【Intune】Androidデバイスの管理(アプリ保護ポリシー)

前回は、Intuneの構成プロファイルについて紹介いたしました。

blog.jbs.co.jp

今回は、アプリ保護ポリシーについてご紹介いたします。

アプリ保護ポリシーとは

アプリ保護ポリシーは、特定のアプリケーション内の組織データを保護することが出来るポリシーになります。

前回の記事でご紹介した構成プロファイルのポリシーはプロファイルを適用したデバイス全体に適用されますが、アプリ保護ポリシーは特定のアプリケーションにのみポリシーが適用される点が異なります。

アプリ保護ポリシー適用条件

アプリ保護ポリシーを適用するには、アプリケーションに「Intune App SDK」が組み込まれている必要があります。

そのため、アプリ保護ポリシーを適用することが出来るアプリケーションは以下の物に限られます。

  • Microsoftアプリ
  • パートナーアプリとして認定されているアプリ
  • Intune App SDKを組み込んで独自開発したアプリ

具体的なアプリケーションは、下記よりご確認ください。

learn.microsoft.com

アプリ保護ポリシー設定項目説明

アプリ保護ポリシーはiOS/AndroidどちらのOSにも対応しておりますが、OSによって機能が異なるため、設定することが出来る項目も異なります。

ここでは、Androidデバイスにしかないアプリ保護ポリシーのポリシーを紹介します。

画面キャプチャとGoogleアシスタント

こちらのポリシーを「ブロック」で設定した場合の動作は以下2点になります。

  • ポリシーの適用対象としたアプリケーション上でスクリーンショットを撮影しても保存をすることが出来なくなります。
  • 起動中のアプリケーションを一覧で確認する画面にて、ポリシーの適用対象としたアプリケーションが白く表示され、組織データが保護されます。

本ポリシーにおけるGoogleアシスタント

本ポリシー名には「Googleアシスタント」とありますが、Googleが提供している音声などで操作を行うGoogleアシスタントを指していないようです。

現状では「Googleが提供するGoogleアシスタントに関する機能はアプリ保護ポリシーでは制限をすることが出来ない」ということを、Microsoftサポートへの問い合わせによって確認しております。

アプリ保護ポリシー作成・適用方法

アプリ保護ポリシーを作成し、対象のグループに適用する方法を記載します。

1.Microsoft Intune管理センターの左ペインより、「アプリ」を選択し、「アプリ保護ポリシー」を選択します。

2.「ポリシーの作成」を展開し、「Android」を選択します。

3.ポリシー名を設定し、「次へ」をクリックします。

4.ポリシーの適用対象としたいアプリケーションを選択し、「選択」をクリックします。今回は、Microsoft Edgeを適用対象としました。

5.アプリケーションが選択されたことを確認し、「次へ」をクリックします。

6.ポリシーの設定を変更し、「次へ」をクリックします。今回は、「画面キャプチャとGoogleアシスタント」を「ブロック」に設定しました。

7.セキュリティ要件を設定し、「次へ」をクリックします。今回はデフォルトの設定のみ実施しました。

8.ポリシーを割り当てるグループを選択し、「次へ」をクリックします。

9.設定した内容を確認し、「作成」をクリックします。

アプリ保護ポリシー適用結果確認

以下、二つのアプリで挙動を確認します。

  • アプリ保護ポリシーを適用していない「Outlook」アプリ
  • アプリ保護ポリシーを適用した「Edge」アプリ

画面ショット挙動確認

アプリ保護ポリシーを適用していない「Outlook」アプリ

通常通り、画面ショットを撮影することが出来ました。

アプリ保護ポリシーを適用した「Edge」アプリ

画面ショットを撮影しようとすると、「スクリーンショットを取得できません。ページには個人情報が含まれています。」と画面に表示され、画面ショットを取得することが出来ませんでした。

起動中アプリ確認画面挙動確認

アプリ保護ポリシーを適用していない「Outlook」アプリ

起動中のアプリ確認画面にてアプリの画面内容が確認できる状態で表示されました。

アプリ保護ポリシーを適用した「Edge」アプリ

起動中のアプリ確認画面にて、該当アプリの画面が白くマスキングされた状態で表示されました。

まとめ

今回は、Amdroidデバイスにフォーカスしたアプリ保護ポリシーに関して記載しました。

アプリ保護ポリシーを適用できるアプリケーションは、一部のアプリケーションのみに限られてしまいます。

ですが、特定のアプリケーションは企業の機密情報を扱うのでブロックしたいけれど、他のアプリケーションでは機密情報を扱わないとなった場合に、ブロックされてしまうと不便になるケースが考えられます。

そのため、アプリケーションごとにポリシーを定義して運用することが出来るのは良い点だと思いました。

執筆担当者プロフィール
神田 皓貴

神田 皓貴(日本ビジネスシステムズ株式会社)

クラウドソリューション事業本部所属。AWSを中心としたクラウドインフラに携わっています。

担当記事一覧