Microsoft Intune アプリ SDK の概要

  • [アーティクル]

iOS と Android の両方で使用できる Intune アプリ SDK を使用すると、アプリで Intune アプリ保護ポリシーをサポートできます。 アプリにアプリ保護ポリシーが適用されると、アプリは Intune で管理できるようになり、Intune に管理対象アプリとして認識されます。 SDK は、アプリ開発者に必要なコード変更の量を最小限に抑えるように努めています。 アプリの動作を変更することなく、SDK のほとんどの機能を有効にできることがわかります。 エンド ユーザーと IT 管理者のエクスペリエンスを強化するために、SDK の API を利用してアプリの動作をカスタマイズし、アプリの参加を必要とする機能をサポートできます。

Intune アプリ保護ポリシーをサポートするようにアプリを有効にすると、IT 管理者はこれらのポリシーを展開して、アプリ内の企業データを保護できます。

アプリ保護機能

SDK で有効にできる Intune アプリ保護機能の例を次に示します。

企業ファイルを移動するユーザーの機能を制御する

IT 管理者は、アプリ内の職場または学校のデータを移動できる場所を制御できます。 たとえば、アプリが企業データをクラウドにバックアップできないようにするポリシーをデプロイできます。

クリップボードの制限を構成する

IT 管理者は、Intune で管理されるアプリでクリップボードの動作を構成できます。 たとえば、エンド ユーザーがアプリからデータを切り取ったりコピーしたり、管理されていない個人用アプリに貼り付けたりできないようにポリシーをデプロイできます。

保存されたデータに暗号化を適用する

IT 管理者は、アプリによってデバイスに保存されたデータが確実に暗号化されるようにポリシーを適用できます。

企業データをリモートでワイプする

IT 管理者は、Intune で管理されるアプリから企業データをリモートでワイプできます。 この機能は ID ベースであり、エンド ユーザーの企業 ID に関連付けられているファイルのみを削除します。 そのためには、この機能にはアプリの参加が必要です。 アプリでは、ユーザー設定に基づいてワイプを実行する ID を指定できます。 これらの指定されたユーザー設定がアプリに存在しない場合、既定の動作は、アプリケーション ディレクトリをワイプし、アクセスが削除されたことをエンド ユーザーに通知することです。

マネージド ブラウザーの使用を強制する

IT 管理者は、アプリ内の Web リンクを Microsoft Edge アプリで強制的に開くことができます。 この機能により、企業環境に表示されるリンクが Intune で管理されるアプリのドメイン内に保持されます。

PIN ポリシーを適用する

IT 管理者は、アプリ内の企業データにアクセスする前に、エンド ユーザーに PIN の入力を要求できます。 これにより、アプリを使用しているユーザーが、職場または学校アカウントで最初にサインインしたユーザーと同じになります。 エンド ユーザーが PIN を構成すると、Intune App SDK は Microsoft Entra ID を使用して、登録済みの Intune アカウントに対するエンド ユーザーの資格情報を検証します。

ユーザーがアプリにアクセスするために職場または学校アカウントでサインインすることを要求する

IT 管理者は、ユーザーが職場または学校アカウントでサインインしてアプリにアクセスすることを要求できます。 Intune App SDK では、Microsoft Entra IDを使用してシングル サインオン エクスペリエンスを提供します。ここで、入力した資格情報は後続のログインで再利用されます。 また、Microsoft Entra IDとフェデレーションされた ID 管理ソリューションの認証もサポートしています。

デバイスの正常性とコンプライアンスを確認する

IT 管理者は、エンド ユーザーがアプリにアクセスする前に、デバイスの正常性と Intune ポリシーへの準拠をチェックできます。 iOS/iPadOS では、このポリシーはデバイスが脱獄されているかどうかを確認します。 Android では、このポリシーはデバイスがルート化されているかどうかを確認します。

マルチ ID のサポート

マルチ ID サポートは、ポリシーで管理された (企業) アカウントとアンマネージド (個人用) アカウントを 1 つのアプリで共存できるようにする SDK の機能です。

たとえば、多くのユーザーは、iOS と Android 用の Office モバイル アプリで企業と個人の両方のメール アカウントを構成します。 ユーザーが自分の会社のアカウントでデータにアクセスする場合、IT 管理者はアプリ保護ポリシーが適用されることを確信している必要があります。 ただし、ユーザーが個人のメール アカウントにアクセスする場合、そのデータは IT 管理者の制御の範囲外である必要があります。 Intune App SDK は、アプリ内の企業 ID のみに アプリ保護ポリシーをターゲットにすることでこれを実現します。

マルチ ID 機能は、個人アカウントと職場アカウントの両方をサポートするストア アプリで組織が直面するデータ保護の問題を解決するのに役立ちます。

デバイス登録なしのアプリ保護

重要

デバイス登録なしの Intune アプリ保護は、Intune アプリ ラッピング ツール、Intune App SDK for Android、Intune App SDK for iOS、Intune App SDK Xamarin Bindings で使用できます。

個人用デバイスを持つ多くのユーザーは、モバイル デバイス管理 (MDM) プロバイダーに個人用デバイスを登録せずに企業データにアクセスしたいと考えています。 MDM 登録ではデバイスをグローバルに制御する必要があるため、ユーザーは個人用デバイスの制御を会社に渡すのをためらうことがよくあります。

デバイス登録なしでアプリ保護すると、Microsoft Intune サービスは、デバイス管理チャネルを使用してポリシーを展開することなく、アプリ保護ポリシーをアプリに直接デプロイできます。

次の手順