はじめに
Intune でのモバイルデバイス管理を行っている環境では、様々な設定を配布することができます。
モバイルデバイス管理の概要については下記の記事をご覧ください。
会社貸与デバイスのみならず、BYOD デバイスを企業で管理していくとなった場合、デバイス上では企業データと個人データの境界線が曖昧になります。
そうした時に意図しないデータ漏洩を防ぐ機能が、「MAM(Mobile Application Management)」です。
今回は MAM の実装方法について簡単にご紹介したいと思います。
MAM とは
概要説明は Microsoft 社の下記 ページに記載があります。
Microsoft Intune でのアプリの管理とは | Microsoft Learn
すごく簡単に言ってしまえば、「対象のアプリケーション内の組織データ」を「保護」する機能で、例えば、データの送信やコピー&ペースト、同期、暗号化などに関する細かい操作の制限を加えることが可能です。
アプリ保護ポリシーの作成
早速 MAM の実装に入っていきます。
Intune でアプリ保護ポリシーを作成し、以下の要件を実現したいと思います。
- 対象 OS は iOS/iPadOS
- 対象アプリは Office アプリなど一部のコア Microsoft アプリ
- 対象アプリから他のアプリへのデータのコピー&ペーストを禁止
※今回はひとまず要件以外の設定は既定値で進めますが、詳しい設定値の内容は下記をご参照ください。
iOS/iPadOS のアプリ保護ポリシーの設定 - Microsoft Intune | Microsoft Learn
Intune 管理センター(https://endpoint.microsoft.com/)にログインして
[アプリ] > [アプリ保護ポリシー] の順にクリックします。
[ポリシーの作成] > [iOS/iPadOS]をクリックします。
任意のポリシー名と説明を入れ、[次へ] をクリックします。
ポリシーの対象として、[コア Microsoft アプリ]を選択し、[次へ] をクリックします。
[他のアプリとの間で切り取り、コピー、貼り付けを制限する]の項目で、[ブロック済み]を選択し、[次へ] をクリックします。
細かいアクセス要件やアプリサインインの条件を確認し、[次へ] をクリックします。
割り当て対象を選択し、[次へ] をクリックします。
設定内容を確認し、[作成]をクリックします。
アプリ保護ポリシーの作成はこれで完了です!
端末上での動作確認
実際に端末上での動作を確認してみます。
Outlook アプリ(アプリ保護ポリシーの対象アプリ)を起動し、メールの本文をコピーします。
端末上のメモ帳アプリに貼り付けます。
上記のように、元の本文ではなく「組織のデータをここに貼り付けることはできません」というメッセージに置き換わり、貼り付けが制御されていることが確認できました。
おわりに
今回は MAM の実装としてアプリ保護ポリシーを作成し、対象アプリからのデータのコピーを禁止してみました。
アプリ保護ポリシーで制御が可能なアプリは、Microsoft アプリと一部のパートナーアプリなどに限定されるため、あらかじめ確認する必要があります。
サポートされている Microsoft Intune アプリ | Microsoft Learn
次回は MDM + MAM 実装をしている環境での制約事項についてお話したいと思います。
