App SDK for Android のIntune - 統合を計画する
Microsoft Intune App SDK for Android を使用すると、Intuneアプリ保護ポリシー (APP または MAM ポリシーとも呼ばれます) をネイティブの Java/Kotlin Android アプリに組み込むことができます。 Intuneマネージド アプリケーションは、Intune App SDK と統合されたアプリケーションです。 Intune管理者は、アプリをアクティブに管理する場合に、Intuneマネージド アプリにアプリ保護ポリシー Intune簡単にデプロイできます。
ステージ 1: 統合を計画する
このガイドは、既存の Android アプリ内でMicrosoft Intuneのアプリ保護ポリシーのサポートを追加しようとしている Android 開発者向けです。
ステージ Goals
- Android で使用できるアプリ保護ポリシーの設定と、これらのポリシーがアプリケーション内でどのように機能するかについて説明します。
- SDK 統合プロセス中の重要な決定ポイントを理解し、アプリの統合を計画します。
- SDK を統合するアプリケーションの要件について説明します。
- テナントIntuneテストを作成し、Android App Protection ポリシーを構成します。
MAM について
Intune App SDK を Android アプリケーションに統合する前に、Microsoft Intuneのモバイル アプリケーション管理ソリューションについて理解しておいてください。
- Microsoft Intuneアプリ管理では、さまざまなプラットフォーム上の MAM 機能の概要と、Microsoft Intune管理センターでこれらの機能を見つける場所について説明します。
- App SDK の概要Intune、SDK の現在の機能について説明しながら、1 層深く説明します。
- Android アプリ保護ポリシー設定 では、各 Android 設定について詳しく説明します。 アプリでは、SDK を統合することで、これらの設定がサポートされます。 SDK 統合プロセス中に、検証のためにこれらの設定を独自のテスト テナントで構成します。
注:
一部の Android App Protection ポリシー設定では、サポートするために特定のコードが必要です。 詳細については、「 ステージ 7: アプリ参加機能 」を参照してください。
SDK 統合に関する主な決定事項
アプリケーションをMicrosoft ID プラットフォームに登録する必要がありますか?
はい。Microsoft ID プラットフォームに登録するには、Intune SDK と統合されているすべてのアプリが必要です。 「クイック スタート: Microsoft ID プラットフォームにアプリを登録する - Microsoft ID プラットフォーム」の手順に従ってください。
アプリケーションのソース コードにアクセスできますか?
アプリケーションのソース コードにアクセスできず、.apkまたは .aab 形式のコンパイル済みアプリケーションにのみアクセスできる場合、SDK をアプリケーションに統合することはできません。 ただし、アプリケーションは引き続きIntuneアプリ保護ポリシーと互換性がある可能性があります。 詳細については、「Android 用のApp Wrapping Tool」を参照してください。
アプリケーションで Microsoft Authentication Library (MSAL) を統合する必要がありますか?
アプリケーションが MSAL を統合する必要があるかどうかを判断するには、「 Microsoft Authentication Library (MSAL) の概要 」を参照してください。 ほとんどのアプリケーションでは、Intune SDK を統合する前に MSAL を統合する必要があります。
アプリは、 次のすべてが当てはまる場合にのみ、MSAL の統合をスキップできます。
- アプリケーションには、対話型のログインとログアウトのエンド ユーザー エクスペリエンスがない、または必要ありません。
- アプリケーションは、同時にログインした複数のアカウントをサポートしていません。
- アプリケーションでIntune以外のアカウントをサポートする必要はありません。
- アプリケーションは、条件付きアクセスによって保護されたリソースへのアクセスを許可しません。
アプリが上記のすべての条件を満たし、MSAL を統合していない場合でも、管理されていない使用のオプションがなくても、アプリ保護ポリシーによって保護できます。 詳細については、「 既定の登録 」を参照してください。
MSAL の統合に関する手順と、アプリケーション内の ID シナリオの詳細については、「 ステージ 2: MSAL の前提条件 」を参照してください。
アプリケーションはシングル ID またはマルチ ID ですか?
Intune App Protection Policy のサポートがない場合、アプリケーションはユーザー認証とアカウントをどのように処理しますか?
現在、アプリケーションでは 1 つのアカウントのログインのみを許可していますか? 別のアカウントのログインを許可する前に、アプリケーションは明示的にログインアカウントを強制的にログアウトし、その前のアカウントのデータを削除しますか? その場合、アプリケーションは 単一 ID です。
別のアカウントが既にログインしている場合でも、アプリケーションでは現在、2 つ目のアカウントのログインが許可されていますか? アプリケーションでは、共有画面に複数のアカウントのデータが表示されますか? アプリケーションは複数のアカウントのデータを格納しますか? アプリケーションでは、ユーザーがログインしている別のアカウントを切り替えることができますか? その場合、アプリケーションは マルチ ID であり、 ステージ 5: マルチ ID に従う必要があります。 このセクションは、アプリに必要です。
アプリケーションがマルチ ID の場合でも、この統合ガイドに従ってください。 最初に単一 ID として統合およびテストすることで、適切な統合を確保し、企業データが保護されなくなるバグを防ぐことができます。
アプリケーションにApp Configuration設定がありますか?
Android では、 Android Enterprise 管理モードで デプロイされたアプリケーションに適用されるアプリケーション固有の管理構成がサポートされています。 管理者は、Microsoft Intune管理センターで管理対象の Android Enterprise デバイスに対してこれらのアプリケーション構成ポリシーを構成できます。
Intuneでは、デバイス管理モードに関係なく、SDK 統合アプリケーションに適用されるアプリケーション構成もサポートされます。 管理者は、Microsoft Intune管理センターでマネージド アプリのこれらのアプリケーション構成ポリシーを構成できます。
Intune App SDK では、両方の種類のアプリケーション構成がサポートされ、両方のチャネルから構成にアクセスするための 1 つの API が提供されます。 アプリケーションで、またはこれらの種類のアプリケーション構成のいずれかをサポートする場合は、ステージ 6: App Configurationに従う必要があります。
アプリケーションでは、データイングレスとエグレスの詳細な保護を定義する必要がありますか?
ユーザーがクラウド サービスまたはデバイスの場所にデータを保存または開くことをアプリで許可する場合は、拡張データ転送ポリシーをサポートするために変更を加える必要があります。 「ステージ 7: アプリ参加機能」の「アプリとデバイスまたはクラウドストレージの場所間のデータ転送を制限するためのポリシー」を参照してください。
アプリケーションには、ユーザー固有の情報を含む通知が表示されますか?
マルチ ID アプリでは、通知ポリシーを適切に適用するためにコードの変更を行う必要があります。 シングル ID アプリでは、この通知ポリシーがアプリの通知の 100% をブロックしないように、コードの変更を行いたい場合があります。 「ステージ 7: アプリ参加機能」の「通知内のコンテンツを制限するためのポリシー」を参照してください。
アプリケーションで Android のバックアップと復元の機能がサポートされていますか?
Android では、ユーザーが新しいデバイスにアップグレードしたり、アプリを再インストールしたりするときに、データと個人用設定を保持するための バックアップと復元 の機能がサポートされています。
Intuneでは、SDK 統合アプリケーションのバックアップと復元機能もサポートされており、復元によって企業データが漏洩しないようにします。
アプリでこの機能がサポートされている場合は、復元中に企業データを保護するためにコードを変更する必要があります。 「ステージ 7: アプリ参加機能」の「バックアップ データを保護するためのポリシー」を参照してください。
アプリケーションには、条件付きアクセスで保護する必要があるリソースがありますか?
条件付きアクセス (CA) は、Microsoft Entra リソースへのアクセスを制御するために使用できるMicrosoft Entra ID機能です。 Intune管理者は、Intuneによって管理されているデバイスまたはアプリからのみリソース アクセスを許可する CA 規則を定義できます。
Intuneでは、デバイス ベースの CA とアプリ ベースの CA (App Protection CA とも呼ばれます) の 2 種類の CA がサポートされています。 デバイス ベースの CA は、デバイス全体がIntuneによって管理されるまで、保護されたリソースへのアクセスをブロックします。 アプリベースの CA は、特定のアプリがアプリ保護ポリシーによって管理されるまで、保護されたリソースへのアクセスIntuneブロックします。
アプリがMicrosoft Entraアクセス トークンを取得し、CA で保護できるリソースにアクセスする場合は、ステージ 7: アプリ参加機能のサポート アプリ保護 CA に従う必要があります。
アプリケーションには、Intune App SDK によって表示される UI 間で保持する必要がある個別のテーマがありますか?
既定では、Intune App SDK には、既定のテーマに従って色付けされたポリシー適用 UI コンポーネントが表示されます。
既定のテーマをオーバーライドする機能は、外観とオプションです。 「ステージ 7: アプリ参加機能」の「カスタム テーマの提供」を参照してください。
要件
ポータル サイト アプリ
Intune App SDK for Android は、デバイス上のポータル サイト アプリの存在に依存して、アプリ保護ポリシーを有効にします。 ポータル サイトは、Intune サービスからアプリ保護ポリシーを取得します。 SDK 統合アプリは、初期化時にポリシーとコードを読み込み、そのポリシーをポータル サイトから適用します。
注:
ポータル サイト アプリがデバイス上にない場合、SDK 統合アプリは、Intuneアプリ保護ポリシーをサポートしていない通常のアプリと同じように動作します。 ポータル サイト アプリがデバイス上にある場合でも、SDK 統合アプリは、エンド ユーザーがアプリ保護ポリシーを対象としていない場合、通常と同じように動作します。
ユーザーは、アプリ保護ポリシーを機能させるために、ポータル サイト アプリにサインインしたり起動したりする必要はありません。
Android バージョン
注:
アプリが Google Play の要件と互換性があることを確認します。
この SDK は、Android API 35 (Android 15) を介して Android API 28 (Android 9.0) を完全にサポートしています。
Android API 35 (Android 15) をターゲットにするには、Intune App SDK v11.0.0
以降を使用する必要があります。
API 26 から 27 (Android 8.0 - 8.1) は限定的なサポートを受けられます。 ポータル サイト アプリは、Android API 26 (Android 8.0) の下ではサポートされていません。 アプリ保護ポリシーは、Android API 28 (Android 9.0) の下ではサポートされていません。
アプリで API 28 (Android 9.0) より下の API レベルにminSdkVersion
が宣言されている場合、Intune App SDK は、アプリ保護ポリシーの対象ではないユーザーのアプリの使用状況をブロックしません。
テレメトリ
Intune App SDK for Android では、アプリからのデータ収集は制御されません。 ポータル サイト アプリケーションは、既定でシステム生成データをログに記録します。 このデータは、Microsoft Intuneに送信されます。 Microsoft ポリシーに従って、Intuneは個人データを収集しません。
ヒント
エンド ユーザーがこのデータを送信しないことを選択した場合は、ポータル サイト アプリの [設定] でテレメトリをオフにする必要があります。 詳細については、「 Microsoft 使用状況データ収集を無効にする」を参照してください。
テスト Android アプリ保護ポリシーの作成
テナントのセットアップのデモ
会社のテナントがまだない場合は、事前に生成されたデータの有無に関係なくデモ テナントを作成できます。 Microsoft CDX にアクセスするには、 Microsoft パートナー として登録する必要があります。 新しいアカウントを作成するには:
- Microsoft CDX テナント作成サイトに移動し、Microsoft 365 Enterprise テナントを作成します。
- モバイル デバイス管理 (MDM) を有効にするIntuneを設定します。
- ユーザーを作成します。
- グループを作成します。
- テストに適したライセンスを割り当てます。
アプリ保護 ポリシーの構成
Microsoft Intune管理センターでアプリ保護ポリシーを作成して割り当てます。 アプリ保護ポリシーの作成に加えて、Intuneでアプリ構成ポリシーを作成して割り当てることができます。
独自のアプリケーション内でアプリ保護ポリシー設定をテストする前に、これらの設定が他の SDK 統合アプリケーション内でどのように動作するかを理解しておくと役立ちます。
ヒント
アプリがMicrosoft Intune管理センターに一覧表示されていない場合は、その他のアプリ オプションを選択し、テキスト ボックスにパッケージ名を指定することで、ポリシーを使用してアプリをターゲットにすることができます。 アプリ保護ポリシーを使用してアプリをターゲットにし、統合を正常にテストするためにポリシーをユーザーにデプロイする必要があります。 ポリシーが対象とデプロイされている場合でも、SDK が正常に統合されるまで、アプリはポリシーを適切に適用しません。
終了条件
- Android アプリケーション内で異なるアプリ保護ポリシー設定がどのように動作するかについて理解していますか?
- アプリを確認し、MSAL、条件付きアクセス、マルチ ID、App Configuration、その他すべての SDK 機能に関するアプリの統合を計画しましたか?
- テスト テナント内に Android アプリ保護ポリシーを作成しましたか?
FAQ
Android 上のアプリケーション保護ポリシーにポータル サイト アプリが必要なのはなぜですか?
Android ポータル サイトは、デバイス上のすべての MAM 対応アプリケーションに代わって、Intune サービスからアプリ保護ポリシーを取得して保持します。 MAM 対応アプリケーションが初期化されると、それらのポリシー設定を適用するためのポリシーの詳細とコードがポータル サイトからインポートされます。 ポータル サイトには、エンド ユーザーに表示される認証プロンプトの数を減らすためのコードも含まれています。 最後に、ポータル サイトは、Intune サービスを向上させるためにシステム データを収集します。詳細については、「テレメトリ」を参照してください。
注:
アプリ保護ポリシーのこのポータル サイト機能は、Android に固有です。
サポートされていないデバイスを持つユーザーが App Protection ポリシーを対象にしている場合はどうなりますか?
Intuneアプリ保護ポリシーでサポートされていない Android デバイスのエンド ユーザー エクスペリエンスは、デバイスの Android OS バージョンによって異なります。
Android OS バージョン | Google Play の動作 | MAM アプリの動作 |
---|---|---|
Android 8.0 の下 | ポータル サイト アプリは Google Play からダウンロードできません。 ポータル サイトが既にインストールされているデバイスは、新しいバージョンのポータル サイトに更新できません。 | MAM 機能は一般的にブロックされません。 ただし、SDK 統合アプリには新しいバージョンの SDK が付属しているため、MAM 対象ユーザーは、ポータル サイトを更新できないため、これらのアプリへのアクセスがブロックされます。 MAM ポリシーが対象で、以前にアプリにログインしたユーザーがそのようなアプリを起動すると、ポータル サイトのアップグレードを求めるメッセージが表示されます。 ユーザーは、MAM を対象とするアカウントをアプリケーションから削除することで、この動作を軽減できます。 ユーザーがポータル サイトをアンインストールすると、そのアカウントはアプリから自動的に削除されますが、MAM 対象アカウントで再度ログインすることはできません。 |
Android 8.x | ポータル サイトアプリは、Google Play からダウンロードできるようになります。 ポータル サイトが既にインストールされているデバイスは、引き続き新しいバージョンのポータル サイトに更新できます。 | MAM 機能はアクティブにブロックされません。 ただし、Android 8.x はサポートされておらず、MAM 機能が期待どおりに機能しない可能性があります。 |
アプリ ラッピング ツールとは
Android アプリ開発者には、Intune機能をアプリケーションに統合する複数の方法があります。 このガイドで説明する SDK に加えて、開発者は Android 用のApp Wrapping Toolを使用することもできます。 SDK とアプリ ラッピング ツールの詳細な比較については、「 アプリ保護ポリシーの基幹業務アプリを準備 する」を参照してください。
次の手順
上記のすべての 終了条件 を完了したら、 ステージ 2: MSAL の前提条件に進みます。