VMware Workspace ONE® では、Microsoft Intune® アプリ保護ポリシーと AirWatch が統合することで、2 つのコンソールで Microsoft Intune アプリ保護ポリシー用に DLP ポリシーを管理する必要がなくなります。

Workspace ONE UEMで、Microsoft Intune アプリ保護のデータ漏洩防止 (DLP) アプリケーションポリシーを構成することが可能になります。2 つのシステムが統合されると、Workspace ONE UEM Console で DLP アプリケーションポリシーが管理されるので、これにより最新の状態を維持することが可能になります。

ほとんどの Microsoft Intune アプリ保護ポリシーは、Android プラットフォームおよび iOS プラットフォームで使用できます。

Workspace ONE UEM コンソールで管理して同期化を維持

2 つのシステムが統合されると、Workspace ONE UEM Console で DLP アプリケーションポリシーが管理されるので、これにより最新の状態を維持することが可能になります。Workspace ONE UEM では、その他の統合において行われた変更は適用されません。DLP アプリケーションポリシーまたはセキュリティ グループ割り当てが同期されない場合があります。

Android および iOS でのユーザー エクスペリエンス

iOS プラットフォームと Android プラットフォームでは、Intune との統合完了後、アプリに初めてアクセスしたときのユーザー エクスペリエンスが若干異なります。

iOS でのエクスペリエンス

デバイス ユーザーが iOS デバイスの Microsoft Office 365 アプリケーションに対して認証を行い、プロファイルが正常にプッシュされると、ポップアップ表示にて、組織によりアプリケーションが管理されていることを確認することができます。構成において追加の手順はありません。

Android でのエクスペリエンス

Android および Android Enterprise デバイスを管理するには、Intune Company Portal アプリケーションをインストールする必要があります。このアプリケーションは、Workspace ONE Intelligent HubWorkspace ONE UEM アプリケーションのブローカとして機能するのと同じように、Intune アプリ SDK のブローカとして機能します。

iOS および Android での一般的なエクスペリエンス

いずれのプラットフォームでも、デバイスにて Intune を MDM 認証に設定する必要があります。この設定は、[Azure テナント] > [すべてのリソース] > [Intune]のデバイスで構成することができます。[はじめに] の通知から [Intune MDM 認証] を有効にします。

Azure でアクションを実行して Microsoft Intune を統合

統合の場合、ユーザー アカウントを作成し、リストにある Microsoft ライセンスをユーザーに割り当てます。

環境下に Workspace ONE UEM Console のディレクトリ サービスにおいて Azure AD 統合がない場合、[AirWatch by VMware] アプリを Azure に追加する必要があります。詳細については、「Configure Workspace ONE UEM to Use Azure AD as an Identity Service」を参照してください。

重要:

Workspace ONE UEM以外の MDM プロバイダで OOBE (Out of The Box Enrollment) がすでにセットアップされている場合、Azure に [AirWatch by VMware] を追加し、その他の設定については入力や編集をしないでください。構成を入力または編集すると、既存の登録プロセスが中断されるおそれがあります。

  • Azure でサービス アカウント(ユーザー)を作成し、ユーザーに適切なロールを割り当てます。
    注:

    これらは一般的な手順です。Azure の構成に関する最新情報については、Microsoft のドキュメントを参照してください。

    1. ブラウザに portal.azure.com と入力して、Azure ポータルに移動します。
    2. ユーザーを作成するか、ユーザーをオンプレミスの Active Directory と同期します。

      このユーザー ドメインの多要素認証 (MFA) を無効にします。

    3. リストにあるロールをユーザーに割り当てます。
      • [Intune 管理者]
      • [アプリケーション管理者]
      • [ディレクトリ閲覧者]
      • [ディレクトリ ライター]
  • Azure AD でユーザーを作成した場合、portal.azure.com からこのアカウントで Azure にログインします。パスワードが有効で、更新の必要がないことを確認します。
  • Azure にて、リストにあるライセンスをユーザーに割り当てる必要があります。
    • Microsoft Intune アプリ保護ポリシー
    • Microsoft エンタープライズ モビリティ + セキュリティ E3 または E5

Intune 設定を構成

Workspace ONE UEM Consoleにて、データ漏洩防止 (DLP) アプリケーションポリシーを構成し、Microsoft Intune® アプリ保護のアプリケーションとデータに適用させます。システムが通信できるように、最初に [認証] タブを構成します。次に、DLP 設定を構成し、グループに割り当てます。

Workspace ONE UEM は、アプリケーションにポリシーを直接強制するものではありません。Microsoft SDK は、ポリシーを制御して適用させます。
注:

この警告は、オペレーティング システムのバージョンとアプリのバージョンに応じて変わります。Android パッチ バージョンの場合、ユーザーへの通知は警告メッセージのみになります。尚、警告アラートは、エンド ユーザーに対しアプリケーションの使用を停止することはありません。

[前提条件]

DLP アプリケーションポリシーを構成して Intune アプリケーションに適用させるには、Intune でアプリケーションポリシーを構成する権限が必要です。

[手順]

  1. [グループと設定] > [すべての設定] > [アプリ] > [Microsoft Intune® アプリ保護ポリシー]の順に進みます。
  2. [認証] タブを選択し、Azure 管理者のユーザー名とパスワードを入力します。

    管理者は、Office 365 DLP アプリケーションポリシーを使用することで、Microsoft Graph API で Office 365 アプリとデータを保護できます。Office 365 DLP ポリシーを構成するには、テナントを Workspace ONE UEMに接続するための管理者認証情報が必要です。

    設定 説明
    ユーザー名 テナントを Workspace ONE UEM に構成する際に使用するユーザー名を入力します。
    パスワード テナントを Workspace ONE UEM に構成する際に使用するパスワードを入力します。

    Workspace ONE UEM は、これらの認証情報で DLP アプリケーションポリシーを検索し、Microsoft セキュリティ グループに割り当てます。

  3. [データ漏洩防止] タブを選択し、推奨の Microsoft Intune アプリ保護ポリシーの DLP アプリケーションポリシーを構成します。管理 Microsoft Intune アプリ保護ポリシーのアプリケーションとデータにおける DLP アプリケーションポリシーを構成します。
    データ再配置の設定 説明
    バックアップ禁止 ユーザーは、管理アプリケーションのデータをバックアップできなくなります。
    アプリから別のアプリへのデータ転送を許可
    • [すべて] - ユーザーは、管理アプリケーションから任意のアプリケーションへのデータ送信ができるようになります。

    • [制限付き] - ユーザーは、管理アプリケーションから別の管理アプリケーションへのデータ送信ができるようになります。

    • [なし] - ユーザーは、管理アプリケーションからどのアプリケーションにもデータ転送ができなくなります。

    別のアプリからアプリへのデータ受信を許可
    • [すべて] - ユーザーは、アプリケーションから管理アプリケーションへのデータ受信ができるようになります。

    • [制限付き] - ユーザーは、別の管理アプリケーションから管理アプリケーションへのデータ受信ができるようになります。

    • [なし] - ユーザーは、どのアプリケーションからも管理アプリケーションへのデータ受信ができなくなります。

    [名前を付けて保存] を禁止 ユーザーは、管理 Microsoft Intuneアプリ保護ポリシーのアプリケーション データを別のストレージ システムや領域に保存できなくなります。
    別のアプリで切り取り、コピー、貼り付けを制限
    • [任意のアプリ] - ユーザーは、管理アプリケーションと任意のアプリケーション間でデータの切り取り、コピー、貼り付けができるようになります。

    • [ブロック] - ユーザーは、管理アプリケーションとすべてのアプリケーション間でデータの切り取り、コピー、貼り付けができなくなります。

    • [ポリシー管理アプリ] - ユーザーは、管理 Microsoft Intuneアプリ保護ポリシー アプリ間でデータの切り取り、コピー、貼り付けができるようになります。

    • [ポリシー管理アプリ(] への貼り付け) - ユーザーは、管理アプリケーションのデータを切り取りまたはコピーし、他の管理アプリケーションに貼り付けることができるようになります。

      またユーザーは、任意のアプリケーションのデータを切り取りまたはコピーし、管理アプリケーションに貼り付けることもできるようになります。

    管理ブラウザでの Web コンテンツの表示を制限 管理アプリケーションのリンクを管理ブラウザで強制的に開くようにします。
    アプリ データを暗号化 デバイスが選択された状態になると、管理アプリケーションに関連するデータが暗号化されます。システムにより、外部ストレージ ドライブや SIM カードなどの任意の場所に保存されたデータは暗号化されます。
    コンテンツの同期を無効化 管理アプリケーションでは、連絡先をネイティブのアドレス帳に保存できなくなります。
    印刷の無効化 ユーザーは、管理アプリケーションに関連付けられたデータを印刷できなくなります。
    使用できるデータ ストレージの場所 管理者は、ユーザーが管理アプリケーションのデータを保存できる場所を制御することができます。
    アクセス設定 説明
    アクセスには暗証番号が必要

    管理アプリケーションにアクセスするには、ユーザーは暗証番号を入力する必要があります。

    ユーザーは初回アクセス時に暗証番号を作成します。

    暗証番号がリセットされるまでの試行回数 システムにより暗証番号がリセットされるまで、ユーザーが試行できる回数を設定します。
    シンプルな暗証番号を許可 ユーザーは、反復文字を用いた4桁の暗証番号を作成することができます。
    暗証番号の長さ 暗証番号用に設定が必要な文字の文字数を設定します。
    暗証番号に使用できる文字 暗証番号用に設定が必要な文字を設定します。
    暗証番号の代わりに指紋の使用を許可 ユーザーは、暗証番号ではなく指紋で管理アプリケーションにアクセスすることができます。
    アクセスに企業認証情報を要求 ユーザーは、企業認証情報で管理アプリケーションにアクセスすることができます。
    ジェイルブレイク状態またはルート化されたデバイスで、管理アプリの実行をブロック ユーザーは、侵害状態のデバイスの管理アプリケーションにアクセスできなくなります。
    アクセス要件の再検証までの時間(分)

    アクセス セッションが下記のいずれかの時間間隔に達した際に、アクセス用暗証番号、指紋、または認証情報を検証するようシステムを設定します。

    • [タイムアウト] - 管理アプリケーションのアクセス セッションがアイドル状態になっている時間(分)。

    • [オフライン猶予期間] - 管理アプリケーションを使用するデバイスがオフラインになっている時間(分)。

    データがワイプされるまでのオフライン日数 デバイスが一定の日数の間オフラインになった場合、管理アプリケーション データをデバイスから削除するようシステムを設定します。
    Android の設定 説明
    スクリーン キャプチャと Android Assistant をブロックする [はい] を選択すると、Office アプリの使用時にスクリーン キャプチャと Android Assistant アプリによるスキャンが使用できなくなります。
    オペレーティング システムの最小バージョンが必要です アプリケーションへのセキュアなアクセスに必要な、Android OS の必要最小バージョン番号を入力します。
    オペレーティング システムの最小バージョンが必要です (警告アラートのみ) アプリケーションへのセキュアなアクセスに必要な、Android OS の最小バージョン番号を入力します。
    アプリの最小バージョンが必要です アプリケーションへのセキュアなアクセスに必要な、アプリの必要最小バージョン番号を入力します。
    アプリの最小バージョンが必要です (警告アラートのみ) アプリケーションへのセキュアなアクセスに必要な、アプリの最小バージョン番号を入力します。
    Android パッチの最小バージョンが必要です アプリケーションへのセキュアなアクセスを確保できる、最も古い必須 Android セキュリティ パッチレベルを入力します。
    Android パッチの最小バージョンが必要です (警告アラートのみ) アプリケーションへのセキュアなアクセスを確保できる、最も古い Android セキュリティ パッチレベルを入力します。
  4. [割り当てられるグループ] タブを選択し、DLP アプリケーションポリシーを Microsoft セキュリティ グループに割り当てます。セキュリティ グループは、Azure で予め構成しておきます。
    設定 説明
    すべてのセキュリティ グループ

    セキュリティ グループの名前を入力し、DLP アプリ ポリシーに割り当てます。入力後、システムで表示されるリストから選択します。

    [グループを追加] を選択し、DLP アプリ ポリシーをセキュリティ グループに割り当てます。

    O365 ポリシーに割り当てられたセキュリティ グループ

    DLP アプリ ポリシーに割り当てられたセキュリティ グループを一覧表示します。

    [グループを削除] を選択し、セキュリティ グループから割り当てを削除します。

削除および変更されたポリシーの警告メッセージ

Microsoft Intuneアプリ保護ポリシーのロード後、Workspace ONE UEM Console にて Azure ポータルの Intune における削除と変更の確認をします。管理ポリシーが、展開されたポリシーと同期されなくなる可能性があります。削除や変更の可能性について管理者に警告するために、Workspace ONE UEM Console によりシナリオに基づいて警告メッセージが表示されます。

  • Microsoft Intune ポータルでポリシーが削除されました。UEM からポリシー設定を削除するには [設定の削除] をクリックします。

    Intune で展開されている iOS ポリシーと Android ポリシーのいずれかまたは両方が削除されると、Workspace ONE UEM Console によりこのメッセージが表示されます。[設定の削除] を選択すると、両方のポリシーの設定が Workspace ONE UEM Console から削除されます。尚、Azure 側では変更は一切発生しません。[コンソール] ページは自動的に更新されません。

    ユーザーは、新しい iOS および Android ポリシーをエラーなしで Azure に展開することができます。

    注: Azure で iOS または Android のいずれかのポリシーが削除されるだけであれば、もう一方のポリシーが Azure でそのまま存続することになります。過去の設定を保持しないことをユーザーが選択した場合、他のポリシーは手動で削除する必要があります。
  • ポリシー設定は Microsoft Intune ポータルで更新されているため、Workspace UEM とは同期されていません。UEM でこのポリシーを更新するには、[同期設定] をクリックします。
    Azure ポータルの Intune において iOS と Android の両ポリシーが変更され、両ポリシーとも設定が同じである場合、 Workspace ONE UEM Console によりこのメッセージが表示されます。 [同期設定] を選択すると、 Workspace ONE UEM の両ポリシーの設定が更新され、Azure で取得するポリシーと一致させることができます。[コンソール] ページは自動的に更新されません。
    注: このシナリオでは、iOS SDK 設定や Android Assistant 設定など、iOS や Android に対する固有の設定は除外されます。
  • 「他のアプリケーション間でデータを受信します」のポリシーは、Azure ポータルの Android ポリシーと iOS ポリシー間で異なります。Android ポリシーと iOS ポリシーを同期するには、Workspace ONE UEM においてこの設定が同じである必要があります。この問題を解決するには、IT 管理者にお問い合わせください。
    「他のアプリケーション間でデータを受信します」および「他のアプリケーションに org データを送信します」のポリシーは、Azure ポータルの Android ポリシーと iOS ポリシー間で異なります。Android ポリシーと iOS ポリシーを同期するには、Workspace ONE UEM においてこれらの設定が同じである必要があります。この問題を解決するには、IT 管理者にお問い合わせください。
    「バックアップを防止します」、「他のアプリケーション間でデータを受信します」、「他のアプリケーションに org データを送信します」のポリシーは、Azure ポータルの Android ポリシーと iOS ポリシー間で異なります。Android ポリシーと iOS ポリシーを同期するには、Workspace ONE UEM においてこれらの設定が同じである必要があります。この問題を解決するには、IT 管理者にお問い合わせください。 

    Azure ポータルの Intune で両ポリシーが変更されたが、両ポリシー間で設定が同じでない場合、Workspace ONE UEM Console によりこれらのメッセージが表示されます。メッセージには、Azure での両ポリシー間における設定の相違内容が表示されます。また、Workspace ONE UEM Consoleで使用されるポリシー名ではなく、Azure で一覧表示されているポリシー名が表示されます。

    Workspace ONE UEM Console[同期設定] のメニュー項目を使用する前に、メッセージにて一覧表示されている相違内容を解決します。

    注: このシナリオでは、iOS SDK 設定や Android Assistant 設定など、iOS や Android に対する固有の設定は除外されます。

[設定の削除] のメニュー項目と [同期設定] のメニュー項目により、Azure ポータルでの Intune の設定は変更されません。