Windows 情報保護を実装して使用する
Windows 情報保護を使用すると、データがローカル デバイスにダウンロードされたとき、またはローカル デバイスで開かれたときに、組織データが自動的に暗号化されます。 暗号化によってファイル データが保護され、データがエンタープライズ ID に関連付けられます。
その後、WIP ポリシーで、そのデータを使用および操作できる信頼済みアプリを指定します。 Word や Microsoft Excel などの対応アプリで組織のデータと個人データを操作できます。 そのアクセスを管理するために、WIP ポリシー作成時に、次の表に示す 4 つの WIP 保護モードを設定できます。
| モード | 説明 |
|---|---|
| 上書きのブロックまたは非表示 | ポリシーによってブロックされているときに、従業員がデータ共有アクションを実行できないようにします。 一部の Microsoft ドキュメントでは、これはオーバーライドの非表示モードと呼ばれます。 |
| 上書きの許可 | 従業員が潜在的にリスクのあるアクションを実行しようとしているときに警告しますが、従業員はアクションを完了することを選択できます。 アクションは監査ログに記録されます。 |
| サイレント | 従業員が上書きできるアクションのみが監査ログに記録される点を除き、上書きの許可モードと同様に機能します。 ブロックされるアクションは、引き続きブロックされます。 |
| オフ | WIP は無効になり、データは保護されません。 |
Intune での WIP ポリシーの作成
Intune でポリシーを作成するときに、保護するアプリ、提供される保護レベル、ネットワーク上の組織データを検索する方法を定義できます。
Intune で WIP ポリシーを作成するには、次のようにします。
- Microsoft Endpoint Manager 管理センターにサインインします。
- [アプリ]>[アプリ保護ポリシー] を選択します。
- [ポリシーの追加] を選択し、ポリシーの名前を入力します。
- プラットフォームとして [Windows 10 以降] を選択します。
- [登録の状態] として [登録済み] を選択します。
- 保護の対象とするアプリを追加します。
- 除外するアプリを追加します。
- [必須の設定] ブレードで、Windows 情報保護モードを選択し、会社の ID を設定します。
- [詳細設定] ブレードで、ネットワーク境界を定義します。ネットワーク境界を追加することで、アプリによる企業データの検索と送信が可能な場所を定義します。
- データ回復エージェント (DRA) 証明書をアップロードします。
- WIP で Azure RM を許可するかどうかなど、その他の WIP 設定を選択します。
- [OK] を選択し、 [作成] を選択します。
許可されるアプリと適用除外アプリ
アプリの規則を追加するプロセスは、使用する規則テンプレートの種類によって若干異なります。 次の規則テンプレートがあります。
- おすすめのアプリ。 おすすめのアプリは、WIP で動作する対応アプリです。
- ストア アプリ。 これは、Microsoft Store から入手できるアプリ用です。
- デスクトップ アプリ。 これは、署名された Windows デスクトップ アプリ用です。
各種類のアプリを [許可されているアプリ] の一覧に追加する方法の詳細については、「MDM でエンドポイント マネージャー管理センターを使用して Windows 情報保護 (WIP) ポリシーを作成する」の「許可されているアプリの一覧にアプリを追加する」トピックを参照してください。
保護する予定のアプリを追加したら、使用する保護モードを決定する必要があります。 テスト ユーザーのグループを使用してポリシーを作成し、検証する場合は、ブロック モードを使用する前に、ベスト プラクティスであるサイレント モードまたは上書きの許可モードの使用を検討してください。 そうすると、許可されているアプリの一覧に含める正しいアプリであることを確認できます。
企業の ID
企業 ID は、WIP で保護するアプリの組織データを識別します。 たとえば、組織のドメインから送信されたメールは組織として識別され、WIP ポリシーが適用されます。 この理由のため、通常は、メールの送信元となるすべてのドメインを追加することをお勧めします。
[企業 ID] フィールドに、ドメイン名または複数のドメイン名をパイプ文字 (|) で区切って入力して、企業 ID を追加します。
ネットワーク境界
アプリによる組織データの検索とアクセスが可能なネットワーク上の場所 (ネットワーク境界とも呼ばれます) が WIP で認識される必要があります。 このような場所を定義する既定の場所のセットや自動的な方法はありません。 自分で WIP ポリシーに追加する必要があり、必要な数だけ場所を追加できます。
ネットワーク境界定義を追加するときは、境界の種類を選択し、その選択に基づいて、特定の形式で定義を指定します。 プロキシ サーバーや IP アドレスの一覧などの何らかの境界リストが確定的であるかどうか、またはネットワーク上の他のサーバーまたは IP アドレスの検索が許可されているかどうかを Windows に通知するポリシーを構成することもできます。
次の表では、さまざまな境界の種類のオプションについて説明します。
| ネットワーク要素 | 説明 | |
|---|---|---|
| クラウド リソース | 組織のデータを含むものとして扱う必要がある、クラウドベースのリソースまたは SharePoint Online や Microsoft Visual Studio Codespace などのアプリケーションの URL を指定します。 複数のエントリを作成できます。使用する形式は URL1 | URL2 です。 |
| 保護されたドメイン | 保護対象として扱う必要があるドメインの DNS サフィックスを定義します。 domainname1,domainname2 という形式を使用して、複数のエントリを使用できます。たとえば、corp.adatum.com、sales.adatum.com などです。 | |
| ネットワーク ドメイン | 環境内で使用する DNS サフィックスを定義します。 domainname1,domainname2 という形式を使用して、複数のエントリを使用できます。たとえば、corp.adatum.com、sales.adatum.com などです。 | |
| プロキシ サーバー | WIP でトラフィックを保護する必要がある外部向けプロキシ サーバーのアドレスとポートを指定します。 たとえば、proxy.adatum.com:80;proxy2.adatum.com:137 などです。 | |
| 内部プロキシ サーバー | デバイスがクラウドベースのリソースに到達するために使用するプロキシ サーバーを指定します。 エンタープライズ プロキシ サーバーと同じ形式を使用します。 | |
| IPv4 の範囲 | ネットワークで使用するインターネット プロトコル バージョン 4 (IPv4) アドレスの範囲を指定します。 startingaddress-endingaddress という形式を使用し、複数の範囲をコンマで区切って入力します。 エンタープライズ インターネット プロトコル バージョン 6 (IPv6) の範囲を指定しない場合、このネットワーク要素は必須です。 | |
| IPv6 の範囲 | ネットワークで使用する IPv6 アドレスの範囲を指定します。 このネットワーク要素は、エンタープライズの IPv4 範囲を指定しない場合は必須で、IPv4 と同じ形式を使用します。 | |
| ニュートラル リソース | Active Directory フェデレーション サービス (AD FS) エンドポイントなど、会社の認証リダイレクト エンドポイントを指定します。 入力に使用する形式は URL1 | URL2 です。 |
データ回復エージェント (DRA) 証明書
前述のように、エンタープライズ データは、ローカル ドライブ上にある場合に WIP で暗号化されます。 暗号化キーが紛失した場合や取り消された場合は、データを回復できません。 DRA 証明書を追加することで、ローカル データを暗号化する公開キーを指定します。これにより、後で必要に応じてそのデータを暗号化解除できます。
暗号化ファイル システム (EFS) DRA 証明書がまだない場合は、作成してポリシーにアップロードする必要があります。その後、ポリシーを展開できます。
詳細については、「暗号化ファイル システム (EFS) データ回復エージェント (DRA) 証明書の作成と検証」を参照してください。
WIP 関連のオプションの設定
その他にこれらの WIP ポリシー設定を構成することもできます。
- [登録解除時に暗号化キーを取り消す]: デバイスが Intune から登録解除された場合、ユーザーは暗号化された組織データにアクセスできません。
- [Windows Information Protection アイコン オーバーレイを表示する]: エクスプローラーまたは [名前を付けて保存] ビューで WIP アイコンがファイルをオーバーレイするかどうかを指定します。
- [Azure RMS を WIP のために使います]: WIP で Azure RMS 暗号化を使用するかどうかを決定します。 Azure RMS が必要です。
- [Windows にサインインする方法として Windows Hello for Business を使います]: ユーザーが Windows Hello を使用して自分のデバイスにサインインできるかどうかと、Windows Hello を使用するための規則を決定します。
ヘルプが必要ですか? Microsoft のトラブルシューティング ガイドをご覧になるか、問題を報告して具体的なフィードバックをお送りください。