従来の Microsoft Intune コンソールを使用して Windows 情報保護 (WIP) ポリシーを作成する

適用対象

  • Windows 10 バージョン 1607 以降
  • Windows 10 Mobile、バージョン 1607 以降

Microsoft Intune は、Windows 情報保護 (WIP) ポリシーの作成と展開に役立ちます。たとえば、許可されたアプリ、WIP 保護レベル、ネットワーク上のエンタープライズ データの検索方法を選択することができます。

WIP ポリシーの追加

組織向け Intune を設定したら、WIP 固有のポリシーを作成する必要があります。

WIP ポリシーを追加するには

  1. Intune 管理者コンソールを開き、[ポリシー] ノードに移動し、[タスク] 領域から [ポリシーの追加] をクリックします。

  2. [Windows] に移動し、[Windows Information Protection (Windows 10 Desktop および Mobile 以降)] ポリシーをクリックして、[カスタム ポリシーの作成および展開] をクリックします。次に、[ポリシーの作成] をクリックします。

    Microsoft Intune: 新しいポリシー画面から新しいポリシーの作成

  3. [名前] ボックス (必須) にポリシーの名前を、[説明] ボックス (オプション) にポリシーの説明を入力します。

    Microsoft Intune: 必須の [名前] フィールドとオプションの [説明] フィールドへの入力

アプリ規則へのポリシー追加

Intune でのポリシー作成手順の中で、WIP を使ったエンタープライズ データへのアクセスを許可するアプリを選択できます。 この一覧に含まれているアプリは、企業に代わってデータを保護することができますが、保護されていないアプリの場所にエンタープライズ データをコピーまたは移動することは制限されます。

アプリの規則を追加する手順は、適用する規則テンプレートの種類に応じて変わります。 ストア アプリ (ユニバーサル Windows プラットフォーム (UWP) アプリとも呼ばれます)、署名された Windows デスクトップ アプリ、または AppLocker ポリシー ファイルを追加できます。

重要

WIP 対応アプリでは、保護されていないネットワークの場所にエンタープライズ データを移動できなくなり、個人データの暗号化は回避されることが想定されます。 一方、WIP 非対応アプリでは企業ネットワークの境界が尊重されない可能性があり、作成または修正したファイルがすべて暗号化されます。 つまり、個人データが暗号化され、取り消し処理時にデータが失われる可能性があります。

[アプリの規則] 一覧にアプリを追加する前に、アプリで安全に WIP を使用できることを説明するサポート ステートメントをソフトウェア プロバイダーから入手するようにしてください。 このステートメントがない場合、取り消し後にアプリから必要なファイルにアクセスできなくなり、アプリで互換性の問題が発生する可能性があります。

ストア アプリ規則のポリシーへの追加

この例では、ストア アプリの Microsoft OneNote を [アプリの規則] 一覧に追加します。

ストア アプリを追加するには

  1. [アプリの規則] 領域で、[追加] をクリックします。

    [アプリの規則の追加] ボックスが表示されます。

    Microsoft Intune、ストア アプリのポリシーへの追加

  2. アプリのわかりやすい名前を [タイトル] ボックスに追加します。 この例では Microsoft OneNote です。

  3. [Windows Information Protection モード] ドロップダウン リストの [許可] をクリックします。

    許可することで WIP が有効化され、WIP 制限の適用を通じてアプリの企業データを保護できます。 アプリを除外するための手順については、このトピックの「WIP 制限からアプリの除外」セクションをご覧ください。

  4. [規則テンプレート] ドロップダウン リストから [ストア アプリ] を選択します。

    ボックスにストア アプリの規則のオプションが表示されるようになります。

  5. アプリの名前とその発行元の名前を入力し、[OK] をクリックします。 この UWP アプリの例では、[発行元]CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US で、[製品名]Microsoft.Office.OneNote です。

発行元名や製品名がわからない場合は、デスクトップ デバイスでも Windows 10 Mobile の電話でも、次の手順で確かめることができます。

ストアのアプリをインストールせずに発行元名と製品名の値を調べるには

  1. ビジネス向け Microsoft ストアの Web サイトに移動して、目的のアプリを探します。 たとえば、Microsoft OneNote を見つけます。

  2. アプリの URL から ID 値をコピーします。 たとえば、Microsoft OneNote の ID URL は https://www.microsoft.com/store/apps/onenote/9wzdncrfhvjl なので、ID 値 9wzdncrfhvjl をコピーします。

  3. ブラウザーで、ビジネス向けストア ポータルの Web API を実行して、発行元名と製品名の値を含む JavaScript Object Notation (JSON) ファイルを取得します。 たとえば、https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9wzdncrfhvjl/applockerdata を実行します。9wzdncrfhvjl は適切な ID 値に置き換えてください。

    API が実行され、アプリの詳細がテキスト エディターに表示されます。

    {
        "packageIdentityName": "Microsoft.Office.OneNote",
        "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
    }
    
  4. publisherCertificateNamepackageIdentityName の値をコピーして、Intune の [発行元名] ボックスと [製品名] ボックスにそれぞれ貼り付けます。

    重要

    JSON ファイルでは、[発行元名] ボックスと [製品名] ボックスの両方に対して 1 つの windowsPhoneLegacyId 値が返される場合もあります。 つまり、アプリで XAP パッケージを使用しているため、[製品名]windowsPhoneLegacyId に設定し、[発行元名]CN= に続けて windowsPhoneLegacyId に設定する必要があります。

    次に例を示します。

        {
            "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
        }
    

Windows 10 Mobile の電話にインストールされているアプリの発行元名と製品名の値を調べるには

  1. ビジネス向けストアで配布されていないモバイル アプリを追加する必要がある場合は、Windows Device Portal 機能を使う必要があります。


    PC と電話が同じワイヤレス ネットワーク上に存在している必要があります。

  2. Windows Phone で、[設定] に移動し、[更新とセキュリティ] を選んで、[開発者向け] を選択します。

  3. [開発者向け] 画面で、[開発者モード][デバイスの検出][Device Portal] の順にオンにします。

  4. [Device Portal] 領域の URL をコピーし、デバイスのブラウザーに貼り付けて、SSL 証明書を受け入れます。

  5. [デバイスの検出] 領域で [ペアリング] をタップし、前の手順で開いた Web サイトに PIN を入力します。

  6. Web サイトの [アプリ] タブに実行中のアプリの詳細が表示され、発行者名と製品名を確認できます。

  7. 発行者名と製品名の値を調べるアプリを起動します。

  8. publisherCertificateNamepackageIdentityName の値をコピーして、Intune の [発行元名] ボックスと [製品名] ボックスにそれぞれ貼り付けます。

    重要

    JSON ファイルでは、[発行元名] ボックスと [製品名] ボックスの両方に対して 1 つの windowsPhoneLegacyId 値が返される場合もあります。 つまり、アプリで XAP パッケージを使用しているため、[製品名]windowsPhoneLegacyId に設定し、[発行元名]CN= に続けて windowsPhoneLegacyId に設定する必要があります。

    次に例を示します。

        {
            "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
        }
    

デスクトップ アプリ規則のポリシーへの追加

この例では、デスクトップ アプリの Internet Explorer を [アプリの規則] 一覧に追加します。

デスクトップ アプリを追加するには

  1. [アプリの規則] 領域で、[追加] をクリックします。

    [アプリの規則の追加] ボックスが表示されます。

    Microsoft Intune、デスクトップ アプリのポリシーへの追加

  2. アプリのわかりやすい名前を [タイトル] ボックスに追加します。 この例では、Internet Explorer です。

  3. [Windows Information Protection モード] ドロップダウン リストの [許可] をクリックします。

    許可することで WIP が有効化され、WIP 制限の適用を通じてアプリの企業データを保護できます。 アプリを除外するための手順については、このトピックの「WIP 制限からアプリの除外」セクションをご覧ください。

  4. [規則テンプレート] ドロップダウン リストから [デスクトップ アプリ] を選択します。

    ボックスにストア アプリの規則のオプションが表示されるようになります。

  5. アプリの規則に含めるオプションを選択し (表を参照)、[OK] をクリックします。

    オプション 管理対象
    すべてのフィールドで "*" を保持 発行元によって署名されているすべてのファイル。 (非推奨)
    [発行元] を選択 指定の発行元によって署名されているすべてのファイル。

    このオプションは、会社が内部基幹業務アプリの発行元および署名者である場合に役立つ可能性があります。

    [発行元][製品名] を選択 指定の発行元によって署名されている、指定された製品のすべてのファイル。
    [発行元][製品名]、および [バイナリ名] を選択 指定の発行元によって署名されている、指定された製品の指定されたファイルまたはパッケージのすべてのバージョン。
    [発行元][製品名][バイナリ名]、および [ファイル バージョン]、[以上] を選択 指定の発行元によって署名されている指定された製品の、指定されたファイルまたはパッケージの指定されたバージョンと、そのバージョンより新しいすべてのリリース。

    以前は対応していなかった対応アプリにはこのオプションを使うことをお勧めします。

    [発行元][製品名][バイナリ名]、および [ファイル バージョン]、[以下] を選択 指定の発行元によって署名されている指定された製品の、指定されたファイルまたはパッケージの指定されたバージョンと、そのバージョンより前のすべてのリリース。
    [発行元][製品名][バイナリ名]、および [ファイル バージョン]、[対象バージョン]を選択 指定の発行元によって署名されている、指定された製品の指定されたファイルまたはパッケージの指定されたバージョン。

発行元に追加する内容がわからない場合は、次の PowerShell コマンドを実行できます。

    Get-AppLockerFileInformation -Path "<path of the exe>"

ここで、"<path of the exe>" はデバイス上のアプリの場所を示します。 たとえば、Get-AppLockerFileInformation -Path "C:\Program Files\Internet Explorer\iexplore.exe" などです。

この例では、次の情報が得られます。

    Path                   Publisher
    ----                   ---------
    %PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\INTERNET EXPLOR...

テキストの場合、[発行元名] ボックスに入力する発行元名は O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US です。

AppLocker ポリシー ファイルの追加

この例では、AppLocker XML ファイルを [アプリの規則] に追加します。 複数のアプリを同時に追加する場合にこのオプションを使用します。 AppLocker について詳しくは、「AppLocker」をご覧ください。

AppLocker ツールを使用してアプリの規則と xml ファイルを作成するには

  1. ローカル セキュリティ ポリシー スナップイン (SecPol.msc) を開きます。

  2. 左側のウィンドウで、[アプリケーション制御ポリシー] を展開し、[AppLocker][パッケージ アプリの規則] の順にクリックします。

    ローカル セキュリティ スナップイン、パッケージ アプリの規則の表示

  3. 右側のウィンドウを右クリックし、[新しい規則の作成] をクリックします。

    [Create Packaged app Rules] ウィザードが表示されます。

  4. [開始する前に] ページで、[次へ]をクリックします。

    パッケージ アプリの規則の作成ウィザード、[開始する前に] ページの表示

  5. [アクセス許可] ページで、[操作][許可] に設定され、[ユーザーまたはグループ][Everyone] に設定されていることを確認し、[次へ] をクリックします。

    パッケージ アプリの規則の作成ウィザード、[開始する前に] ページの表示

  6. [発行元] ページで、[インストール済みのパッケージ化されたアプリを参照として使用する] 領域の [選択] をクリックします。

    パッケージ アプリの規則の作成ウィザード、発行元の表示

  7. [アプリケーションの選択] ボックスで、規則の参照として使用するアプリを選択し、[OK] をクリックします。 この例では、Microsoft フォトを使用します。

    パッケージ アプリの規則の作成ウィザード、アプリケーションの選択ページの表示

  8. [発行元] ページで、[作成] をクリックします。

    パッケージ アプリの規則の作成ウィザード、発行元ページでの Microsoft フォトの表示

  9. ローカル セキュリティ ポリシー スナップインを確認し、規則が正しいことを確かめます。

    ローカル セキュリティ スナップイン、[新しい規則] の表示

  10. 左側のウィンドウで、[AppLocker] を右クリックし、[ポリシーのエクスポート] をクリックします。

    [ポリシーのエクスポート] ボックスが表示され、新しいポリシーを XML としてエクスポートおよび保存できます。

    ローカル セキュリティ スナップイン、ポリシーのエクスポート オプションの表示

  11. [ポリシーのエクスポート] ボックスで、ポリシーを保存する場所を参照し、ポリシーに名前を付けて、[保存] をクリックします。

    ポリシーが保存され、ポリシーから 1 つの規則がエクスポートされたことを伝えるメッセージが表示されます。

    XML ファイルの例
    これは、AppLocker で Microsoft フォト用に作成された XML ファイルです。

     <AppLockerPolicy Version="1">
        <RuleCollection Type="Exe" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Msi" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Script" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Dll" EnforcementMode="NotConfigured" />
        <RuleCollection Type ="Appx" EnforcementMode="NotConfigured">
            <FilePublisherRule Id="5e0c752b-5921-4f72-8146-80ad5f582110" Name="Microsoft.Windows.Photos, version 16.526.0.0 and above, from Microsoft Corporation" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
                <Conditions>
                    <FilePublisherCondition PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="Microsoft.Windows.Photos" BinaryName="*">
                        <BinaryVersionRange LowSection="16.526.0.0" HighSection="*" />
                    </FilePublisherCondition>
                </Conditions>
            </FilePublisherRule>
        </RuleCollection>
    </AppLockerPolicy>
    
  12. XML ファイルを作成したら、Microsoft Intune を使用してインポートする必要があります。

Microsoft Intune を使用して Applocker ポリシー ファイルのアプリの規則をインポートするには

  1. [アプリの規則] 領域で、[追加] をクリックします。

    [アプリの規則の追加] ボックスが表示されます。

    Microsoft Intune、Intune を使用した AppLocker ポリシー ファイルのインポート

  2. アプリのわかりやすい名前を [タイトル] ボックスに追加します。 この例では、Allowed app list です。

  3. [Windows Information Protection モード] ドロップダウン リストの [許可] をクリックします。

    許可することで WIP が有効化され、WIP 制限の適用を通じてアプリの企業データを保護できます。 アプリを除外するための手順については、このトピックの「WIP 制限からアプリの除外」セクションをご覧ください。

  4. [規則テンプレート] ドロップダウン リストから [AppLocker ポリシー ファイル] を選択します。

    ボックスで、AppLocker XML ポリシー ファイルをインポートできるようになります。

  5. [インポート] クリックして目的の AppLocker XML ファイルを参照し、[開く][OK] の順にクリックして [アプリの規則の追加] ボックスを閉じます。

    ファイルがインポートされ、[アプリの規則] 一覧にアプリが追加されます。

WIP 制限からアプリの除外

アプリが WIP と互換性がないことで互換性の問題が発生しているが、引き続きエンタープライズ データを使用する必要がある場合は、WIP 制限からアプリを除外することができます。 つまり、アプリでは自動暗号化やタグ付けが行われなくなり、ネットワークの制限が尊重されなくなります。 また、除外したアプリでデータ漏洩が発生する可能性があることも意味します。

ストア アプリ、デスクトップ アプリ、または AppLocker ポリシー ファイルのアプリの規則を除外するには

  1. [アプリの規則] 領域で、[追加] をクリックします。

    [アプリの規則の追加] ボックスが表示されます。

  2. アプリのわかりやすい名前を [タイトル] ボックスに追加します。 この例では、Exempt apps list です。

  3. [Windows Information Protection モード] ドロップダウン リストの [除外対象] をクリックします。

    アプリを除外すると、そのアプリは WIP 制限をバイパスして企業データにアクセスできるようになることに注意してください。 アプリを許可するには、このトピックの「アプリ規則のポリシーへの追加」セクションをご覧ください。

  4. 追加する規則の種類に応じて、アプリの規則に関する残りの情報を入力します。

  5. [OK]をクリックします。

エンタープライズ データの WIP 保護モードの管理

WIP で保護するアプリを追加したら、管理および保護モードを適用する必要があります。

まずは、[サイレント] または [上書きの許可] で始め、保護されたアプリの一覧に適切なアプリを含めていることを小規模なグループで検証することをお勧めします。 完了後に、最終的な強制ポリシーである [上書きの許可] または [上書きの非表示] に変更できます。

モード 説明
上書きの非表示 WIP によって不適切なデータ共有操作が検出され、従業員がその操作を完了することは禁止されます。 不適切な操作には、エンタープライズで保護されていないアプリ間での情報の共有のほか、エンタープライズ データを社外の人やデバイスと共有する操作が含まれます。
上書きの許可 WIP によって不適切なデータ共有が検出され、危険と見なされる操作を従業員が実行しようとすると警告が表示されます。 ただし、この管理モードでは、従業員はポリシーを上書きしてデータを共有でき、従業員が行った操作が Reporting CSP 経由でアクセスできる監査ログに記録されます。
サイレント WIP がメッセージを表示せずに実行され、"上書きの許可" モードであれば従業員による対話操作を要求する操作を何もブロックせずに、不適切なデータ共有をログに記録します。 ネットワーク リソースや WIP で保護されたデータにアプリから不適切にアクセスしようとするなど、許可されていない操作は引き続きブロックされます。
オフ (非推奨) WIP がオフになり、データの保護や監査は行われません。

WIP を無効にすると、ローカルで接続されたドライブ上にある WIP タグの付いたファイルに対して暗号化の解除が試みられます。 WIP 保護を再び有効化しても、以前の復号化とポリシーの情報は自動的に再適用されないので注意してください。

Microsoft Intune、データの保護モードの設定

企業で管理する企業 ID の定義

企業の ID は、プライマリ インターネット ドメインで表されるのが通常で (contoso.com など)、WIP の保護対象として指定したアプリの企業データを識別およびタグ付けするのに役立ちます。 たとえば、contoso.com を使用する電子メールは、企業データとして識別され、Windows 情報保護ポリシーにより制限されます。

企業が所有している複数のドメインを指定するには、各ドメインを "|" 文字で区切ります。 たとえば、(contoso.com|newcontoso.com) のようになります。 ドメインが複数存在する場合、最初のドメインが企業の ID として指定され、追加されたドメインはすべて最初のドメインによって所有されます。 すべての電子メール アドレス ドメインをこのリストに含めることを強くお勧めします。

企業の ID を追加するには

  • 企業の ID 名を [企業 ID] フィールドに入力します。 たとえば、contoso.comcontoso.com|newcontoso.com のようになります。

    Microsoft Intune、プライマリ インターネット ドメインの設定

アプリがエンタープライズ データにアクセスできる場所の選択

アプリに保護モードを追加したら、それらのアプリがネットワーク上でエンタープライズ データにアクセスできる場所を決める必要があります。

WIP には既定の場所が含まれていないため、それぞれのネットワークの場所を追加することが必要です。 企業の範囲で IP アドレスを取得し、いずれかの企業ドメインにバインドされた、すべてのネットワーク エンドポイント デバイスにこの領域が適用されます。これには SMB 共有も含まれます。 ローカル ファイル システムの場所では暗号化を維持する必要があります (ローカルの NTFS、FAT、ExFAT など)。

重要

企業ネットワークの場所を定義するポリシーは、すべての WIP ポリシーに含める必要があります。
WIP 構成では、クラスレス ドメイン間ルーティング (CIDR) 表記法はサポートされていません。

保護されているアプリがネットワーク上でエンタープライズ データを検索および送信できる場所を定義するには

  1. アプリでアクセスできるネットワークの場所をさらに追加するには、[追加] をクリックします。

    [企業ネットワークの定義の追加または編集] ボックスが表示されます。

  2. 企業ネットワーク要素の名前を [名前] ボックスに入力し、[ネットワーク要素] ドロップダウン ボックスからネットワーク要素の種類を選択します。 ここには、次の表のいずれかのオプションを含めることができます。

    Microsoft Intune、企業ネットワークの定義の追加

    ネットワークの場所の種類 形式 説明
    エンタープライズ クラウド リソース プロキシを使用する場合: contoso.sharepoint.com,contoso.internalproxy1.com|
    contoso.visualstudio.com,contoso.internalproxy2.com

    プロキシを使用しない場合: contoso.sharepoint.com|contoso.visualstudio.com

    WIP により企業データとして扱われて保護されるクラウド リソースを指定します。

    このクラウド リソースのトラフィックをルーティングするために、クラウド リソースごとに、エンタープライズ内部プロキシ サーバーの一覧からプロキシ サーバーを必要に応じて指定する場合もあります。 エンタープライズ内部プロキシ サーバーを経由してルーティングされるすべてのトラフィックは、エンタープライズ トラフィックと見なされることに注意してください。

    複数のリソースがある場合は、"|" を区切り文字として使用して分ける必要があります。 プロキシ サーバーを使わない場合は、"|" の前に "," も区切り文字として含める必要があります。 たとえば、URL <,proxy>|URL <,proxy> のようになります。

    重要
    アプリが IP アドレスを使用してクラウド リソースに直接接続する場合など、Windows では、アプリがエンタープライズ クラウド リソースと個人用サイトのどちらに接続使用としているのかを判断できないことがあります。 このような場合、Windows では、既定で接続をブロックします。 Windows がこれらの接続を自動的にブロックするのを中止するには、設定に /*AppCompat*/ という文字列を追加します。 たとえば、URL <,proxy>|URL <,proxy>|/*AppCompat*/ のようになります。

    この文字列を使用する場合、[ドメイン参加済みまたは準拠としてマーク済み] オプションを使用して、Azure Active Directory の条件付きアクセスも有効にすることをお勧めします。これにより、条件付きアクセスで保護されているエンタープライズ クラウド リソースへのアプリのアクセスがブロックされます。

    エンタープライズ ネットワーク ドメイン名 (必須) corp.contoso.com,region.contoso.com 環境で使用される DNS サフィックスを指定します。 このリストに表示される完全修飾ドメインへのすべてのトラフィックが保護されます。

    この設定は、IP 範囲設定と連携して、プライベート ネットワーク上のネットワーク エンドポイントが企業用か個人用かを検出します。

    複数のリソースがある場合は、"," を区切り文字として使用して分ける必要があります。

    エンタープライズ プロキシ サーバー proxy.contoso.com:80;proxy2.contoso.com:443 トラフィックがインターネットにアクセスするためのポートと共に、外部向けのプロキシ サーバー アドレスを指定します。

    この一覧には、エンタープライズ内部プロキシ サーバーの一覧にあるサーバーは含めないでください。このようなサーバーは、WIP で保護されるトラフィックに使用されるためです。

    この設定は、最終的には別のネットワーク上のプロキシ サーバーに到達する可能性がある場合にも必要となります。 このような場合、プロキシ サーバーが事前に定義されていないと、クライアント デバイスで企業リソースを利用できない可能性があります。たとえば、他の会社を訪問していて、その会社のゲスト ネットワークを利用していない場合などです。 このような状況が発生しないようにするには、クライアント デバイスが事前に定義されたプロキシ サーバーに VPN ネットワーク経由で到達できるようにする必要があります。

    複数のリソースがある場合は、";" を区切り文字として使用して分ける必要があります。

    エンタープライズ内部プロキシ サーバー contoso.internalproxy1.com;contoso.internalproxy2.com クラウド リソースにアクセスするためにデバイスが通過するプロキシ サーバーを指定します。

    このサーバーの種類を使用すると、接続するクラウド リソースは企業リソースになります。

    この一覧には、エンタープライズ プロキシ サーバーの一覧にあるサーバーは含めません。このようなサーバーは、WIP で保護されないトラフィックに使用されます。

    複数のリソースがある場合は、";" を区切り文字として使用して分ける必要があります。

    エンタープライズ IPv4 範囲 (IPv6 を使用しない場合に必須) 開始 IPv4 アドレス: 3.4.0.1
    終了 IPv4 アドレス: 3.4.255.254
    カスタム URI: 3.4.0.1-3.4.255.254,
    10.0.0.1-10.255.255.254
    イントラネット内の有効な IPv4 値の範囲のアドレスを指定します。 これらのアドレスは、エンタープライズ ネットワーク ドメイン名と共に使用され、企業ネットワークの境界を定義します。

    複数の範囲がある場合は、"," を区切り文字として使用して分ける必要があります。

    エンタープライズ IPv6 範囲 (IPv4 を使用しない場合に必須) 開始 IPv6 アドレス: 2a01:110::
    開始 IPv6 アドレス: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
    カスタム URI: 2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,
    fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
    イントラネット内の有効な IPv6 値の範囲のアドレスを指定します。 これらのアドレスは、エンタープライズ ネットワーク ドメイン名と共に使用され、企業ネットワークの境界を定義します。

    複数の範囲がある場合は、"," を区切り文字として使用して分ける必要があります。

    ニュートラル リソース sts.contoso.com,sts.contoso2.com 会社の認証リダイレクト エンドポイントを指定します。

    これらの場所は、リダイレクト前の接続状況に応じて企業用または個人用と見なされます。

    複数のリソースがある場合は、"," を区切り文字として使用して分ける必要があります。

  3. 必要なだけ場所を追加して、[OK]をクリックします。

    [企業ネットワークの定義の追加] ボックスが閉じます。

  4. Windows で追加のネットワーク設定を探す必要があるかどうかを決めます。

    Microsoft Intune、企業の追加のプロキシ サーバーまたは IP 範囲を Windows で検索する場合に選択

    • エンタープライズ プロキシ サーバー リストが優先されます (自動検出しません)。 ネットワーク境界定義で指定したプロキシ サーバーを、ネットワークで利用できるすべてのプロキシ サーバーの一覧として Windows で扱う場合は、このボックスをオンにします。 このボックスをオフにしている場合、Windows はすぐ近くのネットワークで追加のプロキシ サーバーを検索します。

    • エンタープライズ IP の範囲リストが優先されます (自動検出しません)。 ネットワーク境界定義で指定した IP 範囲を、ネットワークで利用できるすべての IP 範囲の一覧として Windows で扱う場合は、このボックスをオンにします。 このボックスをオフにしている場合、Windows は、ネットワークに接続済みでドメインに参加しているデバイスで、追加の IP 範囲を検索します。

  5. 必須の [データ回復エージェント (DRA) 証明書をアップロードして、暗号化されたデータの回復を許可します] ボックスで、[参照] をクリックし、プライバシーのデータ回復証明書を追加します。

    Microsoft Intune、データ回復エージェント (DRA) 証明書の追加

    WIP ポリシーを作成して従業員に展開すると、従業員のローカル デバイス ドライブ上にある企業データの暗号化が Windows によって開始されます。 何らかの方法で従業員のローカルの暗号化キーが紛失したり、取り消されたりした場合、暗号化されたデータが回復できなる可能性があります。 このようなことが起こらないようにするには、DRA 証明書を使えば、データの暗号化を解除できるプライベート キーを保持しながら、証明書に含まれる公開キーを使用して Windows でローカル データを暗号化できます。

    データ回復証明書を探してエクスポートする方法について詳しくは、「データ回復と暗号化ファイル システム (EFS)」をご覧ください。 EFS DRA 証明書を作成および検証する方法について詳しくは、「暗号化ファイル システム (EFS) データ回復エージェント (DRA) 証明書の作成と検証」をご覧ください。

Azure Rights Management と WIP の設定を選択する

WIP は Microsoft Azure Rights Management と統合して、USB ドライブなどのリムーバブル ドライブ経由でファイルを安全に共有できるようにします。 Azure Rights Management について詳しくは、「Microsoft Azure Rights Management」をご覧ください。 Azure Rights Management と WIP を統合するには、すでに Azure Rights Management をセットアップしている必要があります。

Azure Rights Management を使用するように WIP を構成するには、Microsoft Intune で、MDM 設定の AllowAzureRMSForEDP1 に設定する必要があります。 この設定によって、リムーバブル ドライブにコピーするファイルを Azure Rights Management を使用して暗号化するように WIP に指示されるため、従業員は Windows 10 Version 1703 以上を実行しているコンピューターでファイルを共有できます。

必要に応じて、組織内のすべてのユーザーが、企業データを共有できるようにしたくない場合は、MDM 設定の RMSTemplateIDForEDP を、データの暗号化に使用する Azure Rights Management テンプレートの TemplateID に設定できます。 EditRightsData オプションを使用してテンプレートをマークしていることを確認する必要があります、

注意

AllowAzureRMSForEDPRMSTemplateIDForEDP MDM 設定の設定方法について詳しくは、「EnterpriseDataProtection CSP」をご覧ください。 カスタム テンプレートのセットアップと使用について詳しくは、「Azure Rights Management サービスのカスタム テンプレートを構成する」をご覧ください。

オプションの WIP 関連設定の選択

保護されているアプリからエンタープライズ データにアクセスできるネットワークの場所を決定したら、オプションの WIP 設定を追加するかどうかを決める必要があります。

Microsoft Intune、追加のオプション設定の選択

オプション設定を指定するには

  1. いずれかのオプション設定、またはすべてのオプション設定を指定するように選択します。

    • エクスプローラーと Windows の [名前を付けて保存] ダイアログに [ファイル所有権] メニューの [個人用] オプションを表示する。 エクスプローラーおよび [名前を付けて保存] ダイアログ ボックスに [個人用] オプションが表示されるようにするかどうかを決定します。 オプションは次のとおりです。

      • [はい] または [未構成] (推奨)。 エクスプローラーおよび [名前を付けて保存] ダイアログ ボックスで、ファイルが [仕事用][個人用] かを従業員が選択できます。

      • [いいえ]。 従業員から [個人用] オプションが見えなくなります。 このオプションを選択した場合、[名前を付けて保存] ダイアログ ボックスを使用したアプリでは、最初のファイル作成時に別のファイルパスを渡さない限り、新しいファイルが企業データとして暗号化される可能性があるので注意してください。 こうなった場合、仕事用ファイルの暗号化を解除することはより難しくになります。

    • デバイスのロック時にアプリから会社のデータにアクセスできないようにします。Windows 10 Mobile のみに適用されます。 ロックされているデバイス上で、従業員の PIN コードで保護されているエンタープライズ データをキーを使用して暗号化するかどうかを決定します。 デバイスがロックされている場合、アプリで企業データを読み取ることができなくなります。 オプションは次のとおりです。

      • [はい] (推奨)。 機能を有効にして保護をさらに追加します。

      • [いいえ] または [未構成]。 機能を有効にしません。

    • 登録解除時に暗号化キーを取り消す。 Windows 情報保護から登録解除された場合に、ユーザーのローカルの暗号化キーをデバイスから取り消すかどうかを決定します。 暗号化キーが取り消された場合、ユーザーは暗号化された企業データにアクセスできなくなります。 オプションは次のとおりです。

      • [はい] または [未構成] (推奨)。 登録解除時にローカルの暗号化キーをデバイスから取り消します。

      • [いいえ]。 登録解除時に、ローカルの暗号化キーがデバイスから取り消されるのを停止します。 たとえば、モバイル デバイス管理 (MDM) ソリューション間を移行している場合が挙げられます。

    • 暗号化された会社のデータとストア アプリを Windows Search で検索できるようにする。 暗号化された企業データとストア アプリを Windows Search で検索およびインデックス付けできるようにするかどうかを決定します。 オプションは次のとおりです。

      • [はい]。 暗号化された会社のデータとストア アプリを Windows Search で検索およびインデックス付けできるようなります。

      • [いいえ] または [未構成] (推奨)。 暗号化された企業データとストア アプリを Windows Search で検索およびインデックス付けできなくなります。

    • Windows Information Protection アイコン オーバーレイを表示する [名前を付けて保存] やエクスプローラーのビューで、企業ファイルに Windows 情報保護アイコン オーバーレイを表示するかどうかを決定します。 オプションは次のとおりです。

      • [はい]。 [名前を付けて保存] やエクスプローラーのビューで、企業ファイルに Windows 情報保護アイコン オーバーレイが表示されるようにします。 また、非対応だが許可されているアプリの場合、アイコン オーバーレイはアプリのタイルにも表示され、スタート メニューのアプリ名には、[Managed] (管理対象) というテキストが示されます。

      • [いいえ] または 未構成 企業ファイルや許可されている非対応アプリで、Windows 情報保護アイコン オーバーレイが表示されないようにします。 既定のオプションは [未構成] です。

  2. [ポリシーの保存] をクリックします。

関連トピック

注意

このトピックを改善するために、編集、追加、フィードバックの送信にご協力ください。 このトピックの改善に協力する方法については、「Contributing to TechNet content」(TechNet コンテンツへの貢献) をご覧ください。