本記事について
本記事は、Microsoft Top Partner Engineer’s Advent Calendar 2023 において作成された記事です。
先日、日本マイクロソフトの「Microsoft Top Partner Engineer Award」の4カテゴリのうち、Security と Modern Work に受賞させていただきました。
その感謝の気持ちを込めて、本記事を執筆させていただきました。
Windows の MAM における 過去の経緯
Windows 10 までのクライアント環境上のアプリケーションの企業データを制御するためには、「Windows Information Protection」(Windows 情報保護:WIP)を利用するケースでした。
しかし、Microsoft は 2022年7月 非推奨の機能として、今後のWindowsのバージョンでは開発の停止と以降の検討を案内しています。
Windows Information Protection は、今後のWindowsのバージョンでは開発されません。
Deprecated features in the Windows client – What’s new in Windows | Microsoft Learn
詳細については、Windows 情報保護 (WIP) の終了を発表しました を参照してください。
データ保護のニーズに対しては、Microsoft Purview Information Protection と Microsoft Purview Data Loss Prevention を使用することをお勧めします。
注:「Microsoft Defender Application Guard for Office」も 2023年11月 に非推奨リスト入りしています。
※ 本機能は、個人的にも利用しており非常に驚きました。
Microsoft Defender Application Guard forOffice は非推奨となり、更新されなくなります。
Deprecated features in the Windows client – What’s new in Windows | Microsoft Learn
この非推奨には、Microsoft Defender Application Guard for Office で使用されているWindows.Security.Isolation API も含まれます。
Protected View および Windows Defender Application Control とともに、Microsoft Defender の エンドポイント攻撃面削減ルール への移行をお勧めします。
このように、企業が保護したいアプリケーションである、Microsoft 365 Apps や Edge などの OSに実装される制御技術が大きく更新されようとしています。
こうした流れの中で、Microsoft Ignite 2023 において、Windows向けモバイルアプリケーション管理(MAM)の一般提供(GA)がアナウンスされました。
Windows 10 を利用する人へ
まず、今も多くの企業で利用している Windows 10 に ついては、すでに 22H2 以降の機能拡張は行われませんので、本記事で取り扱う MAM for Windows の対象ではありません。
企業はすでに移行済みまたは、これから移行するであろう Windows 11 の採用時にこそこれらの更新された機能の採用を検討してください。
しかしながら、これから説明する機能は プレビュー 機能を含むため導入時までの間に機能的な変更が行われる可能性がある事に留意してください。
MAM for Windows とは何か
Windows Information Protection は、Windows OS上のアプリケーション間のデータのコピー&ペースト、印刷、保存といったデータ制御の仕組みを持っていました。
現在これと同様の機能を持つものが、MAM for Windows であるように考えられます。
デモ をいち早く見たい方は、以下のMicrosoft が用意した動画を確認してみて下さい。
MAM for Windows の利用条件
MAM for Windows は、Windows 11 22H2 以降 のOSバージョンで利用することができる機能です。
また、現時点で利用することができるアプリケーションは、Microsoft Edgeのみ(安定(Stable)チャネル v117以降が必要)です。
注:このバージョンは、2023年9月15日にリリースされたバージョンです。
注:その他 セキュリティセンターのバージョンなど細かな前提があります。
おそらく、Android や iOS でもそうだったように、Microsoft 社製のアプリケーション の 多くが 今後 MAM for Windows 対応していくのではないかと考えられます。
注:なお、MAM for Windows を利用する特別な追加ライセンス要件は無いようです。
現在のユースケースの想定
MAM for Windows は驚くことに、BYODのシナリオを想定して提供されています。
そのため、Windows 上で動作する Edge の 組織ログインの機能を利用して実現します。
この機能により、利用者は、個人の端末上であってもデータが Microsoft Edge for Business ブラウザで保護されます。
Microsoft Edge for Business とは?
Microsoft Edge for Business は、従来の Microsoft Edge に管理機能やセキュリティーが強化された企業向け仕様のブラウザとして2023年9月にバージョン117 から提供されている機能です。
ブラウザの上部にあるプロファイルを切り替えることで、組織のデータにアクセスできるアカウント情報を持つことができるようになりました。
Edgeのサイドバーから利用できる Copilot(旧称Bing Chat Enterprise) も データ保護機能によって制御されます。
MAM for Windows と Intune の関係
Android や iOS で MAMによるデータ保護 を導入したことがある方からすると、Windows では大きくIntune の MAM の機能で可能なことに違いを感じていたと思います。
今回、MAM for WIndows を利用する場合、BYOD デバイス の Intune への デバイス登録は不要 なようです。
MAM による 制御を行うのに、デバイス登録をせずにデータをどのように制御するのかが非常に気になるかと思います。
Intune に デバイス登録されている場合
管理されたデバイスである場合、ポリシーは適用されません。
注:個人的には、企業の提供した登録済みデバイスでも同様に本機能を有効にしたいと考える管理者が多いのではないだろうか。一部似た機能は、Endpoint DLPでの実装があるが今後どうなるのかが気になります。
MAM for Windows の 設計
ここまで読み進めてくれた人の多くは、BYOD(個人デバイス)での利用限定と聞いてがっかりしたのではないだろうか。
それでも、興味を持ってくれた人のために、設計について語っておきたい。
MAM for Windows は、その個人端末上で「Microsoft Edge for Business」として利用するアプリの起動条件を定義することができる。
これは、Android や iOS でも同様に利用することができた、条件付き起動 と呼ばれる機能である。
管理者は、組織データにアクセスするために必要なデバイス条件を定めることでユーザーの端末が安全であることをチェックすることができる。
また、アプリケーション上でのデータアクセスの制御を指定することができる。
とはいえ、制御可能な項目はそれほど柔軟ではないので、今後の機能アップデートに期待したい部分である。
Intune へのデバイス登録を行わずに利用する機能であるにもかかわらず、コンプライアンスポリシーに代替する機能が提供されている。
その他、条件付きアクセスでのアクセス条件の指定が必要です。
最後に
これまで、MAM という領域においては、Microsoft は WIP 以上の制御を提供できていない。
そのため、多くの企業の管理者がどうすればよいかを悩ませていたと感じています。
MAM for Windows は BYOD向けの機能からのスタートではあるけれど、今後の発展に期待をしたいところです。
