今年の Ignite にて、ついに Windows MAM が managed device 適用をサポートすることが発表されました🎉
待望のサポート拡大ですので、本記事では感想を交えつつその発表内容をなぞりたいと思います。
Windows MAM の進化
- 参考:
今回発表された新機能は、大きく以下の 2点です!
以下にそれぞれ振り返ります。
1. Managed device サポート
ついに Edge for Business の Windows 向けアプリ保護ポリシー (通称 Windows MAM) にて MDM 登録済みデバイスへの適用が可能になります!(パブリックプレビュー)
これまでは MAM-only での利用のみサポートされており、自組織や他組織の MDM に登録されたデバイスに Edge のアプリ保護を適用することができませんでした。
iOS/iPadOS, Android 向けのアプリ保護ポリシーでは組織所有デバイスのアプリ保護は人気の構成で、Windows MAM は対応アプリが Edge のみというだけでなく組織所有デバイスへの適用ができない点も大きな機能差異でした。
ちなみに、Demystify~ のセッションでは主に他組織の MDM 登録済みデバイスに適用できる点を推していました。契約社員やコンサルタントなど、複数組織に所属するユーザにて重宝されるシナリオと Microsoft は考えているようです。
単純に自組織のセキュリティを強化できるという点だけとってみてもメリットのある機能だと思いますが、たしかに複数デバイス貸与の重み (物理) はしんどいですからね...
2. OneDrive 保存
そして今回発表されたのは MDM サポートだけでなく、ダウンロードが OneDrive for Business に保存されるという新動作です。
情報漏洩対策のため個人領域へのデータ送信をブロックしたい場合、これまではダウンロード自体を禁止するしかありませんでした。
個人的には、別にダウンロードしなくても SPO 上で直接作業すればいいのでは (ファイル分けるなどして) と思っており、まだあまりピンと来てはいませんが、選択肢としてはアリかなと思います。
(画像出典(上下):Edge for Business presents: the world’s first secure enterprise AI browser の埋め込み動画より)
さいごに
Windows MAM 登場当時から MDM サポートが欲しいという意見は多く、満を持しての登場になりました。
私も Windows MAM は好きな機能で、進化を楽しみにしていたので感無量です!
過去記事紹介
Windows MAM の登場を祝う記事あります✨
アプリ利用制限の実装をおすすめします
拙過去記事の検証環境では BYOD 検証機に Microsoft 365 Apps がインストールされていませんでした。
実際はインストールされている場合が多いかと思いますので、M365 利用の間口をブラウザに絞るためクライアントアプリ利用制限を条件付きアクセスポリシーを使って実装しておくことをお勧めします。
ご参考までに以下に構成を走り書きします。
(もしキャプチャの需要がありそうでしたらぜひコメント欄にてお知らせください!)
-
実装イメージ:
- ターゲットリソース:Office 365
- デバイスプラットフォーム:Windows
- クライアント:モバイルアプリとデスクトップクライアント
- デバイスフィルタ:Entra joined やEntra hybrid joined を選択し、managed デバイスを除外します
- アクセス制御:ブロック
なお、今回の Ignite もこうした既存機能のアプデ含めワクワクする情報が目白押しでした。
もうすべてを記事にすることはできないとあきらめはじめています... (白目)
ちなみに個人的ハイライトは Security Copilot agents の進化でした。
こちらは別途記事にしましたのでもしご興味ありましたらぜひこちらもどうぞ!
Security Copilot agents の進化
記事にしました!
構成の幅が広がった Windows MAM、みなさまのニーズに応える機能になったでしょうか。もしよければぜひコメントで教えてください🐣