2016/08/26

Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの? その 3

Windows 10 Anniversary Update バージョン 1607、ビルド14393から利用可能になる、企業向けの期待の新機能、Windows Information Protection(旧称というかコードネーム、Enterprise Data Protection)の続報です。

Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの? その 2 (2016/07/06)
かつて Enterprise Data Protection (EDP) と呼ばれていたアイツの名は Windows Information Protection (検証結果追記) (2016/06/30)
Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの? (2016/06/14)


Windows Information Protection は、Microsoft Intune June 2016版とWindows 10 Insider Preview(確か 14332?)で何となく試せたのですが、Windows 10 バージョン 1607 が正式リリースとなった今、どうなっているのか改めて、別の Azure AD および Microsoft Intune テナントで再チャレンジしてみました。結果は無残。どこが悪いのか、そうやったら動くのか、そもそも悪いのはこっちなのか、全く分かりません。


もしかして、動かないんじゃないの? と疑いたくなる。

これから試してみるという方のヒントになるかもしれないので、メモを残しておきます。

Windows Information Protection のドキュメントに関しては、8 月になってようやく充実してきました。

Protect your enterprise data using Windows Information Protection (WIP)
[URL] https://technet.microsoft.com/en-us/itpro/windows/keep-secure/protect-enterprise-data-using-wip


以下のドキュメントを参考に (記述のミスがいくつかあるので注意)、「Windows Information Protection(Windows 10 DesktopおよびMobile以降)」 ポリシーを作成して、Intune の MDM 管理対象の Windows 10 バージョン 1607 (Pro または Enterprise)に展開します。

Create a Windows Information Protection (WIP) policy
[URL] https://technet.microsoft.com/en-us/itpro/windows/keep-secure/overview-create-wip-policy

List of enlightened Microsoft apps for use with Windows Information Protection (WIP)
[URL] https://technet.microsoft.com/en-us/itpro/windows/keep-secure/enlightened-microsoft-apps-and-wip


クライアントにポリシーを同期しても、何も変わらず。アイコンのオーバーレイとかもない。ポリシーの適用状況を見ると、一見、よさげに見えますが...


肝心要の「Windows Information Protection アプリケーションの一覧」設定が無い! 以下の画面は Insider Preview のときに成功した時のもの。デスクトップ アプリの許可、ストア アプリの許可、AppLocker XML ファイルのインポートによる許可と、いろいろ試してみましたが、どれも NG。


アプリケーション一覧を配布する別の方法として、OMA-URI 設定を配布する方法がありました。以下のドキュメント(こちらも StoreApps であるべき URI が StoreApp EXE になってたりとミスがあるぽい)を参考にして展開すると...

Add apps to your Windows Information Protection (WIP) policy by using the Microsoft Intune custom URI functionality
[URL] https://technet.microsoft.com/itpro/windows/keep-secure/add-apps-to-protected-list-using-custom-uri


0x87D1FDE8: Remediation failed(修復できまんでした?)エラーになっちゃいました。



イベント ログの Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin を見ると、Windows Information Protectionをオンにしようとして、ちゃんとできていないように見えます。

Event ID 1651: エンタープライズ データ保護の依存関係チェックの結果: 依存関係の名前: (EDPPolicy)、状態: (EdpOff)、IsDependencySatisfiled: (0x1)、結果: (0x1)。
Event ID 1651: エンタープライズ データ保護の依存関係チェックの結果: 依存関係の名前: (AppLocker)、状態: (EdpOff)、IsDependencySatisfiled: (0x1)、結果: (0x1)。
Event ID 1653: MDM エバリュエーター シナリオの評価結果: シナリオ: (EDP)、以前の状態(EdpOff)、最新の依存関係: (NULL)、最終状態: (NULL)、結果: (指定されたファイルが見つかりません。)。
Event ID 1650: エンタープライズ データ保護の構成が変更されました: 以前の状態: (EdpOff)、現在の状態: (NULL)、結果: (この操作を正しく終了しました。)。



MDM ポリシー(の一部)は、レジストリの次の場所に書き込まれていました。「アプリケーションの一覧」設定以外はちゃんと来てる模様。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\DataProtection
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\NetworkIsolation


関連するかどうかわかりませんが、このエラーも気になります。

Windows 10 バージョン 1607、イベント ID 4401、ソース EFS のエラー(2016/08/24)

ここまでが、数日間試行錯誤しての成果です。もしかして、動かないんじゃないの? と疑いたくなりません?

追記)

評価環境が期限切れになっちゃたので未確認ですが、問題の WIP ポリシーを削除し、IE の言語を英語優先にして(Windows 10 だと OS 全体設定なので後で戻すのを忘れずに)、 英語の Intune ポータルを使ってWIP ポリシーを作成すれば、うまく動くようです。ただし、確認できているのは AppLocker XML ファイルのインポートでのアプリ設定のみ。ストアアプリやデスクトップアプリの個別設定はダメみたい。もしかして完全に動かすには PC 側も英語じゃなきゃだめとかあるかも。

 これじゃ使い物にならないんでは?(日本では) だめだこりゃ。