前提知識
前回の記事『Windows Information Protection(WIP:ウィップ)とは』を見てください。
手順
WIPの保護ポリシーの作成とおすすめの保護アプリの設定
-
Microsoft Endpoint Manager admin center(https://endpoint.microsoft.com/)を開きます。
-
左側のメニューより《アプリ》→《アプリ保護ポリシー》→《ポリシーの作成》→《Windows 10》の順にクリックします。
-
『ポリシー作成 - 基本』画面で、以下の項目を入力、選択し、《次へ》をクリックします。
- 名前:適当な名前を入力します。
- 登録の状態:登録済みを選択します。
- 登録の状態は、ポリシーを適用するデバイスがIntuneに登録されたデバイスを対象とするか、登録されていないデバイスを対象にするかを表しています。
-
『ポリシー作成 - 対象アプリ』画面で、「保護されているアプリケーション」の《追加》をクリックします。
-
『アプリの追加』画面が表示されるので、利用するアプリを選択して《OK》をクリックします。
- 「おすすめアプリ」として表示されているアプリは、一部アプリを除き対象アプリになります。
(Teamsは非対応アプリとか) - このリストは随時更新されています。
(たまに見ると名前が変わっていたり、新しいアプリが登録されてたりします) - この一覧にないアプリを登録する方法は、おすすめ以外の保護アプリ(非対応アプリ)の設定で解説します。
- 「おすすめアプリ」として表示されているアプリは、一部アプリを除き対象アプリになります。
-
アプリが追加されたことを確認して、《次へ》をクリックします。
-
『ポリシー作成 - 必須の設定』画面で、以下の項目を入力、選択し《次へ》をクリックします。
- Windows Infomation Protection モード:適当なモードを選択する。
- 会社のID:自社のプライマリインターネットドメインを指定する(デフォルトで指定されているので間違っている場合のみ修正)
-
『ポリシー作成 - 詳細設定』画面で、「ネットワーク境界」の《追加》をクリックします。
-
『ネットワーク境界の追加』画面で、必要なネットワーク境界を登録し《OK》をクリックします。
- 企業領域として設定したいドメイン名やIPアドレスを指定します。
- ブラウザはEdgeかIEを使用しないとこの設定は有効になりません。(chromeでも可能ですが、アドオンが必要だったりするのでおすすめしません)
-
/*AppCompat*/を登録すると、全体の通信制御が無効になるため追加するのはお勧めしません。一時的に原因の切り分けとして追加するなどの使い方が良いと思います。 - 保護されたドメイン
- メールドメイン名を登録する。
- ここに登録されたメールアドレスで送受信されるデータを保護します。
- クラウドリソース、ニュートラルリソース
-
『ポリシー作成 - 詳細設定』画面で、必要な設定を行い《次へ》をクリックします。
- エンタープライズデータ保護アイコンを表示します:オン
- 企業データや企業アプリにアタッシュケースのアイコンが表示されるようになります。わかりやすいので表示することをお勧めします。
- 注意点
- 一度でもアイコンが表示されたPCでは、設定をオフに変更してもアイコンが表示され続ける。
(表示を消すためにはフォーマットする)
- 一度でもアイコンが表示されたPCでは、設定をオフに変更してもアイコンが表示され続ける。
- その他の項目はデフォルトのままでも大丈夫です。
- エンタープライズデータ保護アイコンを表示します:オン
-
『ポリシー作成 - 割り当て』画面で、《含めるグループを選択》をクリックし、作成したポリシーを適用するグループを選択します。選択したグループを確認して《次へ》をクリックします。
-
『ポリシー作成 - 確認および作成』画面で、設定を確認して《作成》をクリックします。
おすすめ以外の保護アプリ(非対応アプリ)の設定
- 保護アプリに設定するアプリの設定情報を取得し、その設定情報をアプリ保護ポリシーに追加します。
- おすすめアプリに登録されていないアプリは非対応アプリになります。
- この方法で、保護アプリに指定できないアプリも存在します。
- デジタル署名が無いアプリは登録できません。
- この方法で登録できない場合は、AppLoker XMLファイルを作成して登録する方法があります。その方法の解説はここではしません。
設定情報の取得
対象となるアプリがデスクトップアプリかストアアプリかで設定情報の取得方法が異なります。
対象となるアプリの見分け方
-
スタートメニューを開いて、保護対象アプリにしたいアプリを右クリックします。
-
《その他》にマウスを合わせます。
-
表示されたメニューにより、デスクトップアプリかストアアプリの判断ができます。
- デスクトップアプリの場合
- ストアアプリの場合
- デスクトップアプリの場合
デスクトップアプリの場合
-
スタートメニューを開いて、保護対象アプリにしたいアプリを右クリックし、《その他》→《ファイルの場所を開く》をクリックします。
-
スタートメニューのフォルダが開くので、保護対象アプリにしたいアプリを右クリックし、《プロパティ》をクリックします。
-
プロパティウィンドウが開くので、《ファイルの場所を開く》をクリックします。
- ここに表示されたファイルパスをメモします。
- まれに《ファイルの場所を開く》がグレーアウトされて押せないものもあります。その場合は、自力で実行ファイルを探してください。
-
Windowsのスタートボタンを右クリックし、メニューから《Windows PowerShell》をクリックします。
-
Windows PowerShellの画面が開くので以下のコマンドを入力して実行します。
- コマンド:
Get-AppLockerFileInformation -Path "<ファイルパス>" | format-list - GIMPの場合:
Get-AppLockerFileInformation -Path "C:\Program Files\GIMP 2\bin\gimp-2.10.exe" | format-list
- コマンド:
-
出力結果の赤枠部分をコピーします。
- ファイル名:Pathの赤枠部分
- GIMPの場合:GIMP-2.10.EXE
- 発行元:Publisherの赤枠部分(一つ目の『¥』の前まで)
- GIMPの場合:O=JERNEJ SIMONČIČ, L=LJUBLJANA, S=-, C=SI
- ブランクの場合:デジタル署名が無いので保護アプリとして登録できません。
- ファイル名:Pathの赤枠部分
ストアアプリの場合
-
ビジネス向け Microsoft Storeを開き、保護対象アプリにしたいアプリを検索します。
-
検索結果から保護対象アプリにしたいアプリをクリックします。
-
表示されたアプリのURLからID値をコピーします。
- URLの最後のスラッシュ(/)の後ろからがID値になります。
- Microsoft To Doの場合: https://businessstore.microsoft.com/ja-jp/store/details/microsoft-to-do-lists-tasks--reminders/
9NBLGGH5R558がURLなので、「9NBLGGH5R558」がID値になります。
- Microsoft To Doの場合: https://businessstore.microsoft.com/ja-jp/store/details/microsoft-to-do-lists-tasks--reminders/
- URLの最後のスラッシュ(/)の後ろからがID値になります。
-
ブラウザーに以下のURLを入力して、Web APIを実行します。
- URL:
https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/<ID値>/applockerdata - Microsoft To Doの場合:
https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9NBLGGH5R558/applockerdata
- URL:
-
Web APIの実行結果の赤枠部分をコピーします。
- 発行者:publisherCertificateNameの値
- Microsoft To Doの場合:CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
- 製品名:packageIdentityNameの値
- Microsoft To Doの場合:Microsoft.Todos
- 発行者:publisherCertificateNameの値
保護アプリの登録方法
-
Microsoft Endpoint Manager admin center(https://endpoint.microsoft.com/) を開きます。
-
左側のメニューより《アプリ》→《アプリ保護ポリシー》→ 先ほど作成したアプリ保護ポリシーをクリックします。
-
アプリ保護ポリシーの画面が表示されるので《プロパティ》→ 《対象アプリ 編集》をクリックします。
-
対象アプリの一覧が表示されますので、下にスクロールし、保護対象にする場合は上の《追加》を、保護対象から除外する場合は下の《追加》をクリックします。
-
『アプリ追加』画面が表示されるので、登録するアプリの種類をクリックします。
-
設定情報の取得で取得した設定情報を入力し、《OK》をクリックします。
- デスクトップアプリの項目と設定値
- 名前:適当な名前を入力
- 発行者:設定情報の取得で取得した発行者を入力
- 製品名:*
- ファイル:設定情報の取得で取得したファイル名を入力
- 最小バージョン:*
- 最大バージョン:*
- 操作:許可しか選択できません
- ストアアプリの項目と設定値
- 名前:適当な名前を入力
- 発行者:設定情報の取得で取得した発行者を入力
- 製品名:設定情報の取得で取得した製品名を入力
- *はワイルドカード(なんでもOKだよ)になります。
- 調べた設定値は、主なアプリの設定値(参考)にまとめてあります。
- デスクトップアプリの場合、ファイル名を入力すると保護がうまくできないアプリがある。その場合は、「名前」と「発行者」のみ入力し、あとは「*」を設定すると保護ができる場合があります。意味的には、その発行者のアプリをすべて保護対象アプリにします。
- デスクトップアプリの項目と設定値
-
入力内容が反映されている事を確認して《レビューと保存》をクリックします。
-
確認画面が表示されるので、《保存》をクリックします。
主なアプリの設定値(参考)
参考までに私の実行環境で設定している値です、利用する場合は問題ない事を確認してください。あくまでも自己責任でお願いします。
保護アプリ(デスクトップアプリ)
| 名前 | 発行者 | 製品名 | ファイル | 最小バージョン | 最大バージョン | 操作 | 備考 |
|---|---|---|---|---|---|---|---|
| Cisco Webex Meetings | O=CISCO WEBEX LLC, L=SAN JOSE, S=CALIFORNIA, C=US | * | * | * | * | 許可 | 発行者が同じすべてのアプリを保護対象にします |
| Zoom | O=ZOOM VIDEO COMMUNICATIONS, INC., L=SAN JOSE, S=CALIFORNIA, C=US | * | * | * | * | 許可 | 発行者が同じすべてのアプリを保護対象にします |
保護除外アプリ(デスクトップアプリ)
| 名前 | 発行者 | 製品名 | ファイル | 最小バージョン | 最大バージョン | 操作 | 備考 |
|---|---|---|---|---|---|---|---|
| Visual Studio Code | O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US | Visual Studio Code | * | * | * | 許可 | Visual Studio Codeは保護アプリにできません1 |
| Git | O=JOHANNES SCHINDELIN, L=COLOGNE, S=NORTHRHINE-WESTPHALIA, C=DE | * | git.exe | * | * | 許可 | 通信が遮断されないよう除外アプリとして登録 |
| Python | O=PYTHON SOFTWARE FOUNDATION, L=WOLFEBORO, S=NEW HAMPSHIRE, C=US | * | python.exe | * | * | 許可 | 通信が遮断されないよう除外アプリとして登録 |
参考サイト
Windows Information Protection(WIP:ウィップ)とは
Microsoft Intune の Azure portal を使用して、Windows 情報保護 (WIP) ポリシーを作成する
Windows 情報保護 (WIP) と連携するための対応 Microsoft アプリの一覧
Windows 情報保護 (WIP) を使用する場合の推奨されるエンタープライズ クラウド リソースとニュートラル リソース ネットワークの設定
Visual Studio を WIP 除外アプリとして構成する
-
Visual Studio を WIP 除外アプリとして構成するでは、Visual StudioとなっているがVisual Studio Codeも同様の扱いとなるため、保護アプリにできないと思われます。 ↩