Title: Office 365 用の組み込みモバイル デバイス管理の機能
URL: https://technet.microsoft.com/ja-jp/library/ms.o365.cc.devicepolicysupporteddevice.aspx
この内容について簡単にまとめると、以下のようになります。
■何ができるのか?
- Office 365に登録されていないデバイスからのアクセスに対して、『登録しなさい』という旨のメッセージを表示します。
- さらに登録した場合には、管理者が定めたポリシーをデバイスに強制適用した上で、Office 365へのアクセスを許可します。
■すべてのデバイス/アプリケーションが対象となるのか?
アクセスするモバイルデバイスのOS(Windows/iOS/Android)、また、アプリケーションによって、上記処理のできる/できないが決まっています。
ざっくりまとめると、以下のようになっています。
<サポートされるOSとアプリケーション>
- Windows Phone 8.1:ActiveSyncのみOK
- iOS 7.1 以降のバージョン:ActiveSync/Outlookを含むOffice/OneDriveアプリ
- Android 4 以降のバージョン:ActiveSync/Outlookを含むOffice/OneDriveアプリ
■導入にあたる検討事項
本機能については以下のような点がポイントとなるかと思います。
- デバイス登録作業に制限をかけることはできない。(誰でも上記のOS/アプリケーションであれば登録できてしまう)
- 上記以外の場合、制限をかけることはできず、アクセスできてしまう。(例:ブラウザでアクセスする場合には誰でも制限なくアクセスできてしまう)
■大まかな作業の流れ
①ActiveSyncやOneDriveアプリからOffice 365にアクセス
①ActiveSyncやOneDriveアプリからOffice 365にアクセス
②デバイスを登録しなさいという旨のメッセージ
③Intune Portalアプリを使用してデバイスを登録
④この段階ではまだ「ポリシーに準拠していない」という旨のメッセージ
⑤しばらくするとパスワードポリシーなどのポリシーが配布
⑥各アプリケーションでOffice 365にアクセス完了
■その他(気になったこと)
- ActiveSyncで上記の設定をする場合、④の段階で、一度、手動作成したメールのプロファイルを削除しなければならない。(①で作成したプロファイルをなぜか削除しないといけない)
- OneDriveアプリ/Outlook for iOSにより上記の設定をした場合に、メール(ActiveSync)のプロファイルも最終的に(自動で)作成された。
- OneDriveに関するアプリは "OneDrive for Business" ではなく、"OneDrive" のほうを使用しなければならない。
- Officeをインストールし、起動すると初回ログイン時にOffice 365に対してライセンス認証をするような画面が表示されるものの、特にデバイス登録については関連しなそう。(つまりOfficeに対しては本機能が動いているかもわからず…。)
ブラウザベースのアクセスに関して一切、制御が効かないことから考えると、この機能は、あくまでモバイル端末にデータがダウンロードされるケース、つまりアプリケーションを使用する場合において、リスクを減らすソリューションであるということになりそうです。
そもそもブラウザのアクセスはデータもダウンロードされるわけではないし、セキュアであると考えるお客様が多いので、まあ、ケースによってはお勧めできるものかなと思いました。(『ブラウザでアクセスしてダウンロードしたらどうすんだ』というお客様については、例えばExchange OnlineであればOWAメールボックスポリシーなどの別の制限をかける方向に誘導する感じかと。)
