前回は、Intuneのコンプライアンスポリシーについて紹介いたしました。
今回は、構成プロファイルについてご紹介いたします。
構成プロファイルとは
構成プロファイルは、デバイスに対する各種設定を行ったり、特定の機能設定の変更を禁止する事が出来る機能です。
これにより、Intuneを通して設定したポリシーに沿ったモバイルデバイス運用が出来るようになります。
構成プロファイルによるデバイスの制限
構成プロファイルは、モバイルデバイスの場合iOS/AndroidどちらのOSにも対応していますが、OSによって機能が異なり設定することが出来る項目も異なります。
ここでは、構成プロファイルによる「デバイスの制限」という機能の中でもAndroidデバイスにしかない「仕事用プロファイルの設定」という設定項目を紹介します。
AndroidデバイスではiOSとは異なり、「仕事用」と「個人用」でプロファイルを分けることが出来ます。仕事に関する情報の外部流出を防ぐため、仕事用プロファイルと個人用プロファイルの間でコピーや貼り付けを構成プロファイルによる「デバイスの制限」という機能の「仕事用プロファイルの設定」項目を使用して制限する事が可能です。
iOSにも似たような機能として、Intuneから配布をしたアプリとApp Storeから直接ダウンロードしたアプリの間で、コピーや貼り付けをブロックするという設定がアプリ保護ポリシーにあります。
ですが、このポリシーを適用するためには、「Intune App SDK」と呼ばれる開発ツールがアプリに組み込まれている必要があり、すべてのアプリをこのポリシーの対象とすることができません。
しかし、Androidデバイスに関しては、「仕事用」と「個人用」のプロファイル間での制御が可能なため、アプリによってコピーや貼り付けが出来てしまうということがありません。
構成プロファイルによる「デバイスの制限」の設定方法
デバイスの制限を行うための構成プロファイルの作成と対象ユーザへの適用方法について記載します。
1. Microsoft Intune管理センターの左ペインより「デバイス」を選択し、「Android」を選択します。
2.「構成プロファイル」を選択します。
3.「作成」を展開し、「新しいポリシー」をクリックします。
4.プラットフォームは「Android Enterprise」、プロファイルの種類は「デバイスの制限」を選択し、「作成」をクリックします。
5.プロファイル名を入力し、「次へ」を選択します。
6.ポリシーを設定し、「次へ」を選択します。今回は前章に記載した「仕事用プロファイルと個人用プロファイル間でのコピー/貼り付け」をブロックする設定を適用しました。
7.構成プロファイルを割り当てるメンバーを選択し、「次へ」を選択します。
8.設定した内容に問題がないことを確認し、「作成」を選択します。
以上で、構成プロファイルの作成と対象ユーザへの適用が完了しました。
構成プロファイルによる「デバイスの制限」の適用結果確認
今回は、Intuneから配布したアプリ内での挙動と、Intuneから配布したアプリと個人用アプリ間での、2パターンの挙動を確認します。
Intuneから配布したアプリ内での挙動
下記の二つのアプリで挙動を確認します。
- Intuneから配布したメールアプリ
- Intuneから配布したGoogle Playストアアプリ
1. メールアプリにあるメールの文章をコピーします。
2. Google Playストアアプリの検索バーにコピーしたメール文章を貼り付けると、コピーした文章が表示されます。
これで、Intuneから配布したアプリ内ではコピーと貼り付けが許可されていることが分かります。
Intuneから配布したアプリと個人用アプリ間での挙動
今度は、下記の二つのアプリで挙動を確認します
- Intuneから配布したメールアプリ
- 個人用アプリのGoogle検索アプリ
1. メールアプリにあるメール文章をコピーします。
2.Google検索アプリの検索バーにコピーしたメール文章を貼り付けると「貼り付け」が表示されませんでした。
これで、Intuneから配布したアプリと個人用アプリ間では、コピーと貼り付けが制御されていることが確認できました。
まとめ
今回はAndriodデバイスにフォーカスした構成プロファイルに関して記載いたしました。
Androidデバイスの特徴でもある「個人用」「仕事用」でプロファイルを分けることができる仕組みを活用した設定項目があることが確認できました。
次回は、アプリケーションに対して設定を適用するアプリ保護ポリシーについてAndroidデバイスの観点でご紹介いたします。