iOSを管理する方法(端末側)

1 ポータル サイトを開き、職場または学校アカウントでサインインします。

2 ポータル サイトの通知を受け取るように求められたら、 [許可] をタップします。 ポータル サイトでは、たとえばデバイスの設定を更新する必要がある場合に、通知を使用してアラートを表示します。

3 [Set up access](アクセス設定) 画面で、 [開始] を選択します。

4組織で表示できるまたはできないデバイス情報の一覧に目を通します。 次に [続行] をタップします。

5[What’s next?](次のステップ) 画面の指示に目を通します。 管理プロファイルをダウンロードしてインストールする準備ができたら、 [続行] をタップします。

Safari によりデバイスでポータル Web サイトが開かれます。 構成プロファイルをダウンロードするように求められたら、 [許可] をタップします。 次を実行しているデバイスの場合:

  • iOS 12.2 以降: ダウンロードが完了したら、 [完了] をタップします。 この記事の手順 7 に進みます。
  • iOS 12.1 以前: iOS: 設定アプリに自動的にリダイレクトされます。 この記事の手順 8 に進みます。

誤って [無視] をタップすると、ページが更新されます。 ポータル サイト アプリを開くことを求められます。 アプリから [Download again](再度ダウンロード) をタップできます。

iOS 12.2 以降のみ: ポータル サイトを開くように求められたら、 [開く] をタップします。 [Installing Management Profile](管理プロファイルのインストール) 画面に、プロファイルをインストールする手順が一覧表示されます。

設定アプリに移動し、 [Profile Downloaded](ダウンロードされたプロファイル) をタップします。

オプションとして [Profile Downloaded](ダウンロードされたプロファイル) が表示されない場合は、 [全般] > [プロファイル]の順に移動します。 それでもプロファイルが表示されない場合は、もう一度ダウンロードする必要があります。

設定アプリに移動し、 [Profile Downloaded](ダウンロードされたプロファイル) をタップします。

オプションとして [Profile Downloaded](ダウンロードされたプロファイル) が表示されない場合は、 [全般] > [プロファイル]の順に移動します。 それでもプロファイルが表示されない場合は、もう一度ダウンロードする必要があります。

次の画面は、デバイス管理の標準のシステム警告です。 インストールを続行するには、 [インストール] をタップします。 リモート管理を信頼するように求められたら、 [信頼] をタップします。

インストールが完了したら、 [完了] をタップします。 プロファイルがインストールされたことを確認するには、 [プロファイルとデバイスの管理] 設定に移動します。 [モバイル デバイス管理] の下にプロファイルが一覧表示されるはずです。

ポータル サイト アプリに戻ります。 ポータル サイトでデバイスの同期と設定が開始されます。 ポータル サイトで追加のデバイス設定を更新するように求められる場合があります。 その場合は、 [続行] をタップします。

ポータル サイト アプリに戻ります。 ポータル サイトでデバイスの同期と設定が開始されます。 ポータル サイトで追加のデバイス設定を更新するように求められる場合があります。 その場合は、 [続行] をタップします。

リスト内のすべての項目に緑色の円が表示されると、設定が完了したことがわかります。 [完了] をタップします。

Outlookアプリへ個人アカウントの追加を禁止する

想定されるケース

・個人用スマホを業務で使用しているケース

防ぐことができるケース

・個人用メールアカウントを追加できないので個人用アドレスを使用した情報漏洩の可能性が低くなる

Outlookアプリからアカウントを追加します。

個人用のGmailのアドレスを入力します。

パスワードを入力し、ログインします。

Gmailアカウントへのアクセスのリクエストが開始されます。

組織から許可されていませんと表示され、個人用メールアカウントを追加することができません。

社外からのアクセスを禁止する方法

1. 事前準備

ポリシーの対象外とする場所 (今回の場合は社内 IP ) を、事前に設定します。

1-1. Azure ポータル (https://portal.azure.com) に、管理者権限のアカウントでサインインします

1-2. [Azure Active Directory] – [条件付きアクセス] – [名前付きの場所] に遷移します

1-3. [+ 新しい場所]  をクリックします

1-4. 以下のような画面が表示されますので、任意の名前で除外対象としたい IP アドレス (今回の場合は、社内 IP かと存じます) を設定し、[作成] をクリックします

2. 条件付きアクセスのポリシーを作成します

2-1. Azure ポータル (https://portal.azure.com) に、管理者権限のアカウントでサインインします

2-2. [Azure Active Directory] – [条件付きアクセス] に遷移します

2-3. [+ 新しいポリシー] をクリックします

2-4. 以下のような画面が表示されるので、必要な設定をしていきます

2-5. [名前] に任意の名前を設定します。

2-6. [割り当て] – [ユーザーとグループ] をクリックします。

以下のような画面が表示されますので、[ユーザーとグループ] にチェックを入れ、対象のユーザーを選択し、[完了] をクリックします。

* この時、[対象] で [すべてのユーザー] を選択し、[対象外] で管理者アカウントを追加することもできます。

2-7. [クラウド アプリ] をクリックして、[アプリを選択] をクリックします。

以下のような画面が表示されますので、Office 365 SharePoint Online を選択して、[完了] をクリックします。

* 「Office 365 SharePoint Online」 を選択することで、SharePoint Online と OneDrive が制御されることを確認しております。

2-8. [条件] をクリックして、[場所] – [構成] を 「はい」 にします。

[対象] タブで、[すべての場所] を選択します。

[対象外] タブで、[選択された場所] をクリックして、事前準備の手順 1-4 で作成した IP を選択し、[選択] をクリックします。

2-9. [アクセス制御] をクリックして、[アクセス権の付与] – [アクセスのブロック] にチェックを入れて、[選択] をクリックします。

2-10. ポリシーを即時有効にしたい場合は、[ポリシーの有効化] を [オン] にして、[作成] をクリックします。

上記ポリシーを作成することで、指定したユーザーは社外から SharePoint Online や OneDrive へのアクセスはブロックされます。まず、検証用アカウントなどでのご確認をお勧めいたします。

* 補足

Azure AD の条件付きアクセスをご利用いただくには、Azure AD Premium P1 や P2 のライセンスが、ポリシーの対象となるユーザー数分必要となります。(なお、ゲストユーザーは 1 ライセンスで、5 ゲスト ユーザーまで利用可能です。)

USBメモリの禁止設定

プロファイルの作成​

1. Azure portal で、[すべてのサービス] を選択し、Intune でフィルター処理して、[Intune] を選択します。​

2.[デバイス構成]、[プロファイル]、[プロファイルの作成] の順に選択します。​

3. 次のプロパティを入力します。​

・[名前]:新しいプロファイルのわかりやすい名前を入力します。​

・説明:プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。​

・[プラットフォーム]:プラットフォームの種類を選択します。​

   ・Android​

   ・Android エンタープライズ​

   ・Android​

   ・macOS​

   ・Windows Phone 8.1​

   ・Windows 8.1 以降​

   ・Windows 10 以降​

・[プロファイルの種類]:作成する種類を選択します。 リストは、選択したプラットフォームによって異なります。​

(中略)​

4. 完了したら、[作成] を選択します。​

プロファイルが作成され、リストに表示されます。​

次の手順​

プロファイルを割り当て、その状態を監視します。​

——–抜粋終了——–​

企業所有デバイスは当該プロファイルを割り当てするも、個人所有デバイスは割り当てを行わないことを想定しているとお伺いいたしました。​

確認いたしましたが、デバイス構成プロファイルにつきましては、ユーザー グループとデバイス グループ双方共に割り当て可能でございますのでご安心ください。​

作成したプロファイルがデバイス適用されるまでの所要時間に関しましては、ネットワークやデバイスの状況に依存いたしますが、プロファイル割り当て後 5 分以内が目安となります。​

以下に、言及のある公開情報をご案内いたしますので、お手数をおかけいたしますが、ご確認いただきますようお願い申し上げます。​

<公開情報>​

Title : Microsoft Intune でのデバイス プロファイルの一般的な問題と解決策​

URL : https://docs.microsoft.com/ja-jp/intune/device-profile-troubleshoot

——–以下抜粋——–​

ポリシーまたはアプリが割り当てられると、Intune はデバイスに対して、Intune サービスにチェックインするようにすぐに通知し始めます。 この通知にかかる時間は通常 5 分未満です。​

——–抜粋終了——–​

また、Azure AD 登録や Azure AD 参加など、いずれでも MDM 登録できていればプロファイルの展開は可能でございます。​

最後に、デバイス構成プロファイルのデバイス制限内にある [USB 接続 (モバイル限定)] 等の [(モバイル限定)] の記述が指す範囲に関してご案内いたします。​

Intune では、デスクトップやはラップトップといった筐体の情報でもって判断するのではなく、OS で判断しているという見解でございます。従いまして、Windows Phone や Windows 10 Mobile といったモバイル用 OS 限定という意味であるという認識でございます。​

PCへのサインインを厳重にする方法


PCへのサインインを二要素認証にする(顔認証、指紋認証、Web認証、PIN、パスワード等の二つを組み合わせる)等、様々な方法が選択できます。今回は記憶(パスワード、PIN)だけでなく、所有物(スマートフォン)を利用した認証方法をご紹介します。

・地球儀のマークをクリックする

・パスワードを入力した後に、スマートフォンに承認の通知がきますので承認を押します。

WebSignin を有効化する方法

  1. Intune にサインインします。
  2. [デバイス構成] > [プロファイル] > [プロファイルの作成] の順に選択します。
  3. 次の設定を入力します。
    • 名前: Websignin profileのようにプロファイルの名前を入力します。
    • 説明: プロファイルの説明を入力します
    • [プラットフォーム] : [Windows 10 以降] を選択します。
    • プロファイルの種類[カスタム] を選択します。
  4. [OMA-URI のカスタム設定] で、 [追加] を選択します。 次の設定を入力します。
    • 名前: OMA-URI 設定の一意の名前を入力すると、設定リスト内で容易に識別できます。
    • 説明: 設定の概要および他の重要な詳細がわかる説明を入力します。
    • OMA-URI (大文字と小文字を区別): [./Vendor/MSFT/Policy/Config/Authentication/EnableWebSignIn] を指定します。
    • データ型: ・データ型は整数を指定します
    • : 1 (=有効) を指定します
  5. [OK] を選択して変更を保存します。 必要に応じて他の設定の追加を続けます。
  6. 終わったら、 [OK] > [作成] を選択して Intune プロファイルを作成します。 完了すると、プロファイルが [デバイス構成 – プロファイル] の一覧に表示されます。

作成したプロファイルを [Device] に対して割り当てます。

事前に Azure AD 上で対象となるクライアント デバイスを所属させたグループを作成しておくとスムーズです。

作成したプロファイルの [割り当て] メニューより適用対象のグループをご指定ください。

上記プロファイルが適用されたクライアントでは、Windows ログオン画面の Sign-in options に地球マークが増えます。

こちらを選択して上部の [Sign in] をクリックすると、Web サインイン画面 (=ブラウザ) が表示されるようになります。

iOSでMDMを使用する為の方法

APNs 証明書の取得手順

1.Azure AD ポータル (http://portal.azure.com) にサインインします。​

2. メニューより 『Intune 』をクリックします。​​

3. 『デバイスの登録 』 > 『Apple の登録 』 > 『Apple MDM プッシュ通知証明書 』をクリックします。​

4. ステップ 2 [CSR のダウンロード] をクリックし、csr ファイルを任意の場所に保存します。​

5. ステップ 3 [ MDM プッシュ証明書を作成する] をクリックします。​

6. [Apple Push Certificates Portal] ページが開くので、APNs 証明書を作成時の Apple ID でサインインします。​

7. [Expiration Date (有効期限)] を確認して、該当する Certificates の [Renew] をクリックします。​

8. [Renew Push Certificates Portal] が表示されたら、[ファイルを選択] をクリックして、手順 5 で保存したファイルの場所を参照し、[Upload] をクリックします。​

9. [Confirmation] の画面に変わったら、[Download] をクリックして、pem ファイルを任意の場所に保存します。​

10. [MDM プッシュ証明書を構成する] に戻り、手順 6 で入力したものと同じ Apple ID を入力します。​

11. 手順 9 で保存したファイルの場所を参照し、[アップロード] をクリックします。​

Windows デバイスの登録をセットアップ

1. 設定 →アカウント → 職場または学校にアクセスする を開きます。​

2.[+ 接続] をクリックします。​

3. Azure AD 登録する場合は上部の枠から、Azure AD 参加する場合は下部の [このデバイスを Azure Active Direcyory に参加させる] をクリックし、自動登録設定をしているユーザーでサインインしてください。​

4. 上記サインイン後、PIN コード設定や電話認証が求められることがございます。画面の指示に合わせて設定を完了させてください。​

5. Azure AD 参加の場合には一度、Windows からサインアウトし、その後登録に用いた UPN で再度サインインしてください。

Office 365 にサインインする際、ID とパスワードに加え、電話もしくは SMS認証を追加する方法

​​

【Office 365 多要素認証にて使用可能な認証方法】​

・指定の電話番号への通話 : ユーザーの固定電話、携帯電話またはスマートフォンに着信を受け、ガイダンスに沿って操作することでサインインが許可されます。​

・テキスト メッセージの送信 : ユーザーの携帯電話やスマートフォンに 6 桁の数字のパスコードを含むテキスト メッセージ (SMS) が送信されます。​

・会社電話へ通話 : Office365 管理センターより設定されている勤務先電話番号 ([事業所の電話] 項目の番号) に着信を受け、ガイダンスに沿って操作することでサインインが許可されます。​

・アプリの通知 : 認証用モバイル アプリケーション (Microsoft Authenticator) に通知が送信され、ユーザーのサインインの確認作業を実行します。​

※ Windows Phone、iPhone、Android の各種モバイル端末で使用可能です。​

・アプリを通じたワンタイム コードの表示 : 認証用モバイル アプリケーションに表示された 6 桁の数字のパスコードをサインイン画面へ入力します。​