はじめに
企業データを偶発的に漏洩させないように保護するテクノロジーです。
Windows Infomation Protectionと言う名前からわかる通りWindows PCのみ有効です。iOSやAndroidは対象ではありません。
性善説で作られているため、悪意を持った内部攻撃者による企業データの漏洩を防止することは想定されていません。
設定方法は、別の投稿で説明しようと思います。
利用可能条件
- OS
- Windows 10、バージョン1607以降
- MDM(Mobile Device Management)
- Microsoft Intune
- Microsoft Endpoint Configuration Manager
- サードパーティ製品
機能
企業データが企業領域や企業アプリ以外で利用できないようにする。
ただし、除外アプリでは企業データも利用可能となる。
企業アプリと除外アプリ以外はインターネットへの通信も制限される。
一言で言えばMAM(Mobile Application Managemen)です。
ヘルプ等を見てもなかなかわかりづらいので、ヘルプを読んでわかるように主要な用語を中心に機能の説明することにします。
企業領域・企業アプリ、個人領域・個人アプリ、除外アプリ
- 管理者が設定できる
- 企業領域
- 設定したドメインを持つWebサイト
- EdgeとIEのみ対応している
- OneDrive for Business
- バックアップ設定をしている場合はマイドキュメント等も含む
- 設定したドメインを持つWebサイト
- 企業アプリ
- 設定したアプリケーション
- 対象アプリ:OfficeやEdge等のマイクロソフトアプリ
- 非対称アプリ:対象アプリ以外
- アプリによっては企業アプリにできないアプリも存在する
- 設定したアプリケーション
- 除外アプリ
- 設定したアプリケーション
- 個人領域、個人アプリ
- 企業領域や企業アプリや除外アプリに設定されていないもの
- 個人アプリはインターネットの通信ができない
- 例:Chromeではインターネットの閲覧ができない、Visual Studio Cordはマーケットプレイスが使えない
企業データと個人データ
- 企業データ
- 企業領域のWebサイトからダウンロードしたデータ
- 企業領域のフォルダに置かれたデータ
- 企業アプリ(対応アプリ)で保存時に企業データとして保存したデータ
- 企業アプリ(非対応アプリ)で保存したデータ
- 個人データを右クリックして企業データに変換したデータ
- NTFSの機能を利用して暗号化
- 個人データ
- 企業アプリ(対応アプリ)で保存時に個人データとして保存したデータ
- 個人アプリで保存したデータ
- クリップボードにコピーしたデータもコピー元により企業データか個人データになります
企業アプリや企業データの確認方法
- 企業アプリ
- アタッシュケースのマークが付いているアプリやデータ(設定による)
- タスクマネージャーのエンタープライズコンテキスト欄で確認(アプリのみ)
- タスクマネージャの詳細タブを開き、エンタープライズコンテキストを見る
- エンタープライズコンテキスト項目は表示されていないので自分で列を追加
- 個人用
- 個人アプリ
- (データ保護対応)、(データ保護対応、制限しない)
- 企業アプリ(対応アプリ)
- (データ保護非対応)
- 企業アプリ(非対応アプリ)
- 例外
- 除外アプリ
- 個人用
- エンタープライズコンテキスト項目は表示されていないので自分で列を追加
- タスクマネージャの詳細タブを開き、エンタープライズコンテキストを見る
- アタッシュケースのマークが付いているアプリやデータ(設定による)
- 企業データ
- アタッシュケースのマークが付いているアプリやデータ(設定による)
- ファイルを右クリックして『ファイルの所有権』のグレーアウトされている方
- 作業がグレーアウトされているので企業データになります。
WIPのモードによる操作の制限(コピー、移動、アプリで開く)
- ブロック
- エラーメッセージが出力され
- 操作が停止
- オーバーライド許可
- 注意メッセージが表示される
- 操作は可能
- ログが記録される
- サイレント
- メッセージは表示されない
- 操作は可能
- ログが記録される
- オフ
- WIPが無効になる
- データの保護やログ記録をしない
エラーメッセージ例
Edge
-
クリップボードからのコピー
- 『このアプリケーションで作業コンテンツを使用することは組織できょかされていません』というテキストが張り付けられる
注意点
Eメールでの送信
- Eメールで外部に送信したデータは、WIPの保護対象にならないため誰でも開ける
USBへのコピー
- 個人用として書き出した場合はWIPの保護が無効(WIPモードによりできなかったりする)
- 企業データとして書き出したものはWIPの保護が有効
WIP管理対象外のPC
- WIPが有効ではないPCの場合はWIPの保護が無効になります。
- 例えば、OneDrive for Business からデータを自宅のPCにダウンロードした場合は普通に開けます
注意点へ対応するには
Eメール送信等のWIP外部での保護については、Azure Information Protection(AIP)を併用する必要があると思います。
設定方法
以下の手順通りに進めるとWIPの設定が行えます。
- Azure ADとIntuneでデバイスを管理するための初期設定
- Windows PCをAzure ADに参加させる
- Windows Information Protection(WIP)の設定をする
さいごに
個人的にはWIPは素晴らしいテクノロジーだと感じていますが、理解と扱い方がとても難しいと思います。
内部動作もわからないため試行錯誤していかないといけません。
設定ミスをすると影響範囲がとても大きくなってしまいますので色々試す場合には注意が必要です。
最近、Microsoft365の利用が増えてきているので初心者の理解の助けになればと思います。
とは言え私も使い始めて1年程度しか経っていないため間違い等あると思いますので間違っているところやアドバイスなど意見を頂けるとありがたいです。
そして、一番のつらいのがIntuneとセットになっているためIntuneのサポートに問い合わせる事になるのですが、問題が切り分けられてWIPとなると有料の窓口での対応になるという事です。
MicrosoftさんWIPのサポートも無料にしていただけるとありがたいです。
参考サイト
- Windows Information Protection を正しく知る
- 2つの情報保護技術、クラウドのAIPとWindows 10のWIP(その3)
- Windows 情報保護 (WIP) を使用した企業データの保護
- Windows 情報保護 (WIP) と連携するための対応 Microsoft アプリの一覧
- Windows 情報保護 (WIP) で実行されているアプリのエンタープライズ コンテキストの確認
- Windows Information Protection | WIP Learn with Joy Part #1 | Intune
- Learn WIP with Joy – File Protection Deep Dive – Part 3