フィードバック

Microsoft Intuneで Windows Information Protection ポリシーを作成する

  • [アーティクル]

注意

2022 年 7 月以降、Microsoft は Windows Information Protection (WIP) を非推奨とします。 Microsoft は引き続き、サポートされているバージョンの Windows で WIP をサポートします。 新しいバージョンの Windows には WIP の新機能は含まれず、今後のバージョンの Windows ではサポートされません。 詳細については、「Windows Information Protectionの日の入りを発表する」を参照してください。

データ保護のニーズに合わせて、Microsoft Purview 情報保護Microsoft Purview データ損失防止を使用することをお勧めします。 Purview では、構成のセットアップが簡略化され、高度な機能セットが提供されます。

適用対象:

  • Windows 10
  • Windows 11

Microsoft Intuneには、Windows Information Protection (WIP) ポリシーを簡単に作成して展開する方法があります。 保護するアプリ、保護のレベル、ネットワーク上のエンタープライズ データの検索方法を選択できます。 デバイスは、モバイル デバイス管理 (MDM) によって完全に管理することも、モバイル アプリケーション管理 (MAM) によって管理することもできます。ここで、Intuneはユーザーの個人用デバイス上のアプリのみを管理します。

WIP の MDM と MAM の違い

MDM のデバイス登録を使用するか、MAM のデバイス登録なしでIntuneでアプリ保護ポリシーを作成できます。 どちらのポリシーを作成するプロセスも似ていますが、重要な違いがあります。

  • MAM には、Windows Hello for Businessのより多くのアクセス設定があります。
  • MAM では、ユーザーの個人用デバイスから 会社のデータを選択的にワイプ できます。
  • MAM には 、Azure Active Directory (Azure AD) Premium ライセンスが必要です。
  • デバイスが保護されたデータに再登録して再びアクセスできる WIP 自動復旧には、Azure AD Premium ライセンスも必要です。 WIP 自動回復は、暗号化キーをバックアップするために Azure AD 登録に依存します。これには、MDM を使用したデバイスの自動登録が必要です。
  • MAM では、デバイスごとに 1 人のユーザーのみがサポートされます。
  • MAM では、 対応しているアプリのみを管理できます。
  • BitLocker CSP ポリシーを使用できるのは MDM のみです。
  • 同じユーザーとデバイスが MDM と MAM の両方を対象とする場合、MDM ポリシーは Azure AD に参加しているデバイスに適用されます。 職場に参加している個人のデバイス (つまり、設定 > Email & アカウントを使用して追加される職場****または学校のアカウント > を追加) の場合、MAM のみのポリシーが優先されますが、[設定] でデバイス管理を MDM にアップグレードできます。 Windows Home エディションでは、MAM 専用の WIP のみがサポートされます。Home Edition の MDM ポリシーにアップグレードすると、WIP で保護されたデータ アクセスが取り消されます。

前提条件

Intuneを使用して WIP ポリシーを作成する前に、Azure Active Directory (Azure AD) で MDM または MAM プロバイダーを構成する必要があります。 MAM には 、Azure Active Directory (Azure AD) Premium ライセンスが必要です。 デバイスが保護されたデータに再登録して再びアクセスできる WIP 自動復旧には、Azure AD Premium ライセンスも必要です。 WIP 自動復旧は、暗号化キーをバックアップするために Azure AD 登録に依存します。これには、MDM を使用したデバイスの自動登録が必要です。

MDM または MAM プロバイダーを構成する

  1. Azure portal にサインインします。

  2. Azure Active Directory > Mobility (MDM と MAM) > Microsoft Intuneを選択します。

  3. [既定の URL の復元] を選択するか、MDM または MAM ユーザー スコープの設定を入力し、[保存] を選択します

    MDM または MAM プロバイダーを構成します。

WIP ポリシーを作成する

  1. Microsoft エンドポイント マネージャーにサインインします。

  2. Microsoft Intuneを開き、[アプリ > アプリ保護 ポリシーの > 作成ポリシー] を選択します。

    クライアント アプリを開きます。

  3. [アプリ ポリシー] 画面で、[ポリシーの追加] を選択し、フィールドに入力します。

    • **[名前]: ** 新しいポリシーの名前を入力します (必須)。

    • **[説明]: ** 説明を入力します (省略可能)。

    • [プラットフォーム]: ** Windows 10を選択します**。

    • **[登録の状態]: ** [MAM の 登録なし] または [MDM の 登録あり] を選択します。

    モバイル アプリ ポリシーを追加します。

  4. [ 保護されたアプリ ] を選択し、[ アプリの追加] を選択します。

    保護されたアプリを追加します。

    次の種類のアプリを追加できます。

注意

アプリケーションは、保護されたアプリの一覧から削除した後、アクセス拒否エラーを返す可能性があります。 一覧から削除するのではなく、アプリケーションをアンインストールして再インストールするか、WIP ポリシーから除外します。

推奨されるアプリを追加する

[推奨されるアプリ] を選択し、エンタープライズ データにアクセスする各アプリを選択するか、すべて選択して、[OK] を選択します

Microsoft Intune管理コンソール: 推奨されるアプリ。

ストア アプリを追加する

[ ストア アプリ] を選択し、アプリの製品名と発行元を入力して、[OK] を選択 します。 たとえば、ストアから Power BI Mobile アプリを追加するには、次のように入力します。

  • 名前: Microsoft Power BI
  • パブリッシャー: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • 製品名: Microsoft.MicrosoftPowerBIForWindows

ストア アプリを追加します。

複数のストア アプリを追加するには、省略記号を選択します

ストア アプリの発行元または製品名がわからない場合は、次の手順に従って見つけることができます。

  1. ビジネス向け Microsoft Store の Web サイトに移動して、目的のアプリを探します。 たとえば、アプリPower BI Mobile

  2. アプリの URL から ID 値をコピーします。 たとえば、Power BI Mobileアプリ ID URL は https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1、ID 値9nblgggzlxn1をコピーします。

  3. ブラウザーで、ビジネス向けストア ポータルの Web API を実行して、発行元名と製品名の値を含む JavaScript Object Notation (JSON) ファイルを取得します。 たとえば、ID 値に置き換えられる場所9nblgggzlxn1を実行https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdataします。

    API が実行され、アプリの詳細がテキスト エディターに表示されます。

    {
    "packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
    "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
}

  4. publisherCertificateNamepackageIdentityName の値をコピーして、Intune の [発行元] ボックスと [名前] ボックスにそれぞれ貼り付けます。

    重要

    JSON ファイルでは、[発行元名] ボックスと [製品名] ボックスの両方に対して 1 つの windowsPhoneLegacyId 値が返される場合もあります。 つまり、XAP パッケージを使用しているアプリがあり、 製品名 を次のように windowsPhoneLegacyId設定し、 パブリッシャー名 を次のように CN= 設定する windowsPhoneLegacyId必要があります。

    次に、例を示します。

    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

デスクトップ アプリを追加する

デスクトップ アプリを追加するには、返される結果に基づいて、次のフィールドに入力します。

フィールド 管理対象
としてマークされたすべてのフィールド * 発行元によって署名されているすべてのファイル。 (推奨されず、動作しない場合があります)
[発行元] のみ このフィールドにのみ入力すると、名前付き発行元によって署名されたすべてのファイルが取得されます。 このオプションは、会社が内部基幹業務アプリの発行元および署名者である場合に役立つ可能性があります。
[発行元] と [名前] のみ これらのフィールドにのみ入力すると、指定した製品のすべてのファイルが取得され、名前付き発行元によって署名されます。
[発行元]、[名前]、[ファイル] のみ これらのフィールドにのみ入力すると、指定した製品の名前付きファイルまたはパッケージの任意のバージョンが取得され、名前付き発行元によって署名されます。
[発行元]、[名前]、[ファイル]、[最小バージョン] のみ これらのフィールドにのみ入力すると、指定された発行元によって署名された、指定された製品の名前付きファイルまたはパッケージの指定されたバージョン以降のリリースが取得されます。 以前は対応していなかった対応アプリにはこのオプションを使うことをお勧めします。
[発行元]、[名前]、[ファイル]、[最大バージョン] のみ これらのフィールドにのみ入力すると、指定された発行元によって署名された、指定された製品の指定されたバージョンまたは以前のリリースの名前付きファイルまたはパッケージが取得されます。
すべてのフィールドに入力 すべてのフィールドに入力すると、指定した製品の名前付きファイルまたはパッケージの指定されたバージョンが取得され、名前付き発行元によって署名されます。

別のデスクトップ アプリを追加するには、省略記号を選択します 。 フィールドに情報を入力したら、[OK] を選択 します

Microsoft Intune管理コンソール: デスクトップ アプリ情報の追加。

発行元に含める内容がわからない場合は、次の PowerShell コマンドを実行できます。

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

ここで、"<path_of_the_exe>" はデバイス上のアプリの場所を示します。 次に、例を示します。

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

この例では、次の情報が得られます。

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

発行元名とWORDPAD.EXEファイル名はここでO=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US指定します。

追加するアプリの製品名を取得する方法については、Windows サポート チームに問い合わせ、ガイドラインを要求してください

アプリの一覧をインポートする

このセクションでは、 保護されたアプリ の一覧に AppLocker XML ファイルを使用する 2 つの例について説明します。 複数のアプリを同時に追加する場合は、このオプションを使用します。

AppLocker について詳しくは、「AppLocker」をご覧ください。

ストア アプリ用のパッケージ アプリ ルールを作成する

  1. ローカル セキュリティ ポリシー スナップイン (SecPol.msc) を開きます。

  2. [アプリケーション制御ポリシー] を展開し、[AppLocker] を展開して、[パッケージ 化されたアプリ規則] を選択します。

    パッケージ 化されたアプリの規則を示すローカル セキュリティ スナップイン。

  3. 右側を右クリックし、[ 新しいルールの作成] を選択します。

    [Create Packaged app Rules] ウィザードが表示されます。

  4. [ 開始する前に] ページで、[ 次へ] を選択します。

    [開始する前に] タブのスクリーンショット。

  5. [ アクセス許可] ページで、[ アクション ] が [許可] に設定され、[ ユーザーまたはグループ ] が [すべてのユーザー] に設定されていることを確認し、[ 次へ] を選択します。

    [許可] タブと [全員] が選択されている [アクセス許可] タブのスクリーンショット

  6. [パブリッシャー] ページで、[インストール済みのパッケージ アプリを参照領域として使用する**] から [選択] を選択**します。

    [インストールされたパッケージ アプリを参照として使用する] ラジオ ボタンが選択され、[選択] ボタンが強調表示されているスクリーンショット

  7. [ アプリケーションの選択 ] ボックスで、ルールの参照として使用するアプリを選択し、[OK] を選択 します。 この例では、Microsoft Dynamics 365 を使用しています。

    [アプリケーションの選択] の一覧のスクリーンショット。

  8. 更新された [パブリッシャー] ページで、[ 作成] を選択します。

    [パブリッシャー] タブのスクリーンショット。

  9. 表示されるダイアログ ボックスで [いいえ ] を選択し、既定のルールを作成するかどうかを確認します。 WIP ポリシーの既定のルールを作成しないでください。

    AppLocker 警告のスクリーンショット。

  10. ローカル セキュリティ ポリシー スナップインを確認し、規則が正しいことを確かめます。

    新しい規則を示すローカル セキュリティ スナップイン。

  11. 左側で AppLocker を右クリックし、[ ポリシーのエクスポート] を選択します。

    [ポリシーのエクスポート] ボックスが表示され、新しいポリシーを XML としてエクスポートおよび保存できます。

    [ポリシーのエクスポート] オプションを示すローカル セキュリティ スナップイン。

  12. [ ポリシーのエクスポート ] ボックスで、ポリシーを保存する場所を参照し、ポリシーに名前を付けて、[ 保存] を選択します。

    ポリシーが保存され、ポリシーから 1 つのルールがエクスポートされたことを示すメッセージが表示されます。

    XML ファイルの例
    これは、AppLocker で Microsoft Dynamics 365 用に作成された XML ファイルです。

    <?xml version="1.0"?>
<AppLockerPolicy Version="1">
    <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
        <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
            <Conditions>
                <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                    <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                </FilePublisherCondition>
            </Conditions>
        </FilePublisherRule>
    </RuleCollection>
    <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
</AppLockerPolicy>

  13. XML ファイルを作成したら、Microsoft Intuneを使用してインポートする必要があります。

署名されていないアプリの実行可能規則を作成する

実行可能規則は、署名されていないアプリに署名する AppLocker 規則を作成するのに役立ちます。 これにより、WIP ポリシーを適用するために必要なファイルのデジタル署名に含まれるファイル パスまたはアプリ発行元を追加できます。

  1. ローカル セキュリティ ポリシー スナップイン (SecPol.msc) を開きます。

  2. 左側のウィンドウで、[アプリケーション制御ポリシー > ]AppLocker > 実行可能規則を選択します。

  3. [実行可能ルール > の作成] を右クリックして新しいルールを作成します

    実行可能規則を示すローカル セキュリティ スナップイン。

  4. [ 開始する前に] ページで、[ 次へ] を選択します。

  5. [ アクセス許可] ページで、[ アクション ] が [許可] に設定され、[ ユーザーまたはグループ ] が [すべてのユーザー] に設定されていることを確認し、[ 次へ] を選択します。

  6. [条件] ページ [ パス ]、[ 次へ] の順に選択します。

    実行可能規則の作成ウィザードでパス条件が選択されているスクリーンショット。

  7. [ フォルダーの参照]... を選択し、署名されていないアプリのパスを選択します。 この例では、"C:\Program Files" を使用しています。

    実行可能規則の作成ウィザードの [パス] フィールドのスクリーンショット。

  8. [ 例外] ページで、例外を追加し、[ 次へ] を選択します。

  9. [ 名前] ページで、ルールの名前と説明を入力し、[ 作成] を選択します。

  10. 左側のウィンドウで、 AppLocker > エクスポート ポリシーを右クリックします。

  11. [ ポリシーのエクスポート ] ボックスで、ポリシーを保存する場所を参照し、ポリシーに名前を付けて、[ 保存] を選択します。

    ポリシーが保存され、ポリシーから 1 つのルールがエクスポートされたことを示すメッセージが表示されます。

  12. XML ファイルを作成したら、Microsoft Intuneを使用してインポートする必要があります。

Microsoft Intuneを使用して保護されたアプリの一覧をインポートするには

  1. [保護されたアプリ] で、[アプリのインポート] を選択します。

    保護されたアプリをインポートします。

    次に、ファイルをインポートします。

    Microsoft Intune、Intuneを使用して AppLocker ポリシー ファイルをインポートします。

  2. エクスポートした AppLocker ポリシー ファイルを参照し、[ 開く] を選択します。

    ファイルがインポートされ、アプリが 保護されたアプリ の一覧に追加されます。

WIP ポリシーからアプリを除外する

アプリが WIP と互換性がなく、エンタープライズ データで引き続き使用する必要がある場合は、WIP 制限からアプリを除外できます。 つまり、アプリでは自動暗号化やタグ付けが行われなくなり、ネットワークの制限が尊重されなくなります。 また、除外したアプリでデータ漏洩が発生する可能性があることも意味します。

  1. クライアント アプリ - アプリ保護 ポリシーで、適用除外アプリを選択します。

    アプリを除外します。

  2. 除外アプリで、[アプリの追加] を選択します。

    アプリを除外すると、WIP 制限をバイパスし、企業データにアクセスできます。

  3. 追加するアプリの種類に基づいて、残りのアプリ情報を入力します。

  4. [OK] を選択します。

エンタープライズ データの WIP 保護モードの管理

WIP で保護するアプリを追加したら、管理および保護モードを適用する必要があります。

まずは、[サイレント] または [上書きの許可] で始め、保護されたアプリの一覧に適切なアプリを含めていることを小規模なグループで検証することをお勧めします。 完了したら、最終的な適用ポリシー [ ブロック] に変更できます。

  1. アプリ保護 ポリシーからポリシーの名前を選択し、[必須設定] を選択します。

    Microsoft Intune、必須設定は Windows Information Protection モードを示します。

    モード 説明
    ブロック WIP が、不適切なデータ共有を探し、従業員の操作の完了を停止します。 不適切な操作には、エンタープライズで保護されていないアプリ間での情報の共有のほか、エンタープライズ データを社外の人やデバイスと共有する操作が含まれます。
    上書きの許可 WIP によって不適切なデータ共有が検出され、危険と見なされる操作を従業員が実行しようとすると警告が表示されます。 ただし、この管理モードでは、従業員はポリシーを上書きしてデータを共有でき、従業員が行った操作が監査ログに記録されます。 監査ログ ファイルの収集方法について詳しくは、「Windows 情報保護 (WIP) 監査イベント ログの収集方法」をご覧ください。
    Silent WIP はサイレント モードで実行され、不適切なデータ共有のログ記録が行われ、上書きを許可モードで従業員の操作を求められたものはすべてブロックされません。 ネットワーク リソースや WIP で保護されたデータにアプリから不適切にアクセスしようとした場合など、許可されていない操作は引き続き禁止されます。
    オフ WIP がオフになり、データの保護や監査は行われません。

    WIP を無効にすると、ローカルで接続されたドライブ上にある WIP タグの付いたファイルに対して暗号化の解除が試みられます。 WIP 保護を再び有効にしても、以前の復号化とポリシーの情報は自動的には再適用されません。 詳細については、「Windows Information Protectionを無効にする方法」を参照してください。

  2. [保存] を選びます。

企業で管理する企業 ID の定義

通常、プライマリ インターネット ドメイン (contoso.com など) として表される企業 ID は、WIP によって保護されたとしてマークされたアプリから企業データを識別し、タグ付けするのに役立ちます。 たとえば、contoso.com を使用する電子メールは、企業データとして識別され、Windows 情報保護ポリシーにより制限されます。

Windows 10 Version 1703 以降では、Intune によって自動的に会社の ID が特定され、[会社の ID] フィールドに追加されます。

会社の ID を変更するには

  1. アプリ ポリシーから、ポリシーの名前を選択し、必要な設定を選択します。

  2. 自動定義 ID が正しくない場合は、[ 企業 ID ] フィールドの情報を変更できます。

    Microsoft Intune、組織の企業 ID を設定します。

  3. 電子メール ドメイン名などのドメインを追加するには、[詳細設定 > の構成] [ネットワーク境界の追加] を選択し、[保護されたドメイン] を選択します。

    保護されたドメインを追加します。

アプリがエンタープライズ データにアクセスできる場所の選択

アプリに保護モードを追加したら、それらのアプリがネットワーク上でエンタープライズ データにアクセスできる場所を決める必要があります。 すべての WIP ポリシーには、エンタープライズ ネットワークの場所を含める必要があります。

WIP には既定の場所が含まれていないため、それぞれのネットワークの場所を追加することが必要です。 この領域は、企業の範囲内の IP アドレスを取得し、SMB 共有を含むエンタープライズ ドメインのいずれかにバインドされているネットワーク エンドポイント デバイスにも適用されます。 ローカル ファイル システムの場所では暗号化を維持する必要があります (ローカルの NTFS、FAT、ExFAT など)。

ネットワーク境界を定義するには、ポリシーの名前> [アプリ ポリシー] > [ネットワーク境界の追加****] を選択 > します。

Microsoft Intune、アプリがネットワーク上のエンタープライズ データにアクセスできる場所を設定します。

[境界の種類] ボックスで、追加するネットワーク境界の種類を選択します。 境界の名前を [名前] ボックスに入力し、次のサブセクションで説明するオプションに基づいて [値 ] ボックスに値を追加し、[OK] を選択 します

クラウド リソース

WIP により企業データとして扱われて保護されるクラウド リソースを指定します。 クラウド リソースごとに、必要に応じて、そのクラウド リソースのトラフィックをルーティングするプロキシ サーバーをエンタープライズ内部プロキシ サーバーの一覧から指定することもできます。 内部プロキシ サーバー経由でルーティングされるすべてのトラフィックは、エンタープライズと見なされます。

"|" 区切り記号を使用して複数のリソースを分離します。 次に、例を示します。

URL <,proxy>|URL <,proxy>

個人用アプリケーションは、空白または無効な文字 (URL の末尾のドットなど) を持つクラウド リソースにアクセスできます。

クラウド リソースのサブドメインを追加するには、アスタリスク (*)の代わりにピリオド (.) を使用します。 たとえば、Office.com 内のすべてのサブドメインを追加するには、".office.com" (引用符なし) を使用します。

アプリが IP アドレスを介してクラウド リソースに直接接続する場合など、Windows はエンタープライズ クラウド リソースまたは個人用サイトに接続しようとしているかどうかを判断できない場合があります。 このような場合、Windows では、既定で接続をブロックします。 Windows がこれらの接続を自動的にブロックするのを中止するには、設定に /*AppCompat*/ という文字列を追加します。 次に、例を示します。

URL <,proxy>|URL <,proxy>|/*AppCompat*/

この文字列を使用する場合は、Azure Active Directory 条件付きアクセスも有効にすることをお勧めします。これは、条件付きアクセスによって保護されているエンタープライズ クラウド リソースへのアプリのアクセスをブロックする、 準拠オプションとして参加またはマークされたドメイン を使用します。

プロキシを使用した値の形式:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

プロキシを使用しない値の形式:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

保護されたドメイン

環境内の ID に使用するドメインを指定します。 この一覧に表示される完全修飾ドメインへのトラフィックはすべて保護されます。 "|" 区切り記号を使用して複数のドメインを区切ります。

exchange.contoso.com|contoso.com|region.contoso.com

ネットワーク ドメイン

環境で使用される DNS サフィックスを指定します。 この一覧に表示される完全修飾ドメインへのトラフィックはすべて保護されます。 "," 区切り記号を使用して複数のリソースを分離します。

corp.contoso.com,region.contoso.com

プロキシ サーバー

クラウド リソースにアクセスするためにデバイスが通過するプロキシ サーバーを指定します。 この種類のサーバーを使用すると、接続先のクラウド リソースがエンタープライズ リソースであることを示します。

この一覧には、内部プロキシ サーバーの一覧に一覧表示されているサーバーは含めてはなりません。 プロキシ サーバーは、WIP で保護されていない (非エンタープライズ) トラフィックにのみ使用します。 ";" 区切り記号を使用して複数のリソースを分離します。

proxy.contoso.com:80;proxy2.contoso.com:443

内部プロキシ サーバー

クラウド リソースにアクセスするためにデバイスが経由する内部プロキシ サーバーを指定します。 この種類のサーバーを使用すると、接続先のクラウド リソースがエンタープライズ リソースであることを示します。

この一覧には、プロキシ サーバーの一覧に一覧表示されているサーバーは含めてはなりません。 内部プロキシ サーバーは、WIP で保護された (エンタープライズ) トラフィックにのみ使用します。 ";" 区切り記号を使用して複数のリソースを分離します。

contoso.internalproxy1.com;contoso.internalproxy2.com

IPv4 範囲

イントラネット内の有効な IPv4 値の範囲のアドレスを指定します。 これらのアドレスは、ネットワーク ドメイン名と共に使用され、企業ネットワークの境界を定義します。 クラスレス Inter-Domain ルーティング (CIDR) 表記はサポートされていません。

"," 区切り記号を使用して複数の範囲を区切る。

開始 IPv4 アドレス: 3.4.0.1
終了 IPv4 アドレス: 3.4.255.254
カスタム URI: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

IPv6 範囲

Windows 10 バージョン 1703 以降では、このフィールドは省略可能です。

イントラネット内の有効な IPv6 値の範囲のアドレスを指定します。 これらのアドレスは、ネットワーク ドメイン名と共に使用され、会社のネットワーク境界を定義します。 クラスレス Inter-Domain ルーティング (CIDR) 表記はサポートされていません。

"," 区切り記号を使用して複数の範囲を区切る。

IPv6 アドレスの開始: 2a01:110::
終了 IPv6 アドレス: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
カスタム URI: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

ニュートラル リソース

会社の認証リダイレクト エンドポイントを指定します。 これらの場所は、リダイレクト前の接続状況に応じて企業用または個人用と見なされます。 "," 区切り記号を使用して複数のリソースを分離します。

sts.contoso.com,sts.contoso2.com

Windows で他のネットワーク設定を検索するかどうかを決定します。

  • エンタープライズ プロキシ サーバー リストが優先されます (自動検出しません)。 ネットワーク境界定義で指定したプロキシ サーバーを、ネットワークで使用可能なプロキシ サーバーの完全な一覧として Windows で処理する場合はオンにします。 これをオフにすると、Windows によって、即時ネットワーク内のプロキシ サーバーが検索されます。

  • エンタープライズ IP の範囲リストが優先されます (自動検出しません)。 ネットワーク境界定義で指定した IP 範囲を、ネットワークで使用可能な IP 範囲の完全な一覧として Windows で処理する場合はオンにします。 これをオフにすると、ネットワークに接続されているすべてのドメイン参加済みデバイスで、より多くの IP 範囲が検索されます。

Microsoft Intune、Windows で企業内のプロキシ サーバーまたは IP 範囲を検索するかどうかを選択します。

データ回復エージェント (DRA) 証明書のアップロード

WIP ポリシーを作成して従業員に展開すると、Windows は従業員のローカル デバイス ドライブ上の企業データの暗号化を開始します。 何らかの理由で従業員のローカル暗号化キーが紛失または取り消されると、暗号化されたデータが回復できなくなる可能性があります。 このような事態を防ぐために、データ回復エージェント (DRA) 証明書を使うと、データの暗号化を解除できる秘密キーを保持しながら、証明書に含まれる公開キーを使用して Windows でローカル データを暗号化できます。

重要

DRA 証明書の使用は必須ではありません。 ただし、使用することを強くお勧めします。 データ回復証明書を検索してエクスポートする方法の詳細については、「 Data Recovery and Encrypting File System (EFS)」を参照してください。 EFS DRA 証明書の作成と検証の詳細については、「 暗号化ファイル システム (EFS) Data Recovery Agent (DRA) 証明書の作成と検証」を参照してください。

DRA 証明書をアップロードするには

  1. アプリ ポリシーからポリシーの名前を選択し、表示されるメニューから [詳細設定] を選択します。

    詳細設定 が表示されます。

  2. [ 暗号化されたデータの回復を許可する Data Recovery Agent (DRA) 証明書をアップロードする ] ボックスで、[ 参照 ] を選択してポリシーのデータ回復証明書を追加します。

    Microsoft Intune、Data Recovery Agent (DRA) 証明書をアップロードします。

オプションの WIP 関連設定の選択

保護されたアプリがネットワーク上のエンタープライズ データにアクセスできる場所を決定したら、オプションの設定を選択できます。

高度なオプション設定。

登録解除時に暗号化キーを取り消す。 Windows Information Protectionから登録解除するときに、デバイスからユーザーのローカル暗号化キーを取り消すかどうかを決定します。 暗号化キーが取り消された場合、ユーザーは暗号化された企業データにアクセスできなくなります。 オプションは次のとおりです。

  • **オンまたは未構成 (推奨): ** 登録解除時に、デバイスからローカルの暗号化キーを取り消します。

  • **オフ: ** 登録解除時に、ローカルの暗号化キーがデバイスから取り消されるのを停止します。 たとえば、Mobile デバイス管理 (MDM) ソリューション間で移行する場合などです。

**[エンタープライズ データ保護アイコンを表示します]: ** [名前を付けて保存] やエクスプローラーのビューで、企業ファイルに Windows 情報保護アイコン オーバーレイを表示するかどうかを決定します。 オプションは次のとおりです。

  • **オン: ** [名前を付けて保存] やエクスプローラーのビューで、企業ファイルに Windows 情報保護アイコン オーバーレイが表示されるようにします。 また、非対応の保護されたアプリの場合は、アイコン オーバーレイもアプリ タイルに表示され、[ スタート] メニューのアプリ名に [管理] テキストが表示されます。

  • **オフまたは未構成 (推奨): ** Windows Information Protection アイコン オーバーレイが企業ファイルに表示されないか、保護されているが保護されたアプリに表示されないようにします。 既定のオプションは [未構成] です。

**[Azure RMS を WIP のために使います]: ** WIP が Microsoft Azure Rights Management を使用して、WINDOWS 10から USB またはその他のリムーバブル ドライブにコピーされたファイルに EFS 暗号化を適用して、従業員と安全に共有できるかどうかを決定します。 言い換えると、WIP は Azure Rights Management "機械" を使用して、リムーバブル ドライブにコピーされるときに EFS 暗号化をファイルに適用します。 Azure Rights Management が既に設定されている必要があります。 EFS ファイル暗号化キーは、RMS テンプレートのライセンスによって保護されます。 リムーバブル ドライブから読み取ることができるのは、そのテンプレートに対するアクセス許可を持つユーザーのみです。 WIP は、EnterpriseDataProtection CSPAllowAzureRMSForEDPRMSTemplateIDForEDP MDM 設定を使用して Azure RMS と統合することもできます。

  • [有効]。 リムーバブル ドライブにコピーされるファイルを保護します。 TemplateID GUID を入力して、Azure Rights Management で保護されたファイルにアクセスできるユーザーと、その期間を指定できます。 RMS テンプレートは、リムーバブル メディア上のファイルにのみ適用され、アクセス制御にのみ使用されます。実際には、ファイルに Azure Information Protectionは適用されません。

    RMS テンプレートを指定しない場合は、すべてのユーザーがアクセスできる既定の RMS テンプレートを使用する通常の EFS ファイルです。

  • **オフまたは未構成: ** リムーバブル ドライブにコピーされる Azure Rights Management ファイルの暗号化から WIP を停止します。

    注意

    この設定に関係なく、移動された既知のフォルダーを含め、OneDrive for Business内のすべてのファイルが暗号化されます。

Windows Search Indexer が暗号化されたファイルを検索できるようにします。 WINDOWS Search インデクサーで、WIP で保護されたファイルなど、暗号化されたアイテムのインデックス作成を許可するかどうかを決定します。

  • [有効]。 Windows Search Indexer を起動して、暗号化されたファイルのインデックスを作成します。

  • **オフまたは未構成: ** Windows Search Indexer が暗号化されたファイルのインデックス作成を停止します。

暗号化されたファイル拡張子

エンタープライズ ネットワークの場所内の SMB 共有からファイルをダウンロードするときに、WIP によって保護されるファイルを制限できます。 この設定が構成されている場合、リスト内の拡張子を持つファイルのみが暗号化されます。 この設定が指定されていない場合は、既存の自動暗号化動作が適用されます。

WIP で暗号化されたファイル拡張子。

関連記事