1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@carol0226(Shuji Noguchi)inNTTデータ先端技術

アンマネージドな MAM を登録した BYOD 環境で実現できるアプリ保護・構成・制御とは?

1
Last updated at Posted at 2026-05-11

はじめに

本記事では、アンマネージドな MAM 登録を行ったユーザーに対して、具体的に実施できる制御を説明しています。

前提条件

  • WindowsデバイスはIntune/MDM に未登録である必要があります。
  • 対象ユーザーに Intune ライセンス および Entra ID P1/P2 ライセンスが必要です。
  • 対応プラットフォームは Windows 10/11(最新更新プログラム適用)と Microsoft Edge for Business (バージョン147以降)です。

公開情報:Microsoft Edge for Businessとは
https://learn.microsoft.com/ja-jp/intune/solutions/edge-data-security/overview?wt.mc_id=MVP_407731#what-is-microsoft-edge-for-business
(上記より抜粋)
いいえ、これは新しいブラウザーではありません。 これは、作業専用に構築された新しい専用の Microsoft Edge エクスペリエンスです。 ~(中略)~ Microsoft Entra IDを使用してサインインすると、Microsoft Edge for Business エクスペリエンスが自動的に有効になります。

(補足)
わかりづらいのですが、結局は 普段の Edge のことを指しており、Entra ID でサインインした 職場プロファイル のことを指しています。

アンマネージドな MAM の実装の流れ

1.アンマネージドな MAM の登録(アンマネージドな MAM とは何か?)
2.アプリ保護ポリシーの設定
3.アプリ構成ポリシーの設定
4.条件付きアクセスでの アプリ保護ポリシー強制

※本記事は Windows 向け MAM(MAM‑WE) にフォーカスしており、実質的に Microsoft Edge が保護対象アプリ となる前提で説明しています。

1.アンマネージドな MAM の登録

以下の記事で詳しく解説しています。
※「アンマネージドな MAM とは何か?」についても こちらに記載されています。

丸1日溶かした アンマネージドな MAM 登録:Windows 11新UI・MDM分岐・ライセンス罠を全部整理する【BYOD】
https://qiita.com/carol0226/items/1b4eb70e10999f0c079c

ポイント
上記の記事を参照し、ユーザーを アンマネージドな MAM で登録できるようになったら、次章へ進んでください。

2. アプリ保護ポリシーでアプリの利用を制限する

この章では、MAM ユーザー向けに Edge の動作や通信経路を制御できることを紹介します。

  • 保存先の制限
  • コピペ可否
  • 印刷可否

ポイント
MAM 登録は、本機能を適用させるために行う行為と言っても過言ではありません。

以下の2章に分けて説明します。

  • 2-1. アプリ保護ポリシーの構成
  • 2-2. アプリ保護ポリシー の 正常動作時の画面イメージ

2-1. アプリ保護ポリシーの構成

Intune 管理センターで アプリ保護ポリシーを構成できます。

1.Intune 管理センターを開き、左ペイン アプリアプリの管理保護 を開きます。
+作成 を開いてから Windows を選択します。
image.png

2.基本 タブでは 任意の名前を付与してから 次へ を押して進めます。

3.アプリ タブでは、+アプリを選択 を押して、Microsoft Edge を選択します。

(注)Windows版のアプリ保護ポリシーは現在Microsoft Edgeのみサポートされています。

4.一覧に Microsoft Edge が表示されたことを確認して次へ を押して進めます。

5.データ保護 タブで、データ送受信 および、コピペ、印刷 の制御を構成できます。

データ受信
組織のユーザーがデータを受信できるソースを指定するには、次のいずれかのオプションを選択します。
image.png
すべてのソース: 組織のユーザーは、任意のアカウント、ドキュメント、場所、またはアプリケーションから組織コンテキストにデータを開くことができます。
ソースなし: 組織のユーザーは、外部アカウント、ドキュメント、場所、またはアプリケーションから組織コンテキストにデータを開くことができません。

組織データの送信先
組織ユーザーがデータを送信できる宛先を指定するには、次のいずれかのオプションを選択します。
image.png
すべての宛先: 組織のユーザーは、任意のアカウント、ドキュメント、場所、またはアプリケーションに組織データを送信できます。
宛先なし: 組織のユーザーは、組織コンテキストから外部アカウント、ドキュメント、場所、またはアプリケーションに組織データを送信できません。

切り取り、コピー、貼り付けの許可
組織データの切り取りまたはコピーまたは貼り付けを行うことができるソースと宛先を指定するには、次のいずれかのオプションを選択します。
image.png
任意の宛先と任意のソース: 組織のユーザーは、データを任意のアカウント、ドキュメント、場所、またはアプリケーションから貼り付け、切り取り/コピーできます。
宛先またはソースなし: 組織のユーザーは、外部アカウント、ドキュメント、場所、またはアプリケーションとの間でデータの切り取り、コピー、貼り付けを行うことはできません。

注:「切り取り、コピー、貼り付け」には組織データ内のみ許可 などの選択肢もあります。運用要件に応じ適切に設定してください。

組織データの印刷
image.png
[ブロックする] を選択し、組織データ印刷できないようにします。
[許可する] を選択し、組織データの印刷を許可します。個人データまたは管理されていないデータには影響がありません。

6.正常性チェック タブでは、特に設定変更を行う必要はありません。次へ を押して進めます。

7.割り当て タブでは、グループの追加 を押してから、このポリシーを割り当てるセキュリテイグループを選択します。

8.以下のように 一覧に選択したセキュリテイグループが表示されたら 次へ を押して進めます。

9.確認および作成 タブでは、最終確認をおこなって 作成 を押します。

公開情報:Windows のアプリ保護ポリシー設定
https://learn.microsoft.com/ja-jp/intune/app-management/protection/ref-settings-windows?wt.mc_id=MVP_407731

2-2. アプリ保護ポリシー の 正常動作時の画面イメージ

1.MAM 登録された デバイス&ユーザー で、Edge を起動します。

2.右上の赤枠(アイコン)を開くと、管理アカウント および 職場 と書かれたプロファイルが表示されます。このブラウザセッションに対して、アプリ保護ポリシー が適用されます。
※サインアウトされていた場合は、サインインしてください。

3.このセッションで、ブラウザ上のテキストを選択して、コピーします。
image.png

4.以下のように コピーが ブロック されます。
image.png

5.同様に Office 365 (Web版) を開いて、Word 上で 下図のように テキストをコピーしても同様です。
image.png

6.以下のように コピーがブロックされます。
image.png

上記のような形で、企業内のドキュメントを開いて、情報をコピーしようとしても、ブロックされるため プライベート領域に持ち出せないようになります。

公開情報:Microsoft Intuneでアプリ保護ポリシーの設定を検証する方法
https://learn.microsoft.com/ja-jp/intune/app-management/protection/validate-policy-setup?wt.mc_id=MVP_407731

3. アプリ構成ポリシー(任意)

アプリ構成ポリシーの設定は 任意 です。
アプリ構成ポリシーを利用すると、MAM ユーザーに対して アプリの設定を適用することができます。

公開情報:Intuneを使用して Microsoft Edge for Windows を構成する
https://learn.microsoft.com/ja-jp/intune/app-management/configuration/configure-edge-windows?wt.mc_id=MVP_407731

例えば、以下の私の記事では、MAM 利用者に対して、プロキシ経由の GSA インターネットアクセスを強制することで、Web コンテンツフィルタリング や、AI プロンプトポリシー などを適用する方法を案内しています。

[GSA: Internet] Explicit Forward Proxy (Preview) + Intune MAM BYOD シナリオを試す
https://qiita.com/carol0226/items/36a440963bbb63a8f328

上記の例は、最新の Preview 機能を使っており、内容も高度なので試しづらいと思いますが、基本的には アプリに対して設定値を配布することができると考えてください。

4. 条件付きアクセスでの アプリ保護ポリシー強制

アンマネージドな MAM でアプリ保護ポリシーを使う場合は、業務データをブラウザー経由で扱う前提の Windows MAM‑WE では、強く推奨されています。(実質的には 必須です)

実質的に必須な理由
MAM ユーザーに対して アプリ保護ポリシー を強制することで、アプリ保護ポリシーが利用できないプラットフォーム(Edge 以外のブラウザ)を使った場合に、そのクラウドサービスは 制限なく利用ができてしまいます。
そのような抜け道があると、アプリ保護ポリシーで制限・管理 している意味がありません。
※利用者は、Edge だと コピペや印刷がブロックされているけど、Chrome 使えばできるじゃん・・・と考えます。

  • Edge = 開ける(アプリ保護適用)
  • Chrome 等 = 開ける(コピペ・印刷可)

条件付きアクセスで、アプリ保護が必須 というルールを適用することで、アプリ保護に非対応はブラウザでは、対象のクラウドリソースを開くことが出来なくなります。

  • Edge = 開ける(アプリ保護適用)
  • Chrome 等 = 開けない(ブロック)
    ※実際の挙動は「ブロック」または「Edge への誘導」となります。

4-1. おススメするアプリ保護ポリシーの強制方法

想定シナリオ
社員全員すべてのクラウドアプリ を使用する際には デバイスは準拠しているとしてマーク済み である必要 のポリシーが適用されている環境があるとします。

つまり社員は、組織アカウントで クラウドアプリを使うためには、会社から支給した PC(Intune 準拠済み)からしか利用できない・・・という状況です。

MAM 要件
今回、MAM ユーザーとして認められた利用者は Office 365 に限っては 個人端末 (BYOD) を使って業務が許されます。そのような場合に、以下の条件付きアクセスを構成します。

1.ユーザーの割り当て
 MAM ユーザー を選択します。

2.ターゲットリソース
 Office 365 を選択します。

3.条件➀:デバイスプラットフォーム
 Windows を選択します。

4.条件➁:クライアントアプリ
 ブラウザー を選択します。

Windows MAM‑WE では、実質的な保護対象アプリが Edge に限定されるため、クライアントアプリではなく「ブラウザー」を条件としています。

5.許可
まず、アプリ保護ポリシーが必要 を選択します。このルールで Office 365 を使う場合には アプリ保護ポリシーが要求されるようになります。
続いて、デバイスは準拠しているとしてマーク済みである必要があります も選択します。これは、BYOD ではなく会社支給の PC を使った場合でも Office を使えるようにするルールです。
そして、選択したコントロールのいずれか必要 を選択します。これは、BYOD または 会社 PC のいずれかを使用できるようにしています。

このように構成することで、MAM ユーザーに対して、Office 365 を使用する場合の BYOD ルールを構成できました。

注意
なお、これだけだと片手落ちです。
MAM ユーザーが Office 365 以外の機能を使う場合のルールがありません。
そして、Windows 以外の OS を制限するルールもありません。

つまり、どの端末からでも利用が出来てしまいます。
MAM ユーザーに対して、Office 365 以外を使わせないようにするならば、MAM ユーザーに対して、すべてのアプリ(Office 365 以外)をブロックするルールを作ります。

そうではなく、MAM ユーザーは、Office 365 だけを BYOD の利用を許可するけど、それ以外のアプリは 会社 PC からの利用を強制させる場合は、MAM ユーザーに対して、すべてのアプリ(Office 365 以外)に対して、Intune 準拠 を強制するルールを作ります。そうすると、MAM ユーザーは 通常は 会社 PC であらゆるクラウドアプリが使用でき、さらに BYOD 端末では Office 365 を利用できる・・・というシナリオが成立します。

このように、条件付きアクセスでは、想定したルールの裏側はどうなっているのか? を想定し、すべての可能性に対して動作を規定しておくようにしましょう。

注意
既存の『準拠デバイス必須』ポリシーが対象ユーザー/アプリに適用されている場合、MAM用許可ポリシーを適用する前に対象ユーザーを既存ポリシーから除外するか、既存ポリシーの条件を調整してください。複数のCAポリシーにより矛盾が生じると期待通りアクセス許可されません。」

補足
実行端末にエンドポイントDLPなどの機能が有効な場合、EdgeでのMAMプロファイル作成がブロックされます。この制限に該当する場合、IT管理者はMAMWithDeviceDLPEnabledポリシーを構成する必要があります。

公開情報:Windows デバイスでアプリ保護ポリシーを要求する
https://learn.microsoft.com/ja-jp/entra/identity/conditional-access/how-to-app-protection-policy-windows?wt.mc_id=MVP_407731

4-2. "アプリ保護ポリシーを強制する条件付きアクセス" を構成したときの動作

Chrome からのアクセス時には Edge へ誘導される
Windows の MAM(MAM‑WE)では、アプリ保護ポリシーに対応しているブラウザーが Microsoft Edge に限られるため、Chrome からのアクセス時には Edge へ誘導されます。
image.png

Edge で 個人プロファイルの際には、職場プロファイル への切り替え へ誘導される

Edge 上に職場プロファイルが無い場合、「サインインしてデータを同期」を押すと、プロファイルが作られます

MAM ユーザー用の Edge プロファイルが作成され、その環境内だけで Office 365 が利用できるようになります。

5. まとめ

Windows MAM‑WE は「中途半端な管理」ではなく、意図を持って条件付きアクセスと組み合わせたときに、はじめて実用的なセキュリティになります。

その前提を理解せずに導入すると、期待した効果は得られません。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?