Azure Information Protection Client の新バージョン

先日、新バージョン(Ver 1.3.155.2) がリリースされました。
https://docs.microsoft.com/en-us/information-protection/rms-client/client-version-release-history#version-131552

いつものようにMicrosoft Download Centerよりダウンロード可能です。
※こちらをインストールするには.NET Framework 4.5.2 以上が事前にインストールされている必要がありますのでご注意下さい。

エクスプローラーから右クリックで暗号化できたりとか、ラベルを使用した場合のログを残せたりとか。UIも若干変わりましたね。
利用イメージです。

暗号化したいファイルをエクスプローラーから右クリック。

編集画面がひらきます。

適用ボタンをクリックすると完了です。

また、Sharepoint Online サイト上から暗号化されたPDFをAIPビューアーでそのまま閲覧することもできます。
Sharepointサイト上の暗号化されたPDFファイルを [保存] -[ファイルを開く]をクリックします。

AIPビューアーが起動します。

それ以外では、PowerShellにてローカルやネットワーク共有されたファイルを暗号化するモジュールをRMSProtectionモジュールとして提供されたりとかですね。

ドキュメントの暗号化としてAIPの認知度が広まってきていますね。ぜひお試しください。

 

Microsoft Intune によるモバイルデバイスのマルウェア対策(後編)

Intuneと連携するためのLookoutの設定

前回の投稿で、IntuneとLookOutの連携を行うためにLookOutのサポートへ連絡をしました。2営業日後、無事にLookOutのMTPへアクセスが可能になったというメールが届きました。

①Lookoutダッシュボードへログイン

早速以下のURLへアクセスしLookOutの設定を行います。

https://aad.lookout.com

ディレクトリへのアクセス許可を促すページが表示されます。【承諾】をクリックします。

すると、このようなLookout MTP ダッシュボード画面が表示されます。
ポリシーのカスタマイズも可能です。

 

②Intuneコネクタの設定

システムメニューから「コネクタ」タブへ移動します。「コネクタを設定」画面で、[コネクタを追加]をクリックし、[Intune] を選択します。

「コネクタを設定」画面で、[コネクタを作成]をクリックします。

[変更を保存]メッセージが表示されたら、[閉じる] ボタンから画面を閉じます。コネクタが接続は完了です。Intune管理画面から[Lookoutの状態]メニューが利用できることが確認できます。

 

③デバイスへLookoutアプリを展開

今回はAndroidデバイスへ展開してみます。左メニューから[アプリ] – [アプリの追加]をクリックします。「セキュリティ警告」「画面が表示されたら[続行]をクリックします。ソフトウェアパブリッシャー画面にサインインします。

「開始する前に」画面で[次へ]をクリックします。「ソフトウェアセットアップ」画面で[外部リンク]を選択し、URLを入力し[次へ]をクリックします。

名前に[Lookout for work]、発行元、説明を適宜入力し、カテゴリで[コンピューターの管理]を選択し、[次へ]をクリックします。

概要画面で表示された内容を確認し[アップロード]をクリックします。「Microsoft Intune にデータが正常にアップロードされました」画面で、[閉じる]をクリックします。Intuneの管理コンソールでアップロードしたアプリが表示されていることが確認できます。

表示されたリストを右クリックし、[展開の管理]をクリックします。展開するグループを選択し[次へ]をクリックします。承認欄で[利用可能なインストール]あるいは[必須のインストール]を選択し、[完了]をクリックします。

Intune管理コンソール左メニューから[ポリシー]を選択し、コンプライアンスポリシーを作成します。「デバイスの脅威保護」欄で、「デバイス脅威保護を有効にする」を有効にし、[許容される最大脅威レベル]を高、中、低から選択し[ポリシーの保存]をクリックします。

「条件つきアクセス」ポリシーよりLookoutからマルウェアが検出されたデバイスに対し適応させるポリシーを設定します。

会社から配布したモバイルデバイスに対し、感染状況を把握し社内リソースを守ることが可能になりました。

現在は、Lookout側の設定画面を利用するにはメールによるやり取りが必要となるため、若干のタイムラグが発生することを考慮する必要があります。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Azure Information Protection P2 の機能

この投稿は Office 365 アドベントカレンダーに参加しています。

以前の投稿でもお知らせしたようにEMSにはE5という上位プランができました。
その中に Azure Information Protection (以下、AIP)Plan 2 が含まれます。

(※ちなみに、AIP は従来まで Azure Right Management(RMS)という名前で呼ばれていたものの後継にあたります。旧という表現をしておりますが、RMS が無くなったわけではありません。AIP は RMS の暗号化技術を使ってさらなる保護をかけています。)

Office 365 E3 以上のプランにも RMS が付随していますが、最近は Office 365 E3 をご利用の企業でも、オンプレミスでの利用や Office ドキュメント以外の保護を目的に AIP の導入をご検討いただくことが増えてきています。
なので、ぜひ Office 365 ユーザーの皆様にもこの機能に興味を持っていただきたいと思い Office 365 アドベントカレンダーにこの投稿を参加させています。

前置きが長くなりました。
では、AIP Plan 2 の新機能として登場した「ラベリングと分類」についてご紹介します。この機能を利用すると、社内ユーザーに視覚的にそのドキュメントの機密性を意識させることができ、情報漏洩などのセキュリティ事故を防ぐことができます。もちろん、従来の Azure RMS の機能でもあるそのドキュメントを追跡、アクセスの禁止などの設定も可能です。

まず、利用するための準備ですが、ご契約いただく前に試してみたいと思われますよね。この AIP(P2)も、もちろんお試しいただくことが可能です。

Office 365 の管理画面(もちろん試用版でもOK)メニューで、「サービスを購入」を選択します。
「Azure Infomation Production P2」を選択し、「無料試用版」ボタンをクリックしてください。


あとはユーザーにライセンスを割り当てれば30日間は製品版と同様機能を利用可能です。

あるいは、以下のページから Enterprise Mobility +Security E5 の無料試用版をお申込みください。

AIP P2 の申し込みが完了したら、次にツールの準備をしましょう。

まずは、RMS のころからおなじみの RMS 共有アプリケーションを以下のサイトからダウンロードしてインストールします。

つぎに、AIP P2 のラベリング機能を利用ために、以下の Azure Information Protection クライアントのサイトをブラウザから開きます。

AzInfoProtection.exe を選択し、ダウンロードを実行します。

ダウンロードが完了したら、あとはウィザードに従いインストールを実行します。

これで準備は完了です。

これだけでも標準で用意されているラベルは利用できますが、内容をカスタマイズするための編集画面をみてみましょう。

Azure ポータルサイトへサインインします。

Azure ポータルから、Market Place – セキュリティ+ID – Azure Information Protection を選択します。


表示された画面で「作成」をクリックします。(ライセンスが付与されていないとここでエラーとなりますので、必ず先に試用版  Or  製品版を取得してください。)

ポリシー編集画面が表示されます。

ここでラベルのカスタマイズをしたり、「すべてのドキュメントとメールにラベルを付ける (自動適用またはユーザーによる適用)」、「分類ラベルを低くする、ラベルを削除する、保護を削除する場合、ユーザーは理由を提供する必要があります」などさまざまなオプションの ON / OFF を切り替えることができます。既定値はどちらも「オフ」になっています。今回は、「視覚的なマーキングの設定(ヘッダーやフッターなど)」を ON に設定します。

設定が完了したら「公開」をクリックし展開します。

それでは、デスクトップで Word 文書を作成してみましょう。
作成した文書を開いてみると、ツールバーに「ラベル」が表示されているのが確認できます。

選択したラベル : Secret がフッターにラベルが表示されていることが確認できます。

残念ながら現段階では、まだすべての機能が利用できる状態ではありません。ラベルがつけられたドキュメントをどのように連携させるかという部分のほとんどが機能制限中です。Exchange Online や Sharepoint Online と統合ができないのが一番つらいところなのですが・・・。最近頻繁にアップデートがかかっているので時間の問題と思われます。(RMS ポリシーテンプレートへの反映が現在プレビュー)

ラベルのつけられたドキュメントの活用方法ですが、例えば Exchange Online のトランスポートルールと連携し、つけられたラベルによってルールを振り分けたり、Cloud App Security と連携した監視の強化も行えます。

他サービスと連携した AIP の活用についてはアップデートの状況をみつつ改めて投稿します。

 

 

 

Azure Information Protection (AIP)社外への送付

Microsoft Azure Information Protection(AIP:旧、RMSのこと) について、ご質問をいただくことが多くなりました。
ドキュメントの送付に「ZIPファイル+パスワード」での添付が無理があることが浸透しつつあるようです。

一番多い質問として、「AIPは社内ではなく、社外の相手(AIPライセンス無し)にも利用できるのか?」ということです。

この場合は、暗号化されたドキュメントを受け取った相手は「無料版のAIP」にアクセスし、メールアドレスを登録することにより
送付されたドキュメントを解読することが可能です。

操作は簡単です。
以下のページへ勤務先のメールアドレスを入力します。(gmailなどの個人アカウントは現在はご利用になれません。)

すでの社内に登録されたメンバーがいれば、2人目以降の方はメールアドレスを入力するだけで登録が完了します。ドキュメントを開くアプリもこちらからダウンロード可能。

社内外問わず、安心してご利用いただけます。

 

新しくなったEMS

先日のIgniteでも発表がありましたが、EMS(Enterprise Mobility Suite )が新たにEnterprise Mobility +SecurityとしてGA (General Availability)されました。略称ではあいかわらずEMSなのですが・・・。

大きな変更点としては、EMSに上位プランが追加されました。

従来のEMSがE3となります。

E3

・Azure AD Premium (E3ではP1)

・Microsoft Intune(おなじみ)

・Microsoft Infomation Protection Premium (E3ではP1.従来のAzure RMSのこと)

・Microsoft Advanced Threat Analytics (こちらも変わらず)

E5

・E3の機能はすべて含まれます。

・Azure AD Premium (E5ではP2)

→P2ではP1機能に加え、特権IDなどの新たなID管理機能が増えています。アカウントの保護にはかなり力をいれていますね。

・Microsoft Infomation Protection Premium (E5ではP2)

→P2では、あらかじめ設定されたポリシーに基づき、ユーザーの作成・更新したドキュメントを保護対象として自動分類可能になります。

・Microsoft Cloud App Security

→すでに2016.4にGAになっています。SaaSアプリの利用状況監視(シャドウITの発見や不正なネットワークトラフィックの検知、アプリの承認/却下などの実施も可能)

こちらにも情報があがっています。

Securing your digital transformation with Microsoft Enterprise Mobility + Security

残念ながら2016.10上旬現在で、私の所有するテナントはまた新しいバージョンは表示されていません。

降ってきしだい、検証したいと思います。

 

 

 

Microsoft Intune 入門編③ ~Microsoft IntuneへのWindows PC登録 ~(Windows 10)

2016年8月2日より、Windows 10 Anniversary Update が提供予定だそうです。

ということで、今回は Windows 10 の Microsoft Intune へのデバイス登録を確認してみましょう。(Windows 10 Insider Program OS Version 1607 ,OS ビルド14393.5 を利用しています)

Windows 10 には [Azure AD へ参加] をクリックすることで、PC を Azure AD へ登録することができます。手順は非常に簡潔です。

①Windows 10 スタートメニューから [設定] -[システム] – [バージョン情報] から [Azure AD へ参加] あるいは、 [設定] – [アカウント] – [職場または学校へのアクセス] – [接続] – [Azure AD へ参加] をクリックします。

②サインイン情報を入力します。

signin

③[これがあなたの組織ネットワークであることを確認してください] で、[参加する] をクリック。

check

④[これで完了です] で[完了] をクリックします。

end

⑤ Azure ポータル(Azure AD )を確認すると、サインインしたユーザーのデバイス情報としてWindows 10 が登録されていることが確認できます。

azuread

⑥Microsoft  Intune 管理画面にも登録されていることが確認できます。※一覧に表示されるのに数時間かかる場合があります。

ichiranall

Windows 10 の登録手順は非常に簡単です。でも結果をすぐに確認する必要がある場合は、前回投稿した旧バージョンのWindows PCの登録方法も利用可能ですので、状況に応じて使い分けてください。

 

 

 

 

 

 

 

 

 

 

 

Microsoft Intune 入門編② ~Microsoft IntuneへのWindows PC登録 ~(Windows 7 / 8/8.1)

前回に引き続き今回はMicrosoft Intuneへのデバイス(Windows 7 / 8 / 8.1) の登録方法を確認します。

方法としては、[管理者が登録する]方法と、[PC利用ユーザーが自分で登録する]方法 のどちらかを選択することができます。

 [管理者が登録する]

  1. Microsoft Intune 管理コンソールで、[管理者] > [クライアント ソフトウェアのダウンロード] をクリックします。

client

 

2.[クライアント ソフトウェアのダウンロード] ページで、[クライアント ソフトウェアのダウンロード] をクリックし、ソフトウェアを含む Microsoft_Intune_Setup.zip パッケージをコンピューター上へ保存し、展開します。Microsoft_Intue_Setup.exe をダブルクリックし、セットアップウィザードの指示に従ってインストールを実行します。

3.Microsoft Intune 管理コンソールから左ペイン [グループ] – [すべてのコンピューター] – [デバイス] の一覧にインストールを実行したコンピューター名が表示されていることが確認できます。(数分時間がかかる場合があります)

ichiran

このままでは、だれがこのデバイスの利用者か判断ができません。

よって一覧から該当するPCを選択し、[ユーザーの関連付け] をクリックし該当するユーザーを選択します。

これで登録が完了しました。

[PC利用ユーザーが自分で登録する]

1.登録するユーザーアカウントでポータルサイト(https://portal.manage.microsoft.com)にアクセスします。

2.ポータルサイトで、[別のデバイスを選択するにはここをタップしてください]をクリックします。

apli

3.[このデバイスの登録または特定] 画面で [登録] をクリックします。

complite

この方法は、ポータルサイトにログインした時点で、すでにそのPC利用者が識別できているので、登録作業はこれで完了となります。

社内ユーザーの状況に応じて、いずれかの手段でデバイスの登録を行って下さい。

Windows 10 の場合はまたほかの登録手法がありますので、次回はそちらをご紹介します。