Intune によるデバイス管理を設計するにあたり、特に BYOD を対象に情報漏洩対策として「業務領域のスクリーンショット/スクリーンキャプチャ (画面キャプチャ) をブロックしたい!」というご要望をよく聞きます。
Android の場合は、Intune アプリ保護ポリシーに当該設定項目1があり、簡単に対応が可能です。
ただし、これまで iOS/iPadOS は当該設定がなく、構成プロファイルを使って OS 全体に対する制御としてスクリーンキャプチャ機能自体を無効にする2 or まったくなにも制御しないか、究極の選択3が必要でした。
今日も選択を迫られている現場に朗報です、仕様に動きがありました......!
2025年 1月の Intune Customer Success Blog にて、iOS/iPadOS 向けアプリ保護ポリシーにて「画面キャプチャをブロックする新しい制御が可能になった」 旨、紹介がありました。
なお、最初に共有ですが、1月末~2月頭検証時点ではまだすべてのアプリが対象では無いことが分かりましたので要注意です。
← この点含め、iOS/iPadOS アプリ保護ポリシーの画面キャプチャ ブロックの現在地をレポします!
目次
本記事は以下の構成です:
| # | 章題 | 概要 |
|---|---|---|
| 1 | 本記事の範囲 | デバイス管理方式、プラットフォーム、ライセンスなどの前提について |
| 2 | 実装イメージ | MDM+MAM、MAM only それぞれのパターンにおける構成の略図 |
| 3 | 検証 | 検証で確認できた動作と、検証時に使ったアプリ保護ポリシー設定の共有、検証時点の対応アプリご参考情報 |
1. 本記事の範囲
本記事で扱う範囲は下表の通りです:
| カテゴリ | 本記事の範囲 | 備考 |
|---|---|---|
| デバイス管理方式 | MDM+MAM でも、MAM only でもどちらでも可 | 条件付きアクセスポリシーとアプリ保護ポリシーを使うことが最小要件です |
| デバイス プラットフォーム | iOS/iPadOS 16以降 | Intune がサポートする OS バージョンに準拠します4 |
| 実装する制御 | 業務領域のスクリーンショット/キャプチャ (画面キャプチャ) ブロック | アプリ保護ポリシーが適用された業務アプリのスクリーンショット/キャプチャ (画面キャプチャ) をブロックします |
| 必須ライセンス | Intune P1, Entra ID P1 | アプリ保護ポリシーに Intune P1 、MAM 登録の入り口 & 制御として条件付きアクセスを使うので Entra ID P1 が必要です |
| 任意のライセンス | Microsoft 365 Apps for ent/bus、Teams など (アプリ利用に必要なライセンス、アプリの裏のサービス利用に必要なライセンス) | 本記事の検証では、自前でラッピングしたアプリではなく、Microsoft 標準のアプリを利用しました |
2. 実装イメージ
今回 iOS/iPadOS の「業務領域の画面キャプチャ ブロック」を実装する際のデバイス管理方式は、MDM+MAM でも、MAM only でもどちらでも可です。
どちらであっても、最小構成は以下 2つのポリシーを使うことになります。
-
Entra ID 条件付きアクセスポリシー:
アクセス許可条件として「アプリの保護ポリシーが必要」を要求する -
Intune アプリ保護ポリシー:
「他のアプリに組織データを送信」項目にて「すべてのアプリ」(既定値)以外の値を選択する
あとは任意で、MDM 登録している場合はコンプライアンスポリシーや構成プロファイル、MAM only の場合は必要に応じてアプリ構成ポリシーが使えます。
a) MDM+MAM
デバイスを Intune に MDM 登録し、さらに MAM によるアプリ保護・管理も実施するパターンです。
(勇気を出して簡略化した図を載せてみました。いや端末の領域図示が雑すぎだろとかご指摘は甘んじて受けます オテヤワラカニ)
MDM+MAM 構成例
以前、端末登録まわりの動作~裏側のテナント設定について記事にしましたので、ご参考にどうぞ!
← こちらの記事内では条件付きアクセスポリシーの具体的設定値について深堀しませんでしたが、すでに素敵公開記事があるのでこちらもご参考にどうぞ!
b) MAM only
デバイスは Intune に MDM 登録せず、MAM によるアプリ保護・構成のみ実施するパターンです。
MAM only 構成例
先述の通り最小構成は 条件付きアクセスポリシー+アプリ保護ポリシー です。
条件付きアクセスポリシーは、こちらの素敵公開情報が参考になりますのでどうぞ!
なお、記事内に記載がありますが「承認済みのクライアントアプリ」許可条件は 2026 年 3 月上旬に廃止予定のため、現在新規で作成するポリシーではほとんど使いません。
3. 検証
以下、当環境で検証した際の動作とテナント側設定をまとめます。
また冒頭に記載した通り、まだすべてのアプリが対象では無いため、どのアプリが対象かについてご参考情報をまとめます。
1) 動作確認
アプリ保護ポリシーが適用された保護済みの対応アプリ上では、スクリーンショットとスクリーンキャプチャがどちらも黒塗りになる (真っ黒の画面になり、実質データをキャプチャできない) という動作になりました。
(Word, Excel, PowerPoint では、ホーム画面はキャプチャできるが組織データ画面に移るとキャプチャできなくなるという動作になりました。)
スクリーンショット
真っ黒です。(以前検証した Android と同じ動きになりました🎉)
スクリーンキャプチャ
GIFの背景まで黒で見づらい動画になってしまいすみません....
キャプチャ中、人間の目には画面ががっつり見えているのですが、あとで保存した動画ファイルを見ると業務データがきれいに黒塗りになっていました。
比較用:非対応アプリ上の画面キャプチャ
同じデバイスで同じアプリ保護ポリシーが適用された、画面キャプチャ制御非対応 (後述) の Microsoft To-Do 上では、以下のように特に制御されずスクショ、キャプチャの取得が可能です。
最初、To-Do も Word などと同じようにホーム画面はキャプチャできるが~のパターンか?と思い、リストを作ったり組織のユーザーを招待したりしたのですが、キャプチャ制御がかからない動作は変わりませんでした。
のちに Intune 管理センター上でモニター画面を見ると SDK バージョンが見るからに低く、非対応アプリだと分かりました。
2) ポリシー設定
まず、Intune の iOS/iPadOS 向けアプリ保護ポリシーの 「他のアプリに組織データを送信 (Send org data to other apps)」 項目にて 「すべてのアプリ (All Apps)」(既定値)以外の値を選択する必要があります。
(次に、このアプリ保護ポリシーが適用されたアプリ側が画面キャプチャ ブロックに対応している必要があります。こちらは次セクションで後述します。)
現場の体感としては、「他のアプリに組織データを送信 (Send org data to other apps)」項目の値としては「ポリシーで管理されているアプリ (Policy managed apps)」が一番人気です。
(保護されているアプリ間でのみデータ送信を許可する構成)
← テナントに既存のポリシーがすでにこの構成になっている場合は、特に変更を加えずとも対応しているアプリ (後述) から順次、画面キャプチャ ブロックを享受できます!
画面キャプチャ ブロック(既定動作) の無効化
「他のアプリに組織データを送信 (Send org data to other apps)」 項目にて 「すべてのアプリ (All Apps)」(既定値)以外の値が選択されている場合、対応アプリ (後述) では画面キャプチャ ブロックが既定の動作となります。
逆に画面キャプチャをブロックしたくない (でもデータ送信先を制御したい) 場合はどうするか? ですが、この場合はアプリ構成ポリシーを使って「画面キャプチャ ブロック」を「無効化」することができます。
ご参考に、当環境で使ったアプリ保護ポリシー設定は以下です:
アプリ保護ポリシー構成サンプル(長いので折りたたみました。左端の ▶ をクリックして展開)
| # | 大項目 | 中項目 | 小項目 | 既定値 | 設定値 (例) | 備考 |
|---|---|---|---|---|---|---|
| 1 | 基本 | 名前 | ― | ― | iOS/iPadOS APP (Capture Block) | 直観的に分かりやすい名前 (主観) を採用。 |
| 2 | 基本 | 説明 | ― | ― | スクリーンショット/キャプチャブロックの検証 | 直観的に分かりやすい説明 (主観) を採用。 |
| 3 | 基本 | プラットフォーム | ― | iOS/iPadOS | iOS/iPadOS | iOS/iPadOS 向けに構成する。 |
| 4 | アプリ | ポリシーの対象 | ― | 選択されているアプリ | すべての Microsoft Apps | アプリ保護ポリシーがサポートする Microsoft 製アプリをとりあえず全部保護する。 |
| 5 | データ保護 | データ転送 | iTunes と iCloud のバックアップに組織データをバックアップ | 許可 | ブロック | 一般にクラウドストレージへの業務データバックアップはブロックする構成が人気のため定石にならう。 |
| 6 | データ保護 | データ転送 | 他のアプリに組織データを送信 | すべてのアプリ | ポリシー マネージド アプリ | 今回の検証ではここの値は既定値(すべてのアプリ)以外に構成することが必須! |
| 7 | データ保護 | データ転送 | 除外するアプリ | {記載割愛} | {記載割愛、既定値から変更なし} | このあたりは実案件でも特に要件が無いことが多い。 |
| 8 | データ保護 | データ転送 | 除外するユニバーサル リンク | {記載割愛} | {記載割愛、既定値から変更なし} | 同上 |
| 9 | データ保護 | データ転送 | 管理対象ユニバーサル リンク | {記載割愛} | {記載割愛、既定値から変更なし} | 同上 |
| 10 | データ保護 | データ転送 | 組織データのコピーを保存 | 許可 | ブロック | データ保存は基本ブロックする。 |
| 11 | データ保護 | データ転送 | 選択したサービスにユーザーがコピーを保存することを許可 | 0項目 | OneDrive for Business, SharePoint Online | 組織領域には例外的に許可する。 |
| 12 | データ保護 | データ転送 | 電話通信データの転送先 | 任意の電話アプリ | 任意の電話アプリ | 生産性確保のため任意を許容。 |
| 13 | データ保護 | データ転送 | ダイヤラー アプリ URL スキーム | (空値) | (任意アプリ選択時構成不可) | ― |
| 14 | データ保護 | データ転送 | メッセージング データの転送先 | 任意のメッセージング アプリ | 任意のメッセージング アプリ | 生産性確保のため任意を許容。 |
| 15 | データ保護 | データ転送 | メッセージング アプリ URL スキーム | (空値) | (任意アプリ選択時構成不可) | ― |
| 16 | データ保護 | データ転送 | 他のアプリからデータを受信 | すべてのアプリ | すべてのアプリ | 「個人領域からのアップロードを制限する」要件が無い限りここは既定値を採用する。 |
| 17 | データ保護 | データ転送 | データを開いて組織ドキュメントに読み込む | 許可 | 許可 | 同上 |
| 18 | データ保護 | データ転送 | 選択したサービスからデータを開くことをユーザーに許可する | 4項目 (OneDrive for Business, SharePoint, カメラ, フォトライブラリ) | 4項目 | 同上 |
| 19 | データ保護 | データ転送 | 他のアプリとの間で切り取り、コピー、貼り付けを制限する | 貼り付けを使用する、ポリシー マネージド アプリ | 貼り付けを使用する、ポリシー マネージド アプリ | 保護アプリ間でのみデータコピペを許可する。データ受け入れのみ他アプリ経由を許容する。 |
| 20 | データ保護 | データ転送 | あらゆるアプリの切り取りとコピーの文字制限 | 0 | 0 | このあたりは実案件でも特に要件が無いことが多い。 |
| 21 | データ保護 | データ転送 | サード パーティのキーボード | 許可 | 許可 | このあたりは実案件でも特に要件が無いことが多い。 |
| 22 | データ保護 | 暗号化 | 組織データを暗号化 | 必要 | 必要 | 暗号化してデータを保護する。 |
| 23 | データ保護 | 機能 | ポリシー マネージド アプリ データとネイティブ アプリまたはアドインの同期 | 許可 | ブロック | 基本ブロックの姿勢。 |
| 24 | データ保護 | 機能 | 組織データを出力する | 許可 | ブロック | 出力は基本ブロック。 |
| 25 | データ保護 | 機能 | その他のアプリでの Web コンテンツの転送を制限する | 任意のアプリ | Microsoft Edge | 保護しているEdgeにのみ転送を許可する。 |
| 26 | データ保護 | 機能 | アンマネージド ブラウザー プロトコル | (空値) | (構成不可) | ― |
| 27 | データ保護 | 機能 | 組織データの通知 | 許可 | 許可 | ユーザーが必要に応じて通知設定可能な構成に。 |
| 28 | アクセス要件 | アクセスに PIN を使用 | ― | 必要 | 不要 | 今回はMDM+MAMの構成を採用しており、デバイス側でPINを構成しているためアプリ毎のPINは割愛することに。 |
| 29 | アクセス要件 | アクセスに職場または学校アカウントの資格情報を使用 | ― | 不要 | 不要 | ここは特別な要件が無い限り既定値。 |
| 30 | アクセス要件 | 非アクティブの時間(分)後にアクセス権を再確認します | ― | 30 | 30 | 同上 |
| 31 | 条件付き起動 | アプリの条件 | オフラインの猶予期間 | 1440; アクセスのブロック (分) | 1440; アクセスのブロック (分) | 同上 |
| 32 | 条件付き起動 | アプリの条件 | オフラインの猶予期間 | 90; データをワイプ (日) | 90; データをワイプ (日) | 同上 |
| 33 | 条件付き起動 | デバイスの条件 | 脱獄またはルート化されたデバイス | アクセス禁止 | アクセス禁止 | 同上 |
| 34 | スコープタグ | ― | ― | 既定 | 既定 | 特にRBACする必要もない検証環境のため「既定」のタグを利用。 |
| 35 | 割り当て | 組み込まれたグループ | ― | (空値) | {検証用ユーザーグループ} | アプリ保護ポリシーはユーザーグループ割り当て (デバイスグループ割り当てはサポート外)。検証用のユーザーがメンバーのグループを選択する。 |
3) 対応アプリ
画面キャプチャ ブロックを実装するには、先述の構成のアプリ保護ポリシー適用に加え、アプリ側が以下の条件を満たす必要があります。
- Xcode 15 でビルドされたアプリの場合:Intune App SDK バージョンが 19.7.6 以降であること
- Xcode 16 でビルドされたアプリの場合:Intune App SDK バージョンが 20.2.1 以降であること
つまりは Intune App SDK が 19.7.6 以下のアプリでは画面キャプチャ ブロックが使えず、SDK バージョンが上がるのを祈り待つ必要があります。
(Intune App Wrapping Tool を使っている開発者面々は自分で実装:Plan for Change: Blocking screen capture in the latest Intune App SDK for iOS and Intune App Wrapping Tool for iOS、Take Action: Update to the latest Intune App SDK for iOS and Intune App Wrapping Tool for iOS)
気になる「どのアプリがどの Xcode でビルドされてどの App SDK バージョンなのか?」ですが、Microsoft Intune サポートに問い合わせたところ (2025年1月末)、残念ながらサポート部門にはアプリに実装されている SDK 情報が無いそうで、おのおの手元の環境で動作検証して実装状況を確認する必要があるとのことでした。
こちら App SDK のバージョンですが、アプリ保護モニターの「iOS SDK version」列で確認することができました。
(↓ アプリ保護モニター:アプリ保護ポリシーを監視する方法)
これを頼りに動作確認したところ、以下の結果になりました。(2024年2月4日時点)
| アプリ名 | アプリバージョン | iOS SDK バージョン | スクリーンショット/キャプチャ ブロック結果 |
|---|---|---|---|
| Microsoft Outlook | 4.2503.0 (34127152) | 20.2.2 | OK (ブロックされる) |
| Microsoft OneNote | 16.93 (16093000.25011023) | 19.7.6 | OK (ブロックされる) |
| Microsoft Teams | 7.1.0 (100772025015001) | 19.7.9 | OK (ブロックされる) |
| Microsoft To-Do | 2.137.1 (250115.1149) | 19.3.1 | NG (ブロックされない) |
| Microsoft SharePoint | 4.53.5 (20241117.01) | 19.7.1 | NG (ブロックされない) |
| Microsoft Loop | 2.93 (2.93.25010612) | 19.7.6 | OK (ブロックされる) |
| Microsoft 365 (Office) 5 | 2.93 (2.93.25011032) | 19.7.6 | OK (ブロックされる) |
| Microsoft PowerPoint | 2.93 (2.93.25011023) | 19.7.6 | OK (ブロックされる) |
| Microsoft Excel | 2.93 (2.93.25011023) | 19.7.6 | OK (ブロックされる) |
| Microsoft OneDrive | 16.3.5 (16.3.5) | 20.2.0 | OK (ブロックされる) |
| Microsoft Edge | 132.2957.122 (132.0.2957.122) | 19.7.8 | OK (ブロックされる) |
| Microsoft Word | 2.93 (2.93.25011023) | 19.7.6 | OK (ブロックされる) |
「NG (ブロックされない)」結果となった To-Do と SharePoint アプリは、SDK バージョンが 19.7.6 以下であるという共通点があります。
また、アプリバージョンが低いと相対的に SDK バージョンも低くなる (逆もまた然りで、アプリバージョンを更新して上げると SDK バージョンも更新されて上がる) という結果になりました。
「OK (ブロックされる)」結果になったアプリも、アプリバージョンが低いと SDK バージョンが前提を満たさずに画面キャプチャブロックができないが、アプリを更新すると SDK バージョンを満たして画面キャプチャがブロックされるようになったものがありました。
例えば Microsoft Edge ですが、Microsoft Intune サポートによると アプリバージョン 131.2903.76 以降で画面キャプチャ ブロックを使えるそうです。
実際検証した際、元からデバイスにインストールされていたバージョン 127.2651.81 の Edge では画面キャプチャ ブロックされず (NG)、その後 App Store から更新してバージョン 132.2957.122 に上げると画面キャプチャ ブロックされる (OK) ようになりました。
なお、今回検証にあたって、端末は iPhone 15 (OS バージョン:18.1.1) と、別途 iPad Air 第5世代 (OS バージョン:16.6) を使いました。
ちなみにですが、Microsoft Intune サポートによると、OS 側のバージョン要件は無いそうです。
さいごに
以上、Intune で iOS/iPadOS 業務領域の画面キャプチャをどこまで制限可能かを確認しました。
まだ一部アプリは対応していないものの、今後アプリバージョンが上がっていくにつれ App SDK も上がりますし、徐々に対応範囲が進むのはほぼ確実と思います。
(それまで、組織で展開・管理しているすべてのアプリが対応していない間は構成プロファイル頼りでキャプチャ制御を実装することになりますが。)
これまで、おもに BYOD の端末管理において、「本当はユーザーの私物端末だし MAM only で業務アプリだけ制御したい (端末全体は制御したくない) けど、MAM only で実装できる制御が心もとないからできないんだよね~」 という場面に私自身何度も遭遇したことがあります。
実際 MDM 併用に踏み切る場合は、画面キャプチャブロック以外にもパスワード要件や端末個体識別など複数のメリットを考慮して採用することがほとんどだと思うので、今回の画面キャプチャブロック仕様更新がすべての悩みを解決できるわけではないですが、それでも画期的進化だと感じます。
Intune の機能開発は、デバイスのプラットフォーム上で実装可能な範囲でのみ可能なため、基本的にプラットフォーム差異は避けられません。
特に BYOD 設計では Android と iOS/iPadOS をセットで同じ方針で管理したい、という期待がありがちですが、プラットフォーム差異が原因で若干異なる実装・挙動になることもまたアルアルですよね。
そんななか、現場でも人気の高い (体感)「業務領域の画面キャプチャブロック」が Android と同様に iOS/iPadOS でもアプリ保護ポリシーで対応できるようになったのは、正直助かるなと思いました。
今後もさらなる進化に期待ですね!
-
Android アプリ保護ポリシー該当項目: 「スクリーン キャプチャと Google アシスタント」を「ブロック」に構成 (Screen capture and Google Assistant: Block)(参考:Microsoft Intune の Android アプリ保護ポリシーの設定) ↩
-
iOS/iPadOS 構成プロファイル該当項目:「デバイスの制限」プロファイルテンプレートにて、「スクリーンショットと画面の記録をブロックする」を「はい」に構成 (Block screenshots and screen recording: Yes) (参考:Intune を使用した機能を許可または制限するための iOS および iPadOS デバイスの設定) ↩
-
BYOD (ユーザーの私物デバイス) を管理する場合、構成プロファイルでOSレベルの制御を実装してしまうと私物端末の仕様利用時も適用される強い制御になってしまいます。セキュリティを取るか自由を取るか、究極の選択に....! ↩
-
Intune がサポートする OS とそのバージョン:Supported operating systems and browsers in Intune ↩
-
Microsoft 365 (Office):2025年 2月現在、App Store および iOS ホームスクリーン上では「M365 Copilot」表記になっています。(アプリ保護モニター上では旧称の「Microsoft 365 (Office)」表記になっていました。) ↩