次の方法で共有


Windows のアプリ保護ポリシー設定

この記事では、Windows のアプリ保護ポリシー (APP) 設定について説明します。 説明されているポリシー設定は、新しいポリシーを作成するときに、Intune 管理センターの [設定] ウィンドウでアプリ保護ポリシーに対して構成できます。

個人用 Windows デバイス上の Microsoft Edge を使用して、組織データへの保護された MAM アクセスを有効にすることができます。 この機能は Windows MAM と呼ばれ、Intune アプリケーション構成ポリシー (ACP)、Intune アプリケーション保護ポリシー (APP)、Windows Security Center クライアント脅威防御、および Application Protection 条件付きアクセスを使用する機能を提供します。 Windows MAM の詳細については、「Windows MAM のデータ保護」、「Windows 用の MTD アプリ保護ポリシーの作成」、および「Intune を使用して Windows 用 Microsoft Edge を構成する」を参照してください。

Windows のアプリ保護ポリシー設定には、次の 2 つのカテゴリがあります。

重要

Windows 上の Intune MAM では、アンマネージド デバイスがサポートされています。 デバイスが既に管理されている場合、Intune MAM 登録はブロックされ、APP 設定は適用されません。 MAM 登録後にデバイスが管理されると、APP 設定は適用されなくなります。

データの保護

[データ保護] 設定は、組織のデータとコンテキストに影響します。 管理者は、組織保護のコンテキストとの間でデータの移動を制御できます。 組織コンテキストは、指定した組織アカウントからアクセスされるドキュメント、サービス、サイトによって定義されます。 次のポリシー設定は、組織コンテキストに受信した外部データと、組織コンテキストから送信された組織データを制御するのに役立ちます。

データ転送

Setting 使用方法 既定値
からデータを受信する 次のいずれかのオプションを選択して、組織ユーザーがデータを受信できるソースを指定します。
  • すべてのソース: 組織ユーザーは、任意のアカウント、ドキュメント、場所、またはアプリケーションから組織コンテキストにデータを開くことができます。
  • ソースなし: 組織ユーザーは、外部アカウント、ドキュメント、場所、またはアプリケーションから組織コンテキストにデータを開くできません。 : Microsoft Edge の場合、[ ソースなし] は、ドラッグ アンド ドロップまたはファイルを開くダイアログを使用してファイルのアップロード動作を制御します。 サイト/タブ間のローカル ファイルの表示と共有はブロックされます。


すべてのソース
組織データの送信先 次のいずれかのオプションを選択して、ユーザーがデータを送信できる送信先を指定します。
  • すべての宛先: 組織ユーザーは、任意のアカウント、ドキュメント、場所、またはアプリケーションに組織データを送信できます。
  • 宛先なし: 組織ユーザーは、組織のコンテキストから外部アカウント、ドキュメント、場所、またはアプリケーションに組織データを送信できません。 : Microsoft Edge の場合、[ 宛先なし] はファイルのダウンロードをブロックします 。 これは、サイト/タブ間でのファイルの共有がブロックされることを意味します。


すべての宛先
の切り取り、コピー、貼り付けを許可する 次のいずれかのオプションを選択して、組織ユーザーが組織データを切り取ったりコピーしたり貼り付けたりできるソースと宛先を指定します。
  • コピー先とソース: 組織のユーザーは、任意のアカウント、ドキュメント、場所、またはアプリケーションからデータを貼り付け、データを切り取り/コピーできます。
  • 宛先またはソースなし: 組織ユーザーは、外部アカウント、ドキュメント、場所、またはアプリケーションとの間で、または組織コンテキストとの間でデータを切り取り、コピー、または貼り付けることはできません。 : Microsoft Edge の場合、Web コンテンツ内でのみ、 コピー先ブロックまたはソース ブロックの切り取り、コピー、貼り付けの動作はありません。 切り取り、コピー、貼り付けはすべての Web コンテンツから無効になりますが、アドレス バーを含むアプリケーション コントロールは無効になりません。


任意の宛先と任意のソース

機能

Setting 使用方法 既定値
組織データを出力する [ ブロック] を 選択して、組織データの印刷を禁止します。 [ 許可] を 選択して、組織データの印刷を許可します。 個人データまたは管理されていないデータは影響を受けません。 許可

正常性チェック

アプリ保護ポリシーの正常性チェック条件を設定します。 [ 設定] を選択し、組織データにアクセスするためにユーザーが満たす必要がある を入力します。 次に、ユーザーが条件を満たしていない場合に実行する アクション を選択します。 場合によっては、単一の設定に対して複数のアクションを構成できます。 詳細については、「 正常性チェック アクション」を参照してください。

アプリの条件

組織のアカウントとデータへのアクセスを許可する前に、アプリケーションの構成を確認するために、次の正常性チェック設定を構成します。

注:

ポリシーで管理されるアプリという用語は、アプリ保護ポリシーで構成されているアプリを指します。

Setting 使用方法 既定値
[オフラインの猶予期間] ポリシーで管理されたアプリがオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。

"アクション" に含まれている項目:

  • アクセスのブロック (分): ポリシーで管理されたアプリがオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。 構成された期間が過ぎると、ネットワーク アクセスが利用可能になるまで、職場や学校のデータへのアクセスがアプリによってブロックされます。 データ アクセスをブロックするためのオフライン猶予期間タイマーは、Intune サービスでの最後のチェックインに基づいて計算されます。 このポリシー設定の形式は、正の整数をサポートします。
  • データのワイプ (日数): オフラインで実行する日数 (管理者によって定義) が経過すると、アプリはユーザーがネットワークに接続して再認証する必要があります。 ユーザーが正常に認証された場合、引き続きデータにアクセスでき、オフライン間隔がリセットされます。 ユーザーの認証が失敗した場合、アプリはユーザーのアカウントとデータの選択的ワイプを実行します。 選択的ワイプで削除されるデータの詳細については、「Intune で管理されているアプリから会社のデータをワイプする方法」を参照してください。 データをワイプするためのオフライン猶予期間タイマーは、Intune サービスでの最後のチェックインに基づいてアプリによって計算されます。 このポリシー設定の形式は、正の整数をサポートします。
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。

ブロック アクセス (分): 720 分 (12 時間)

データのワイプ (日数): 90

アプリの最小バージョン アプリケーションの最小バージョンの値を指定します。

"アクション" に含まれている項目:

  • [警告] - デバイス上のアプリ バージョンが要件を満たさない場合、通知が表示されます。 この通知は閉じることができます。
  • [アクセスのブロック] - デバイスのアプリ バージョンが要件を満たさない場合、アクセスがブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
多くの場合、アプリ間に個別のバージョン管理スキームが存在する場合は、1 つのアプリを対象とする 1 つの最小アプリ バージョンでポリシーを作成します。

このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。

このポリシー設定では、一致する Windows アプリ バンドルのバージョン形式 (major.minor または major.minor.patch) がサポートされています。
既定値なし
SDK の最小バージョン Intune SDK のバージョンの最小値を指定します。

"アクション" に含まれている項目:

  • [アクセスのブロック] - アプリの Intune アプリ保護ポリシー SDK バージョンが要件を満たさない場合、アクセスがブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。
既定値なし
無効なアカウント ユーザーの Microsoft Entra アカウントが無効になっている場合は、自動アクションを指定します。 管理者は、1 つのアクションのみを指定できます。 この設定に設定する値はありません。 "アクション" に含まれている項目:
  • アクセスをブロック する - Microsoft Entra ID でユーザーが無効になっていることを確認すると、アプリは職場または学校のデータへのアクセスをブロックします。
  • データのワイプ - Microsoft Entra ID でユーザーが無効になっていることを確認すると、アプリはユーザーのアカウントとデータの選択的ワイプを実行します。
手記: 接続、認証、その他の理由でユーザーの状態を確認できない場合、これらのアクション (アクセスのブロックデータのワイプ) は適用されません。
既定値なし

デバイスの条件

組織のアカウントとデータへのアクセスを許可する前に、デバイスの構成を確認するために、次の正常性チェック設定を構成します。 同様のデバイス ベースの設定は、登録済みデバイスに対して構成できます。 詳しくは、登録済みデバイスのデバイス コンプライアンス設定の構成に関する記事をご覧ください。

Setting 使用方法 既定値
OS の最小バージョン このアプリを使用する最小 Windows オペレーティング システムを指定します。

"アクション" に含まれている項目:

  • 警告 - デバイス上の Windows バージョンが要件を満たしていない場合、ユーザーに通知が表示されます。 この通知は閉じることができます。
  • アクセスのブロック - デバイス上の Windows バージョンがこの要件を満たしていない場合、ユーザーはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。

このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。

Windows バージョンを見つけるには、コマンド プロンプトを開きます。 バージョンは、コマンド プロンプト ウィンドウの上部に表示されます。 使用するバージョン形式の例は 、10.0.22631.3155 ですwinver コマンドを使用すると、OS ビルド (22631.3155 など) のみが表示されます。これは正しい形式ではありません。
OS の最大バージョン このアプリを使用する最大 Windows オペレーティング システムを指定します。

"アクション" に含まれている項目:

  • 警告 - デバイス上の Windows バージョンが要件を満たしていない場合、ユーザーに通知が表示されます。 この通知は閉じることができます。
  • アクセスのブロック - デバイス上の Windows バージョンがこの要件を満たしていない場合、ユーザーはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。

このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。

このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。
許容される最大デバイス脅威レベル アプリ保護ポリシーでは、Intune-MTD コネクタを利用できます。 このアプリの使用に対して許容される最大脅威レベルを指定します。 脅威は、エンド ユーザー デバイスで選択された Mobile Threat Defense (MTD) ベンダー アプリによって決定されます。 "セキュリティ保護"、""、""、"" のいずれかを指定します。 "セキュリティ保護" は、デバイスに対する脅威は不要で、構成可能な最も制限の厳しい値であるのに対し、"" では基本的に Intune と MTD の間のアクティブな接続が必要です。

"アクション" に含まれている項目:

  • アクセスのブロック - エンド ユーザー デバイスで選択されている Mobile Threat Defense (MTD) ベンダー アプリによって決定された脅威レベルがこの要件を満たしていない場合、ユーザーはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。

この設定の使用方法について詳しくは、未登録デバイスに対する MTD の有効化に関する記事をご覧ください。

追加情報

Windows デバイス用 APP の詳細については、次のリソースを参照してください。