうかを指定します。 既定値は $true です。 |
| 署名されていないアプリケーションを許可する | この設定では、署名のないアプリケーションをモバイル デバイスにインストールできるようにするかどうかを指定します。 既定値は $true です。 |
| 署名されていないインストール パッケージを許可する | この設定では、モバイル デバイスで署名のないインストール パッケージを実行できるようにするかどうかを指定します。 既定値は $true です。 |
| Wi-Fi を許可する | この設定では、モバイル デバイスでワイヤレス インターネット アクセスを許可するかどうかを指定します。 既定値は $true です。 |
| 英数字のパスワードが必要 | この設定では、パスワードに数字と数字以外の文字を含めることを必須にします。 既定値は $true です。 |
| 承認されたアプリケーションの一覧 | この設定では、モバイル デバイスで実行できる承認済みアプリケーションの一覧を格納します。 |
| ファイルの添付を有効にする | この設定では、モバイル デバイスへの添付ファイルのダウンロードを有効にします。 既定値は $true です。 |
| デバイスの暗号化が必要 | この設定では、モバイル デバイスでの暗号化を有効にします。 ただしすべてのモバイル デバイスで暗号化を実行できるわけではありません。 詳細については、デバイスおよびモバイル オペレーティング システムのドキュメントを参照してください。 |
| デバイス ポリシーの更新間隔 | この設定では、モバイル デバイス メールボックス ポリシーをサーバーからモバイル デバイスに送信する頻度を指定します。 |
| IRM が有効 | この設定では、モバイル デバイスで Information Rights Management (IRM) を有効にするかどうかを指定します。 |
| 最大添付ファイル サイズ | この設定では、モバイル デバイスにダウンロードできる添付ファイルの最大サイズを制御します。 既定値は Unlimited です。 |
| 予定表の最大範囲のフィルター | この設定では、モバイル デバイスと同期できる予定表の最大範囲を指定します。 以下の値を入力できます。 すべて TwoWeeks OneMonth ThreeMonths SixMonths |
| 電子メールの最大範囲フィルター | この設定では、電子メール アイテムがモバイル デバイスと同期する最大日数を指定します。 以下の値を入力できます。 すべて OneDay ThreeDays OneWeek TwoWeeks OneMonth |
| 電子メール本文の最大切り捨てサイズ | この設定では、モバイル デバイスと同期するときに電子メール メッセージを切り捨てる際の最大サイズを指定します。 値は KB 単位です。 |
| 電子メール HTML 本文の最大切り捨てサイズ | この設定では、モバイル デバイスと同期するときに HTML 電子メール メッセージを切り捨てる際の最大サイズを指定します。 値は KB 単位です。 |
| ロックをかけるまでの休止時間 | この値では、モバイル デバイスが非アクティブな状態であるときに、携帯電話を再びアクティブにするためにパスワードの入力が必要になるまでの時間を指定します。 30 秒~ 1 時間の時間間隔を入力できます。 この既定値は 15 分です。 |
| パスワード失敗の最大回数 | この設定では、モバイル デバイスの正しいパスワードを入力するために試行できる回数を指定します。 4 ~ 16 の整数を入力できます。 既定値は 8 です。 |
| パスワードの複雑な文字の最少数 | この設定では、モバイル デバイスのパスワードに必要な複雑な文字の最小数を指定します。 複雑な文字には、英字以外の文字が含まれます。 |
| 最小パスワード長 | この設定では、モバイル デバイスのパスワードの最小文字数を指定します。 1 ~ 16 の整数を入力できます。 既定値は 4 です。 |
| パスワード有効 | この設定では、モバイル デバイスのパスワードを有効にします。 |
| パスワードの期限切れ | この設定では、モバイル デバイスのパスワードの変更が必要になるまでの時間を管理者が構成できるようにします。 |
| パスワードの履歴 | この設定には、ユーザーのメールボックスに格納できる過去のパスワードの数を指定します。 ユーザーは、格納されているパスワードを再度使用することはできません。 |
| パスワードの回復を可能にする | この設定を有効にすると、サーバーに送信される回復パスワードがモバイル デバイスにより生成されます。 ユーザーがモバイル デバイスのパスワードを忘れた場合、回復パスワードを使用してモバイル デバイスのロックを解除し、新しいモバイル デバイスのパスワードを作成することができます。 |
| デバイスでの暗号化が必要 | この設定には、デバイスでの暗号化を要求するかどうかを指定します。 に設定されている $true場合、モバイル デバイスは、サーバーと同期するための暗号化をサポートして実装できる必要があります。 |
| S/MIME メッセージの暗号化が必要 | この設定には、S/MIME メッセージを暗号化する必要があるかどうかを指定します。 既定値は $false です。 |
| S/MIME 暗号化アルゴリズムの署名が必要 | この設定では、S/MIME メッセージを暗号化するときにどの必須アルゴリズムを使用する必要があるかを指定します。 |
| ローミング時に手動による同期が必要 | この設定では、ローミング中にモバイル デバイスを同期する必要があるかどうかを指定します。 ローミング時の自動同期を許可すると、多くの場合、モバイル デバイスのデータ プランでは予期しなかったデータ コストが発生します。 |
| S/MIME アルゴリズムの署名が必要 | この設定では、メッセージに署名するときにどの必須アルゴリズムを使用する必要があるかを指定します。 |
| S/MIME メッセージの署名が必要 | この設定では、モバイル デバイスが署名付き S/MIME メッセージを送信する必要があるかどうかを指定します。 |
| ストレージ カードの暗号化が必要 | この設定には、ストレージ カードを暗号化する必要があるかどうかを指定します。 すべてのモバイル デバイスのオペレーティング システムが、ストレージ カードの暗号化をサポートしているわけではありません。 詳細については、モバイル デバイスおよびモバイル オペレーティング システムのドキュメントを参照してください。 |
| 承認しない InROM アプリケーション一覧 | この設定には、ROM で実行できないアプリケーションの一覧を指定します。 |
モバイル デバイス メールボックス ポリシーの管理
モバイル デバイス メールボックス ポリシーは、Exchange 管理センター (EAC) または PowerShell Exchange Onlineで作成、変更、または削除できます。 EAC でポリシーを作成する場合は、使用可能な設定の一部のみを構成できます。 残りの設定は、PowerShell Exchange Online使用して構成できます。
はじめに把握しておくべき情報
予想所要時間 : 15 分。
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、Exchange Onlineトピックの「機能のアクセス許可」の「モバイル デバイス」機能を参照してください。
Exchange 管理センター (EAC) を開くには、「Exchange Online での Exchange 管理センター」を参照してください。 Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 Exchange のフォーラムで質問してください。 Exchange Onlineのフォーラムにアクセスしてください。
新しい モバイル デバイス メールボックス ポリシーを作成します。
EAC を使用して、新しいモバイル デバイス メールボックス ポリシーを作成するには
注:
EAC では、モバイル デバイス メールボックス ポリシー設定のサブセットのみを設定できます。 すべてのモバイル デバイス メールボックス ポリシー設定を設定するには、Exchange Online PowerShell を使用する必要があります。
EAC で、[モバイル>モバイル デバイス メールボックス ポリシー] をクリックし、[追加]
をクリックします。さまざまなチェック ボックスおよびドロップ ダウン リストを使用して、モバイル デバイス メールボックス ポリシーの設定を構成します。
警告
[ これは既定のポリシー] を 選択して、新しいモバイル メールボックス ポリシーを既定のモバイル メールボックス ポリシーにします。 モバイル メールボックス ポリシーを既定のポリシーにした後、すべての新しいユーザーが作成されると、このポリシーが自動的に割り当てられます。
[保存] をクリックします。
Exchange Online PowerShell を使用して新しいモバイル デバイス メールボックス ポリシーを作成する
New-MobileDeviceMailboxPolicy コマンドレットを使用して、新しいモバイル デバイス メールボックス ポリシーを作成します。
Exchange Online PowerShell で、次のコマンドを実行します。
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
正常な動作を確認する方法
モバイル デバイス メールボックス ポリシーが正常に作成されたことを確認するには、次の手順のいずれかを使用します。
EAC で、[ モバイル>モバイル デバイス メールボックス ポリシー] をクリックし、新しいポリシーがリスト ビューに表示されていることを確認します。
Exchange Online PowerShell で、次のコマンドを実行します。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
このコマンドレットの詳細については、「 Get-MobileDeviceMailboxPolicy」を参照してください。
EAC を使用してモバイル デバイス メールボックス ポリシーを編集するには
注:
EAC では、モバイル デバイス メールボックス ポリシー設定のサブセットのみを編集できます。 すべてのモバイル デバイス メールボックス ポリシー設定を編集するには、Exchange Online PowerShell を使用する必要があります。
EAC で、[ モバイル>モバイル デバイス メールボックス ポリシー] をクリックします。
[リスト] ビューからポリシーを選択し、[編集]
をクリックします。[全般] および [セキュリティ] タブを使用してモバイル デバイス メールボックス ポリシー設定を編集します。
![モバイル デバイス メールボックス ポリシーの編集 - [全般] タブ。](../../exchangeonline/media/eac-edit-mobile-device-mailbox-policies-general.png)
![モバイル デバイス メールボックス ポリシーの編集 - [セキュリティ] タブ。](../../exchangeonline/media/eac-edit-mobile-device-mailbox-policies-security.png)
[保存] をクリックしてポリシーの更新を完了します。
Exchange Online PowerShell を使用してモバイル デバイス メールボックス ポリシー設定を編集する
モバイル デバイス メールボックス ポリシーは 、Set-MobileDeviceMailboxPolicy コマンドレットを使用して編集します。
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
正常な動作を確認する方法
モバイル デバイス メールボックス ポリシーが正常に編集されたことを確認するには、次の手順のいずれかを実行します。
EAC で、[ モバイル>モバイル デバイス メールボックス ポリシー] をクリックし、特定のポリシーを選択します。 [詳細] ウィンドウに、いくつかのポリシー設定が一覧表示されます。
シェルで、次のコマンドを実行します。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
このコマンドレットの詳細については、「 Get-MobileDeviceMailboxPolicy」を参照してください。