株式会社ソフトクリエイト 戦略ビジネス部 情報屋の山口です。
iOS / iPadOS 向けのアプリ保護ポリシーを設定する
さて、今回の投稿では、iOS / iPadOS 向けのアプリ保護ポリシーの設定方法をご案内していきます。
1.エンドポイントマネージャー( https://endpoint.microsoft.com )に全体管理者権限を持つユーザーでアクセスします。
2.「アプリ」→ 「アプリ保護ポリシー」をクリックします。
3.「+ポリシーの作成」→「iOS / iPadOS」をクリックします。
4.名前欄に任意のアプリ保護ポリシー名(例 : Apple iOS / iPadOS のアプリ保護ポリシー)を入力し、「次へ」をクリックします。
5.「+パブリック アプリの選択」をクリックします。
6.対象として、今回は、Microsoft 関連のアプリを一通り選択し、「選択」をクリックします。
7.選択したパブリックアプリの内容を確認し、「次へ」をクリックします。
8.データ保護の画面にて、以下の設定を変更し、「次へ」をクリックします。
・iTunes と iCloud のバックアップに組織データをバックアップ : ブロック
※iTunes と iCloud に組織データをバックアップする。
・他のアプリに組織データを送信 : ポリシーマネージドアプリ
※企業データの共有先を選択したパブリックアプリのみに限定します。
・組織データのコピーを保存 : ブロック
※アプリ上で利用する企業データの保存を制限します。
9.次に、スマホ上の企業データをどこにも保存できないのは、不便ですので、「選択したサービスにユーザーがコピーを保存することを許可」のプルダウンメニューより、「OneDrive for Business」および「SharePoint」を選択します。
※本設定を行うことで、企業データをパブリックアプリのキャッシュ領域か、選択したクラウドサービス上にしか保存できなくなるので、スマホのディスク領域経由でのデータの持ち出し対策になります。
10.選択内容を確認後、「次へ」をクリックします。
11.アクセス要件の画面にて、以下の設定を変更し、「次へ」をクリックします。
・アクセスに PIN を使用 : 不要
※アクセス PIN を必要にすると指定したパブリックアプリの起動時、非アクティブの指定時間経過後に、PIN 情報(数字の暗証番号)を要求されます。スマホのパスコードのみだとセキュリティが心配な場合には、「許可」を検討してください。
・アクセスに職場または学校アカウントの資格情報を使用 : 必要
・(非アクティブ分数)後にアクセス要件を再確認する : 43200分 = 約1ヶ月
※[必要] を選択すると、アプリへのアクセス時に、職場または学校のアカウントでのサインインが求められます。認証要求が行われるタイミングは、"(非アクティブ分数)後にアクセス要件を再確認する"の時間毎になります。
12.条件付き起動の要件は、変更せずに、「次へ」をクリックします。
13.「グループを追加」をクリックします。
14.割り当て対象のグループを選択し、「次へ」をクリックします。
※アプリ保護ポリシーは、ユーザーにしか有効に動作しませんので、デバイスを含むセキュリティグループを対象とする場合には、ご注意ください。
15.割り当て対象のグループを確認し、「次へ」をクリックします。
16.作成するアプリ保護ポリシーの内容を確認し、「作成」をクリックします。
17.作成したアプリ保護ポリシーが作成されたことを確認し、画面を閉じます。
作成したポリシーがユーザーに反映されるのを待ちます。
この際、Intune に登録されていないデバイスの各アプリにアプリ保護ポリシーが適用されるまで、最大24時間程度かかりますので、焦らずに、気長な気持ちで待ちます。
※対象デバイスを Intune に登録している場合には、2時間以内とかで適用されます。