アプリ保護ポリシー (APP) は、組織のデータが安全な状態にあるか、またはマネージド アプリ内に格納されることを保証するルールです。 ポリシーは、ユーザーが企業データにアクセスまたは移動しようとしたときに適用されるルール、またはデバイス ユーザーがアプリを使用しているときに禁止または監視される一連のアクションです。 マネージド アプリは、アプリ保護ポリシーが適用され、Intuneなどのエンタープライズ管理ソリューションによって管理されるアプリです。
アプリ保護 ポリシー フレームワーク
アプリ保護ポリシーを構成する場合、組織が特定のニーズに合わせてデータ保護を調整できるようにするさまざまな設定とオプションがあります。 この柔軟性により、完全なシナリオを実装するために必要なポリシー設定の組み合わせが明らかでない場合があります。 組織がクライアント エンドポイントの強化作業に優先順位を付けるために、Microsoft は Windows のセキュリティ構成に分類を導入しており、Intuneは、モバイル アプリ管理用の APP データ保護フレームワークにも同様の分類を使用しています。
APP データ保護構成フレームワークは、次の 3 つの異なる構成シナリオに編成されています。
レベル 1 のエンタープライズ基本データ保護: Microsoft では、エンタープライズ デバイスの最小データ保護構成として、この構成をお勧めします。
レベル 2 のエンタープライズ拡張データ保護: Microsoft では、ユーザーが機密情報または機密情報にアクセスするデバイスに対して、この構成をお勧めします。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。 一部の制御は、ユーザー エクスペリエンスに影響を与える可能性があります。
レベル 3 のエンタープライズ高データ保護:Microsoft では、大規模または高度なセキュリティ チームを持つorganizationによって実行されるデバイス、または一意に昇格したリスクを持つ特定のユーザーまたはグループ (不正な開示によってorganizationに重大な損失が発生する機密データを監視するユーザー) に対して、この構成をお勧めします。 十分な資金を持ち、洗練された敵対者の標的となる可能性が高いorganizationは、この構成を熱望する必要があります。
Data Protection Framework のデプロイ手法
新しいソフトウェア、機能、または設定を展開する場合、Microsoft では、APP データ保護フレームワークをデプロイする前に、検証をテストするためのリング手法に投資することをお勧めします。 デプロイ リングの定義は、1 回限りのイベント (または少なくとも頻度の低いイベント) ですが、IT は、シーケンスがまだ正しいことを確認するために、これらのグループを再検討する必要があります。
フレームワーク設定の詳細については、「アプリ保護 フレームワーク」を参照してください。
Microsoft Edge for Businessのアプリ保護 ポリシー (Windows)
Windows のアプリ保護ポリシーは、データ損失防止 (DLP) コントロールを使用して、個人用コンピューター上の仕事用リソースへの安全で準拠したアクセスを提供します。
アプリ保護ポリシー フレームワークの包括的な理解を得たので、Windows の初期アプリ保護ポリシーを確立する準備ができました。 この例では、アプリ保護ポリシーを作成しています。 このドキュメントで取り上げるとおり、フレームワークを使用すると、特定の要件に合わせてさまざまなレベルを作成できます。 次の例は、Microsoft が推奨する レベル 3 ポリシーにのみ適用できます。 各レベルでこれらの手順をレプリケートし、指定された推奨事項に従って値が調整されるようにすることが重要です。 この方法では、organizationの個別のニーズを満たすように各ポリシー レベルが正確に構成されていることが保証されます。
データ保護フレームワークを適用する
データ保護フレームワークを適用するには、次の手順に従います。
Microsoft Intune管理センターに移動します。
[Apps>Protection>Create>Windows] を選択します。
[ ポリシーの作成 ] 手順で、次の詳細を設定します。
- 名前: レベル 3 のセキュリティで保護されたエンタープライズ ブラウザー ポリシー
- 説明: このポリシーは、セキュリティで保護されたエンタープライズ ブラウザー用のレベル 3 App Protection Framework ポリシーです。
- プラットフォーム: Windows
[ 次へ ] を選択して、次の手順を表示します。
[ アプリ ] ステップで、[ アプリの選択 ] をクリックして、[ ターゲットにするアプリの選択 ] ウィンドウを表示します。
[Microsoft Edge] を見つけて選択します。
[ 選択 ] をクリックしてアプリを選択します。
[ 次へ ] を選択して、次の手順を表示します。
レベル 3 の推奨事項に従って、次の値を使用してこの手順を構成します。
- データの受信元: ソースなし
- 組織データの送信先: 宛先なし
- [切り取り、コピー、貼り付けを許可する]: 宛先またはソースなし
- 組織データの印刷: ブロック
[ 次へ ] を選択して、次の手順に進みます。
レベル 3 の推奨事項に従って、次の値を使用してこの手順を構成します。
- オフライン猶予期間: 720、アクセスのブロック (分)
- オフライン猶予期間: 90、データのワイプ (日数)
- 最大 OS バージョン: 10.0.22631.2715、アクセスをブロックする
- 許可されるデバイスの最大脅威レベル: セキュリティで保護され、アクセスをブロックする
[ 次へ ] をクリックして、次の手順を表示します。
[スコープ タグ] ステップでは、環境に適したスコープ タグと、このポリシーにアクセスできるロールを選択する必要があります。
[ 割り当て] ステップで 、[ グループの追加] を選択し、目的のグループを選択します。 この例では、すべての VPN ユーザーを選択します。 ただし、運用環境でこのポリシーを割り当てる場合は、 レベル 3 のアプリ保護に従う必要があるユーザーに最適な新しいユーザー グループを作成する必要があります。
[ 次へ ] をクリックして、次の手順に進みます。
[ 確認と作成 ] 手順で、各項目を確認し、 レベル 3 の構成が正しいことを確認します。 イベント後
[ 次へ ] をクリックしてポリシーを作成します。
これで、Windows ポリシー用の最初の MAM が作成され、Intune テナント内で使用できるようになります。
Microsoft Edge for Businessのアプリ保護 ポリシー (モバイル)
既存のデータセキュリティと管理戦略にMicrosoft Edge for Businessを組み込みます。 モバイル デバイスのエンタープライズ ブラウザー構成をセキュリティで保護することで、より安全で効率的な Web 閲覧エクスペリエンスを確保できます。
Microsoft Edge for Business管理とセキュリティの両方に利点があります。
- 管理: Microsoft Edge for Businessは、シームレスな統合でMicrosoft Intuneによってネイティブにサポートされる唯一のモバイル ブラウザーです。 organizationの生産性を確保するために、アプリ レベルの管理により、IT はデータ保護とアクセスの適切なバランスを構成できます。
- セキュリティ: データ保護と漏洩防止は、条件付きアクセスとユーザー ID に基づいています。 Microsoft 365 のセキュリティ機能は、Microsoft Entra条件付きアクセスやデータ損失防止など、Microsoft Edge for Businessモバイルにまで及びます。 VPN ソリューションを利用している組織の場合、Microsoft Edge モバイルでは、ID 対応のアプリごとの VPN がサポートされています。 これには、シームレスで安全な接続のための microsoft Tunnel とIntuneの統合が含まれます。 さらに、VPN を必要としないソリューションも利用できます。
モバイル向けのアプリ保護 ポリシー
アプリ保護 ポリシー (APP) は、許可されるアプリと、organizationのデータで実行できるアクションを定義します。 APP で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。
APP データ保護フレームワークは、 手順 2 で前述したように、3 つの異なる構成レベルに編成されています。 各レベルは、前のレベルからビルドされます。
- エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化され、選択的ワイプ操作が可能になります。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。
- エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
- エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。
各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。
次に、管理センターから Microsoft Edge のレベル 3 アプリ保護ポリシー Microsoft Intune作成します。
アプリ保護ポリシーを作成するには、次の手順に従います。
Microsoft Intune管理センターに移動し、[Apps>Protection>Create] を選択します。
[ ポリシーの作成>Android または iOS/iPadOS] を選択します。 次に、次の情報を入力します。
- 名前: レベル 3 のセキュリティで保護されたエンタープライズ ブラウザー。
- 説明: レベル 3 のアプリ保護ポリシー フレームワークを次に示します。
[ 選択したアプリ>パブリック アプリ] をクリックします。 Microsoft Edge を検索します。
[ データ保護 ] を選択し、次の表に基づいて 設定 を構成します。
設定 設定の説明 値 プラットフォーム レベル データ転送 電話通信データの転送先 ポリシーで管理されるダイヤラー アプリ Android 3 データ転送 電話通信データの転送先 特定のダイヤラー アプリ iOS/iPadOS 3 データ転送 電話アプリ URL スキーム replace_with_dialer_app_url_scheme iOS/iPadOS 3 データ転送 他のアプリからデータを受信 ポリシーで管理されているアプリ iOS/iPadOS、Android 3 データ転送 データを開いて組織ドキュメントに読み込む ブロック iOS/iPadOS、Android 3 データ転送 選択したサービスからデータを開くことをユーザーに許可する OneDrive for Business、SharePoint、カメラ、フォト ライブラリ iOS/iPadOS、Android 3 データ転送 サード パーティ製キーボード ブロック iOS/iPadOS 3 データ転送 承認済みキーボード 必須 Android 3 データ転送 承認するキーボードを選択する キーボードの追加/削除 Android 3 データ転送 組織データを...にバックアップします。 ブロック iOS/iPadOS、Android 3 データ転送 組織データを他のアプリに送信する ポリシーで管理されているアプリ iOS/iPadOS、Android 3 データ転送 除外するアプリを選択します 既定/skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; iOS/iPadOS 3 データ転送 組織データのコピーを保存 ブロック iOS/iPadOS、Android 3 データ転送 選択したサービスへのコピーの保存をユーザーに許可する OneDrive for Business、SharePoint Online、フォト ライブラリ iOS/iPadOS、Android 3 データ転送 電話通信データの転送先 任意の電話アプリ iOS/iPadOS、Android 3 データ転送 アプリ間での切り取り、コピー、貼り付けを制限する 貼り付けを使用して管理対象アプリをポリシーする iOS/iPadOS、Android 3 次の表に基づいて、[ 暗号化 ] セクションの 設定 を確認します。
設定 設定の説明 値 プラットフォーム レベル 暗号化 組織データを暗号化する 必須 iOS/iPadOS、Android 3 次の表に基づいて 、[機能] セクションの 設定 を確認します。
設定 設定の説明 値 プラットフォーム レベル 機能 組織データの印刷 ブロック iOS/iPadOS、Android、Windows 3 機能 ネイティブ連絡先アプリとアプリを同期する 許可 iOS/iPadOS、Android 3 機能 組織のデータ通知 組織データをブロックする iOS/iPadOS、Android 3 機能 その他のアプリでの Web コンテンツの転送を制限する Microsoft Edge iOS/iPadOS、Android 3 機能 ポリシーのマネージド アプリ データをネイティブ アプリと同期するか、アドインを追加する 許可 iOS/iPadOS、Android 3 3 つのセクションをすべて完了したら、[ 次へ] を選択します。
次の表に基づいて、[ アクセス要件] セクションの 設定 を確認します。
設定 設定の説明 値 プラットフォーム レベル アクセス要件 単純な PIN ブロック iOS/iPadOS、Android 3 アクセス要件 [PIN の最小長] を選択します 6 iOS/iPadOS、Android 3 アクセス要件 PIN をリセットするまでの日数 はい iOS/iPadOS、Android 3 アクセス要件 デバイス ロックが必要 高/ブロック アクセス Android 3 アクセス要件 脱獄またはルート化されたデバイス N/A / データのワイプ iOS/iPadOS、Android 3 アクセス要件 OS の最大バージョン 形式: メジャー.マイナー Android 3 アクセス要件 Samsung Knox デバイスの構成証明 [データのワイプ] Android 3 アクセス要件 組織データを...にバックアップします。 ブロック iOS/iPadOS、Android 3 アクセス要件 選択したサービスへのコピーの保存をユーザーに許可する OneDrive for Business、SharePoint Online、フォト ライブラリ iOS/iPadOS、Android 3 アクセス要件 アプリ間での切り取り、コピー、貼り付けを制限する 貼り付けを使用して管理対象アプリをポリシーする iOS/iPadOS、Android 3 アクセス要件 組織データのコピーを保存 ブロック iOS/iPadOS、Android 3 アクセス要件 スクリーン キャプチャと Google アシスタント ブロック Android 3 アクセス要件 除外するアプリを選択します 既定/skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; iOS/iPadOS 3 アクセス要件 組織データを他のアプリに送信する ポリシーで管理されているアプリ iOS/iPadOS、Android 3 アクセス要件 デバイスの PIN が設定されている場合のアプリ PIN 必須 iOS/iPadOS、Android 3 アクセス要件 アクセス用の PIN ではなく生体認証 許可 iOS/iPadOS、Android 3 アクセス要件 [SafetyNet デバイスの構成証明] 基本的な整合性と認定されたデバイス / アクセスをブロックする Android 3 アクセス要件 アプリで脅威スキャンを要求する N/A / アクセスをブロックする Android 3 アクセス要件 デバイス ロックが必要 Low/Warn Android 3 アクセス要件 OS の最小バージョン 形式: Major.MinorExample: 9.0 / ブロック アクセス Android 3 アクセス要件 最小パッチ バージョン 形式: YYYY-MM-DD Android 3 アクセス要件 [Required SafetyNet evaluation type]\(必須の SafetyNet の評価の種類\) ハードウェアを利用するキー Android 3 アクセス要件 組織データを暗号化する 必須 iOS/iPadOS、Android 3 アクセス要件 登録済みデバイス上の組織データを暗号化する 必須 Android 3 アクセス要件 ネイティブ連絡先アプリとアプリを同期する 許可 iOS/iPadOS、Android 3 アクセス要件 その他のアプリでの Web コンテンツの転送を制限する Microsoft Edge iOS/iPadOS、Android 3 アクセス要件 組織のデータ通知 組織データをブロックする iOS/iPadOS、Android 3 アクセス要件 タイムアウト後に PIN で生体認証をオーバーライドする 必須 iOS/iPadOS、Android 3 アクセス要件 アクセスに PIN を使用 必須 iOS/iPadOS、Android 3 アクセス要件 PIN の種類 数値 iOS/iPadOS、Android 3 アクセス要件 (非アクティブ分数) 後にアクセス要件を再確認する 30 iOS/iPadOS、Android 3 アクセス要件 維持する以前の PIN 値の数を選択する 0 Android 3 アクセス要件 タイムアウト (アクティビティの分) 720 iOS/iPadOS、Android 3 アクセス要件 [オフラインの猶予期間] 許可 iOS/iPadOS 3 アクセス要件 アクセスに職場または学校アカウントの資格情報を使用 必須ではありません iOS/iPadOS、Android 3 [次へ] を選択します。
次の表に基づいて、[ 条件付き起動] セクションの 設定 を確認します。
| 設定 | 設定の説明 | 値 | プラットフォーム | レベル |
|---|---|---|---|---|
| アプリの条件 | 最大許容脅威レベル | セキュリティで保護された/アクセスをブロックする | iOS/iPadOS、Android | 3 |
| アプリの条件 | OS の最大バージョン | 形式: Major.Minor.Build | iOS/iPadOS | 3 |
| アプリの条件 | PIN の最大試行回数 | 5 / PIN のリセット | iOS/iPadOS、Android | 3 |
| アプリの条件 | [オフラインの猶予期間] | 720 / アクセスのブロック (分) | iOS/iPadOS、Android | 3 |
| アプリの条件 | [オフラインの猶予期間] | 90 / データのワイプ (日数) | iOS/iPadOS、Android | 3 |
| アプリの条件 | 無効なアカウント | N/A / アクセスをブロックする | iOS/iPadOS、Android | 3 |
| アプリの条件 | OS の最小バージョン | 形式: Major.Minor.Build | iOS/iPadOS | 3 |
| アプリの条件 | PIN の最大試行回数 | 5 / PIN のリセット | iOS/iPadOS、Android | 3 |
| アプリの条件 | [オフラインの猶予期間] | 90 / データのワイプ (日数) | iOS/iPadOS、Android | 3 |
| アプリの条件 | 無効なアカウント | N/A / アクセスをブロックする | iOS/iPadOS、Android | 3 |
| アプリの条件 | [オフラインの猶予期間] | 720 / アクセスのブロック (分) | iOS/iPadOS、Android | 3 |
条件付き起動手順が完了したら、[次へ] を選択します。
スコープ タグの手順を確認します。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。
[次へ] を選択します。
[割り当て] を確認します。
[確認と作成] 手順でポリシーの詳細 を確認 します。
[ 作成 ] を選択し、ポリシーが作成されるまで待ちます。
次の手順
手順 3 に進み、Mobile Threat Defense とMicrosoft Edge for Businessを統合します。