Office 365 の MDM 機能と Exchange ActiveSync の モバイル デバイス管理機能の違いについて

  • Article

こんにちは、Microsoft Intune サポート チームの村田です。

Office 365 をご利用のお客様より、モバイル デバイス管理機能について、多数のお問合せをいただきます。

本記事では、Microsoft Intune をご利用されている方にはすでにおなじみの機能ではありますが、Office 365 をご利用されている方に向けて、従来の Exchange ActiveSync (EAS) においてのモバイル デバイスの管理と、新しく Office 365 に加わった本機能で何が違うのか? 何ができるようになったのか以下の機能比較表を基にご説明します。

Exchange ActiveSync、Office 365 向け MDM 、Microsoft Intune 機能比較表 hikaku002

 

Office 365 の MDM 機能は、Microsoft Intune におけるモバイル デバイス管理機能の一部を抜粋し、無償でOffice 365 のすべてのプランに対して選択的ワイプ機能など、BYOD の管理、運用を想定した基本機能を提供します。

表における赤枠の部分が、EAS におけるデバイス管理との相違点となり、それぞれの項目について説明いたします。

1) IT ポリシーに合致しないデバイスのレポート、グループ ポリシーとレポート

EAS におけるポリシーのデバイスへのポリシーの適用は、 [モバイル デバイス メールボックス ポリシー] による簡易的なものでしたが、Office 365 の MDM 機能にいては、Office 365 で作成したセキュリティ グループに対し、制御項目が追加されたセキュリティ ポリシーを個別に適用することが可能となっております。デバイスに適用されているポリシーに準拠していないモバイル デバイスの台数をグラフ形式にてレポートとして表示することができます。

※ 現在レポート機能は正常に動作しないことが確認されております。今後のアップデートにより改善される予定となっております。

2) ルート化とジェイルブレイクの検知

iOS および、Android において、不正に 改変された OS 使用しているデバイスを検知してアクセスをブロックすることができます。

3) 退職者のモバイル デバイス上の個人データはそのまま残し、Office 365 のアプリデータを削除 (選択的ワイプ)

Office 365 の Exchange ActiveSync (EAS) におけるモバイル デバイス管理機能 においても EAS 接続しているモバイルデバイスに対し、工場出荷状態に戻すフルワイプ機能は備わっておりましたが、BYOD を工場出荷状態にワイプしてしまうというのは運用上現実的ではありませんでした。

本機能においては、デバイスに対し登録というプロセスを設けることで、登録したデバイスにポリシーを配布し、選択的ワイプ機能を用いて、デバイス上の個人データに影響を及ぼさずに、

Office 365 の会社リソースへのサインイン情報を削除します。本機能が Office 365 の MDM 機能を従来の Exchange ActiveSync と比較した際の一番大きな違いです。

選択的ワイプ機能の詳細については以下のページをご覧ください。

<Office 365 でモバイル デバイスをワイプする>

https://support.office.com/ja-jp/article/Office-365-%e3%81%a7%e3%83%a2%e3%83%90%e3%82%a4%e3%83%ab-%e3%83%87%e3%83%90%e3%82%a4%e3%82%b9%e3%82%92%e3%83%af%e3%82%a4%e3%83%97%e3%81%99%e3%82%8b-9d727c7d-8b47-4499-bf24-d046b449214c?ui=en-US&rs=ja-JP&ad=US

4) デバイスが未登録又は、組織のポリシーが適用されていない場合、組織のメールとドキュメントへのアクセスを防止する。

Microsoft Intune における、条件付きアクセスと呼ばれる機能となります。同機能においては、Office 365 の電子メールとドキュメントに接続してきたデバイスに対して、MDM へのデバイス登録を強制し、登録と共に適用されたポリシーにデバイスが準拠している場合のみ、企業の電子メールの送受信、ドキュメントへのアクセスが許可するよう制御可能となります。これにより、一定のセキュリティレベルを保った状態でデバイスを管理することが可能です。

また従来の EAS における、[モバイル デバイス メールボックス ポリシー] でのパスワードの桁数の設定などに加え、iOS デバイスにおける、画面キャプチャやビデオ会議 (FaceTime) の禁止など、端末に対して強制できるポリシーの内容が大幅に追加されております。

各端末におけるポリシーでの設定内容については以下にページをご覧ください。

<Office 365 用の組み込みモバイル デバイス管理の機能>

https://technet.microsoft.com/ja-JP/library/ms.o365.cc.DevicePolicySupportedDevice.aspx?v=15.1.172.1&l=1

上記リンク内の、[クラウドの設定]、[システムの設定]、[アプリケーションの設定]、[デバイスの機能の設定] を制御可能です。

比較表にも記載のあるとおり、デバイスに対するアプリの配布やそれに伴うコピー & ペーストの制御などセキュリティの設定は行えず、基本的な BYOD 管理の機能にとどまっているので、運用シナリオにより、より高度なデバイス管理が可能な Microsoft Intune を利用するかを検討いただければと思います。

なお、本記事以外にも Office 365 の MDM 機能に関して、随時最新の情報を更新しておりますので、ぜひご覧ください。

参考記事 Office 365 のモバイル デバイス管理機能のご紹介 第1回 Office 365 のモバイル デバイス管理機能のご紹介 第2回