基本的なモビリティとセキュリティの設定Set up Basic Mobility and Security

Microsoft 365 用の組み込みの Basic Mobility and Security は、iPhone、iPad、Android、Windows 電話などのユーザーのモバイル デバイスをセキュリティで保護および管理するのに役立ちます。The built-in Basic Mobility and Security for Microsoft 365 helps you secure and manage users' mobile devices such as iPhones, iPads, Androids, and Windows phones. デバイスのセキュリティ ポリシーを作成および管理したり、リモートでデバイスをワイプしたり、詳細なデバイス レポートを参照できます。You can create and manage device security policies, remotely wipe a device, and view detailed device reports.

質問がおありですか?Have questions? 一般的な質問に対処するためのよく寄せられる質問については、「Basic Mobility and Security に関するよく寄せられる質問 (FAQ)」を参照してくださいFor a FAQ to help address common questions, see Basic Mobility and Security Frequently-asked questions (FAQ). 委任された管理者アカウントを使用して Basic Mobility and Security を管理できないことに注意してください。Be aware that you cannot use a delegated administrator account to manage Basic Mobility and Security. 詳細については、「パートナー: 委任された管理を提供する」を参照してくださいFor more info, see Partners: Offer delegated administration.

デバイス管理は、セキュリティ & コンプライアンス センターの一部なので、Basic Mobility and Security セットアップを開始するには、そこに移動する必要があります。Device management is part of the Security & Compliance Center so you'll need to go there to kick off Basic Mobility and Security setup.

Basic Mobility and Security サービスをアクティブ化するActivate the Basic Mobility and Security service

  1. グローバル管理者アカウントで Microsoft 365 にサインインします。Sign in to Microsoft 365 with your global admin account.

  2. 基本モビリティと [セキュリティのアクティブ化] に移動しますGo to Activate Basic Mobility and Security.

    Basic Mobility and Security をアクティブ化するには、時間がかかる場合があります。It can take some time to activate Basic Mobility and Security. 完了すると、次に実行する手順を説明するメールが届きます。When it finishes, you'll receive an email that explains the next steps to take.

モバイル デバイス管理のセットアップSet up Mobile Device Management

サービスの準備ができたら、次の手順を実行してセットアップを完了します。When the service is ready, complete the following steps to finish setup.

手順 1: (必須) 基本モビリティとセキュリティのドメインを構成するStep 1: (Required) Configure domains for Basic Mobility and Security

Microsoft 365 に関連付けられたカスタム ドメインを持ってない場合、または Windows デバイスを管理していない場合は、このセクションをスキップできます。If you don't have a custom domain associated with Microsoft 365 or if you're not managing Windows devices, you can skip this section. それ以外の場合は、DNS ホストでドメインの DNS レコードを追加する必要があります。Otherwise, you'll need to add DNS records for the domain at your DNS host. Microsoft 365 でドメインを設定する一環として、レコードを既に追加している場合は、すべて設定されています。If you've added the records already, as part of setting up your domain with Microsoft 365, you're all set. レコードを追加すると、カスタム ドメインを使用する電子メール アドレスを使用して Windows デバイスにサインインする組織内の Microsoft 365 ユーザーは、Basic Mobility and Security に登録するためにリダイレクトされます。After you add the records, Microsoft 365 users in your organization who sign in on their Windows device with an email address that uses your custom domain are redirected to enroll in Basic Mobility and Security.

レコードのセットアップに関するヘルプが必要ですか?Need help setting up the records? ドメイン レジストラーを検索し、レジストラー名を選択して、「ドメインに接続するための DNS レコードの追加」のリストで DNS レコードを作成するための詳細なヘルプに 移動しますFind your domain registrar and select the registrar name to go to step-by-step help for creating DNS record in the list provided in Add DNS records to connect your domain. これらの手順を使用して、「Azure AD Premium なしで Windows 登録を簡略化する」 で説明されている CNAME レコードを作成しますUse those instructions to create CNAME records described in Simplify Windows enrollment without Azure AD Premium.

2 つの CNAME レコードを追加したら、セキュリティ & コンプライアンス センターに戻り、[データ損失防止デバイスの管理] に移動して次の手順 >   を完了します。After you add the two CNAME records, go back to the Security & Compliance Center and go to Data loss prevention > Device management to complete the next step.

手順 2: (必須) iOS デバイス用の APNs 証明書を構成するStep 2: (Required) Configure an APNs Certificate for iOS devices

iPad や iPhone のような iOS デバイスを管理するには、APNs 証明書を作成する必要があります。To manage iOS devices like iPad and iPhones, you need to create an APNs certificate.

  1. グローバル管理者アカウントで Microsoft 365 にサインインします。Sign in to Microsoft 365 with your global admin account.

  2. ブラウザーの種類:  https://protection.office.com です。In your browser type: https://protection.office.com.

  3. [ データ損失防止デバイス   >  の管理] を 選択し 、[iOS デバイスの APNs 証明書] を選択しますSelect  Data loss prevention > Device management, and choose APNs Certificate for iOS devices.

  4. [Apple プッシュ通知証明書の設定] ページで、[次へ] を 選択しますOn the Apple Push Notification Certificate Settings page, choose Next.

  5. [CSR ファイルをダウンロードする] を選択し、覚えているコンピューターのどこかに証明書署名要求   を保存します。Select Download your CSR file and save the Certificate signing request to somewhere on your computer that you'll remember. [次 へ] を選択しますSelect Next.

  6. [APNs 証明書の作成] ページで、次の設定を行います。On the Create an APNs certificate page:

    • [Apple APNS ポータル] を選択して、Apple プッシュ証明書ポータルを開きます。Select Apple APNS Portal to open the Apple Push Certificates Portal.

    • Sign in with an Apple ID.Sign in with an Apple ID.

      重要

      Use a company Apple ID associated with an email account that will remain with your organization even if the user who manages the account leaves. Save this ID because you'll need to use the same ID when it's time to renew the certificate.Use a company Apple ID associated with an email account that will remain with your organization even if the user who manages the account leaves. Save this ID because you'll need to use the same ID when it's time to renew the certificate.

    • [証明書の作成] を選択し、利用規約に同意します。Select Create a Certificate and accept the Terms of Use.

    • Microsoft 365 からコンピューターにダウンロードした証明書署名要求を参照し、[アップロード] を選択します。Browse to the Certificate signing request you downloaded to your computer from Microsoft 365 and selectUpload.

    • Download the APN certificate created by the Apple Push Certificate Portal to your computer.Download the APN certificate created by the Apple Push Certificate Portal to your computer.

      ヒント

      If you're having trouble downloading the certificate, refresh your browser.If you're having trouble downloading the certificate, refresh your browser.

  7. Microsoft 365 に戻り、[次へ] を 選択しますGo back to Microsoft 365 and select Next.

  8. Browse to the APN certificate you downloaded from the Apple Push Certificates Portal.Browse to the APN certificate you downloaded from the Apple Push Certificates Portal.

  9. [完了  ] を選択しますSelect  Finish.

MFA は、2 番目の形式の認証を必要とすることで、モバイル デバイス登録のために Microsoft 365 へのサインインをセキュリティで保護するのに役立ちます。MFA helps secure the sign in to Microsoft 365 for mobile device enrollment by requiring a second form of authentication. ユーザーは、仕事用アカウントのパスワードを正しく入力した後、モバイル デバイスで電話、テキスト メッセージ、アプリ通知を確認する必要があります。Users are required to acknowledge a phone call, text message, or app notification on their mobile device after correctly entering their work account password. この 2 番目の形式の認証が完了した後にのみ、デバイスを登録できます。They can enroll their device only after this second form of authentication is completed. ユーザー デバイスが Basic Mobility and Security に登録された後、ユーザーは自分の作業アカウントのみを使用して Microsoft 365 リソースにアクセスできます。After user devices are enrolled in Basic Mobility and Security, users can access Microsoft 365 resources with only their work account.

Azure ADポータルで MFA を有効にする方法については、「多要素認証のセットアップ 」を参照してくださいTo learn how to turn on MFA in the Azure AD portal, see Set up multi-factor authentication.

MFA を設定した後、セキュリティ & コンプライアンス センターに戻り、[データ **** 損失防止デバイス管理デバイス ポリシー] に移動して、次   >   >  ****   の手順を完了します。After you set up MFA, go back to the Security & Compliance Center and navigate to  Data loss prevention > Device management > Device policies to complete the next step.

次の手順では、Microsoft 365 組織データの保護に役立つデバイス セキュリティ ポリシーを作成して展開します。The next step is to create and deploy device security policies to help protect your Microsoft 365 organization data. たとえば、ユーザーがデバイスを紛失した場合は、5 分間の非アクティブ状態の後にデバイスをロックし、3 回サインインが失敗した後にデバイスをワイプするポリシーを作成することで、データ損失を防ぐのに役立ちます。For example, you can help prevent data loss if a user loses their device by creating a policy to lock devices after five minutes of inactivity and wipe devices after three sign-in failures.

  1. グローバル管理者アカウントで Microsoft 365 にサインインします。Sign in to Microsoft 365 with your global admin account.

  2. モバイル [デバイス管理のアクティブ化] を選択しますSelect Activate Mobile Device Management. サービスがアクティブ化されている場合は、代わりにライセンス認証手順に[デバイスの管理] へのリンク が表示されます   。If the service is activated, instead the activation steps you'll see a link to Manage Devices .

  3. [デバイス ポリシー ] に移動しますGo to Device policies.

    基本的なセキュリティポリシーとモビリティ ポリシー設定

  4. 「Basic Mobility and Security でのデバイス セキュリティ ポリシーの作成」の手順に従って、組織に適したデバイス セキュリティ ポリシーを作成して 展開しますCreate and deploy device security policies appropriate for your organization following the steps in Create device security policies in Basic Mobility and Security.

ヒント

  • 新しいポリシーを作成する場合は、ユーザー デバイスがポリシーに準拠していないアクセスを許可し、ポリシー違反を報告するポリシーを設定できます。When you create a new policy, you might want to set the policy to allow access and report policy violation where a user device isn't compliant with the policy. これにより、Microsoft 365 へのアクセスをブロックすることなく、ポリシーの影響を受け取るモバイル デバイスの数を確認できます。This allows you see how many mobile devices are impacted by the policy without blocking access to Microsoft 365.

  • 組織内のすべてのユーザーに新しいポリシーを展開する前に、少人数のユーザーが使用するデバイスでテストすることをお勧めします。Before you deploy a new policy to everyone in your organization, we recommend you test it on the devices used by a small number of users.

  • また、ポリシーを展開する前に、Basic Mobility and Security にデバイスを登録する場合の潜在的な影響を組織に知らせる必要があります。Also, before you deploy policies, let your organization know the potential impacts of enrolling a device in Basic Mobility and Security. ポリシーの設定方法によっては、ポリシーに準拠していないデバイス (非準拠デバイス) が Microsoft 365 へのアクセスをブロックされる可能性があります。Depending on how you set up the policies, devices that don't comply with policies (non-compliant devices) could be blocked from accessing Microsoft 365. 非準拠のデバイスには、アプリ、写真、その他の個人情報がインストールされている場合もあります。デバイスがワイプされた場合、登録されているデバイス上で削除される可能性があります。Non-compliant devices might also have apps installed, photos, and other personal information which, on an enrolled device, could be deleted if the device is wiped. 詳細については、「Basic Mobility and Security でモバイル デバイスをワイプする」を参照してくださいFor more info, see Wipe a mobile device in Basic Mobility and Security.

ユーザーがデバイスを登録するMake sure users enroll their devices

モバイル デバイス管理ポリシーを作成して展開した後、デバイス ポリシーが適用される組織内の各ライセンスを取得した Microsoft 365 ユーザーは、次回モバイル デバイスから Microsoft 365 にサインインすると、登録メッセージを受け取ります。After you've created and deployed a mobile device management policy, each licensed Microsoft 365 user in your organization that the device policy applies receives an enrollment message the next time they sign into Microsoft 365 from their mobile device. Microsoft 365 の電子メールとドキュメントにアクセスするには、登録とライセンス認証の手順を完了する必要があります。They must complete the enrollment and activation steps before they can access Microsoft 365 email and documents. 詳細については、「Basic Mobility and Security を使用してモバイル デバイスを登録する」を参照してくださいFor more info, see Enroll your mobile device using Basic Mobility and Security.

重要

ユーザーの優先言語が登録プロセスでサポートされていない場合、ユーザーは別の言語でモバイル デバイスの登録通知と手順を受け取る可能性があります。If a user's preferred language isn't supported by the enrollment process, users might receive enrollment notification and steps on their mobile devices in another language. 現在、Microsoft 365 でサポートされている言語の中には、モバイル デバイスでの登録プロセスがサポートされていない場合があります。Not all languages supported in Microsoft 365 are currently supported for the enrollment process on mobile devices.

Android または iOS デバイスを使用するユーザーは、登録プロセスの一環としてポータル サイト アプリをインストールする必要があります。Users with Android or iOS devices are required to install the Company Portal app as part of the enrollment process.

基本的なモビリティとセキュリティの機能Capabilities of Basic Mobility and Security
Basic Mobility and Security でデバイス セキュリティ ポリシーを作成するCreate device security policies in Basic Mobility and Security