BYOD デバイスを企業で導入する場合、懸念される行為として、社内データと個人データの境界線が曖昧になることでのデータの不正持ち出しなどが挙げられます。
このようなセキュリティリスクへの対策として、IntuneでMAM(Mobile Application Management)による端末のアプリケーション管理を行います。
今回は、MAMと条件付きアクセスポリシーの実装方法について紹介いたしますので是非ご参考ください。

図１　アプリ保護ポリシー適用の流れ

条件付きアクセスを設定すると「個人スマホで会社用メールを確認したい！」といった際に、勝手に個人スマホで追加できないようになります。
個人スマホで会社用メールを利用するには、まず社内で許可をもらいます。その後、Authenticatorを利用してMicrosoft Entraにデバイス登録をします。そうすると自動的にアプリ保護ポリシーが割り当てられます。そうすると、会社用メールの追加が許可されます。デバイス登録をしていない個人スマホはアプリ保護ポリシーが適用されていないのでOutlookの利用ができません。

図２　個人用のスマホに業務データの保存や共有ができない

アプリ保護ポリシーを設定すると情報漏えい対策ができます。個人用G-mailアカウントで受信した業務データを保存・共有することは可能ですが、会社用アカウントで受信した業務データは、アプリ保護ポリシーによって制限されるため業務データを保存・共有することはできません。

• 手順1　iOS アプリ保護ポリシーの作成
• 手順2　条件付きアクセス作成
• 手順3　iOSで会社用のメールアカウントを追加する
• 手順4　Entra/Intuneでデバイスの自動反映を確認
• 手順5　iOS 個人用/会社用でのファイルの保存や共有の違い
• 手順6　Android アプリ保護ポリシーの作成
• 手順7　Androidで会社用のメールアカウントを追加する
• 手順8　Android 個人用/会社用でのファイルの保存や共有の違い

手順1　iOS アプリ保護ポリシーの作成

1．Microsoft Intune 管理センターを開きます。

2．「アプリ」をクリックします。

3．「アプリ保護ポリシー」をクリックします。

4．「ポリシーの作成」のプルダウンから、「iOS/iPadOS」を選択します。

5．「名前」を入力し、「次へ」をクリックします。
※ここでは「iOS_App_Protection」と入力します。

6．「ポリシーの対象」のプルダウンから、「すべてのアプリ」を選択します。

7．「次へ」をクリックします。

8．「iTunesとiCloudのバックアップに組織データをバックアップ」を「ブロック」に設定します。

9．「他のアプリに組織データを送信」のプルダウンから、「ポリシー マネージド アプリ」を選択します。

10．「組織データのコピーを保存」を「ブロック」に設定します。

11．「選択したサービスにユーザーがコピーを保存することを許可」のプルダウンの、「OneDrive for Business」と「SharePoint」にチェックを入れます。

12．「ポリシー マネージド アプリデータとネイティブアプリまたはアドインの同期」と「組織のデータを出力する」の設定を「ブロック」へと変更します。

13．「次へ」をクリックします。

14．「単純なPIN」を「ブロック」に設定し、「タイムアウト(非アクティブ分数)」を「720」に設定します。

15．「次へ」をクリックします。

16．アプリの条件の「オフラインの猶予期間」を「720」に設定します。

17．デバイスの条件を新規で作成します。プルダウンから、「OSの最小バージョン」を選択します。

18．「値」を「10.0」に設定し、「操作」のプルダウンから「アクセス禁止」を選択します。

19．「次へ」を選択します。

20．「グループの追加」をクリックします。

21．含めるグループを選択し、「選択」をクリックします。

22．「レビューと保存」をクリックします。

23．「保存」をクリックします。

24．ポリシーが保存されました。

手順2　条件付きアクセス作成

1．「デバイス」をクリックし、「条件付きアクセス」を開きます。

2．「新しいポリシーを作成する」をクリックします。

3．「名前」を入力し、「ユーザー」をクリックします。 
※ここでは「BYOD_conditionalPolicy」と入力します。

4．「ユーザーとグループの選択」をクリックし、「ユーザーとグループ」を選択します。

5．対象のユーザーやグループを選択し、「選択」をクリックします。

6．「対象外」をクリックし、「ユーザーとグループ」を選択します。

7．対象外に設定するユーザーやグループを選択し、「選択」をクリックします。

8．「ターゲットリソース」をクリックし、「すべてのクラウドアプリ」を選択します。

9．「条件」をクリックします。

10．「デバイスプラットフォーム」をクリックし、構成を「はい」に変更します。

11．「デバイスプラットフォームの選択」をクリックし、「Android」と「iOS」にチェックを入れ、「完了」をクリックします。

12．「許可」をクリックし、「アプリの保護ポリシーが必要」にチェックを入れ、「選択」をクリックします。

13．「ポリシーの有効化」を「オン」に設定し、「作成」をクリックします。

手順3　iOSで会社用のメールアカウントを追加する

　・Authenticatorと連携し、会社用メールアカウントを追加

1．「Outlook」を開きます。

2．左上の「アカウントマーク」をクリックします。

3．「メールアカウントの追加」をクリックします。

4．メールアドレスを入力し、「アカウントの追加」をクリックします。

5．認証画面に切り替わるので、「Authenticatorを開く」をクリックします。

6．パスワードを入力し、「サインイン」をクリックします。

7．「登録」をクリックします。

8．サインインを行います。

9．「OK」をクリックします。

10．再度Outlookを開き、「アカウントマーク」をクリックします。

11．会社用メールアカウントが追加されたことを確認できます。

———- 

　(失敗例)Authenticatorと連携せずに、アカウントを追加 
→ エラーが表示され、追加ができませんでした。

1．「Outlook」を開きます。  
※Authenticatorはインストールされていません。

2．「アカウントマーク」をクリックします。

3．「メールアカウントの追加」をクリックします。

4．メールアドレスを入力し、「アカウントの追加」をクリックします。

5．パスワードを入力し、「サインイン」をクリックします。

6．「アプリの取得」をクリックします。

7．エラー画面が表示されました。

手順4　Entra/Intuneでデバイスの自動反映を確認

[Microsoft Entra] 

1．Microsoft Entraを開きます。

2．ユーザーから、「デバイス」をクリックします。

3．デバイスが自動で反映されているのを確認できます。

[Intune] 

1.Microsoft Intune 管理センターを開きます。 

2．ユーザーを開き、「デバイス」をクリックします。

3．デバイスが自動で反映されているのを確認できます。

手順5　iOS 個人用/会社用でのファイルの保存や共有の違い

　・個人のアウントで作業した場合
→ ファイルを個人のデバイスへ保存・共有などが可能

1．「Outlook」を開きます。

2．ファイルが添付されているメールを開きます。 
※個人のアカウントからメールを開いています。

3．PDFファイルを開き、右上の「保存ボタン」をクリックします。

4．「ファイルの共有」をクリックします。

5．「ファイルに保存」をクリックします。

6．iPhone内に保存することが可能です。

7．ファイルの共有をするには、手順5-4で「ファイルの共有」を選択した後、「Outlook」をクリックします。

8．自動で画面が切り替わり、PDFファイルの共有が可能になります。

———- 

　・会社用アウントで作業した場合
→ ファイルを個人のデバイスへ保存・共有することは不可

1．「Outlook」を開きます。

2．会社用アカウントに切り替えます。

3． PDFファイル右上の「保存ボタン」をクリックし、「ファイルの共有」をクリックします。

4．「ファイルに保存」をクリックします。

5．このようにエラー画面が表示され、個人のデバイス内には保存できないようになっています。

6．ファイルデータをコピーし、個人用のアカウントに切り替えて貼り付けしようとしても、「組織のデータをここに貼り付けることはできません。」というメッセージが表示され、貼り付けられない仕様になっていました。

手順6　Android アプリ保護ポリシーの作成

1．Microsoft Intune 管理センターを開きます。

2．「アプリ」をクリックし、「アプリ保護ポリシー」をクリックします。

3．「ポリシーの作成」のプルダウンから、「Android」を選択します。

4．「名前」を入力し、「次へ」をクリックします。
※ここでは「Android_App_Protection」と入力します。

5．「ポリシーの対象」のプルダウンから、「すべてMicrosoft Apps」を選択します。

6．「次へ」をクリックします。

7．「Androidバックアップサービスに組織データをバックアップ」を「ブロック」に設定します。

8．「他のアプリに組織データを送信」のプルダウンから、「ポリシー マネージド アプリ」を選択します。

9．「ポリシー マネージド アプリデータとネイティブアプリまたはアドインの同期」と「組織のデータを出力する」の設定を「ブロック」へと変更します。

10．「次へ」をクリックします。

11．「タイムアウト(非アクティブ分数)」を「720」に設定し、「次へ」をクリックします。

12．「次へ」を選択します。

13．「グループの追加」をクリックします。

14．含めるグループを選択し、「選択」をクリックします。

15．「次へ」を選択します。

16．「作成」をクリックします。

手順7　Androidで会社用のメールアカウントを追加する

　・Authenticatorと連携し、Microsoft Intune ポータルサイトをインストール後アカウントを追加

1．Microsoft Intune ポータルサイトをインストールします。

2． Outlookを開き、「アカウントマーク」をクリックします。

3．「アカウントの追加」をクリックします。

4．メールアドレスとパスワードを入力し、「登録」をクリックします。

5．サインインを行います。画面が切り替わるので、そのままお待ちください。

6．「続行」をクリックします。

7．PINを入力し、「OK」をクリックします。

8．会社用メールアカウントが追加されました。

———- 

　(失敗例) Authenticatorと連携せずに、アカウントを追加
→ Microsoft Intune ポータルサイトのインストール画面が表示されてしまい、追加できませんでした。

1．「Outlook」を開きます。

2．「アカウントマーク」をクリックします。

3．「アカウントの追加」をクリックします。

4．メールアドレスを入力し、「続行」をクリックします。

5．パスワードを入力し、「サインイン」をクリックします。

6．「アプリの取得」をクリックします。

7．Microsoft Intune ポータルサイトのインストール画面が表示されてしまいます。

———- 

　(失敗例) Authenticatorと連携し、アカウントを追加
→ こちらも、Microsoft Intune ポータルサイトのインストール画面が表示されてしまい追加できませんでした。

1．Authenticatorにサインインします。

2．メールアドレスとパスワードを入力し、サインインを行います。

3．「OK」をクリックします。

4． Authenticatorのサインインが完了しました。

5．Outlookを開き、「アカウントマーク」をクリックします。

6．「アカウントの追加」をクリックします。

7．再度、Microsoft Intune ポータルサイトのインストール画面が表示されてしまいました。

手順8　Android 個人用/会社用でのファイルの保存や共有の違い

　・個人のアウントで作業した場合
→ ファイルを個人のデバイスへ保存・共有などが可能

1．ファイルが添付されているメールを開きます。 
※個人のアカウントからメールを開いています。

2．PDFファイルを開き、右上の「三点リーダー」をクリックします。

3．「ダウンロード」をクリックします。

4．ファイルが保存されました。

———- 

　・会社用アウントで作業した場合
→ ファイルを個人のデバイスへ保存・共有することは不可

1．会社用アカウントに切り替えます。

2． PDFファイルをクリックします。

3．このように、PDFファイルを開こうとするとエラー画面が表示され、個人のデバイス内に保存することはできませんでした。

その他お困りごとも動画で解説！