2016/06/30

かつて Enterprise Data Protection (EDP) と呼ばれていたアイツの名は Windows Information Protection (検証結果追記)

The feature formerly known as EDP

先日、Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの?という投稿を書きましたが、いよいよ 8/2 (どこ時間かわかりませんが) にリリースされる Windows 10 Anniversary Update で正式登場ということになるみたいです。ただし、Enterprise Data Protection (EDP、エンタープライズ データ保護) ではなく、Windows Information Protection という名前になるようです。WIP って略すのかしらん。

Microsoft announces Windows 10 anniversary update available Aug. 2
[URL] http://news.microsoft.com/2016/06/28/microsoft-announces-windows-10-anniversary-update-available-aug-2/

Windows Information Protection, formerly referred to as enterprise data protection
名称とか仕様とかころころ変わると、いろいろと面倒だと思うんですけど... 過去のドキュメントとの整合性とかいろいろ... Microsoft Passport for Work はWindows Hello for Business になるなんて話もあみたいだし...

Windows 10 エディションの比較 Compare Windows 10 Editions のサイトでは、6/30 現在、EDP のまんまです。


あとで読む(つもり):
Windows for IT Pros|Introducing Windows Information Protection
[URL] https://blogs.technet.microsoft.com/windowsitpro/2016/06/29/introducing-windows-information-protection/ 

こっちもちょっと気になる
Windows for IT Pros|Post Breach Detection with Windows Defender Advanced Threat Protection
[URL]  https://blogs.technet.microsoft.com/windowsitpro/2016/06/29/post-breach-detection-with-windows-defender-advanced-threat-protection/
Enabling remote access with Windows Hello for Business in Windows 10 
[URL] https://www.microsoft.com/en-us/download/details.aspx?id=53015

7/6 追記: Windows 10 Enterprise Insider Preview & Azure AD (AAD 参加 or 社内参加用) & EMS 評価版 (Microsoft Intune の MDM 管理用) & Office 365 E3 評価版 (EDP aware app としての Office 2016 用)で一応、できるっぽいことは確認できました。ドキュメントがアバウトなところが多々あり、ここまでくるのに大変でした...




ローカル ディスクとエンプラ用クラウドへの保存は自動的、所有権:作業用(仕事用) として保護。以前の Microsoft Intune では Azure RMS で暗号化するかどうかのオプションがあったのですが、そのオプションは現在は消えています。また、Azure RMS の利用環境が無くても保護 (暗号化)されます。

保護されたドキュメントの個人ストアへの保存や個人アプリへのコンテンツのコピーペはブロック。個人用に変更させることで許可するようなポリシー設定 (Override) も可能。

とりあえず、ちゃんと動いているらしい。

ポイントは...
  • Windows 10 Enterprise または Pro Insider Preview を使う。EDP (新名 WIP) は Enterprise と Education の限定機能だから。Windows 10 Pro 以上のエディションおよび Windows 10 Mobile の機能だから。Windows Insider Preview に参加すれば、Enterprise Insider Preview の ISO イメージを入手できます。
  • Microsoft Intune で Windows\Enterprise data protection (Windows 10 Desktop and Mobile and later)ポリシーを作成する。
    Create an enterprise data protection (EDP) policy using Microsoft Intune
    [URL] https://technet.microsoft.com/ja-jp/itpro/windows/keep-secure/create-edp-policy-using-intune
  • ポリシーの App Rules は、StoreApp やデスクトップ アプリの個別の Allow/Exempt 設定ははポリシーがエラー「エンタープライズ データ保護アプリケーションの一覧:エラー (0x80cf4fff Remediation failed)」になった。
    → AppLocker を使ったインポートだと「エンタープライズ データ保護アプリケーションの一覧: 準拠」でうまくいった。
    Add multiple apps to your enterprise data protection (EDP) Protected Apps list
    [URL] https://technet.microsoft.com/en-us/itpro/windows/keep-secure/add-apps-to-protected-list-using-custom-uri

    ただし、リストがうまくないと、ポリシーの影響で動かなくなる UWP アプリや Win32 アプリが続出したり、PC を正常に起動できなくなるかも。私は 2 回、「この PC を初期状態に戻す」を実行するはめに。
  • ↑こういうことがあるので、仮想マシン環境でチェックポイントを使って評価するのがいいかもです。Hyper-V 仮想マシンの場合は社内参加デバイスの MDM 管理できないみたい。登録時に「We weren't able to register device. Your access to org resources may be limited」と表示されました。モバイルじゃないから? Azure AD 参加のデバイスなら無問題
  • Microsoft Intune のソフトウェアは入れない。Enterprise data protection (Windows 10 Desktop and Mobile and later)ポリシーは、MDM 管理のデバイスにしか適用されないっぽい。Microsoft Intune のポータル (https://portal.manage.microsoft.com) からデバイスを登録しようとすると、Microsoft Intune ソフトウェアのインストールが要求されちゃうので注意。
  • Azure AD (AAD) 参加ではなくまたは社内参加(設定 >アカウント> 職場または学校への接続)を使って MDM 管理をセットアップすること。「情報」ボタンを押して同期できるようになっていれば MDM 管理対象になってる(→)。
  • 「情報」ボタンが表示されない場合は、Intune への MDM 登録がされていない状態(単なる Azure AD 参加または社内参加の状態)。Azure AD のディレクトリの「アプリケーション」タブで、「Microsoft Intune」を構成するのを忘れずに。それしないと、デバイスは Azure AD にだけ登録され、Intune には登録されません。
  • 登録したデバイスがMicrosoft Intune 管理ポータルの「すべてのモバイル デバイス > ダイレクト管理されているすべてのデバイス」に出てくれば OK。
    → 社内参加デバイスは「所有者:個人」、AAD 参加デバイスは「所有者:企業」。
  • 会社のポータル アプリは入れたほうがいいかも。デバイスの登録状況やポリシー準拠状況がわかるので。これは必要かどうかわかりませんが、Azure AD のアプリケーションとして Microsoft Intune プレビュー (会社のポータルのこと) を登録して、MDM 環境を構成しておくとよいかも。
  • Office 365 Enterprise E3 はなくても評価できるかもしれませんが、EDP 対応の Office 2016 アプリによる評価や、SharePoint/OneDrive for Business との連携を評価するのにあったらいいと思う。 
  • Azure RMS の環境はなくても暗号化できました。 あったほうがいいのかもしれませんが。Enterprise Mobility Suite や Office 365 E3 には Azure RMS の機能が含まれているので、アクティブ化してあげれば使われるのかなぁ? Microsoft Intune の昔のポリシーには Azure RMS のオプションがあったけど、今は無くなってました。
  • この時点では、EFS による暗号化のみが可能。回復エージェントの証明書(.cer)を WIP ポリシーに含めておくことが重要(というか必須)。
  • BYOD デバイスは Windows のサインインのプライマリ アカウントが Microsoft アカウント(またはローカル アカウント)で、セカンダリ アカウントとして Azure AD の組織アカウントを追加して社内参加にすればいい。企業所有デバイスは Azure AD 参加でセットアップして Azure AD の組織アカウントをプライマリ アカウントとして Windows にサインインして、追加のセカンダリ アカウントとして Microsoft アカウントを追加すればいいと思う。Azure AD Premium の Enterprise State Roaming を使いたければ、後者の方法で。
  • 新しい Insider Preview ビルドだと、AAD 参加の操作方法や MDM の管理対象にする操作方法が結構変わっているので悩むかも。
さらに追記:
こちら (https://technet.microsoft.com/ja-jp/library/dn985838(v=vs.85).aspx) によると、去年から EDP はコードネーム扱いだったようです。すみません。
Enterprise Data Protection (EDP) というコードネームの機能は...
さらにさらに追記:
公式ドキュメントが更新されました。Current limitations with EDP にご注意。現時点では Azure RMS に対応していないため、データ保護はローカル ディスクへの保存が対象。データを保護したまま、企業内のファイル共有への保存とか、OneDrive との同期とかできないっぽい。

Protect your enterprise data using enterprise data protection (EDP)
Last Updated: 7/6/2016
[URL] https://technet.microsoft.com/itpro/windows/keep-secure/protect-enterprise-data-using-edp

1 件のコメント:

山市 良 さんのコメント...

この情報は古いです。最新情報はこちら。
Intune 新ポータルと WIP ポリシー (WIP が動いた編) (2017/06/13)