3.2K Views
February 13, 24
スライド概要
IT 勉強向けの Windows 関連の勉強用資料です。
今回は「Windows MAM」を簡単をまとめました。
参考にしていただければ幸いです。
ナガシヨミ Windows Windows MAM 概要 2024 年 2 月 タクヤ オータ
IT 勉強向けの資料として公開しています Microsoft の正式見解であったり、内容をコミットするものではございません。 仕様が変わったり、サポートされる情報が変化することもあることをご了承ください。 内容を一部だけ変更して使うなどを控えていただければ、シェアは自由にしていただいて構いません。 ビジネス目的での使用はお控えください。m(_ _)m 2024 年 1 月 タクヤ オータ
Windows MAM - Windows のアプリ保護ポリシー 管理されてない個人用デバイス 組織データへのセキュアなアクセス 個人用 Windows デバイス上の Microsoft Edge を使用 して、組織データへの保護されたアクセスを可能に データの保護 組織データのコピー&ペーストの制限や アプリ間のデータの交換の制限を可能 正常性チェック Defender の脅威レベルに応じた制御や OS バージョンによる制限も可能 保護された Microsoft Edge コピー&ペーストや データ保存を禁止
Windows MAM – 前提条件 管理されてない個人用デバイス Windows Windows 10 22H2 (KB5031445 以降) Windows 11 22H2 (KB5031455 以降) 保護された Microsoft Edge Microsoft Intune Microsoft Intune の 「アプリ保護ポリシー」 を使用 Windows MAM のポリシー設定を実施 Microsoft Entra ID P1 Microsoft Entra 「条件付きアクセス」 を使用 組織プロファイルの Microsoft Edge のみアクセス許可 コピー&ペーストや データ保存を禁止
❶ 個人の PC から会社のリソースへアクセスすると 個人のアカウントのブラウザー 会社のリソースへアクセス 個人のアカウントの Microsoft Edge もしく は他社ブラウザ (Chrome など) で 会社のリソース (office.com) へアクセス すると 「職場アカウント」 で Microsoft Edge へのサインインが求められる
❷ 条件を満たしていると会社のリソースへアクセスが可能に 職場のアカウントでサインイン ウイルス対策が有効 「職場アカウント」 でサインインし ポリシーで設定した条件を満たしていると 会社リソースへのアクセスが可能 ※ リソースへはブラウザーのみアクセス許可
❸ ただしアクセスは可能ながら制限が適用される 会社のメールなどを閲覧可能 コピー&ペーストしようとするとブロック ブラウザーから Microsoft 365 リソースへ 閲覧・編集などが可能 しかしながら、コピー & ペーストや ダウンロード不可などの制限がかかる
Windows MAM の展開シナリオ例 BYOD の許可 緊急アクセス セキュリティの向上 個人用デバイスでも条件満たせば Web での簡単なメールチェック 簡単な文書編集であれば許可 デバイスの紛失・盗難 故障をしてしまったときなど M365 サービスにアクセス許可 セキュリティ対策が不十分な 会社デバイスに対して 一定のベースラインを設ける
Windows MAM の代表的な設定パターン 管理外の個人 Windows デバイス 制限付きで会社のリソースへアクセス可能 保護された Microsoft Edge OS の最小バージョン以上 ウイルス対策が稼働 Edge + 職場のアカウント コピー&ペーストや データ保存を禁止
Windows MAM の展開のステップ ❶ 条件付きアクセス設定 ❷ データ保護設定 ❸ アクセス確認 Microsoft Entra ID にて 組織のリソースへのアクセスの際には 「ポリシーで保護されたアプリ」 を 必須にするように設定 Microsoft Intune にて 「アプリ保護ポリシー」 の構成 データの保護方法や 正常性チェック項目を設定 Windows 10/11 デバイスにて 実際の組織のデータにアクセス 職場のプロファイルの要求と データ保護の制限を確認
アプリ保護ポリシーの設定項目 データ保護 正常性チェック データ転送 印刷 データ受信 : すべてのソース / ブロック データのアップロード動作を制御 データの印刷 : 許可 / ブロック 組織データの印刷を制御 デバイス アプリ オフラインの猶予期間 : ブロック / ワイプ アプリがオフラインで実行できる時間 OS 最小バージョン : 警告 / ブロック / ワイプ Windows の最小バージョンの指定 データ送信 : すべての宛先 / ブロック データのダウンロード動作を制御 最小バージョン : 警告 / ブロック / ワイプ アプリの最小バージョンを指定 OS 最大バージョン : 警告 / ブロック / ワイプ Windows の最大バージョンの指定 コピー&ペースト : 許可 / ブロック 切り取り、コピー、貼り付けを制御 SDK の最小バージョン : ブロック / ワイプ Intune SDK の最小バージョンを指定 脅威レベル : ブロック / ワイプ 脅威対策アプリの脅威レベルによる制御 無効なアカウント : ブロック / ワイプ 職場アカウントが無効の際の動作 Windows のポリシー設定をアプリ保護する - Microsoft Intune | Microsoft Learn
ナガシヨミ Microsoft 365 Windows MAM 概要 END 2024 年 2 月 タクヤ オータ