MAM とアプリの保護に関してよく寄せられる質問

この記事では、モバイル アプリケーション管理 (MAM) とIntuneアプリ保護Intune関してよく寄せられる質問に対する回答を示します。

MAM の基本

MAM とは

MAM の概要

アプリ保護ポリシー

アプリ保護ポリシーとは

アプリ保護ポリシーは、管理対象アプリで組織のデータがセキュリティ保護または保持されるようにするルールです。 ポリシーは、ユーザーが "企業" データにアクセスまたは移動しようとしたときに適用Intuneルールです。 また、ユーザーがアプリにいる間Intuneブロックまたは監視するアクションを定義することもできます。

アプリ保護ポリシーの例は何ですか?

各アプリ保護ポリシー設定の詳細については、「 Android アプリ保護ポリシー設定 」と 「iOS/iPadOS アプリ保護ポリシー設定」を参照してください。

MDM ポリシーと MAM ポリシーの両方を、デバイスごとに同じユーザーに同時に適用できますか?

デバイス管理状態を設定せずに MAM ポリシーをユーザーに適用した場合、ユーザーは個人用デバイス (BYOD) とIntuneマネージド デバイスの両方で MAM ポリシーを取得します。 デバイスの管理状態に基づいて MAM ポリシーを適用することもできます。 そのため、アプリ保護ポリシーを作成するときに、[すべてのデバイスの種類のアプリをターゲットにする] の横にある [いいえ] を選択します。 次に、次のいずれかのオプションを選択します。

• Intune マネージド デバイスに制限が緩い MAM ポリシーを適用し、MDM が登録されていないデバイスにより制限の厳しい MAM ポリシーを適用します。
• Intuneマネージド デバイスと Microsoft 以外の管理対象デバイスに対して、同様に厳格な MAM ポリシーを適用します。
• 登録解除されたデバイスのみに MAM ポリシーを適用します。

詳細については、「 アプリ保護ポリシーを監視する方法」を参照してください。

アプリ保護ポリシーで管理できるアプリ

アプリ保護ポリシーで管理できるアプリはどれですか?

Intune App SDK と統合されたアプリ、またはIntune App Wrapping Toolによってラップされたアプリは、Intuneアプリ保護ポリシーを使用して管理できます。 一般公開されている Intune で管理されているアプリの公式の一覧を参照してください。

Intuneマネージド アプリでアプリ保護ポリシーを使用するためのベースライン要件は何ですか?

• エンド ユーザーには、Microsoft Entra アカウントが必要です。 Microsoft Entra IDでIntune ユーザーを作成する方法の詳細については、「ユーザーを追加し、Intuneに管理アクセス許可を付与する」を参照してください。

• エンド ユーザーには、Microsoft Entra アカウントに割り当てられているMicrosoft Intuneのライセンスが必要です。 エンド ユーザーにIntune ライセンスを割り当てる方法の詳細については、「Intune ライセンスの管理」を参照してください。

• エンド ユーザーは、アプリ保護ポリシーの対象となるセキュリティ グループに属している必要があります。 同じアプリ保護ポリシーは、使用している特定のアプリを対象にしている必要があります。 アプリ保護ポリシーは、Microsoft Intune管理センターで作成および展開できます。 セキュリティ グループは現在のところ、Microsoft 365 管理センターで作成できます。

• エンド ユーザーは、Microsoft Entra アカウントを使用してアプリにサインインする必要があります。

Intune App Protection でアプリを有効にしたいが、サポートされているアプリ開発プラットフォームを使用していない場合はどうすればよいですか?

Intune SDK 開発チームは、ネイティブの Android、iOS/iPadOS (Obj-C、Swift)、Xamarin、および Xamarin.Forms プラットフォームを使ってビルドされたアプリに対するサポートを、積極的にテストして管理しています。 一部のお客様は、Intune SDK を他のプラットフォーム (React Nativeや NativeScript など) と正常に統合しています。 ただし、Microsoft では、サポートされているプラットフォーム以外のプラットフォームのガイダンスやプラグインは提供していません。

Intune APP SDK は Microsoft Authentication Library (MSAL) をサポートしていますか?

Intune App SDK では、認証シナリオと条件付き起動シナリオに Microsoft 認証ライブラリを使用できます。 また、MSAL を使用して、デバイス登録シナリオを使用せずに管理するために、MAM サービスにユーザー ID を登録します。

Outlook モバイル アプリを使用するためのその他の要件は何ですか?

• エンド ユーザーは、デバイスに Outlook モバイル アプリ をインストールする必要があります。

• エンド ユーザーには、Microsoft 365 Exchange Online メールボックスとライセンスがMicrosoft Entra アカウントにリンクされている必要があります。

  注:

  現在、Outlook モバイル アプリでは、ハイブリッド先進認証を使用したIntune App Protection for Microsoft Exchange OnlineとExchange Serverのみがサポートされており、Office 365 Dedicated での Exchange はサポートされていません。

Word、Excel、PowerPoint アプリを使用するためのその他の要件は何ですか?

• エンド ユーザーは、Microsoft Entra アカウントにリンクされたMicrosoft 365 Apps for businessまたはエンタープライズのライセンスを持っている必要があります。 サブスクリプションにはモバイル デバイス上の Office アプリが含まれている必要があり、 OneDrive クラウド ストレージとビジネス向けのファイル共有を含むクラウド ストレージ アカウントを含めることができます。 Microsoft 365 ライセンスは、Microsoft 365 管理センターで割り当てることができます。こちらの手順に従ってください。

• エンド ユーザーは、[組織データのコピーを保存] アプリケーション保護ポリシー設定の機能として、詳細保存を使用して管理対象の場所を構成しておく必要があります。 たとえば、管理対象の場所が OneDrive の場合、OneDrive アプリはエンド ユーザーのWord、Excel、または PowerPoint アプリで構成する必要があります。

• 管理対象の場所が OneDrive の場合、アプリは、エンド ユーザーに展開されているアプリの保護ポリシーの対象となる必要があります。

  注:

  現段階では、Office モバイル アプリは SharePoint Online のみをサポートし、オンプレミスの SharePoint はサポートされていません。

Office にマネージドロケーション (つまり OneDrive) が必要なのはなぜですか?

Intuneは、アプリ内のすべてのデータを "企業" または "個人用" としてマークします。データは、ビジネス上の場所から発信される場合、"企業" と見なされます。 Office アプリの場合、Intuneはメール (Exchange) とクラウド ストレージ (OneDrive) をビジネスの場所として扱います。

Skype for Businessを使用するその他の要件は何ですか?

Skype for Business のライセンス要件を参照してください。 Skype for Business (SfB) ハイブリッド構成とオンプレミス構成については、「Hybrid Modern Auth for SfB」を参照し、Exchange は MICROSOFT ENTRA IDを使用してオンプレミスの SfB 用 GA および Modern Auth を使用します。

アプリ保護機能

マルチ ID サポートとは

マルチ ID サポートは、Intune App SDK がアプリにサインインしている職場または学校アカウントにのみアプリ保護ポリシーを適用する機能です。 個人用アカウントでアプリにサインインした場合、データは管理されません。

マルチ ID サポートの目的は何ですか?

マルチ ID サポートを使用すると、"企業" とコンシューマーの両方の対象ユーザー (つまり Office アプリ) を持つアプリを、"企業" アカウントのIntuneアプリ保護機能を使用して一般公開できます。

Outlook とマルチ ID はどうですか?

Outlook には個人用メールと "企業" メールの両方のメール ビューが組み合わされているため、Outlook アプリは起動時にIntune PIN の入力を求めます。

Intune アプリ PIN とは

暗証番号 (PIN) は、アプリケーションで適切なユーザーが組織のデータにアクセスしていることを確認するために使用されるパスコードです。

ユーザーが PIN を入力するように求められるのはいつですか?

Intune では、ユーザーが "企業" データにアクセスしようとした場合にアプリの PIN が要求されます。 Word/Excel/PowerPoint などのマルチ ID アプリでは、"企業" ドキュメントまたはファイルを開こうとすると、ユーザーに PIN の入力を求められます。 Intune App Wrapping Toolを使用して管理される基幹業務アプリなどの単一 ID アプリでは、Intune App SDK はアプリでのユーザーのエクスペリエンスが常に "企業" であることを認識しているため、起動時に PIN が求められます。

ユーザーはどのくらいの頻度でIntune PIN の入力を求められますか?

IT 管理者は、Microsoft Intune管理センターでIntuneアプリ保護ポリシー設定の [アクセス要件を (分) 後に再確認する] を定義できます。 この設定では、デバイスでアクセス要件がチェックされるまでの時間を指定し、アプリケーションの PIN 画面が再び表示されます。 ただし、ユーザーにメッセージを表示する頻度に影響する PIN に関する重要な詳細は次のとおりです。

• PIN は、使いやすさを向上させるために、同じ発行元のアプリ間で共有されます。 iOS/iPadOS では、1 つのアプリ PIN が 同じアプリ発行元のすべてのアプリ間で共有されます。 Android では、1 つのアプリ PIN がすべてのアプリで共有されます。
• デバイスの再起動後の "(分) 後のアクセス要件の再確認" 動作:"PIN タイマー" は、次にアプリ PIN を表示するタイミングを決定する非アクティブ時間 (分) を追跡Intune。 iOS/iPadOS では、PIN タイマーはデバイスの再起動の影響を受けません。 したがって、デバイスの再起動は、ユーザーが pin ポリシーを持つ iOS/iPadOS アプリから非アクティブである分数に影響Intune。 Android では、デバイスの再起動時に PIN タイマーがリセットされます。 そのため、INTUNE PIN ポリシーを持つ Android アプリでは、デバイスの再起動後に [(分) 後にアクセス要件を再確認する] 設定値に関係なく、アプリ PIN の入力を求めるメッセージが表示される可能性があります。
• PIN に関連付けられているタイマーのローリング特性:アプリ (アプリ A) にアクセスするために PIN を入力し、アプリがデバイス上のフォアグラウンド (メイン入力フォーカス) を離れると、その PIN の PIN タイマーがリセットされます。 この PIN を共有するアプリ (アプリ B) では、タイマーがリセットされているため、ユーザーに PIN エントリの入力を求めるメッセージは表示されません。 "(分数) 後にアクセス要件を再確認する" の値がもう一度満たされると、再度プロンプトが表示されます。

iOS/iPadOS デバイスでは、異なる発行元のアプリが同じ PIN を共有できます。 ただし、(分) の値に達した後にアクセス要件を再確認すると、アプリがメイン入力フォーカスでない場合、Intuneはユーザーに PIN の入力を求めます。 そこで、たとえば、ユーザーに発行元 X からのアプリ A と発行元 Y からのアプリ B があるとき、それら 2 つのアプリで同じ PIN が共有されているとします。 ユーザーのフォーカスがアプリ A (前景) にあり、アプリ B は最小化されています。 [(分数) 後にアクセス要件を再確認する] 値が満たされ、ユーザーがアプリ B に切り替えると、PIN が必要になります。

注:

ユーザーのアクセス要件 (つまり、PIN プロンプト) をより頻繁に確認するには、特に頻繁に使用されるアプリの場合は、[(分) 後にアクセス要件を再確認する] 設定の値を減らします。

Intune PIN は、Outlook と OneDrive 用の組み込みアプリ PIN でどのように機能しますか?

Intune PIN は、非アクティブベースのタイマー ("(分) 後にアクセス要件を再確認する] の値) に基づいて動作します。 そのため、Intune PIN プロンプトは、既定でアプリの起動に関連付けられていることが多い Outlook および OneDrive 用の組み込みのアプリ PIN プロンプトとは独立して表示されます。 ユーザーに両方の PIN プロンプトが同時に表示される場合、Intune PIN が優先される動作が予想されます。

PIN は安全ですか?

PIN は、アプリで適切なユーザーのみが組織のデータにアクセスできるようにするためのものです。 そのため、エンドユーザーが Intune アプリの PIN を設定またはリセットするには、職場または学校のアカウントを使用してサインインする必要があります。 Microsoft Entra IDは、セキュリティで保護されたトークン交換を通じてこの認証を処理し、Intune App SDK に対して透過的ではありません。 セキュリティの観点からは、職場または学校のデータを保護する最も効果的な方法は暗号化です。 暗号化はアプリ PIN に関連していませんが、独自のアプリ保護ポリシーです。

Intuneはブルート フォース攻撃から PIN をどのように保護しますか?

IT 管理者は、アプリの PIN ポリシーの一環として、アプリがロックされるまでにユーザーが PIN の認証を試みることのできる最大回数を設定できます。 試行回数が満たされると、Intune App SDK はアプリ内の "企業" データをワイプできます。

同じ発行元のアプリで PIN を 2 回設定する必要があるのはなぜですか?

iOS/iPadOS 上の MAM では、英数字と特殊文字 (パスコードと呼ばれる) を使用したアプリケーション レベルの PIN がサポートされています。 パスコード設定を適用するには、Word、Excel、PowerPoint、Outlook、Managed Browser、Yammer などのアプリで、iOS/iPadOS 用のIntune App SDK を統合する必要があります。 この統合がないと、Intuneはそれらのアプリのパスコード設定を適用できません。 Intune、iOS/iPadOS 用 SDK バージョン 7.1.12 でこの機能が導入されました。

この機能をサポートし、以前のバージョンの iOS/iPadOS 用 Intune SDK との互換性を維持するために、バージョン 7.1.12 以降では、以前のバージョンで使用された数値 PIN とは別にすべての PIN (数値またはパスコード) を処理します。 そのため、デバイスに、同じ発行元から 7.1.12 より前の iOS/iPadOS バージョンと 7.1.12 以降のバージョンの Intune SDK を持つアプリケーションがある場合は、2 つの PIN を設定する必要があります。

つまり、(アプリごとに) 2 つの PIN は何の関係もありません。 アプリに適用されるアプリ保護ポリシーに従う必要があります。 そのため、アプリ A と B に同じポリシー (PIN に関して) が適用されている場合 にのみ 、ユーザーは同じ PIN を 2 回設定できます。

これは、Intune モバイル アプリの管理が有効になっている iOS/iPadOS アプリケーション上の PIN に固有の動作です。 時間の経過とともに、新しいバージョンの iOS/iPadOS 用 Intune SDK が採用されていくと、同じ発行元のアプリに 1 つの PIN を 2 回設定しなくてはならないことは問題ではなくなっていきます。

注:

アプリのバージョンは、共有 PIN が可能かどうかを決定します。 たとえば、アプリ A が 7.1.12 より前の SDK バージョンを使用し、アプリ B がバージョン 7.1.12 以降を使用している場合、ユーザーは同じ発行元の場合でも、アプリごとに個別の PIN を設定する必要があります。 ただし、アプリ A と C の両方で 7.1.12 より前のバージョンが使用されている場合は、PIN を共有します。 同様に、アプリ B と D は、両方で SDK 7.1.12 以降を使用する場合に PIN を共有します。

暗号化はどうですか?

IT 管理者は、アプリ データの暗号化を必須にするアプリ保護ポリシーを展開できます。 ポリシーの一環として、IT 管理者はコンテンツがいつ暗号化されるかを指定することもできます。

Intuneでデータを暗号化する方法

Intuneは、暗号化のアプリ保護ポリシー設定に従ってデータを暗号化します。 詳細については、「 Android アプリ保護ポリシー設定 」と 「iOS/iPadOS アプリ保護ポリシー設定」を参照してください。

何が暗号化されますか?

IT 管理者のアプリ保護ポリシーに従い、"企業" データとしてマークされたデータのみが暗号化されます。 勤務地から送信されたデータは "企業" データと見なされます。 Office アプリの場合、Intuneはメール (Exchange) とクラウド ストレージ (OneDrive) をビジネスの場所として扱います。 Intune App Wrapping Toolによって管理される基幹業務アプリの場合、すべてのアプリ データは "企業" と見なされます。

Intuneリモートでデータをワイプする方法

Intuneは、フル デバイス ワイプ、MDM の選択的ワイプ、MAM 選択的ワイプの 3 つの方法でアプリ データをワイプできます。 MDM のリモート ワイプの詳細については、ワイプまたはインベントリからの削除を使用してデバイスを削除する方法に関するページを参照してください。 MAM を使用した選択的なワイプの詳細については、インベントリからの削除アクションに関するページとアプリから会社のデータのみをワイプする方法に関するページを参照してください。

ワイプとは

ワイプ は、デバイスを出荷時の既定 の設定に 復元することで、すべてのユーザー データと設定をデバイスから削除します。 デバイスは Intune から削除されません。

注:

ワイプは、Intune モバイル デバイス管理 (MDM) に登録されているデバイスでのみ実現できます。

MDM の選択的ワイプとは

MDM の選択的ワイプは、個人データに影響を与えずにデバイスから会社のデータのみを削除します。 詳細については、「デバイスの 削除 - 廃止」を参照してください。

MAM の選択的ワイプとは

MAM の選択的ワイプは、単にアプリから業務用アプリのデータを削除します。 要求は、Microsoft Intune管理センターを使用して開始されます。 ワイプ要求を開始する方法については、アプリから企業データのみをワイプする方法に関するページを参照してください。

MAM の選択的ワイプはどのくらいの速さで行われますか?

選択的ワイプが開始されたときにユーザーがアプリを使用している場合、Intune App SDK は、Intune MAM サービスからの選択的ワイプ要求を 30 分ごとにチェックします。 ユーザーがアプリを初めて起動し職場または学校のアカウントを使ってサインインした場合も、選択的ワイプがチェックされます。

オンプレミス サービスが保護されたアプリIntune使用できないのはなぜですか?

アプリ保護Intuneは、アプリケーションとIntune App SDK の間で一貫性を保つユーザーの ID によって異なります。 これを保証する唯一の方法は、最新の認証を使用することです。 アプリがオンプレミスの構成で動作する可能性があるが、一貫性がない、または保証されていないシナリオがあります。

マネージド アプリから Web リンクを開く安全な方法はありますか?

はい。 IT 管理者は、Microsoft Edge アプリのアプリ保護ポリシーを展開および設定できます。 IT 管理者は、microsoft Edge アプリを使用して、Intuneマネージド アプリ内のすべての Web リンクを開く必要があります。

Android でのアプリ エクスペリエンス

Intuneアプリ保護が Android デバイスで機能するためにポータル サイト アプリが必要なのはなぜですか?

ポータル サイト アプリと Intune アプリの保護

同じアプリとユーザーのセットに構成されている複数のIntuneアプリ保護アクセス設定は、Android でどのように動作しますか?

Intuneアクセスのアプリ保護ポリシーは、企業アカウントから対象アプリにアクセスしようとすると、エンド ユーザー デバイスで特定の順序で適用されます。 一般に、ブロックが優先され、次に無視できる警告が表示されます。 たとえば、特定のユーザー/アプリに適用可能な場合、ユーザーのアクセスをブロックする最小の Android パッチ バージョン設定の後、パッチ アップグレードを実行するようユーザーに警告する最小の Android パッチ バージョン設定が適用されます。 したがって、IT 管理者が最小の Android パッチ バージョンを 2018-03-01 に構成し、最小の Android パッチ バージョン (警告のみ) を 2018-02-01 に構成した状態で、アプリにアクセスしようとしているデバイスがパッチ バージョン 2018-01-01 にあった場合、エンド ユーザーは最小の Android パッチ バージョンに対するより制限の厳しい設定に基づいてブロックされ、その結果、アクセスがブロックされます。

さまざまな種類の設定を扱う場合、優先順位は、アプリのバージョン要件、Android オペレーティング システムのバージョン要件、Android パッチのバージョン要件となります。 その後、同じ順序ですべての種類の設定の警告が確認されます。

Intuneアプリ保護ポリシーは、管理者がエンド ユーザー デバイスに Android デバイスの Google Play のデバイス整合性チェックを渡す必要がある機能を提供します。 新しい Google Play のデバイスの整合性チェック結果がサービスに送信される頻度はどのくらいですか?

Intuneサービスは、サービスの負荷によって決まる構成できない間隔で Google Play に接続します。 Google Play のデバイス整合性チェック設定に対して構成された IT 管理者のアクションは、条件付き起動時にIntune サービスに最後に報告された結果に基づいて実行されます。 Google のデバイスの整合性の結果が準拠している場合、アクションは実行されません。 Google のデバイスの整合性の結果が非準拠の場合、IT 管理者が構成したアクションが直ちに実行されます。 何らかの理由で Google Play のデバイスの整合性チェック要求が失敗した場合、前の要求のキャッシュされた結果は、最大 24 時間、または次のデバイス再起動で使用されます。これは、最初に発生します。 その時点Intuneアプリ保護ポリシーは、現在の結果を取得できるようになるまでアクセスをブロックします。

Intune App Protection ポリシーでは、管理者がエンド ユーザー デバイスに Google の Android デバイス向けアプリの検証 API を介してシグナルを送信するよう要求する機能が提供されます。 エンド ユーザーがアプリ スキャンを有効にして、このためアクセスがブロックされないようにするにはどうすればよいですか?

これを行う方法の手順は、デバイスによって若干異なります。 一般的なプロセスでは、Google Play Store に移動し、[My apps & games]\(アプリとゲーム\) をアクセスし、最後のアプリ スキャンの結果をクリックします。クリックすると、Play Protect メニューが表示されます。 [端末をスキャンしてセキュリティ上の脅威を確認] のトグルが確実にオンになっているようにします。

Google の Play Integrity API は実際に Android デバイスで何をチェックしますか? "基本的な整合性の確認" と "認定されたデバイス & 基本的な整合性の確認" の構成可能な値の違いは何ですか?

Intuneは、Google Play Integrity API を適用して、登録されていないデバイスの既存のルート検出チェックに追加します。 Google は、Android アプリがルート化されたデバイスでアプリを実行したくない場合に採用するために、この API セットを開発および管理しました。 たとえば、Android Pay アプリはこれを組み込みました。 Google では、発生するルート検出チェックの全体をパブリックに共有しませんが、これらの API は、デバイスをルート化したユーザーを検出することを期待しています。 そのようなユーザーのアクセスをブロックしたり、ポリシーが有効になっているアプリからそのようなユーザーの企業アカウントを消去したりできます。 "基本的な整合性の確認" は、デバイスの一般的な整合性について説明します。 ルート化されたデバイス、エミュレーター、仮想デバイス、改ざんの兆候があるデバイスは基本的な整合性のチェックで不合格になります。 「認定されたデバイス & 基本的な整合性を確認する」は、Google のサービスとのデバイスの互換性について説明します。 Google に認められた、改造されていないデバイスのみがこのチェックに合格します。 失敗したデバイスには、次のものがあります。

• 基本的な整合性のチェックで不合格になるデバイス
• ブートローダーがロックされていないデバイス
• カスタム システム イメージ/ROM が含まれるデバイス
• 製造元が Google 認定資格を申請しなかった、または合格しなかったデバイス
• Android オープン ソース プログラムのソース ファイルから直接構築されたシステム イメージを含むデバイス
• ベータ版/開発者プレビューのシステム イメージを含むデバイス

技術的な詳細については、 Play Integrity API に関する Google のドキュメント を参照してください。

Android デバイス用のIntuneアプリ保護ポリシーを作成する場合、条件付き起動セクションにも同様のチェックが 2 つあります。 [Play integrity verdict]\(整合性判定の再生\) 設定または [脱獄/ルート化されたデバイス] 設定を要求する必要がありますか?

Google Play Integrity API のチェックでは、構成証明の結果を決定するための "ラウンドトリップ" が実行される間、エンド ユーザーがオンラインである必要があります。 エンド ユーザーがオフラインの場合でも、IT 管理者は "脱獄/ルート化されたデバイス" 設定から結果が適用されることを期待できます。 つまり、エンド ユーザーがオフラインに長すぎる場合は、ネットワーク アクセスが使用可能になるまで、"オフライン猶予期間" の値が再生され、タイマー値に達すると、職場または学校のデータへのすべてのアクセスがブロックされます。 両方の設定をオンにすると、エンド ユーザーデバイスを正常に保つための階層化されたアプローチが可能になります。これは、エンド ユーザーがモバイル上の職場または学校のデータにアクセスするときに重要です。

Google Play Protect API を適用するアプリ保護ポリシー設定では、Google Play サービスを機能させる必要があります。 エンド ユーザーがいる可能性がある場所で Google Play サービスが許可されない場合はどうすればよいですか?

[Play integrity verdict]\(整合性の判定の再生\) と [アプリの脅威スキャン] の両方の設定では、Google が決定したバージョンの Google Play Services が正しく機能する必要があります。 これらはセキュリティの領域に該当する設定であるため、エンド ユーザーがこれらの設定を対象にしていて、適切なバージョンの Google Play サービスを満たしていない場合、または Google Play サービスにアクセスできない場合、エンド ユーザーはブロックされます。

iOS でのアプリ エクスペリエンス

デバイスに指紋や顔を追加または削除するとどうなりますか?

Intune アプリ保護ポリシーでは、アプリへのアクセスを制御して、Intune のライセンスがあるユーザーのみを許可することができます。 アプリへのアクセスを制御する方法の 1 つは、Apple の Touch ID または Face ID のいずれかをサポートされているデバイス上で要求することです。 Intuneは、デバイスの生体認証データベースに何らかの変更がある場合、次の非アクティブタイムアウト値が満たされたときにユーザーに PIN の入力を求めるIntune動作を実装します。 フィンガープリントや顔の追加や削除も、生体認証データの変更に含まれます。 Intuneユーザーに PIN が設定されていない場合は、Intune PIN を設定します。

この目的は、organizationのデータをアプリ レベルでセキュリティで保護され、保護されたアプリ内に維持し続けることです。 この機能は iOS/iPadOS でのみ使用でき、Intune APP SDK for iOS/iPadOS バージョン 9.0.1 以降を統合するアプリケーションの参加が必要です。 SDK の統合は、対象のアプリケーション上で動作を適用するために必要です。 この統合は、ローリング方式で行われ、特定のアプリケーション チームに依存します。 参加するアプリケーションには、WXP、Outlook、Managed Browser、Yammer などが含まれます。

iOS 共有拡張機能を使用して、データ転送ポリシーが "マネージド アプリのみ" または "アプリなし" に設定されている場合でも、管理されていないアプリで職場または学校のデータを開くことができるようになります。 これはデータをリークしませんか?

アプリ保護ポリシー Intune、デバイスを管理しないと iOS 共有拡張機能を制御できません。 そのため、Intuneはアプリの外部で共有される前に"企業" データを暗号化します。 これを検証するには、マネージド アプリの外部で "企業" ファイルを開こうとします。 ファイルは暗号化されていて、管理対象アプリの外部では開くことができないはずです。

同じアプリとユーザーのセットに構成されている複数のIntuneアプリ保護アクセス設定は、iOS でどのように動作しますか?

Intuneアクセスに関するアプリ保護ポリシーは、企業アカウントから対象アプリにアクセスしようとすると、エンド ユーザー デバイスで特定の順序で適用されます。 一般に、ワイプが優先され、ブロックが続き、無視できる警告が続きます。 たとえば、特定のユーザーまたはアプリに適用可能な場合、ユーザーのアクセスをブロックする最小の iOS/iPadOS オペレーティング システム設定の後、iOS/iPadOS バージョンを更新するようユーザーに警告する最小の iOS/iPadOS オペレーティング システム設定が適用されます。 そのため、IT 管理者が最小 iOS/iPadOS オペレーティング システムを 11.0.0.0 に、最小 iOS/iPadOS オペレーティング システム (警告のみ) を 11.1.0.0 に構成するシナリオでは、 アプリにアクセスしようとしているデバイスが iOS/iPadOS 10 上にあった間、エンド ユーザーは、アクセスがブロックされる最小 iOS/iPadOS オペレーティング システムバージョンの制限の厳しい設定に基づいてブロックされます。

さまざまな種類の設定を処理する場合は、Intune App SDK のバージョン要件が優先され、アプリのバージョン要件の後に iOS/iPadOS オペレーティング システムのバージョン要件が続きます。 その後、同じ順序ですべての種類の設定の警告が確認されます。 Intune App SDK のバージョン要件は、Intune製品チームからの基本的なブロック シナリオに関するガイダンスでのみ構成することをお勧めします。

関連項目

• Intune を展開する
• ロールアウト計画を作成する
• Microsoft Intuneの Android モバイル アプリ管理ポリシー設定
• iOS/iPadOS モバイル アプリ管理ポリシー設定
• ポリシーのアプリ保護ポリシーの更新
• アプリ保護ポリシーを検証する
• デバイスを登録せずに管理対象アプリのアプリ構成ポリシーを追加する
• Microsoft Intuneでサポートを受ける方法

この記事では、モバイル アプリケーション管理 (MAM) とIntuneアプリ保護Intune関してよく寄せられる質問に対する回答を示します。

MAM の概要

アプリ保護ポリシーは、管理対象アプリで組織のデータがセキュリティ保護または保持されるようにするルールです。 ポリシーは、ユーザーが "企業" データにアクセスまたは移動しようとしたときに適用Intuneルールです。 また、ユーザーがアプリにいる間Intuneブロックまたは監視するアクションを定義することもできます。

各アプリ保護ポリシー設定の詳細については、「 Android アプリ保護ポリシー設定 」と 「iOS/iPadOS アプリ保護ポリシー設定」を参照してください。

デバイス管理状態を設定せずに MAM ポリシーをユーザーに適用した場合、ユーザーは個人用デバイス (BYOD) とIntuneマネージド デバイスの両方で MAM ポリシーを取得します。 デバイスの管理状態に基づいて MAM ポリシーを適用することもできます。 そのため、アプリ保護ポリシーを作成するときに、[すべてのデバイスの種類のアプリをターゲットにする] の横にある [いいえ] を選択します。 次に、次のいずれかのオプションを選択します。

• Intune マネージド デバイスに制限が緩い MAM ポリシーを適用し、MDM が登録されていないデバイスにより制限の厳しい MAM ポリシーを適用します。
• Intuneマネージド デバイスと Microsoft 以外の管理対象デバイスに対して、同様に厳格な MAM ポリシーを適用します。
• 登録解除されたデバイスのみに MAM ポリシーを適用します。

詳細については、「 アプリ保護ポリシーを監視する方法」を参照してください。

Intune App SDK と統合されたアプリ、またはIntune App Wrapping Toolによってラップされたアプリは、Intuneアプリ保護ポリシーを使用して管理できます。 一般公開されている Intune で管理されているアプリの公式の一覧を参照してください。

• エンド ユーザーには、Microsoft Entra アカウントが必要です。 Microsoft Entra IDでIntune ユーザーを作成する方法の詳細については、「ユーザーを追加し、Intuneに管理アクセス許可を付与する」を参照してください。

• エンド ユーザーには、Microsoft Entra アカウントに割り当てられているMicrosoft Intuneのライセンスが必要です。 エンド ユーザーにIntune ライセンスを割り当てる方法の詳細については、「Intune ライセンスの管理」を参照してください。

• エンド ユーザーは、アプリ保護ポリシーの対象となるセキュリティ グループに属している必要があります。 同じアプリ保護ポリシーは、使用している特定のアプリを対象にしている必要があります。 アプリ保護ポリシーは、Microsoft Intune管理センターで作成および展開できます。 セキュリティ グループは現在のところ、Microsoft 365 管理センターで作成できます。

• エンド ユーザーは、Microsoft Entra アカウントを使用してアプリにサインインする必要があります。

Intune SDK 開発チームは、ネイティブの Android、iOS/iPadOS (Obj-C、Swift)、Xamarin、および Xamarin.Forms プラットフォームを使ってビルドされたアプリに対するサポートを、積極的にテストして管理しています。 一部のお客様は、Intune SDK を他のプラットフォーム (React Nativeや NativeScript など) と正常に統合しています。 ただし、Microsoft では、サポートされているプラットフォーム以外のプラットフォームのガイダンスやプラグインは提供していません。

Intune App SDK では、認証シナリオと条件付き起動シナリオに Microsoft 認証ライブラリを使用できます。 また、MSAL を使用して、デバイス登録シナリオを使用せずに管理するために、MAM サービスにユーザー ID を登録します。

• エンド ユーザーは、デバイスに Outlook モバイル アプリ をインストールする必要があります。

• エンド ユーザーには、Microsoft 365 Exchange Online メールボックスとライセンスがMicrosoft Entra アカウントにリンクされている必要があります。

  注:

  現在、Outlook モバイル アプリでは、ハイブリッド先進認証を使用したIntune App Protection for Microsoft Exchange OnlineとExchange Serverのみがサポートされており、Office 365 Dedicated での Exchange はサポートされていません。

• エンド ユーザーは、Microsoft Entra アカウントにリンクされたMicrosoft 365 Apps for businessまたはエンタープライズのライセンスを持っている必要があります。 サブスクリプションにはモバイル デバイス上の Office アプリが含まれている必要があり、 OneDrive クラウド ストレージとビジネス向けのファイル共有を含むクラウド ストレージ アカウントを含めることができます。 Microsoft 365 ライセンスは、Microsoft 365 管理センターで割り当てることができます。こちらの手順に従ってください。

• エンド ユーザーは、[組織データのコピーを保存] アプリケーション保護ポリシー設定の機能として、詳細保存を使用して管理対象の場所を構成しておく必要があります。 たとえば、管理対象の場所が OneDrive の場合、OneDrive アプリはエンド ユーザーのWord、Excel、または PowerPoint アプリで構成する必要があります。

• 管理対象の場所が OneDrive の場合、アプリは、エンド ユーザーに展開されているアプリの保護ポリシーの対象となる必要があります。

  注:

  現段階では、Office モバイル アプリは SharePoint Online のみをサポートし、オンプレミスの SharePoint はサポートされていません。

Intuneは、アプリ内のすべてのデータを "企業" または "個人用" としてマークします。データは、ビジネス上の場所から発信される場合、"企業" と見なされます。 Office アプリの場合、Intuneはメール (Exchange) とクラウド ストレージ (OneDrive) をビジネスの場所として扱います。

Skype for Business のライセンス要件を参照してください。 Skype for Business (SfB) ハイブリッド構成とオンプレミス構成については、「Hybrid Modern Auth for SfB」を参照し、Exchange は MICROSOFT ENTRA IDを使用してオンプレミスの SfB 用 GA および Modern Auth を使用します。

マルチ ID サポートは、Intune App SDK がアプリにサインインしている職場または学校アカウントにのみアプリ保護ポリシーを適用する機能です。 個人用アカウントでアプリにサインインした場合、データは管理されません。

マルチ ID サポートを使用すると、"企業" とコンシューマーの両方の対象ユーザー (つまり Office アプリ) を持つアプリを、"企業" アカウントのIntuneアプリ保護機能を使用して一般公開できます。

Outlook には個人用メールと "企業" メールの両方のメール ビューが組み合わされているため、Outlook アプリは起動時にIntune PIN の入力を求めます。

暗証番号 (PIN) は、アプリケーションで適切なユーザーが組織のデータにアクセスしていることを確認するために使用されるパスコードです。

Intune では、ユーザーが "企業" データにアクセスしようとした場合にアプリの PIN が要求されます。 Word/Excel/PowerPoint などのマルチ ID アプリでは、"企業" ドキュメントまたはファイルを開こうとすると、ユーザーに PIN の入力を求められます。 Intune App Wrapping Toolを使用して管理される基幹業務アプリなどの単一 ID アプリでは、Intune App SDK はアプリでのユーザーのエクスペリエンスが常に "企業" であることを認識しているため、起動時に PIN が求められます。

IT 管理者は、Microsoft Intune管理センターでIntuneアプリ保護ポリシー設定の [アクセス要件を (分) 後に再確認する] を定義できます。 この設定では、デバイスでアクセス要件がチェックされるまでの時間を指定し、アプリケーションの PIN 画面が再び表示されます。 ただし、ユーザーにメッセージを表示する頻度に影響する PIN に関する重要な詳細は次のとおりです。

• PIN は、使いやすさを向上させるために、同じ発行元のアプリ間で共有されます。 iOS/iPadOS では、1 つのアプリ PIN が 同じアプリ発行元のすべてのアプリ間で共有されます。 Android では、1 つのアプリ PIN がすべてのアプリで共有されます。
• デバイスの再起動後の "(分) 後のアクセス要件の再確認" 動作:"PIN タイマー" は、次にアプリ PIN を表示するタイミングを決定する非アクティブ時間 (分) を追跡Intune。 iOS/iPadOS では、PIN タイマーはデバイスの再起動の影響を受けません。 したがって、デバイスの再起動は、ユーザーが pin ポリシーを持つ iOS/iPadOS アプリから非アクティブである分数に影響Intune。 Android では、デバイスの再起動時に PIN タイマーがリセットされます。 そのため、INTUNE PIN ポリシーを持つ Android アプリでは、デバイスの再起動後に [(分) 後にアクセス要件を再確認する] 設定値に関係なく、アプリ PIN の入力を求めるメッセージが表示される可能性があります。
• PIN に関連付けられているタイマーのローリング特性:アプリ (アプリ A) にアクセスするために PIN を入力し、アプリがデバイス上のフォアグラウンド (メイン入力フォーカス) を離れると、その PIN の PIN タイマーがリセットされます。 この PIN を共有するアプリ (アプリ B) では、タイマーがリセットされているため、ユーザーに PIN エントリの入力を求めるメッセージは表示されません。 "(分数) 後にアクセス要件を再確認する" の値がもう一度満たされると、再度プロンプトが表示されます。

iOS/iPadOS デバイスでは、異なる発行元のアプリが同じ PIN を共有できます。 ただし、(分) の値に達した後にアクセス要件を再確認すると、アプリがメイン入力フォーカスでない場合、Intuneはユーザーに PIN の入力を求めます。 そこで、たとえば、ユーザーに発行元 X からのアプリ A と発行元 Y からのアプリ B があるとき、それら 2 つのアプリで同じ PIN が共有されているとします。 ユーザーのフォーカスがアプリ A (前景) にあり、アプリ B は最小化されています。 [(分数) 後にアクセス要件を再確認する] 値が満たされ、ユーザーがアプリ B に切り替えると、PIN が必要になります。

注:

ユーザーのアクセス要件 (つまり、PIN プロンプト) をより頻繁に確認するには、特に頻繁に使用されるアプリの場合は、[(分) 後にアクセス要件を再確認する] 設定の値を減らします。

Intune PIN は、非アクティブベースのタイマー ("(分) 後にアクセス要件を再確認する] の値) に基づいて動作します。 そのため、Intune PIN プロンプトは、既定でアプリの起動に関連付けられていることが多い Outlook および OneDrive 用の組み込みのアプリ PIN プロンプトとは独立して表示されます。 ユーザーに両方の PIN プロンプトが同時に表示される場合、Intune PIN が優先される動作が予想されます。

PIN は、アプリで適切なユーザーのみが組織のデータにアクセスできるようにするためのものです。 そのため、エンドユーザーが Intune アプリの PIN を設定またはリセットするには、職場または学校のアカウントを使用してサインインする必要があります。 Microsoft Entra IDは、セキュリティで保護されたトークン交換を通じてこの認証を処理し、Intune App SDK に対して透過的ではありません。 セキュリティの観点からは、職場または学校のデータを保護する最も効果的な方法は暗号化です。 暗号化はアプリ PIN に関連していませんが、独自のアプリ保護ポリシーです。

IT 管理者は、アプリの PIN ポリシーの一環として、アプリがロックされるまでにユーザーが PIN の認証を試みることのできる最大回数を設定できます。 試行回数が満たされると、Intune App SDK はアプリ内の "企業" データをワイプできます。

iOS/iPadOS 上の MAM では、英数字と特殊文字 (パスコードと呼ばれる) を使用したアプリケーション レベルの PIN がサポートされています。 パスコード設定を適用するには、Word、Excel、PowerPoint、Outlook、Managed Browser、Yammer などのアプリで、iOS/iPadOS 用のIntune App SDK を統合する必要があります。 この統合がないと、Intuneはそれらのアプリのパスコード設定を適用できません。 Intune、iOS/iPadOS 用 SDK バージョン 7.1.12 でこの機能が導入されました。

この機能をサポートし、以前のバージョンの iOS/iPadOS 用 Intune SDK との互換性を維持するために、バージョン 7.1.12 以降では、以前のバージョンで使用された数値 PIN とは別にすべての PIN (数値またはパスコード) を処理します。 そのため、デバイスに、同じ発行元から 7.1.12 より前の iOS/iPadOS バージョンと 7.1.12 以降のバージョンの Intune SDK を持つアプリケーションがある場合は、2 つの PIN を設定する必要があります。

つまり、(アプリごとに) 2 つの PIN は何の関係もありません。 アプリに適用されるアプリ保護ポリシーに従う必要があります。 そのため、アプリ A と B に同じポリシー (PIN に関して) が適用されている場合 にのみ 、ユーザーは同じ PIN を 2 回設定できます。

これは、Intune モバイル アプリの管理が有効になっている iOS/iPadOS アプリケーション上の PIN に固有の動作です。 時間の経過とともに、新しいバージョンの iOS/iPadOS 用 Intune SDK が採用されていくと、同じ発行元のアプリに 1 つの PIN を 2 回設定しなくてはならないことは問題ではなくなっていきます。

注:

アプリのバージョンは、共有 PIN が可能かどうかを決定します。 たとえば、アプリ A が 7.1.12 より前の SDK バージョンを使用し、アプリ B がバージョン 7.1.12 以降を使用している場合、ユーザーは同じ発行元の場合でも、アプリごとに個別の PIN を設定する必要があります。 ただし、アプリ A と C の両方で 7.1.12 より前のバージョンが使用されている場合は、PIN を共有します。 同様に、アプリ B と D は、両方で SDK 7.1.12 以降を使用する場合に PIN を共有します。

IT 管理者は、アプリ データの暗号化を必須にするアプリ保護ポリシーを展開できます。 ポリシーの一環として、IT 管理者はコンテンツがいつ暗号化されるかを指定することもできます。

Intuneは、暗号化のアプリ保護ポリシー設定に従ってデータを暗号化します。 詳細については、「 Android アプリ保護ポリシー設定 」と 「iOS/iPadOS アプリ保護ポリシー設定」を参照してください。

IT 管理者のアプリ保護ポリシーに従い、"企業" データとしてマークされたデータのみが暗号化されます。 勤務地から送信されたデータは "企業" データと見なされます。 Office アプリの場合、Intuneはメール (Exchange) とクラウド ストレージ (OneDrive) をビジネスの場所として扱います。 Intune App Wrapping Toolによって管理される基幹業務アプリの場合、すべてのアプリ データは "企業" と見なされます。

Intuneは、フル デバイス ワイプ、MDM の選択的ワイプ、MAM 選択的ワイプの 3 つの方法でアプリ データをワイプできます。 MDM のリモート ワイプの詳細については、ワイプまたはインベントリからの削除を使用してデバイスを削除する方法に関するページを参照してください。 MAM を使用した選択的なワイプの詳細については、インベントリからの削除アクションに関するページとアプリから会社のデータのみをワイプする方法に関するページを参照してください。

ワイプ は、デバイスを出荷時の既定 の設定に 復元することで、すべてのユーザー データと設定をデバイスから削除します。 デバイスは Intune から削除されません。

注:

ワイプは、Intune モバイル デバイス管理 (MDM) に登録されているデバイスでのみ実現できます。

MDM の選択的ワイプは、個人データに影響を与えずにデバイスから会社のデータのみを削除します。 詳細については、「デバイスの 削除 - 廃止」を参照してください。

MAM の選択的ワイプは、単にアプリから業務用アプリのデータを削除します。 要求は、Microsoft Intune管理センターを使用して開始されます。 ワイプ要求を開始する方法については、アプリから企業データのみをワイプする方法に関するページを参照してください。

選択的ワイプが開始されたときにユーザーがアプリを使用している場合、Intune App SDK は、Intune MAM サービスからの選択的ワイプ要求を 30 分ごとにチェックします。 ユーザーがアプリを初めて起動し職場または学校のアカウントを使ってサインインした場合も、選択的ワイプがチェックされます。

アプリ保護Intuneは、アプリケーションとIntune App SDK の間で一貫性を保つユーザーの ID によって異なります。 これを保証する唯一の方法は、最新の認証を使用することです。 アプリがオンプレミスの構成で動作する可能性があるが、一貫性がない、または保証されていないシナリオがあります。

はい。 IT 管理者は、Microsoft Edge アプリのアプリ保護ポリシーを展開および設定できます。 IT 管理者は、microsoft Edge アプリを使用して、Intuneマネージド アプリ内のすべての Web リンクを開く必要があります。

ポータル サイト アプリと Intune アプリの保護

Intuneアクセスのアプリ保護ポリシーは、企業アカウントから対象アプリにアクセスしようとすると、エンド ユーザー デバイスで特定の順序で適用されます。 一般に、ブロックが優先され、次に無視できる警告が表示されます。 たとえば、特定のユーザー/アプリに適用可能な場合、ユーザーのアクセスをブロックする最小の Android パッチ バージョン設定の後、パッチ アップグレードを実行するようユーザーに警告する最小の Android パッチ バージョン設定が適用されます。 したがって、IT 管理者が最小の Android パッチ バージョンを 2018-03-01 に構成し、最小の Android パッチ バージョン (警告のみ) を 2018-02-01 に構成した状態で、アプリにアクセスしようとしているデバイスがパッチ バージョン 2018-01-01 にあった場合、エンド ユーザーは最小の Android パッチ バージョンに対するより制限の厳しい設定に基づいてブロックされ、その結果、アクセスがブロックされます。

さまざまな種類の設定を扱う場合、優先順位は、アプリのバージョン要件、Android オペレーティング システムのバージョン要件、Android パッチのバージョン要件となります。 その後、同じ順序ですべての種類の設定の警告が確認されます。

Intuneサービスは、サービスの負荷によって決まる構成できない間隔で Google Play に接続します。 Google Play のデバイス整合性チェック設定に対して構成された IT 管理者のアクションは、条件付き起動時にIntune サービスに最後に報告された結果に基づいて実行されます。 Google のデバイスの整合性の結果が準拠している場合、アクションは実行されません。 Google のデバイスの整合性の結果が非準拠の場合、IT 管理者が構成したアクションが直ちに実行されます。 何らかの理由で Google Play のデバイスの整合性チェック要求が失敗した場合、前の要求のキャッシュされた結果は、最大 24 時間、または次のデバイス再起動で使用されます。これは、最初に発生します。 その時点Intuneアプリ保護ポリシーは、現在の結果を取得できるようになるまでアクセスをブロックします。

これを行う方法の手順は、デバイスによって若干異なります。 一般的なプロセスでは、Google Play Store に移動し、[My apps & games]\(アプリとゲーム\) をアクセスし、最後のアプリ スキャンの結果をクリックします。クリックすると、Play Protect メニューが表示されます。 [端末をスキャンしてセキュリティ上の脅威を確認] のトグルが確実にオンになっているようにします。

Intuneは、Google Play Integrity API を適用して、登録されていないデバイスの既存のルート検出チェックに追加します。 Google は、Android アプリがルート化されたデバイスでアプリを実行したくない場合に採用するために、この API セットを開発および管理しました。 たとえば、Android Pay アプリはこれを組み込みました。 Google では、発生するルート検出チェックの全体をパブリックに共有しませんが、これらの API は、デバイスをルート化したユーザーを検出することを期待しています。 そのようなユーザーのアクセスをブロックしたり、ポリシーが有効になっているアプリからそのようなユーザーの企業アカウントを消去したりできます。 "基本的な整合性の確認" は、デバイスの一般的な整合性について説明します。 ルート化されたデバイス、エミュレーター、仮想デバイス、改ざんの兆候があるデバイスは基本的な整合性のチェックで不合格になります。 「認定されたデバイス & 基本的な整合性を確認する」は、Google のサービスとのデバイスの互換性について説明します。 Google に認められた、改造されていないデバイスのみがこのチェックに合格します。 失敗したデバイスには、次のものがあります。

• 基本的な整合性のチェックで不合格になるデバイス
• ブートローダーがロックされていないデバイス
• カスタム システム イメージ/ROM が含まれるデバイス
• 製造元が Google 認定資格を申請しなかった、または合格しなかったデバイス
• Android オープン ソース プログラムのソース ファイルから直接構築されたシステム イメージを含むデバイス
• ベータ版/開発者プレビューのシステム イメージを含むデバイス

技術的な詳細については、 Play Integrity API に関する Google のドキュメント を参照してください。

Google Play Integrity API のチェックでは、構成証明の結果を決定するための "ラウンドトリップ" が実行される間、エンド ユーザーがオンラインである必要があります。 エンド ユーザーがオフラインの場合でも、IT 管理者は "脱獄/ルート化されたデバイス" 設定から結果が適用されることを期待できます。 つまり、エンド ユーザーがオフラインに長すぎる場合は、ネットワーク アクセスが使用可能になるまで、"オフライン猶予期間" の値が再生され、タイマー値に達すると、職場または学校のデータへのすべてのアクセスがブロックされます。 両方の設定をオンにすると、エンド ユーザーデバイスを正常に保つための階層化されたアプローチが可能になります。これは、エンド ユーザーがモバイル上の職場または学校のデータにアクセスするときに重要です。

[Play integrity verdict]\(整合性の判定の再生\) と [アプリの脅威スキャン] の両方の設定では、Google が決定したバージョンの Google Play Services が正しく機能する必要があります。 これらはセキュリティの領域に該当する設定であるため、エンド ユーザーがこれらの設定を対象にしていて、適切なバージョンの Google Play サービスを満たしていない場合、または Google Play サービスにアクセスできない場合、エンド ユーザーはブロックされます。

Intune アプリ保護ポリシーでは、アプリへのアクセスを制御して、Intune のライセンスがあるユーザーのみを許可することができます。 アプリへのアクセスを制御する方法の 1 つは、Apple の Touch ID または Face ID のいずれかをサポートされているデバイス上で要求することです。 Intuneは、デバイスの生体認証データベースに何らかの変更がある場合、次の非アクティブタイムアウト値が満たされたときにユーザーに PIN の入力を求めるIntune動作を実装します。 フィンガープリントや顔の追加や削除も、生体認証データの変更に含まれます。 Intuneユーザーに PIN が設定されていない場合は、Intune PIN を設定します。

この目的は、organizationのデータをアプリ レベルでセキュリティで保護され、保護されたアプリ内に維持し続けることです。 この機能は iOS/iPadOS でのみ使用でき、Intune APP SDK for iOS/iPadOS バージョン 9.0.1 以降を統合するアプリケーションの参加が必要です。 SDK の統合は、対象のアプリケーション上で動作を適用するために必要です。 この統合は、ローリング方式で行われ、特定のアプリケーション チームに依存します。 参加するアプリケーションには、WXP、Outlook、Managed Browser、Yammer などが含まれます。

アプリ保護ポリシー Intune、デバイスを管理しないと iOS 共有拡張機能を制御できません。 そのため、Intuneはアプリの外部で共有される前に"企業" データを暗号化します。 これを検証するには、マネージド アプリの外部で "企業" ファイルを開こうとします。 ファイルは暗号化されていて、管理対象アプリの外部では開くことができないはずです。

Intuneアクセスに関するアプリ保護ポリシーは、企業アカウントから対象アプリにアクセスしようとすると、エンド ユーザー デバイスで特定の順序で適用されます。 一般に、ワイプが優先され、ブロックが続き、無視できる警告が続きます。 たとえば、特定のユーザーまたはアプリに適用可能な場合、ユーザーのアクセスをブロックする最小の iOS/iPadOS オペレーティング システム設定の後、iOS/iPadOS バージョンを更新するようユーザーに警告する最小の iOS/iPadOS オペレーティング システム設定が適用されます。 そのため、IT 管理者が最小 iOS/iPadOS オペレーティング システムを 11.0.0.0 に、最小 iOS/iPadOS オペレーティング システム (警告のみ) を 11.1.0.0 に構成するシナリオでは、 アプリにアクセスしようとしているデバイスが iOS/iPadOS 10 上にあった間、エンド ユーザーは、アクセスがブロックされる最小 iOS/iPadOS オペレーティング システムバージョンの制限の厳しい設定に基づいてブロックされます。

さまざまな種類の設定を処理する場合は、Intune App SDK のバージョン要件が優先され、アプリのバージョン要件の後に iOS/iPadOS オペレーティング システムのバージョン要件が続きます。 その後、同じ順序ですべての種類の設定の警告が確認されます。 Intune App SDK のバージョン要件は、Intune製品チームからの基本的なブロック シナリオに関するガイダンスでのみ構成することをお勧めします。

関連項目

• Intune を展開する
• ロールアウト計画を作成する
• Microsoft Intuneの Android モバイル アプリ管理ポリシー設定
• iOS/iPadOS モバイル アプリ管理ポリシー設定
• ポリシーのアプリ保護ポリシーの更新
• アプリ保護ポリシーを検証する
• デバイスを登録せずに管理対象アプリのアプリ構成ポリシーを追加する
• Microsoft Intuneでサポートを受ける方法