2017/06/09

速報:Intune の新ポータル GA (+ WIP のポリシー)

Microsoft Intune の管理コンソールのスクリーンショットをとってたら、今日になって Azure ポータルの Microsoft Intune ブレードから「プレビュー」が消えたのに気付きました。Intune のこれまでのポータルは Silverlight を使ってたから、最新のブラウザーだと Internet Explorer 11 くらいしか使えなかった (Chrome も Firefox も Silverlight バイバイしちゃったので) ですが、Azure ポータルはブラウザー非依存なので、ようやく Internet Explorer 11 と Silverlight からバイバイできます。

アナウンスを探してみたら、以下のものを見つけました。条件付きアクセスの機能と一緒に発表になってたのでわかり難い。

The New Intune and Conditional Access Admin Consoles are GA
[URL] https://blogs.technet.microsoft.com/enterprisemobility/2017/06/08/the-new-intune-and-conditional-access-admin-consoles-are-ga/



で、Windows 10 の WIP (旧称、EDP) のポリシー設定はどうなった?...


1 年前は Windows Information Protection (WIP) に苦労しましたが (→ かつて Enterprise Data Protection (EDP) と呼ばれていたアイツの名は Windows Information Protection (検証結果追記) )、新しいポータルでずいぶん簡単になってました。

新ポータルのポリシー (Azure RMS による保護にも対応、デバイス登録 (MDM) 不要な MAM ポリシーにも対応 (ただし、Windows 10 Creators Update 以降が必要)。





ただ、これでちゃんと動くかどうかは別の話。

日本語のドキュメントは、2017/06/01 付で、適用対象が Windows 10 バージョン 1607 以降、新しいポータルの Intune モバイル アプリケーション 管理 で説明しているけど...

Microsoft Intune を使用して Windows 情報保護 (WIP) の登録済みポリシーを作成する
2017/06/01 で 適用対象 は Windows 10 バージョン 1607 以降
[URL] https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-information-protection/create-wip-policy-using-intune


同じドキュメントの英語版は 5/22/2017 付で、Applies to: Windows 10, version 1703、Intune クラシック ポータルで説明してる。
 
 Create a Windows Information Protection (WIP) policy using Microsoft Intune
[URL] https://docs.microsoft.com/en-us/windows/threat-protection/windows-information-protection/create-wip-policy-using-intune


どっちでやればいいのか??? まだ、手を出すには怖いかも。

ストアで公開されている WIP Setup Developer Assistant アプリを使うと、Intune とか MDM なしでテストできます (ツールを管理者権限で動かす必要あり)。
このツールで Intune のポリシーが配布されて、WIP がオンなっているかどうかも確認できるっぽい。Intune のポリシーを適当に作成して同期してみたら、Status が WIP mandatory settings set AppLocker configured WIP on になったけど、WIP Settings がズレてて、アプリまで設定が到達していない様子(Programs 0)。原因は不明。


Intune のポリシーは使わずに (削除して)、WIP Setup Developer Assistant だけだと一応動くんですけど... これだと設定できないことが、いろいろありますね (アプリに WIP アイコンをオーバー レイ表示とか)。



Windows 10 Creators Update (1703) から利用できるようになった“という” MAM ポリシーの動作はこちら。私の環境だと、この方法もまったくうんともすんともいかなかったですけど、ご参考まで。

Windows Information Protection Explained – Windows 10 Creators Update
[URL] https://blogs.technet.microsoft.com/cbernier/2017/05/19/windows-information-protection-explained-windows-10-creators-update/

悔しいので、数日間、あれやこれや試し(MDM ポリシー、MAM ポリシー、1607 クライアント、1703 クライアント、etc)みましたが、すべて完敗。昔 (去年の今頃) に奇跡的に動いた構成を思い出してクラシック ポータルのポリシーでやってみたら、ポリシーの適用に失敗。

$$WarningLabelPlaceholderSettingName$$ という謎だけを残して。


WIP のセットアップはまだまだ謎と問題だらけ。一言でいれば、

動く気がしない
TechNet Forum (https://social.technet.microsoft.com/Forums/en-us/home?sort=relevancedesc&brandIgnore=True&searchTerm=Windows+Information+Protection) を見ても、WIP ポリシーで悩んでいる人多いみたい。ちゃんと動かせている人(それも運用環境で)って存在するのかしらん。

後半 (WIP が動いた編) へ続く... >

0 件のコメント: