データ保護プロファイルは、企業アプリケーションが社内の複数のソースからデータにアクセスする方法を制御するためのルールを構成します。データ保護プロファイルを使用して、セキュア化された承認済みアプリケーションだけがデータにアクセスできるようにする方法を説明します。

1 つのデバイス上にプライベートなデータと業務データがある場合、貴社が制御できないサービスを通して、不注意によりデータが漏洩する可能性があります。Workspace ONE UEM は 「データ保護」 ペイロードを使用し、貴社の企業データがアプリケーション間をどのように移動するかを制御し、エンド ユーザーへのインパクトは最小限に抑えたままでデータ漏洩を防ぎます。Workspace ONE UEM は Microsoft Windows 情報保護 (WIP) 機能を使用し、貴社の Windows 10 デバイスを保護します。

データ保護は、ホワイトリスト設定された企業アプリケーションに、保護されたネットワークから企業データにアクセスする許可を与えます。エンド ユーザーがデータを企業アプリ以外に移動させた場合は、選択した強制ポリシーに基づいた対応を取ることができます。

WIP は、データを、個人データとして暗号化せずに扱うか、あるいは、業務データとして暗号化して保護します。データ保護に関してホワイトリスト設定されるアプリケーションは、4 つのタイプに分類されます。これらのタイプにより、アプリが保護されたデータをどのように扱うかが決まります。

  • 対応アプリ - これらのアプリは、WIP 機能をフルサポートしています。対応アプリは、個人データと業務データの双方に問題なくアクセスできます。対応アプリでデータを作成した場合、そのデータを、暗号化されていない個人用データまたは暗号化された業務データとして保存できます。ユーザーが、データ保護プロファイルを使用し、対応アプリのデータを個人データとして保存できないようにすることもできます。
  • 許可済み (Allowed App) – これらのアプリは WIP-暗号化データをサポートします。許可済みアプリは、個人用データと業務データの両方にアクセスできます。ただし、アクセスしたデータを保存する場合、常に暗号化された業務データとして保存します。許可済みアプリは個人データを業務データとして暗号化して保存します。これらのデータには、WIP-承認済みのアプリ以外からはアクセスできません。データにアクセスできない問題を防ぐためには、許可済みアプリを必要に応じて徐々にホワイトリスト設定して行くやり方をお勧めします。WIP 承認については、ソフトウェア プロバイダに問い合わせてください。
  • 適用除外 – データ保護プロファイルを作成する際、WIP ポリシーの適用対象外にするアプリを決めます。WIP 暗号化データをサポートしていないアプリを適用対象外にします。WIP 暗号化をサポートしていないアプリが、暗号化された業務データにアクセスしようとすると、機能しなくなります。WIP ポリシーは、適用除外アプリには適用されません。適用除外アプリは、暗号化されていない個人用データおよび暗号化された業務データにアクセスできます。適用除外アプリは、WIP ポリシーの適用外で業務データにアクセスできるため、適用除外アプリをホワイトリスト設定する際はご注意ください。適用除外アプリは、データ保護における欠陥を生み出し、業務データ漏洩の原因となります。
  • 許可外 – これらのアプリは、ホワイトリスト登録されておらず、また、WIP ポリシーの適用対象外にならないので、暗号化された業務データにアクセスできません。許可外アプリは、WIP-保護デバイス上でも、個人データにはアクセスすることができます。
重要: データ保護プロファイルを適用する場合、WIP (Windows Information Protection) が必要です。また、WIP を利用するには、Windows Anniversary Update をインストールしておく必要があります。このプロファイルを本番環境に展開する際、事前にテストすることを検討してください。