どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。
普段は中堅・中小企業様向けに Microsoft 365 活用のご支援をおこなっています。
廃止予定となっている Windows Information Protection の後継機能として、Microsoft Intune での Windows アプリ保護ポリシーの利用が可能になりました。
Windows アプリ保護ポリシーは、Windows 10/11 デバイス上の特定のアプリケーションに適用されるモバイル アプリケーション管理 (MAM) の機能です。
ポリシーを使用すると、Bring Your Own Device (BYOD) などのシナリオで、ユーザーが利用するアプリケーション内のデータをセキュリティで保護できます。
・・・というものですが、まだ、公開初期なので、Microsoft Edge のみが対象なので、Webブラウザーで利用できるサービスに限定して利用できる感じなります。
Windows アプリ保護ポリシーを設定してみるよ
1.Microsoft Intune 管理センター( https://endpoint.microsoft.com )に全体管理者権限を持つユーザーでアクセスします。
-1.png)
2.「+ポリシーの作成」-「Windows」をクリックします。
-2.png)
3.作成するアプリ保護ポリシーの名前を設定して、「次へ」をクリックします。
-3.png)
4.「+アプリを選択」をクリックし、保護対象のアプリを選択します。
※将来的に他のアプリも設定できそうな選択画面ですね。そのうち、Microsoft 365 Office アプリ等も対象にできるんでしょうかね?
-4.png)
5.対象アプリがセットされていることを確認し、「次へ」をクリックします。
-5.png)
6.データ保護のページでは、指定したアプリへの情報のインプット、アウトプット、プリントを制御するような設定が準備されています。
-6.png)
7.設定として、指定したアプリからのアウトプットと印刷をブロックするような設定を行い、「次へ」をクリックします。
-7.png)
8.「正常性チェック」の画面の設定は変更せずに、「次へ」をクリックします。
-8.png)
9.「グループの追加」をクリックし、作成したアプリ保護ポリシーを適用するグループを選択します。
-9.png)
10.「次へ」をクリックします。
-10.png)
11.「作成」をクリックします。
-11.png)
さて、設定と割り当ても完了したので、動作の確認をしたいところですが、前提として、対象の Microsoft Edge に組織用アカウントでサインインが必要です。そのため、条件付きアクセスポリシーの設定で、個人所有の Windows についても、Microsoft 365 のサービス にサインインできる必要があります。
-12.png)
Teams Web からテキストをコピーしようとするとブロックされます。
-13.png)
Word ファイルを印刷しようとするとブロックされます。
-14.png)
デスクトップアプリ上のテキストファイルのデータを Word Online 上にコピーしようとすると、”サポートされていません!”と警告が入ります。
-15.png)
Microsoft Edge で参照したWebサイトのテキストをコピーしようとすると、"コピーできません!"って警告が入ります。
-16.png)
Entra ID 参加PCだと制御が掛からない仕様の様で、個人PCでブロックされた部分については、何も起きずに操作ができました。
-17.png)
一応、利用できましたが、設定と関連した動作とか、条件付きアクセスポリシーで調整も必要な感じなので、継続的に動作確認等含めてやっていきたいですね。
※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
