Microsoft 365 Apps for enterpriseのOffice クラウド ポリシー サービスの概要

Office クラウド ポリシー サービスを使用すると、デバイスがドメインに参加していない場合や管理されていない場合でも、ユーザーのデバイスでMicrosoft 365 Apps for enterpriseのポリシー設定を適用できます。 ユーザーがデバイスで Microsoft 365 Apps for enterprise にサインインすると、ポリシー設定がそのデバイスにローミングされます。 ポリシー設定は、Windows、macOS、iOS、Android を実行しているデバイスで使用できますが、すべてのポリシー設定がすべてのオペレーティング システムで使用できるわけではありません。 また、サインインしているユーザーと匿名でドキュメントにアクセスするユーザーの両方に対して、Office for the webに対して一部のポリシー設定を適用することもできます。

Office クラウド ポリシー サービスは、Microsoft 365 Apps管理センターの一部です。 このサービスには、グループ ポリシーで使用できるのと同じユーザー ベースのポリシー設定の多くが含まれています。 Office アプリの AppsPolicyPolicies > > の 下にあるMicrosoft エンドポイント マネージャー管理センターで、Office クラウド ポリシー サービス 直接使用することもできます。

ポリシー構成を作成するときに、セキュリティ ベースライン ポリシーとして Microsoft が推奨するポリシーを確認して適用できます。 これらの推奨事項は、ポリシーを選択するときに "セキュリティ ベースライン" としてマークされます。

Office クラウド ポリシー サービスを使用するための要件

Microsoft 365 Apps for enterpriseでOfficeクラウド ポリシー サービスを使用するための要件を次に示します。

  • サポートされているバージョンのMicrosoft 365 Apps for enterprise。
  • Azure Active Directory (Azure AD) で作成または同期されたユーザー アカウント。 ユーザーは、Azure AD ベースのアカウントでMicrosoft 365 Apps for enterpriseにサインインしている必要があります。
  • クラウド ポリシー サービスOffice、Azure ADで作成または同期されたセキュリティ グループとメールが有効なセキュリティ グループがサポートされています。 メンバーシップの種類は、動的または割り当てにすることができます。
  • ポリシー構成を作成するには、Azure ADで次のいずれかのロール (グローバル管理者、セキュリティ管理者、Office Apps Admin) が割り当てられている必要があります。ロールは、ユーザー アカウントに割り当てる必要があります。 現在、グループに割り当てられたAzure AD ロールは、Office クラウド ポリシー サービスではサポートされていません。
  • 必要な URL と IP アドレス範囲は、ネットワーク上で適切に構成する必要があります。

重要

  • Office クラウド ポリシー サービスは、Office 365 21Vianet によって運用されているお客様は利用できません。
  • Office 365 GCC、GCC High、または DoD をお持ちのお客様は、2022 年 4 月と 5 月にサポートが提供される予定です。 詳細については、 このブログ投稿を参照してください。
  • 2019 年のOffice LTSC Professional Plus 2021やOffice Standardなど、クイック実行を使用するボリューム ライセンスバージョンのOfficeにポリシー構成を適用することはできません。
  • Microsoft 365 Apps for businessのポリシー構成を作成できますが、プライバシー制御に関連するポリシー設定のみがサポートされます。 詳細については、「ポリシーの設定を使用して、Microsoft 365 Apps for enterprise のプライバシー コントロールを管理する」をご覧ください。

ポリシー構成を作成するための手順

ポリシー構成を作成するための基本的な手順を次に示します。

  1. Microsoft 365 Apps管理センターにサインインします。 これが初めての場合は、用語を確認し、[ 同意 する] を選択します。
  2. [ カスタマイズ] で [ ポリシー管理] を選択します。
  3. [ ポリシーの構成 ] ページで、[ 作成] を選択します。
  4. [ 基本の開始] ページで 、名前 (必須) と説明 (省略可能) を入力し、[ 次へ] を選択します。
  5. [スコープの選択] ページで、ポリシー構成を特定のグループに適用するか、Office for the webを使用してドキュメントに匿名でアクセスするユーザーに適用するかを選択します。
  6. ポリシー構成が特定のグループに適用される場合は、グループを選択します。 各ポリシー構成は 1 つのグループにのみ割り当てることができ、各グループに割り当てることができるポリシー構成は 1 つだけです。 ただし、選択したグループには、他の (入れ子になった) グループを含めることができます。
  7. 選択を行った後、[ 次へ] を選択します。
  8. [設定の構成] ページで、ポリシー構成に含めるポリシーを選択します。 名前でポリシーを検索することも、カスタム フィルターを作成することもできます。 プラットフォーム、アプリケーション、ポリシーが構成されているかどうか、およびポリシーが推奨されるセキュリティ ベースラインであるかどうかをフィルター処理できます。
  9. 選択を行った後、[ 次へ ] を選択して選択内容を確認します。 次に、[ 作成 ] を選択してポリシー構成を作成します。

ポリシー構成の管理

ポリシー構成を変更するには、[ポリシーの構成] ページで ポリシー構成 を選択し、[ 編集] を選択します。 適切な変更を加え、[ 更新] を選択します。

既存のポリシー構成に似た新しいポリシー構成を作成する場合は、[ポリシーの構成] ページで既存の ポリシー構成 を選択し、[コピー] を選択 します。 適切な変更を加え、[ 作成] を選択します。

ポリシー構成を編集するときにどのポリシーが構成されているかを確認するには、[ ポリシー ] セクションに移動し、[ 状態] 列でフィルター処理するか、ポリシー テーブルの上部にある [構成済み スライサー] を選択します。 アプリケーションとプラットフォームでフィルター処理することもできます。

ポリシー構成の優先順位を変更するには、[ポリシー構成] ページで [優先順位の順序変更] を選択します。

ポリシー構成の適用方法

Microsoft 365 Apps for enterpriseによって使用されるクイック実行サービスは、Office クラウド ポリシー サービスに対して定期的に確認し、ユーザーに関連するポリシー構成があるかどうかを確認します。 存在する場合は、適切なポリシー設定が適用され、ユーザーが次回 Word やExcelなどのOffice アプリを開くと有効になります。

何が起こるかの概要を次に示します。

  • ユーザーが初めてデバイスのOfficeにサインインすると、ユーザーに関連するポリシー構成があるかどうかを確認するチェックが直ちに行われます。

  • ユーザーがポリシー構成が割り当てられているAzure AD グループのメンバーでない場合は、24 時間以内にもう一度チェックが行われます。

  • ユーザーがポリシー構成が割り当てられているAzure AD グループのメンバーである場合は、適切なポリシー設定が適用され、90 分後に再びチェックが行われます。

  • 最後のチェック以降にポリシー構成に変更がある場合は、適切なポリシー設定が適用され、90 分後にもう一度チェックが行われます。

  • 前回のチェック以降にポリシー構成に変更がない場合は、24 時間以内にもう一度チェックが行われます。

  • エラーが発生した場合、ユーザーが Word やExcelなどのOffice アプリを開いたときにチェックが行われます。

  • 次のチェックのスケジュール時にOfficeアプリが実行されていない場合は、ユーザーが次回Office アプリを開いたときにチェックが行われます。

注意

  • Office クラウド ポリシー サービスのポリシーは、Office アプリが再起動されたときにのみ適用されます。 動作は、グループ ポリシーの場合と同じです。 Windows デバイスの場合、Microsoft 365 Apps for enterpriseにサインインしているプライマリ ユーザーに基づいてポリシーが適用されます。 サインインしているアカウントが複数ある場合は、プライマリ アカウントのポリシーのみが適用されます。 プライマリ アカウントが切り替えられると、そのアカウントに割り当てられているほとんどのポリシーは、Office アプリが再起動されるまで適用されません。 プライバシー制御に関連する一部のポリシーは、Office アプリを再起動せずに適用されます。

  • ユーザーが入れ子になったグループに存在し、親グループがポリシーの対象になっている場合、入れ子になったグループのユーザーはポリシーを受け取ります。 入れ子になったグループとそれらの入れ子になったグループ内のユーザーは、Azure ADで作成または同期する必要があります。

ユーザーがポリシー設定が競合する複数のAzure AD グループのメンバーである場合は、優先度を使用して、適用されるポリシー設定を決定します。 最も高い優先度が適用され、割り当て可能な優先度が "0" になります。 優先度を設定するには、[ポリシーの構成] ページで [順序変更の優先順位] を選択します。

また、クラウド ポリシー サービスOffice使用して実装されるポリシー設定は、Windows Server のグループ ポリシーを使用して実装されるポリシー設定よりも優先され、基本設定またはローカルに適用されたポリシー設定よりも優先されます。

Office クラウド ポリシー サービスに関する追加情報

  • 使用できるのは、ユーザー ベースのポリシー設定のみです。 コンピューターベースのポリシー設定は使用できません。
  • 新しいユーザー ベースのポリシー設定がOfficeで使用できるようになると、Office クラウド ポリシー サービスによって自動的に追加されます。 更新された管理用テンプレート ファイル (ADMX/ADML) をダウンロードする必要はありません。
  • ポリシー構成を作成して、ProjectとVisioのサブスクリプション プランに付属するデスクトップ アプリのサポートされているバージョンのポリシー設定を適用することもできます。
  • 正常性状態機能は、2022 年 3 月の後半に廃止されました。 今後 (現時点では既知の日付ではありません)、Office クラウド ポリシー サービスに高度な正常性レポートとコンプライアンス監視機能を提供する予定です。

トラブルシューティングのヒント

予想されるポリシーがユーザーのデバイスに正しく適用されていない場合は、次の手順を試してください。

  • ユーザーがMicrosoft 365 Apps for enterpriseにサインインし、アクティブ化され、有効なライセンスがあることを確認します。

  • ユーザーが適切なセキュリティ グループの一部であることを確認します。

  • ポリシー構成の優先順位を確認します。ユーザーがポリシー構成が割り当てられている複数のセキュリティ グループ内にある場合は、ポリシー構成の優先順位によって、有効にするポリシーが決まります。

  • ポリシーが異なる 2 人のユーザーが同じデバイスで、同じWindows セッション中にOffice 365にサインインすると、ポリシーが正しく適用されない場合があります。

  • Office クラウド ポリシー サービスから取得されたポリシー設定は、HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0のWindows レジストリに格納されます。 このキーは、チェックイン プロセス中にポリシー サービスから新しい一連のポリシーが取得されるたびに上書きされます。

  • ポリシー サービスチェックイン アクティビティは、HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicyのWindows レジストリに格納されます。 このキーを削除し、Office アプリを再起動すると、ポリシー サービスがトリガーされ、次回Office アプリが起動したときにチェックインされます。

  • Windowsを実行しているデバイスが次回、Officeクラウド ポリシー サービスに対してチェックされるようにスケジュールされている場合は、HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicyの FetchInterval を参照してください。 値は分単位で表されます。 たとえば、1440 は 24 時間に相当します。