エンタープライズ データ保護 (EDP) の概要

  • [アーティクル]

[一部の情報はリリース前の製品に関することであり、正式版がリリースされるまでに大幅に変更される可能性があります。本書に記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。]

企業で従業員が所有するデバイスが増加しているため、メール、ソーシャル メディア、およびパブリック クラウドなど、企業が制御できないアプリやサービスを通じて偶発的にデータが漏洩するリスクも増加しています。

既存のソリューションの多くは、個人用と業務用のコンテナーとアプリの切り替えを従業員に要求することで、この問題に対処しようとしていますが、これは、ユーザー エクスペリエンスの低下につながる可能性があります。Enterprise Data Protection (EDP) というコードネームの機能は、優れたユーザー エクスペリエンスを提供すると同時に、環境やアプリを変更することなく、会社用と個人用の両方のデバイスでの漏洩のリスクから企業のアプリとデータを分離および保護できるようにします。さらに、EDP を Rights Management サービス (RMS) と共に使用すると、企業データをローカルで保護できるようになり、データのローミング時または共有時にも保護が維持されます。

EDP の利点

EDP には次の利点があります。

  • 企業データの漏洩に対する保護を強化し、従業員の通常の作業への影響を最小限にします。

  • 個人と企業のデータが明確に分離されるため、従業員が環境またはアプリを切り替える必要はありません。

  • アプリを更新することなく、既存の基幹業務アプリのデータ保護が強化されます。

  • 個人データに影響を及ぼすことなく、デバイスから企業データを消去できます。

  • 追跡の問題と改善措置の監査報告を使用します。

  • 既存の管理システム (Microsoft Intune、System Center Configuration Manager (バージョン 1511 以降)、または現在のモバイル デバイス管理 (MDM) システム) と統合し、自社向けに EDP を構成、展開、および管理できます。

  • ローミングおよび共有と同時に、データ保護を強化 (RMS 統合により) します。たとえば、暗号化されたコンテンツを Outlook で共有する場合や、暗号化されたファイルを USB キーに移動する場合です。

  • MDM ソリューションを使用して Windows 10 デバイスで Office ユニバーサル アプリを管理し、企業データを保護することができます。Android および iOS デバイス向け Office モバイル アプリを管理するには、ここにある技術情報を参照してください。

必要条件

次のソフトウェアが企業内で EDP を実行する必要があります。

オペレーティング システム 管理ソリューション
Windows 10

  • Intune

    または

  • Configuration Manager (バージョン 1511 以降)

    または

  • 現行の全社的な MDM ソリューション

 

エンタープライズ シナリオ

EDP は、現在、これらのエンタープライズ シナリオで使用できます。

  • 従業員が所有するデバイスと企業が所有するデバイスで、企業のデータを暗号化できます。

  • 管理されているコンピューター (従業員が所有するコンピューターを含む) から、個人データに影響を与えることなく、企業データをリモートで消去することができます。

  • 従業員が明確に認識できる、"特権アプリ" と呼ばれる企業データにアクセスできる特定のアプリを選択できます。特権のないアプリが企業データにアクセスできないようにブロックすることもできます。

  • 従業員は、企業ポリシーの適用時に、個人アプリと企業アプリの間で切り替える間に作業を中断されることはありません。環境の切り替えも、複数回のサインインも必要ありません。

EDP の動作のしくみ

EDP は、企業内の日常的な課題を解決するために役立ちます。これには、次の作業が含まれます。

  • 厳格なデータ保護ポリシーによる、望ましくない従業員エクスペリエンスに対処する。

  • 企業データのプライバシーを維持する。

  • 特にモバイル デバイス上の、ポリシーに対応していないアプリを管理する。

  • 企業データを偶発的に開示する可能性のある、従業員が所有するデバイスをロックダウンできないという問題に対処する。

保護モード

EDP は、次の 1 ~ 4 の保護モードに設定できます。

  • ブロック。EDP が、不適切なデータ共有を探し、従業員の操作の完了を停止します。

  • オーバーライド。EDP が、不適切なデータ共有を検索し、不適切な操作を実行しているかどうかを従業員に知らせます。ただし、この保護モードでは、操作が監査ログに記録されるものの、従業員はポリシーをオーバーライドして、データを共有することができます。

  • 監査。EDP がメッセージを表示せずに実行され、何もブロックせずに、不適切なデータ共有をログに記録します。

  • オフ。EDP がアクティブではなく、データは保護されません。

優れた従業員エクスペリエンス

EDP は、企業データを保護するために従業員がアプリを切り替える必要がないため、優れたユーザー エクスペリエンスを実現します。たとえば、従業員は、Microsoft Outlook で業務のメールをチェックしている間に、個人的なメッセージを受信します。Outlook を終了することなく、業務と個人のメッセージが画面に並んで表示されます。

EDP 保護の変更

従業員は、ドキュメントが誤って企業用とマークされている場合には、企業データとして保護されているドキュメントを個人用に変更できます。ただし、これには、従業員の操作が必要です。また、監査の対象となり、確認できるようにログに記録されます。

企業データのセキュリティ

企業内の管理者は、企業データのセキュリティと機密性を維持する必要があります。EDP を使うと、従業員がアクティブに使用していない場合でも、従業員が所有するコンピューターで企業データの保護を確保できます。この場合、従業員は、管理されているデバイスで最初にコンテンツを作成したときに、それが業務用ドキュメントであるかどうかをたずねられます。業務用ドキュメントである場合は、企業データとしてローカルで保護されます。

デバイスでの企業データのリモート消去

EDP では、管理者が管理し、従業員が使用するすべてのデバイスからデータをリモートで消去できます。このとき、個人データへの影響はありません。これは、従業員が退職した場合や、コンピューターが盗難に遭った場合の利点です。

この場合、ドキュメントはローカルに保存され、企業の ID を使用して暗号化されています。デバイスからデータを消去する必要があることを確認したら、モバイル デバイス管理システム経由でリモート消去コマンドを送信できます。これで、デバイスがネットワークに接続したときに、暗号化キーが無効化され、企業データが削除されます。この操作は、コマンドの対象になっているデバイスにだけ効果があります。その他のすべてのデバイスは、通常どおりに機能し続けます。

企業データのコピーまたはダウンロード

SharePoint やネットワーク ファイル共有の場所、または Office365.com などのエンタープライズ Web サイトからコンテンツをダウンロードすると、自動的にそのコンテンツが企業データであると判断されるため、暗号化されると同時にローカルに格納されます。これは、USB ドライブなどへの企業データのコピーにも適用されます。コンテンツが既に企業データとしてローカルでマークされているため、暗号化は、新しいデバイスでも保持されます。

特権アプリと制限

EDP を使用すると、"特権アプリ" になっているアプリ、つまり、企業データにアクセスして使用できるアプリのセットを制御できます。アプリを特権アプリの一覧に追加した後は、アプリが信頼され、企業データを使用できるようになります。この一覧にないすべてのアプリは、個人用として扱われ、EDP 保護モードに応じて、企業データへのアクセスがブロックされる可能性があります。

既存の基幹業務アプリを、特権アプリとして含まれるように変更する必要はないことに注意してください。必要なのは、一覧に含めることだけです。

特権アプリの使用

特権アプリは、企業データへのアクセスが許可されており、権限のない他のアプリや個人用アプリに対しては、異なった対応を行います。たとえば、ブロックするように EDP 保護モードが設定されている場合、特権アプリはユーザーに、特権のある他のアプリとの間での情報のコピーと貼り付けを許可しますが、個人用アプリとの間では許可しません。人事担当者が、業務の説明を特権アプリから、企業によって保護された場所である求人 Web サイトにコピーしようとしたが、誤って、個人用アプリに貼り付けようとしているとします。貼り付け操作は失敗し、ポリシーの制限により貼り付けることができなかったという通知が表示されます。その後、人事担当者は、求人 Web サイトに正しく貼り付け、操作が問題なく実行されます。

データ アクセスのレベルの決定

EDP を使用して、従業員のデータ共有操作をブロックするか、オーバーライドを許可するか、監査を行うかを決定できます。ブロックすると、すぐに操作が停止されます。オーバーライドを許可すると、従業員に問題の発生が通知されますが、従業員は情報の共有を続行できます。また、監査を行うと、操作を停止せずにログに記録し、不適切な共有のパターンの確認を開始できるため、教育的措置を講じることができます。

永続的なデータの暗号化

EDP は、ローミング時にも、企業データの保護に役立ちます。Office、OneNote などのアプリは EDP と連携して、さまざまな場所やサービスにわたり、データの暗号化を継続します。たとえば、従業員が Outlook から EDP 暗号化コンテンツを開き、編集した後、暗号化を削除するために、編集後のバージョンを別の名前で保存しようとしても、暗号化は削除されません。Outlook により、新しいドキュメントに EDP が自動的に適用されて、データの暗号化が維持されるためです。

パブリック スペースへの偶発的なデータの漏洩の防止

EDP は、パブリック クラウドなどのパブリック スペースで誤って共有されることから企業データを保護するために役立ちます。たとえば、OneDrive (特権アプリの一覧にあるアプリ) と自動的に同期される [ドキュメント] フォルダーに従業員がコンテンツを保存した場合は、ドキュメントがローカルに暗号化され、このユーザーの個人用クラウドには同期されません。同様に、Dropbox ™ などの他の同期アプリも、特権アプリの一覧にない場合は、暗号化されたファイルをユーザーの個人用クラウドに同期することはできません。

他のデバイスへの偶発的なデータの漏洩の防止

EDP は、他のデバイスへの転送または移動中にそのデバイスに漏洩することからリーク、企業データを保護するために役立ちます。たとえば、個人データも含まれている USB キーに従業員が企業データを格納した場合、個人情報が開いたままでも、企業データは暗号化されたままです。また、従業員が、暗号化されたコンテンツを再び、企業が管理する別のデバイスにコピーした場合も、暗号化が継続されます。

重要  EDP は、デバイス暗号化ポリシーと共に、SD カードでのファイルごとの暗号化もサポートしています。暗号化されたデータにアクセスするには、EDP ポリシーのセットアップ中に RMS をセットアップする必要があります。

 

EDP の無効化

データを損失することなく、すべての企業データの保護と制限を無効にして、EDP 導入前の状態に戻すことができます。ただし、EDP を無効にすることはお勧めしません。無効にした場合でも、いつでも再び有効にすることができますが、EDP では、復号化とポリシーの情報が保持されません。