【AIP with Intune】AIPアドインをIntuneで管理する②

【続き】
本記事は 「【AIP with Intune】AIPアドインをIntuneで管理する①」の続編となります。前編をまだご覧になっていない方は是非ご確認ください。

【AIP with Intune】AIPアドインをIntuneで管理する①

【前回のおさらいと今回のゴール】
前回は、 Intune 管理用テンプレートから Office の管理対象アドインに指定することで、AIP アドインを常に有効化する手順を紹介しました。

今回は、管理用テンプレート使用しない実装方法 = Intune カスタム構成プロファイルを利用した実装方法についてご紹介したいと思います。

【前提条件】
前記事の手順1./2.を完了していること。

1. Intune から Office アプリを展開
2. Intune から AIP クライアントを展開

【手順１：Office 管理用テンプレートを取り込むポリシーを作成する】
Windows 10 1703 以降、Configuration Service Provider (CSP) を通じて、グループポリシーの管理用テンプレート (ADMX-backedポリシー) を取り込むことが可能となりました。
これを用いて、Office 管理用テンプレートを取り込みます。

1. 以下の URL にアクセスし Office 管理用テンプレートをダウンロード
   https://www.microsoft.com/en-us/download/details.aspx?id=49030
2. ダウンロードしたファイルを実行し、任意のフォルダに ADMX ファイルを解凍
3. Azure ポータルで [Microsoft Intune] > [デバイス構成] > [プロファイル] > [プロファイルの作成] の順にクリック
4. [プロファイルの作成] 画面で、以下の設定を入力
   ・[名前]：任意 (入力必須)
   ・[説明]：任意 (入力自由)
   ・[プラットフォーム]：Windows 10 以降
   ・[プロファイルの種類]：カスタム
5. [OMA-URI のカスタム設定] 画面で、[追加] をクリック
6. [行の追加] 画面で以下の設定を追加する
   ・[名前]：任意 (入力必須)
   ・[説明]：任意 (入力自由)
   ・[OMA-URI]：
   ./Device/Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/Office16/Policy/[アプリ名]16
   ・[データ型]：文字列
   ・[値]：アプリ名に対応する 2. で解凍した ADMX ファイルの中身コピー&ペースト
   ※アプリ名：Word/Excel/PowerPoint/Outlook のいずれか
   ※アプリ名の末尾に [16] を追加する点にご注意ください。
7. 手順 5~6 をアプリの数だけ行い、保存&割り当てを行う
8. プロファイル適用が完了した端末でレジストリエディターを開く
9. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxDefault] 以下をドリルダウンし、[Office16~] で始まるキーが作成されていることを確認する。
   ※プロファイルの設定が正しいことを確認するため、初回のみ本手順を実施します。

Step 5 ~ 7

Microsoft Office Excel

【手順２：AIP アドインを管理対象に指定するポリシーを作成する】

Office 管理用テンプレートが構成済みのため、管理対象アドイン(ListOfManagedAddins) を設定することが可能となりました。
Intune カスタム構成プロファイルを用いて、本設定を構成します。

1. Azure ポータルで [Microsoft Intune] > [デバイス構成] > [プロファイル] > [プロファイルの作成] の順にクリック
2. [プロファイルの作成] 画面で、以下の設定を入力
   ・[名前]：任意 (入力必須)
   ・[説明]：任意 (入力自由)
   ・[プラットフォーム]：Windows 10 以降
   ・[プロファイルの種類]：カスタム
3. [OMA-URI のカスタム設定] 画面で、[追加] をクリック
4. [行の追加] 画面で以下の設定を追加する
   ・[名前]：任意 (入力必須)
   ・[説明]：任意 (入力自由)
   ・[OMA-URI]：
   ./User/Vendor/MSFT/Policy/Config/”画像赤枠内の文字列”/L_ListOfManagedAddins
   ※アプリ毎に “画像赤枠内の文字列” の値が異なるのでご注意ください
   ・[データ型]：文字列
   ・[値]：<enabled /><Data id=”L_ListOfManagedAddins2" Value=”MSIP.[アプリ名]Addin&#xF000;1"/>
   ※アプリ名：Word/Excel/PowerPoint/Outlook のいずれか
5. 手順 3~4 をアプリの数だけ行い、保存&割り当てを行う

Step 3 ~ 6

Microsoft Office Excel

【確認】
手順1,2 が完了した端末で動作確認を行います。

1. Excel/Word/PowerPoint のいずれかを起動し、[ホーム] > [オプション] > [アドイン] に移動します。
2. [管理] で [COM アドイン] を選択し、[設定] をクリックします。
3. [使用できるアドイン] で、[Microsoft Azure Infromation Protection] のチェックが外せないことを確認します。
4. Excel/Word/PowerPoint のいずれかを起動し、[ホーム] > [オプション] > [アドイン] に移動します。
5. [管理] で [COM アドイン] を選択し、[設定] をクリックします。
6. [使用できるアドイン] で、[Microsoft Azure Infromation Protection] のチェックが外せないことを確認します。

Microsoft Excel > Option > Add-in

【まとめ】
フルクラウド環境における AIP アドインの管理について、管理用テンプレート/カスタム構成プロファイルと二通りの方法をご紹介しました。

管理用テンプレートは手軽に、カスタム構成プロファイルは柔軟に設定を構成できるなど、それぞれの長所があるため必要に応じて展開方法を選択していただければと思います。

【参考情報】

• MDM で ADMX ベースのポリシーを有効にする

MDM で ADMX ベースのポリシーを有効にする

• Support Tip: Ingesting Office ADMX-Backed policies using Microsoft Intune

Support Tip: Ingesting Office ADMX-Backed policies using Microsoft Intune

• 管理者ガイド: ユーザー向けに Azure Information Protection クライアントをインストールする

ユーザー向けに Azure Information Protection クライアントをインストールする