アプリ保護ポリシーを使用したデータ保護フレームワーク
職場または学校のデータにアクセスするためのモバイル デバイス戦略を実装する組織が増えるにつれて、データ漏洩から保護することが最も重要になります。 データ漏洩から保護するためのIntuneのモバイル アプリケーション管理ソリューションは、App Protection Policies (APP) です。 APP は、デバイスが登録されているかどうかに関係なく、organizationのデータが安全であるか、マネージド アプリに含まれていることを保証するルールです。 詳細については、「アプリ保護 ポリシーの概要」を参照してください。
App Protection ポリシーを構成する場合、さまざまな設定とオプションの数により、組織は特定のニーズに合わせて保護を調整できます。 この柔軟性により、完全なシナリオを実装するために必要なポリシー設定の順列が明らかでない場合があります。 組織がクライアント エンドポイントの強化の取り組みに優先順位を付けるために、Microsoft はWindows 10のセキュリティ構成に新しい分類を導入し、Intuneは、モバイル アプリ管理用の APP データ保護フレームワークにも同様の分類を利用しています。
APP データ保護構成フレームワークは、次の 3 つの異なる構成シナリオに編成されています。
レベル 1 のエンタープライズ基本データ保護 – Microsoft では、エンタープライズ デバイスの最小データ保護構成としてこの構成をお勧めします。
レベル 2 のエンタープライズ強化データ保護 – Microsoft では、ユーザーが機密情報または機密情報にアクセスするデバイスに対して、この構成をお勧めします。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。 一部の制御は、ユーザー エクスペリエンスに影響を与える可能性があります。
レベル 3 のエンタープライズ高データ保護 – Microsoft では、大規模または高度なセキュリティ チームを持つorganizationによって実行されるデバイス、または一意のリスクが高い特定のユーザーまたはグループ (未承認の開示によってorganizationに重大な損失が発生する機密性の高いデータを処理するユーザー) に対して、この構成をお勧めします。 十分な資金を持ち、洗練された敵対者の標的となる可能性が高いorganizationは、この構成を熱望する必要があります。
APP Data Protection Framework のデプロイ手法
新しいソフトウェア、機能、または設定のデプロイと同様に、Microsoft では、APP データ保護フレームワークをデプロイする前に、検証をテストするためのリング手法に投資することをお勧めします。 デプロイ リングの定義は通常、1 回限りのイベント (または少なくとも頻度の低いイベント) ですが、IT は、シーケンスがまだ正しいことを確認するために、これらのグループを再検討する必要があります。
Microsoft では、APP データ保護フレームワークに対して次の展開リング アプローチを推奨しています。
| 展開リング | Tenant | 評価チーム | 出力 | タイムライン |
|---|---|---|---|---|
| 品質保証 | 運用前テナント | モバイル機能所有者、セキュリティ、リスク評価、プライバシー、UX | 機能シナリオの検証、ドラフト ドキュメント | 0 - 30 日 |
| Preview | 運用テナント | モバイル機能所有者、UX | エンド ユーザー シナリオの検証、ユーザー向けドキュメント | 7 - 14 日、品質保証後 |
| 生産 | 運用テナント | モバイル機能所有者、IT ヘルプ デスク | 該当なし | 7 日から数週間、プレビュー後 |
上記の表に示すように、アプリ保護ポリシーに対するすべての変更は、最初に運用前環境で実行して、ポリシー設定の影響を理解する必要があります。 テストが完了すると、変更を運用環境に移動し、一般に IT 部門やその他の適用可能なグループである運用ユーザーのサブセットに適用できます。 最後に、モバイル ユーザー コミュニティの残りの部分へのロールアウトを完了できます。 変更に関する影響の規模によっては、運用環境へのロールアウトに時間がかかる場合があります。 ユーザーへの影響がない場合は、変更を迅速にロールアウトする必要があります。一方、変更によってユーザーへの影響が生じる場合は、ユーザーの人口に変更を伝える必要があるため、ロールアウトの速度が低下する可能性があります。
APP に対する変更をテストするときは、配信の タイミングに注意してください。 特定のユーザーのアプリ配信の状態を監視できます。 詳細については、「 アプリ保護ポリシーを監視する方法」を参照してください。
各アプリの個々のアプリ設定は、Microsoft Edge と intunehelp に関する URL を使用して、デバイスで検証できます。 詳細については、「 クライアント アプリ保護ログを確認 する」および「 Microsoft Edge for iOS と Android を使用してマネージド アプリ ログにアクセスする」を参照してください。
APP Data Protection Framework の設定
次のアプリ保護ポリシー設定は、該当するアプリに対して有効にし、すべてのモバイル ユーザーに割り当てる必要があります。 各ポリシー設定の詳細については、「 iOS アプリ保護ポリシー設定 」と 「Android アプリ保護ポリシー設定」を参照してください。
Microsoft では、使用シナリオを確認して分類し、そのレベルの規範的なガイダンスを使用してユーザーを構成することをお勧めします。 他のフレームワークと同様に、対応するレベル内の設定は、データ保護が脅威環境、リスクアペタイト、使いやすさへの影響を評価する必要があるため、organizationのニーズに基づいて調整する必要があります。
管理者は、Intuneの PowerShell スクリプトを使用してサンプル Intune App Protection Policy Configuration Framework JSON テンプレートをインポートすることで、リングデプロイ手法に以下の構成レベルを組み込むことができます。
注:
WINDOWS 用 MAM を使用する場合は、「Windows のアプリ保護ポリシー設定」を参照してください。
条件付きアクセス ポリシー
App Protection Poliies をサポートするアプリのみが職場または学校のアカウント データにアクセスできるようにするには、条件付きアクセス ポリシー Microsoft Entra必要です。 これらのポリシーについては、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」で説明されています。
特定のポリシーを実装する手順については、「条件付きアクセス: 承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」の「モバイル デバイスで承認済みのクライアント アプリまたはアプリ保護ポリシーを要求する」を参照してください。 最後に、「 レガシ認証をブロック する」の手順を実装して、レガシ認証が可能な iOS アプリと Android アプリをブロックします。
注:
これらのポリシーでは、許可コントロールの [承認済みクライアント アプリを要求する] と [アプリ保護ポリシーを要求する] を利用します。
アプリ保護ポリシーに含めるアプリ
アプリ保護ポリシーごとに、コア Microsoft Apps グループが対象になります。これには、次のアプリが含まれます。
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
ポリシーには、ビジネス ニーズに基づく他の Microsoft アプリ、organization内で使用されるIntune SDK を統合した追加のサード パーティのパブリック アプリ、Intune SDK を統合した基幹業務アプリ (またはラップ済み) が含まれている必要があります。
レベル 1 のエンタープライズ基本データ保護
レベル 1 は、エンタープライズ モバイル デバイスの最小データ保護構成です。 この構成は、職場または学校のデータへのアクセスを PIN に要求し、職場または学校のアカウント データを暗号化し、学校または職場のデータを選択的にワイプする機能を提供することで、基本的な Exchange Online デバイス アクセス ポリシーの必要性を置き換えます。 ただし、Exchange Onlineデバイス アクセス ポリシーとは異なり、以下のアプリ保護ポリシー設定は、ポリシーで選択したすべてのアプリに適用されるため、モバイル メッセージングシナリオを超えてデータ アクセスが確実に保護されます。
レベル 1 のポリシーでは、ユーザーへの影響を最小限に抑えながら適切なデータ アクセス レベルを適用し、Microsoft Intune内で App Protection ポリシーを作成するときに既定のデータ保護とアクセス要件の設定をミラーします。
データの保護
| 設定 | 設定の説明 | 値 | プラットフォーム |
|---|---|---|---|
| データ転送 | 組織データを...にバックアップします。 | 許可 | iOS/iPadOS、Android |
| データ転送 | 組織データを他のアプリに送信する | すべてのアプリ | iOS/iPadOS、Android |
| データ転送 | 組織データの送信先 | すべての宛先 | Windows |
| データ転送 | 他のアプリからデータを受信 | すべてのアプリ | iOS/iPadOS、Android |
| データ転送 | からデータを受信する | すべてのソース | Windows |
| データ転送 | アプリ間での切り取り、コピー、貼り付けを制限する | 任意のアプリ | iOS/iPadOS、Android |
| データ転送 | の切り取り、コピー、貼り付けを許可する | 任意の宛先と任意のソース | Windows |
| データ転送 | サード パーティ製キーボード | 許可 | iOS/iPadOS |
| データ転送 | 承認済みキーボード | 必須ではありません | Android |
| データ転送 | スクリーン キャプチャと Google アシスタント | 許可 | Android |
| 暗号化 | 組織データを暗号化する | 必須 | iOS/iPadOS、Android |
| 暗号化 | 登録済みデバイス上の組織データを暗号化する | 必須 | Android |
| 機能 | ネイティブ連絡先アプリとアプリを同期する | 許可 | iOS/iPadOS、Android |
| 機能 | 組織データの印刷 | 許可 | iOS/iPadOS、Android、Windows |
| 機能 | その他のアプリでの Web コンテンツの転送を制限する | 任意のアプリ | iOS/iPadOS、Android |
| 機能 | 組織のデータ通知 | 許可 | iOS/iPadOS、Android |
アクセス要件
| 設定 | 値 | プラットフォーム | メモ |
|---|---|---|---|
| アクセスに PIN を使用 | 必須 | iOS/iPadOS、Android | |
| PIN の種類 | 数値 | iOS/iPadOS、Android | |
| 単純な PIN | 許可 | iOS/iPadOS、Android | |
| [PIN の最小長] を選択します | 4 | iOS/iPadOS、Android | |
| アクセス用の PIN の代わりにタッチ ID (iOS 8+/iPadOS) | 許可 | iOS/iPadOS | |
| タイムアウト後に PIN で生体認証をオーバーライドする | 必須 | iOS/iPadOS、Android | |
| タイムアウト (アクティビティの分) | 1440 | iOS/iPadOS、Android | |
| アクセス用の PIN の代わりに顔 ID (iOS 11+/iPadOS) | 許可 | iOS/iPadOS | |
| アクセス用の PIN ではなく生体認証 | 許可 | iOS/iPadOS、Android | |
| PIN をリセットするまでの日数 | いいえ | iOS/iPadOS、Android | |
| 維持する以前の PIN 値の数を選択する | 0 | Android | |
| デバイスの PIN が設定されている場合のアプリ PIN | 必須 | iOS/iPadOS、Android | デバイスがIntuneに登録されている場合、管理者は、デバイス コンプライアンス ポリシーを使用して強力なデバイス PIN を適用する場合は、これを "必須ではありません" に設定することを検討できます。 |
| アクセスに職場または学校アカウントの資格情報を使用 | 必須ではありません | iOS/iPadOS、Android | |
| (非アクティブ分数) 後にアクセス要件を再確認する | 30 | iOS/iPadOS、Android |
条件付き起動
| 設定 | 設定の説明 | 値/アクション | プラットフォーム | メモ |
|---|---|---|---|---|
| アプリの条件 | PIN の最大試行回数 | 5 / PIN のリセット | iOS/iPadOS、Android | |
| アプリの条件 | [オフラインの猶予期間] | 10080 / アクセスのブロック (分) | iOS/iPadOS、Android、Windows | |
| アプリの条件 | [オフラインの猶予期間] | 90 / データのワイプ (日数) | iOS/iPadOS、Android、Windows | |
| デバイスの条件 | 脱獄またはルート化されたデバイス | N/A / アクセスをブロックする | iOS/iPadOS、Android | |
| デバイスの条件 | [SafetyNet デバイスの構成証明] | 基本的な整合性と認定されたデバイス / アクセスをブロックする | Android | この設定は、エンド ユーザー デバイスで Google Play のデバイス整合性チェックを構成します。 基本的な整合性では、デバイスの整合性が検証されます。 ルート化されたデバイス、エミュレーター、仮想デバイス、改ざんの兆候があるデバイスは基本的な整合性のチェックで不合格になります。 基本的な整合性と認定デバイスでは、デバイスの Google のサービスとの互換性が検証されます。 Google に認められた、改造されていないデバイスのみがこのチェックに合格します。 |
| デバイスの条件 | アプリで脅威スキャンを要求する | N/A / アクセスをブロックする | Android | この設定によって、エンド ユーザー デバイス用に Google のアプリの検証スキャンが確実に有効になります。 構成されている場合、エンド ユーザーは Android デバイスで Google のアプリ スキャンを有効にするまでアクセスがブロックされます。 |
| デバイスの条件 | 許容される最大デバイス脅威レベル | 低/ブロック アクセス | Windows | |
| デバイスの条件 | デバイス ロックが必要 | Low/Warn | Android | この設定により、Android デバイスに最小パスワード要件を満たすデバイス パスワードが設定されます。 |
注:
Windows の条件付き起動設定は、 正常性チェックとしてラベル付けされます。
レベル 2 のエンタープライズ強化データ保護
レベル 2 は、ユーザーがより機密情報にアクセスするデバイスの標準として推奨されるデータ保護構成です。 これらのデバイスは、今日の企業では自然な対象です。 これらの推奨事項は、高度なスキルを持つセキュリティ実務者の大規模なスタッフを想定していないため、ほとんどのエンタープライズ組織がアクセスできる必要があります。 この構成は、データ転送シナリオを制限し、オペレーティング システムの最小バージョンを必要とすることで、レベル 1 の構成を拡張します。
重要
レベル 2 で適用されるポリシー設定には、レベル 1 で推奨されるすべてのポリシー設定が含まれます。 ただし、レベル 2 には、レベル 1 よりも多くのコントロールと高度な構成を実装するために追加または変更された設定のみが一覧表示されます。 これらの設定は、ユーザーやアプリケーションへの影響が少し大きくなる可能性があります。モバイル デバイスの機密情報にアクセスするユーザーが直面するリスクに見合ったレベルのデータ保護を適用します。
データの保護
| 設定 | 設定の説明 | 値 | プラットフォーム | メモ |
|---|---|---|---|---|
| データ転送 | 組織データを...にバックアップします。 | ブロック | iOS/iPadOS、Android | |
| データ転送 | 組織データを他のアプリに送信する | ポリシーで管理されているアプリ | iOS/iPadOS、Android | iOS/iPadOS を使用すると、管理者はこの値を "Policy managed apps"、"Policy managed apps with OS sharing"、または "Policy managed apps with Open-In/Share filtering" に構成できます。 OS 共有を使用したポリシー管理アプリは、デバイスもIntuneに登録されている場合に使用できます。 この設定では、他のポリシーで管理されているアプリへのデータ転送と、Intuneによって管理されている他のアプリへのファイル転送が許可されます。 Open-In/Share フィルター処理を使用したポリシー管理アプリでは、OS Open-in/Share ダイアログがフィルター処理され、ポリシーマネージド アプリのみが表示されます。 詳細については、「 iOS アプリ保護ポリシー設定」を参照してください。 |
| データ転送 | 送信またはデータの送信先 | 宛先なし | Windows | |
| データ転送 | からデータを受信する | ソースなし | Windows | |
| データ転送 | 除外するアプリを選択します | 既定/skype;app-settings;calshow;itms;itmss;itms-apps;itms-appss;itms-services; | iOS/iPadOS | |
| データ転送 | 組織データのコピーを保存 | ブロック | iOS/iPadOS、Android | |
| データ転送 | 選択したサービスへのコピーの保存をユーザーに許可する | OneDrive for Business、SharePoint Online、フォト ライブラリ | iOS/iPadOS、Android | |
| データ転送 | 電話通信データの転送先 | 任意の電話アプリ | iOS/iPadOS、Android | |
| データ転送 | アプリ間での切り取り、コピー、貼り付けを制限する | 貼り付けを使用して管理対象アプリをポリシーする | iOS/iPadOS、Android | |
| データ転送 | の切り取り、コピー、貼り付けを許可する | 宛先またはソースなし | Windows | |
| データ転送 | スクリーン キャプチャと Google アシスタント | ブロック | Android | |
| 機能 | その他のアプリでの Web コンテンツの転送を制限する | Microsoft Edge | iOS/iPadOS、Android | |
| 機能 | 組織のデータ通知 | 組織データをブロックする | iOS/iPadOS、Android | この設定をサポートするアプリの一覧については、「 iOS アプリ保護ポリシー設定 」と 「Android アプリ保護ポリシー設定」を参照してください。 |
条件付き起動
| 設定 | 設定の説明 | 値/アクション | プラットフォーム | メモ |
|---|---|---|---|---|
| アプリの条件 | 無効なアカウント | N/A / アクセスをブロックする | iOS/iPadOS、Android、Windows | |
| デバイスの条件 | OS の最小バージョン |
形式: Major.Minor.Build 例: 14.8 / アクセスをブロックする |
iOS/iPadOS | Microsoft アプリに対してサポートされている iOS のバージョンと一致するように、最小の iOS メジャー バージョンを構成することをお勧めします。 Microsoft アプリでは、N が現在の iOS メジャー リリース バージョンである N-1 アプローチがサポートされています。 マイナー バージョンとビルド バージョンの値については、各セキュリティ更新プログラムでデバイスが最新の状態になるようにすることをお勧めします。 Apple の最新の推奨事項については、「Apple のセキュリティ更新プログラム 」を参照してください |
| デバイスの条件 | OS の最小バージョン |
形式: メジャー.マイナー 例: 9.0 /アクセスのブロック |
Android | Microsoft では、Microsoft アプリでサポートされる Android のバージョンと一致するように、Android の最小のメジャー バージョンを構成することを推奨しています。 OEM と Android Enterprise Recommended の要件に準拠しているデバイスでは、現在出荷されているリリースと 1 つ後のアップグレードをサポートしている必要があります。 現在、Android では、ナレッジ ワーカーに対して Android 9.0 以降が推奨されています。 Android の最新の推奨事項については、「 Android Enterprise 推奨要件 」を参照してください |
| デバイスの条件 | OS の最小バージョン |
形式: ビルド 例: 10.0.22621.2506 / アクセスをブロックする |
Windows | Microsoft では、サポートされている Microsoft アプリの Windows バージョンと一致するように最小 Windows ビルドを構成することをお勧めします。 現在、Microsoft では次のことをお勧めします。
|
| デバイスの条件 | 最小パッチ バージョン |
形式: YYYY-MM-DD 例: 2020-01-01 / アクセスをブロックする |
Android | Android デバイスでは、毎月のセキュリティ パッチを受け取ることができますが、そのリリースは OEM や通信事業者に依存します。 組織では、この設定を実装する前に、展開されている Android デバイスで確実にセキュリティ更新プログラムを受け取れるようにする必要があります。 最新のパッチ リリースについては、「 Android セキュリティ情報」 を参照してください。 |
| デバイスの条件 | [Required SafetyNet evaluation type]\(必須の SafetyNet の評価の種類\) | ハードウェアを利用するキー | Android | ハードウェアによってサポートされる構成証明は、Hardware Backed という新しい評価タイプを適用することで、既存の Google の Play Integrity サービス チェックを強化し、ソフトウェアのみのソリューションでは常に確実に検出できない新しい種類のルートツールとメソッドに対応して、より堅牢なルート検出を提供します。 その名前が示すように、ハードウェアに基づく構成証明では、Android 8.1 以降でインストールされたデバイスに付属するハードウェア ベースのコンポーネントが使用されます。 以前のバージョンの Android から Android 8.1 にアップグレードされたデバイスには、ハードウェアによる構成証明に必要なハードウェアベースのコンポーネントがない可能性があります。 この設定は Android 8.1 と共に出荷されるデバイス以降では広くサポートされているはずですが、Microsoft ではこのポリシー設定を広範囲で有効にする前に、デバイスを個別にテストすることを強くお勧めします。 |
| デバイスの条件 | デバイス ロックが必要 | 中/ブロック アクセス | Android | この設定により、Android デバイスに最小パスワード要件を満たすデバイス パスワードが設定されます。 |
| デバイスの条件 | Samsung Knox デバイスの構成証明 | アクセスをブロックする | Android | Microsoft では、デバイスが Samsung の Knox ハードウェア ベースのデバイス正常性検証を満たしていない場合にユーザー アカウントがアクセスをブロックされるように、Samsung Knox デバイス構成証明設定を [アクセスをブロック する] に構成することをお勧めします。 この設定は、正常なデバイスから送信されたIntune サービスに対するすべてのIntune MAM クライアント応答を検証します。 この設定は、対象となるすべてのデバイスに適用されます。 この設定を Samsung デバイスにのみ適用するには、"マネージド アプリ" 割り当てフィルターを使用できます。 割り当てフィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。 |
| アプリの条件 | [オフラインの猶予期間] | 30 / データのワイプ (日数) | iOS/iPadOS、Android、Windows |
注:
Windows の条件付き起動設定は、 正常性チェックとしてラベル付けされます。
レベル 3 のエンタープライズ高データ保護
レベル 3 は、大規模で高度なセキュリティ組織を持つ組織、または敵対者によって一意に対象となる特定のユーザーとグループに対して、標準として推奨されるデータ保護構成です。 このような組織は通常、十分な資金を持ち、洗練された敵対者を対象としており、説明されている追加の制約と制御のメリットがあります。 この構成は、追加のデータ転送シナリオを制限し、PIN 構成の複雑さを増し、モバイル脅威検出を追加することで、レベル 2 の構成を拡張します。
重要
レベル 3 で適用されるポリシー設定には、レベル 2 に推奨されるすべてのポリシー設定が含まれますが、レベル 2 よりも多くのコントロールと高度な構成を実装するために追加または変更された設定のみが以下に一覧表示されます。 これらのポリシー設定は、ユーザーやアプリケーションに大きな影響を与える可能性があり、対象となる組織が直面するリスクに見合ったレベルのセキュリティを適用します。
データの保護
| 設定 | 設定の説明 | 値 | プラットフォーム | メモ |
|---|---|---|---|---|
| データ転送 | 電話通信データの転送先 | ポリシーで管理されるダイヤラー アプリ | Android | 管理者は、[特定のダイヤラー アプリ] を選択し、[Dialer App Package ID] と [Dialer App Name]\(ダイヤラー アプリ名\) の値を指定することで、アプリ保護ポリシーをサポートしていないダイヤラー アプリを使用するようにこの設定を構成することもできます。 |
| データ転送 | 電話通信データの転送先 | 特定のダイヤラー アプリ | iOS/iPadOS | |
| データ転送 | 電話アプリ URL スキーム | replace_with_dialer_app_url_scheme | iOS/iPadOS | iOS/iPadOS では、この値を使用するカスタム ダイヤラー アプリの URL スキームに置き換える必要があります。 URL スキームが不明な場合は、アプリ開発者に問い合わせて詳細を確認してください。 URL スキームの詳細については、「 アプリのカスタム URL スキームの定義」を参照してください。 |
| データ転送 | 他のアプリからデータを受信 | ポリシーで管理されているアプリ | iOS/iPadOS、Android | |
| データ転送 | データを開いて組織ドキュメントに読み込む | ブロック | iOS/iPadOS、Android | |
| データ転送 | 選択したサービスからデータを開くことをユーザーに許可する | OneDrive for Business、SharePoint、カメラ、フォト ライブラリ | iOS/iPadOS、Android | 関連情報については、「 Android アプリ保護ポリシー設定 」と 「iOS アプリ保護ポリシー設定」を参照してください。 |
| データ転送 | サード パーティ製キーボード | ブロック | iOS/iPadOS | iOS/iPadOS では、これにより、すべてのサード パーティ製キーボードがアプリ内で機能できなくなります。 |
| データ転送 | 承認済みキーボード | 必須 | Android | |
| データ転送 | 承認するキーボードを選択する | キーボードの追加/削除 | Android | Android では、デプロイされた Android デバイスに基づいて使用するには、キーボードを選択する必要があります。 |
| 機能 | 組織データを印刷する | ブロック | iOS/iPadOS、Android、Windows |
アクセス要件
| 設定 | 値 | プラットフォーム |
|---|---|---|
| 単純な PIN | ブロック | iOS/iPadOS、Android |
| [PIN の最小長] を選択します | 6 | iOS/iPadOS、Android |
| PIN をリセットするまでの日数 | はい | iOS/iPadOS、Android |
| 日数 | 365 | iOS/iPadOS、Android |
| クラス 3 生体認証 (Android 9.0 以降) | 必須 | Android |
| 生体認証の更新後に PIN で生体認証をオーバーライドする | 必須 | Android |
条件付き起動
| 設定 | 設定の説明 | 値/アクション | プラットフォーム | メモ |
|---|---|---|---|---|
| デバイスの条件 | デバイス ロックが必要 | 高/ブロック アクセス | Android | この設定により、Android デバイスに最小パスワード要件を満たすデバイス パスワードが設定されます。 |
| デバイスの条件 | 許容される最大デバイス脅威レベル | セキュリティで保護された/アクセスをブロックする | Windows | |
| デバイスの条件 | 脱獄またはルート化されたデバイス | N/A / データのワイプ | iOS/iPadOS、Android | |
| デバイスの条件 | 最大許容脅威レベル | セキュリティで保護された/アクセスをブロックする | iOS/iPadOS、Android | 登録解除されたデバイスは、Mobile Threat Defense を使用して脅威を検査できます。 詳細については、「 登録解除されたデバイスの Mobile Threat Defense」を参照してください。 デバイスが登録されている場合は、登録されたデバイスに Mobile Threat Defense を展開するために、この設定をスキップできます。 詳細については、登録デバイスのモバイル脅威防御に関するページをご覧ください。 |
| デバイスの条件 | OS の最大バージョン |
形式: メジャー.マイナー 例: 11.0 /アクセスをブロックする |
Android | Microsoft では、オペレーティング システムのベータ版またはサポートされていないバージョンが使用されないように、最大 Android メジャー バージョンを構成することをお勧めします。 Android の最新の推奨事項については、「 Android Enterprise 推奨要件 」を参照してください |
| デバイスの条件 | OS の最大バージョン |
形式: Major.Minor.Build 例: 15.0 /アクセスをブロックする |
iOS/iPadOS | Microsoft では、オペレーティング システムのベータ版またはサポートされていないバージョンが使用されないように、最大 iOS/iPadOS メジャー バージョンを構成することをお勧めします。 Apple の最新の推奨事項については、「Apple のセキュリティ更新プログラム 」を参照してください |
| デバイスの条件 | OS の最大バージョン |
形式: メジャー.マイナー 例: 22631。 / アクセスをブロックする |
Windows | Microsoft では、オペレーティング システムのベータ版またはサポートされていないバージョンが使用されないように、最大 Windows メジャー バージョンを構成することをお勧めします。 |
| デバイスの条件 | Samsung Knox デバイスの構成証明 | [データのワイプ] | Android | Microsoft では、デバイスが Samsung の Knox ハードウェア ベースのデバイス正常性検証を満たしていない場合に組織データが削除されるように、Samsung Knox デバイス構成証明設定を [データのワイプ ] に構成することをお勧めします。 この設定は、正常なデバイスから送信されたIntune サービスに対するすべてのIntune MAM クライアント応答を検証します。 この設定は、対象となるすべてのデバイスに適用されます。 この設定を Samsung デバイスにのみ適用するには、"マネージド アプリ" 割り当てフィルターを使用できます。 割り当てフィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。 |
| アプリの条件 | [オフラインの猶予期間] | 30 / アクセスをブロックする (日数) | iOS/iPadOS、Android、Windows |
次の手順
管理者は、Intuneの PowerShell スクリプトを使用して App Protection Policy Configuration Framework JSON テンプレートIntuneサンプルをインポートすることで、テストおよび運用環境での使用のためのリングデプロイ手法に上記の構成レベルを組み込むことができます。