EDPのポリシーには(1)認可された企業アプリ、(2)ネットワークポリシー、(3)アプリの制御ポリシー――の3つが用意されている。
(1)の認可された企業アプリでは、企業が利用するアプリをあらかじめ設定できる。例えば、業務でよく利用するExcel、Word、PowerPoint、Outlookなどを登録しておけば、これらのアプリで作成されたファイルは、自動的に暗号化されて保存される。自社開発したアプリも登録可能だ。
(2)のネットワークポリシーでは、特定のドメイン、IPアドレス、プロキシなどのデータを保護できる。例えば、企業のファイルサーバやSharePoint、Office 365に保存されているデータへユーザーがアクセスした場合に監査ログを取ることができる。ユーザーがローカルのPCやスマートフォンにデータをダウンロードしようとする時に、監査ログを取得したり、注意喚起のメッセージを表示したりすることも可能(設定によってダウンロード不可にも可能)だ。さらに、ユーザーがダウンロードしたデータをメールに添付したり、USBメモリにコピーしようとした時にも、添付を不可にしたり、コピーを禁止したりもできる。
(3)のアプリの制御ポリシーでは、設定した企業アプリと非企業アプリとの間でコピー&ペーストや共有を制御できる。例えば、企業アプリとして登録したExcelのデータをメールに添付したり、USBメモリにコピーしたりするといったコントロールが可能だ。
EDPのメリットは、Windows 10のデスクトップやノートPC、タブレットだけでなく、スマートフォンなどの環境も含めて一つの管理ツールで一括管理できるところだろう。
ただし気になるのは、あるアプリをEDPが制御するアプリとして登録してしまうと、そのアプリで作ったデータは全て企業向けのセキュリティが適用されてしまうことだ。例えば、Wordを使って個人旅行のスケジュールを作成しても、そのデータに企業としてのセキュリティが反映される。
当然ながら、企業から配布されたライセンスでWordなどのアプリケーションを私的に利用するということは問題だろう。しかし、私物のデバイスで使う場合は曖昧になる。欧米のような方式で、“設定したルール以外での使用は違法”として処理してしまうのか、それとも、日本的にある程度の自由度を許容するのか。このあたりは企業文化にも関わるが、できればそうした部分も吸収できるEDPを活用することで、デバイスやアプリが便利に使えるようになるかもしれない。
上述したように、EDPの利用には次世代版のSCCMか、Microsoft Intuneが必要だ。次世代版のSCCMはWindows Server 2016のリリースに合わせて提供されるため、登場は2016年の後半になるだろう。EDPをテストするには、Microsoft Intuneを使うしか無かった。Microsoftは当初、EDPへの対応を2015年12月に行うとしていたが、結局は2016年1月に対応することになった。このあたりのスケジュールの遅れは、EDP自体がWindows 10 November Updateから漏れてしまったことなどに由来するのかもしれない。
Microsoft IntuneがEDPに対応したことで、次のWindows 10 Insider Previewでは本格的にEDP機能をテストできるようになると思われる。
Copyright © ITmedia, Inc. All Rights Reserved.