Windows Information Protection を実装して使用する

  • 4 分

Windows Information Protection を使用すると、ローカル デバイスでデータがダウンロードまたは開かれると、組織のデータが自動的に暗号化されます。 暗号化はファイル データを保護し、データをエンタープライズ ID に関連付けます。

WIP ポリシーでは、そのデータを使用および操作できる信頼済みアプリを指定します。 Word や Microsoft Excel などの対応アプリは、組織データと個人データを操作できます。 WIP ポリシーを作成するときに、アクセスを管理するために、次の表に示す 4 つの WIP 保護モードを設定できます。

Mode

説明

オーバーライドをブロックまたは非表示にする

ポリシーによってブロックされたときに、従業員がデータ共有アクションを実行できないようにします。 一部の Microsoft ドキュメントでは、これはオーバーライド モードの 非表示 と呼ばれます。

オーバーライドを許可する

リスクの高いアクションを実行しているときに従業員に警告しますが、アクションを完了することを選択できます。 アクションは監査ログに記録されます。

サイレント認証

オーバーライドを許可するモードと同様に機能します。ただし、従業員が監査ログにオーバーライドできるアクションのみが記録されます。 ブロックされるアクションは引き続きブロックされます。

オフ

WIP はオフになっており、データは保護されません。

Intune で WIP ポリシーを作成する

Intune でポリシーを作成するときに、保護するアプリ、提供される保護レベル、ネットワーク上の組織データの検索方法を定義できます。

Intune で WIP ポリシーを作成するには、次の手順に従います。

  1. Microsoft エンドポイント マネージャー管理センター
  2. [アプリ] > [アプリ保護 ポリシー] を選択します。
  3. [ポリシーの追加] を選択し、ポリシーの名前を入力します。
  4. プラットフォームとして Windows 10 以降を選択します。
  5. 登録状態として [登録あり] を選択します。
  6. 保護されたアプリを追加します。
  7. 除外されたアプリを追加します。
  8. [必須の設定] ブレードで、Windows Information Protection モードを選択し、会社の ID を設定します。
  9. [詳細設定] ブレードで、アプリが企業データを検索して送信できる場所を定義するネットワーク境界を追加して、ネットワーク境界を定義します。
  10. Data Recovery Agent (DRA) 証明書をアップロードします。
  11. WIP で Azure RM を許可するかどうかなど、他の WIP 設定を選択します。
  12. [OK] を選択し、[作成] をもう一度選択します。

許可されたアプリと除外されたアプリ

アプリ ルールを追加するプロセスは、使用するルール テンプレートの種類によって若干異なります。 ルール テンプレートは次のとおりです。

  • 推奨されるアプリ。 推奨されるアプリは、WIP で動作する対応アプリです。
  • ストア アプリ これは、Microsoft Store から利用できるアプリ用です。
  • デスクトップ アプリ これは、署名された Windowsデ スクトップ アプリ用です。

許可されているアプリの一覧に各種類のアプリを追加する方法の詳細については、「エンドポイント マネージャー管理センターを使用して MDM を使用してWindows Information Protection (WIP) ポリシーを作成する」の「許可されたアプリの一覧にアプリを追加する」トピックを参照してください。

保護する予定のアプリを追加したら、使用する保護モードを決定する必要があります。 テスト ユーザーのグループを使用してポリシーを作成して検証する場合は、ブロック モードを使用する前に、サイレント モードまたは許可オーバーライド モードを使用するベスト プラクティスを検討してください。 その際に、許可されたアプリの一覧に正しいアプリがあることを確認できます。

企業 ID

企業 ID は、WIP で保護するアプリから組織データを識別します。 たとえば、組織のドメインから送信されたメールは組織として識別され、WIP ポリシーが適用されます。 このため、通常は、メールを送信するすべてのドメインを追加する必要があります。

会社 ID を追加するには、[企業 ID] フィールドにドメイン名または複数のドメイン名をパイプ文字 (|) で区切って入力します。

ネットワーク境界

WIP では、アプリがネットワーク上の組織データを検索してアクセスできる場所 (ネットワーク境界とも呼ばれる) を把握する必要があります。 既定の場所のセットや、これらの場所を自動的に定義する方法はありません。 WIP ポリシーに追加する必要があり、必要な数の場所を追加できます。

ネットワーク境界定義を追加するときは、境界の種類を選択します。その選択に基づいて、特定の形式で定義を指定します。 また、プロキシ サーバーや IP アドレスの一覧などの一部の境界リストが明確であるか、ネットワーク上で追加のサーバーまたは IP アドレスを検索できるかどうかを Windows に通知するようにポリシーを構成することもできます。

次の表では、さまざまな境界の種類のオプションについて説明します。

Network 要素

説明

クラウド リソース

組織のデータを含むものとして扱う必要がある、クラウド ベースのリソースまたはアプリケーション (SharePoint Online や Microsoft Visual Studio Codespace など) の URL を指定します。 URL1|URL2 形式を使用して、複数のエントリを作成できます。

保護されたドメイン

保護対象として扱うドメインの DNS サフィックスを定義します。 domainname1domainname2 の形式を使用して、複数のエントリを許可します。たとえば、corp.adatum.com、sales.adatum.com などです。

ネットワーク ドメイン

環境内で使用される DNS サフィックスを定義します。 domainname1domainname2 の形式を使用して、複数のエントリを許可します。たとえば、corp.adatum.com、sales.adatum.com などです。

プロキシ サーバー

WIP がトラフィックを保護する必要がある外部向けプロキシ サーバーのアドレスとポートを指定します。 たとえば、proxy.adatum.com:80;proxy2.adatum.com:137 です。

内部プロキシ サーバー

デバイスがクラウドベースのリソースに到達するために使用するプロキシ サーバーを指定します。 エンタープライズ プロキシ サーバーと同じ形式を使用します。

IPv4 範囲

ネットワークで使用されるインターネット プロトコル バージョン 4 (IPv4) アドレスの範囲を指定します。 複数の範囲をコンマで区切って、startingaddress-endingaddress 形式を使用して入力します。 このネットワーク要素は、エンタープライズ インターネット プロトコル バージョン 6 (IPv6) 範囲を指定しない場合に必要です。

IPv6 範囲

ネットワークで使用される IPv6 アドレスの範囲を指定します。 このネットワーク要素は、エンタープライズ IPv4 範囲を指定せず、IPv4 と同じ形式を使用する場合に必要です。

ニュートラル リソース

Active Directory フェデレーション サービス (AD FS) エンドポイントなど、会社の認証リダイレクト エンドポイントを指定します。 URL1|URL2 形式を使用して入力します。

データ回復エージェント (DRA) 証明書

前述のように、WIP は、ローカル ドライブ上にあるときにエンタープライズ データを暗号化します。 暗号化キーが失われたり取り消されたりした場合は、データを回復できません。 DRA 証明書を追加することで、ローカル データを暗号化する公開キーを指定します。これにより、必要に応じて後でそのデータの暗号化を解除できます。

暗号化ファイル システム (EFS) DRA 証明書がまだない場合は、展開する前に、証明書を作成してポリシーにアップロードする必要があります。

手順については、「暗号化ファイル システム (EFS) データ回復エージェント (DRA) 証明書の作成と検証」を参照してください。

次の追加の WIP ポリシー設定を構成することもできます。

  • 登録解除時に暗号化キーを取り消します。 デバイスが Intune から登録解除されている場合、ユーザーは暗号化された組織データにアクセスできません。
  • Windows Information Protection アイコン オーバーレイを表示します。 WIP アイコンがエクスプローラーまたは名前を付けて保存ビュー内のファイルをオーバーレイするかどうかを決定します。
  • WIP 用の Azure RMS を使用します。 WIP に Azure RMS 暗号化を使用するかどうかを決定します。 Azure RMS が必要です。
  • Windows にサインインする方法として、Windows Hello for Business を使用します。 ユーザーが Windows Hello を使用してデバイスにサインインできるかどうかを決定し、Windows Hello を使用するための規則を決定します。