iOS / iPadOS 向けのアプリ保護ポリシーを設定する

株式会社ソフトクリエイト 戦略ビジネス部 情報屋の山口です。

iOS / iPadOS 向けのアプリ保護ポリシーを設定する

さて、今回の投稿では、iOS / iPadOS 向けのアプリ保護ポリシーの設定方法をご案内していきます。

1.エンドポイントマネージャー( https://endpoint.microsoft.com )に全体管理者権限を持つユーザーでアクセスします。

2.「アプリ」→ 「アプリ保護ポリシー」をクリックします。

3.「+ポリシーの作成」→「iOS / iPadOS」をクリックします。

4.名前欄に任意のアプリ保護ポリシー名(例 : Apple iOS / iPadOS のアプリ保護ポリシー)を入力し、「次へ」をクリックします。

5.「+パブリック アプリの選択」をクリックします。

6.対象として、今回は、Microsoft 関連のアプリを一通り選択し、「選択」をクリックします。

7.選択したパブリックアプリの内容を確認し、「次へ」をクリックします。

8.データ保護の画面にて、以下の設定を変更し、「次へ」をクリックします。

・iTunes と iCloud のバックアップに組織データをバックアップ : ブロック
※iTunes と iCloud に組織データをバックアップする。

・他のアプリに組織データを送信 : ポリシーマネージドアプリ
※企業データの共有先を選択したパブリックアプリのみに限定します。

・組織データのコピーを保存 : ブロック
※アプリ上で利用する企業データの保存を制限します。

9.次に、スマホ上の企業データをどこにも保存できないのは、不便ですので、「選択したサービスにユーザーがコピーを保存することを許可」のプルダウンメニューより、「OneDrive for Business」および「SharePoint」を選択します。

※本設定を行うことで、企業データをパブリックアプリのキャッシュ領域か、選択したクラウドサービス上にしか保存できなくなるので、スマホのディスク領域経由でのデータの持ち出し対策になります。

10.選択内容を確認後、「次へ」をクリックします。

11.アクセス要件の画面にて、以下の設定を変更し、「次へ」をクリックします。

・アクセスに PIN を使用 : 不要
※アクセス PIN を必要にすると指定したパブリックアプリの起動時、非アクティブの指定時間経過後に、PIN 情報(数字の暗証番号)を要求されます。スマホのパスコードのみだとセキュリティが心配な場合には、「許可」を検討してください。

・アクセスに職場または学校アカウントの資格情報を使用 : 必要

・(非アクティブ分数)後にアクセス要件を再確認する : 43200分 = 約1ヶ月
※[必要] を選択すると、アプリへのアクセス時に、職場または学校のアカウントでのサインインが求められます。認証要求が行われるタイミングは、"(非アクティブ分数)後にアクセス要件を再確認する"の時間毎になります。

12.条件付き起動の要件は、変更せずに、「次へ」をクリックします。

13.「グループを追加」をクリックします。

14.割り当て対象のグループを選択し、「次へ」をクリックします。

※アプリ保護ポリシーは、ユーザーにしか有効に動作しませんので、デバイスを含むセキュリティグループを対象とする場合には、ご注意ください。

15.割り当て対象のグループを確認し、「次へ」をクリックします。

16.作成するアプリ保護ポリシーの内容を確認し、「作成」をクリックします。

17.作成したアプリ保護ポリシーが作成されたことを確認し、画面を閉じます。

作成したポリシーがユーザーに反映されるのを待ちます。

この際、Intune に登録されていないデバイスの各アプリにアプリ保護ポリシーが適用されるまで、最大24時間程度かかりますので、焦らずに、気長な気持ちで待ちます。
※対象デバイスを Intune に登録している場合には、2時間以内とかで適用されます。