こんにちはAmiです。今回は業務用のモバイルデバイス管理ツール「Microsoft Intune」で管理する、AndroidデバイスとiOSデバイスで、スクリーンショットの取得を制限するポリシーを配布するメモです。
前説(OS単位で制御内容が異なるので注意)
Intuneでは、端末に制約をかける、デバイス構成プロファイルと、アプリごと操作に制約を課すアプリ保護ポリシーがあります。
主題の通りスクリーンショットの取得に関しての制約は、OSごとに制限をかけれる項目や実際に処理されるレイヤーが異なるため、OS間でデバイス構成プロファイルやアプリ保護ポリシーの使いまわしはできません。
実際にデバイス構成プロファイルとアプリ保護ポリシーがそれぞれどのレイヤーで適用されているのか簡単なイメージを用意しました。
iOSは比較的シンプルな構成になっています。 シンプルな分 BYODのようなケースだと、データ保護を優先してしまうとユーザの普段使いの使い勝手にまで影響が出るので、デバイスに制約を課すMDMは最終手段と考えたほうがいいです。
一番ネックになるのは、スクリーンショットの取得禁止のポリシーでこれを適用してしまうと、余暇にゲームを楽しんだりしている際などでもスクリーンショットが取得できなくなるため、不満が爆発する場合があります。
Android に関しては Androd enterpriseというフレームワークのおかげで、Intuneで配布したアプリの領域(仕事用プロファイル)と個人で利用する「個人用プロファイル」が作成されて、論理的に隔離されるため、個人の使い勝手への影響を極力少なくMDMを行うことができます。
iOS/iPadOSでスクリーンショットの制限をかける場合はデバイス構成プロファイルのみ
Android でスクリーンショットの制限をかける場合はデバイス構成プロファイルとアプリ保護ポリシーの両面で設定可能です。 したがって、デバイス構成プロファイルのレイヤーでスクリーンショットの制限もかけることもできるし、 アプリ保護ポリシーでは Zoomのスクショを許可して、officeアプリのスクショを禁止するといった統制も行うことが可能です。
兎にも角にも実際に設定してみましょう。
Androidのスクリーンショットの制限(構成プロファイル)
Android はiOSと比較して統制の自由度が高めです。
Intune(Microsoft Endpoint Manager admin center)にログイン
https://endpoint.microsoft.com/ にアクセスしてログインします。
まずは仕事用プロファイル単位で、スクリーンショットの制限を制限する設定を行ってみます。この制限を入れると、仕事用プロファイル内でスクリーンショットを取得できなくなります。
「プロファイルの作成」をクリック
プロファイルの作成画面にてプルダウンメニューから以下を選択して「作成」をクリック
プラットフォーム「Androd Enterprise」
プロファイルの種類「デバイスの制限」
仕事用プロファイルのメニューをクリックして、全般設定を表示
全般設定内の「画面キャプチャ」を「構成されていません」から「ブロック」に変更する。
「次へ」をクリック
構成プロファイル割り当てるグループを選択する。
memo:構成プロファイルはユーザグループとデバイスグループの割り当て可能
グループを選択したら、「次へ」をクリック
確認画面にて、構成した内容を確認する。問題がなければ「作成」をクリック
作成後、グループに所属しているユーザやデバイスに対して構成プロファイルが割り当てられる。
ホーム>デバイス>Android >デバイス名 にアクセス 左ペインのモニター>デバイス構成で 適用状況を確認できる。
※画像はiOS/iPadOSとなっているが、Android でも同様の流れで確認可能です。
このようにIntuneでは ポリシーを定義して、AzureADのセキュリティグループに対して配布が可能なので、簡単な操作でMDMを始めることができます。
コメント