Windows 情報保護 (WIP)

注 Windows 情報保護 (WIP) ポリシーは、Windows 10 バージョン 1607 以降に適用できます。

WIP は、組織によって定義されたポリシーを適用することによって、組織に属するデータを保護します。 アプリがこれらのポリシーに含まれている場合、アプリによって生成されるすべてのデータはポリシー制限の対象となります。 このトピックは、ユーザーの個人データに影響を与えることなく、これらのポリシーをより適切に適用するアプリを構築するのに役立ちます。

まず、WIP とは

WIP は、組織のモバイル デバイス管理 (MDM) およびモバイル アプリケーション管理 (MAM) システムをサポートするデスクトップ、ノート PC、タブレット、電話の一連の機能です。

WIP と MDM を組み合わせることで、組織は組織が管理するデバイスでのデータの処理方法をより詳細に制御できます。 ユーザーがデバイスを職場に持ち込み、組織の MDM に登録しない場合があります。 このような場合、組織は MAM を使用して、ユーザーがデバイスにインストールする特定の基幹業務アプリでのデータの処理方法をより細かく制御できます。

管理者は、MDM または MAM を使用して、組織に属するファイルへのアクセスを許可されているアプリと、ユーザーがそれらのファイルからデータをコピーし、そのデータを個人用ドキュメントに貼り付けることができるかどうかを識別できます。

しくみは次のとおりです。 ユーザーは、組織のモバイル デバイス管理 (MDM) システムにデバイスを登録します。 管理組織の管理者は、Microsoft Intune または System Center Configuration Manager (SCCM) を使用して、登録されているデバイスにポリシーを定義して展開します。

ユーザーがデバイスを登録する必要がない場合、管理者は MAM システムを使用して、特定のアプリに適用されるポリシーを定義して展開します。 ユーザーは、これらのアプリのいずれかをインストールすると、関連付けられているポリシーを受け取ります。

そのポリシーは、エンタープライズ データにアクセスできるアプリを識別します (ポリシーの 許可リストと呼ばれます)。 これらのアプリは、エンタープライズで保護されたファイル、仮想プライベート ネットワーク (VPN) およびエンタープライズ データにクリップボードまたは共有コントラクトを介してアクセスできます。 このポリシーでは、データを管理するルールも定義されます。 たとえば、エンタープライズ所有のファイルからデータをコピーし、エンタープライズ所有以外のファイルに貼り付けることができるかどうかなどです。

ユーザーが組織の MDM システムからデバイスの登録を解除した場合、または組織の MAM システムによって識別されたアプリをアンインストールした場合、管理者はデバイスから企業データをリモートでワイプできます。

WIP の詳細を確認する

• Windows Information Protection の概要
• Windows 情報保護 (WIP) を使用した企業データの保護

アプリが許可リストにある場合、アプリによって生成されるすべてのデータはポリシー制限の対象となります。 つまり、管理者がエンタープライズ データへのユーザーのアクセスを取り消すと、それらのユーザーはアプリで生成されたすべてのデータにアクセスできなくなります。

これは、アプリがエンタープライズ向けに設計されている場合に問題ありません。 ただし、ユーザーが個人と見なすデータをアプリで作成する場合は企業データと個人データをインテリジェントに識別するために、アプリをする必要があります。 この種類のアプリ enterprise-enlightened と呼びます。ユーザーの個人データの整合性を維持しながら、エンタープライズ ポリシーを適切に適用できるためです。

エンタープライズ対応アプリを作成する

WIP API を使用してアプリを対応させ、アプリをエンタープライズ対応として宣言します。

アプリが組織と個人の両方の目的で使用される場合は、アプリを対応します。

ポリシー要素の適用を適切に処理する場合は、アプリを対応します。

たとえば、ユーザーが個人ドキュメントにエンタープライズ データを貼り付けることができるポリシーの場合、ユーザーがデータを貼り付ける前に同意ダイアログに応答する必要を防ぐことができます。 同様に、これらの種類のイベントに応答して、カスタム情報ダイアログ ボックスを表示できます。

アプリを対応させる準備ができたら、次のいずれかのガイドを参照してください。

C# を使用して作成するユニバーサル Windows プラットフォーム (UWP) アプリの場合

Windows 情報保護 (WIP) 開発者ガイド。

C++ を使用してビルドするデスクトップ アプリの場合

Windows 情報保護 (WIP) 開発者ガイド (C++)。

対応していないエンタープライズ アプリを作成する

個人的な使用を意図していない基幹業務 (LOB) アプリを作成する場合は、対応する必要がない可能性があります。

Windows デスクトップ アプリ

Windows デスクトップ アプリを対応させる必要はありませんが、アプリをテストして、ポリシーの下で正しく機能することを確認する必要があります。 たとえば、アプリを起動して使用し、MDM からデバイスの登録を解除します。 次に、アプリを再度起動できることを確認します。 アプリの操作に不可欠なファイルが暗号化されている場合、アプリが起動しない可能性があります。 また、アプリが対話するファイルを確認して、アプリが誤ってユーザー個人のファイルを暗号化しないようにします。 これには、メタデータ ファイル、画像、その他のものが含まれる場合があります。

アプリをテストしたら、このフラグをリソース ファイルまたはプロジェクトに追加し、アプリを再コンパイルします。

MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
    0x0001
END

MDM ポリシーではフラグは必要ありませんが、MAM ポリシーでは必要です。

UWP アプリ

アプリが MAM ポリシーに含まれることが予想される場合は、アプリを対応させる必要があります。 MDM 下のデバイスに展開されたポリシーでは必要ありませんが、組織のコンシューマーにアプリを配布する場合、使用するポリシー管理システムの種類を判断することは不可能ではないにしても困難です。 アプリが両方の種類のポリシー管理システム (MDM と MAM) で動作するようにするには、アプリを対応させる必要があります。