Intune App Protection (MAM) を使用して Microsoft Edge の企業データを保護する

Edge for Business では、Windows 上Intune App Protection (MAM) ポリシーがサポートされています。これには、別のテナントによって管理されているデバイスで作業しているユーザーが含まれます。

この機能により、組織は、完全なデバイス管理を必要とせずに、クリップボードの制限、保護されたダウンロード、透かし、リーク防止などのデータ保護コントロールを Edge 作業プロファイルに直接適用できます。 ポリシーは、Microsoft Intune App Protection ポリシーとMicrosoft Entra条件付きアクセスを通じて適用され、請負業者、パートナー、合併などのテナント間のシナリオでも、Edge 経由でアクセスされる企業データがテナントによって管理されたままになります。

構成すると、Edge はユーザー登録後に MAM ポリシーを自動的に受け取り、エンド ユーザーのネイティブ ブラウザー エクスペリエンスを維持しながら、サポートされている機能間で一貫した保護を適用します。

この記事で扱う内容

  • 条件付きアクセス、Intune アプリ保護、および Edge for Business をEntraして、Windows で MAM 保護を有効にする方法
  • テナント間デバイスを含む、Edge MAM でサポートされるシナリオと既知の制限事項
  • 条件付きアクセス、アプリ保護ポリシー、およびユーザー登録の構成手順

前提条件

ライセンス

  • Microsoft Intune
  • Microsoft Entra ID P1 または P2 (条件付きアクセスの場合)

サポートされているプラットフォーム

  • Windows 10/11
  • バージョン 147 以降Microsoft Edge for Business

Entra、Intune、Edge for Business が保護を提供する方法

entra、intune、Edge の連携のしくみを示すスクリーンショット

Microsoft Edge では、Microsoft Entra条件付きアクセスを使用して、ユーザーが企業リソースにアクセスするときにアプリ保護を要求します。 この要件は、デバイスIntune登録せずに、Edge 作業プロファイルApp Protection (MAM) 登録をトリガーします。

Intune App Protection ポリシーでは、適用されるデータ保護が定義され、Edge では、組織のデータのみにスコープを設定して、ブラウザーでこれらの保護を直接適用します。 これにより、非管理対象またはテナント間の Windows デバイスで安全なアクセスが可能になり、個人の閲覧は影響を受けません。

サポートされるシナリオと既知の制限事項

制限事項 影響
同じテナントマネージド デバイス 同じテナントによって管理されるデバイスは、この記事で説明する条件付きアクセス構成ではサポートされていません。 ユーザーは、この構成の条件付きアクセスで保護されたデータにアクセスできません。
デバイスで有効になっているエンドポイント DLP デバイス レベルのエンドポイント DLP が有効になっている場合、Intune App Protection (MAM) ポリシーは、この制限をバイパスするようにポリシーが設定されていない限り、そのデバイス上の Edge 作業プロファイルに適用できません。 それ以外の場合、プロファイルの切り替えは使用できなくなり、追加されたプロファイルを削除する必要があります。

デバイスでエンドポイント DLP が有効になっているかどうかを確認する方法

  1. Microsoft Edge を開く
  2. に移動する edge://edge-dlp-internals
  3. [機能の状態] ページで、[プロバイダー名] フィールドをチェックします

[プロバイダーの状態] が [使用可能] に設定され、プロバイダーが [エンドポイント DLP] の場合、デバイス レベルのエンドポイント DLP が有効になります。

例:

プロバイダー名 プロバイダーの状態
エンドポイント DLP 利用可能

デバイス レベルのエンドポイント DLP ブロックは、ポリシー MAMWithDeviceDLPEnabledを使用してバイパスできます。 このポリシーは、デバイスを管理するテナントによって構成する必要があります。 Edge バージョン 148 以降を使用している場合、このポリシーはIntuneを使用して構成できます。 Edge バージョン 147 を使用している場合は、グループ ポリシーまたはレジストリを使用してポリシーを設定できます。

構成手順

手順 1: アプリを必要とする条件付きアクセス ポリシー

Entra管理センター (entra.microsoft.com):

  1. [条件付きアクセス] → [新しいポリシーの作成] に移動します
    認証ダイアログを示すスクリーンショット

  2. Edge アクセスに対するアプリ保護を必要とする条件付きアクセス ポリシーを作成します。

[設定ポリシー] フィールド
ユーザーまたはエージェント (プレビュー) ターゲット ユーザーまたはグループ
ターゲット リソースラー Office 365 (またはその他の保護されたリソース)
条件 -> クライアント アプリ Browser
条件 -> デバイス プラットフォーム Windows
付与 App Protection ポリシーを要求する

サポートされていません

  • "準拠デバイスが必要" (ユーザーは MAM 登録からブロックされます)

手順 2: アプリ保護ポリシーを構成する

Intune管理センターで、次の手順を実行します。

  1. [Apps → Protection] → [Create → Windowsのスクリーンショット] に移動し、認証ダイアログを表示します
  2. Windows 用の App Protection ポリシーを作成します。 [アプリ] で、[Microsoft Edge] を選択 します。
  3. 必要に応じてデータ保護設定を構成 する方法については、こちらを参照してください。
  4. 手順 1 で作成した条件付きアクセス ポリシーの対象と同じユーザー グループにポリシーを割り当てます。
  5. 新しいポリシーを確認して作成します。

リファレンス:Microsoft Edge for Businessを使用して企業データをIntuneでセキュリティで保護する

手順 3: MAM にユーザーの Edge プロファイルを登録する

ユーザーステップ

  1. マネージド デバイスで Microsoft Edge を開きます。
  2. 企業リソース (SharePoint や内部サイトなど) に移動します。
  3. 企業の資格情報を使用してリソースへのサインインを試みます。
  4. 条件付きアクセス ブロックを検出します。

認証ダイアログを示すスクリーンショット

  1. プロンプトに従って Edge プロファイルを切り替えます。

  2. サインイン フローを完了し、プロンプトを受け入れます。

  3. 大事な: ダイアログ プロンプトで [ はい ] を選択します。

SSO とデバイス登録の同意プロンプトを示すスクリーンショット

  1. サインイン後、Edge は MAM ポリシーの 受信を自動的に開始します。

この段階では、ユーザーは MAM に登録され、Edge for Business はアプリ保護ポリシーを適用できます。 クリップボードへのアクセス、ダウンロード、アプリ間のデータ共有など、ブラウザー内での組織データの処理方法を制御するには、Edge Management Service と Intuneでデータ保護設定を構成する必要があります。 これらのコントロールを定義するには、こちらを参照してください

  • Last updated on