Microsoft Intuneで Windows Information Protection ポリシーを作成する

  • [アーティクル]

2022 年 7 月以降、Microsoft は Windows Information Protection (WIP) を非推奨としています。 Microsoft は引き続き、サポートされているバージョンの Windows で WIP をサポートします。 Windows の新しいバージョンには WIP の新機能は含まれません。また、今後のバージョンの Windows ではサポートされません。 詳細については、「Windows Information Protectionの日の入りを発表する」を参照してください。

データ保護のニーズに合わせて、Microsoft Purview 情報保護Microsoft Purview データ損失防止を使用することをお勧めします。 Purview を使用すると、構成のセットアップが簡略化され、高度な機能セットが提供されます。

適用対象:

  • Windows 10
  • Windows 11

Microsoft Intuneには、Windows Information Protection (WIP) ポリシーを簡単に作成して展開する方法があります。 保護するアプリ、保護のレベル、ネットワーク上のエンタープライズ データの検索方法を選択できます。 デバイスは、Mobile デバイス管理 (MDM) によって完全に管理することも、モバイル アプリケーション管理 (MAM) によって管理することもできます。ここで、Intuneはユーザーの個人用デバイス上のアプリのみを管理します。

WIP の MDM と MAM の違い

MDM のデバイス登録を使用するか、MAM のデバイス登録なしで、Intuneでアプリ保護ポリシーを作成できます。 どちらのポリシーを作成するプロセスも似ていますが、重要な違いがあります。

  • MAM には、Windows Hello for Businessのアクセス設定が増えています。
  • MAM は、ユーザーの個人用デバイスから 会社のデータを選択的にワイプ できます。
  • MAM には、Microsoft Entra ID P1 または P2 ライセンスが必要です
  • WIP の自動回復には、P1 または P2 のMicrosoft Entra IDライセンスも必要です。デバイスは、再登録して保護されたデータへのアクセスを回復できます。 WIP 自動回復は、暗号化キーをバックアップするための登録Microsoft Entraによって異なります。これには、MDM を使用したデバイスの自動登録が必要です。
  • MAM では、デバイスごとに 1 人のユーザーのみがサポートされます。
  • MAM は、 対応するアプリのみを管理できます。
  • BitLocker CSP ポリシーを使用できるのは MDM のみです。
  • 同じユーザーとデバイスが MDM と MAM の両方を対象としている場合、MDM ポリシーは、Microsoft Entra IDに参加しているデバイスに適用されます。 職場に参加している個人用デバイスの場合 (つまり、[設定]> を使用して追加Email &アカウント>職場または学校アカウントを追加します)、MAM 専用ポリシーが推奨されますが、[設定] でデバイス管理を MDM にアップグレードできます。 Windows Home エディションでは、MAM 専用の WIP のみがサポートされています。Home エディションで MDM ポリシーにアップグレードすると、WIP で保護されたデータ アクセスが取り消されます。

前提条件

Intuneを使用して WIP ポリシーを作成する前に、Microsoft Entra IDで MDM または MAM プロバイダーを構成する必要があります。 MAM には、Microsoft Entra ID P1 または P2 ライセンスが必要です。 WIP の自動回復には、P1 または P2 のMicrosoft Entra IDライセンスも必要です。デバイスは、再登録して保護されたデータへのアクセスを回復できます。 WIP 自動回復は、MICROSOFT ENTRA登録に依存して暗号化キーをバックアップします。これには、MDM を使用したデバイスの自動登録が必要です。

MDM または MAM プロバイダーを構成する

  1. Azure portal にサインインします。

  2. [Microsoft Entra ID>Mobility (MDM と MAM)Microsoft Intune]>を選択します

  3. [ 既定の URL の復元] を 選択するか、MDM または MAM ユーザー スコープの設定を入力し、[保存] を選択 します

    MDM または MAM プロバイダーを構成します。

WIP ポリシーを作成する

  1. Microsoft Intune管理センターにサインインします。

  2. Microsoft Intuneを開き、[アプリ>アプリ保護ポリシー] [ポリシーの作成] の順に>選択します

    [クライアント アプリ] を開きます。

  3. [ アプリ ポリシー ] 画面で、[ ポリシーの追加] を選択し、フィールドに入力します。

    • [名前]: 新しいポリシーの名前を入力します (必須)。

    • [説明]: 説明を入力します (省略可能)。

    • [プラットフォーム]: [Windows 10] を選択します。

    • [登録の状態]: [MAM の 登録なし ] または [MDM の 登録あり] を選択します。

    モバイル アプリ ポリシーを追加します。

  4. [ 保護されたアプリ ] を選択し、[ アプリの追加] を選択します。

    保護されたアプリを追加します。

    次の種類のアプリを追加できます。

アプリケーションは、保護されたアプリの一覧から削除した後、アクセス拒否エラーを返す場合があります。 一覧から削除するのではなく、アプリケーションをアンインストールして再インストールするか、WIP ポリシーから除外します。

[ 推奨アプリ ] を選択し、エンタープライズ データにアクセスする各アプリを選択するか、すべて選択して [ OK] を選択します

Microsoft Intune 管理コンソール: 推奨されるアプリ。

ストア アプリを追加する

[ ストア アプリ] を選択し、アプリの製品名と発行元を入力して、[ OK] を選択します。 たとえば、ストアからPower BI Mobile アプリを追加するには、次のように入力します。

  • 名前: Microsoft Power BI
  • パブリッシャー: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • 製品名: Microsoft.MicrosoftPowerBIForWindows

ストア アプリを追加します。

複数のストア アプリを追加するには、省略記号 を選択します

ストア アプリの発行元または製品名がわからない場合は、次の手順に従って見つけることができます。

  1. ビジネス向け Microsoft Store の Web サイトに移動して、目的のアプリを探します。 たとえば、アプリPower BI Mobile

  2. アプリの URL から ID 値をコピーします。 たとえば、Power BI Mobileアプリ ID URL は https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1で、ID 値 9nblgggzlxn1をコピーします。

  3. ブラウザーで、ビジネス向けストア ポータルの Web API を実行して、発行元名と製品名の値を含む JavaScript Object Notation (JSON) ファイルを取得します。 たとえば、 を実行 https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdataすると、 が 9nblgggzlxn1 ID 値に置き換えられます。

    API が実行され、アプリの詳細がテキスト エディターに表示されます。

     {
 	"packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
 	"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
 }

  4. publisherCertificateNamepackageIdentityName の値をコピーして、Intune の [発行元] ボックスと [名前] ボックスにそれぞれ貼り付けます。

    重要

    JSON ファイルでは、[発行元名] ボックスと [製品名] ボックスの両方に対して 1 つの windowsPhoneLegacyId 値が返される場合もあります。 つまり、XAP パッケージを使用しているアプリがあり、製品名を としてwindowsPhoneLegacyId設定し、パブリッシャー名CN=を に続けて に設定するwindowsPhoneLegacyId必要があります。

    次に、例を示します。

    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

デスクトップ アプリを追加する

デスクトップ アプリを追加するには、返される結果に基づいて、次のフィールドに入力します。

フィールド 管理対象
としてマークされたすべてのフィールド * 発行元によって署名されているすべてのファイル。 (推奨されず、動作しない場合があります)
[発行元] のみ このフィールドにのみ入力すると、名前付き発行元によって署名されたすべてのファイルが取得されます。 このオプションは、会社が内部基幹業務アプリの発行元および署名者である場合に役立つ可能性があります。
[発行元] と [名前] のみ これらのフィールドのみを入力すると、指定した発行元によって署名された、指定した製品のすべてのファイルが取得されます。
[発行元]、[名前]、[ファイル] のみ これらのフィールドのみを入力すると、指定した発行元によって署名された、指定した製品の名前付きファイルまたはパッケージの任意のバージョンが取得されます。
[発行元]、[名前]、[ファイル]、[最小バージョン] のみ これらのフィールドにのみ入力すると、指定した発行元によって署名された、指定した製品の名前付きファイルまたはパッケージの指定されたバージョンまたは新しいリリースが取得されます。 以前は対応していなかった対応アプリにはこのオプションを使うことをお勧めします。
[発行元]、[名前]、[ファイル]、[最大バージョン] のみ これらのフィールドにのみ入力すると、指定した発行元によって署名された、指定した製品の名前付きファイルまたはパッケージの指定されたバージョンまたは古いリリースが取得されます。
すべてのフィールドに入力 すべてのフィールドに入力すると、指定した発行元によって署名された、指定した製品の指定されたバージョンの名前付きファイルまたはパッケージが取得されます。

別のデスクトップ アプリを追加するには、省略記号 を選択します 。 フィールドに情報を入力したら、[ OK] を選択します

Microsoft Intune 管理コンソール: デスクトップ アプリ情報の追加。

パブリッシャーに含める内容がわからない場合は、次の PowerShell コマンドを実行できます。

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

ここで、"<path_of_the_exe>" はデバイス上のアプリの場所を示します。 次に、例を示します。

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

この例では、次の情報が得られます。

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

パブリッシャー名で、WORDPAD.EXEファイル名は ですO=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

追加するアプリの製品名を取得する方法については、Windows サポート チームに問い合わせてガイドラインを要求してください

アプリの一覧をインポートする

このセクションでは、AppLocker XML ファイルを 保護されたアプリ の一覧に使用する 2 つの例について説明します。 複数のアプリを同時に追加する場合は、このオプションを使用します。

AppLocker について詳しくは、「AppLocker」をご覧ください。

ストア アプリのパッケージ アプリルールを作成する

  1. ローカル セキュリティ ポリシー スナップイン (SecPol.msc) を開きます。

  2. [ アプリケーション制御ポリシー] を展開し、[ AppLocker] を展開し、[ パッケージ アプリ規則] を選択します。

    パッケージ 化されたアプリの規則を示すローカル セキュリティ スナップイン。

  3. 右側で右クリックし、[ 新しいルールの作成] を選択します。

    [Create Packaged app Rules] ウィザードが表示されます。

  4. [ 開始する前 に] ページで、[ 次へ] を選択します。

    [作業を開始する前に] タブのスクリーンショット。

  5. [ アクセス許可 ] ページで、[ アクション ] が [許可] に設定され、[ ユーザーまたはグループ ] が [ すべてのユーザー] に設定されていることを確認し、[ 次へ] を選択します。

    [許可] と [すべてのユーザー] が選択されている [アクセス許可] タブのスクリーンショット

  6. [パブリッシャー] ページで、[インストールされているパッケージ アプリを参照として使用する] 領域から [選択] を選択します。

    [インストールされているパッケージ アプリを参照として使用する] オプション ボタンが選択され、[選択] ボタンが強調表示されているスクリーンショット

  7. [ アプリケーションの選択 ] ボックスで、ルールの参照として使用するアプリを選択し、[ OK] を選択します。 この例では、Microsoft Dynamics 365を使用しています。

    [アプリケーションの選択] リストのスクリーンショット。

  8. 更新された パブリッシャー ページで、[ 作成] を選択します。

    [パブリッシャー] タブのスクリーンショット。

  9. 表示されるダイアログ ボックスで [ いいえ ] を選択し、既定のルールを作成するかどうかを確認します。 WIP ポリシーの既定のルールを作成しないでください。

    AppLocker 警告のスクリーンショット。

  10. ローカル セキュリティ ポリシー スナップインを確認し、規則が正しいことを確かめます。

    新しいルールを示すローカル セキュリティ スナップイン。

  11. 左側の AppLocker を右クリックし、[ ポリシーのエクスポート] を選択します。

    [ポリシーのエクスポート] ボックスが表示され、新しいポリシーを XML としてエクスポートおよび保存できます。

    [ポリシーのエクスポート] オプションが表示されているローカル セキュリティ スナップイン。

  12. [ ポリシーのエクスポート ] ボックスで、ポリシーを保存する場所を参照し、ポリシーに名前を付けて、[保存] を選択 します

    ポリシーが保存され、ポリシーから 1 つのルールがエクスポートされたことを示すメッセージが表示されます。

    XML ファイルの例
    これは、AppLocker で Microsoft Dynamics 365 用に作成された XML ファイルです。

    <?xml version="1.0"?>
<AppLockerPolicy Version="1">
    <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
        <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
            <Conditions>
                <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                    <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                </FilePublisherCondition>
            </Conditions>
        </FilePublisherRule>
    </RuleCollection>
    <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
</AppLockerPolicy>

  13. XML ファイルを作成したら、Microsoft Intuneを使用してインポートする必要があります。

署名されていないアプリの実行可能ルールを作成する

実行可能ルールは、署名されていないアプリに署名する AppLocker 規則を作成するのに役立ちます。 これにより、WIP ポリシーを適用するために必要なファイルのデジタル署名に含まれるファイル パスまたはアプリ発行元を追加できます。

  1. ローカル セキュリティ ポリシー スナップイン (SecPol.msc) を開きます。

  2. 左側のウィンドウで、[ アプリケーション制御ポリシー>] AppLocker>実行可能ルールを選択します。

  3. [実行可能ルール]を右クリックし、[>新しいルールの作成] をクリックします。

    実行可能ルールを示すローカル セキュリティ スナップイン。

  4. [ 開始する前 に] ページで、[ 次へ] を選択します。

  5. [ アクセス許可 ] ページで、[ アクション ] が [許可] に設定され、[ ユーザーまたはグループ ] が [ すべてのユーザー] に設定されていることを確認し、[ 次へ] を選択します。

  6. [ 条件 ] ページで、[ パス ] を選択し、[ 次へ] を選択します。

    実行可能ルールの作成ウィザードで [パス条件] が選択されているスクリーンショット。

  7. [ フォルダーの参照]を 選択し、署名されていないアプリのパスを選択します。 この例では、"C:\Program Files" を使用しています。

    実行可能ルールの作成ウィザードの [パス] フィールドのスクリーンショット。

  8. [ 例外 ] ページで、例外を追加し、[ 次へ] を選択します。

  9. [ 名前 ] ページで、ルールの名前と説明を入力し、[ 作成] を選択します。

  10. 左側のウィンドウで、[ AppLocker>エクスポート ポリシー] を右クリックします。

  11. [ ポリシーのエクスポート ] ボックスで、ポリシーを保存する場所を参照し、ポリシーに名前を付けて、[保存] を選択 します

    ポリシーが保存され、ポリシーから 1 つのルールがエクスポートされたことを示すメッセージが表示されます。

  12. XML ファイルを作成したら、Microsoft Intuneを使用してインポートする必要があります。

Microsoft Intuneを使用して保護されたアプリの一覧をインポートするには

  1. [ 保護されたアプリ] で、[ アプリのインポート] を選択します。

    保護されたアプリをインポートします。

    次に、ファイルをインポートします。

    Microsoft Intune、Intuneを使用して AppLocker ポリシー ファイルをインポートします。

  2. エクスポートした AppLocker ポリシー ファイルを参照し、[ 開く] を選択します。

    ファイルがインポートされ、アプリが 保護されたアプリ の一覧に追加されます。

WIP ポリシーからアプリを除外する

アプリが WIP と互換性がないが、エンタープライズ データで引き続き使用する必要がある場合は、WIP の制限からアプリを除外できます。 つまり、アプリでは自動暗号化やタグ付けが行われなくなり、ネットワークの制限が尊重されなくなります。 また、除外したアプリでデータ漏洩が発生する可能性があることも意味します。

  1. [クライアント アプリ - アプリ保護 ポリシー] で、[アプリの除外] を選択します。

    アプリを除外します。

  2. [ アプリの除外] で、[ アプリの追加] を選択します。

    アプリを除外すると、WIP 制限をバイパスし、会社のデータにアクセスできるようになります。

  3. 追加するアプリの種類に基づいて、残りのアプリ情報を入力します。

  4. [OK] を選択します。

エンタープライズ データの WIP 保護モードの管理

WIP で保護するアプリを追加したら、管理および保護モードを適用する必要があります。

まずは、[サイレント] または [上書きの許可] で始め、保護されたアプリの一覧に適切なアプリを含めていることを小規模なグループで検証することをお勧めします。 完了したら、最終的な適用ポリシー [ ブロック] に変更できます。

  1. [アプリ保護 ポリシー] で、ポリシーの名前を選択し、[必須設定] を選択します。

    Microsoft Intune、[必須] 設定に Windows Information Protection モードが表示されます。

    モード 説明
    ブロック WIP が、不適切なデータ共有を探し、従業員の操作の完了を停止します。 不適切な操作には、エンタープライズで保護されていないアプリ間での情報の共有のほか、エンタープライズ データを社外の人やデバイスと共有する操作が含まれます。
    上書きの許可 WIP によって不適切なデータ共有が検出され、危険と見なされる操作を従業員が実行しようとすると警告が表示されます。 ただし、この管理モードでは、従業員はポリシーを上書きしてデータを共有でき、従業員が行った操作が監査ログに記録されます。 監査ログ ファイルの収集方法について詳しくは、「Windows 情報保護 (WIP) 監査イベント ログの収集方法」をご覧ください。
    Silent WIP は、無効なデータ共有をログに記録し、上書きを許可モードの間に従業員の操作を求められる内容をブロックすることなく、サイレントで実行されます。 ネットワーク リソースや WIP で保護されたデータにアプリから不適切にアクセスしようとした場合など、許可されていない操作は引き続き禁止されます。
    オフ WIP がオフになり、データの保護や監査は行われません。

    WIP を無効にすると、ローカルで接続されたドライブ上にある WIP タグの付いたファイルに対して暗号化の解除が試みられます。 WIP 保護を再び有効にしても、以前の復号化とポリシーの情報は自動的には再適用されません。 詳細については、「Windows Information Protectionを無効にする方法」を参照してください。

  2. [保存] を選びます。

企業で管理する企業 ID の定義

通常、プライマリ インターネット ドメイン (contoso.com など) として表される企業 ID は、WIP によって保護済みとしてマークされたアプリから企業データを識別してタグ付けするのに役立ちます。 たとえば、contoso.com を使用する電子メールは、企業データとして識別され、Windows 情報保護ポリシーにより制限されます。

Windows 10 Version 1703 以降では、Intune によって自動的に会社の ID が特定され、[会社の ID] フィールドに追加されます。

会社の ID を変更するには

  1. [アプリ ポリシー] で、ポリシーの名前を選択し、[必須設定] を選択します。

  2. 自動定義 ID が正しくない場合は、[ 企業 ID ] フィールドの情報を変更できます。

    Microsoft Intune、organizationの会社 ID を設定します。

  3. メール ドメイン名などのドメインを追加するには、[詳細設定>の構成] [ネットワーク境界の追加] の順に選択し、[保護されたドメイン] を選択します。

    保護されたドメインを追加します。

アプリがエンタープライズ データにアクセスできる場所の選択

アプリに保護モードを追加したら、それらのアプリがネットワーク上でエンタープライズ データにアクセスできる場所を決める必要があります。 すべての WIP ポリシーには、エンタープライズ ネットワークの場所が含まれている必要があります。

WIP には既定の場所が含まれていないため、それぞれのネットワークの場所を追加することが必要です。 この領域は、企業の範囲内の IP アドレスを取得し、SMB 共有を含むいずれかのエンタープライズ ドメインにもバインドされているネットワーク エンドポイント デバイスに適用されます。 ローカル ファイル システムの場所では暗号化を維持する必要があります (ローカルの NTFS、FAT、ExFAT など)。

ネットワーク境界を定義するには、[アプリ ポリシー] ポリシー>の [詳細設定]> [ネットワーク境界の追加] の名前を>選択します。

Microsoft Intune、アプリがネットワーク上のエンタープライズ データにアクセスできる場所を設定します。

[境界の種類] ボックスで、追加するネットワーク境界の種類を選択します。 [ 名前 ] ボックスに境界の名前を入力し、次のサブセクションで説明されているオプションに基づいて値を [値 ] ボックスに追加し、[OK] を選択します

クラウド リソース

WIP により企業データとして扱われて保護されるクラウド リソースを指定します。 クラウド リソースごとに、必要に応じて、そのクラウド リソースのトラフィックをルーティングするプロキシ サーバーをエンタープライズ内部プロキシ サーバーの一覧から指定することもできます。 内部プロキシ サーバー経由でルーティングされるすべてのトラフィックは、エンタープライズと見なされます。

"|" 区切り記号で複数のリソースを区切ります。 次に、例を示します。

URL <,proxy>|URL <,proxy>

個人用アプリケーションは、空白または無効な文字 (URL の末尾のドットなど) を持つクラウド リソースにアクセスできます。

クラウド リソースのサブドメインを追加するには、アスタリスク (*) の代わりにピリオド (.) を使用します。 たとえば、Office.com 内にすべてのサブドメインを追加するには、".office.com" (引用符なし) を使用します。

アプリが IP アドレスを介してクラウド リソースに直接接続する場合など、場合によっては、エンタープライズ クラウド リソースに接続しようとしているか、個人用サイトに接続しようとしているのかを Windows が判断できません。 このような場合、Windows では、既定で接続をブロックします。 Windows がこれらの接続を自動的にブロックするのを中止するには、設定に /*AppCompat*/ という文字列を追加します。 次に、例を示します。

URL <,proxy>|URL <,proxy>|/*AppCompat*/

この文字列を使用する場合は、条件付きアクセスによって保護されているエンタープライズ クラウド リソースへのアプリのアクセスをブロックする [ドメインに参加または準拠としてマークされている] オプションを使用して、条件付きアクセスのMicrosoft Entraも有効にすることをお勧めします。

プロキシを使用した値の形式:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

プロキシを使用しない値の形式:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

保護されたドメイン

環境内の ID に使用するドメインを指定します。 この一覧に表示される完全修飾ドメインへのすべてのトラフィックが保護されます。 "|" 区切り記号で複数のドメインを区切ります。

exchange.contoso.com|contoso.com|region.contoso.com

ネットワーク ドメイン

環境で使用される DNS サフィックスを指定します。 この一覧に表示される完全修飾ドメインへのすべてのトラフィックが保護されます。 複数のリソースを "," 区切り記号で区切ります。

corp.contoso.com,region.contoso.com

プロキシ サーバー

クラウド リソースにアクセスするためにデバイスが通過するプロキシ サーバーを指定します。 このサーバーの種類を使用すると、接続先のクラウド リソースがエンタープライズ リソースであることを示します。

この一覧には、内部プロキシ サーバーの一覧に一覧表示されているサーバーを含めてはいけません。 プロキシ サーバーは、WIP で保護されていない (非エンタープライズ) トラフィックにのみ使用します。 ";" 区切り記号で複数のリソースを区切ります。

proxy.contoso.com:80;proxy2.contoso.com:443

内部プロキシ サーバー

クラウド リソースにアクセスするためにデバイスが経由する内部プロキシ サーバーを指定します。 このサーバーの種類を使用すると、接続先のクラウド リソースがエンタープライズ リソースであることを示します。

この一覧には、プロキシ サーバーの一覧に一覧表示されているサーバーを含めてはいけません。 内部プロキシ サーバーは、WIP で保護された (エンタープライズ) トラフィックにのみ使用します。 ";" 区切り記号で複数のリソースを区切ります。

contoso.internalproxy1.com;contoso.internalproxy2.com

IPv4 範囲

イントラネット内の有効な IPv4 値の範囲のアドレスを指定します。 これらのアドレスは、ネットワーク ドメイン名と共に使用され、企業ネットワークの境界を定義します。 クラスレス Inter-Domain ルーティング (CIDR) 表記はサポートされていません。

"," 区切り記号で複数の範囲を区切る。

開始 IPv4 アドレス: 3.4.0.1
終了 IPv4 アドレス: 3.4.255.254
カスタム URI: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

IPv6 範囲

Windows 10 バージョン 1703 以降では、このフィールドは省略可能です。

イントラネット内の有効な IPv6 値の範囲のアドレスを指定します。 これらのアドレスは、ネットワーク ドメイン名と共に使用され、会社のネットワーク境界を定義します。 クラスレス Inter-Domain ルーティング (CIDR) 表記はサポートされていません。

"," 区切り記号で複数の範囲を区切る。

IPv6 アドレスの開始:2a01:110::
終了 IPv6 アドレス:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
カスタム URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

ニュートラル リソース

会社の認証リダイレクト エンドポイントを指定します。 これらの場所は、リダイレクト前の接続状況に応じて企業用または個人用と見なされます。 複数のリソースを "," 区切り記号で区切ります。

sts.contoso.com,sts.contoso2.com

Windows で他のネットワーク設定を検索するかどうかを決定します。

  • エンタープライズ プロキシ サーバー リストが優先されます (自動検出しません)。 ネットワーク境界定義で指定したプロキシ サーバーを、ネットワークで使用可能なプロキシ サーバーの完全な一覧として Windows で処理する場合は、オンにします。 これをオフにすると、Windows は即時ネットワーク内のより多くのプロキシ サーバーを検索します。

  • エンタープライズ IP の範囲リストが優先されます (自動検出しません)。 ネットワーク境界定義で指定した IP 範囲を、ネットワークで使用可能な IP 範囲の完全な一覧として扱う場合は、有効にします。 これをオフにすると、ネットワークに接続されているドメイン参加済みデバイスで、さらに多くの IP 範囲が検索されます。

Microsoft Intune、Windows でエンタープライズ内の他のプロキシ サーバーまたは IP 範囲を検索するかどうかを選択します。

データ回復エージェント (DRA) 証明書のアップロード

WIP ポリシーを作成して従業員に展開すると、Windows は従業員のローカル デバイス ドライブ上の企業データの暗号化を開始します。 何らかの方法で従業員のローカル暗号化キーが失われたり取り消されたりすると、暗号化されたデータが回復不能になる可能性があります。 このような事態を防ぐために、データ回復エージェント (DRA) 証明書を使うと、データの暗号化を解除できる秘密キーを保持しながら、証明書に含まれる公開キーを使用して Windows でローカル データを暗号化できます。

重要

DRA 証明書の使用は必須ではありません。 ただし、使用することを強くお勧めします。 データ回復証明書を検索してエクスポートする方法の詳細については、「 Data Recovery and Encrypting File System (EFS)」を参照してください。 EFS DRA 証明書の作成と検証の詳細については、「 暗号化ファイル システム (EFS) Data Recovery Agent (DRA) 証明書の作成と検証」を参照してください。

DRA 証明書をアップロードするには

  1. [アプリ ポリシー] で、ポリシーの名前を選択し、表示されるメニューから [詳細設定] を選択します。

    詳細設定 が表示されます。

  2. [ 暗号化されたデータの回復を許可するデータ復旧エージェント (DRA) 証明書をアップロードする] ボックスで 、[ 参照 ] を選択して、ポリシーのデータ回復証明書を追加します。

    Microsoft Intune、Data Recovery Agent (DRA) 証明書をアップロードします。

保護されたアプリがネットワーク上のエンタープライズ データにアクセスできる場所を決定したら、オプションの設定を選択できます。

高度なオプション設定。

登録解除時に暗号化キーを取り消す。 Windows Information Protectionから登録を解除するときに、ユーザーのローカル暗号化キーをデバイスから取り消すかどうかを決定します。 暗号化キーが取り消された場合、ユーザーは暗号化された企業データにアクセスできなくなります。 オプションは次のとおりです。

  • オンまたは未構成 (推奨): 登録解除時に、デバイスからローカルの暗号化キーを取り消します。

  • オフ: 登録解除時に、ローカルの暗号化キーがデバイスから取り消されるのを停止します。 たとえば、Mobile デバイス管理 (MDM) ソリューション間で移行する場合などです。

[エンタープライズ データ保護アイコンを表示します]: [名前を付けて保存] やエクスプローラーのビューで、企業ファイルに Windows 情報保護アイコン オーバーレイを表示するかどうかを決定します。 オプションは次のとおりです。

  • オン: [名前を付けて保存] やエクスプローラーのビューで、企業ファイルに Windows 情報保護アイコン オーバーレイが表示されるようにします。 また、未適用でも保護されていないアプリの場合、アイコン オーバーレイはアプリ タイルにも表示され、[ スタート ] メニューのアプリ名に [マネージド テキスト] が表示されます。

  • オフまたは未構成 (推奨): Windows Information Protection アイコン オーバーレイが会社のファイルに表示されないようにしたり、未インストールで保護されているアプリに表示されないようにします。 既定のオプションは [未構成] です。

[Azure RMS を WIP のために使います]: WIP で Microsoft Azure Rights Management を使用して、従業員と安全に共有できるように、Windows 10から USB またはその他のリムーバブル ドライブにコピーされたファイルに EFS 暗号化を適用するかどうかを決定します。 つまり、WIP では、Azure Rights Management の "機械" を使用して、リムーバブル ドライブにコピーされるときに EFS 暗号化をファイルに適用します。 Azure Rights Management が既に設定されている必要があります。 EFS ファイル暗号化キーは、RMS テンプレートのライセンスによって保護されます。 そのテンプレートへのアクセス許可を持つユーザーのみが、リムーバブル ドライブから読み取ることができます。 WIP は、EnterpriseDataProtection CSPAllowAzureRMSForEDPRMSTemplateIDForEDP MDM 設定を使用して、Azure RMS と統合することもできます。

  • [有効]。 リムーバブル ドライブにコピーされたファイルを保護します。 TemplateID GUID を入力して、Azure Rights Management で保護されたファイルにアクセスできるユーザーと、その期間を指定できます。 RMS テンプレートはリムーバブル メディア上のファイルにのみ適用され、アクセス制御にのみ使用されます。実際には Azure Information Protectionがファイルに適用されることはありません。

    RMS テンプレートを指定しない場合、すべてのユーザーがアクセスできる既定の RMS テンプレートを使用した通常の EFS ファイルです。

  • オフまたは未構成: リムーバブル ドライブにコピーされた Azure Rights Management ファイルの暗号化から WIP を停止します。

    この設定に関係なく、移動された既知のフォルダーを含め、OneDrive for Business内のすべてのファイルが暗号化されます。

Windows Search インデクサーが暗号化されたファイルを検索できるようにします。 WINDOWS Search インデクサーが、WIP で保護されたファイルなど、暗号化されたアイテムにインデックスを付けることができるようにするかどうかを指定します。

  • [有効]。 Windows Search インデクサーを起動して、暗号化されたファイルのインデックスを作成します。

  • オフまたは未構成: Windows Search インデクサーによる暗号化されたファイルのインデックス作成を停止します。

暗号化されたファイル拡張子

WIP によって保護されるファイルは、エンタープライズ ネットワークの場所内の SMB 共有からダウンロードするときに制限できます。 この設定が構成されている場合、リスト内の拡張子を持つファイルのみが暗号化されます。 この設定を指定しない場合、既存の自動暗号化動作が適用されます。

WIP で暗号化されたファイル拡張子。