Windows 情報保護 (WIP) を使用する際の制限事項
適用対象:
- Windows 10
- Windows 11
次の一覧では、organizationで Windows Information Protectionを実行しているときに発生する可能性がある最も一般的な問題について説明します。
制限事項: USB ドライブ上のエンタープライズ データは、Azure RMS 構成に基づいて保護されたデバイスに関連付けられている可能性があります。
表示方法:
- Azure RMS を使用している場合: 認証済みユーザーは、USB ドライブ、Windows 10 バージョン 1703 を実行しているコンピューターでエンタープライズ データを開くことができます。
- Azure RMS を使用していない場合: 新しい場所のデータは暗号化されたままですが、他のデバイスや他のユーザーにはアクセスできなくなります。 たとえば、ファイルを開くことができないか、ファイルを開けたとしても、読み取り可能なテキストが含まれていません。
回避策: エンタープライズ ファイル サーバーまたはエンタープライズ クラウドの場所を通じて、同僚とファイルを共有します。 USB 経由でデータを共有する必要がある場合、従業員は保護されたファイルの暗号化を解除できますが、そのファイルは監査されます。
この暗号化解除の必要性がどのように制限されるか、またはどのように排除されるかについて、従業員に説明することを強くお勧めします。
制限事項: 直接アクセスは Windows Information Protectionと互換性がありません。
表示方法: ダイレクト アクセスでは、WIP が会社のネットワーク リソースとは何か、そうでないかを判断する方法が原因で、Windows Information Protectionがアプリの動作とデータ移動を強制する方法に関する問題が発生する可能性があります。
回避策: イントラネット リソースへのクライアント アクセスには VPN を使用することをお勧めします。
注
VPN は省略可能であり、Windows Information Protectionでは必要ありません。
制限事項: NetworkIsolation グループ ポリシー設定が MDM ポリシー設定よりも優先されます。
- 表示方法: NetworkIsolation グループ ポリシー設定では、MDM を使用して構成できるネットワーク設定を構成できます。 WIP は、正しく構成されているこれらのポリシーに依存します。
- 回避策: グループ ポリシーと MDM の両方を使用して NetworkIsolation 設定を構成する場合は、グループ ポリシーと MDM の両方を使用して、同じ設定がorganizationに展開されていることを確認する必要があります。
制限事項: Cortana は、許可されているアプリの一覧にある場合、データ漏洩を許可する可能性があります。
表示方法: Cortana が許可リストにある場合、従業員が Cortana を使用して検索を実行した後、一部のファイルが予期せず暗号化される可能性があります。 従業員は引き続き Cortana を使用して検索を実行し、検索結果を企業のドキュメントや企業が管理する場所に提供することができます。ただし、検索結果は Microsoft に送信される場合があります。
回避策: 許可されているアプリの一覧に Cortana を追加することはお勧めしません。 ただし、Cortana を使用する必要があり、検索結果が Microsoft に送信される可能性があってもかまわない場合は、Cortana を例外アプリケーションにすることができます。
制限事項: Windows Information Protectionは、デバイスごとに 1 人のユーザーが使用するように設計されています。
- 表示方法: デバイス上のセカンダリ ユーザーは、すべてのユーザーに対して、更新されていないアプリが自動的に暗号化を開始すると、アプリの互換性の問題が発生する可能性があります。 さらに、登録解除プロセス中に取り消すことができるのは、登録されている最初のユーザーのコンテンツのみです。
- 回避策: マネージド デバイスごとに 1 人のユーザーのみを使用します。
- このシナリオが発生した場合は、軽減できる可能性があります。 保護が無効になると、2 番目のユーザーはファイルの所有権を変更することで保護を削除できます。 保護は整っていますが、ファイルにはユーザーがアクセスできます。
制限事項: エンタープライズ ネットワーク ファイル共有からコピーされたインストーラーが正しく動作しない可能性があります。
- 表示方法: アプリは、インストールに必要な構成ファイルやデータ ファイル (インストールに必要な .cab や .xml ファイルなど) を読み取ることができないため、正しくインストールできない可能性があります。これは、コピー アクションによって保護されています。
- 回避策: これを修正するには、次の操作を行います。
ファイル共有から直接インストーラーを起動します。
または
インストーラーで必要となる、ローカルにコピーしたファイルの暗号化を解除します。
または
インストール メディアでファイル共有を "個人用" としてマークします。 これを行うには、Enterprise IP 範囲を [権限あり ] に設定し、ファイル サーバーの IP アドレスを除外する必要があります。または、ファイル サーバーを [エンタープライズ プロキシ サーバー] の一覧に配置する必要があります。
制限事項: プライマリ企業 ID の変更はサポートされていません。
- 表示方法: ネットワークとファイルアクセスの失敗、不正なアクセスの許可など、さまざまな不安定さが発生する可能性があります。
- 回避策: プライマリ企業 ID (一覧の最初のエントリ) を変更し、再起動し、最後に再デプロイする前に、すべてのデバイスの Windows Information Protectionをオフにします。
制限事項: Client-Side キャッシュを持つリダイレクトされたフォルダーは、Windows Information Protectionと互換性がありません。
表示方法: キャッシュされたオフライン ファイルの読み取り中に、アプリでアクセス エラーが発生する可能性があります。
回避策: ワーク フォルダーやOneDrive for Businessなど、別のファイル同期方法を使用するように移行します。
注
ワーク フォルダーとオフライン ファイルの詳細については、Windows Information Protectionのワーク フォルダーとオフライン ファイルのサポートに関するブログを参照してください。 オフライン ファイルと Windows Information Protectionの使用中にファイルをオフラインで開く際に問題が発生した場合は、「オフライン ファイルと Windows Information Protectionを使用するときにオフラインでファイルを開くことができない」を参照してください。
制限事項: アンマネージド デバイスは、リモート デスクトップ プロトコル (RDP) を使用して WIP で管理されたデバイスに接続できます。
表示方法:
- WIP で管理されるデバイスからコピーされたデータは 、作業としてマークされます。
- WIP で管理されるデバイスにコピーされたデータは 、作業としてマークされません。
- WIP で管理されるデバイスにコピーされたローカル 作業 データは 、作業 データのままです。
- 同じセッション内の 2 つのアプリ間でコピーされた作業データは、** データのままです。
回避策: WINDOWS Information Protectionによって管理されているデバイスのみにアクセスを制限する方法がないため、RDP を無効にしてアクセスを防止します。 RDP は既定で無効になっています。
制限事項: Microsoft Edge またはインターネット エクスプローラーを使用して、エンタープライズ ファイルを個人用の場所にアップロードすることはできません。
- 表示方法: コンテンツが [作業 ] としてマークされ、ユーザーに 個人用にオーバーライドするオプションが与えられていないことを示すメッセージが表示されます。
- 回避策: エクスプローラーを開き、アップロードする前にファイルの所有権を [個人用] に変更します。
制限事項: ActiveX コントロールは注意して使用する必要があります。
表示方法: ActiveX コントロールを使用する Web ページは、Windows Information Protectionを使用して保護されていない他の外部プロセスと通信する可能性があります。
回避策: ActiveX コントロールの使用を妨げる、より安全で安全なブラウザーである Microsoft Edge の使用に切り替えすることをお勧めします。 また、Internet Explorer 11 の使用を、従来のテクノロジを必要とする基幹業務アプリのみに制限することをお勧めします。
詳しくは、「古い ActiveX コントロールのブロック」をご覧ください。
制限事項: 回復性のあるファイル システム (ReFS) は、Windows Information Protectionでは現在サポートされていません。
- 表示方法:Windows Information Protection ファイルを ReFS に保存または転送しようとすると失敗します。
- 回避策: NTFS 用のドライブをフォーマットするか、別のドライブを使用します。
制限事項: 次のいずれかのフォルダーで MakeFolderAvailableOfflineDisabled オプションが False に設定されている場合、Windows Information Protectionはオンになりません。
- AppDataRoaming
- Desktop
- StartMenu
- ドキュメント
- ピクチャ
- ミュージック
- ビデオ
- お気に入り
- アドレス帳
- ダウンロード
- リンク
- 検索
- 保存したゲーム
表示方法: organizationの従業員に対して Windows Information Protectionが有効になっていません。 Microsoft Configuration Managerを使用して Windows Information Protectionを展開すると、エラー コード 0x807c0008が発生します。
回避策: 指定したフォルダーの MakeFolderAvailableOfflineDisabled オプションを False に設定しないでください。 「リダイレクトされた個々のフォルダーでオフライン ファイルを無効にする」の説明に従って、このパラメーターを構成できます。
現在、リダイレクトされたフォルダーを使用している場合は、ワーク フォルダーやOneDrive for Businessなど、Windows Information Protectionをサポートするファイル同期ソリューションに移行することをお勧めします。 さらに、Windows Information Protectionが既に配置されている後にリダイレクトされたフォルダーを適用すると、ファイルをオフラインで開くことができない可能性があります。
これらの潜在的なアクセス エラーについて詳しくは、オフライン ファイルと Windows 情報保護を使用する場合、オフラインでファイルを開くことができない問題に関するサポート技術情報の記事をご覧ください。
制限事項: デバイス登録なしで管理できるのは、対応アプリのみです
表示方法: ユーザーがデバイス登録なしでモバイル アプリケーション管理 (MAM) 用のデバイスを登録した場合、対応するアプリのみが管理されます。 これは、個人用ファイルがライトされていないアプリによって意図せずに暗号化されないように設計されています。
MAM を使用して作業にアクセスする必要がある未対応アプリは、LOB アプリとして再コンパイルするか、デバイス登録で MDM を使用して管理する必要があります。
回避策: すべてのアプリを管理する必要がある場合は、MDM 用にデバイスを登録します。
制限事項: 設計上、Windows ディレクトリ (%windir% または C:/Windows) 内のファイルは、任意のユーザーがアクセスする必要があるため、暗号化できません。 Windows ディレクトリ内のファイルが 1 人のユーザーによって暗号化された場合、他のユーザーはアクセスできません。
- 表示方法: Windows ディレクトリ内のファイルを暗号化しようとすると、ファイル アクセス拒否エラーが返されます。 ただし、暗号化されたファイルを Windows ディレクトリにコピーまたはドラッグ アンド ドロップすると、所有者の意図を尊重するために暗号化が保持されます。
- 回避策: 暗号化されたファイルを Windows ディレクトリに保存する必要がある場合は、別のディレクトリにファイルを作成して暗号化し、コピーします。
制限事項: OneDrive for Business上の OneNote ノートブックは、Windows Information Protectionで動作するように適切に構成する必要があります。
表示方法: OneNote では、OneDrive for Business ノートブックの同期中にエラーが発生し、ファイルの所有権を個人用に変更することをお勧めします。 ブラウザーで OneNote Online でノートブックを表示しようとすると、エラーが表示され、表示できません。
回避策: エクスプローラーからOneDrive for Business フォルダーに新しくコピーされた OneNote ノートブックは、自動的に修正されます。 これを行うためには、次の手順を実行します。
- OneNote でノートブックを閉じます。
- OneDrive for Business フォルダーからデスクトップなどの別の場所にエクスプローラーしてノートブック フォルダーを移動します。
- ノートブック フォルダーをコピーし、OneDrive for Business フォルダーに貼り付けます。
OneDrive がノートブックのアップグレード & 同期を完了するまで数分待つと、フォルダーは自動的にインターネット ショートカットに変換されます。 ショートカットを開くとブラウザーでノートブックが開き、[アプリで開く] ボタンを使用して OneNote クライアントで開くことができます。
制限事項: Microsoft Office Outlook オフライン データ ファイル (PST ファイルと OST ファイル) は 作業 ファイルとしてマークされていないため、保護されません。
- 表示方法: Microsoft Office Outlook がキャッシュ モードで動作するように設定されている場合 (既定の設定)、または一部のメールがローカル PST ファイルに保存されている場合、データは保護されません。
- 回避策: Microsoft Office Outlook をオンライン モードで使用するか、暗号化を使用して OST ファイルと PST ファイルを手動で保護することをお勧めします。
注
企業データがディスクに書き込まれると、Windows Information Protectionは Windows 提供の暗号化ファイル システム (EFS) を使用して保護し、それをエンタープライズ ID に関連付けます。 注意すべき注意点の 1 つは、エクスプローラーのプレビュー ウィンドウが暗号化されたファイルに対して機能しないということです。
このトピックを改善するために、編集、追加、フィードバックの送信にご協力ください。 このトピックの改善に協力する方法については、コンテンツへの貢献に関するページをご覧ください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示