Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの? その 2 (2016/07/06)
かつて Enterprise Data Protection (EDP) と呼ばれていたアイツの名は Windows Information Protection (検証結果追記) (2016/06/30)
Windows 10 の新機能 Enterprise Data Protection (EDP) ってどうなってるの? (2016/06/14)
Windows Information Protection は、Microsoft Intune June 2016版とWindows 10 Insider Preview(確か 14332?)で何となく試せたのですが、Windows 10 バージョン 1607 が正式リリースとなった今、どうなっているのか改めて、別の Azure AD および Microsoft Intune テナントで再チャレンジしてみました。結果は無残。どこが悪いのか、そうやったら動くのか、そもそも悪いのはこっちなのか、全く分かりません。
もしかして、動かないんじゃないの? と疑いたくなる。
これから試してみるという方のヒントになるかもしれないので、メモを残しておきます。
Windows Information Protection のドキュメントに関しては、8 月になってようやく充実してきました。
Protect your enterprise data using Windows Information Protection (WIP)
[URL] https://technet.microsoft.com/en-us/itpro/windows/keep-secure/protect-enterprise-data-using-wip
以下のドキュメントを参考に (記述のミスがいくつかあるので注意)、「Windows Information Protection(Windows 10 DesktopおよびMobile以降)」 ポリシーを作成して、Intune の MDM 管理対象の Windows 10 バージョン 1607 (Pro または Enterprise)に展開します。
Create a Windows Information Protection (WIP) policy
[URL] https://technet.microsoft.com/en-us/itpro/windows/keep-secure/overview-create-wip-policy
List of enlightened Microsoft apps for use with Windows Information Protection (WIP)
[URL] https://technet.microsoft.com/en-us/itpro/windows/keep-secure/enlightened-microsoft-apps-and-wip
クライアントにポリシーを同期しても、何も変わらず。アイコンのオーバーレイとかもない。ポリシーの適用状況を見ると、一見、よさげに見えますが...
肝心要の「Windows Information Protection アプリケーションの一覧」設定が無い! 以下の画面は Insider Preview のときに成功した時のもの。デスクトップ アプリの許可、ストア アプリの許可、AppLocker XML ファイルのインポートによる許可と、いろいろ試してみましたが、どれも NG。
アプリケーション一覧を配布する別の方法として、OMA-URI 設定を配布する方法がありました。以下のドキュメント(こちらも StoreApps であるべき URI が StoreApp EXE になってたりとミスがあるぽい)を参考にして展開すると...
Add apps to your Windows Information Protection (WIP) policy by using the Microsoft Intune custom URI functionality
[URL] https://technet.microsoft.com/itpro/windows/keep-secure/add-apps-to-protected-list-using-custom-uri
0x87D1FDE8: Remediation failed(修復できまんでした?)エラーになっちゃいました。
イベント ログの Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin を見ると、Windows Information Protectionをオンにしようとして、ちゃんとできていないように見えます。
Event ID 1651: エンタープライズ データ保護の依存関係チェックの結果: 依存関係の名前: (EDPPolicy)、状態: (EdpOff)、IsDependencySatisfiled: (0x1)、結果: (0x1)。
Event ID 1651: エンタープライズ データ保護の依存関係チェックの結果: 依存関係の名前: (AppLocker)、状態: (EdpOff)、IsDependencySatisfiled: (0x1)、結果: (0x1)。
Event ID 1653: MDM エバリュエーター シナリオの評価結果: シナリオ: (EDP)、以前の状態(EdpOff)、最新の依存関係: (NULL)、最終状態: (NULL)、結果: (指定されたファイルが見つかりません。)。
Event ID 1650: エンタープライズ データ保護の構成が変更されました: 以前の状態: (EdpOff)、現在の状態: (NULL)、結果: (この操作を正しく終了しました。)。
MDM ポリシー(の一部)は、レジストリの次の場所に書き込まれていました。「アプリケーションの一覧」設定以外はちゃんと来てる模様。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\DataProtection
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\NetworkIsolation
関連するかどうかわかりませんが、このエラーも気になります。
Windows 10 バージョン 1607、イベント ID 4401、ソース EFS のエラー(2016/08/24)
ここまでが、数日間試行錯誤しての成果です。もしかして、動かないんじゃないの? と疑いたくなりません?
追記)
評価環境が期限切れになっちゃたので未確認ですが、問題の WIP ポリシーを削除し、IE の言語を英語優先にして(Windows 10 だと OS 全体設定なので後で戻すのを忘れずに)、 英語の Intune ポータルを使ってWIP ポリシーを作成すれば、うまく動くようです。ただし、確認できているのは AppLocker XML ファイルのインポートでのアプリ設定のみ。ストアアプリやデスクトップアプリの個別設定はダメみたい。もしかして完全に動かすには PC 側も英語じゃなきゃだめとかあるかも。
これじゃ使い物にならないんでは?(日本では) だめだこりゃ。
続きあります。
返信削除Windows 10 の新機能 Windows Information Protection (旧称EDP)ってどうなってるの? その 4
この情報は古いです。最新情報はこちら。
返信削除Intune 新ポータルと WIP ポリシー (WIP が動いた編) (2017/06/13)