チュートリアル: Microsoft Intuneを使用してマネージド iOS デバイスでExchange Onlineメールを保護する

このチュートリアルでは、Microsoft Intuneデバイス コンプライアンス ポリシーとMicrosoft Entra条件付きアクセスを使用して、iOS デバイスがIntuneによって管理され、Outlook アプリを使用している場合にのみExchange Onlineにアクセスできるようにする方法について説明します。

このチュートリアルでは、次の方法について学ぶことができます。

前提条件

このチュートリアルでは、運用環境に影響を与えないように、非運用環境の試用版サブスクリプションを使用します。 試用版サブスクリプションを設定するときに作成したアカウントでサインインします。 このアカウントには、このチュートリアルの各タスクを完了するために必要なアクセス許可があります。

このチュートリアルでは、次のサブスクリプションを持つテスト テナントが必要です。

• Microsoft Intune プラン 1 サブスクリプション (無料試用版アカウントにサインアップする)
• Microsoft Entra ID P1 (価格と試用版のオプション)
• Exchange を含む Microsoft 365 Apps for business サブスクリプション (無料試用版)

Intune にサインイン

このチュートリアルでは、Intune試用版サブスクリプションにサインアップしたときに作成したアカウントを使用して、Microsoft Intune管理センターにサインインします。

メール デバイス プロファイルを作成する

このチュートリアルでは、iOS/iPadOS Emailデバイス プロファイルが必要です。 作成するには、「 手順 11 – デバイス プロファイルを作成する」のガイダンスに従います。 電子メール プロファイルでは、iOS/iPadOS デバイスで職場のメール アカウントを使用する必要があります。

電子メール プロファイルを作成するときは、このチュートリアルの後続の手順で作成した デバイス コンプライアンス ポリシーと 条件付きアクセス ポリシーに後で使用するのと同じデバイス グループにプロファイルを割り当てます。

メール プロファイルを作成したら、ここに戻って続行します。

アプリ保護ポリシーを作成する

このチュートリアルでは、Outlook on iOS/iPadOS を対象とするIntuneアプリ保護ポリシーが必要です。 アプリ保護ポリシーは、後で作成する条件付きアクセス ポリシーで動作します。これには、デバイスがExchange Onlineにアクセスする前にアプリ保護ポリシーが存在する必要があります。

アプリ保護ポリシーを作成するには、「アプリ保護ポリシーの 作成と割り当て」のガイダンスに従います。 ポリシーを構成するときは、次の設定を使用します。

• プラットフォーム: [iOS/iPadOS] を選択します。
• アプリ: [ターゲット ポリシー] を [コア Microsoft Apps] に設定するか、[Microsoft Outlook] を個別に選択します。
• データ保護、 アクセス要件、 条件付き起動: このチュートリアルの既定値 (エンタープライズ基本データ保護) をそのまま使用します。
• 割り当て: このチュートリアルのコンプライアンス ポリシーと条件付きアクセス ポリシーに使用するのと同じユーザー グループにポリシーを割り当てます。

アプリ保護ポリシーを作成したら、ここに戻って続行します。

iOS デバイスのコンプライアンス ポリシーを作成する

Intune デバイス コンプライアンス ポリシーを設定して、デバイスが準拠済みと見なされるために満たす必要のある条件を設定します。 このチュートリアルでは、iOS デバイスのデバイス コンプライアンス ポリシーを作成します。 コンプライアンス ポリシーはプラットフォームに固有なので、評価するデバイス プラットフォームごとに独立したコンプライアンス ポリシーが必要です。

1. Microsoft Intune 管理センターにサインインします。

2. [ デバイス>コンプライアンス] を選択します。

3. [ポリシー] タブ で、[ポリシーの 作成] を選択 します。

4. [ ポリシーの作成 ] ページで、[ プラットフォーム ] で [ iOS/iPadOS] を選択し、[ 作成 ] を選択して続行します。

5. [ 基本 ] タブで、次のプロパティを入力します。

   • 名前: 新しいプロファイルのわかりやすい名前を入力します。 この例では、「 iOS コンプライアンス ポリシー テスト」と入力します。
   • 説明: 省略可能 - iOS コンプライアンス ポリシー テストを入力します。

   [次へ] を選んで続行します。

6. [ コンプライアンス設定 ] タブで、次の手順を実行します。

   1. [Email] を展開し、[デバイスで電子メールを設定できません] を [必須] に設定します。

   2. [ デバイスの正常性] を展開し、[ 脱獄されたデバイス ] を [ブロック] に設定します。

   3. [ システム セキュリティ] を展開し、次の設定を構成します。

      • モバイル デバイスのロックを解除するためにパスワードを要求する
      • ブロックする簡単なパスワード
      • パスワードの最小長は4

      ヒント

      グレー表示で斜体の既定値は推奨目的でのみ提示されています。 推奨値を置換して設定を構成する必要があります。

      • 英数字に必要なパスワードの種類
      • [即時] にパスワードが必要になるまでの画面ロック後の最大分数
      • パスワードの有効期限 (日数) から 41
      • 5 への再利用を防ぐための以前のパスワードの数

   続行するには、[Next] を選択します。

   

7. [ 次へ ] を選択して、 準拠していない場合は [アクション] をスキップします。

8. [ 割り当て ] タブの [ 含まれるグループ] で、[ すべてのデバイスの追加] を選択するか、このポリシーを受け取るデバイスのみを含むグループを選択します。 メール デバイス プロファイルに使用したのと同じ割り当てを使用してください。

   [次へ] を選んで続行します。

9. [ 確認と作成 ] タブで、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。

条件付きアクセス ポリシーを作成する

次に、Microsoft Intune管理センターを使用して条件付きアクセス ポリシーを作成します。 条件付きアクセスをIntuneと統合して、organizationのメールやリソースに接続できるデバイスとアプリを制御できます。

条件付きアクセス ポリシーでは、次の処理が行われます。

• 任意のプラットフォームを実行するデバイスをIntuneに登録し、Intuneコンプライアンス ポリシーに準拠するように要求してから、それらのデバイスを使用してExchange Onlineにアクセスできるようにする必要があります。
• デバイスでメール アクセスに Outlook アプリを使用する必要があります。

条件付きアクセス ポリシーは、Microsoft Entra 管理センターまたはMicrosoft Intune管理センターで構成できます。 次の手順では、Intune管理センターを使用します。

1. Microsoft Intune 管理センターにサインインします。

2. [ Endpoint security>Conditional Access>新しいポリシーを作成する] を選択します。

3. [名前] に「Test policy for Microsoft 365 email」と入力します。

4. [ 割り当て] の [ ユーザーまたはエージェント] で、 選択した 0 人のユーザーとグループを選択します。 [ 含める ] タブで、[ すべてのユーザー] を選択します。 [ユーザー] の値が [すべてのユーザー] に更新されます。

5. また、[ 割り当て] の [ ターゲット リソース] で、[ ターゲット リソースが選択されていない] を選択します。 [ このポリシーが適用される内容を選択する ] ドロップダウンで、[ リソース (旧称クラウド アプリ)] を選択します。

   次に、Microsoft 365 Exchange Onlineメールを保護するには、そのアプリを選択します。

   1. [ 含める ] タブで、[ リソースの選択] を選択します。
   2. [ 特定のリソースの選択] で、[ なし ] を選択して [ リソース ] ウィンドウを開きます。
   3. リソースの一覧で、Office 365 Exchange Onlineのチェック ボックスをオンにし、[選択] を選択します。

   

6. [ 割り当て] の [ 条件] で、[ 0 個の条件] を選択します。 使用可能な新しいページで、[ デバイス プラットフォーム ] で [ 未構成 ] を選択して [ デバイス プラットフォーム ] ウィンドウを開きます。

   1. [ 構成] を[はい] に設定します。
   2. [ 含める ] タブで [ 任意のデバイス] を選択し、[完了] を選択 します。

   

7. もう一度、[ 割り当て] で [条件>Client アプリ] を開きます。

   1. [ 構成] を[はい] に設定します。

   2. このチュートリアルでは、モダン認証クライアントの一部である [モバイル アプリとデスクトップ クライアント] を選択します (これは、Outlook for iOS や Outlook for Android などのアプリを指します)。 他のチェック ボックスはすべてオフにします。

   3. [完了] を選択し、[完了] をもう一度選択します。

   

8. [ アクセス制御] の [ 許可 ] で、[ 未構成 ] を選択して [ 許可 ] ウィンドウを開きます。

   1. [許可] ウィンドウで、[アクセス権の付与] を選択します。

   2. [デバイスは準拠としてマーク済みである必要があります] を選択します。

   3. [ アプリ保護ポリシーが必要] を選択します。

   4. [複数のコントロールの場合] で、[選択したコントロールすべてが必要] を選択します。 この設定により、デバイスがメールへのアクセスを試みるときに、選択した両方の要件が適用されます。

   5. [選択] を選択します。

   

9. ポリシーを有効にする で、オン を選択します。

   

10. [ 作成] を 選択して変更を保存します。 プロファイルが割り当てられます。

試してみる

作成したポリシーを使用して、Microsoft 365 メールへのサインインを試みる iOS デバイスは、Intuneに登録し、iOS/iPadOS 用 Outlook モバイル アプリを使用する必要があります。 iOS デバイスでこのシナリオをテストするには、テスト テナントのユーザーの資格情報を使用して、Exchange Online へのサインインを試みます。 デバイスを登録し、Outlook モバイル アプリをインストールするように求められます。

1. iPhone でテストするには、 設定>Apps>Mail>Mail アカウント>アカウントの追加に移動し、[ Microsoft Exchange] を選択します。

   注:

   [設定] のパスは、iOS のバージョンによって異なる場合があります。 上記の手順は、iOS 26 に基づいています。 最新の手順については、「Apple サポート サイト の iPhone または iPad にメール アカウントを追加 する」を参照してください。

2. テスト テナント内のユーザーのメール アドレスを入力し、[次へ] を選択します。

3. [サインイン] を選択します。

4. テスト ユーザーのパスワードを入力して、[サインイン] を選択します。

5. デバイスのリソース アクセスを管理する必要があるというメッセージと、登録のオプションが表示されます。

リソースをクリーンアップする

テスト ポリシーが必要なくなった場合は削除できます。

1. Microsoft Intune 管理センターにサインインします。

2. [ デバイス>コンプライアンス] を選択します。

3. [ ポリシー名 ] の一覧で、テスト ポリシーを選択し、[削除] を選択 します。 削除を確認します。

4. [ エンドポイント セキュリティ>Conditional Access] を選択します。

5. テスト ポリシーを選択し、[削除] を選択 します。 削除を確認します。

次の手順

このチュートリアルでは、iOS デバイスに対して、Intune に登録することと、Outlook アプリを使用して Exchange Online のメールにアクセスすることを要求する、ポリシーを作成しました。 条件付きアクセスでIntuneを使用して他のアプリやサービスを保護する方法については、「条件付きアクセスを設定する」を参照してください。