次の方法で共有

Microsoft Intuneを使用したアプリのセキュリティ保護と保護

  • [アーティクル]

Intune の機能を 設定して展開し管理するアプリを Intune に追加し、 Intune で管理するアプリを構成したら、アプリ保護ポリシーを作成するプロセスを開始できます。 アプリ保護 ポリシー (APP) は、organizationのデータが安全でマネージド アプリに含まれていることを保証するルールです。 これらのポリシーでは、エンド ユーザーが "企業" データにアクセスして移動する方法と、エンド ユーザーがアプリを使用しているときに禁止または監視されるアクションを制御する方法が適用されます。 この適用により、organizationでモバイル デバイス上のアプリでデータにアクセスして共有する方法を制御できます。

このソリューションで提供されるコンテンツは、サポートされているプラットフォームごとにアプリ保護のさまざまな側面を理解するのに役立ちます。 さらに、このソリューションでは、基本、強化、および高レベルのアプリ保護に関する推奨設定に基づいて、アプリ保護ポリシーを作成する手順を実行します。

マネージド アプリは、Intune などの統合エンドポイント管理プロバイダーを介してユーザーに割り当てたアプリです。 マネージド アプリは、アプリ保護ポリシーとアプリ構成ポリシーをサポートします。 これらのアプリは、統合エンドポイント管理プロバイダーによって提供されるモバイル アプリケーション管理 (MAM) を使用します。 MAM を使用すると、組織はアプリケーション内でデータを管理および保護できます。 Intune のマネージド アプリは、Intune アプリ 保護ポリシーが適用され、Intune によって割り当てられ、管理される保護されたアプリです。 マネージド アプリは、Intune App SDK を統合しているか、Intune ラッピング ツールを使用してラップされ、アプリ保護ポリシー (APP) やアプリ構成ポリシーをサポートしています。 MAM ポリシーを使用して、Intune に登録されている MDM ではないエンド ユーザーの個人用デバイスであるアンマネージド デバイス上のアプリを構成および保護できます。

ヒント

MAM ポリシーの展開を検討するタイミングについては、「移行ガイド: Microsoft Intuneのセットアップまたは移行」を参照してください。

アプリ保護ポリシーを使用すると、アプリ レベルでorganizationのデータを保護する利点があります。 エンド ユーザーの場合、生産性は影響を受けず、エンド ユーザーが個人のコンテキストでアプリを使用している場合、アプリ保護ポリシーは適用されません。 通常、アプリ保護ポリシーを使用する必要がある状況がいくつかあります。 たとえば、エンド ユーザーが個人用デバイスを使用している場合は、アプリ保護ポリシーを使用して、PIN を使用してアプリへのアクセスを制御できます。 organizationのデータが管理されていないアプリと共有されないように、データ共有の制限を適用することもできます。 また、エンド ユーザーが個人の場所にorganizationデータを保存できないようにすることもできます。 詳細については、「アプリ保護 ポリシーを使用する利点」を参照してください。

重要

Intune を使用して、organizationにゼロ トラストセキュリティ戦略を適用できます。 ゼロ トラストは、一連のセキュリティ原則を設計および実装するときに使用するアプローチです。 詳細については、「Microsoft Intuneとゼロ トラストID とデバイス のアクセス構成を使用したゼロ トラスト」を参照してください。

組織は、モバイル デバイス管理 (MDM) の有無にかかわらず、アプリ保護ポリシーを同時に使用できます。 たとえば、会社が発行した電話と自分の個人用タブレットの両方を使用するエンド ユーザー (従業員またはorganization メンバー) を考えてみましょう。 organization発行された電話は MDM に登録され、アプリ保護ポリシーによって保護されますが、個人用デバイスはアプリ保護ポリシーによってのみ保護されます。

サポートされるプラットフォーム

Intune でアプリ保護ポリシーを作成するときにサポートされる主なプラットフォームは 3 つあります。

プラットフォーム 説明
iOS/iPadOS アプリ保護ポリシーは、Intune アプリ保護機能をサポートするために開発された iOS/iPadOS アプリに適用できます。 iOS/iPadOS デバイスにサインインするユーザーのグループにアプリ保護を適用できます。 具体的には、iOS/iPadOS のアプリ保護ポリシー内で、データ保護、アクセス要件、条件付き起動設定に基づいてアプリ保護を適用できます。 詳細については、「Microsoft Intuneの iOS アプリ保護ポリシー設定」を参照してください。
Android Intune アプリ保護機能をサポートするために開発された Android アプリにアプリ保護ポリシーを適用できます。 Android デバイスにサインインするユーザーのグループにアプリ保護を適用できます。 具体的には、Android 用アプリ保護ポリシー内で、データ保護、アクセス要件、条件付き起動設定に基づいてアプリ保護を適用できます。 詳細については、「Microsoft Intuneの Android アプリ保護ポリシー設定」を参照してください。
Windows 現時点では、Windows デバイス用の Microsoft Edge にアプリ保護ポリシーを適用できます。 Microsoft Edge を使用すると、organizationのデータへのアクセス方法を制御できます。 Windows デバイスにサインインするユーザーのグループにアプリ保護を適用できます。 具体的には、Windows のアプリ保護ポリシー内で、データ保護と正常性チェックの設定に基づいてアプリ保護を適用できます。 データ保護設定を使用すると、organization (組織) コンテキストへのデータの移動方法を制御できます。 組織コンテキストは、指定した組織アカウントからアクセスされるドキュメント、サービス、サイトによって定義されます。 アプリ保護ポリシー設定を使用すると、組織コンテキストに受信した外部データと組織コンテキストから送信された組織データを制御できます。 これらの設定には、組織データの受信と送信が含まれます。 また、データ損失防止 (DLP) コントロール (切り取り、コピー、貼り付け、名前付き保存の制限など) を実装することもできます。 さらに、組織データの印刷を許可またはブロックすることもできます。 詳細については、「Windows のポリシー設定をアプリ保護する」を参照してください。

サポートされているプラットフォームの詳細については、「プラットフォーム 別のアプリ管理機能」を参照してください。

サポートされているアプリ

iOS/iPadOS および Android プラットフォームの場合は、Intune アプリ保護機能をサポートするために開発されたすべてのマネージド アプリにアプリ保護ポリシーを適用できます。 マネージド アプリは、Intune App SDK を統合しているか、Intune App Wrapping Toolを使用してラップされています。 Windows プラットフォームでは、 Windows MAM を使用して個人の Windows デバイス上の企業データのデータ保護を有効にすることができます。 Windows MAM は、アプリ保護ポリシーを Microsoft Edge for Windows に適用する場所です。 Microsoft Edge とほとんどの Microsoft アプリケーションは、Intune App SDK を使用して Intune をサポートするために統合されています。 SDK 統合を含むアプリの一覧については、「保護されたアプリMicrosoft Intune」を参照してください。

前提条件

Microsoft Intuneでアプリを保護する前に、いくつかの前提条件に従って Intune を設定し、主要なアプリ管理構成を理解する必要があります。

注:

Intune を初めて使用する場合は、Microsoft Intune無料試用版から開始します。 Intune は 30 日間無料で試用できます。 サインアップ プロセスを完了すると、Intune の評価に使用できる新しいテナントが作成されます。 テナントは、Intune へのサブスクリプションがホストされているMicrosoft Entra ID (Microsoft Entra ID) の専用インスタンスです。 その後、テナントを構成できます。これには、organizationを保護するために使用できる多くの機能が含まれます。 そのうちの 1 つは、Intune 用アプリの追加と構成です。

Intune をまだ設定していない場合は、次の手順に従い、管理および保護するために必要なアプリを追加します。

  1. Intune を設定して 展開する
  2. アプリケーション保護について
  3. アプリの種類について
  4. Intune にアプリを追加します

重要

無料試用版を超えてMicrosoft Intuneを使用するには、Microsoft からライセンスを取得する必要があります。 Microsoft Intuneを含むライセンスの詳細については、「Microsoft Intune ライセンス」を参照してください。

organizationのメンバーにデプロイできる多くのアプリは無料ですが、一部のアプリでは、各ユーザーがアプリを使用するためにライセンス、サブスクリプション、またはアカウントが必要になる場合があります。 アプリ ライセンスの詳細については、「 Intune で使用されるアプリ ライセンスについて」を参照してください。

アプリ保護

アプリ保護は、Microsoft Intuneで登録されているか、サード パーティのモバイル デバイス管理 (MDM) ソリューションに登録されているか、モバイル デバイス管理ソリューションに登録されていない、サポートされているデバイス プラットフォーム上のサポートされているマネージド アプリに適用できます。

アプリ保護ポリシーを作成するときは、次の順序で次の詳細を選択します。

  1. プラットフォーム
  2. 保護するアプリ
  3. アプリのデータ保護設定
  4. アプリのアクセス要件
  5. アプリの条件付き起動設定

上記の一覧に加えて、 スコープ タグアプリの割り当てを選択することもできます。

重要

Intune ポータル サイト アプリは、デバイス ユーザーがデバイス ポリシー コントローラーとしてアプリ保護ポリシーを受け取るために Android デバイスで必要です。 これにより、デバイス ユーザーはアプリ保護ポリシーを受け取ります。 詳細については、「Intune ポータル サイト アプリ、ポータル サイト Web サイト、Intune アプリを構成する方法」およびポータル サイトをカスタマイズして構成する」を参照してください。

プラットフォーム別のアプリ保護カテゴリ

サポートされているプラットフォームごとに異なるアプリ保護設定を使用できます。 iOS/iPadOS と Android プラットフォームのアプリ保護カテゴリが同じであることを認識することが重要です。 ただし、Windows は異なります。 Windows プラットフォームは、Microsoft Edge を介してorganizationのストレージの場所へのデータ フローを管理することで、organizationデータを保護します。

アプリ データ保護カテゴリ。

ヒント

アプリ保護とコンプライアンス ポリシーが Intune アーキテクチャ全体に適合する場所を確認するには、「Microsoft Intuneのアーキテクチャの概要」を参照してください。

アプリ保護ポリシーを作成するときは、プラットフォーム、対象となるアプリ、アプリ保護カテゴリの特定の設定を選択します。

アプリ保護ポリシーでアプリのデータを保護するしくみ

エンド ユーザー (organizationのメンバー) は、個人用タスクと作業タスクの両方でモバイル デバイスを使用します。 エンド ユーザーの生産性を確保しながら、意図的な状況と意図しない状況の両方で、organizationのデータをセキュリティで保護できない場所に移動しないようにする必要があります。 また、自分が管理していないデバイスからアクセスする会社のデータも保護する必要があります。 Intune アプリ保護ポリシーは、モバイル デバイス管理 (MDM) ソリューションとは無関係に使用できます。 この独立性により、デバイスをデバイス管理ソリューションに登録してもしなくても会社のデータを保護できます。 アプリ レベルの保護ポリシーを実装することで、会社のリソースへのアクセスを制限し、IT 部門の管理範囲内にデータを保持できます。

アプリが制限なしで使用されている場合、会社データと個人データが混在する可能性があります。 会社データが個人の記憶域に保存されたり、管理範囲外のアプリに転送されたりして、データ損失を招くことがあります。 次の表に、データ、デバイス、アプリの保護の詳細を示します。

データ、デバイス、アプリの保護 説明
アプリ保護ポリシーのないアプリ アプリが制限なしで使用されている場合、会社データと個人データが混在する可能性があります。 会社データが個人の記憶域に保存されたり、管理範囲外のアプリに転送されたりして、データ損失を招くことがあります。
アプリ保護ポリシー (APP) を使ったデータ保護 アプリ保護ポリシーを使用して、会社のデータがデバイスのローカル ストレージに保存されないようにすることができます。 また、アプリ保護ポリシーで保護されていない他のアプリへのデータ移動を制限できます。
マネージド デバイス上のアプリ保護ポリシーを使用したデータ保護 アプリとデバイスの両方の管理と保護を提供します。
登録されていないデバイスのアプリ保護ポリシーを使用したデータ保護 アプリ保護ポリシーは、アプリ レベルで会社のデータを保護するのに役立ちます。 ただし、アプリの展開、デバイス証明書プロファイルのプロビジョニング、デバイスのorganization設定のプロビジョニングには制限があります。 Intune でデバイスを登録して管理することで、これらの制限を回避できます。

詳細については、「 アプリ保護ポリシーでアプリ データを保護する方法」を参照してください。

このソリューションの内容

このソリューションは、Microsoft Intuneのアプリ データ保護を理解するのに役立ちます。 さらに、このソリューションでは、特定のアプリに対して Intune でアプリ保護ポリシーを作成し、それらのポリシーをorganizationのメンバーに割り当てるための推奨手順を示します。 上記の前提条件を完了したら、Intune でorganizationのアプリ保護ポリシーを作成する準備ができました。 アプリ管理作業の一環として構成ポリシーと保護ポリシーを使用すると、organizationのメンバーはアプリを安全に使用できます。 organizationでアプリを管理することで、organizationのデータの保護とセキュリティ保護に役立ちます。

Intune でのアプリ保護の詳細については、次のトピックを参照してください。

Intune でアプリ保護ポリシーを追加するときに推奨される設定に従う方法については、次のトピックを参照してください。

  1. 最小限のデータ保護を適用する
  2. 拡張データ保護を適用する
  3. 高いデータ保護を適用する
  4. アプリ保護の配信について
  5. アプリ保護の確認と監視
  6. アプリ保護アクションを使用する

手順 1.最小限のデータ保護を適用します。

上記の手順を完了したら、organizationで使用するマネージド アプリをデプロイ、管理、監視する準備ができました。