Intuneを使用して Windows Information Protection (WIP) ポリシーを作成して展開する

  • [アーティクル]

注:

Microsoft Intuneは、Windows Information Protectionの管理と展開に関する将来の投資を中止しました。

Microsoft Intuneでの登録シナリオのない Windows Information Protectionのサポートが削除されました。

詳細については、「Windows Information Protectionのサポート終了ガイダンス」を参照してください。

Windows Intune MAM の詳細については、「MAM for Windows」と「Windows のアプリ保護 ポリシー設定」を参照してください。

Windows 10 アプリで Windows Information Protection (WIP) ポリシーを使用して、デバイス登録なしでアプリを保護できます。

開始する前に

WIP ポリシーを追加するときは、いくつかの概念を理解する必要があります。

許可されているアプリと除外されているアプリの一覧

  • 保護されたアプリ: これらのアプリは、このポリシーに従う必要があるアプリです。

  • 除外アプリ: これらのアプリは、このポリシーから除外され、制限なく企業データにアクセスできます。

アプリの種類

  • 推奨されるアプリ: ポリシーに簡単にインポートできる (主に Microsoft 365 (Office)) アプリの事前設定済みの一覧。
  • ストア アプリ: Windows ストアからポリシーに任意のアプリを追加できます。
  • Windows デスクトップ アプリ: 従来の Windows デスクトップ アプリをポリシーに追加できます (たとえば、.exe、.dll)

前提条件

WIP ポリシーを作成する前に、MAM プロバイダーを構成する必要があります。 Intuneを使用して MAM プロバイダーを構成する方法の詳細については、こちらをご覧ください。

重要

WIP はマルチ ID をサポートしていません。一度に存在できるマネージド ID は 1 つだけです。 WIP の機能と制限事項の詳細については、「Windows Information Protection (WIP) を使用してエンタープライズ データを保護する」を参照してください。

さらに、次のライセンスと更新プログラムが必要です。

WIP ポリシーを追加するには

organizationでIntuneを設定したら、WIP 固有のポリシーを作成できます。

重要

登録のない Windows Information Protection (WIP) ポリシーは非推奨になりました。 登録解除されたデバイスの WIP ポリシーを作成できなくなります。

ヒント

使用可能な設定や構成方法など、Intuneの WIP ポリシーの作成に関する関連情報については、Windows セキュリティ ドキュメント ライブラリの「ポータル Microsoft Intuneを使用して MAM を使用して Windows Information Protection (WIP) ポリシーを作成する」を参照してください。

  1. Microsoft Intune 管理センターにサインインします。
  2. [アプリ>アプリ保護ポリシー] [ポリシーの作成] の順に>選択します。
  3. 次の値を追加します。
    • 名前: 新しいポリシーの名前 (必須) を入力します。
    • 説明: (省略可能) 説明を入力します。
    • プラットフォーム:WIP ポリシーでサポートされているプラットフォームとして [Windows 10] を選択します。
    • 登録の状態: ポリシーの登録状態として [ 登録なし ] を選択します。
  4. [作成] を選択します。 ポリシーが作成され、[アプリ保護 ポリシー] ウィンドウのテーブルに表示されます。
  1. Microsoft Intune 管理センターにサインインします。
  2. [アプリ] > [アプリ保護 ポリシー] を選択します。
  3. [ポリシーのアプリ保護] ウィンドウで、変更するポリシーを選択します。 [アプリ保護のIntune] ウィンドウが表示されます。
  4. [Intuneアプリ保護] ウィンドウから [保護されたアプリ] を選択します。 [ 保護されたアプリ ] ウィンドウが開き、このアプリ保護ポリシーの一覧に既に含まれているすべてのアプリが表示されます。
  5. [ アプリの追加] を選択します。 [ アプリの追加] 情報には、フィルター処理されたアプリの一覧が表示されます。 ウィンドウの上部にあるリストを使用すると、リスト フィルターを変更できます。
  6. 企業データへのアクセスを許可する各アプリを選択します。
  7. [OK] をクリックします。 [ 保護されたアプリ ] ウィンドウが更新され、選択したすべてのアプリが表示されます。
  8. [保存] をクリックします。

ストア アプリを保護されたアプリの一覧に追加する

ストア アプリを追加するには

  1. Microsoft Intune 管理センターにサインインします。
  2. [アプリ] > [アプリ保護 ポリシー] を選択します。
  3. [ポリシーのアプリ保護] ウィンドウで、変更するポリシーを選択します。 [アプリ保護のIntune] ウィンドウが表示されます。
  4. [Intuneアプリ保護] ウィンドウから [保護されたアプリ] を選択します。 [ 保護されたアプリ ] ウィンドウが開き、このアプリ保護ポリシーの一覧に既に含まれているすべてのアプリが表示されます。
  5. [ アプリの追加] を選択します。 [ アプリの追加] 情報には、フィルター処理されたアプリの一覧が表示されます。 ウィンドウの上部にあるリストを使用すると、リスト フィルターを変更できます。
  6. 一覧から [ アプリのストア] を選択します。
  7. [名前]、[パブリッシャー]、[製品名]、[アクション] の値を入力します。 アプリが会社のデータにアクセスできるように、[ アクション ] の値を [許可] に設定してください。
  8. [OK] をクリックします。 [ 保護されたアプリ ] ウィンドウが更新され、選択したすべてのアプリが表示されます。
  9. [保存] をクリックします。

保護されたアプリの一覧にデスクトップ アプリを追加する

デスクトップ アプリを追加するには

  1. Microsoft Intune 管理センターにサインインします。
  2. [アプリ] > [アプリ保護 ポリシー] を選択します。
  3. [ポリシーのアプリ保護] ウィンドウで、変更するポリシーを選択します。 [アプリ保護のIntune] ウィンドウが表示されます。
  4. [Intuneアプリ保護] ウィンドウから [保護されたアプリ] を選択します。 [ 保護されたアプリ ] ウィンドウが開き、このアプリ保護ポリシーの一覧に既に含まれているすべてのアプリが表示されます。
  5. [ アプリの追加] を選択します。 [ アプリの追加] 情報には、フィルター処理されたアプリの一覧が表示されます。 ウィンドウの上部にあるリストを使用すると、リスト フィルターを変更できます。
  6. 一覧から [ デスクトップ アプリ] を選択します。
  7. [名前]、[パブリッシャー]、[製品名]、[ファイル]、[最小バージョン]、[最大バージョン]、[アクション] の値を入力します。 アプリが会社のデータにアクセスできるように、[ アクション ] の値を [許可] に設定してください。
  8. [OK] をクリックします。 [ 保護されたアプリ ] ウィンドウが更新され、選択したすべてのアプリが表示されます。
  9. [保存] をクリックします。

WIP ラーニング

WIP で保護するアプリを追加した後、WIP Learning を使用して保護モードを適用する必要があります。

開始する前に

WIP Learning は、WIP 対応アプリと WIP 不明アプリを監視できるレポートです。 不明なアプリは、organizationの IT 部門によってデプロイされていないアプリです。 これらのアプリをレポートからエクスポートし、WIP ポリシーに追加して、"ブロック" モードで WIP を適用する前に生産性の中断を回避できます。

WIP 対応アプリに関する情報を表示するだけでなく、Web サイトと作業データを共有しているデバイスの概要を表示できます。 この情報を使用して、グループおよびユーザー WIP ポリシーに追加する Web サイトを決定できます。 概要には、WIP 対応アプリによってアクセスされる Web サイト URL が表示されます。

WIP 対応アプリと WIP が不明なアプリを使用する場合は、保護されたアプリの一覧に適切なアプリがあることを小さなグループで確認しながら、 サイレント または 許可のオーバーライド から開始することをお勧めします。 完了したら、最終的な適用ポリシー [ ブロック] に変更できます。

保護モードとは

ブロック

WIP は不適切なデータ共有プラクティスを検索し、ユーザーがアクションを完了するのを停止します。 ブロックされたアクションには、企業で保護されていないアプリ間での情報の共有、organization外の他のユーザーとデバイス間での企業データの共有などがあります。

オーバーライドを許可する

WIP では、不適切なデータ共有が検索され、ユーザーが安全でないと見なされる何かを行ったときに警告します。 ただし、このモードでは、ユーザーがポリシーをオーバーライドしてデータを共有し、アクションを監査ログに記録できます。

サイレント認証

WIP は、無効なデータ共有をログに記録し、上書きを許可モードの間に従業員の操作を求められる内容をブロックすることなく、サイレントで実行されます。 ネットワーク リソースや WIP で保護されたデータに不適切にアクセスしようとしているアプリなど、許可されていないアクションは引き続き停止されます。

WIP はオフになっているので、データの保護や監査には役立ちません。

WIP をオフにすると、ローカルに接続されているドライブ上の WIP でタグ付けされたファイルの暗号化を解除しようとします。 WIP 保護を有効に戻しても、以前の暗号化解除とポリシー情報は自動的に再適用されません。

保護モードを追加する

  1. [ アプリ ポリシー ] ウィンドウで、ポリシーの名前を選択し、[ 必須設定] を選択します。

    [学習モード] ウィンドウのスクリーンショット

  2. 設定を選択し、[保存] を選択 します

Windows Search インデクサーによる暗号化されたアイテムの検索を許可する

項目のインデックス作成を許可または禁止します。 このスイッチは、Windows Search インデクサー用であり、Windows Information Protection (WIP) で保護されたファイルなど、暗号化された項目にインデックスを付けるかどうかを制御します。

このアプリ保護ポリシー オプションは、Windows Information Protection ポリシーの詳細設定にあります。 アプリ保護ポリシーを Windows 10 プラットフォームに設定し、アプリ ポリシーの登録状態[登録あり] に設定する必要があります。

ポリシーを有効にすると、WIP で保護されたアイテムにインデックスが作成され、それらのメタデータが暗号化されていない場所に格納されます。 メタデータには、ファイル パスや変更日などが含まれます。

ポリシーが無効になっている場合、WIP で保護されたアイテムのインデックスは作成されず、Cortana またはエクスプローラーの結果には表示されません。 デバイスに多くの WIP で保護されたメディア ファイルがある場合は、写真や Groove アプリにもパフォーマンスへの影響が発生する可能性があります。

注:

Microsoft は、Windows Cortana スタンドアロン アプリを非推奨にしました。 Cortana の生産性アシスタントは引き続き使用できます。 Windows クライアントの非推奨の機能の詳細については、「Windows クライアントの 非推奨の機能」を参照してください。

暗号化されたファイル拡張子を追加する

[Windows Searchインデクサーによる暗号化されたアイテムの検索を許可する] オプションを設定するだけでなく、ファイル拡張子の一覧を指定できます。 これらの拡張子を持つファイルは、ネットワークの場所の一覧で定義されている会社の境界内のサーバー メッセージ ブロック (SMB) 共有からコピーするときに暗号化されます。 このポリシーが指定されていない場合は、既存の自動暗号化動作が適用されます。 このポリシーを構成すると、リスト内の拡張子を持つファイルのみが暗号化されます。

WIP アプリ保護ポリシーを展開する

重要

この情報は、デバイス登録なしで WIP に適用されます。

WIP アプリ保護ポリシーを作成したら、MAM を使用して、それをorganizationに展開する必要があります。

  1. [アプリ ポリシー] ウィンドウで、新しく作成したアプリ保護ポリシーを選択し、[ユーザー グループ] [ユーザー グループ>の追加] の順に選択します。

    Microsoft Entra ID内のすべてのセキュリティ グループで構成されるユーザー グループの一覧が、[ユーザー グループの追加] ウィンドウで開きます。

  2. ポリシーを適用するグループを選択し、[ 選択 ] を選択してポリシーを展開します。

次の手順

Windows Information Protectionの詳細については、「Windows Information Protection (WIP) を使用してエンタープライズ データを保護する」を参照してください。