先般Workspace ONE のMicrosoft Graph への対応を発表させていただきましたが、「それで何をするの?」と思われている方が少なくないのではないでしょうか。
Microsoft Office 365 アプリケーションをモバイル上で使⽤されることが多くなってきているのではないかと思いますが、企業のセキュリティポリシーによってはメール本文のコピー・ペースト禁止、個人のクラウドストレージへのデータ持ち出し禁止、アプリ起動時のPINコード入力の強制などOffice 365 アプリケーションのセキュリティ機能をMDM から制御しなければならないケースがあります。
Graph はMicrosoft Office 365 やMicrosoft Enterprise Mobility + Security などのMicrosoft 製品と同社製品もしくはサードパーティ製品とが安全に連携するためのAPI のことですが、今回はWorkspace ONE 統合エンドポイント管理(WorkspaceONE UEM、従来のVMware AirWatch)とMicrosoft Intune アプリ保護ポリシーを連携し、Office 365 アプリケーションのセキュリティ機能を制御する方法に関して説明していきます。
Workspace ONE UEM とGraph 統合のユースケース
Workspace ONE UEM の既存のお客様もしくは検討中のお客様のうち、モバイル端末でOffice 365 アプリケーションをセキュアな状態で使⽤したいといったユースケースでご利⽤いただける機能となっております。
はじめにおさらいとしてモバイルアプリケーション管理(MAM)の領域でWorkspace ONE UEM はこれまで⼤きく4 つの⽅式を提供してきました。
-
OS レベルのMAM
OS が提供するベーシックなMAM 機能(アプリケーション間でのファイル受け渡し可否の制御など)を使⽤する⽅式です。
-
MDM ベンダーが提供する独⾃SDK(AirWatch SDK など)によるMAM
MDM ベンダーが提供する独⾃SDK をアプリケーションに組み込む⽅式です。
MDM から設定や各種制限を細かく制御することができるようになる反⾯、アプリケーション開発者はMDM ベンダー毎のSDK を組み込んだアプリケーションを開発する必要があります。
-
アプリケーションラッピングによるMAM
独⾃SDK ⽅式で対応できる設定や各種制限のうち⼀部の機能の組み込みを⾃動化することでアプリケーションの再開発を不要にした⽅式です。この⽅式は⾃社開発アプリにのみ対応しておりパブリックアプリには使⽤できませんし機能⾯では独⾃SDK ⽅式に劣ります。
-
オープンな共通フレームワークによるMAM
AppConfig Community(AppConfig)によるMDM 業界共通のフレームワークを使⽤したMAM の⽅式で、現在VMware、MobileIron、IBM、Citrix をはじめとする多くのベンダーが推進しています。こちらの⽅式ではMDM から設定や制限を細かく制御することができるようになるのに加え、アプリケーション開発者はこの共通フレームワークに沿って開発するだけで多くのMDM に対応することができます。
ではOffice 365 アプリケーションはどうでしょうか。Office 365 アプリケーションはAppConfig アプリケーションではありませんし、もちろんAirWatch SDK 組み込みアプリケーションでもないため、セキュリティを維持するための制限などをフル活⽤するためにはIntune アプリ保護ポリシーが必要となります。そのためWorkspace ONE UEM を使⽤したいが、Office 365 アプリケーションもセキュアに使いたいというユースケースでは両⽅の管理コンソール上でそれぞれ管理する必要がありました。
Workspace ONE UEM 9.4 以降ではGraph に対応したことによりWorkspace ONE UEMコンソールからIntune アプリ保護ポリシーの設定を制御することができるようになりましたので、シンプルに管理をすることができるようになりました。
セキュリティ制限の設定
Workspace ONE UEM 9.4 以降ではOffice 365 アプリケーションのセキュリティ制限を設定するための項⽬( すべての設定 / アプリ / Office 365 の設定 )が追加されています。
「 データ漏洩防⽌ 」の項⽬がOffice 365 アプリケーションへの各種制限設定になっていますので、ここで設定を実施します。この設定項⽬はIntune アプリ保護ポリシーの項⽬と同じものになっていますのでWorkspace ONE UEM コンソールで設定した項⽬がIntune アプリ保護ポリシーへ同期されアプリケーションへ適⽤されます。
設定内容の説明や実際の動作のデモを動画でご確認ください。
最後まで読んでいただきありがとうございました!!