Windows MAM のデータ保護

  • [アーティクル]

個人用 Windows デバイス上の組織データへの保護されたモバイル アプリケーション管理 (MAM) アクセスを有効にすることができます。 この機能では、次の機能が使用されます。

  • 組織のユーザー エクスペリエンスをカスタマイズするための Intune アプリケーション構成ポリシー (ACP)
  • 組織データをセキュリティで保護し、クライアント デバイスが正常であることを確認するための Intune アプリケーション保護ポリシー (APP)
  • Windows セキュリティ Center クライアントの脅威防御を Intune APP と統合して、個人用 Windows デバイス上のローカルの正常性の脅威を検出する
  • Microsoft Entra ID を使用して保護されたサービス アクセスを許可する前に、デバイスが保護され、正常であることを確認するためのアプリケーション保護条件付きアクセス

注:

Windows 用 Intune Mobile Application Management (MAM) は、Windows 10、ビルド 19045.3636、KB5031445以降、Windows 11、ビルド 10.0.22621.2506、KB5031455 (22H2) 以降で使用できます。 これには、Microsoft Intune (2309 リリース)、Microsoft Edge (Windows 11 の場合は v117 安定ブランチ以降、Windows 11の場合は v118.0.2088.71 以降) と Windows セキュリティ Center (v 1.0.2310.2002 以降) のサポート変更が含まれます。 App Protection 条件付きアクセスは一般公開されています。

Windows MAM は、政府機関向けクラウド環境でサポートされています。 関連情報については、「 GCC High 環境と DoD 環境での Intune を使用したアプリのデプロイ」を参照してください。

MAM の詳細については、「 Mobile Application Management (MAM) の基本」を参照してください。

エンド ユーザーと組織の両方が、個人のデバイスから組織のアクセスを保護する必要があります。 組織は、企業データが個人の非管理対象デバイスで保護されていることを確認する必要があります。 Intune 管理者は、管理されていないデバイスから保護された方法で、organizationのメンバー (エンド ユーザー) が企業リソースにアクセスする方法を決定する責任があります。 組織のデータにアクセスするとき、管理されていないデバイスが正常であることを確認し、アプリケーションがorganization データの保護ポリシーに従い、デバイス上のエンド ユーザーの管理されていない資産がorganizationのポリシーの影響を受けないようにする必要があります。

Intune 管理者は、次のアプリ管理機能を持っている必要があります。

  • Intune APP SDK によって保護されているアプリ/ユーザーにアプリ保護ポリシーを展開する機能。次のものが含まれます。
    • データ保護の設定:
    • 正常性チェック (条件付き起動) 設定
  • 条件付きアクセスを使用してアプリ保護ポリシーを要求する機能
  • 次の手順を実行して、Windows セキュリティ センターを介して追加のクライアント正常性検証を実行する機能。
    • エンド ユーザー Windows セキュリティ企業リソースへのアクセスを許可するためのセンター リスク レベルの指定
    • Windows セキュリティ センターのMicrosoft Intuneにテナント ベースのコネクタを設定する
  • 保護されたアプリケーションに選択的ワイプ コマンドをデプロイする機能

organization (エンド ユーザー) のメンバーは、アカウントに対して次の機能が必要です。

  • 条件付きアクセスによって保護されたサイトにアクセスするためのMicrosoft Entra ID にログインする機能
  • デバイスが異常と見なされる場合に、クライアント デバイスの正常性状態を確認する機能
  • デバイスが異常なままである場合にリソースへのアクセスを取り消す機能
  • アクセスが管理者ポリシーによって制御されている場合に、明確な修復手順で通知する機能

注:

Microsoft Entra ID に関連する情報については、「Windows デバイスでアプリ保護ポリシーを要求する」を参照してください。

条件付きアクセスコンプライアンス

データ損失の防止は、組織のデータを保護する一部です。 データ損失防止 (DLP) は、組織のデータに保護されていないシステムまたはデバイスからアクセスできない場合にのみ有効です。 App Protection 条件付きアクセスでは、条件付きアクセス (CA) を使用して、保護されたリソース (組織データなど) へのアクセスを許可する前に、アプリ保護ポリシー (APP) がクライアント アプリケーションでサポートおよび適用されていることを確認します。 APP CA を使用すると、個人の Windows デバイスを持つエンド ユーザーは、Microsoft Edge を含む APP マネージド アプリケーションを使用して、個人用デバイスを完全に管理することなく、Microsoft Entra リソースにアクセスできるようになります。

この MAM サービスは、ユーザーごと、アプリごと、デバイスごとのコンプライアンス状態をMicrosoft Entra CA サービスに同期します。 これには、Windows セキュリティ センターから始まるモバイル脅威防御 (MTD) ベンダーから受信した脅威情報が含まれます。

注:

この MAM サービスは、 iOS および Android デバイスで Microsoft Edge を管理するために使用されるのと同じ条件付きアクセス コンプライアンス ワークフローを使用します。

変更が検出されると、MAM サービスはデバイスコンプライアンス状態を直ちに更新します。 このサービスには、コンプライアンス状態の一部として MTD 正常性状態も含まれます。

注:

MAM サービスは、サービスの MTD 状態を評価します。 これは、MAM クライアントとクライアント プラットフォームとは別に行われます。

MAM クライアントは、チェックイン時にクライアントの正常性状態 (または正常性メタデータ) を MAM サービスに通信します。 正常性状態には、 ブロック または ワイプ 条件に対する APP 正常性チェックの失敗が含まれます。 さらに、Microsoft Entra ID は、エンド ユーザーがブロックされた CA リソースにアクセスしようとしたときの修復手順をガイドします。

条件付きアクセスコンプライアンス

組織は、Microsoft Entra条件付きアクセス ポリシーを使用して、ユーザーが Windows 上のポリシー管理アプリケーションを使用して職場または学校のコンテンツにのみアクセスできるようにします。 これを行うには、可能性のあるすべてのユーザーを対象とする条件付きアクセス ポリシーが必要です。 「Windows デバイスでアプリ保護ポリシーを要求する」の手順に従います。これは、Microsoft Edge for Windows を許可しますが、他の Web ブラウザーが Microsoft 365 エンドポイントに接続することをブロックします。

条件付きアクセスを使用すると、Microsoft Entra アプリケーション プロキシを使用して外部ユーザーに公開したオンプレミス サイトをターゲットにすることもできます。

脅威防御の正常性

個人所有デバイスの正常性状態は、組織データへのアクセスを許可する前に確認されます。 MAM 脅威検出は、Windows セキュリティ センターに接続できます。 Windows セキュリティ センターは、サービス間コネクタを介して Intune APP にクライアント デバイスの正常性評価を提供します。 この評価では、フローのゲーティングと、個人の管理されていないデバイス上の組織データへのアクセスがサポートされます。

正常性状態には、次の詳細が含まれます。

  • ユーザー、アプリ、デバイスの識別子
  • 定義済みの正常性状態
  • 前回の正常性状態の更新時刻

正常性状態は、MAM に登録されているユーザーに対してのみ送信されます。 エンド ユーザーは、保護されたアプリケーションで組織アカウントからサインアウトすることでデータの送信を停止できます。 管理者は、Windows セキュリティ コネクタをMicrosoft Intuneから削除することで、データの送信を停止できます。

関連情報については、「 Windows 用の MTD アプリ保護ポリシーを作成する」を参照してください。

Intune アプリ保護ポリシーを作成する

アプリ保護ポリシー (APP) は、許可されるアプリと、組織のデータに対して実行できるアクションを定義します。 APP で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。

管理者は、APP を使用してデータを保護する方法を構成できます。 この構成は、ネイティブ Windows アプリケーションとデータの相互作用に適用されます。 APP 設定は、次の 3 つのカテゴリに分類されます。

  • Data Protection - これらの設定は、ユーザーの組織コンテキスト (アカウント、ドキュメント、場所、サービス) にデータを移動する方法を制御します。
  • 正常性チェック (条件付き起動) - これらの設定は、組織データにアクセスするために必要なデバイス条件と、条件が満たされていない場合の修復アクションを制御します。

組織がクライアント エンドポイントのセキュリティ強化に優先順位を付けるために、Microsoft はモバイル アプリ管理用の APP データ保護フレームワークの分類を導入しました。

各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。

使用可能な設定の詳細については、「 Windows アプリ保護ポリシーの設定」を参照してください。

次の手順