Microsoft 365

Microsoft Intune : iOS/iPadOS アプリのデータを保護する

  • 2021.06.07

前回の 記事 [Microsoft Intune から iOS/iPadOS にアプリを自動配布する] にて、Microsoft Intune からアプリを自動配布する方法を解説しましたが、さらにアプリ内の情報へのセキュリティ対策を行うことにより情報漏洩のリスクを低減することができます。例えば Outlook アプリのメール本文をコピーして、SNS に投稿する操作やファイルを個人のクラウドストレージに保存する操作などを行えないよう禁止できます。

Intune は Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Intune を追加契約することで利用できます。

  1. アプリ保護ポリシーとは
  2. iOS/iPadOS のアプリ保護ポリシーの作成と展開
  3. まとめ

アプリ保護ポリシーとは

Intune には MAM (モバイル アプリケーション管理) の機能として、アプリ保護ポリシーがあります。アプリ保護ポリシー機能を使用することで、組織データを利用しているモバイルアプリに対してセキュリティ対策の設定を行えます。

指定したアプリに対して保護ポリシーを作成することができるため、例えば、Outlook アプリと Office アプリに違う設定の保護ポリシーを展開することも可能です。またアプリ保護ポリシーが展開される対象は Microsoft 365 アカウントでサインインしているモバイルアプリであるため、Intune から展開したアプリでなくても保護ポリシーは展開され、セキュリティ対策が可能です。

アプリ保護ポリシーで行える設定は、OS ごとに異なりますが、iOS/iPadOS では、「iTunes と iCloud のバックアップには組織データをバックアップすることをブロックする」、 「組織データを他のアプリにコピーを許可しない」 などのデータ保護が行えます。注意点は 保護対象となるアプリが Microsoft のアプリとマイクロソフト パートナーの一部のアプリのみとなる点です。

iOS/iPadOS のアプリ保護ポリシーの作成と展開

  1. Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com/) を開き、[アプリ] – [アプリ保護ポリシー] をクリックします。
  2. [ポリシーの作成] – [iOS/iPad] をクリックします。
  3. 名前を付けて [次へ] をクリックします。
  4. [デバイスのすべての種類のアプリをターゲットにする] の [はい] を選択し、[パブリックアプリの選択]、[カスタム アプリの選択] で保護するアプリを選択します。そして、[次へ] をクリックします。

    • [デバイスのすべての種類のアプリをターゲットにする]
      [はい] の場合、Intune の管理デバイスに加え、Intune 管理されていないが Intune ポータルサイトアプリからアプリをダウンロードしたデバイスも保護対象になります。(アンマネージド デバイス)
      [いいえ] の場合、Intune の管理デバイスのみです。(マネージド デバイス)
    • [パブリック アプリ]
      保護対象のアプリを選択します。
    • [カスタム アプリ]
      独自で作成されたアプリを指定します。このアプリはアプリ保護ポリシーで動作するように開発されている必要があります。
  5. データ保護の設定を行い、[次へ] をクリックします。設定項目の詳細は、以下を参照してください。
    iOS/iPadOS のアプリ保護ポリシーの設定 – Microsoft Intune | Microsoft Docs

    • [データ転送]
      他のアプリへのデータのコピーやデータの受信を制御します。
    • [暗号化]
      対象アプリのデータを暗号化します。
    • [機能]
      デバイスの標準アプリ (連絡先やカレンダー、Safari) と対象アプリの連携を制御します。
  6. アプリ利用時の条件を設定します。
  7. アプリの利用条件が設定できます。アプリが設定条件に該当した場合、[操作] 内容が適用されます。必要に応じて設定を行い、[次へ] をクリックします。
  8. 設定を割り当てるグループ (ユーザーのグループ) を指定し、[次へ] をクリックします。
  9. [作成] をクリックします。

作成したアプリ保護ポリシーは、設定した対象先のアプリに自動的に展開されます。
※ 展開されるまでに数時間かかる場合があります。

アプリ保護ポリシーが正しく展開されることで、アプリからのデータ流出を防止することができます。

まとめ

セキュリティ対策として、デバイス自体の管理や機能制限を行うことも大事ですが、組織のデータを保護し、情報漏洩を防止することも重要です。デバイスからアプリのデータ保護までを行い、隙のないセキュリティ対策を行っていきましょう。

関連コース

  • CI505-H Microsoft 365 運用管理
    Microsoft 365 の運用管理において必要となる知識を習得し、行うべき設定項目を理解いただけます。アカウントやデバイス管理の必須となる Azure AD に対する必須知識から、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business などの各サービスに対して行うべき設定、推奨される設定、理解しておきたいしくみなど、運用管理に必要となる内容を基本から、運用にもとめられるレベルまで解説します。また入退社や人事異動への対応方法、監査ログや検疫といったセキュリティ・コンプライアンス対策のために行うべきこともあわせてご紹介します。
  • CI509-H Microsoft 365 デバイス運用管理
    IT 担当者を対象に、安全なモバイルワークを実現する第一歩である Microsoft 365 でのデバイスの管理や運用手法について解説します。デバイスの安全性を高めるために Microsoft Entra ID や Microsoft Intune により、OS のバージョン管理、利用可能とするアプリの許可、接続するネットワークの制限、デバイスの盗難や紛失、退職者のデバイスを正しく管理する方法などを解説します。本コースでは iPhone を使用した実習を行うため、モバイルデバイスの管理方法について、動作を確認しながらさまざまな機能をご理解いただけます。
  • CI507-H Microsoft 365 情報保護とコンプライアンス
    Microsoft 365 の管理者を対象に、ファイルやメール、チームといった Microsoft 365 内の情報を保護するために必要な基本知識や利用すべき機能、および利用方法を解説します。
  • CI508-H Microsoft 365 PowerShell による管理効率化
    Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルを運用管理で利用できるサンプルをもちいて解説します。また、今後利用が推奨される Microsoft Graph PowerShell SDK の利用方法もあわせて解説します。

お問い合わせ

イルミネート・ジャパンが提供するトレーニングやサービスに関するご相談など、
お気軽にご連絡ください。

担当者に相談する