【AIP with Intune】AIPアドインをIntuneで管理する①
【AIPクライアントとアドイン】
Windows 10 で AIP クライアントを利用する場合、Office アプリに AIP のアドインが追加されます。
このアドインをエンドユーザーが無効化した場合、Office アプリでは AIP ラベル付与などの機能が無効化されます。
また、このアドインが COM アドインであるため、端末のパフォーマンスによってはシステムによって自動的に無効化される場合があります。
そのため、「すべてのドキュメントにラベルを付与したい」のような要件があった場合、対策無しにはこの要件を満たせないことになります。
【対策】
AIP の docs にも記載がありますが、GPO を 用いてAIP アドインを管理対象に指定することが可能です。これにより、AIP アドインが常に有効化されます。
グループ ポリシーを構成して Azure Information Protection アドインが無効にならないようにする
(https://docs.microsoft.com/ja-jp/azure/information-protection/rms-client/client-admin-guide-installより抜粋)
上記 URL から GPO を用いた構成方法は確認いただけるため、本記事ではフルクラウド環境を想定した対応、具体的には Intune を用いた管理方法を紹介したいと思います。
【AIP を Intune で管理するまでの 3 STEP】
1. Intune から Office アプリを展開
2. Intune から AIP クライアントを展開
※ [必要条件] から、[手順1] で追加した Office アプリを指定しましょう。
3. Windows 10 管理用テンプレートから Office 管理対象アドインに AIP を指定する
デバイス構成プロファイルから Windows 10 管理用テンプレートを構成します。
※[種類] に [Office] を選択し、検索バーから [管理対象アドインの一覧] でフィルタリングします。表示結果からExcel/Word/PowerPont を有効化&以下の設定を入力後、保存&割り当てを行います。
・Wordの場合:[名前]MSIP.WordAddin [値]1
・Excelの場合:[名前]MSIP.ExcelAddin [値]1
・PowerPointの場合:[名前]MSIP.PowerPointAddin [値]1
【動作確認】
3 STEP の適用が完了した端末で動作確認を行います。
- Excel/Word/PowerPoint のいずれかを起動し、[ホーム] > [オプション] > [アドイン] に移動します。
- [管理] で [COM アドイン] を選択し、[設定] をクリックします。
- [使用できるアドイン] で、[Microsoft Azure Infromation Protection] のチェックが外せないことを確認します。
【管理用テンプレート以外の方法】
管理用テンプレートで AIP アドインを常に有効化する手順をご紹介しましたが、管理用テンプレートの設定は多岐に渡るため本手順を実行するためだけに展開するのは無駄が多い気がしなくもないですね。
※悪いということではありません。単に筆者が勿体ないと感じてしまうだけです。
個人的には、可能であれば AIP アドイン管理専用のデバイス構成ポリシーを作成したいところです。
ということで次回「【AIP with Intune】AIPアドインをIntuneで管理する②」では、カスタム構成ポリシーを用いて AIP アドインの管理用のプロファイルを作成する手順をご紹介したいと思います。
【参考情報】
- 管理者ガイド: ユーザー向けに Azure Information Protection クライアントをインストールする
- Microsoft Intune で Windows 10 デバイスに Office 365 アプリを割り当てる
- Intune スタンドアロン — Win32 アプリ管理
