Windows Information Protection を正しく知る 〜設定編〜Microsoft 365で実現するクラウド時代のセキュリティ(5)

本稿は Microsoft 365 に含まれるセキュリティに関連する機能にスポットを当て紹介するシリーズです。公式ドキュメントからは読み取れない便利な機能を日本マイクロソフトの技術営業チームが紹介します。今回は、「Windows Information Protection(WIP)」を実際に設定する際に必要となる検討項⽬と具体的な設定方法を解説します。

» 2019年07月29日 13時00分 公開
[PR/@IT]
PR

 前回は「Windows Information Protection(WIP)」の概念と導⼊時のベストプラクティスを紹介しました。今回は、WIPを実際に設定する際に必要になる検討項⽬と、具体的な設定方法を解説します。

 WIP を有効化するために必要なタスクは、⼤きくは以下の4つです。

1.WIP で保護する企業領域を指定

2.WIP の保護レベルを選択

3.作成した WIP ポリシーを展開(割り当て)

4.(基本的には不要)「データ回復エージェント(DRA)証明書」を作成


 なお、本稿では全ての⼿順を網羅することは考えておらず、ベストプラクティスに挙げた企業および WIP 管理者/利⽤者の負担を最⼩限にとどめた上で、最⼤限の効果を発揮するために必要な作業を記載しています。

 詳細な作業タスクについてはこちらに記載がありますので必要に応じて参照してください。

 それでは、順を追って作業をしていきましょう。

WIPで保護する企業領域の指定

 WIP を設定する上で重要な概念として、「企業領域」として設定できる要素を理解する必要があります。前回の記事に記載した通り、WIP は企業領域として設定した領域から「個⼈領域」へデータを移動させる際、それを監視/勧告/制限する機能です。当然ながら、企業ごとにこの範囲は異なるため、設定を始める前に立ち止まってそれらを検討する必要があります。

■企業領域として指定できる要素
 WIP で企業領域として指定できる要素には、現状下記のようなものがあります。

  • 保護対象のアプリケーション
  • ネットワークリソース

●保護対象のアプリケーションを WIP ポリシーを作成し指定する

 まず、最初に設定するのは「保護対象のアプリケーション(アプリ)」です。アプリを保護対象に指定することで、企業データにアクセスできるアプリを指定することになります。ここでは、Microsoftが推奨するアプリを全て追加します。これらのアプリの中には「Microsoft Edge」や「Internet Explorer」ブラウザ、「Office 365 ProPlus」クライアントなどが含まれています。

 (1)「Azure ポータル」にサインインします。

 (2)「Microsoft Intune」を開き、[クライアント アプリ]をクリックして、[アプリ保護ポリシー]→[ポリシーを作成]を選択します。

 (3)ポリシーの作成画⾯の各フィールドで次のように⼊⼒します。

[名前]:新しいポリシーの名前を⼊⼒します(必須)

[説明]:説明を⼊⼒します(省略可能)

[プラットフォーム]:「Windows 10」を選択します

[登録の状態]:ここでは「登録済み」を選択します


 続いて[保護されているアプリケーション]を選択し、アプリの追加画⾯から「おすすめのアプリ」を選択した状態で、全てのアプリを追加します。

 上記作業を実施することで、WIP 対象アプリケーションの追加が完了しました。その他の任意のアプリケーションを追加する場合にはこちらを参照の上、作業を実施してください。

●ネットワークリソースを上で作成した WIP ポリシーに追加する

 次に設定するのは「ネットワークリソース」です。ネットワークリソースにはURI、ドメイン、IPアドレスの範囲などを指定し、企業領域をネットワークレベルで定義します。ここでは「Office 365」の利⽤を前提として、「SharePoint Online」のサイトと「Exchange Online」のメールドメインを指定します。

 (1)上で作成した WIP ポリシーを選択して、[詳細設定]を選択します。

 (2)少し脱線しますが、この画⾯で下図にある[エンタープライズデータ保護アイコンを表⽰します]を、テストの段階では「有効化(オン)」することをお勧めします。

 (3)[ネットワーク境界]の「クラウドリソース」を選択して、Office 365 の SharePoint Online のアドレスが設定されていることを確認してください。

 上記のように Office 365 環境であれば「Graph API」を通じて、Intune が SharePoint Online サイトの URI を⾃動的に追加しています。もし、貴社の環境で Web プロキシを利⽤しているような場合には、接続先のクラウドサービスの URI に「,(カンマ)」を付け、その後に続けてプロキシサーバの URI を指定することも可能です。上図で⻩⾊でハイライトされている部分がそれに当たります。

 (4)Exchange Online を境界に追加するために、[ネットワーク境界の追加]「保護されたドメイン」を指定し、組織のメールドメインを追加します。

ALT ※可読性を高めるため、上図では必要のない箇所で改⾏しています。実際には改⾏せず記載してください。

 これで、ネットワークリソースの追加が完了しました。

 クラウドアプリ側の設定はこれで⼗分ですが、組織内に存在するファイルサーバやネットワークリソースを企業領域として設定する場合には、上記に加えてネットワークドメインや IP アドレスの範囲を追加してください。

WIP の保護レベルを選択

 ここまでの作業で、保護対象の企業領域が設定できました。後は企業領域から個⼈領域へデータを移動させた場合の制御を指定します。

 前回の記事でお伝えした通り、最初は⼩規模な範囲で「オーバーライドの許可」または「サイレント」を指定し、運⽤を開始することをお勧めします。下記の設定では「オーバーライドの許可」を指定しています。

 上で作成した WIP ポリシーを選択し[詳細設定]を選択します。

 「オーバーライドの許可」を選択した場合には、利⽤者が企業領域から個⼈領域へデータを移動した際に注意喚起の画⾯がポップアップしますが、それを無視することもできる動作になります。繰り返しになりますが、Microsoftは本番運⽤においても「オーバーライドの許可」または「サイレント」を指定することを推奨しています。

作成した WIP ポリシーを展開(割り当て)

 (1)上で作成した WIP ポリシーを選択し[割り当て]を選択します。

 (2)初期展開は下図の通り、WIP が適⽤されるユーザー(デバイスではなく)を「テスト⽤グループ」に割り当ててください。

 これで基本的な設定は完了です。

 当該のユーザーが利⽤しているデバイスを Intune に参加させ、ポリシーを同期して動作を確認してください。なお、WIP アプリのポリシーを変更した場合は、Intune との同期に加えて OS の再起動が必要となるのでご注意ください(テスト段階では WIP の設定変更のタイミングで OS の再起動をすることをお勧めします)。

(基本的には不要)データ回復エージェント(DRA)証明書を作成

 サポートが既に打ち切られているバージョンではありますが、組織内でどうしても Windows 10 バージョン1709(Fall Creators Update)未満のバージョンを利用する必要がある場合には、「データ回復エージェント(DRA)証明書」を事前に作成し、管理画⾯で登録しておく必要があります。

 DRA 証明書は、WIP ポリシーを受け取り、暗号化したデータを格納した端末をセレクティブワイプした場合などにおいて、暗号化されたファイルを回復するために必要になります。

 以前はこの設定は必須でしたが、Windows 10 バージョン1709 以降では、回復⽤のキーが Azure Active Directory(Azure AD)に保存されるように変更されたため、任意で設定するものに変化しています。

 DRA 証明書の作成⽅法と登録⽅法はこちらを参照してください。

まとめ

 WIP として設定できる項⽬はこれ以外にも存在しますが、本稿で紹介した設定を施すこと、でMicrosoft Edge/Internet Explorer ブラウザや Office 365 ProPlus を利⽤して SharePoint Online/Exchange Online 上のデータを個⼈領域へ移動する際には注意喚起が表⽰されるようになります。

 このように⾮常に少ない作業で WIP のポリシーを Intune 管理下のデバイスに展開することが可能であり、組織の情報が個⼈領域へうっかり移動されてしまうことを抑⽌できます。

 まずは⼿軽に WIP によるデータ流出防⽌(DLP)機能を全社レベルで展開し、利⽤者の IT リテラシーを問わず、システム側で抑⽌⼒を発揮させることをご検討ください。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年8月28日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。