Microsoft Intune を使用して Windows 情報保護 (WIP) の登録済みポリシーを作成する

適用対象

  • Windows 10 バージョン 1607 以降
  • Windows 10 Mobile バージョン 1607 以降 (デスクトップでのみ利用可能な Microsoft Azure Rights Management を除く)

Microsoft Intune は、Windows 情報保護 (WIP) ポリシーの作成と展開に役立ちます。たとえば、許可されているアプリ、WIP 保護レベル、ネットワーク上のエンタープライズ データの検索方法を選択することができます。

重要

このトピックでは、既にモバイル デバイス管理 (MDM) ソリューションを使ってデバイスを管理している組織を対象に、Windows 情報保護 (WIP) ポリシーの作成について説明します。 デバイスを管理せずに、モバイル アプリケーション管理 (MAM) ソリューションを使って WIP ポリシーを Intune アプリに展開している組織では、「Intune で Windows 情報保護 (WIP) アプリ保護ポリシーを作成して展開する」に記載されている手順に従ってください。

WIP ポリシーの追加

組織に Intune をセットアップしたら、WIP 固有のポリシーを作成する必要があります。

WIP ポリシーを追加するには

  1. Microsoft Intune モバイル アプリケーション管理コンソールを開き、[すべての設定] をクリックして、[アプリに関するポリシー] をクリックします。

    Microsoft Intune 管理コンソール: [アプリに関するポリシー] リンク

  2. [アプリに関するポリシー] 画面で、[ポリシーの追加] を選択し、各フィールドに次のように入力します。

    • **[名前]: ** 新しいポリシーの名前を入力します (必須)。

    • **[説明]: ** 説明を入力します (省略可能)。

    • [プラットフォーム]: ** ポリシーでサポートされるプラットフォームとして **[Windows 10] を選択します。

    • [登録の状態]: ** ポリシーの登録状態として **[登録済み] を選択します。

      Microsoft Intune 管理コンソール: [ポリシーの追加] ブレードでの新しいポリシーの作成

      重要

      [登録済み] の設定は、MDM を利用している組織にのみ適用されます。 MAM を利用している場合は、代わりに「Intune で Windows 情報保護 (WIP) アプリ保護ポリシーを作成して展開する」の手順に従ってください。

  3. [作成] をクリックします。

    ポリシーが作成され、[アプリに関するポリシー] 画面に表示されます。

    メモ

    必要に応じて [ポリシーの追加] ブレードからアプリを追加して設定を行うこともできますが、このドキュメントでは、まずポリシーを作成し、その後で使用可能になるメニューを使うことをお勧めします。

許可されているアプリの一覧へのアプリの追加

Intune でのポリシー作成手順の中で、WIP を使ったエンタープライズ データへのアクセスを許可するアプリを選択できます。 この一覧に含まれているアプリでは、企業に代わってデータを保護することができ、保護されていないアプリの場所にエンタープライズ データをコピーまたは移動することは制限されます。

アプリを追加する手順は、適用する規則テンプレートの種類に応じて変わります。 追加できるアプリには、推奨アプリ、ストア アプリ (ユニバーサル Windows プラットフォーム (UWP) アプリとも呼ばれます)、または署名された Windows デスクトップ アプリがあります。

重要

WIP 対応アプリでは、エンタープライズ データを保護されていないネットワークの場所に移動することは禁止しながら、個人データは暗号化しないという動作が実現されます。 一方、WIP 非対応アプリでは企業ネットワークの境界が尊重されない可能性があり、作成または修正したファイルがすべて暗号化されます。 つまり、個人データが暗号化され、取り消し処理時にデータが失われる可能性があります。

[許可されているアプリ] の一覧にアプリを追加する前に、そのアプリで安全に WIP を利用できることを説明するサポート ステートメントをソフトウェア プロバイダーから入手するようにしてください。 このステートメントがない場合、取り消し後にアプリから必要なファイルにアクセスできなくなり、アプリで互換性の問題が発生する可能性があります。

許可されているアプリの一覧に推奨アプリを追加する

この例では、推奨アプリである Microsoft Edge を [許可されているアプリ] の一覧に追加します。

推奨アプリを追加するには

  1. [アプリに関するポリシー] ブレードで、ポリシーの名前をクリックし、表示されたメニューの [許可されているアプリ] をクリックします。

    [許可されているアプリ] ブレードが開き、このポリシーの一覧に既に含まれているアプリがすべて表示されます。

    Microsoft Intune 管理コンソール: ポリシーに追加できる推奨アプリの表示

  2. [許可されているアプリ] ブレードで、[アプリの追加] をクリックします。

    [アプリの追加] ブレードが開き、すべての推奨アプリ****が表示されます。

    Microsoft Intune 管理コンソール: ポリシーへの推奨アプリの追加

  3. エンタープライズ データへのアクセスを許可するアプリをそれぞれ選択し、[OK] をクリックします。

    [許可されているアプリ] ブレードが更新され、選択したアプリが表示されます。

    Microsoft Intune 管理コンソール: 推奨アプリが追加された [許可されているアプリ] ブレード

許可されているアプリの一覧にストア アプリを追加する

この例では、ストア アプリである Microsoft Power BI を [許可されているアプリ] の一覧に追加します。

ストア アプリを追加するには

  1. [アプリに関するポリシー] ブレードで、ポリシーの名前をクリックし、表示されたメニューの [許可されているアプリ] をクリックします。

    [許可されているアプリ] ブレードが開き、このポリシーの一覧に既に含まれているアプリがすべて表示されます。

  2. [許可されているアプリ] ブレードで、[アプリの追加] をクリックします。

  3. [アプリの追加] ブレードで、ドロップダウン リストから [ストア アプリ] を選択します。

    ブレードが変更され、発行元とアプリ名を追加するためのボックスが表示されます。

  4. アプリの名前とその発行元の名前を入力し、[OK] をクリックします。 この UWP アプリの例では、[発行元]CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US で、製品の [名前]Microsoft.MicrosoftPowerBIForWindows です。

  5. フィールドに情報を入力したら、[OK] をクリックして、[許可されているアプリ] の一覧にアプリを追加します。

    メモ

    一度に複数のストア アプリを追加するには、アプリを指定する行の最後にあるメニュー (...) をクリックして、引き続きアプリを追加します。 完了したら、[OK] をクリックします。

    Microsoft Intune 管理コンソール: ストア アプリの情報の追加

発行元や製品名がわからない場合は、デスクトップ デバイスでも Windows 10 Mobile スマートフォンでも、次の手順で確かめることができます。

ストア アプリをインストールせずに発行元と製品名の値を調べるには

  1. ビジネス向け Windows ストアの Web サイトに移動して、目的のアプリを探します。 たとえば、Microsoft Power BI を見つけます。

  2. アプリの URL から ID 値をコピーします。 たとえば、Microsoft Power BI の ID の URL は https://www.microsoft.com/en-us/store/p/microsoft-power-bi/9nblgggzlxn1 なので、ID 値として 9nblgggzlxn1 をコピーします。

  3. ブラウザーで、ビジネス向けストア ポータルの Web API を実行して、発行元と製品名の値を含む JavaScript Object Notation (JSON) ファイルを取得します。 たとえば、https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata を実行します。9nblgggzlxn1 は適切な ID 値に置き換えてください。

    API が実行され、アプリの詳細がテキスト エディターに表示されます。

      {
          "packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
          "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
      }
    
  4. publisherCertificateNamepackageIdentityName の値をコピーして、Intune の [発行元] ボックスと [名前] ボックスにそれぞれ貼り付けます。

    重要

    JSON ファイルでは、[発行元名] ボックスと [製品名] ボックスの両方に対して 1 つの windowsPhoneLegacyId 値が返される場合もあります。 この場合は、アプリで XAP パッケージが使われているため、[製品名]windowsPhoneLegacyId に設定し、[発行元名]CN= に続けて windowsPhoneLegacyId に設定する必要があります。

    以下に例を示します。
    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
    }

Windows 10 Mobile スマートフォンにインストールされているアプリの発行元と製品名の値を調べるには

  1. ビジネス向けストアで配布されていないモバイル アプリを追加する必要がある場合は、Windows Device Portal の機能を使う必要があります。


    PC と電話が同じワイヤレス ネットワーク上に存在している必要があります。

  2. Windows Phone で、[設定] に移動し、[更新とセキュリティ] を選んで、[開発者向け] を選択します。

  3. [開発者向け] 画面で、[開発者モード][デバイスの検出][Device Portal] の順にオンにします。

  4. [Device Portal] 領域の URL をコピーし、デバイスのブラウザーに貼り付けて、SSL 証明書を受け入れます。

  5. [デバイスの検出] 領域で [ペアリング] をタップし、前の手順で開いた Web サイトに PIN を入力します。

  6. Web サイトの [アプリ] タブに実行中のアプリの詳細が表示され、発行元名と製品名を確認できます。

  7. 発行元名と製品名の値を調べるアプリを起動します。

  8. publisherCertificateNamepackageIdentityName の値をコピーして、Intune の [発行元名] ボックスと [製品名] ボックスにそれぞれ貼り付けます。

    重要

    JSON ファイルでは、[発行元名] ボックスと [製品名] ボックスの両方に対して 1 つの windowsPhoneLegacyId 値が返される場合もあります。 この場合は、アプリで XAP パッケージが使われているため、[製品名]windowsPhoneLegacyId に設定し、[発行元名]CN= に続けて windowsPhoneLegacyId に設定する必要があります。

    以下に例を示します。
    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
    }

許可されているアプリの一覧にデスクトップ アプリを追加する

この例では、デスクトップ アプリである WordPad を [許可されているアプリ] の一覧に追加します。

デスクトップ アプリを追加するには

  1. [アプリに関するポリシー] ブレードで、ポリシーの名前をクリックし、表示されたメニューの [許可されているアプリ] をクリックします。

    [許可されているアプリ] ブレードが開き、このポリシーの一覧に既に含まれているアプリがすべて表示されます。

  2. [許可されているアプリ] ブレードで、[アプリの追加] をクリックします。

  3. [アプリの追加] ブレードで、ドロップダウン リストから [デスクトップ アプリ] を選択します。

    ブレードが変更され、必要な情報を追加するためのボックスが表示されます。求めている結果に応じて、次のように入力します。

    フィールド 管理対象
    すべてのフィールドが "*" 発行元によって署名されているすべてのファイル (非推奨)。
    [発行元] のみ このフィールドにのみ入力すると、指定した発行元によって署名されているすべてのファイルが対象となります。

    これは、会社が内部基幹業務アプリの発行元および署名者である場合に役立つ可能性があります。
    [発行元] と [名前] のみ これらのフィールドにのみ入力すると、指定した発行元によって署名されている、指定した製品のすべてのファイルが対象となります。
    [発行元]、[名前]、[ファイル] のみ これらのフィールドにのみ入力すると、指定した発行元によって署名されている、指定した製品の任意のバージョンの指定したファイルまたはパッケージが対象となります。
    [発行元]、[名前]、[ファイル]、[最小バージョン] のみ これらのフィールドにのみ入力すると、指定した発行元によって署名されている、指定した製品の指定したバージョンまたはそれ以降のリリースの、指定したファイルまたはパッケージが対象となります。

    このオプションは、現在は対応アプリでも、以前は対応していなかったアプリを指定する場合に適しています。
    [発行元]、[名前]、[ファイル]、[最大バージョン] のみ これらのフィールドにのみ入力すると、指定した発行元によって署名されている、指定した製品の指定したバージョンまたはそれ以前のリリースの、指定したファイルまたはパッケージが対象となります。
    すべてのフィールドに入力 すべてのフィールドに入力すると、指定した発行元によって署名されている、指定した製品の指定したバージョンの指定したファイルまたはパッケージが対象となります。
  4. フィールドに情報を入力したら、[OK] をクリックして、[許可されているアプリ] の一覧にアプリを追加します。

    メモ

    一度に複数のデスクトップ アプリを追加するには、アプリを指定する行の最後にあるメニュー (...) をクリックして、引き続きアプリを追加します。 完了したら、[OK] をクリックします。

    Microsoft Intune 管理コンソール: デスクトップ アプリの情報の追加

    デスクトップ アプリの発行元の値を調べるには 発行元として何を入力すればよいかわからない場合は、次の PowerShell コマンドを実行できます。

      Get-AppLockerFileInformation -Path "<path_of_the_exe>"
    

    ここで、"<path_of_the_exe>" はデバイス上のアプリの場所を示します。 たとえば、Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe" と入力します。

    この例では、次の情報が得られます。

      Path                   Publisher
      ----                   ---------
      %PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
    

    O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US というテキストが [発行元] ボックスに入力する発行元名で、WORDPAD.EXE[ファイル] ボックスに入力するテキストです。

許可されているアプリの一覧にアプリの一覧をインポートする

この例では、AppLocker XML ファイルを [許可されているアプリ] の一覧に追加します。 この方法は、一度に複数のアプリを追加する場合に使用できます。 AppLocker について詳しくは、「AppLocker」をご覧ください。

AppLocker ツールを使って許可されているアプリの一覧を作成するには

  1. ローカル セキュリティ ポリシー スナップイン (SecPol.msc) を開きます。

  2. 左側のブレードで、[アプリケーション制御ポリシー] を展開し、[AppLocker] を展開して、[パッケージ アプリの規則] をクリックします。

    ローカル セキュリティ スナップイン、パッケージ アプリの規則の表示

  3. 右側のブレードを右クリックし、[新しい規則の作成] をクリックします。

    Create Packaged app Rules (パッケージ アプリの規則の作成) ウィザードが表示されます。

  4. [開始する前に] ページで、[次へ]をクリックします。

    パッケージ アプリの規則の作成ウィザード、[開始する前に] ページの表示

  5. [アクセス許可] ページで、[操作][許可] に設定され、[ユーザーまたはグループ][Everyone] に設定されていることを確認し、[次へ] をクリックします。

    パッケージ アプリの規則の作成ウィザード、[開始する前に] ページの表示

  6. [発行元] ページで、[インストール済みのパッケージ化されたアプリを参照として使用する] 領域の [選択] をクリックします。

    パッケージ アプリの規則の作成ウィザード、発行元の表示

  7. [アプリケーションの選択] ボックスで、規則の参照として使用するアプリを選択し、[OK] をクリックします。 この例では、Microsoft Dynamics 365 を使用します。

    パッケージ アプリの規則の作成ウィザード、[アプリケーションの選択] ページの表示

  8. [発行元] ページで、[作成] をクリックします。

    パッケージ アプリの規則の作成ウィザード、[発行元] ページでの Microsoft Dynamics 365 の表示

  9. 既定の規則を作成するかどうかを確認するダイアログが表示されたら、[いいえ] をクリックします。 WIP ポリシーに対しては既定の規則を作成しないでください。

    パッケージ アプリの規則の作成ウィザード、[発行元] ページでの Microsoft Dynamics 365 の表示

  10. ローカル セキュリティ ポリシー スナップインを確認し、規則が正しいことを確かめます。

    ローカル セキュリティ スナップイン、新しい規則の表示

  11. 左側のブレードで、[AppLocker] を右クリックし、[ポリシーのエクスポート] をクリックします。

    [ポリシーのエクスポート] ボックスが表示され、新しいポリシーを XML としてエクスポートおよび保存できます。

    ローカル セキュリティ スナップイン、ポリシーのエクスポート オプションの表示

  12. [ポリシーのエクスポート] ボックスで、ポリシーを保存する場所を参照し、ポリシーに名前を付けて、[保存] をクリックします。

    ポリシーが保存され、ポリシーから 1 つの規則がエクスポートされたことを伝えるメッセージが表示されます。

    XML ファイルの例
    これは、AppLocker で Microsoft Dynamics 365 用に作成された XML ファイルです。

     <?xml version="1.0"?>
     <AppLockerPolicy Version="1">
         <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
             <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
                 <Conditions>
                     <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                         <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                     </FilePublisherCondition>
                 </Conditions>
             </FilePublisherRule>
         </RuleCollection>
         <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
         <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
         <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
         <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
     </AppLockerPolicy>
    
  13. XML ファイルを作成したら、Microsoft Intune を使用してインポートする必要があります。

Microsoft Intune を使って許可されているアプリの一覧をインポートするには

  1. [許可されているアプリ] 領域で、[アプリのインポート] をクリックします。

    ブレードが変更され、インポート ファイルを追加する画面が表示されます。

    Microsoft Intune、Intune を使用した AppLocker ポリシー ファイルのインポート

  2. エクスポートした AppLocker ポリシー ファイルを参照し、[開く] をクリックします。

    ファイルがインポートされ、[許可されているアプリ] の一覧にアプリが追加されます。

除外アプリをポリシーに追加する

WIP と互換性のないアプリでエンタープライズ データを使う必要があるという互換性の問題が発生している場合は、そのアプリを WIP の制限から除外することができます。 つまり、アプリでは自動暗号化やタグ付けが行われなくなり、ネットワークの制限が尊重されなくなります。 また、除外したアプリでデータ漏洩が発生する可能性があることも意味します。

許可されているアプリの一覧からストア アプリ、デスクトップ アプリ、または AppLocker ポリシー ファイルを除外するには

  1. [アプリに関するポリシー] ブレードで、ポリシーの名前をクリックし、表示されたメニューの [適用から除外されるアプリ] をクリックします。

    [適用から除外されるアプリ] ブレードが開き、このポリシーの一覧に既に含まれているアプリがすべて表示されます。

  2. [適用から除外されるアプリ] ブレードで、[アプリの追加] をクリックします。

    アプリを除外すると、そのアプリは WIP 制限をバイパスして会社のデータにアクセスできるようになることに注意してください。 アプリを許可するには、このトピックの「アプリの規則をポリシーに追加する」セクションをご覧ください。

  3. 追加するアプリの種類に応じて、アプリに関する残りの情報を入力します。

  4. [OK] をクリックします。

エンタープライズ データの WIP 保護モードの管理

WIP で保護するアプリを追加したら、管理および保護モードを適用する必要があります。

最初は [サイレント] または [上書きの許可] を選択して、許可されているアプリの一覧に含めたアプリが適切であることを小規模なグループで検証することをお勧めします。 検証が完了したら、最終的な強制ポリシーとして [上書きの非表示] に変更できます。

保護モードを追加するには

  1. [アプリに関するポリシー] ブレードで、ポリシーの名前をクリックし、表示されたメニューの [必須の設定] をクリックします。

    [必須の設定] ブレードが表示されます。

    Microsoft Intune、[必須の設定] ブレードでの Windows 情報保護モードの表示

    モード 説明
    上書きの非表示 WIP によって不適切なデータ共有操作が検出され、従業員がその操作を完了することは禁止されます。 不適切な操作には、エンタープライズで保護されていないアプリ間での情報の共有のほか、エンタープライズ データを社外の人やデバイスと共有する操作が含まれます。
    上書きの許可 WIP によって不適切なデータ共有が検出され、危険と見なされる操作を従業員が実行しようとすると警告が表示されます。 ただし、この管理モードでは、従業員はポリシーを上書きしてデータを共有でき、従業員が行った操作が Reporting CSP 経由でアクセスできる監査ログに記録されます。
    サイレント WIP はメッセージを表示せずに動作し、不適切なデータ共有をログに記録します。"上書きの許可" モードの場合に従業員に確認が求められるような操作はブロックされません。 ネットワーク リソースや WIP で保護されたデータにアプリから不適切にアクセスしようとした場合など、許可されていない操作は引き続き禁止されます。
    オフ (非推奨) WIP がオフになり、データの保護や監査は行われません。

    WIP を無効にすると、ローカルで接続されたドライブ上にある WIP タグの付いたファイルに対して暗号化の解除が試みられます。 WIP 保護を再び有効にしても、以前の復号化とポリシーの情報は自動的に再適用されないことに注意してください。
  2. [保存] をクリックします。

エンタープライズ管理の会社 ID の定義

会社の ID は、通常はプライマリ インターネット ドメインとして表され (contoso.com など)、WIP の保護対象として指定したアプリの会社のデータを識別およびタグ付けするために役立ちます。 たとえば、contoso.com を使用する電子メールは会社のデータとして識別され、Windows 情報保護ポリシーによって制限されます。

Windows 10 バージョン 1703 以降では、Intune によって自動的に会社の ID が特定され、[会社の ID] フィールドに追加されます。 企業が所有している複数のドメインを指定するには、各ドメインを "|" 文字で区切ります。 たとえば、(contoso.com|newcontoso.com) のようになります。 ドメインが複数存在する場合、最初のドメインが会社の ID として指定され、追加されたドメインはすべて最初のドメインによって所有されます。 すべての電子メール アドレス ドメインをこのリストに含めることを強くお勧めします。

会社の ID を追加するには

  1. [アプリに関するポリシー] ブレードで、ポリシーの名前をクリックし、表示されたメニューの [必須の設定] をクリックします。

    [必須の設定] ブレードが表示されます。

  2. ID が正しくない場合、またはドメインを追加する必要がある場合は、[会社の ID] フィールドに情報を入力します。 たとえば、contoso.com|newcontoso.com と入力します。

    Microsoft Intune、組織の会社 ID の設定

アプリがエンタープライズ データにアクセスできる場所の選択

アプリに保護モードを追加したら、それらのアプリがネットワーク上でエンタープライズ データにアクセスできる場所を決める必要があります。

WIP には既定の場所が含まれていないため、それぞれのネットワークの場所を追加することが必要です。 企業の範囲で IP アドレスを取得し、いずれかの企業ドメインにバインドされた、すべてのネットワーク エンドポイント デバイスにこの領域が適用されます。これには SMB 共有も含まれます。 ローカル ファイル システムの場所では暗号化を維持する必要があります (ローカルの NTFS、FAT、ExFAT など)。

重要

企業ネットワークの場所を定義するポリシーは、すべての WIP ポリシーに含める必要があります。
WIP 構成では、クラスレス ドメイン間ルーティング (CIDR) 表記法はサポートされていません。

許可されているアプリがネットワーク上でエンタープライズ データを検索および送信できる場所を定義するには

  1. [アプリに関するポリシー] ブレードで、ポリシーの名前をクリックし、表示されたメニューの [詳細設定] をクリックします。

    [詳細設定] ブレードが表示されます。

  2. [ネットワーク境界] 領域で [ネットワーク境界の追加] をクリックします。

    [ネットワーク境界の追加] ブレードが表示されます。

    Microsoft Intune、アプリがネットワーク上でエンタープライズ データにアクセスできる場所の設定

  3. [境界の種類] ボックスで、追加するネットワーク境界の種類を選択します。

  4. [名前] ボックスに境界の名前を入力し、次の形式に従って [値] ボックスに値を入力して、[OK] をクリックします。

    境界の種類 値の形式 説明
    クラウド リソース プロキシを使用する場合: contoso.sharepoint.com,contoso.internalproxy1.com|
    contoso.visualstudio.com,contoso.internalproxy2.com

    プロキシを使用しない場合: contoso.sharepoint.com|contoso.visualstudio.com
    WIP により企業データとして扱われて保護されるクラウド リソースを指定します。

    クラウド リソースごとに、必要に応じて、そのクラウド リソースのトラフィックをルーティングするプロキシ サーバーをエンタープライズ内部プロキシ サーバーの一覧から指定することもできます。 内部プロキシ サーバーを経由してルーティングされるすべてのトラフィックは、エンタープライズ トラフィックと見なされることに注意してください。

    複数のリソースがある場合は、"|" を区切り文字として使う必要があります。 プロキシ サーバーを使わない場合は、"|" の前に "," も区切り文字として含める必要があります。 たとえば、URL <,proxy>|URL <,proxy> のようになります。

    重要
    アプリが IP アドレスを使用してクラウド リソースに直接接続する場合など、Windows では、アプリがエンタープライズ クラウド リソースと個人用サイトのどちらに接続使用としているのかを判断できないことがあります。 このような場合、Windows では、既定で接続をブロックします。 Windows がこれらの接続を自動的にブロックするのを中止するには、設定に /*AppCompat*/ という文字列を追加します。 たとえば、URL <,proxy>|URL <,proxy>|/*AppCompat*/ のようになります。

    この文字列を使用する場合は、[ドメイン参加済みまたは準拠としてマーク済み] オプションを使用して、Azure Active Directory の条件付きアクセスも有効にすることをお勧めします。これにより、条件付きアクセスで保護されているエンタープライズ クラウド リソースへのアプリのアクセスがブロックされます。
    ネットワーク ドメイン名 corp.contoso.com,region.contoso.com Windows 10 バージョン 1703 以降では、このフィールドは省略可能です。

    環境で使用される DNS サフィックスを指定します。 この一覧に含まれる完全修飾ドメインへのトラフィックはすべて保護されます。

    複数のリソースがある場合は、"," を区切り文字として使う必要があります。
    プロキシ サーバー proxy.contoso.com:80;proxy2.contoso.com:443 クラウド リソースにアクセスするためにデバイスが経由するプロキシ サーバーを指定します。 このサーバーの種類を使用した場合は、接続先のクラウド リソースがエンタープライズ リソースであることを示します。

    この一覧には、内部プロキシ サーバーの一覧に指定されているサーバーは含めないでください。 内部プロキシ サーバーは、WIP で保護された (エンタープライズ) トラフィックにのみ使用します。

    複数のリソースがある場合は、";" を区切り文字として使う必要があります。
    内部プロキシ サーバー contoso.internalproxy1.com;contoso.internalproxy2.com クラウド リソースにアクセスするためにデバイスが経由する内部プロキシ サーバーを指定します。 このサーバーの種類を使用した場合は、接続先のクラウド リソースがエンタープライズ リソースであることを示します。

    この一覧には、プロキシ サーバーの一覧に指定されているサーバーは含めないでください。 プロキシ サーバーは、WIP で保護されていない (非エンタープライズ) トラフィックにのみ使用します。

    複数のリソースがある場合は、";" を区切り文字として使う必要があります。
    IPv4 範囲 開始 IPv4 アドレス: 3.4.0.1
    終了 IPv4 アドレス: 3.4.255.254
    カスタム URI: 3.4.0.1-3.4.255.254,
    10.0.0.1-10.255.255.254
    Windows 10 バージョン 1703 以降では、このフィールドは省略可能です。

    イントラネット内の有効な IPv4 値の範囲のアドレスを指定します。 これらのアドレスは、ネットワーク ドメイン名と共に使用され、企業ネットワークの境界を定義します。

    複数の範囲がある場合は、"," を区切り文字として使う必要があります。
    IPv6 範囲 開始 IPv6 アドレス: 2a01:110::
    開始 IPv6 アドレス: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
    カスタム URI: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,
    fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
    Windows 10 バージョン 1703 以降では、このフィールドは省略可能です。

    イントラネット内の有効な IPv6 値の範囲のアドレスを指定します。 これらのアドレスは、ネットワーク ドメイン名と共に使用され、企業ネットワークの境界を定義します。

    複数の範囲がある場合は、"," を区切り文字として使う必要があります。
    ニュートラル リソース sts.contoso.com,sts.contoso2.com 会社の認証リダイレクト エンドポイントを指定します。

    これらの場所は、リダイレクト前の接続状況に応じて企業用または個人用と見なされます。

    複数のリソースがある場合は、"," を区切り文字として使う必要があります。
  5. 手順 1 ~ 4 を繰り返して、必要なネットワーク境界を追加します。

  6. Windows で追加のネットワーク設定を検索する必要があるかどうかを決定します。

    Microsoft Intune、企業内の追加のプロキシ サーバーまたは IP 範囲を Windows で検索するかどうかの選択

    • **[エンタープライズ プロキシ サーバーの一覧を優先する (自動検出しない)]: ** ネットワーク境界定義で指定したプロキシ サーバーを、ネットワークで利用できるすべてのプロキシ サーバーの一覧として Windows で扱う場合は、このボックスをオンにします。 このボックスをオフにしている場合、Windows はすぐ近くのネットワークで追加のプロキシ サーバーを検索します。

    • **[エンタープライズ IP 範囲の一覧を優先する (自動検出しない)]: ** ネットワーク境界定義で指定した IP 範囲を、ネットワークで利用できるすべての IP 範囲の一覧として Windows で扱う場合は、このボックスをオンにします。 このボックスをオフにすると、Windows は、ネットワークに接続済みでドメインに参加しているデバイスで、追加の IP 範囲を検索します。

データ回復エージェント (DRA) 証明書のアップロード

WIP ポリシーを作成して従業員に展開すると、Windows によって、従業員のローカル デバイス ドライブ上にある会社のデータの暗号化が開始されます。 何らかの理由で従業員のローカルの暗号化キーが紛失したり、取り消されたりした場合、暗号化されたデータを回復できなくなる可能性があります。 このような事態を防ぐために、データ回復エージェント (DRA) 証明書を使うと、データの暗号化を解除できる秘密キーを保持しながら、証明書に含まれる公開キーを使用して Windows でローカル データを暗号化できます。

重要

DRA 証明書の使用は必須ではありません。 ただし、使用することを強くお勧めします。 データ回復証明書を見つけてエクスポートする方法について詳しくは、「データ回復と暗号化ファイル システム (EFS)」をご覧ください。 EFS DRA 証明書を作成および検証する方法について詳しくは、「暗号化ファイル システム (EFS) データ回復エージェント (DRA) 証明書の作成と検証」をご覧ください。

DRA 証明書をアップロードするには

  1. [アプリに関するポリシー] ブレードで、ポリシーの名前をクリックし、表示されたメニューの [詳細設定] をクリックします。

    [詳細設定] ブレードが表示されます。

  2. [データ回復エージェント (DRA) 証明書をアップロードして、暗号化されたデータの回復を許可します] ボックスで、[参照] をクリックし、ポリシー用のデータ回復証明書を追加します。

    Microsoft Intune、データ回復エージェント (DRA) 証明書のアップロード

WIP 関連のオプション設定の選択

保護されているアプリからエンタープライズ データにアクセスできるネットワークの場所を決定したら、オプションの WIP 設定を追加するかどうかを決める必要があります。

オプション設定を指定するには

  1. 次のオプション設定のうち、必要な設定を指定します。

    Microsoft Intune、オプション設定を有効にするかどうかの選択

    • **[デバイスのロック時にアプリから会社のデータにアクセスできないようにします。 Windows 10 Mobile のみに適用されます]: ** ロックされているデバイス上で、従業員の PIN コードで保護されているエンタープライズ データをキーを使用して暗号化するかどうかを決定します。 デバイスがロックされている場合、アプリで会社のデータを読み取ることはできなくなります。 オプションは次のとおりです。

      • **オン (推奨): ** この機能を有効にして保護を強化します。

      • **オフまたは未構成: ** この機能を有効にしません。

    • **[登録解除時に暗号化キーを取り消す]: ** Windows 情報保護から登録解除された場合に、ユーザーのローカルの暗号化キーをデバイスから取り消すかどうかを決定します。 暗号化キーが取り消された場合、ユーザーは暗号化された会社のデータにアクセスできなくなります。 オプションは次のとおりです。

      • **オンまたは未構成 (推奨): ** 登録解除時に、デバイスからローカルの暗号化キーを取り消します。

      • **オフ: ** 登録解除時に、デバイスからローカルの暗号化キーが取り消されないようにします。 たとえば、モバイル デバイス管理 (MDM) ソリューション間を移行するときに役立ちます。

    • **[Windows Information Protection アイコン オーバーレイを表示する]: ** [名前を付けて保存] やエクスプローラーのビューで、会社のファイルに Windows 情報保護のアイコン オーバーレイを表示するかどうかを決定します。 オプションは次のとおりです。

      • オン: ** [名前を付けて保存] やエクスプローラーのビューで、会社のファイルに Windows 情報保護のアイコン オーバーレイが表示されるようにします。 また、許可されている非対応アプリでは、アイコン オーバーレイがアプリのタイルにも表示され、スタート** メニューのアプリ名には "管理対象" というテキストが追加されます。

      • **オフまたは未構成 (推奨): ** 会社のファイルや許可されている非対応アプリに、Windows 情報保護のアイコン オーバーレイが表示されないようにします。 既定のオプションは未構成です。

    • **[Azure RMS を WIP のために使います]: ** Windows 情報保護で Azure Rights Management 暗号化を使うかどうかを決定します。

      • **オン: ** WIP で Azure Rights Management 暗号化を使用します。 このオプションをオンにした場合は、TemplateID GUID を追加して、Azure Rights Management で保護されたファイルにアクセスできるユーザーと期間を指定することもできます。 WIP での Azure Rights Management の設定とテンプレート ID の使用については、このトピックの「WIP で Azure Rights Management を使うための設定」セクションをご覧ください。

      • **オフまたは未構成: ** WIP で Azure Rights Management 暗号化を使わないようにします。

WIP で Azure Rights Management を使うための設定

WIP を Microsoft Azure Rights Management と統合すると、USB ドライブなどのリムーバブル ドライブを使ったファイルの共有を安全に行うことができるようになります。 Azure Rights Management について詳しくは、「Microsoft Azure Rights Management」をご覧ください。 Azure Rights Management と WIP を統合するには、すでに Azure Rights Management をセットアップしている必要があります。

Azure Rights Management を使用するように WIP を構成するには、Microsoft Intune で、MDM 設定の AllowAzureRMSForEDP1 に設定する必要があります。 この設定によって、リムーバブル ドライブにコピーするファイルを Azure Rights Management を使用して暗号化するように WIP に指示されるため、従業員は Windows 10 Version 1703 以上を実行しているコンピューターでファイルを共有できます。

必要に応じて、組織内のすべてのユーザーが、企業データを共有できるようにしたくない場合は、MDM 設定の RMSTemplateIDForEDP を、データの暗号化に使用する Azure Rights Management テンプレートの TemplateID に設定できます。 EditRightsData オプションを使用してテンプレートをマークしていることを確認する必要があります、

メモ

AllowAzureRMSForEDPRMSTemplateIDForEDP MDM 設定の設定方法について詳しくは、「EnterpriseDataProtection CSP」をご覧ください。 カスタム テンプレートのセットアップと使用について詳しくは、「Azure Rights Management サービスのカスタム テンプレートを構成する」をご覧ください。

関連トピック

メモ

このトピックを改善するために、編集、追加、フィードバックの送信にご協力ください。 このトピックの改善に協力する方法については、「Contributing to TechNet content」(TechNet コンテンツへの貢献) をご覧ください。