次の方法で共有

アプリ データ保護について

  • [アーティクル]

Intune の Data Protection 設定は、ユーザーがポリシーで管理されたアプリで組織のデータとコンテキストを操作する方法を決定します。 管理者は、組織保護のコンテキストとの間でデータの移動を制御できます。 組織コンテキストは、エンド ユーザーが所有する指定された組織アカウント (Microsoft Entra ID) によってアクセスされるドキュメント、サービス、およびサイトによって定義されます。 アプリ保護ポリシー設定は、組織コンテキストに受信した外部データと、組織コンテキストから送信された組織データを制御するのに役立ちます。

注:

ポリシーで管理されるアプリという用語は、アプリ保護ポリシーで構成されているアプリを指します。

データ保護は、 iOS/iPadOSAndroidおよび Windows プラットフォームをサポートするポリシーで管理されたアプリで使用できます。 各プラットフォームには、データ保護に関連するさまざまな設定セットが用意されています。

アプリ保護ポリシー内の Data Protection 設定は、プラットフォームごとに次のカテゴリを提供します。

データ保護 Categories
iOS/iPadOS データ転送暗号化機能
Android データ転送暗号化機能
Windows データ転送機能

データ転送

iOS/iPadOS アプリ保護ポリシーのデータ転送

iOS/iPadOS 固有のアプリ保護ポリシーのデータ保護設定の [データ転送] セクションには、iOS/iPadOS プラットフォームに固有の設定があります。 これらの設定は、エンド ユーザーがデバイス上の iOS/iPadOS アプリの組織データと対話する方法を決定します。 iTunes と iCloud のバックアップを許可またはブロックする設定を選択し、アプリが組織データを送受信する方法を決定し、アプリ間のエンド ユーザーが開始したデータ移動を制限し、サード パーティ製のキーボードを防止します。

iOS/iPadOS 用のデータ転送 UI。

Android アプリ保護ポリシーのデータ転送

Android 固有のアプリ保護ポリシーのデータ保護設定の [データ転送] セクションには、Android プラットフォームにも固有の設定があります。 一般的に提供されるアプリ保護設定に加えて、Android アプリ保護には、画面キャプチャや Google アシスタントの許可など、追加の設定が用意されています。

Android 用データ転送 UI。

Windows アプリ保護ポリシーのデータ転送

Windows 固有のアプリ保護ポリシーのデータ保護設定の [データ転送] セクションには、Windows プラットフォームに固有の設定があります。 これらの DLP 設定は、Android アプリの 3 つの主要なオプションを提供します。 これらの設定には、アプリ間でデータを受信、送信、移動する方法が含まれます。

Windows 用データ転送 UI。

暗号化

暗号化は、アプリ保護ポリシーの一部として iOS/iPadOS と Android で使用できます。 [データ転送] セクションの [暗号化] セクションも、データ保護設定の一部です。

重要

アプリで職場または学校のデータの暗号化を有効にするには、[ 必須 ] を選択する必要があります。

iOS/iPadOS アプリ保護ポリシーの暗号化

Intune では、iOS/iPadOS デバイスの暗号化を適用して、デバイスがロックされている間にアプリ データを保護します。 必要に応じて、アプリケーションは Intune APP SDK 暗号化を使用してアプリ データを暗号化できます。 Intune APP SDK では iOS/iPadOS の暗号化方法が使用され、アプリ データに 256 ビット AES 暗号化が適用されます。

この設定を有効にすると、ユーザーは PIN を設定してデバイスにアクセスする必要がある場合があります。 デバイスの PIN がなく、暗号化が必要な場合、"組織により、このアプリケーションにアクセスするには、最初にデバイス PIN を有効にする必要があります" というメッセージと共に、ユーザーは PIN を設定するよう求められます。

注:

Apple の公式ドキュメントにアクセスして、FIPS 140-2 準拠または FIPS 140-2 準拠の保留中の iOS 暗号化モジュールを確認します。

iOS/iPadOS 用の暗号化 UI。

Android アプリ保護ポリシーの暗号化

Intune では、wolfSSL の 256 ビット AES 暗号化スキームと Android キーストア システムを使用して、アプリ データを安全に暗号化します。 データは、ファイル I/O タスク中に同期的に暗号化されます。 デバイス ストレージ上のコンテンツは常に暗号化されます。 新しいファイルは 256 ビット キーで暗号化されます。 既存の 128 ビット暗号化ファイルでは、256 ビット キーへの移行が試行されますが、プロセスは保証されません。 128 ビット キーで暗号化されたファイルは読み取り可能なままになります。

注:

暗号化方法は FIPS 140-2 に準拠しています。

Android 用の暗号化 UI。

機能

[機能] セクションは、アプリ保護ポリシーの [データ保護] 設定の最後のセクションです。 このセクションでは、追加のデータ保護設定について説明します。

ヒント

アプリは、アプリ構成ポリシーを使用して追加の構成機能を提供する場合があります。 詳細については、アプリ開発者のドキュメントを参照してください。

iOS/iPadOS および Android アプリ保護ポリシーの機能

iOS/iPadOS および Android アプリ保護ポリシーの場合は、ポリシーマネージド アプリがデバイスのネイティブ アプリ (連絡先、予定表、ウィジェットなど) にデータを保存できないようにするか、ポリシーで管理されているアプリ内でのアドインの使用を防ぐことができます。 [許可] を選択した場合、ポリシー管理アプリはネイティブ アプリにデータを保存したり、ポリシー管理アプリ内でそれらの機能がサポートおよび有効になっている場合はアドインを使用したりできます。

さらに、組織データの印刷を許可またはブロックしたり、他のアプリとの Web コンテンツ転送を制限したり、組織データ通知の処理方法を決定したりできます。 Web コンテンツの転送を制限する場合は、Microsoft Edge でのみ Web コンテンツを開くことを許可することを検討してください。

注:

Android と iOS/iPadOS では、アプリ保護ポリシーを使用して Web コンテンツの転送を制限する際に、まったく異なるオプションが提供されます。 iOS/iPadOS の場合は、1 つのアンマネージド ブラウザーの特定のプロトコルを入力できます。 Android の場合は、アンマネージド ブラウザー ID またはアンマネージド ブラウザー名を入力できます。

iOS/iPadOS では、アプリ保護機能が若干異なることがわかります。

iOS/iPadOS 用の機能 UI。

Android には、iOS/iPadOS 機能と同様の機能が用意されています。

Android 用の機能 UI。

さらに、Android では、アプリ保護ポリシーで指定されたアプリが起動されたときに、Microsoft Tunnel VPN への接続を選択できます。

Windows アプリ保護ポリシーの機能

Windows アプリ保護ポリシーの場合は、組織データの印刷を許可またはブロックすることができます。

Windows 用の機能 UI。

重要

Windows アプリ保護ポリシーでは、ポリシーで指定されたマネージド アプリとして Microsoft Edge のみが許可されます。