Windows情報保護

ライセンス: Gold

対象:Windows 10+

Windows情報保護(WIP)構成は、企業データを保護するためのWIP設定を定義します。 この構成は、管理下で登録されているデバイスに適用できます。 また、デバイスの [概要] ページで、構成されたデバイスに関するWIPの詳細を確認することもできます。

Windows向けのWindows情報保護設定

手順

  1. [構成] > [+追加] を開きます。
  2. [Windows情報保護] 構成を選択します。
  3. 構成の名前を入力します。
  4. 説明を入力します。
  5. [構成設定] セクションで、次の表に記載されているように残りの設定を指定します。
  6. [次へ] をクリックします。
  7. この構成の配布を選択します。

カテゴリ

設定

操作内容

 

名前

この構成を識別する名前に入力します。

 

説明

この構成の目的を明示する説明を入力します。

企業情報

全バージョン(Windows 10+デスクトップ/Mobile)

 

保護されたドメイン名

データ保護ポリシーが構成されているIDのリストを指定します。 これらのIDに関連付けられているメールおよびその他のデータは、企業データとみなされ、保護されます。

  • これは、「|」で区切られたドメインのリストであり、WindowsのUIではリストに最初に記載されているドメインがプライマリIDとみなされます。
  • 例:「domain1.com|domain2.co.uk」

 

ネットワークドメイン名

企業の境界を構成するドメインのリストを指定します。 これらのドメインのいずれかからデバイスに送信されるデータは、企業データとみなされ、保護されます。

  • これらの位置情報は、企業データの安全な共有先とみなされます。
  • これは、ドメインのカンマ区切りリストです。
  • 例:「mail.domain3.com, domain4.com」

 

クラウドリソース

保護が必要なクラウド内にホストされた企業リソースドメインのリストを含みます。 これらのリソースへの接続は、企業データとみなされます。   1つ以上のドメイン名を指定します。オプションのプロキシアドレスは括弧で囲みます。

  • たとえば、「domainname1.com, domainname2 (10.0.0.1)」です。
  • プロキシがクラウドリソースとペアリングされている場合、このクラウドリソースへのトラフィックは指定されたプロキシサーバー(ポート80上)を経由して企業ネットワークにルートされます。
  • このフィールドに指定するすべてのプロキシアドレスは、以下の内部プロキシサーバーフィールドにも入力する必要があります。

 

IP範囲

企業ネットワーク内のコンピューターを定義する企業IP範囲を設定します。 これらのコンピューターからのデータは、企業データの一部とみなされて保護されます。 これらの位置情報は、企業データの安全な共有先とみなされます。 これは、IPv4およびIPv6範囲のカンマ区切りリストです。

  • これは、IPv4およびIPv6範囲のカンマ区切りリストです。

  • クライアントが構成リストを受け入れる必要があり、ヒューリスティックを用いてその他のサブネットの検索を行わない場合には、[IP範囲は信頼できます] オプションを選択します。

 

中立リソース

業務用または個人用のリソースに使用できるドメイン名のリストを指定します。
 

プロキシサーバー

プロキシサーバーのカンマ区切りリストを指定します。 このリストにあるサーバーは企業ではないとみなされます。

  • 例:「157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59」

  • クライアントがプロキシの構成リストを受け入れる必要があり、その他の業務プロキシの検出を行わない場合には、[プロキシサーバーは信頼できます] オプションを選択します。
 

内部プロキシサーバー

内部プロキシサーバーのカンマ区切りリストを指定します。

  • 例:「157.54.14.28, 157.54.11.118, 10.202.14.167, 157.53.14.163, 157.69.210.59」

  • これらのプロキシは、管理者によってインターネット上の特定のリソースに接続するよう構成されています。 これらは、企業ネットワークの位置情報であるとみなされます。 プロキシは、EnterpriseCloudResourcesポリシーの構成において、これらのプロキシを通じて照合されたクラウドリソースへトラフィックを強制するようにするためにのみ利用されます。

データ保護

全バージョン(Windows 10+デスクトップ/Mobile)

 

強制レベル

次の強制レベルから1つ選択します。

  • オフ - 保護なし(それまで暗号化されていたデータの暗号化が解除されます)。
  • サイレント - データを暗号化し、データが保護された後でデバイス上の活動を監視します。 ユーザーには、ネガティブなデータ/アプリ情報のアカウントに関するプロンプトが表示されません。
  • オーバーライド - サイレントモードとほぼ同様ですが、 それに加えて、アプリまたはデータが不適切に使用されている場合には、ユーザーが実行中の操作を続行するかキャンセルするかを選択するプロンプトが表示されます。
  • ブロック - サイレントモードとほぼ同様ですが、 それに加えて、アプリまたはデータが不適切に使用されている場合には、ユーザーが実行中の操作がブロックされ、操作がブロックされた理由を示す警告がユーザーに表示されます。

[オフ] モードを除き、企業データまたはリソースを使用することが想定されていなかったデータまたはアプリは、デバイスにログオンされることになります。 当該のデータは、別の構成サービスプロバイダー(CSP)を使用してデバイスから削除できます。
 

データリカバリー証明書

暗号化されたファイルのデータリカバリーに使用できるリカバリー証明書を指定します。

  • これは、暗号化ファイルシステム(EFS)のデータリカバリーエージェント(DRA)証明書と同じです。 ただし、この証明書はグループポリシーではなくMDMを介して配信されます。

また、次のオプションのうち1つ以上を選択することもできます。

  • ユーザーによる解読を許可
  • 登録解除時に取り消す
  • EDPアイコンを表示
  • ロック下で保護を要求(Windows 10 Mobileのみ)

RMS

全バージョン(Windows 10+デスクトップ/Mobile)

 

Azure RMSを許可

WIP向けにAzure権限管理(Azure RMS)暗号化を許可するかどうかを指定します。
 

RMSテンプレートID

RMS暗号化にTemplateID GUIDを使用することを指定します。 RMSテンプレートでは、管理者が、RMS保護されたファイルへのアクセスを誰に、どの程度の時間にわたって許可するかを詳しく構成することができます。

アプリ制御

全バージョン(Windows 10+デスクトップ/Mobile)

 

[アプリ] > [アプリカタログ] ページにおいてWIPの値で構築されたアプリの集合を指定します。次のパラメーターセットを使用してアプリのルール定義を指定します。
 

アプリの種類

次のアプリの種類から1つを選択します。

  • Publisher/PFN Equals - PFNをサポートしているWindows 10 MobileとWindows 10デスクトップに適用されます。
  • EXE/Win32 Equals - Windowsデスクトップにのみ適用されます。
 

アプリ識別子

表示されたアプリの中から選択し、アプリ識別子に追加します。 [アプリ検索] をクリックすることもできます。
 

アプリの説明

アプリの説明を入力します。