組織データのコピーをモバイルへ保存禁止

想定されるケース

・個人用スマホを業務に利用するケース(BYOD)

・会社支給の業務用スマホ

できること

個人用スマホでOutlook、Onedrive、Sharepoint等の利用をする際に、個人用スマホ内にPDF、Excel等の業務データを保存できない様にする(閲覧、編集は可能)

個人用スマホでOutlook、Onedrive、Sharepoint、Excel等のOfficeは許可されているが、スマホにダウンロードすると下図の様になります。

データ保存禁止、個人用メールアドレスの追加禁止、スクリーンショット禁止や、テキストのコピー禁止も可能

所有権が個人か企業が選択できます。今回はBYODを想定しているので所有権は個人となります。

会社が確認できない情報

・通話とWebの履歴
・メールとテキストメッセージ
・連絡先と予定表
・パスワード
・写真

会社が確認できる情報

・モデルおよびシリアル番号
・オペレーティングシステム
・アプリ名
・所有者とデバイス名
・会社用デバイスの電話番号
・紛失した会社用デバイスの場所

Outlookアプリへ個人アカウントの追加を禁止する

想定されるケース

・個人用スマホを業務で使用しているケース

防ぐことができるケース

・個人用メールアカウントを追加できないので個人用アドレスを使用した情報漏洩の可能性が低くなる

Outlookアプリからアカウントを追加します。

個人用のGmailのアドレスを入力します。

パスワードを入力し、ログインします。

Gmailアカウントへのアクセスのリクエストが開始されます。

組織から許可されていませんと表示され、個人用メールアカウントを追加することができません。

会社PCを紛失した際にリモートでデータ消去する方法

下記の様なケースに有効です。

会社PC、スマホを紛失したので情報漏洩しない様にデータを消去したい

・個人所有のPC、スマホなので業務データのみ消去したい

・退職者からPC、スマホの返却が遅れているのでデータを消去したい

1. Azure AD 新ポータル (http://portal.azure.com) にサインインします。

1. 『リタイヤ』実行時の動作について

管理対象のアプリ データ、設定、Intune を使用して割り当てられた電子メールプロファイルが削除され、デバイスは Intune の管理からも削除されます。

会社データの削除では、ワイプと違い、ユーザーの個人データはデバイス上にそのまま保持されます。

 1. Azure AD 新ポータル (http://portal.azure.com) にサインインします。

 2. メニューより 『Intune』 をクリックします。

 3. 『デバイス』 – 『すべてのデバイス』を選択します。

 4. 実行するデバイスの名前を選択します。

 5. デバイス名が表示される 『概要』ウインドウで、『リタイヤ』を選択し、『はい』を選択します。

  6. 上記操作を行っていただいたあと、デバイスに電源が入っていて、インターネットに接続されている場合、『リタイヤ』アクションは 15 分以内にデバイスに伝達されます。

  7. アクションがデバイスに伝達され完了すると、デバイス上の Intune ポータル サイト アプリからサインアウトされ、Intune ポータル サイト アプリから展開したアプリは、デバイス上から削除されます。

『リタイヤ』を行った場合に、削除される項目はプラット フォームごとに違います。

※ 『リタイヤ』の動作についての注意点について

Azure AD Join をしている Windows 10 デバイスは、アカウントを切り替えて Azure AD ユーザーでログインをし直します。

Intune から 『リタイヤ』を実施すると、Intune の MDM 登録は削除されるため “MDM に接続済み” が削除される動作になりますが、Azure AD には参加し続けている状態のため、Azure AD アカウントの設定は『設定』 – 『アカウント』 – 『職場または学校にアクセスする』に保持されます。

同表示を消す場合は、 『切断』でアカウントを削除します。

ワイプ *所有が個人の場合はグレーアウトします
工場出荷状態に戻します。

リタイヤ
会社アプリのみ削除します。