この記事では、iOS/iPadOS デバイスのアプリ保護ポリシーの設定について説明します。 新しいポリシーを作成する場合、説明されているポリシーの設定は、ポータルの [設定] ウィンドウ上でアプリ保護ポリシー用に構成することができます。
ポリシーの設定には、"データ再配置"、"アクセス要件"、"条件付き起動" の 3 つのカテゴリがあります。 この記事では、 ポリシーで管理されるアプリ という用語は、アプリ保護ポリシーで構成されているアプリを指します。
重要
Intune Managed Browserは廃止されます。 保護された Intune ブラウザー エクスペリエンスには Microsoft Edge を使用してください。
データの保護
重要
SDK の Xcode 15 および v20.2.1 以降で v19.7.6 以降に更新されたアプリの場合、 他のアプリへの組織データの送信 設定を [すべてのアプリ] 以外の値に設定した場合、次のシナリオでは画面キャプチャ ブロックが適用されます。
- スクリーンショット
- デバイス上の画面記録
- Teams や Zoom Mobile などのデバイス上のアプリを使用した画面共有
- AirPlay を使用した別のデバイスへのスクリーン ミラーリング
- 接続されている Mac の QuickTime を使用した画面ミラーリングまたは記録
iOS デバイスの画面キャプチャを許可するように com.microsoft.intune.mam.screencapturecontrol = Disabled アプリ構成ポリシー設定を構成できます。 この設定は、Intuneで [アプリ>構成>作成>管理されたアプリ] を選択して使用できます。 [ 設定] ステップで、[ 全般構成設定] を選択します。
アプリを有効にするには、更新されたアプリ構成ポリシーを受け取った後にアプリを再起動する必要があります。
データ転送
| Setting | 使用方法 | 既定値 |
|---|---|---|
| iTunes と iCloud のバックアップに組織データをバックアップ | このアプリで職場や学校のデータが iTunes および iCloud にバックアップされないようにするには、[ブロック] を選択します。 このアプリで職場や学校のデータを iTunes および iCloud にバックアップできるようにするには、[許可] を選択します。 | 許可 |
| 組織のデータを他のアプリに送信 | このアプリからデータを受け取ることができるアプリを指定します。
スポットライト検索 (アプリ内のデータの検索を有効にする) と Siri ショートカットは、[ すべてのアプリ] に設定されていない限りブロックされます。 このポリシーは、iOS/iPadOS ユニバーサル リンクにも適用できます。 Intuneが既定でデータ転送を許可する可能性がある一部の除外アプリとサービスがあります。 さらに、Intune アプリをサポートしていないアプリへのデータ転送を許可する必要がある場合、独自の例外を作成できます。 詳細については、「データ転送の除外対象」を参照してください。 |
すべてのアプリ |
|
このオプションは、上記のオプションで [ポリシーで管理されているアプリ] を選択した場合に使用できます。 | |
|
iOS/iPadOS ユニバーサル リンクを、「その他のアプリでの Web コンテンツの転送を制限する」設定で指定された保護されているブラウザーではなく、特定のアンマネージド アプリケーションで開くように指定します。 各アプリケーションの正しいユニバーサル リンク形式を決定するには、アプリケーション開発者に問い合わせる必要があります。 | |
|
iOS/iPadOS ユニバーサル リンクを、「その他のアプリでの Web コンテンツの転送を制限する」設定で指定された保護されているブラウザーではなく、特定のマネージ アプリケーションで開くように指定します。 各アプリケーションの正しいユニバーサル リンク形式を決定するには、アプリケーション開発者に問い合わせる必要があります。 | |
|
このアプリで [名前を付けて保存] オプションの使用を無効にするには、[ブロック] を選択します。 "名前を付けて保存" の使用を許可する場合は、[許可] を選択します。 "ブロック" に設定した場合、"選択したサービスにユーザーがコピーを保存することを許可" の設定を構成できます。 注:
|
許可 |
|
ユーザーは、選択したサービス (Microsoft OneDrive、SharePoint、Box、フォト ライブラリ、iManage、Egnyte、ローカル ストレージ) にファイルを保存できます。 他のすべてのサービスはブロックされます。 職場または学校用の OneDrive: 職場または学校および SharePoint の OneDrive にファイルを保存できます。 SharePoint: オンプレミスの SharePoint にファイルを保存できます。 フォト ライブラリ: ファイルをフォト ライブラリにローカルに保存できます。 ローカル ストレージ: 管理対象アプリは、組織データのコピーをローカルに保存できます。 これには、デバイスのファイル アプリなどのローカルの管理されていない場所へのファイルの保存は含まれません。 | 選択済み 0 |
|
通常、ユーザーがアプリでハイパーリンク付き電話番号を選択すると、ダイヤル アプリが開き、電話番号が事前に入力され、呼び出す準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。
注: この設定には、SDK 12.7.0 以降Intune必要です。アプリがダイヤラー機能に依存しており、適切なIntune SDK バージョンを使用していない場合は、回避策として、"tel;データ転送の除外として telprompt" を指定します。アプリが正しいIntune SDK バージョンをサポートすると、除外を削除できます。 |
任意の電話アプリ |
|
特定のダイヤラー アプリが選択されている場合は、iOS デバイスでダイヤラー アプリを起動するために使用されるダイヤラー アプリの URL スキームを指定する必要があります。 詳細については、電話リンクに関する Apple のドキュメントをご覧ください。 | Blank |
|
通常、ユーザーがアプリでハイパーリンク付きメッセージング リンクを選択すると、メッセージング アプリが開き、電話番号が事前に入力され、送信する準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。 この設定を有効にするには、追加の手順が必要になる場合があります。 まず、[除外するアプリの選択] リストから sms が削除されていることを確認します。 次に、アプリケーションで新しいバージョンの Intune SDK (バージョン > 19.0.0) を使用していることを確認します。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。
注: この設定には、SDK 19.0.0 以降Intune必要です。 |
任意のメッセージング アプリ |
|
特定のメッセージング アプリが選択されている場合は、iOS デバイスでメッセージング アプリを起動するために使用されるメッセージング アプリの URL スキームを指定する必要があります。 詳細については、電話リンクに関する Apple のドキュメントをご覧ください。 | Blank |
| 他のアプリからデータを受信 | このアプリにデータを転送できるアプリを以下のように指定します。
|
すべてのアプリ |
|
このアプリで、アカウント間でデータを共有するための "開く" オプションやその他のオプションの使用を無効にするには、[ブロック] を選択します。 "開く" の使用を許可する場合は、[許可] を選択します。 [ブロック] に設定すると、[ユーザーが選択したサービスからデータを開くことを許可する] を構成して、組織のデータの場所に許可されるサービスを指定できます。 注:
|
許可 |
|
ユーザーがデータを開くことができるアプリケーション ストレージ サービスを選択します。 他のすべてのサービスはブロックされます。 サービスを選択しない場合、ユーザーは外部の場所からデータを開けなくなります。 手記: このコントロールは、企業コンテナーの外部にあるデータに対して機能するように設計されています。 サポートされているサービス:
|
すべて選択済み |
| 他のアプリとの間で切り取り、コピー、貼り付けを制限する | このアプリで切り取り、コピー、および貼り付け操作をいつ使用できるようにするかを指定します。 次の中から選択します。
|
任意のアプリ |
|
組織のデータとアカウントから切り取られたりコピーされたりする可能性がある文字数を指定します。 これにより、 他のアプリとの切り取り、コピー、貼り付けを制限 する設定に関係なく、アンマネージド アプリを含む任意のアプリケーションに指定した文字数を共有できます。 既定値 = 0 注: アプリには Intune SDK バージョン 9.0.14 以降が必要です。 |
0 |
| サード パーティのキーボード |
[ブロック] を選択すると、マネージド アプリケーションではサードパーティ製のキーボードが使えなくなります。 この設定が有効になっていると、1 回限りのメッセージがユーザーの元に届き、サードパーティ製キーボードの使用が禁止されていることが伝えられます。 このメッセージは、キーボードの使用を要求する組織データをユーザーが初めて操作したときに表示されます。 マネージド アプリケーションの使用時に使用できるのは、標準の iOS/iPadOS キーボードのみで、その他のキーボード オプションはすべて無効になります。 この設定は、マルチ ID アプリケーションのorganizationアカウントと個人用アカウントの両方に影響します。 この設定は、アンマネージド アプリケーションでのサード パーティ製キーボードの使用には影響しません。 注: この機能を使用するには、アプリで Intune SDK バージョン 12.0.16 以降を使用する必要があります。 SDK バージョンが 8.0.14 から 12.0.15 までのアプリでは、この機能はマルチ ID アプリに正しく適用されません。 詳細については、「 既知の問題: 個人用アカウントの iOS/iPadOS でサード パーティ製キーボードがブロックされない」を参照してください。 |
許可 |
注:
管理対象デバイスの IntuneMAMUPN では、アプリ保護ポリシーが必要です。 これは、登録済みデバイスを必要とする設定にも適用されます。
暗号化
| Setting | 使用方法 | 既定値 |
|---|---|---|
| 組織データを暗号化 | [必要] を選択すると、このアプリ内の職場や学校のデータに対する暗号化が有効になります。 Intuneでは、デバイスがロックされている間にアプリ データを保護するために、iOS/iPadOS デバイス レベルの暗号化が適用されます。 さらに、アプリケーションは必要に応じて、app SDK 暗号化Intune使用してアプリ データを暗号化する場合があります。 Intune APP SDK では iOS/iPadOS の暗号化方法が使用され、アプリ データに 256 ビット AES 暗号化が適用されます。 この設定を有効にすると、ユーザーはデバイス PIN を設定して使用してデバイスにアクセスする必要があります。 デバイスの PIN がなく、暗号化が必要な場合、"組織により、このアプリケーションにアクセスするには、最初にデバイス PIN を有効にする必要があります" というメッセージと共に、ユーザーは PIN を設定するよう求められます。 Apple Platform Security の一部として、 Apple の公式ドキュメント にアクセスして、データ保護クラスの詳細を確認してください。 |
必須 |
機能
| Setting | 使用方法 | 既定値 |
|---|---|---|
| ポリシー管理されたアプリのデータをネイティブ アプリやアドインと同期させることが可能 | [ブロック] を選択すると、ポリシーマネージド アプリがデバイスのネイティブ アプリ (連絡先、予定表、ウィジェット) にデータを保存できないようにし、ポリシー管理アプリ内でのアドインの使用を防ぐことができます。 アプリケーションでサポートされていない場合は、ネイティブ アプリへのデータの保存とアドインの使用が許可されます。 [許可] を選択した場合、ポリシー管理アプリでこれらの機能がサポートされ、有効になっている場合、ポリシー管理アプリはネイティブ アプリにデータを保存したり、アドインを使用したりできます。 アプリケーションでは、特定のネイティブ アプリに対するデータ同期動作をカスタマイズしたり、このコントロールを受け入れたりするためのコントロールが増える場合があります。 注: 選択的ワイプを実行してアプリから職場または学校のデータを削除すると、ポリシー管理アプリからネイティブ アプリに直接同期されたデータが削除されます。 ネイティブ アプリから別の外部ソースに同期されたデータはワイプされません。 注: 次のアプリはこの機能をサポートしています。
|
許可 |
| 組織データを出力する | [ブロック] を選択すると、アプリで職場または学校のデータを印刷できなくなります。 この設定を [許可] (既定値) のままにすると、ユーザーはすべての組織データをエクスポートして印刷できます。 | 許可 |
| その他のアプリでの Web コンテンツの転送を制限する | ポリシーで管理されているアプリケーションから Web コンテンツ (http/https リンク) をどのように開くか指定します。 次から選択します。
ポリシーで管理されたブラウザーが必要であってもインストールされていない場合は、ユーザーが Microsoft Edge をインストールするように求めるプロンプトが表示されます。 ポリシーで管理されたブラウザーが必要な場合、iOS/iPadOS ユニバーサル リンクは、[ 組織データを他のアプリに送信する ] ポリシー設定によって管理されます。
Intune デバイスの登録
ポリシーで管理されている Microsoft Edge
注: Intune SDK は、ターゲット アプリがブラウザーであるかどうかを判断できません。iOS/iPadOS デバイスでは、他のマネージド ブラウザー アプリは許可されません。 |
未構成 |
|
"1 つ" のアンマネージド ブラウザーに対応するプロトコルを入力します。 ポリシー管理アプリケーションからの Web コンテンツ (http/https リンク) は、このプロトコルをサポートするすべてのアプリで開きます。 Web コンテンツは、ターゲット ブラウザーでは管理されません。 この機能は、アプリ保護ポリシーが有効になっていない特定のブラウザーと保護されたコンテンツIntune共有する必要がある場合にのみ使用します。 目的のブラウザーでサポートされているプロトコルを確認するには、ブラウザーの製造元にお問い合わせください。 注: プロトコル プレフィックスのみを含めます。ブラウザーでフォーム mybrowser://www.microsoft.com のリンクが必要な場合は、mybrowser を入力します。リンクは次のように変換されます。
|
Blank |
| 組織のデータ通知 | 組織のアカウントに関して、OS 通知経由でどのくらいの組織データを共有するか指定します。 このポリシー設定は、ローカル デバイスと、ウェアラブルやスマート スピーカーなどの接続済みデバイスに影響します。 アプリは、通知の動作をカスタマイズするためのより多くのコントロールを提供する場合や、すべての値を受け入れる必要がない場合があります。 次の中から選択します。
注:
|
許可 |
| 源門寺 | [ ブロック ] を選択すると、職場または学校のデータに Genmoji が使用されないようにします。 この設定を [許可] のままにすると、ユーザーは Genmoji ジェネレーターに組織データを共有できます。 手記: この設定では、SDK の Xcode 16 の Xcode 15 および v20.2.1 以降では v19.7.6 以降が必要です。 |
許可 |
| 画面の取り込み | [ ブロック ] を選択すると、職場または学校のデータが画面にキャプチャされなくなります。 この設定を [許可] (既定値) のままにすると、ユーザーはすべての組織データを画面キャプチャし、制限なしで共有できます。 画面キャプチャ ブロックは、次のシナリオに適用されます。
手記: この設定では、SDK の Xcode 16 の Xcode 15 および v20.2.1 以降では v19.7.6 以降が必要です。 |
許可 |
| 書き込みツール | [ ブロック ] を選択すると、職場または学校のデータに対する書き込みツールの使用が禁止されます。 この設定を [許可] (既定値) のままにすると、ユーザーは組織データを書き込みツールと共有できます。 手記: この設定では、SDK の Xcode 16 の Xcode 15 および v20.2.1 以降では v19.7.6 以降が必要です。 |
許可 |
注:
データ保護の設定では、iOS/iPadOS デバイスの Apple の Managed Open In 機能は制御されません。 Apple の Managed Open In 機能を使用するには、Microsoft Intune で iOS/iPadOS アプリ間のデータ転送を管理する方法に関するページをご覧ください。
データ転送の除外対象
アプリ保護ポリシーをIntuneして、特定のシナリオとの間でデータ転送を許可する可能性がある除外アプリとプラットフォーム サービスがいくつかあります。 このリストは、セキュリティで保護された生産性向上に役立つと考えられるサービスとアプリを表しており、変更される可能性があります。
Microsoft 以外のアンマネージド アプリを除外リストに追加して、データ転送の例外を許可できます。 詳細については、「Intune App Protection Policy (APP) データ転送ポリシーの例外を作成する方法」を参照してください。 除外されたアンマネージド アプリは、iOS URL プロトコルに基づいて呼び出す必要があります。 たとえば、データ転送の除外対象にアンマネージド アプリを追加しても、ポリシーによって制限されている場合、ユーザーは切り取り、コピー、貼り付けの操作を行うことはできません。 また、この種類の除外では、iOS URL プロトコルに基づいていないため、ユーザーがマネージド アプリ内 で Open-in アクションを使用して、除外するアプリにデータを共有または保存することもできなくなります。 Open-in の詳細については、「iOS アプリでアプリ保護を使用する」を参照してください。
| アプリ/サービス名 | 説明 |
|---|---|
skype |
Skype |
app-settings |
デバイスの設定 |
itms; itmss; itms-apps; itms-appss; itms-services |
アプリ ストア |
calshow |
ネイティブのカレンダー |
重要
2020 年 6 月 15 日より前に作成されたアプリ保護ポリシーには、既定のデータ転送の除外対象の一部として tel と telprompt URL スキームが含まれています。 これらの URL スキームを使用すると、管理対象アプリで電話を開始できるようになります。 App Protection ポリシー設定この機能に置き換えられた 通信データを転送 します。 電話機能を開始する管理対象アプリに Intune SDK 12.7.0 以降が含まれている場合、管理者はデータ転送の除外対象から tel;telprompt; を削除して、アプリ保護ポリシー設定に依存する必要があります。
重要
Intune SDK 14.5.0 以降では、データ転送除外に sms および mailto URL スキームを含めると、ポリシー管理アプリケーション内の MFMessageCompose (sms) および MFMailCompose (mailto) ビュー コントローラーに組織データを共有できます。
ユニバーサル リンク
ユニバーサル リンクでは、「その他のアプリでの Web コンテンツの転送を制限する」設定で指定された保護されているブラウザーではなく、リンクに関連付けられたアプリケーションを直接起動することができます。 各アプリケーションの正しいユニバーサル リンク形式を決定するには、アプリケーション開発者に問い合わせる必要があります。
ユニバーサル リンク ポリシーでは、既定の App Clip リンクも管理されます。
適用除外ユニバーサル リンク
アンマネージド アプリにユニバーサル リンクを追加することで、指定したアプリを起動することができます。 アプリを追加するには、除外リストにリンクを追加する必要があります。
注意
これらのユニバーサル リンクのターゲット アプリケーションは管理されておらず、除外を追加するとデータ セキュリティ リークが発生する可能性があります。
既定のアプリ Universal Link の除外には、次のアプリが含まれます。
| アプリ ユニバーサル リンク | 説明 |
|---|---|
http://maps.apple.com;
https://maps.apple.com
|
マップ アプリ |
http://facetime.apple.com;
https://facetime.apple.com
|
FaceTime アプリ |
既定のユニバーサル リンクの適用除外を許可しない場合は、それらを削除できます。 Microsoft 以外のアプリまたは基幹業務 (LOB) アプリ用のユニバーサル リンクを追加することもできます。 除外されたユニバーサル リンクを使用すると、http://*.sharepoint-df.com/* などのワイルドカードを使用できます。
管理対象ユニバーサル リンク
管理対象アプリにユニバーサル リンクを追加することで、指定したアプリ セキュリティを起動することができます。 アプリを追加するには、アプリのユニバーサル リンクをマネージド リストに追加する必要があります。 ターゲット アプリケーションが App Protection ポリシー Intuneサポートしている場合、リンクを選択するとアプリの起動が試行されます。 アプリを開くことができない場合は、保護されたブラウザーでリンクが開きます。 ターゲット アプリケーションが Intune SDK を統合していない場合は、リンクを選択すると、保護されたブラウザーが起動します。
既定の管理対象ユニバーサル リンクは次のとおりです。
| 管理対象アプリ ユニバーサル リンク | 説明 |
|---|---|
http://*.onedrive.com/*;
https://*.onedrive.com/*;
|
OneDrive |
http://*.appsplatform.us/*;
http://*.powerapps.cn/*;
http://*.powerapps.com/*;
http://*.powerapps.us/*;
https://*.powerbi.com/*;
https://app.powerbi.cn/*;
https://app.powerbigov.us/*;
https://app.powerbi.de/*;
|
PowerApps |
http://*.powerbi.com/*;
http://app.powerbi.cn/*;
http://app.powerbigov.us/*;
http://app.powerbi.de/*;
https://*.appsplatform.us/*;
https://*.powerapps.cn/*;
https://*.powerapps.com/*;
https://*.powerapps.us/*;
|
Power BI |
http://*.service-now.com/*;
https://*.service-now.com/*;
|
ServiceNow |
http://*.sharepoint.com/*;
http://*.sharepoint-df.com/*;
https://*.sharepoint.com/*;
https://*.sharepoint-df.com/*;
|
SharePoint |
http://web.microsoftstream.com/video/*;
http://msit.microsoftstream.com/video/*;
https://web.microsoftstream.com/video/*;
https://msit.microsoftstream.com/video/*;
|
Stream |
http://*teams.microsoft.com/l/*;
http://*devspaces.skype.com/l/*;
http://*teams.live.com/l/*;
http://*collab.apps.mil/l/*;
http://*teams.microsoft.us/l/*;
http://*teams-fl.microsoft.com/l/*;
https://*teams.microsoft.com/l/*;
https://*devspaces.skype.com/l/*;
https://*teams.live.com/l/*;
https://*collab.apps.mil/l/*;
https://*teams.microsoft.us/l/*;
https://*teams-fl.microsoft.com/l/*;
|
Teams |
http://tasks.office.com/*;
https://tasks.office.com/*;
http://to-do.microsoft.com/sharing*;
https://to-do.microsoft.com/sharing*;
|
ToDo |
http://*.yammer.com/*;
https://*.yammer.com/*;
|
Viva Engage |
http://*.zoom.us/*;
https://*.zoom.us/*;
|
拡大/縮小 |
既定のユニバーサル リンクの適用除外を許可しない場合は、それらを削除できます。 Microsoft 以外のアプリまたは LOB アプリ用のユニバーサル リンクを追加することもできます。
アクセス要件
| Setting | 使用方法 | 既定値 |
|---|---|---|
| アクセスに PIN を使用 |
[必要] を選択すると、このアプリを使用する際に PIN が要求されます。 ユーザーは、職場または学校のコンテキストでアプリを初めて実行するときに、この PIN のセットアップを求められます。 PIN は、オンラインまたはオフラインで作業しているときに適用されます。 [アクセスに PIN を使用] セクションの下の使用可能な設定を使用して、PIN 強度を構成できます。 手記: アプリへのアクセスを許可されているエンド ユーザーは、アプリの PIN をリセットできます。 iOS デバイスでは、この設定が表示されない場合があります。 iOS デバイスには、4 つの使用可能なショートカットの最大制限があります。 リセットされた APP PIN ショートカットを表示するには、エンド ユーザーが別のマネージド アプリからショートカットにアクセスする必要がある場合があります。 |
必須 |
|
アプリ保護ポリシーが適用されているアプリにアクセスする前に、数値またはパスコードのどちらの種類の PIN を入力する必要があるかを設定します。 数値の場合は数字だけですが、パスコードの場合は少なくとも 1 つのアルファベットまたは少なくとも 1 つの特殊文字で定義できます。 注:パスコードの種類を構成するには、アプリに SDK バージョン 7.1.12 以上Intune必要があります。数値型には、INTUNE SDK のバージョン制限はありません。使用できる特殊文字には、iOS/iPadOS 英語キーボードの特殊文字と記号が含まれます。 |
数値 |
|
[許可] を選択すると、ユーザーは 1234、1111、abcd、aaaa などの単純な PIN シーケンスを使えるようになります。
[ブロック] を選択すると、単純なシーケンスは使用できなくなります。 単純なシーケンスは、3 つの文字スライド ウィンドウでチェックされます。
Block が構成されている場合、エンド ユーザーが設定した PIN として 1235 または 1112 は受け入れられませんが、1122 は許可されます。 注: パスコードの種類として PIN が構成され、[単純な PIN を許可する] が [はい] に設定されている場合、少なくとも 1 つの文字または少なくとも 1 つの特殊文字を PIN に使用する必要があります。パスコードの種類として PIN が設定されており、[単純な PIN を許可する] が [いいえ] に設定されている場合、ユーザーは少なくとも 1 つの数字と 1 つの文字との 1 つ以上の特殊文字を PIN に入れる必要があります。 |
許可 |
|
PIN シーケンスの最小桁数を指定します。 | 4 |
|
[許可] を選択すると、アプリへのアクセスに、PIN の代わりに Touch ID を使用できるようになります。 | 許可 |
|
この設定を使用するには、[必要] を選択し、非アクティブ タイムアウトを構成します。 | 必須 |
|
パスコードまたは数値 (構成済み) PIN がアクセス方法として指紋または顔の使用をオーバーライドする時間を分単位で指定します。 このタイムアウト値は、[(非アクティブ分数) 後にアクセス要件を再確認する] に指定した値よりも大きい必要があります。 | 30 |
|
iOS/iPadOS デバイスでユーザー認証に顔認証テクノロジを使用するには、[許可] を選択します。 許可すると、Face ID 対応デバイスでは Face ID を使用してアプリにアクセスする必要があります。 | 許可 |
|
[はい] を選択すると、ユーザーは設定された期間の経過後にアプリの PIN を変更する必要があります。 [はい] に設定した場合は、PIN のリセットが要求されるまでの日数を構成します。 |
いいえ |
|
PIN のリセットが要求されるまでの日数を構成します。 | 90 |
|
ポータル サイトが構成されている登録済みデバイスでデバイス ロックが検出された場合にアプリの PIN を無効にするには、[無効にする] を選択します。 注:アプリで SDK バージョン 7.0.1 以降Intuneする必要があります。IntuneMAMUPN 設定は、アプリケーションが登録状態を検出するように構成する必要があります。 iOS/iPadOS デバイスでは、ユーザーが PIN の代わりに Touch ID または Face ID を使って自分の身元を証明できるようにすることができます。 Intune は、LocalAuthentication API を使って、Touch ID と Face ID によりユーザーを認証します。 Touch ID と Face ID については、「iOS Security Guide」(iOS セキュリティ ガイド) をご覧ください。 ユーザーが職場または学校のアカウントでこのアプリを使用しようとすると、PIN を入力する代わりに指紋識別と顔識別を求められます。 この設定を有効にすると、職場または学校アカウントの使用中にアプリ スイッチャーのプレビュー イメージがぼやけます。 デバイスの生体認証データベースに変更がある場合は、次の非アクティブタイムアウト値が満たされたときに、Intuneによってユーザーに PIN の入力を求められます。 生体認証データの変更には、認証のための指紋または顔の追加または削除が含まれます。 Intuneユーザーに PIN が設定されていない場合は、Intune PIN を設定します。 |
Enable |
| アクセスに職場または学校アカウントの資格情報を使用 | [ 必須] を選択すると、PIN を使用してアプリにアクセスする代わりに、職場または学校アカウントでユーザーがサインインできるようになります。 これを [必須] に設定し、PIN または生体認証プロンプトがオンになっている場合、ユーザーには企業の資格情報プロンプトと PIN または生体認証プロンプトの両方が表示されます。 | 必須ではありません |
| (非アクティブ分数) 後にアクセス要件を再確認する | アプリのユーザーがもう一度アクセス要件を指定するように要求されるまでに経過する必要がある、非アクティブな時間を表す分数を構成します。 たとえば、管理者がポリシーで PIN をオンにし、ルート化されたデバイスをブロックします。ユーザーは、Intuneマネージド アプリを開き、PIN を入力する必要があり、ルート化されていないデバイスでアプリを使用している必要があります。 この設定を使用する場合、ユーザーは PIN を入力したり、構成した期間、Intuneマネージド アプリで別のルート検出チェックを完了したりする必要はありません。 注:iOS/iPadOS では、PIN は、同じ発行元のすべてのIntuneマネージド アプリ間で共有されます。特定の PIN の PIN タイマーは、アプリがデバイス上のフォアグラウンドから離れるとリセットされます。ユーザーは、この設定で定義されているタイムアウト中に PIN を共有するIntuneマネージド アプリに PIN を入力する必要はありません。このポリシー設定形式では、正の整数がサポートされます。 |
30 |
注:
[アクセス] セクションで同じアプリとユーザーの組み合わせに対して構成された複数の Intune アプリ保護設定が iOS/iPadOS 上で動作する方法の詳細については、Intune MAM についてよく寄せられる質問に関するページおよび Intune でアプリ保護ポリシーのアクセス アクションを利用してデータを選択的にワイプする方法に関するページをご覧ください。
条件付き起動
条件付き起動設定を構成し、アクセス保護ポリシーのサインイン セキュリティ要件を設定します。
既定では、値とアクションが事前構成された設定がいくつか提供されます。 これらの値の一部 ( 最小 OS バージョンなど) を削除できます。 [1 つ選択] ドロップダウンから他の設定 を選択 することもできます。
| Setting | 使用方法 |
|---|---|
| OS の最大バージョン | このアプリを使用できる iOS または iPadOS オペレーティング システムの最大バージョンを指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。 注:アプリで SDK バージョン 14.4.0 以降Intuneする必要があります。 |
| OS の最小バージョン | このアプリを使用するための最小の iOS/iPadOS オペレーティング システムを指定します。
"アクション" に含まれている項目:
このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。 注:アプリで SDK バージョン 7.0.1 以降Intuneする必要があります。 |
| PIN の最大試行回数 | PIN の入力試行回数を指定します。成功せずにこの回数を超えると、構成されているアクションが実行されます。 PIN の最大試行後にユーザーが PIN の入力に失敗した場合、ユーザーはアカウントに正常にログインし、必要に応じて多要素認証 (MFA) チャレンジを完了した後にピンをリセットする必要があります。 このポリシー設定の形式は、正の整数をサポートします。
"アクション" に含まれている項目:
|
| [オフラインの猶予期間] | ポリシーで管理されているアプリをオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。
"アクション" に含まれている項目:
|
| 脱獄またはルート化されたデバイス | この設定に設定する値はありません。
"アクション" に含まれている項目:
|
| 無効なアカウント | この設定に設定する値はありません。
"アクション" に含まれている項目:
|
| アプリの最小バージョン | アプリケーションの最小バージョンの値を指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 このポリシー設定では、iOS アプリ バンドルのバージョン形式 (major.minor または major.minor.patch) の一致がサポートされています。 注:アプリで SDK バージョン 7.0.1 以降Intuneする必要があります。 さらに、エンド ユーザーが基幹業務 (LOB) アプリの更新バージョンを取得できる場所を構成できます。 エンド ユーザーは 、アプリの最小バージョン の条件付き起動ダイアログでこれを表示します。これにより、エンド ユーザーは LOB アプリの最小バージョンに更新するように求められます。 iOS/iPadOS では、この機能では、アプリを iOS v. 10.0.7 以降の Intune SDK と統合 (またはラッピング ツールを使用してラップ) する必要があります。 エンド ユーザーが LOB アプリを更新する必要がある場所を構成するには、キー com.microsoft.intune.myappstore を含むマネージド アプリ構成ポリシーをアプリに送信する必要があります。 送信される値は、エンド ユーザーがアプリのダウンロード元となるストアを定義します。 アプリがポータル サイト経由で展開される場合、値は CompanyPortal である必要があります。 他のストアの場合は、完全な URL を入力する必要があります。 |
| SDK の最小バージョン | Intune SDK のバージョンの最小値を指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 |
| デバイス モデル | モデル識別子のセミコロン区切りリストを指定します。 これらの値では、大文字と小文字は区別されません。
"アクション" に含まれている項目:
|
| 許容される最大デバイス脅威レベル | アプリ保護ポリシーでは、Intune-MTD コネクタを利用できます。 このアプリの使用に対して許容される最大脅威レベルを指定します。 選択した Mobile Threat Defense (MTD) アプリによって、ユーザーのデバイス上の脅威が決まります。 "セキュリティ保護"、"低"、"中"、"高" のいずれかを指定します。 "セキュリティ保護" は、デバイスに対する脅威は不要で、構成可能な最も制限の厳しい値であるのに対し、"高" では基本的に Intune と MTD の間のアクティブな接続が必要です。
"アクション" に含まれている項目:
この設定の使用方法について詳しくは、未登録デバイスに対する MTD の有効化に関する記事をご覧ください。 |
| プライマリ MTD サービス | 複数の Intune-MTD コネクタを構成した場合は、エンド ユーザー デバイスで使用する必要があるプライマリ MTD ベンダー アプリを指定します。
値 は次のとおりです。
この設定を使用するには、設定 "最大許可デバイス脅威レベル" を構成する必要があります。 この設定には アクション がありません。 |
| 非稼働時間 | この設定に設定する値はありません。
"アクション" に含まれている項目:
次のアプリは、この機能をサポートしています。
|
詳細情報
- Microsoft アプリの LinkedIn の情報と機能について学習します。
- Microsoft 365 ロードマップ ページに示されている LinkedIn アカウント接続のリリースについて学習します。
- LinkedIn アカウント接続の構成について学習します。
- ユーザーの LinkedIn および Microsoft の職場または学校アカウント間で共有されるデータについて詳しくは、「職場または学校のアカウントを使用した Microsoft アプリケーションの LinkedIn」をご覧ください。