Microsoft Intune でのアプリケーション保護 (APP) ポリシーの構成

Microsoft Intune でのアプリケーション保護 (APP) ポリシーの構成

2024 年 6 月 14 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Intune でアプリケーション保護ポリシー (APP) (サインイン不要のモバイル アプリケーション管理 (MAM) とも呼ばれる) を構成および実装する際のガイドを目的としています。 APP は、Intune (MDM) で管理されているか、管理されていない (BYOD - Bring Your Own Device) かにかかわらず、モバイル デバイス上の企業データを保護するために重要であり、組織のデータが安全に保たれ、個人データから隔離されていることを保証します [1]。

はじめに

モビリティが不可欠であり、仕事目的での個人用デバイスの使用 (BYOD) がますます一般的になるシナリオでは、企業データの保護が重要な課題になります。 Microsoft Intune アプリ保護ポリシー (APP) は、この問題に対する堅牢なソリューションを提供し、組織がデバイス全体を管理することなく、特定のモバイル アプリケーション内で企業データのアクセス、使用、共有方法を制御できるようにします。これは、MDM に登録されていないデバイス上でも、Outlook、Word、Excel、SharePoint などのアプリや、Intune によって管理されるその他のアプリのデータを保護できることを意味します [2]。

この実践的なガイドでは、アクセス制御、データ保護、コンプライアンス要件の定義など、iOS/iPadOS および Android の APP ポリシーの作成と構成について説明します。読者が効果的なデータ保護戦略を実装し、機密情報を保護し、モバイル デバイスの法規制順守を確保できるように、段階的な手順、構成例、および検証方法が提供されます。

アプリケーション保護ポリシー (APP) が重要なのはなぜですか?

  • エンタープライズ データ保護: 管理対象アプリケーションでのコピー、貼り付け、名前を付けて保存、画面印刷などのアクションを制御することで、データ損失 (DLP) を防止します。
  • BYOD サポート: 個人のプライバシーを侵害することなく企業データを保護しながら、ユーザーが個人のデバイスを仕事に使用できるようにします。
  • 柔軟なアクセス制御: 管理対象アプリケーションにアクセスするには PIN、生体認証、または企業資格情報が必要で、許可されたユーザーのみが企業データにアクセスできるようにします。
  • データ分離: 企業データが管理されていない個人のアプリケーションやストレージに移動できないようにします。
  • コンプライアンス: モバイル デバイスのデータ保護を必要とする規制要件を満たすのに役立ちます。
  • ユーザー エクスペリエンスの強化: エンタープライズ アプリケーション全体で一貫した安全なユーザー エクスペリエンスを提供します。

前提条件

Microsoft Intune でアプリケーション保護ポリシー (APP) を実装するには、次のものが必要です。

  1. ライセンス: Microsoft Intune を含むライセンス (例: Microsoft 365 E3、E5、F3、Business Premium、Enterprise Mobility + Security E3、E5) [3]。
  2. 管理アクセス: Microsoft Intune 管理センター (https://endpoint.microsoft.com) の「Intune 管理者」、「Intune アプリケーション管理者」、または「グローバル管理者」のアクセス許可を持つアカウント。
  3. Intune で管理されているアプリ: 保護するアプリは、Microsoft 365 アプリ (Outlook、Word、Excel、PowerPoint、OneDrive、SharePoint、Teams) や、Intune App Protection SDK [4] と統合されているその他の基幹業務アプリなど、「MAM 対応」(MAM 準拠) である必要があります。
  4. デバイスのテスト: ポリシーをテストするための iOS/iPadOS および Android デバイス。

ステップバイステップ: アプリケーション保護ポリシー (APP) の構成

iOS/iPadOS および Android 用の APP ポリシーを作成して、Microsoft 365 アプリの企業データを保護しましょう。

1. Microsoft Intune 管理センターへのアクセス

  1. ブラウザを開いて「https://endpoint.microsoft.com」に移動します。
  2. 必要な権限を持つアカウントでログインします。

2. 新しいアプリケーション保護ポリシーの作成

  1. 左側のナビゲーション ウィンドウで、アプリケーション > アプリケーション保護ポリシーを選択します。
  2. [ポリシーの作成] をクリックし、目的のプラットフォーム (例: 「iOS/iPadOS」) を選択します。このプロセスを繰り返しますアンドロイド用。

ステップ 1: 基本情報

  1. 名前: APP - iOS - Corporate Data Protection (または APP - Android - Corporate Data Protection)。
  2. 説明: 「iOS/iPadOS デバイス上の Microsoft 365 アプリの企業データを保護するポリシー」。
  3. [次へ] をクリックします。

ステップ 2: アプリケーション

ここで、このポリシーの対象となるアプリケーションを選択します。

  1. ターゲット アプリ: 「すべての Microsoft アプリ」 (すべての Microsoft 365 アプリおよび APP をサポートするその他の Microsoft アプリを保護する場合) または「カスタム アプリの選択」 (特定のアプリを選択する場合) を選択します。
  2. この例では、「すべての Microsoft アプリ」を選択します。
  3. [次へ] をクリックします。

ステップ 3: データ保護

このセクションでは、アプリケーション内で企業データを保護する方法を定義します。

データ転送:

  1. 組織データを他のアプリに送信: 「すべてのアプリ」または「アプリなし」を選択します。
    • ヒント: セキュリティを最大限に高めるため、「アプリなし」を選択すると、企業データが個人アプリに移動されなくなります。管理されていない基幹業務アプリケーションとの相互運用性が必要な場合は、追加の制限を設けた「すべてのアプリケーション」を検討してください。
  2. 他のアプリからデータを受信する: 「すべてのアプリ」または「アプリなし」を選択します。
  3. ユーザーが組織データのコピーを保存できるようにします: 「アプリケーションなし」を選択します。
  4. ユーザーが組織データのコピーを選択したクラウド サービスに保存できるようにする: 特定のクラウド サービス (OneDrive for Business、SharePoint など) への保存を許可する必要がある場合は、ここで設定します。

暗号化:

  1. 組織データの暗号化: 「はい」を選択します。

特徴:

  1. カット、コピー、ペースト機能を制限: 「ポリシー アプリのみ」 (管理対象アプリ間のコピー/ペーストを許可するが、個人アプリには許可しない) または「ブロック」 (完全に禁止する) を選択します。
  2. スクリーンショットと画面録画を禁止: 「はい」を選択します。
  3. 連絡先をネイティブ アプリと同期する: 「ブロック」を選択します。

  4. 組織データの印刷: 「ブロック」を選択します。

  5. [次へ] をクリックします。

ステップ 4: アクセス要件

このセクションでは、ユーザーが管理対象アプリケーションにアクセスするために満たさなければならない条件を定義します。

  1. アクセス用の PIN: 「PIN が必要」を選択します。
    • PIN タイプ: 数値 または 複合数値
    • PIN の最小長: 4 (セキュリティ ポリシーによってはそれ以上)。
    • PIN の代わりに指紋を許可: 「はい」 (便宜上)。
  2. アクセス用の会社の資格情報: [会社の資格情報が必要] (定期的な再認証の場合) を選択します。

  3. デバイス/アプリケーションの健全性チェック: 「はい」を選択します。

    • 許可される最大脅威レベル: 「低」または「中」 (iOS/Android 向け Microsoft Defender for Endpoint と統合)。

  4. [次へ] をクリックします。

ステップ 5: 条件付き起動

このセクションでは、デバイスまたはアプリがポリシー要件を満たしていない場合に何が起こるかを定義します。

  1. アクセス PIN: 「PIN 試行の最大数」を設定します (例: 「5」)。アクション: 「PIN をリセット」または「データをクリア」。
  2. オフライン認証情報: 「オフライン猶予期間」を設定します (例: 「720」分)。アクション: 「アクセスをブロック」または「データをクリア」。

  3. デバイスの脅威レベル: 「許可される最大の脅威レベル」を設定します (例: 「中」)。アクション: 「アクセスをブロック」または「データをクリア」。

  4. [次へ] をクリックします。

ステップ 6: 割り当て

管理対象アプリケーションを使用するユーザーまたはグループにポリシーを割り当てます。

  1. 含める: 「グループの選択」を選択し、このポリシーを受け取る必要があるユーザー グループを追加します (例: 「すべてのユーザー」または企業ユーザーの特定のグループ)。

  2. 削除: (オプション) 必要に応じて、特定のグループを削除します。

  3. [次へ] をクリックします。

ステップ 7: 確認と作成

  1. すべてのポリシー設定を確認します。
  2. [作成] をクリックします。

3. 他のプラットフォーム (Android) で繰り返す

セクション 2 の手順を繰り返して Android プラットフォーム用のポリシーを作成し、必要に応じてポリシー名と説明を調整します。データ保護設定、アクセス要件、条件付きリリースは似ていますが、若干の違いがある場合があります。プラットフォーム固有のバリエーションがあります。

検証とテスト

APP ポリシーを検証することは、期待どおりに機能し、企業データを保護するために重要です。

1. 管理対象デバイスと管理対象外デバイスでのテスト

  1. 非管理対象デバイス (BYOD): Intune (MDM) に登録されていない個人用デバイスに、管理対象アプリ (例: Outlook) をインストールします。 APP ポリシーの範囲内の企業アカウントでログインします。
    • アプリケーションがアクセス PIN または生体認証を要求しているかどうかを確認してください。
    • 企業データを個人アプリケーション (メモ帳など) にコピーしてみてください。アクションはブロックする必要があります。
    • 管理対象アプリケーション内でスクリーンショットを撮ってみてください。アクションをブロックするか、スクリーンショットが空白で表示される必要があります。
  2. 管理対象デバイス (MDM): Intune 登録デバイス (MDM) で同じアクションをテストし、APP ポリシーが MDM ポリシーと組み合わせて正しく適用されていることを確認します。

2. Intune 診断ログの確認

Intune 診断ログは、APP ポリシーの適用に関する情報を提供できます。

  1. Microsoft Intune 管理センターで、[トラブルシューティング + サポート] に移動します。
  2. テスト ユーザーを検索します。
  3. [アプリケーション] セクションでは、ユーザーとアプリケーションに適用されたアプリケーション保護ポリシーのステータスを確認できます。

3. アプリ保護ポリシーのステータス レポートの確認

  1. Microsoft Intune 管理センターで、アプリ > モニター > アプリ保護ステータス に移動します。
  2. このレポートには、APP ポリシーを受信したユーザーとアプリケーション、エラーなど、APP ポリシーのステータスの概要が示されます。

セキュリティのヒントとベスト プラクティス

  • 監査から開始: 新しい実装の場合は、完全なブロックを適用する前に影響を理解するために、制限の少ないポリシーまたは監査モード (利用可能な場合) から開始します。
  • 明確なコミュニケーション: APP ポリシー、その利点、デバイスの使用に与える影響についてユーザーに明確に伝えます。これにより、抵抗が軽減され、コンプライアンスが向上します。
  • クロスプラットフォームの一貫性: 統一されたユーザー エクスペリエンスと一貫したセキュリティ体制を実現するために、iOS/iPadOS と Android 全体で APP ポリシーの一貫性を保ちます。
  • 条件付きアクセスとの統合: APP ポリシーと Azure AD 条件付きアクセスを組み合わせて、企業リソースへのアクセスを許可する前にアプリケーションを APP で保護することを要求します [5]。
  • 定期的なレビュー: 変化するビジネス ニーズ、脅威の状況、アプリケーションの更新に適応するために、APP ポリシーを定期的に確認および調整します。
  • 機密性の高いアプリケーションの優先順位付け: まず、最も機密性の高いデータを含むアプリケーション、または企業目的で最もよく使用されるアプリケーションに APP ポリシーを適用します。
  • PIN と生体認証: 特に共有デバイス上でセキュリティを強化するために、管理対象アプリにアクセスするには PIN または生体認証が必要です。

一般的なトラブルシューティング

  • APP ポリシーが適用されていません: ユーザーがポリシー包含グループに属しているかどうかを確認します。アプリが Intune で管理されているアプリであり、ターゲット アプリのリストに含まれていることを確認してください。 Intune の診断ログを確認します。
  • ユーザーが予期せずブロックされました: ポリシーの「条件付き起動」設定を確認してください。デバイスまたはアプリが条件に違反している可能性があります (例: 間違った PIN、ルート化/ジェイルブレイクされたデバイス)。
  • 企業データの漏洩: 「データ保護」設定、特に「組織データを他のアプリケーションに送信する」および「ユーザーに組織データのコピーの保存を許可する」制限を確認してください。
  • アプリが管理対象として表示されない: アプリが Intune 管理対象アプリとして展開されているか、ユーザーがアプリに仕事用アカウントを使用してサインインしていることを確認してください。
  • アプリケーションのパフォーマンスの問題: 場合によっては、非常に制限的な APP ポリシーがアプリケーションのパフォーマンスに影響を与える可能性があります。ユーザーのフィードバックを監視し、必要に応じてポリシーを調整します。
  • 他のポリシーとの競合: 同じデバイスに適用されている MDM ポリシーと APP ポリシーがある場合は、競合がないことを確認してください。 APP生成ポリシーこれらのポリシーはアプリ内のデータにのみ適用されますが、MDM ポリシーはデバイス全体に適用されます。

結論

Microsoft Intune のアプリケーション保護ポリシー (APP) は、モバイル デバイス上の企業データを保護するための重要なツールであり、BYOD 環境に柔軟性とセキュリティを提供します。管理対象アプリケーション内でのデータのアクセス、使用、共有方法を詳細に制御することで、組織はデータ損失のリスクを大幅に軽減し、法規制へのコンプライアンスを確保できます。厳格なテストとユーザー教育と組み合わせた慎重な APP の構成により、IT チームとセキュリティ チームは従来の境界を超えてデータ保護を拡張でき、使用するデバイスに関係なく、企業の最も貴重な情報の安全性が確保されます。このガイドにより、セキュリティ専門家は、ますます接続が進む世界でモバイル セキュリティを強化し、情報資産を保護できるようになります。

参考文献:

[1] Microsoft Learn。 アプリケーション保護ポリシーの概要。入手可能場所: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] Microsoft Learn。 アプリケーション保護ポリシーを作成して展開します。入手可能場所: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] Microsoft Learn。 Microsoft Intune のライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] Microsoft Learn。 アプリケーションは Microsoft Intune によって保護されています。入手可能場所: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] Microsoft Learn。 Intune アプリ保護による条件付きアクセス。入手可能場所: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access