目的
リモートワーク対応で自社が管理するクラウド サービスを私物 PC から利用させたい(BYOD)、しかし情報管理の観点から認めるのは難しい。あるいは、外部の協力会社のメンバーに自社が管理するサービスを使ってもらいたいが同様な理由から提供が難しいというシチュエーションがあります。この状況への方策として Enterprise Browser と呼ばれるサービスを検討・導入するのは昨今よく見かけるものになります。
しかし、すでに Microsoft Intune を持たれている組織では手持ちの道具である程度まで実現することができるので、比較材料として検討いただけるように Intune を用いた実現方法を本稿でご紹介します。
シナリオ
- 自社のメンバーが、自組織の Intune に登録されていない端末(例:私物デバイス)から会社が管理するクラウド サービスを利用する(自テナント対応)
- 外部の協力会社のメンバーが、所属会社が管理する端末から委託元(自社)が管理するクラウド サービスを利用する(クロス テナント対応)
1つ目の例は、従来から自組織 Intune 未登録デバイスでの Edge MAM 制御として利用可能でしたが、この度、2つ目のシナリオ「クロス テナント デバイス」が Public Preview として利用可能になりました。
Disclaimer
本稿で紹介する構成は、こちらの 参考資料 をもとにして解説するためだけのサンプルになり、実運用上のあれやこれやは考慮していませんので、その点は読者皆様でご対応ください。
構成概要
こちらが、この制御を成立させるための構成要素です。
- Microsoft Entra ID
- 条件付きアクセスによりアプリ保護ポリシーが適用された Edge ブラウザの利用を求めます
- Microsoft Intune
- アプリ保護ポリシーを適用し、Edge ブラウザのふるまいを制御します。
- Microsoft Edge for Business
- 組織管理されたアカウント「職場または学校アカウント」でプロファイルにサインインし、Intune からのポリシーを受け取ります。
Microsoft Edge for Business は普段お使いの Edge ブラウザーと異なるものではありません、同じバイナリーです。 これは「職場または学校アカウント」でプロファイルにサインインし、組織のポリシーが適用されている状態を意図する説明用の呼称です。
本稿の構成には既知の制限事項がありますので、参考情報 を必ず参照ください。
構成手順
MAM 制御は自組織テナント側で構成します。また、対応するシナリオは2つ(自テナント対応、クロス テナント対応)ありますが、構成内容はどちらのケースでも同じです。
アプリケーションサインイン時の自動 Intune 登録の無効化
Microsoft Intune 自動登録を構成している場合、本稿の MAM ポリシー適用の過程でその端末が Intune に MDM 登録されます。この登録を防ぐためには、Intune 自動登録の構成を変更します。
本稿公開時点(2026年5月)で本機能は Public Preview です。 参考情報
Entra ID > モビリティ から [Microsoft Intune] を選択します。
次に、"Windows で職場または学校アカウントを追加する際に MDM への登録を無効にする" を "はい" に設定し、[保存] します。
条件付きアクセス
Microsoft Entra 管理センターを開き条件付きアクセスを構成します。
本稿では、ユーザー グループを指定し、すべてのアプリケーションを対象として条件付きアクセスを構成します。
条件の適用対象に「ブラウザー」を指定します。
同じく、適用対象プラットフォームに「Windows」を指定します。
本稿では Windows の Microsoft Edge を制御することを目的とするためプラットフォームに "Windows" のみを選択していますが、実務上では iOS/iPadOS などその他のプラットフォームを含めて、「アクセスを認めない」側の条件の検討も必要です。
本条件は自組織の Intune に登録されていない端末を対象とする、言い換えると、自組織で管理している端末(isCompliant = true)を 対象から除外する ためデバイスフィルタを構成します。
重要
デバイスフィルターを設定しない場合、予期しないユーザーがアクセスできる可能性があります。
本シナリオでは 必ず設定 してください。
アクセスを許可するための付加条件として、「アプリ保護ポリシー」が適用されていることを求めます。
Learn では [アプリ保護ポリシー] だけを構成していますが、本稿では現実的な最低限の条件として ”多要素認証” も求めています。そのため、「複数コントロールの場合」では [選択したコントロールすべてが必要] を選択しています。
構成できたら [ポリシーの有効化] を オン にして保存します。
アプリ保護ポリシー
Microsoft Intune 管理センターを開き、Windows 向けのアプリ保護ポリシーを定義します。 アプリ > Windows > 保護 と進み、[+作成] メニューから [Windows] を選択します。
ポリシー名を定義し、次に進み [+アプリを選択] メニューを選択し、次いで "Microsoft Edge" を選択します。
データ保護の構成例です。ガチガチです。
| 設定項目 | 選択肢 | 構成例の設定値 |
|---|---|---|
| データ受信 | すべてのソース or ソースなし |
ソースなし(外部からのデータの受信をブロック ex アップロード禁止) |
| 組織データの送信先 | すべての宛先 or 宛先なし |
宛先なし(このブラウザ プロファイルから外部へデータ送信ブロック ex ダウンロード禁止) |
| 切り取り、コピー、貼り付けの許可 | info 参照 | コピー先およびソースなし(コピーもペーストも禁止) |
| 組織データの印刷 | 許可 or ブロック | ブロック |
[切り取り、コピー、貼り付けの許可] の選択肢とその効果はこちらを参照してください。
| 選択肢 | 効果 |
|---|---|
| 任意のコピー先と任意のソース | 許可 From Any To Any |
| 組織データの宛先と任意のソース | 許可 From Any To このプロファイル |
| 組織データの宛先と組織のデータソース | 許可 From このプロファイル To このプロファイル |
| コピー先およびソースなし | 禁止 From Any To Any |
正常性チェックは既定値のまま進めます。
アプリケーション保護ポリシーの割当先にはユーザー グループだけが有効に機能します。先に構成した条件付きアクセスポリシーの適用先と同じユーザーグループを指定してください。
User Experience:利用者側の作業
ユーザーは利用するサービスへのアクセスを要求することで、ユーザー側のプロセスが開始されます。外部協力者であれば、委託元からサービス利用のための認証情報を提供してもらいます。
今回は [すべてのリソース] を対象にして条件付きアクセスを構成しているので、任意のサービスにアクセス要求することでプロセスを開始することができるため、アプリケーション ポータル (MyApps) へのアクセスを実施します。
また、本稿では「外部協力者」のシナリオで UX を解説します。
My Apps にアクセスしたものの、当然ながら自テナントのアカウントでサインイン(SSO)されます。
そのため、委託元アカウントでサインインしなおします。
委託元アカウント、パスワードで認証を進め、MFA チェックをパスします。
※ 説明をシンプルにするために、MFA の登録は別途事前に済ませてあります。
認証をパスすると、利用中の Edge ブラウザで委託元アカウントのプロファイルを利用するようにガイドされます。
この時点では、委託元アカウントのプロファイルがないので新規作成が開始されます。
指示に従ってサインインを続けます。 次のダイアログで 必ず [はい] を選択します。
重要
このダイアログで [はい] を選択することで、その端末が委託元テナントの Entra ID に登録(Registered)され、登録済みデバイス PRT が取得されます。 この PRT があることによってデバイス属性(device claim)を条件付きアクセスが評価できるようになるため、ここでは [はい] を選択します。
注意: [いいえ] を選択した場合、デバイスが Entra ID に登録されず、PRT が取得されません。その結果、条件付きアクセスでデバイス属性の評価ができなくなり、デバイスフィルターの設定が機能しなくなる可能性があり、本シナリオの構成が正常に動作しなくなります。
その後、プロファイル作成のための確認ウィザードが進みます。
アカウントの選択が求められた場合は、委託元のアカウントを選択します。
委託元テナントへのサインインが完了しました。
その結果、Edge ブラウザにプロファイルが追加されました。
効果
MAM ポリシーが適用されることで、今回のポリシー構成によりユーザー操作がブロックされるようになりました。タイピングによる直接の入力はもちろん妨げられません。
-
コンテンツのコピー
-
コンテンツのダウンロード
-
コンテンツの貼り付け
-
コンテンツのアップロード
-
コンテンツの印刷
次の2つは、MAM 制御が適用されているときに、既定で適用される設定です。
-
コンテンツのハードコピー
※ スクリーンショットの採取を実行するとブラウザ画面が真っ黒に塗りつぶされます -
開発者ツールの利用
最後に
本稿では Windows での Edge ブラウザに対する MAM アプリ保護ポリシー の紹介に焦点を当ててまとめています。実運用では、このほかにも Edge ブラウザの設定そのものなど考慮すべき事項があります。 それらを網羅的に検討して Edge ブラウザを用いた "Secure Enterprise Browser" 環境を構成するための参考情報として、こちらをぜひ参照ください。
また、上記参考ページで言及している「データ保護フレームワーク」および「Level 1/2/3」については、こちらのページを参照ください。このフレームワークは Intune アプリ保護ポリシーを運用いただくにあたっての参照モデルとして定義されたものですので、参考にご覧ください。
アプリ保護ポリシーを使用したデータ保護フレームワーク
本稿が皆様の参考になりましたら幸いです。
-- End of File --