データ保護とセキュリティのニーズは、特にリモートワーク、現場従業員の増加、BYOD と境界のない労働文化の急速な導入により進化しています。 Windows のラップトップおよびデスクトップは、個人の使用スペースだけでなく企業でも非常に人気があります。
BYO PC (従業員所有の Windows コンピュータおよびラップトップ) が企業ネットワークやインフラストラクチャの外部で動作すると、これらのデバイス上の企業データのセキュリティが危険にさらされます。
ここで、企業データを保護するために Microsoft Windows 情報保護ポリシーが役立ちます。
この記事では、Windows 情報保護 - WIP for Enterprise Data Protection について詳しく説明します。
Microsoft Windows 情報保護 (WIP) とは何ですか?
Windows 情報保護は、組織とそれに続く IT チームが、全体的なユーザー エクスペリエンスを妨げることなく、主に従業員が所有するデバイス上の企業データを保護するのに役立つ一連のポリシーです。これが、企業環境で Windows が多用される主な理由です。
以前は Enterprise Data Protection (EDP) と呼ばれていた Microsoft Windows Information Protection (WIP) は、Windows 10 周年記念アップデートとともに導入され、 Windows 10の最新の管理.
Windows 情報保護または WIP の意味を定義する場合、ほとんどの場合、従業員が所有する Windows デスクトップおよびラップトップに関連付けられます。
ただし、Windows は所有権に依存しないオペレーティング システムであることを理解することが重要です。つまり、Windows 情報保護 (WIP) は次の目的にも使用できることを意味します。 企業データを安全に保護する 100% 企業所有の完全に管理されたデバイス上で。
WIP – Windows 情報保護を使用する理由?
ビジネスで使用される個人の Windows デバイスの数は急激に増加しています。一部の組織は従業員が個人のデバイスを仕事に使用することに完全に依存していますが、多くの組織は従業員のデバイスの部分的な使用を許可し、依存しています。これは、週末にタスクを完了したり、緊急事態に対処したり、リモートで作業したりする場合などです。
職場 (オンプレミスまたはリモート) での従業員所有のデバイスの増加により、企業のデータ セキュリティに関する懸念が増大しています。
従業員が個人のコンピュータでアクセスする多くの Web サイトやアプリの 1 つを介してデータが誤って漏洩するリスクが増大していることが、企業が WIP を必要とする主な理由です。
また、 意図的な侵害から企業データを保護します 従業員が、ソーシャル メディア、共有、パブリック クラウド ストレージにもアクセスできるデバイス上で企業データにアクセスしているときに、この攻撃が試みられました。
WIP ポリシーの利点は、コンピューターのユーザー エクスペリエンスを追い越したり重複したりしないことです。を使用して制御される完全に管理されたデバイスとは異なり、 エンタープライズモビリティ管理 IT 管理者がビジネス以外の無許可アプリへのアクセスをブロック/制限するツールを使用すると、Windows 情報保護ポリシーは、従業員の個人用デバイスの管理とプライバシーと同期して機能します。
Windows 情報保護 (WIP) の利点は何ですか?
- 従業員のデバイス上の企業データを保護する
- 既存のエンタープライズ環境とアプリに変更がないことを保証する
- Windows 本来のユーザー エクスペリエンスを促進する
Windows 情報保護 (WIP) を使用したエンタープライズ データ保護
WIP の主なアイデアは、従業員のデバイス上の企業データを保護するだけでなく、従業員のデバイス上の企業データと個人データを分離し、企業データに対してデータ保護ポリシーを選択的に適用することです。
これにより、企業のセキュリティ体制を維持しながら企業データが保護される一方、従業員の個人データは影響を受けません。
WIP がどのような影響を与えるかを見てみましょう。
企業データ
WIP は、従業員のデバイス上の企業データに企業タグまたは ID を追加し、事前定義された企業ソースからデータをダウンロード、保存、または取得するときにデータを自動的に暗号化します。
これらのソースには、企業アプリ、企業ネットワーク、保護された企業ドメインが含まれます。これらのソースから流入するデータはすべて、WIP を使用して暗号化されます。
IT 管理者は WIP ポリシーを定義し、ファイルのコピーを防止できます。 企業データ それを個人のアプリ/データに貼り付けます。企業データ ファイルには、保護されたアプリ経由でのみアクセスでき、保護されていないアプリからはアクセスできません。
個人データ
従業員の個人データは、Windows 情報保護 (WIP) ポリシーの適用に妨げられず、影響も受けません。
組織が退職したデバイスまたは組織に関連付けられなくなった従業員のデバイスの WIP ポリシーを無効にしても、個人データはそのまま残ります。
MDM を使用してこれらのデバイスでリモート ワイプオフが実行された場合でも、個人データはそのまま残ります。これは WIP の主な利点の 1 つです。
啓発されたアプリケーションと啓発されていないアプリケーション
2 つの基本的なアプリの種類と、Windows 情報保護に従って使用されるそれらの用語を理解する必要があります。 WIP に関して一般的に参照されるアプリには、Enlightened アプリケーションと Unenlightened アプリケーションの 2 種類があります。
強化されたアプリ:
これらは、企業データと個人データを区別できるアプリです。 MS Word、MS Excel、MS PowerPoint、MS OneNote、MSOutlook などの Microsoft Office 365 ProPlus アプリは、啓発されたアプリです。
啓発されていないアプリ:
これらは、企業データと個人データを区別できないアプリです。非啓発アプリの一般的な例は、Gmail や Google です。 Chromeブラウザ.
IT 管理者は WIP ポリシーを作成する際に、許可されていないアプリを許可されたアプリとして選択しますが、これらのアプリを介して企業データにアクセスできます。非対応アプリは、デバイス上のすべてのデータを企業データとして扱い、暗号化します。
これには従業員の個人データも含まれます。 Windows 情報保護 (WIP) ポリシーにより、非対応アプリが業務運営に必要な場合、データが常に暗号化されることが保証されます。
WIP 設定で企業データのみが暗号化されるようにしながら、対応アプリのみを許可することをお勧めします。これにより、Windows 10 でクライアント情報を保護する方法、または Windows で機密情報を保護する方法に関する一般的な懸念が解決されます。
管理対象アプリ:
これらは、エンタープライズ コンテキストのデバイス上で実行されるアプリです。これらは従業員が有効にする個人用アプリではないため、IT 管理者が許可する必要があります。これらのアプリは、企業アプリまたはエンタープライズ アプリとも呼ばれます。
Windows 情報保護の使用例
Windows 情報保護の最も一般的な使用例は次のとおりです。 BYODデバイス。たとえば、ユーザーはいくつかの企業ドキュメントや画像にアクセスできます。
同じ PC 上で、Windows 情報保護 (WIP) を使用せずに、企業ドキュメントを個人用クラウド ストレージにアップロードしたり、ソーシャル メディアを使用して共有したりできます。
あるいは、従業員が個人の電子メールでビジネス上の機密情報を共有し、データ攻撃者を招く可能性があります。同様に、ユーザーはエンタープライズ アプリケーションを使用して個人ファイルを開くことができます。
Scalefusion MDM を使用した Windows 10 デバイスの WIP のセットアップ
このセクションでは、Scalefusion で WIP を段階的に構成する方法を学習します。 Windows 10 MDM。ただし、Windows 情報保護の要件から始めましょう。
Windows 情報保護 (WIP) の前提条件
- Windows 10、バージョン1607以降
- Windows 10 Mobile、バージョン 1607 以降
- WIP セットアップ用の Scalefusion MDM ソリューション
WIP セットアップのステップバイステップ ガイド
ステップ 1: Scalefusion を開始する
Windows 10 デバイスで WIP を有効にするには、 サインアップとログイン Scalefusion MDM プラットフォームに移行します。企業 ID を使用してサインアップすることも、Azure AD 資格情報を使用してサインアップして、Azure AD に参加している設定をさらに活用することもできます。
Azure AD を使用してサインアップすると同時に、ユーザーを MDM ダッシュボードにシームレスに追加し、ユーザーに招待を送信することもできます。 登録します BYO デバイスを管理対象に含めます。
デバイスを MDM プラットフォームに登録したら、仕事用の Windows 10 デバイスの使用ポリシーの構成を開始できます。
ステップ 2: デバイス プロファイル/ポリシーの定義
ダッシュボードの「デバイス管理」セクションに移動します。 BYO PC に適用するプロファイルを作成するか、既存のデバイス プロファイルを編集します。アプリと ホワイトリスト Web サイト デバイス上でアクセスできます。
ステップ 3: Windows 情報保護 (WIP) ポリシーを作成する
設定セクションでは、Windows 情報保護をアクティブ化できます。設定をスキップすると、BYOD デバイスに設定を適用できません。 WIP モードを有効にするために利用できる詳細な設定を見てみましょう。
- 基本設定
これらの設定を行うことは必須です。
1.1 Windows 情報保護モードの保護レベルを選択できます。
- オフにすると、マネージド アプリとアンマネージド アプリの間でのデータ コピーが許可されます。
- [アクションの許可とログ記録] 設定では、コピー アクションがログに記録されます。これらのデータは、WIP 監査ログから取得できます。
- [オーバーライドとログ アクションを許可] 設定では、データのコピー中にユーザーに警告が表示されるだけで、ユーザーは設定をオーバーライドできます。
- 企業データを完全に保護するには、保護されたアプリと保護されていないアプリ間でのデータのコピーを防止するブロック設定を選択することをお勧めします。
1.2 プライマリ ドメインであるコーポレート アイデンティティを定義します。このドメインから転送されるデータは、Windows が提供する暗号化ファイル システム (EFS) を使用して常に暗号化されます。
1.3 保護されたアプリやデータ ファイルに表示される WIP ブリーフケース アイコンを非表示にするか表示するかを選択できます。従業員が特定のファイル/アプリに対して Windows 情報保護が有効になっているかどうかを確認する方法を知りたい場合は、右上隅にあるブリーフケース アイコンを確認できます。
1.4 この設定を有効にすると、デバイスから IP が無効になっている場合、またはデバイスが Scalefusion MDM に登録されていない場合に、企業データ ファイルを読み取れるようになります。
- アプリケーションターゲット設定:
これらも必須の設定です。
2.1 ここで、エンタープライズ データへのアクセスを許可する UWP または Win32 アプリを選択します。どのアプリを保護するデータとどのアプリを除外するデータを選択します。少なくとも XNUMX つのアプリケーションを選択する必要があります。たとえば、Chrome ブラウザの WIP を有効にする場合は、アプリのリストから Chrome ブラウザを選択できます。
2.2 任意のアプリに対して保護オプションを選択すると、アプリは自動暗号化/タグ付けポリシーを遵守しながら企業データにアクセスできるようになります。これらのアプリからの移動中のデータ、これらのアプリからダウンロードされたファイルはディスク上で暗号化されます。
2.3 免除オプションは、WIP と互換性がないものの、エンタープライズ データにアクセスする必要があるアプリに適しています。このオプションを選択すると、アプリは企業データにアクセスできるようになりますが、データは暗号化されないため、漏洩が発生する可能性があります。
企業データのセキュリティを確保するために、すべてのアプリを保護することをお勧めします。いずれかのアプリが企業データ ファイルを処理できない場合は、クリアではなく除外設定を選択することをお勧めします。
- 詳細設定: 一般
3.1 エンタープライズ プロキシ サーバー リストは権限があります (自動検出しない): この設定を有効にすると、ユーザーは Windows のプロキシ サーバーの自動検出をオーバーライドできます。
3.2 エンタープライズ IP 範囲リストは権限があります (自動検出しない): この設定を有効にすると、ユーザーは Windows の IP 範囲の自動検出をオーバーライドできます。
3.3 暗号化されたファイル拡張子: 常に暗号化する必要があるファイル拡張子を定義します。ファイル拡張子が定義されていない場合、自動暗号化が有効になります。カンマを使用して複数のファイル拡張子の種類を追加できます。
たとえば、デバイス上でどのタイプのビデオ ファイルも暗号化する必要がない場合、そのファイルは常に暗号化から除外されます。
3.4 保護されたドメイン名: 暗号化が自動化されるプライマリ ドメイン以外のドメインのリストを選択して追加します。これは電子メール ドメインなどです。パイプ記号で区切って複数のドメインを追加できます。
- 詳細設定: ネットワーク境界
保護されたアプリが企業データにアクセスできる場所を選択します。エンタープライズ ネットワークの場所を選択し、暗号化用のネットワーク ソースを追加します。リモート勤務の従業員の場合は、すべてのネットワーク ソースを指定することをお勧めします。 Windows 情報保護は、これらの設定を通じて、識別できないインターネット接続による企業データへのアクセスをブロックします。
4.1 エンタープライズ クラウド リソース: 保護されるものとして扱われるクラウド リソースを選択します。
4.2 エンタープライズ保護ドメイン: エンタープライズ ネットワークを形成する DNS 名を選択します。これは、IP 範囲とともにネットワーク境界を定義するのに役立ちます。
4.3 エンタープライズ IP 範囲: エンタープライズ ネットワークの IP 範囲を追加します。複数の値を追加できます。
4.4 内部プロキシ サーバー: エンタープライズ クラウドへのトラフィックのルーティングに使用するプロキシを指定します。
4.5 外部プロキシ サーバー: トラフィックを許可および保護する外部プロキシ サーバーのリストを追加します。
4.6 ニュートラル ソース: 企業の認証されたリダイレクト エンドポイントを追加します。
ステップ 4: プロファイルを更新する
プロファイル設定を保存し、デバイスに適用します。このポリシーを持つすべてのデバイスは、WIP のこれらの設定で有効になります。プロファイルをデバイスまたはデバイス グループに適用できます。
Windows 情報保護のステータスを確認する方法を知りたい場合は、Scalefusion ダッシュボードのプロファイルにアクセスして、どのプロファイルでそれが有効になっているかを確認することができます。
Windows 情報保護 (WIP) の制限事項
エンタープライズ レベルで設定を構成する前に、Windows 情報保護 (WIP) の長所と短所を比較検討することが重要です。 WIP は Windows 10 が提供する主要なデータ セキュリティ機能の XNUMX つですが、WIP には次のような制限があります。
- プライマリ コーポレート アイデンティティは、一度定義すると変更できません。
- USB ドライブ内のエンタープライズ データは、暗号化のために Windows 用 Azure Information Protection クライアント (Azure RMS) 構成に基づいて保護されたデバイスに関連付けられる必要がある場合があります。
- 直接アクセスは WIP と互換性がありません
- NetworkIsolation グループ ポリシー設定は、MDM WIP ポリシー設定をオーバーライドできます。
- Cortana (Windows 10 仮想アシスタント) が保護されたアプリとして追加された場合でも、データ漏洩が発生する可能性があります。
- WIP は、デバイスごとに 1 人のユーザーに対して最適に機能します。複数のユーザー設定の場合、2 番目のユーザーにアプリの互換性の問題が発生する可能性があります。
- 企業ネットワークからダウンロードされたアプリのインストール ファイルは、期待どおりに実行されない場合があります。
- クライアント側キャッシュのあるフォルダーは WIP で保護されません
- リモート デスクトップ プロトコル (RDP) を使用して、WIP 管理のデバイスに接続できます。
- Microsoft Edge または Internet Explorer を使用して企業ファイルを個人の場所にアップロードすることはできません。
- Resilient File System (ReFS) は WIP ではサポートされていません。
- ActiveX コントロールを使用する Web ページは WIP によって保護されません。
- MakeFolderAvailableOfflineDisabled オプションが False に設定されているフォルダーは、WIP によって保護されません。
- Windows ディレクトリ内のファイルは暗号化できません
- Microsoft Office Outlook のオフライン データ ファイルは WIP によって保護されません
- MDM 登録を行わない場合、WIP で管理できるのは対応アプリのみです。したがって、WIP を Scalefusion MDM と組み合わせて使用することをお勧めします。
Scalefusion MDM は、アクセス制御設定、WIP、および BitLockerの.
Windows Information Protection と Azure Information Protection (WIP と AIP)
の機能とセキュリティ設定のリストについて説明しました。 Windows MDM ポリシー、特に進行中の作業 (WIP) コンテナーです。以前は Azure RMS として知られていた Azure Information Protection (AIP) も、企業のデータ漏洩を防ぐために Windows 10 で導入された機能です。
ただし、Windows Information Protection と Azure Information Protection の間には違いがあります。
Azure Information Protection AIP は、IT 管理者が Office 365 AD の一部であるオンプレミス デバイスのドキュメントとメッセージをラベル付け、分類、保護できるようにするクラウドベースの設定セットです。
ドキュメントとメッセージは Office 365 の Office Web アプリケーションとデスクトップ アプリケーションを使用して保護できますが、AD RMS はオンプレミス ハードウェアの機能を活用してドキュメントとメッセージを保護するのに役立ちます。
WIP と AIP の最大の違いは、混合デバイスや BYOD のデータ暗号化の問題を解決できないことです。 AIP ではデータ セット全体とアプリが暗号化されますが、WIP では選択されたアプリ (エンタープライズ アプリ) とこれらを介して移動するデータのみが暗号化されます。
WIP では、プロファイル設定を定義した後、作業データが自動的に暗号化されます。また、WIP はソースに基づいてデータにタグを付け、エンタープライズ データ ソースから流入するデータはすべて暗号化されます。これにより、デバイスの所有者である従業員は、ファイルやアプリなどの個人データを完全に制御できるようになります。
AIP と WIP のもう 1 つの大きな違いは、WIP には MDMソリューション ポリシー定義用であり、Windows 10 Anniversary Edition 以降でのみ動作します。
まとめ
この包括的な Windows 情報保護ガイドは、企業の IT チームが WIP 設定を活用して企業データを簡単に保護するのに役立ちます。 スケールフュージョン MDM.
Windows 10 用 Scalefusion MDM には、従業員の BYO PC での作業が容易になる幅広いセキュリティ機能とアクセス制御設定があり、IT チームの管理を簡素化しながら生産性を向上させます。
よくあるご質問
1. Microsoft Windows 情報保護の利点は何ですか?
Microsoft Windows Information Protection (WIP) は、機密情報を暗号化して分類することにより、堅牢なデータ セキュリティを提供します。これにより、組織はデータへのアクセスを制御し、データ漏洩を防止し、規制へのコンプライアンスを確保できます。 WIP は機密データを保護し、生産性を向上させ、不正アクセスやデータ侵害のリスクを軽減します。
2. Windows 情報保護を有効にするにはどうすればよいですか?
Windows 情報保護を有効にするには、[設定] > [更新とセキュリティ] > [Windows セキュリティ] > [ウイルスと脅威の保護] に移動します。 「ウイルスと脅威の保護設定」の「設定の管理」をクリックし、「不審な動作のブロック」に切り替えます。
3. Windows 情報保護 (WIP) の利点は何ですか?
Windows 情報保護 (WIP) には、機密情報の暗号化によるデータ保護、個人データと仕事用データの分離、企業データへのアプリ アクセスの制御、データ漏洩を防ぐための柔軟なポリシーの適用など、いくつかの利点があり、組織内の全体的なセキュリティとコンプライアンスの対策を強化します。 。
4. WIP はどのように機能しますか?
Windows 情報保護 (WIP) は、個人情報と企業情報を分離することで機密データを保護します。ポリシーに基づいてデータを分類および暗号化し、承認されたユーザーとアプリのみが企業データにアクセスできるようにします。デバイス間でシームレスな保護を提供し、管理のために MDM ソリューションと統合します。
5. Windows 情報保護を使用するにはどうすればよいですか?
Windows 情報保護を使用するには、まず Windows の設定でそれが有効になっていることを確認します。次に、組織のデータ保護ポリシーを定義します。構成が完了すると、WIP はこれらのポリシーを自動的に適用して Windows デバイス上の機密データを保護し、データ漏洩や不正アクセスの防止に役立ちます。
