みなさま、こんにちは!町端です。
今回は、iOS/iPadOS デバイスで、Microsoft Intune のモバイルアプリケーション管理(MAM)で保護されたアプリのスクリーンキャプチャをブロックできる新機能についてご紹介します。
また、1月の Microsoft 公開情報からセキュリティ関連の情報もピックアップしましたので、合わせてご紹介します。
- ※当ブログにて記載しております Microsoft 社の Web サイトの URL については、Microsoft 社側のリダイレクトの仕組みにより、お客様の閲覧環境に沿ったページに自動的にリダイレクトされることがございます。
原文を参照される場合は、リダイレクトされた URL の ja-jp などの文字列を en-us に変更することで閲覧いただけます。
iOS/iPadOS MAM スクリーンショットブロック機能を検証してみた
画面キャプチャブロックを使用するための条件は以下の通りです。
アプリ(Microsoft アプリ、サードパーティ製アプリ、または基幹業務(LOB)アプリ)が、Xcode 15 の場合は Intune App SDK v19.7.6 以降、Xcode 16 の場合は v20.2.1 以降を使用するように更新されている。
ポリシー作成
1.Microsoft Intune 管理センターにサインインします。
2.[アプリ] > [アプリ保護ポリシー] > [ポリシーの作成] > 「iOS/iPadOS」を選択します。
3.[他のアプリに組織データを送信]にて、[すべてのアプリ]以外の設定値を選択します。
※ 本設定値がスクリーンショットブロックするための設定値です。
4.[割り当て]にて、ポリシーを割り当てるユーザグループを選択します。
ポリシー作成の手順は以上です。
動作の確認
アプリ保護ポリシー対象のアプリを起動します。
※ 今回は例として、Outlook を起動しました。
スクリーンショットをすると、警告画面が表示され、以下のように黒い画面が保存されました。
また、画面収録をすると、対象アプリ起動時に警告画面が表示され、保存後の動画を確認すると、以下のように黒い画面が表示されていました。
警告画面は、画面キャプチャ/画面収録で同じものとなります。
スクリーンショットを許可したい場合
今回のアップデートにより、既存ポリシーで、アプリ保護ポリシーの「他のアプリに組織データを送信 (Send org data to other apps)」 を [すべてのアプリ] 以外の設定で構成している場合、スクリーンショットがブロックされる動作になります。
対象アプリにて、「スクリーンショットは許可したいが、他アプリへのデータ連携をを制限したい場合」などは、アプリ構成ポリシーから、スクリーンショットブロックを無効化する構成が可能です。
手順は以下の通りです。
1.Microsoft Intune 管理センターにサインインします。
2.[アプリ] > [アプリ構成ポリシー] > [作成] > 「マネージドアプリ」を選択します。
3.[設定] > [一般的な構成設定] にて、以下の設定を入力します。
名前:com.microsoft.intune.mam.screencapturecontrol
値:Disabled
4.[割り当て]にて、ポリシーを割り当てるユーザグループを選択します。
まとめ
これまで、iOS では Intune 登録されたデバイスのスクリーンショット自体を禁止する機能はありましたが、アプリ単位でスクリーンショットをブロックできるように管理の幅が広がったのではないでしょうか。
また、Intune 登録していない BYOD デバイスなどでも、会社アプリのスクリーンショットがブロックできるようになり、セキュリティの向上にもつながる機能だと思います。
引き続き、1月度の Microsoft 公開情報をご確認ください!
Microsoft 公開情報
Microsoft Blog の更新からセキュリティに関する気になる項目をピックアップしてご紹介します。
Microsoft Teams と Outlook の新しい統合連絡先が一般公開されました
New Unified Contacts in Microsoft Teams and Outlook, now generally available
- これまで Microsoft Teams の連絡先と Outlook の連絡先は別々に管理する必要がありました。今回、それらが統合され、Microsoft Teams、Outlook どちらでも同じ連絡先情報を参照、更新することができるようになります。
この統合は、Outlook では2025年1月6日に提供が開始され、Microsoft Teams では2025年4月30日までに段階的に展開される予定です。
Exchange 向け Microsoft Graph Export-Import API のパブリックプレビューが公開されました
Introducing the Microsoft Graph Export-Import APIs for Exchange in public preview
- 以前より Exchange Online の Exchange Web サービス(EWS)が2026年10月1日に廃止となることがアナウンスされています。これまで EWS で行われていたメールアイテムの抽出やエクスポート、インポートなどの操作の代替として、Microsoft Graph の Export-Import API がパブリックプレビューで公開されました。
記事内のリンクから、より具体的な API の提供機能を確認することができます。
Android の個人所有の仕事用プロファイル向けの新ポリシー実装とWeb 登録
New policy implementation and web enrollment for Android personally owned work profile
- Android の個人所有の仕事用プロファイルについて、今後は Google が推奨する Android Management API(AM API)で実装する方針となりました。AM API は、すでに他の Android Enterprise 管理オプション(フルマネージド、Android 専用、企業所有の仕事用プロファイル)で使用されています。この変更により、新機能の迅速なリリースやすべての Android Enterprise 管理オプションで一貫性のある動作が期待できます。
また、AM API の導入により、Intune の登録方法が Intune ポータルサイトアプリから Web ベースの登録に切り替わります。
AM API への移行は2026年までに行われる予定です。記事では、移行に伴うユーザー影響や、今後のスケジュールが参照できます。
さいごに
以上です。
最後までお読みいただきありがとうございました。
