Windows のアプリ保護ポリシー設定
この記事では、Windows のアプリ保護ポリシー (APP) 設定について説明します。 説明されているポリシー設定は、新しいポリシーを作成するときに、Intune 管理センターの [設定] ウィンドウでアプリ保護ポリシーに対して構成できます。
個人用 Windows デバイス上の Microsoft Edge を使用して、組織データへの保護された MAM アクセスを有効にすることができます。 この機能は Windows MAM と呼ばれ、Intune アプリケーション構成ポリシー (ACP)、Intune アプリケーション保護ポリシー (APP)、Windows Security Center クライアント脅威防御、および Application Protection 条件付きアクセスを使用する機能を提供します。 Windows MAM の詳細については、「Windows MAM のデータ保護」、「Windows 用の MTD アプリ保護ポリシーの作成」、および「Intune を使用して Windows 用 Microsoft Edge を構成する」を参照してください。
Windows のアプリ保護ポリシー設定には、次の 2 つのカテゴリがあります。
重要
Windows 上の Intune MAM では、アンマネージド デバイスがサポートされています。 デバイスが既に管理されている場合、Intune MAM 登録はブロックされ、APP 設定は適用されません。 MAM 登録後にデバイスが管理されると、APP 設定は適用されなくなります。
データの保護
[データ保護] 設定は、組織のデータとコンテキストに影響します。 管理者は、組織保護のコンテキストとの間でデータの移動を制御できます。 組織コンテキストは、指定した組織アカウントからアクセスされるドキュメント、サービス、サイトによって定義されます。 次のポリシー設定は、組織コンテキストに受信した外部データと、組織コンテキストから送信された組織データを制御するのに役立ちます。
データ転送
| Setting | 使用方法 | 既定値 |
|---|---|---|
| からデータを受信する | 次のいずれかのオプションを選択して、組織ユーザーがデータを受信できるソースを指定します。
|
すべてのソース |
| 組織データの送信先 | 次のいずれかのオプションを選択して、ユーザーがデータを送信できる送信先を指定します。
|
すべての宛先 |
| の切り取り、コピー、貼り付けを許可する | 次のいずれかのオプションを選択して、組織ユーザーが組織データを切り取ったりコピーしたり貼り付けたりできるソースと宛先を指定します。
|
任意の宛先と任意のソース |
機能
| Setting | 使用方法 | 既定値 |
|---|---|---|
| 組織データを出力する | [ ブロック] を 選択して、組織データの印刷を禁止します。 [ 許可] を 選択して、組織データの印刷を許可します。 個人データまたは管理されていないデータは影響を受けません。 | 許可 |
正常性チェック
アプリ保護ポリシーの正常性チェック条件を設定します。 [ 設定] を選択し、組織データにアクセスするためにユーザーが満たす必要がある 値 を入力します。 次に、ユーザーが条件を満たしていない場合に実行する アクション を選択します。 場合によっては、単一の設定に対して複数のアクションを構成できます。 詳細については、「 正常性チェック アクション」を参照してください。
アプリの条件
組織のアカウントとデータへのアクセスを許可する前に、アプリケーションの構成を確認するために、次の正常性チェック設定を構成します。
注:
ポリシーで管理されるアプリという用語は、アプリ保護ポリシーで構成されているアプリを指します。
| Setting | 使用方法 | 既定値 |
|---|---|---|
| [オフラインの猶予期間] | ポリシーで管理されたアプリがオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。
"アクション" に含まれている項目:
|
ブロック アクセス (分): 720 分 (12 時間) データのワイプ (日数): 90 日 |
| アプリの最小バージョン | アプリケーションの最小バージョンの値を指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 このポリシー設定では、一致する Windows アプリ バンドルのバージョン形式 (major.minor または major.minor.patch) がサポートされています。 |
既定値なし |
| SDK の最小バージョン | Intune SDK のバージョンの最小値を指定します。
"アクション" に含まれている項目:
|
既定値なし |
| 無効なアカウント | ユーザーの Microsoft Entra アカウントが無効になっている場合は、自動アクションを指定します。 管理者は、1 つのアクションのみを指定できます。 この設定に設定する値はありません。
"アクション" に含まれている項目:
|
既定値なし |
デバイスの条件
組織のアカウントとデータへのアクセスを許可する前に、デバイスの構成を確認するために、次の正常性チェック設定を構成します。 同様のデバイス ベースの設定は、登録済みデバイスに対して構成できます。 詳しくは、登録済みデバイスのデバイス コンプライアンス設定の構成に関する記事をご覧ください。
| Setting | 使用方法 | 既定値 |
|---|---|---|
| OS の最小バージョン | このアプリを使用する最小 Windows オペレーティング システムを指定します。
"アクション" に含まれている項目:
このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。 Windows バージョンを見つけるには、コマンド プロンプトを開きます。 バージョンは、コマンド プロンプト ウィンドウの上部に表示されます。 使用するバージョン形式の例は 、10.0.22631.3155 です。 winver コマンドを使用すると、OS ビルド (22631.3155 など) のみが表示されます。これは正しい形式ではありません。 |
|
| OS の最大バージョン | このアプリを使用する最大 Windows オペレーティング システムを指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。 |
|
| 許容される最大デバイス脅威レベル | アプリ保護ポリシーでは、Intune-MTD コネクタを利用できます。 このアプリの使用に対して許容される最大脅威レベルを指定します。 脅威は、エンド ユーザー デバイスで選択された Mobile Threat Defense (MTD) ベンダー アプリによって決定されます。 "セキュリティ保護"、"低"、"中"、"高" のいずれかを指定します。 "セキュリティ保護" は、デバイスに対する脅威は不要で、構成可能な最も制限の厳しい値であるのに対し、"高" では基本的に Intune と MTD の間のアクティブな接続が必要です。
"アクション" に含まれている項目:
この設定の使用方法について詳しくは、未登録デバイスに対する MTD の有効化に関する記事をご覧ください。 |
追加情報
Windows デバイス用 APP の詳細については、次のリソースを参照してください。