この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

はじめに

こんにちは、パーソルプロセス&テクノロジーの木村です。

リモートワークを含む働き方の多様化・促進に伴って社給端末だけでなく個人所有デバイス、
いわゆるBYODでMicrosoft 365をご利用いただくお客様が増えてまいりました。

社給・BYODに関わらず社外から業務データを扱う中で検討するポリシーは多岐にわたっておりますが、
特に個人端末領域に業務データをダウンロードさせたり印刷させることをブロックしたりすることは
よく検討される項目になります。

本稿は会社で管理しているアプリからデータ出力（PDF化・印刷）のブロックが正常に機能しているかを検証した内容になります。

※本稿におけるスマートフォンでの画面キャプチャはAndroid端末を使用しております。

Microsoft Endpoint Managerでの設定

https://endpoint.microsoft.comにアクセスし「アプリ保護ポリシー」を選択します。

アプリ保護ポリシーの設定を進めていくとデータ保護の設定項目の中に組織データを出力するという設定がございます。ヒントにあるようにブロックされている場合、保護されているアプリからデータの出力をすることはできません。

出力を許可したスマートフォン（Android）の場合

それでは実際に先程設定したポリシーが機能するか確認してみたいと思います。
まずは保護されたOneDrive for Businessにテスト用のファイルを作成します。

ファイルを開き、印刷を押してみます。

するとAndroid端末が私の自宅ネットワーク内にあるプリンターを検知しております。実際にプリンターを選択すると印刷が開始されてしまいました。

（補足）
PDF形式で保存すると保護されたフォルダにダウンロードされます。
Androidの場合はFilesになります。

出力をブロックしたスマートフォン（Android）の場合

出力を許可してしまうと簡単に会社データを持ち出すことができます。
これを防ぐためにアプリ保護ポリシーから「組織データの出力する」の項目をブロックしてみます。
先程の手順と同様に保護されたOneDrive for Business上でファイルを選択して印刷を選択すると以下のアラートが出現しました。

これにより保護されたアプリから会社データを出力することができないことが確認できました。
またこの手順以外にもネットプリントのサービスから出力できないかについて検証しましたがネットプリントのアプリから保護されたアプリ内のデータを参照することができませんでした。

まとめ

簡単ですが Microsoft Endpoint Manager で組織データの出力を制限する設定の紹介でございました。会社の大切な情報資産を守るためにも出力を許可するかブロックするかご検討いただければ幸いでございます。