次の方法で共有


Microsoft Intune の Android アプリ保護ポリシーの設定

この記事では、Android デバイスのアプリ保護ポリシー設定について説明します。 説明されているポリシー設定は、ポータルの [設定] ウィンドウでアプリ保護ポリシーに対して構成できます。 ポリシー設定には、データ保護設定、アクセス要件、条件付き起動の 3 つのカテゴリがあります。 この記事の "ポリシーで管理されているアプリ" という用語は、アプリ保護ポリシーで構成されるアプリを示します。

重要

Android デバイスのアプリ保護ポリシーを受信するには、デバイスでIntune ポータル サイトが必要です。

Intune Managed Browser は廃止されました。 保護された Intune ブラウザー エクスペリエンスには Microsoft Edge を使用してください。

データの保護

データ転送

Setting 使用方法 既定値
Android バックアップ サービスへの組織データのバックアップ [ ブロック] を 選択すると、このアプリが Android Backup Service に職場または学校のデータをバックアップできなくなります。

[ 許可] を 選択して、このアプリが職場または学校のデータをバックアップできるようにします。
許可
組織データを他のアプリに送信する このアプリからデータを受け取ることができるアプリを指定します。
  • ポリシーで管理されているアプリ: 他のポリシーで管理されているアプリへの転送のみを許可します。
  • すべてのアプリ: すべてのアプリへの転送を許可します。
  • なし: 他のポリシーで管理されたアプリを含め、アプリへのデータ転送を許可しません。

Intune でデータ転送先として既定で許可される可能性のある除外対象アプリとサービスがいくつかあります。 さらに、Intune アプリをサポートしていないアプリへのデータ転送を許可する必要がある場合、独自の例外を作成できます。 詳細については、「 データ転送の除外」を参照してください。

このポリシーは、Android アプリ リンクにも適用される場合があります。 一般的な Web リンクは、[Intune Managed Browser でアプリ リンクを開く] ポリシー設定によって管理されます。

注:

Intuneは現在、Android インスタント アプリ機能をサポートしていません。 Intuneは、アプリとの間のデータ接続をブロックします。 詳細については、Android 開発者向けドキュメントの 「Android インスタント アプリ 」を参照してください。

[他のアプリに組織データを送信する] が [すべてのアプリ] に構成されている場合、テキスト データは引き続き OS 共有を介してクリップボードに転送される可能性があります。

すべてのアプリ
    除外するアプリを選択します
このオプションは、上記のオプションで [ポリシーで管理されているアプリ] を選択した場合に使用できます。
    組織データのコピーを保存
このアプリで [名前を付けて保存] オプションの使用を無効にするには、[ブロック] を選択します。 "名前を付けて保存" の使用を許可する場合は、[許可] を選択します。 "ブロック" に設定した場合、"選択したサービスにユーザーがコピーを保存することを許可" の設定を構成できます。

注:
  • この設定は、Microsoft Excel、OneNote、PowerPoint、Word、Edge でサポートされています。 サード パーティおよび LOB アプリでもサポートされる場合があります。
  • この設定は、[ 組織データを他のアプリに送信する ] 設定が [ポリシー管理アプリ] に設定されている場合にのみ構成できます。
  • "この設定は、[他のアプリに組織データを送信][すべてのアプリ] に設定されている場合に "許可" されます。"
  • [ 他のアプリに組織データを送信 する] が [なし] に設定されている場合、この設定は許可されたサービスの場所がない "ブロック" になります。
  • [ 組織データの暗号化 ] が [必須] に設定されている場合、この設定では暗号化されたファイルが保存されます。
許可
      選択したサービスにユーザーがコピーを保存することを許可
ユーザーは、選択したサービス (OneDrive for Business、SharePoint、フォト ライブラリ、Box、ローカル ストレージ) に保存できます。 その他のサービスはすべてブロックされます。 選択済み 0
    通信データの転送先
通常、ハイパーリンクの付いた電話番号をアプリ内でユーザーが選択すると、電話番号が事前入力された状態で電話アプリが開き、電話をかける準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。
  • なし。アプリ間でこのデータを転送しないでください:電話番号が検出されたときに通信データを転送しないでください。
  • 特定の電話アプリ: 電話番号が検出されたとき、連絡を開始することを特定の電話アプリに許可します。
  • ポリシーで管理されるダイヤラー アプリ: 電話番号が検出されたときに、ポリシー管理ダイヤラー アプリによる連絡先の開始を許可します。
  • 任意の電話アプリ: 電話番号が検出されたとき、連絡開始に使用されることを任意の電話アプリに許可します。
任意の電話アプリ
      Dialer アプリ パッケージ ID
特定のダイヤラー アプリが選択されている場合は、 アプリ パッケージ ID を指定する必要があります。 Blank
      Dialer アプリ名
特定のダイヤラー アプリが選択されている場合は、ダイヤラー アプリの名前を指定する必要があります。 Blank
    メッセージング データを に転送する
通常、ハイパーリンクの付いた電話番号をアプリ内でユーザーが選択すると、電話番号が事前入力された状態で電話アプリが開き、電話をかける準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。
  • なし。アプリ間でこのデータを転送しないでください:電話番号が検出されたときに通信データを転送しないでください。
  • 特定のメッセージング アプリ: 電話番号が検出されたときに特定のメッセージング アプリを使用して連絡先を開始できるようにします。
  • ポリシーで管理されるメッセージング アプリ: 電話番号が検出されたときに、ポリシーで管理されたメッセージング アプリを使用して連絡先を開始できるようにします。
  • 任意のメッセージング アプリ: 電話番号が検出されたときに、任意のメッセージング アプリを使用して連絡先を開始できるようにします。
任意のメッセージング アプリ
      メッセージング アプリ パッケージ ID
特定のメッセージング アプリが選択されている場合は、 アプリ パッケージ ID を指定する必要があります。 Blank
      メッセージング アプリ名
特定のメッセージング アプリが選択されている場合は、メッセージング アプリの名前を指定する必要があります。 Blank
他のアプリからデータを受信 このアプリにデータを転送できるアプリを以下のように指定します。
  • ポリシーで管理されているアプリ: 他のポリシーで管理されているアプリからの転送のみを許可します。
  • すべてのアプリ: すべてのアプリからのデータ転送を許可します。
  • なし: 他のポリシーで管理されたアプリを含め、どのアプリからのデータ転送も許可しません。

Intuneがデータ転送を許可する一部の除外アプリとサービスがあります。 アプリとサービスの完全な一覧については、「 データ転送の除外 」を参照してください。

すべてのアプリ
    データを開いて組織ドキュメントに読み込む
このアプリで、アカウント間でデータを共有するための "開く" オプションやその他のオプションの使用を無効にするには、[ブロック] を選択します。 "開く" の使用を許可する場合は、[許可] を選択します。

[ブロック] に設定すると、[選択したサービスからデータを開くことをユーザーに許可する] を構成して、組織データの場所で使用できるサービスを指定することができます。

注:
  • この設定を構成できるのは、[他のアプリからデータを受信][ポリシー マネージド アプリ] に設定されている場合のみです。
  • [ 他のアプリからのデータの受信 ] 設定が [ すべてのアプリ] に設定されている場合、この設定は "許可" になります。
  • この設定は、[他のアプリからデータを受信] 設定が [なし] に設定されている場合は、"ブロック" になり、許可されるサービスの場所はありません。
  • この設定は、次のアプリでサポートされています:
    • OneDrive 6.14.1 以降。
    • Outlook for Android 4.2039.2 以降。
    • Teams for Android 1416/1.0.0.2021173701 以降。


許可
      選択したサービスからデータを開くことをユーザーに許可する
ユーザーがデータを開くことができるアプリケーション ストレージ サービスを選択します。 他のすべてのサービスはブロックされます。 サービスを選択しない場合、ユーザーはデータを開けなくなります。

サポートされているサービス:
  • OneDrive for Business
  • SharePoint Online
  • カメラ
  • フォト ライブラリ
手記: カメラに写真やフォト ギャラリーへのアクセスは含まれません。 [Intune内で選択したサービスからデータを開くことをユーザーに許可する] 設定でフォト ライブラリ (Android のフォト ピッカー ツールを含む) を選択すると、マネージド アカウントがデバイスのローカル ストレージから管理対象アプリへの受信画像/ビデオを許可できます。
すべて選択済み
他のアプリとの間で切り取り、コピー、貼り付けを制限する このアプリで切り取り、コピー、および貼り付け操作をいつ使用できるようにするかを指定します。 次から選択します。
  • ブロック: このアプリと他のアプリとの間で、切り取り、コピー、貼り付け操作を許可しません。
  • ポリシーで管理されているアプリ: このアプリと他のポリシーで管理されているアプリ間で、切り取り、コピー、および貼り付け操作を許可します。
  • 貼り付けを使用する、ポリシーで管理されているアプリ: このアプリと他のポリシーで管理されているアプリ間で切り取りまたはコピーを許可します。 任意のアプリからこのアプリへのデータの貼り付けを許可します。
  • すべてのアプリ: このアプリに対する切り取り、コピー、貼り付けに制限はありません。
任意のアプリ
    あらゆるアプリの切り取りとコピーの文字制限
組織のデータとアカウントから切り取りまたはコピーできる文字数を指定します。 これにより、指定した文字数の共有が許可されます。それ以外の場合は、[他のアプリとの切り取り、コピー、貼り付けを制限する] 設定によってブロックされます。

既定値 = 0

: バージョン 5.0.4364.0 以降Intune ポータル サイト必要です。

0
スクリーン キャプチャと Google アシスタント [ ブロック] を選択して画面キャプチャをブロックし、 Circle to Search をブロックし、このアプリを使用するときにデバイス上の組織データへの Google アシスタント のアクセスをブロックします。 [ ブロック ] を選択すると、職場または学校アカウントでこのアプリを使用するときに、アプリ 切り替えプレビュー イメージもぼかされます。

: 組織データにアクセスしないシナリオでは、ユーザーが Google Assistant にアクセスできる場合があります。

Block
承認済みキーボード [ 必須] を 選択し、このポリシーで承認されたキーボードの一覧を指定します。

承認済みキーボードを使用していないユーザーは、保護されたアプリを使用する前に、承認されたキーボードをダウンロードしてインストールするように求められます。 この設定では、アプリに Intune SDK for Android バージョン 6.2.0 以降が必要です。

必須ではありません
    承認するキーボードを選択する
このオプションは、前のオプションで [必須 ] を選択した場合に使用できます。 [ 選択] を選択 して、このポリシーによって保護されたアプリで使用できるキーボードと入力方法の一覧を管理します。 リストにキーボードを追加し、既定のオプションのいずれかを削除できます。 設定を保存するには、承認されたキーボードが少なくとも 1 つ必要です。 時間が経つにつれて、Microsoft は新しい App Protection ポリシーの一覧にキーボードを追加する場合があります。これにより、管理者は必要に応じて既存のポリシーを確認して更新する必要があります。

キーボードを追加するには、次のように指定します。

  • 名前: キーボードを識別し、ユーザーに表示されるフレンドリ名。
  • パッケージ ID: Google Play ストア内のアプリのパッケージ ID。 たとえば、Play ストア内のアプリの URL が https://play.google.com/store/details?id=com.contoskeyboard.android.prodされている場合、パッケージ ID は com.contosokeyboard.android.prod。 このパッケージ ID は、Google Play からキーボードをダウンロードするための簡単なリンクとしてユーザーに表示されます。

手記: 複数の App Protection ポリシーを割り当てられたユーザーは、すべてのポリシーに共通する承認済みのキーボードのみを使用できます。

暗号化

Setting 使用方法 既定値
組織データを暗号化する [ 必須] を 選択して、このアプリで職場または学校のデータの暗号化を有効にします。 Intuneでは、wolfSSL の 256 ビット AES 暗号化スキームと Android キーストア システムを使用して、アプリ データを安全に暗号化します。 データは、ファイル I/O タスク中に同期的に暗号化されます。 デバイス ストレージ上のコンテンツは常に暗号化され、Intuneのアプリ保護ポリシーをサポートし、ポリシーが割り当てられているアプリによってのみ開くことができます。 新しいファイルは 256 ビット キーで暗号化されます。 既存の 128 ビット暗号化ファイルでは、256 ビット キーへの移行が試行されますが、プロセスは保証されません。 128 ビット キーで暗号化されたファイルは読み取り可能なままになります。

暗号化方法は FIPS 140-2 検証済みです。詳細については、「 wolfCrypt FIPS 140-2」および「FIPS 140-3」を参照してください。
必須
    登録済みデバイス上の組織データを暗号化する
[必須] を選択して、すべてのデバイスでIntuneアプリレイヤーの暗号化を使用して組織データの暗号化を適用します。 [必須ではありません] を選択すると、登録済みデバイスでIntuneアプリレイヤーの暗号化を使用して組織データの暗号化を適用できません。 必須

機能

Setting 使用方法 既定値
ポリシー管理されたアプリのデータをネイティブ アプリやアドインと同期させることが可能 [ブロック] を選択すると、ポリシーマネージド アプリがデバイスのネイティブ アプリ (連絡先、予定表、ウィジェット) にデータを保存できないようにし、ポリシー管理アプリ内でのアドインの使用を防ぐことができます。 アプリケーションでサポートされていない場合は、ネイティブ アプリへのデータの保存とアドインの使用が許可されます。

[許可] を選択した場合、ポリシー管理アプリでこれらの機能がサポートされ、有効になっている場合、ポリシー管理アプリはネイティブ アプリにデータを保存したり、アドインを使用したりできます。

アプリケーションは、特定のネイティブ アプリにデータ同期動作をカスタマイズするための追加のコントロールを提供したり、このコントロールを受け入れたりしない場合があります。

: 選択的ワイプを実行してアプリから職場または学校のデータを削除すると、ポリシー管理アプリからネイティブ アプリに直接同期されたデータが削除されます。 ネイティブ アプリから別の外部ソースに同期されたデータはワイプされません。

: 次のアプリはこの機能をサポートしています。
許可
組織データを出力する [ ブロック ] を選択すると、アプリが職場または学校のデータを印刷できなくなります。 この設定を [許可] (規定値) のままにした場合、ユーザーはすべての組織データをエクスポートおよび印刷できるようになります。 許可
その他のアプリでの Web コンテンツの転送を制限する ポリシーで管理されているアプリケーションから Web コンテンツ (http/https リンク) をどのように開くか指定します。 次から選択します。
  • 任意のアプリ: 任意のアプリで Web リンクを許可します。
  • Intune Managed Browser: Intune Managed Browser でのみ Web コンテンツを開くことを許可します。 このブラウザーは、ポリシーで管理されたブラウザーです。
  • Microsoft Edge: Microsoft Edge でのみ Web コンテンツを開くことを許可します。 このブラウザーは、ポリシーで管理されたブラウザーです。
  • アンマネージド ブラウザー: [アンマネージド ブラウザー プロトコル] 設定で定義されたアンマネージド ブラウザーのみで Web コンテンツを開くことを許可します。 Web コンテンツは、対象のブラウザーで管理されなくなります。
    : バージョン 5.0.4415.0 以降Intune ポータル サイト必要です。


  • ポリシーで管理されるブラウザー
    Android では、Intune Managed Browserも Microsoft Edge もインストールされていない場合、エンド ユーザーは http/https リンクをサポートする他のポリシーで管理されたアプリから選択できます。

    ポリシーで管理されているブラウザーが必要であるにもかかわらず、インストールされていない場合、エンド ユーザーには Microsoft Edge のインストールが求められます。

    ポリシーで管理されたブラウザーが必要な場合、Android アプリ リンクは、[ アプリが他のアプリにデータを転送することを許可する ] ポリシー設定によって管理されます。

    Intune デバイスの登録
    Intuneを使用してデバイスを管理する場合は、「Microsoft Intuneでマネージド ブラウザー ポリシーを使用してインターネット アクセスを管理する」を参照してください。

    ポリシーで管理されている Microsoft Edge
    モバイル デバイス (iOS/iPadOS および Android) 向けの Microsoft Edge ブラウザーで、Intune アプリ保護ポリシーがサポートされます。 Microsoft Edge ブラウザー アプリケーションで会社のMicrosoft Entra アカウントでサインインするユーザーは、Intuneによって保護されます。 Microsoft Edge ブラウザーは、APP SDK を統合し、すべてのデータ保護ポリシーをサポートします。ただし、次の防止は除きます。

    • 名前を付けて保存: Microsoft Edge ブラウザーでは、ユーザーがクラウド ストレージ プロバイダー (OneDrive など) に直接アプリ内接続を追加することはできません。
    • 連絡先の同期: Microsoft Edge ブラウザーはネイティブ連絡先リストに保存されません。
    注:APP SDK は、ターゲット アプリがブラウザーであるかどうかを判断できません。Android デバイスでは、http/https 意図をサポートする他のマネージド ブラウザー アプリが許可されます。
未構成
    アンマネージ ブラウザー ID
1 つのブラウザーのアプリケーション ID を入力します。 ポリシー管理アプリケーションからの Web コンテンツ (http/https リンク) は、指定されたブラウザーで開きます。 Web コンテンツは、対象のブラウザーで管理されなくなります。 Blank
    アンマネージ ブラウザー名
アンマネージド ブラウザー ID に関連付けられているブラウザーのアプリケーション名を入力します。 指定したブラウザーがインストールされていない場合、この名前がユーザーに表示されます。 Blank
組織のデータ通知 組織アカウントの OS 通知を介して共有される組織データの量を指定します。 このポリシー設定は、ローカル デバイスと、ウェアラブルやスマート スピーカーなど、接続されているあらゆるデバイスに影響を与えます。 アプリにより、通知動作をカスタマイズする目的で制御が追加されたり、すべての値が無視されたりすることがあります。 次の中から選択します。
  • ブロック: 通知を共有しません。
    • アプリケーションでサポートされていない場合、通知は許可されます。
  • 組織データをブロックする: 通知で組織データを共有しないでください。 たとえば、"新しいメールがある" とします。"会議がある"
    • アプリケーションでサポートされていない場合、通知はブロックされます。
  • 許可: 通知で組織データを共有する

: この設定には、アプリのサポートが必要です。

  • Outlook for Android 4.0.95 以降
  • Teams for Android 1416/1.0.0.2020092202 以降。
許可

データ転送の除外対象

アプリ保護ポリシーで送受信されるデータ転送を許可Intune、一部の除外アプリとプラットフォーム サービスがあります。 たとえば、Android 上のすべてのIntune管理されたアプリは、モバイル デバイスの画面からテキストを音声で読み上げることができるように、Google テキスト読み上げと音声変換の間でデータを転送できる必要があります。 このリストは、セキュリティで保護された生産性向上に役立つと考えられるサービスとアプリを表しており、変更される可能性があります。

完全な除外

これらのアプリとサービスは、Intuneマネージド アプリとの間でデータ転送が完全に許可されます。

アプリ/サービス名 説明
com.android.phone ネイティブ電話アプリ
com.android.vending Google Play ストア
com.google.android.webview WebView。Outlook を含む多くのアプリに必要です。
com.android.webview Webview。Outlook を含む多くのアプリに必要です。
com.google.android.tts Google テキスト読み上げ
com.android.providers.settings Android システム設定
com.android.settings Android システム設定
com.azure.authenticator Azure Authenticator アプリ。これは、多くのシナリオで認証を成功させるために必要です。
com.microsoft.windowsintune.companyportal Intune ポータル サイト
com.android.providers.contacts ネイティブ連絡先アプリ

条件付き除外

これらのアプリとサービスは、特定の条件下でIntune管理されたアプリとの間でのみデータ転送が許可されます。

アプリ/サービス名 説明 除外条件
com.android.chrome Google Chrome ブラウザー Chrome は、Android 7.0 以降の一部の WebView コンポーネントに使用され、ビューから非表示になることはありません。 ただし、アプリとの間のデータ フローは常に制限されます。
com.skype.raider Skype Skype アプリは、電話をかける特定のアクションに対してのみ許可されます。
com.android.providers.media Android メディア コンテンツ プロバイダー 着信音の選択アクションに対してのみ許可されるメディア コンテンツ プロバイダー。
com.google.android.gms;com.google.android.gsf Google Play Services パッケージ これらのパッケージは、プッシュ通知などの Google Cloud Messaging アクションに使用できます。
com.google.android.apps.maps Google Maps アドレスはナビゲーションに使用できます。
com.android.documentsui Android ドキュメント ピッカー ファイルを開いたり作成したりするときに許可されます。
com.google.android.documentsui Android ドキュメント ピッカー (Android 10 以降) ファイルを開いたり作成したりするときに許可されます。

詳細については、「 アプリのデータ転送ポリシーの例外」を参照してください。

アクセス要件

Setting 使用方法
アクセスに PIN を使用 [必要] を選択すると、このアプリを使用する際に PIN が要求されます。 ユーザーは、職場または学校のコンテキストでアプリを初めて実行するときに、この PIN のセットアップを求められます。

既定値 = 必須

[アクセスに PIN を使用] セクションの下の使用可能な設定を使用して、PIN 強度を構成できます。

手記: アプリへのアクセスを許可されているエンド ユーザーは、アプリの PIN をリセットできます。 Android デバイスでは、この設定が表示されない場合があります。 Android デバイスには、4 つの使用可能なショートカットの最大制限があります。 最大値に達すると、エンド ユーザーは、カスタマイズされたショートカット (または別のマネージド アプリ ビューからショートカットにアクセス) を削除して、リセットされた APP PIN ショートカットを表示する必要があります。 または、エンド ユーザーがショートカットをホームページにピン留めすることもできます。

    PIN の種類
アプリ保護ポリシーが適用されているアプリにアクセスする前に、数値またはパスコードのどちらの種類の PIN を入力する必要があるかを設定します。 数値の場合は数字だけですが、パスコードの場合は少なくとも 1 つのアルファベットまたは少なくとも 1 つの特殊文字で定義できます。

既定値 = 数値

手記: 使用できる特殊文字には、Android 英語キーボードの特殊文字と記号が含まれます。
    シンプル PIN
ユーザーが 1234、1111abcdaaaa などの単純な PIN シーケンスを使用できるようにするには、[許可] を選択します。 [ ブロック] を 選択すると、単純なシーケンスを使用できなくなります。 単純なシーケンスは、3 文字のスライディング ウィンドウで確認されます。 Block が構成されている場合、エンド ユーザーが設定した PIN として 1235 または 1112 は受け入れられませんが、1122 は許可されます。

既定値 = 許可

手記: パスコードの種類の PIN が構成されていて、Simple PIN が [許可] に設定されている場合、ユーザーは PIN に少なくとも 1 つの文字 または 少なくとも 1 つの特殊文字が必要です。 パスコードの種類の PIN が構成されていて、Simple PIN が [ブロック] に設定されている場合、ユーザーは PIN に少なくとも 1 つの数字 1 つの文字 少なくとも 1 つの特殊文字が必要です。
    PIN の最小長を選択する
PIN シーケンスの最小桁数を指定します。

既定値 = 4
    アクセス用の PIN ではなく生体認証
[ 許可] を 選択して、ユーザーが生体認証を使用して Android デバイスでユーザーを認証できるようにします。 許可されている場合、生体認証は Android 10 以降のデバイス上のアプリにアクセスするために使用されます。
    タイムアウト後に PIN で生体認証をオーバーライドする
この設定を使用するには、[必要] を選択し、非アクティブ タイムアウトを構成します。

既定値 = 必須
      タイムアウト (非アクティブの分)
パスコードまたは数値 (構成済み) PIN によって生体認証の使用がオーバーライドされるまでの時間を分単位で指定します。 このタイムアウト値は、[(非アクティブ分数) 後にアクセス要件を再確認する] に指定した値よりも大きい必要があります。

既定値 = 30
    クラス 3 生体認証 (Android 9.0 以降)
[ 必須] を選択して、ユーザーがクラス 3 の生体認証でサインインすることを要求します。 クラス 3 の生体認証の詳細については、Google のドキュメントの 「生体認証 」を参照してください。
    生体認証の更新後に PIN で生体認証をオーバーライドする
生体認証の変更が検出されたときに PIN で生体認証の使用をオーバーライドするには、[ 必須] を選択します。

注意:
この設定は、生体認証を使用してアプリにアクセスした後にのみ有効になります。 Android デバイスの製造元によっては、暗号化操作ですべての形式の生体認証がサポートされるわけではありません。 現在、暗号化操作は、Android ドキュメントで定義されているように、クラス 3 生体認証の要件を満たす、または超えるデバイス上の生体認証 (指紋、虹彩、顔など) でサポートされています。 BiometricManager.Authenticators インターフェイスのBIOMETRIC_STRONG定数と、生体認証クラスの authenticate メソッドを参照してください。 デバイス固有の制限事項については、デバイスの製造元に問い合わせる必要がある場合があります。

    PIN をリセットするまでの日数
[はい] を選択すると、ユーザーは設定された期間の経過後にアプリの PIN を変更する必要があります。

[はい] に設定した場合は、PIN のリセットが要求されるまでの日数を構成します。

既定値 = いいえ
      日数
PIN のリセットが要求されるまでの日数を構成します。

既定値 = 90
    維持する以前の PIN 値の数を選択する
この設定では、Intuneが保持する以前の PIN の数を指定します。 新しい PIN は、Intuneが管理しているものとは異なる必要があります。

既定値 = 0
    デバイスの PIN が設定されている場合のアプリ PIN
[必須ではありません] を選択すると、登録されているデバイスでデバイスロックが検出され、ポータル サイトが構成されている場合にアプリの PIN が無効になります。

既定値 = 必須
アクセスに職場または学校アカウントの資格情報を使用 [ 必須] を選択すると、アプリアクセス用の PIN を入力するのではなく、職場または学校アカウントでサインインするようにユーザーに要求できます。 [必須] に設定し、PIN または生体認証プロンプトがオンになっている場合、企業の資格情報と PIN または生体認証プロンプトの両方が表示されます。

既定値 = 必須ではありません
(非アクティブ分数) 後にアクセス要件を再確認する 次の設定を構成します。
  • タイムアウト: (ポリシーで前に定義した) アクセス要件が再確認されるまでの分数です。 たとえば、管理者がポリシーで PIN をオンにしてルート化されたデバイスをブロックする、ユーザーが Intune で管理されているアプリを開く、PIN を入力しなければならない、およびルート化されていないデバイスでアプリを使用していなければならないなどです。 この設定を使用する場合、ユーザーは PIN を入力したり、構成された値と等しい期間、Intuneマネージド アプリで別のルート検出チェックを受ける必要はありません。

    このポリシー設定の形式は、正の整数をサポートします。

    既定値 = 30 分

    手記:Android では、PIN はすべてのIntuneマネージド アプリと共有されます。 PIN タイマーは、アプリがデバイス上のフォアグラウンドから離れるとリセットされます。 ユーザーは、この設定で定義されているタイムアウトの間、PIN を共有するIntuneマネージド アプリに PIN を入力する必要はありません。

注:

Android で同じアプリとユーザーのセットに対して [アクセス] セクションで構成された複数のIntuneアプリ保護設定の詳細については、「MAM に関してよく寄せられる質問をIntuneし、Intuneのアプリ保護ポリシー アクセス アクションを使用してデータを選択的にワイプする」を参照してください。

条件付き起動

アプリ保護ポリシーのサインイン セキュリティ要件を設定するように条件付き起動設定を構成します。

既定では、値とアクションが事前構成された設定がいくつか提供されます。 最小 OS バージョンなど、一部の設定を削除できます。 [1 つ選んでください] ドロップダウンから追加の設定を選択することもできます。

アプリの条件

Setting 使用方法
PIN の最大試行回数 PIN の入力試行回数を指定します。成功せずにこの回数を超えると、構成されているアクションが実行されます。 PIN の最大試行後にユーザーが PIN の入力に失敗した場合、ユーザーはアカウントに正常にログインし、必要に応じて多要素認証 (MFA) チャレンジを完了した後にピンをリセットする必要があります。 このポリシー設定の形式は、正の整数をサポートします。

"アクション" に含まれている項目:

  • [PIN のリセット] - ユーザーは自分の PIN をリセットする必要があります。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
既定値 = 5
[オフラインの猶予期間] マネージド アプリがオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。

"アクション" に含まれている項目:

  • アクセスのブロック (分) - マネージド アプリがオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。 この期間が経過すると、アプリを引き続き実行できるように、ユーザー認証をMicrosoft Entra IDする必要があります。

    このポリシー設定の形式は、正の整数をサポートします。

    既定値 = 1440 分 (24 時間)

    手記: アクセスをブロックするためのオフライン猶予期間タイマーを既定値より小さく構成すると、ポリシーが更新されると、ユーザーの中断が頻繁に発生する可能性があります。 30 分未満の値を選択すると、アプリケーションの起動時または再開ごとにユーザーが中断する可能性があるため、推奨されません。
  • [データをワイプ (日)] - オフラインでの実行期間がこの日数 (管理者が定義) を超えると、アプリはユーザーに対してネットワークへの接続と再認証を要求します。 ユーザーが正常に認証された場合、引き続きデータにアクセスでき、オフライン間隔がリセットされます。 ユーザーが認証に失敗した場合、アプリはユーザーのアカウントとデータの選択的ワイプを実行します。 詳細については、「Intuneマネージド アプリから企業データのみをワイプする方法」を参照してください。 このポリシー設定の形式は、正の整数をサポートします。

    既定値 = 90 日
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。
アプリの最小バージョン アプリケーションの最小バージョンの値を指定します。

"アクション" に含まれている項目:

  • [警告] - デバイス上のアプリ バージョンが要件を満たさない場合、通知が表示されます。 この通知は閉じることができます。
  • [アクセスのブロック] - デバイスのアプリ バージョンが要件を満たさない場合、アクセスがブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
多くの場合、アプリには個別のバージョン管理スキームがあるため、1 つのアプリを対象とした、1 つのアプリの最小バージョンでポリシー (Outlook バージョン ポリシーなど) を作成します。

このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。

このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。

さらに、エンド ユーザーが基幹業務 (LOB) アプリの更新バージョンを取得できる場所を構成できます。 これがエンド ユーザーに対して表示されるのは [アプリの最小バージョン] 条件付き起動ダイアログであり、エンド ユーザーは最小バージョンの LOB アプリに更新することを求められます。 Android では、この機能では ポータル サイト が使用されます。 エンド ユーザーが LOB アプリを更新する必要がある場所を構成するには、キー com.microsoft.intune.myappstore を含むマネージド アプリ構成ポリシーをアプリに送信する必要があります。 送信される値により、エンド ユーザーがアプリをダウンロードするストアが定義されます。 アプリがポータル サイト経由で展開される場合、値は CompanyPortal である必要があります。 他のストアの場合は、完全な URL を入力する必要があります。
無効なアカウント この設定に設定する値はありません。

"アクション" に含まれている項目:

  • アクセスのブロック - ユーザーのアカウントが無効になっているため、アクセスがブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
非稼働時間 この設定に設定する値はありません。

"アクション" に含まれている項目:

  • アクセスのブロック - アプリケーションに関連付けられているユーザー アカウントが非稼働時間であるため、アクセスがブロックされます。
  • 警告 - アプリケーションに関連付けられているユーザー アカウントが非稼働時間である場合、ユーザーに通知が表示されます。 通知は無視できます。
: この設定は、テナントが 作業時間 API と統合されている場合にのみ構成する必要があります。 この設定と 作業時間 API の統合の詳細については、「 現場担当者がシフト外の場合にMicrosoft Teamsへのアクセスを制限する」を参照してください。 作業時間 API と統合せずにこの設定を構成すると、アプリケーションに関連付けられているマネージド アカウントの稼働時間の状態が見つからないため、アカウントがブロックされる可能性があります。

次のアプリは、ポータル サイト v5.0.5849.0 以降でこの機能をサポートしています。

  • Teams for Android v1416/1.0.0.2023226005 (2023226050) 以降
  • Edge for Android v125.0.2535.96 以降

デバイスの条件

Setting 使用方法
脱獄またはルート化されたデバイス デバイスへのアクセスをブロックするか、脱獄またはルート化されたデバイスのデバイス データをワイプするかを指定します。 "アクション" に含まれている項目:
  • [アクセスのブロック] - このアプリが脱獄またはルート化されたデバイスで実行されないようにします。 ユーザーは引き続きこのアプリを個人用タスクに使用できますが、このアプリの職場または学校のデータにアクセスするには別のデバイスを使用する必要があります。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
OS の最小バージョン このアプリを使用するために必要な最小 Android オペレーティング システムを指定します。 指定された最小 OS バージョンより下の OS バージョン では、アクションがトリガーされます。 "アクション" に含まれている項目:
  • 警告 - デバイス上の Android バージョンが要件を満たしていない場合、ユーザーに通知が表示されます。 この通知は閉じることができます。
  • アクセスのブロック - デバイス上の Android バージョンがこの要件を満たしていない場合、ユーザーはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。
OS の最大バージョン このアプリを使用するために必要な最大 Android オペレーティング システムを指定します。 指定した最大 OS バージョンより下の OS バージョン では、アクションがトリガーされます。 "アクション" に含まれている項目:
  • 警告 - デバイス上の Android バージョンが要件を満たしていない場合、ユーザーに通知が表示されます。 この通知は閉じることができます。
  • アクセスのブロック - デバイス上の Android バージョンがこの要件を満たしていない場合、ユーザーはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。
最小パッチ バージョン Google によってリリースされた Android セキュリティ パッチがデバイスに最低限必要です。
  • 警告 - デバイス上の Android バージョンが要件を満たしていない場合、ユーザーに通知が表示されます。 この通知は閉じることができます。
  • アクセスのブロック - デバイス上の Android バージョンがこの要件を満たしていない場合、ユーザーはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
このポリシー設定では、 YYYY-MM-DD の日付形式がサポートされています。
デバイスの製造元 製造元のセミコロン区切りの一覧を指定します。 これらの値では大文字と小文字が区別されません。 "アクション" に含まれている項目:
  • 指定を許可する (指定されていないブロック) - 指定した製造元に一致するデバイスのみがアプリを使用できます。 その他のデバイスはすべてブロックされます。
  • [指定されたものを許可します (未指定のものはワイプ)] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
この設定の使用方法について詳しくは、条件付き起動アクションに関する記事をご覧ください。
整合性の判定を再生する アプリ保護ポリシーでは、一部の Google Play Integrity API がサポートされています。 この設定は特に、エンド ユーザー デバイスで Google の Play Integrity チェックを構成して、それらのデバイスの整合性を検証します。 [基本整合性] または [基本整合性とデバイスの整合性] を指定します。

基本的な整合性 は、デバイスの一般的な整合性について説明します。 ルート化されたデバイス、エミュレーター、仮想デバイス、改ざんの兆候があるデバイスは基本的な整合性のチェックで不合格になります。 認定デバイス & 基本的な整合性 は、デバイスと Google のサービスの互換性について説明します。 Google に認められた、改造されていないデバイスのみがこのチェックに合格します。

条件付き起動に必要に応じて [整合性判定の再生] を選択した場合は、評価の種類として厳密な整合性チェックを使用するように指定できます。 評価の種類として強力な整合性チェックが存在すると、デバイスの整合性が向上します。 厳密な整合性チェックをサポートしていないデバイスは、この設定を対象としている場合、MAM ポリシーによってブロックされます。 強力な整合性チェックは、ソフトウェアのみのソリューションでは常に確実に検出できない新しい種類のルート化ツールと方法に応答して、より堅牢なルート検出を提供します。 APP 内では、[Play integrity verdict evaluation type]\(プレイ整合性判定評価の種類\) を [Play integrity verdict]\(整合性判定の確認\) に設定し、[必要な SafetyNet 評価の種類] を [デバイスの整合性] チェック構成した後チェック厳密な整合性に設定することで、ハードウェア構成証明が有効になります。 ハードウェアによってサポートされる構成証明は、Android 8.1 以降でインストールされたデバイスに付属するハードウェア ベースのコンポーネントを利用します。 以前のバージョンの Android から Android 8.1 にアップグレードされたデバイスには、ハードウェアによる構成証明に必要なハードウェアベースのコンポーネントがない可能性があります。 この設定は Android 8.1 と共に出荷されるデバイス以降では広くサポートされているはずですが、Microsoft ではこのポリシー設定を広範囲で有効にする前に、デバイスを個別にテストすることを強くお勧めします。

大事な:この評価の種類をサポートしていないデバイスは、デバイスの整合性チェックアクションに基づいてブロックまたはワイプされます。 この機能を使用する組織は、ユーザーがデバイスをサポートしていることを確認する必要があります。 Google の推奨デバイスの詳細については、「 Android Enterprise の推奨要件」を参照してください。

"アクション" に含まれている項目:

  • 警告 - デバイスが構成された値に基づいて Google のデバイスの整合性チェックを満たしていない場合、ユーザーに通知が表示されます。 この通知は閉じることができます。
  • アクセスをブロックする - デバイスが構成された値に基づいて Google のデバイスの整合性チェックを満たしていない場合、ユーザーはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
この設定に関連してよく寄せられる質問については、「 MAM とアプリの保護に関してよく寄せられる質問」を参照してください。
アプリで脅威スキャンを要求する アプリ保護ポリシーでは、Google Play Protect の API の一部がサポートされています。 特にこの設定により、エンド ユーザー デバイスで Google の [アプリの確認] スキャンがオンになります。 構成されている場合、エンド ユーザーは自分の Android デバイス上で Google のアプリ スキャンを有効にするまでアクセスがブロックされます。 "アクション" に含まれている項目:
  • 警告 - デバイスで Google の [アプリの確認] スキャンがオンになっていない場合、ユーザーに通知が表示されます。 この通知は閉じることができます。
  • アクセスのブロック - デバイス上の Google のアプリの検証スキャンがオンになっていない場合、ユーザーはアクセスをブロックされます。
Google の [アプリの確認] スキャンの結果は、本体の [有害な可能性のあるアプリ] レポートに表示されます。
必須の SafetyNet 評価の種類 ハードウェアによる構成証明により、既存の SafetyNet 構成証明サービスのチェックが強化されます。 この値は、SafteyNet デバイス構成証明を設定した後で、ハードウェアに基づくキーに設定できます。
デバイス ロックが必要 この設定は、Android デバイスに最小パスワード要件を満たすデバイス PIN があるかどうかを決定します。 アプリ保護 ポリシーは、デバイス ロックが最小パスワード要件を満たしていない場合にアクションを実行できます。

は次のとおりです。

  • 低い複雑さ
  • 中程度の複雑さ
  • 高い複雑さ

この複雑さの値は、Android 12 以降を対象とします。 Android 11 以前で動作しているデバイスの場合、低、中、または高の複雑さの値を設定すると、既定では低 複雑度の予期される動作になります。 詳細については、Google の開発者向けドキュメント 「getPasswordComplexityPASSWORD_COMPLEXITY_LOWPASSWORD_COMPLEXITY_MEDIUMPASSWORD_COMPLEXITY_HIGH」を参照してください。

"アクション" に含まれている項目:

  • 警告 - デバイス ロックが最小パスワード要件を満たしていない場合、ユーザーに通知が表示されます。 通知は無視できます。
  • アクセスのブロック - デバイス ロックが最小パスワード要件を満たしていない場合、ユーザーはアクセスをブロックされます。
  • データのワイプ - デバイス ロックが最小パスワード要件を満たしていない場合、アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
最小ポータル サイトバージョン 最小ポータル サイトバージョンを使用すると、エンド ユーザー デバイスに適用されるポータル サイトの特定の最小定義バージョンを指定できます。 この条件付き起動設定を使用すると、各値が満たされていない場合に、 アクセスのブロックデータのワイプ、および可能な限り 警告 アクションに値を設定できます。 この値に使用できる形式は、パターン [Major].[ に従います。Minor], [Major].[Minor].[ビルド]、または [メジャー].[Minor].[ビルド]。[リビジョン]。 一部のエンド ユーザーは、その場でアプリの強制更新を好まない場合があるため、この設定を構成する場合は、"警告" オプションが理想的な場合があります。 Google Play ストアは、アプリの更新のために差分バイトのみを送信するという優れた仕事をしますが、更新時にデータに含まれている場合、ユーザーが利用したくない大量のデータである可能性があります。 更新を強制し、更新されたアプリをダウンロードすると、更新時に予期しないデータ料金が発生する可能性があります。 詳細については、「 Android ポリシー設定」を参照してください。
最大ポータル サイトバージョンの有効期間 (日数) Android デバイスのポータル サイト (CP) バージョンの年齢として、最大日数を設定できます。 この設定により、エンド ユーザーが CP リリースの一定の範囲内 (日数) に収まるようにします。 値は 0 から 365 日の間である必要があります。 デバイスの設定が満たされていない場合、この設定のアクションがトリガーされます。 アクションには、 アクセスのブロックデータのワイプ、または 警告が含まれます。 関連情報については、「 Android ポリシー設定」を参照してください。 手記:ポータル サイトビルドの年齢は、エンド ユーザー デバイスの Google Play によって決まります。
Samsung Knox デバイスの構成証明 Samsung Knox デバイス構成証明チェックが必要かどうかを指定します。 このチェックを渡すことができるのは、Samsung によって検証された変更されていないデバイスのみです。 サポートされているデバイスの一覧については、「 samsungknox.com」を参照してください。

この設定を使用すると、Microsoft Intuneは、ポータル サイトから正常なデバイスから送信されたIntune サービスへの通信も確認します。

"アクション" に含まれている項目:
  • 警告 - デバイスが Samsung Knox デバイス構成証明チェックを満たしていない場合、ユーザーに通知が表示されます。 この通知は閉じることができます。
  • アクセスのブロック - デバイスが Samsung の Knox デバイス構成証明チェックを満たしていない場合、ユーザー アカウントはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。

手記:ユーザーは、デバイス構成証明チェックを実行する前に、Samsung Knox の条項に同意する必要があります。 ユーザーが Samsung Knox の用語に同意しない場合は、指定したアクションが実行されます。

手記: この設定は、対象となるすべてのデバイスに適用されます。 この設定を Samsung デバイスにのみ適用するには、"マネージド アプリ" 割り当てフィルターを使用できます。 割り当てフィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。

許容される最大デバイス脅威レベル アプリ保護ポリシーでは、Intune-MTD コネクタを利用できます。 このアプリの使用に対して許容される最大脅威レベルを指定します。 脅威は、エンド ユーザー デバイスで選択された Mobile Threat Defense (MTD) ベンダー アプリによって決定されます。 "セキュリティ保護"、""、""、"" のいずれかを指定します。 "セキュリティ保護" は、デバイスに対する脅威は不要で、構成可能な最も制限の厳しい値であるのに対し、"" では基本的に Intune と MTD の間のアクティブな接続が必要です。

"アクション" に含まれている項目:

  • アクセスのブロック - エンド ユーザー デバイスで選択されている Mobile Threat Defense (MTD) ベンダー アプリによって決定された脅威レベルがこの要件を満たしていない場合、ユーザーはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
この設定の使用方法の詳細については、「登録解除されたデバイスのIntuneで Mobile Threat Defense コネクタを有効にする」を参照してください。
プライマリ MTD サービス 複数の Intune-MTD コネクタを構成している場合は、エンド ユーザー デバイスで使用する必要があるプライマリ MTD ベンダー アプリを指定します。

は次のとおりです。

  • Microsoft Defender for Endpoint - MTD コネクタが構成されている場合は、デバイスの脅威レベルの情報Microsoft Defender for Endpoint指定します。
  • Mobile Threat Defense (Microsoft 以外) - MTD コネクタが構成されている場合は、Microsoft 以外の MTD がデバイスの脅威レベルの情報を提供することを指定します。

この設定を使用するには、設定 "最大許可デバイス脅威レベル" を構成する必要があります。

この設定には アクション がありません。