2017/06/13

Intune 新ポータルと Windows Information Protection (WIP が動いた編)

< 前回 (WIP が動く気がしない編) に戻る

前回からの続き...

昔(下の左) みたいにスタート画面にカバン アイコンが付かない(下の右) ので、動いていないと思っていましたが...

失礼しました。冷静になってやり直したら、Windows Information Protection (WIP) がちゃんと(?)動きました。後で説明しますが、タイルにアイコンが付かなくなったのは、仕様変更っぽいです。

Intune の新ポータルを使用した、以下の方法で動きました (ドキュメント更新日は 2017/06/01)。

Microsoft Intune を使用して Windows 情報保護 (WIP) の登録済みポリシーを作成する
[URL] https://docs.microsoft.com/ja-jp/windows/threat-protection/windows-information-protection/create-wip-policy-using-intune

ご参考までに、Intune の新ポータルでのポリシー設定はこんな感じ。

Intune で MDM 登録機関 (少なくとも Windows について) としてのセットアップが終わっている前提で...

[Intune モバイル アプリケーション管理]ブレードで[アプリに関するポリシー]を追加します。プラットフォーム[Windows 10]を選択して、登録の状態[登録済み](MDM ポリシー、Intune へのデバイス登録必要、Windows 10 1607 以降) または[未登録](MAM ポリシー、デバイス登録不要、Windows 10 1703 以降が必要) を選択。



アプリの許可はこんな感じ。ペイントとメモ帳、Edge はリストから選択。Word と Excel は自分で登録 。名前、発行者 (O=Microsoft Corporation, L=Redmond, S=Washington, C=US)、ファイル名を指定して、あとは *。確定すると名前がなぜか * になっちゃうけど、とりあえず気にしないことに。

[必須の設定]で[上書きの許可]モードを設定し、[詳細設定]でネットワーク境界、DRA 証明書 (cipher /r:ファイル名で作成した .cer、省略可!) 、アイコンのオーバーレイ表示などを指定。Azure RMS は試していません。

Azure RMS (Windows 10 バージョン 1703 以降でサポート) を使用する場合は、Azure Rights Management Administration Tool (→ https://go.microsoft.com/fwlink/?LinkId=257721) をインストールして、PowerShell で Connect-AadrmService & Get-AadrmTemplate を実行すれば、テンプレート ID を取得できるはず。Azure RMS による保護も試してみようと思いましたが、期待通りにいきませんでした。公式ドキュメントの「WIP で Azure Rights Management を使うための設定」によると MDM 設定の AllowAzureRMSForEDP (→https://docs.microsoft.com/ja-jp/windows/client-management/mdm/enterprisedataprotection-csp) を 1 に設定してあげる必要があるとのことですが、アプリに関するポリシーにはこの設定も含まれていると思いたい。クラシック ポータルで[カスタム構成 (Windows 10 Desktop および Mobile 以降) ]ポリシー使って OMA-URI 設定を配布してみたけどポリシーの競合エラーでダメでした。新しい Intune ポータルでどうすればよいかは、サッパリわかりません。

ポリシーの[割り当て]を開いて、ポリシーを展開したいユーザーを含む Azure AD のグループを選択します。

[設定 > アカウント > 職場または学校にアクセス]の[デバイス管理のみに登録する]をクリックして、Intune にデバイスを登録。登録完了したら、[情報 > 同期]で同期。



設定は以上。

Microsoft Edge でネットワーク境界内のサイトを開くと、出たぁ~カバン アイコン!


メモ帳も WIP 対応!


アプリをマニュアル登録した Word、Excel も無事 WIP 対応! 1 年前は AppLocker ファイル (.xml) の作成とインポートでしかできなかったけど、ポータルだけで設定できました。

エクスプローラーのコンテキスト メニューからの[個人(保護しない)][作業(保護)]の切り替え。


WIP で保護されたドキュメント (EFS 暗号化なのでローカル ディスクや Windows Server の共有フォルダー上のドキュメント) のプロパティを開くと、こんな感じで暗号化されているのがわかります。



個人アプリ (Facebook とか) に保護されたファイル ([作業]で暗号化されたファイル) を取り込もうとすると、警告! これは、ポリシーの[必須の設定]の[上書きの許可]の動作です。



スタート画面/メニューにアイコンがオーバーレイ表示されないのは、仕様が変更されたのかな? Microsoft Edge の場合は (たぶん IE でも)、アクセス先のサイトによって、アイコンの表示がオン/オフされました。

ちなみに、クライアントは Windows 10 Enterprise ver 1703 を使いました。

新旧ポータルでこのあたりの説明が違っています。旧ポータル (上) では“スタート メニューのタイル”にオーバーレイ、新ポータル (下) では“会社のコンテキスト”でオーバーレイって説明されています。


追記)

同じポリシーを以前、旧ポータルのポリシー設定で WIP を設定したのと同じ Windows 10 ver 1607 + Office 2013 の PC に適用してみたら、やっぱりスタート画面のタイルへのオーバーレイ表示(と管理対象タグ)は無くなりました。Office 2013 のアプリは、[作業]ドキュメントを開いたときにカバン アイコンが付きました。
一方、Windows 10 ver 1703 + Office 2016 の場合、 Office 2016 アプリにカバン アイコンが表示されません。あれれぇと思っていたら、[ファイル > 情報]のところに、ひっそりと隠れていました。そいうことでしゅか。



WIP のトラブルシューティング

クライアントに WIP のポリシーがきてるかどうかは、%Windir%\System32\AppLocker\MDM の下のサブフォルダー内の Policy ファイルを調べると分かると思います。うまくいかないときは、デバイスの切断、%Windir%\System32\AppLocker\MDM の下のサブフォルダーの削除、デバイスの再登録でいけるかも。イベント ログは、Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin です。



ところで、[Intune モバイル アプリケーション管理]ブレードでのポリシー作成ブレードに気になる点が 1 つ。[ダッシュボードにピン留めする]がしつこい。チェックを外し忘れると、Azure ポータルのダッシュボードが大変なことに? と思いましたが、ダッシュボードにピン留めされている様子なし。


クライアントのバージョンによる機能サポートにも注意が必要。

Windows 10 1507 と 1511 ・・・ Windows Information Protection は使えない 。さようなら。
Windows 10 1607 (Home 以外) ・・・ MDM ポリシー (デバイス登録必要)、EFS 暗号化のみを使える。
Windows 10 1703 (Home 以外) ・・・ MDM ポリシーと MAM ポリシー (デバイス登録なし)、EFS 暗号化と Azure RMS 暗号化を使える (Azure RMS の動作確認はできなかったけど)。Windows 10 Mobile は Azure RMS 暗号化を使えない(たぶん)。



というわけで、以下の過去の投稿の内容は古くなっているので、取扱注意。っていうか、1 年で変わりすぎ。

Windows 10 の新機能 Windows Information Protection (旧称EDP)ってどうなってるの? その 4 (2016/09/12)
Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの? その 3 (2016/08/26)
Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの? その 2 (2016/07/06)
かつて Enterprise Data Protection (EDP) と呼ばれていたアイツの名は Windows Information Protection (検証結果追記) (2016/06/30)

Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの? (2016/06/14)

0 件のコメント:

コメントを投稿

注: コメントを投稿できるのは、このブログのメンバーだけです。