Android に適用されます
この記事では、Android デバイス管理者の管理からMicrosoft Intuneのモバイル アプリケーション管理に移行する方法について説明し、Microsoft Intuneが Android デバイス管理者のサポートを終了すると、移行を成功させるために推奨とベスト プラクティスが含まれています。
Intuneでモバイル アプリケーション管理を利用するには、デバイス登録とデバイス登録なしの 2 つの方法があります。 この記事では、 デバイス登録なしでモバイル アプリケーション管理 を設定して、個人用デバイス上のアプリとデータを管理する方法について説明します。 このオプションは、Wi-Fi 展開プロファイルや電子メール構成プロファイルなどのモバイル デバイス管理 (MDM) 機能を必要としない組織に推奨されます。 organizationに個人用デバイスでのデバイス管理が必要な依存関係がある場合は、代わりに Android Enterprise 個人所有の仕事用プロファイル管理に移行することをお勧めします。
前提条件
モバイル アプリケーション管理を設定して適用するには、次のIntuneアクセス許可が必要です。
- 管理対象アプリ/割り当て
- 管理対象アプリ/作成
- 管理対象アプリ/削除
- 管理対象アプリ/読み取り
- 管理対象アプリ/更新
- 管理対象アプリ/ワイプ
さらに、デバイス ユーザーがアプリ保護ポリシーを受け取るために、デバイスでは Intune ポータル サイト アプリが必要です。
ヒント
- 組み込みの Application Manager ロールには、モバイル アプリケーション管理のための十分なアクセス許可があります。
- ポリシーにスコープ タグを追加して、Intune管理者ユーザー間のオブジェクトの可視性を制御できます。
手順 1: モバイル アプリケーション管理のポリシーを構成する
Microsoft Intune管理センターでモバイル アプリケーション管理ポリシーを作成します。 これらのポリシー内では、たとえば、 コピーや貼り付けなどのアプリ機能を許可またはブロックできます。 Intuneのアプリ保護の設定と機能の詳細については、次を参照してください。
- Microsoft Intuneの Android アプリ保護ポリシー設定: アプリ保護ポリシーで構成できる設定について説明します。
- 保護されたアプリIntune: アプリ保護ポリシーをサポートするアプリをListsします。
次の表に、Android デバイス管理者の管理で一般的に使用される構成と、今後の使用を検討する類似のモバイル アプリケーション管理設定を示します。
ヒント
同様ですが、この表に記載されているモバイル アプリ管理ポリシーと設定は、必ずしも使用している Android デバイス管理者と同じように機能するとは限りません。 リンクされたリソースを確認して、ポリシーと設定を比較および評価します。
| 構成 | Android デバイス管理者ポリシー設定 | モバイル アプリケーション管理ポリシー設定 | 詳細 |
|---|---|---|---|
| 条件付きアクセス | デバイス ベースの条件付きアクセス ポリシーを使用します。 | アプリベースの条件付きアクセス ポリシーを使用します。 | デバイスの登録を解除する前に、アプリベースの条件付きアクセス ポリシーの or 条件を含むように、デバイス ベースの条件付きアクセス ポリシーを更新することを検討してください。 それ以外の場合、デバイス ユーザーは MDM やモバイル アプリケーション管理が適用されずに中間状態になる可能性があります。 |
| コピーと貼り付けを禁止する |
コピーと貼り付けを制限する (Knox のみ) [構成ポリシー] > [全般] で使用できる設定。 |
他のアプリ間での切り取り、コピー、貼り付けを制限する アプリ保護 ポリシー>データ保護で使用できる設定。 |
|
| パスワードを適用する | パスワードの設定は、使用するポリシーの種類によって異なります。 [構成ポリシー] > [パスワードとコンプライアンス] ポリシー> [デバイスのセキュリティ] で使用できる設定。 |
アプリ アクセス用の PIN アプリ保護 ポリシーで使用できる設定>アクセス要件です。 |
|
| OS の最小バージョンと最大バージョンを適用する | OS のバージョン設定は、使用されるポリシーの種類によって異なります。 [コンプライアンス ポリシー] > [オペレーティング システムのバージョン] と [登録>デバイス プラットフォームの制限] で使用できる設定。 |
最小 OS バージョン と 最大 OS バージョン 条件付き起動>ポリシーで使用できる設定アプリ保護。 |
|
| ルート化されたデバイスをブロックする |
ルート化されたデバイス [コンプライアンス ポリシー] > [デバイスの正常性] で使用できる設定。 |
脱獄またはルート化されたデバイス 条件付き起動アプリ保護ポリシー>で使用できる設定。 |
|
| 特定の製造元を許可する |
デバイスの製造元 [登録] > [デバイス プラットフォームの制限] で使用できる設定。 |
デバイスの製造元 条件付き起動アプリ保護ポリシー>で使用できる設定。 |
|
| VPN | 構成ポリシーで VPN プロファイル を作成します。 | Microsoft Tunnel for Mobile App Management を設定します。 | |
| アプリの割り当てとデプロイ | 自動インストールに必要なアプリを作成するか、ポータル サイト アプリで使用できるようにします。 Android ストア アプリ>アプリで使用できる設定。 |
従業員や学生が利用できるアプリは、Android アプリまたはマネージド Google Play アプリのポータル サイトに自動的に表示されます。 | Intune アプリ ラッピング ツールを使用して、アプリ保護ポリシーを使用して基幹業務 (LOB) アプリを保護します。 LOB アプリを社内で開発する場合、開発者は Intune App SDK を利用できます。 |
| 企業データをワイプする | 会社のデータのみをワイプするようにデバイスを廃止するか、デバイスをワイプして工場出荷時の設定に復元します。 リモート アクションで使用できる設定。 |
アプリから企業データをワイプする アプリの選択的ワイプで使用できる設定。 |
手順 2: Android デバイス管理者を制限する
Android デバイス管理者のプラットフォーム登録制限を作成して、デバイス管理者の登録が行われないようにします。 デバイス管理者として既に登録されているデバイスは登録されたままであり、影響を受けません。
プラットフォーム登録制限を作成する方法の詳細については、「 デバイス プラットフォームの制限を作成する」を参照してください。
手順 3: デバイス管理者の管理からデバイスを削除する
Microsoft Intune管理センターで登録済みのデバイスを廃止するか、Intune ポータル サイト アプリで登録を解除するようにデバイス ユーザーに指示します。
Intuneから登録済みデバイスを削除すると、次の効果が得られます。
- デバイスは、職場または学校のアプリや Web サイトへのアクセスを失います。
- デバイスがIntune ポータル サイトに表示されなくなりました。
- デバイス ユーザーは、ポータル サイトから職場または学校のアプリをインストールできなくなります。
- 要件と制限の設定 (デバイス PIN、カメラの無効化、スクリーンショットの禁止など) は適用されなくなりました。
管理センターでデバイスを廃止する
- Microsoft Intune 管理センターにサインインします。
- [デバイス>By platform>Android] に移動します。
- [ Android デバイス] を選択します。
- インベントリから削除するデバイスの名前を選択します。 OS フィルターを追加すると、テナント内のすべての Android デバイス管理者デバイスを簡単に表示できます。
- [ 廃止] を選択します。 次に、[ はい ] を選択して、デバイスをデバイス管理から削除することを確認します。
削除は、次回デバイスがチェックインしてリモートリ タイア アクションを受け取った場合に発生します。 デバイスがチェックインするまで、デバイスは管理センターに表示されます。 古いデバイスをすぐに削除する場合は、代わりに 削除 アクションを使用します。 Microsoft Intuneからデバイスを削除する方法の詳細については、「デバイスの削除」を参照してください。
デバイス ユーザーがデバイスの登録を解除できるようにする
従業員と学生は、Intune ポータル サイト アプリでデバイスの登録を解除できます。 それらをサポートし、それらが成功したことを確認するには、次の操作を行います。
- デバイスの要件と次の手順に関するカスタム通知を送信します。 詳細については、「 通知の送信」を参照してください。
- organizationの内部通信チャネル (電子メールなど) を使用して、デバイスの要件と次の手順を通知します。
Android デバイス ユーザーが自分で実行できる削除手順については、「 Android デバイスの登録を解除する」を参照してください。
ベスト プラクティス
このセクションでは、モバイル アプリケーション管理を設定するためのベスト プラクティスについて説明します。
登録プロンプトポータル サイト禁止する
Microsoft Intune、ユーザーのデバイスが登録なしでアプリ保護ポリシーに設定されていることが検出された場合、Intune ポータル サイト経由で登録するようにユーザーに求められません。 他のユーザーがデバイスを登録しないようにするには、登録プロンプトが表示されないようにポータル サイト アプリを構成することをお勧めします。 詳細については、「デバイス登録設定のオプション」を参照してください。
個人用デバイスの登録をブロックするには、デバイス登録制限を作成します。 詳細については、「 Android プラットフォームの制限に関するベスト プラクティス」を参照してください。
Microsoft Entra条件付きアクセス ポリシーを使用したデバイスの登録解除
デバイスを企業アクセスに準拠させる必要がある条件付きアクセス ポリシーをMicrosoft Entraしている場合、Android デバイス管理者管理から削除したデバイスはアクセスを失います。 継続的なアクセスを確保するには、既存の条件付きアクセス ポリシーを確認します。 詳細については、「 デバイスを準拠としてマークする必要がある」を参照してください。
以下のことも実行できます。
- アプリ保護をアクセスの要件にします。
- Intuneアプリ保護ポリシーを使用して、承認されたクライアント アプリへのユーザー アクセスを制限します。
詳細については、「 承認済みのアプリまたはアプリ保護ポリシーを要求する」を参照してください。
トラブルシューティング
このセクションでは、Android デバイス管理者からモバイル アプリケーション管理に切り替えるときに発生する問題を解決する方法について説明します。
アプリのインストールに必要なデバイス ユーザーポータル サイト
現象: デバイス管理者からデバイスの登録を解除すると、保護されたアプリにアクセスしようとすると、次のメッセージが表示されます。
ポータル サイト必要: このアプリで職場または学校アカウントを使用するには、Intune ポータル サイト アプリをインストールする必要があります。 [ ストアに移動 ] をクリックして続行します。
原因: Intune ポータル サイト アプリが、使用しているデバイス上にありません。 アプリ保護はIntune ポータル サイトに組み込まれているため、登録なしでアプリ保護を利用するデバイスではアプリが必要です。
解決策: デバイスにIntune ポータル サイト アプリをインストールします。
ユーザーがデバイスの登録を解除した後、保護されたアプリから削除されたユーザー アカウント
症状: 既にサインインしているにもかかわらず、職場または学校のアプリに再度サインインするように求められます。
原因: デバイスが Android デバイス管理者の管理から登録を解除した後、Intuneは保護されたアプリに対してモバイル アプリケーション管理ワイプを実行します。 その結果、ユーザー アカウントはこれらのアプリから削除され、サインアウトされます。
解決策: 職場または学校アカウントで保護されたアプリにもう一度サインインします。