Microsoft Intune のアプリ構成ポリシー
アプリ構成ポリシーは、アプリを実行する前にエンド ユーザーに割り当てられたポリシーに構成設定を割り当てることで、アプリのセットアップの問題を解消するのに役立ちます。 設定は、アプリがエンド ユーザー デバイスで構成され、エンド ユーザーがアクションを実行する必要がない場合に自動的に提供されます。 構成設定は、各プラットフォームに固有です。
アプリ構成ポリシーを作成して使用して、iOS/iPadOS アプリと Android アプリの両方の構成設定を提供できます。 これらの構成設定を使用すると、アプリの構成と管理を使用してアプリをカスタマイズできます。 構成ポリシー設定は、通常、アプリが初めて実行されるときに、アプリがこれらの設定をチェックするときに使用されます。
たとえば、アプリ構成設定では、次のいずれかの詳細を指定する必要がある場合があります。
- カスタム ポート番号
- 言語の設定
- セキュリティの設定
- 会社のロゴなどのブランド設定
エンド ユーザーが代わりにこれらの設定を入力すると、誤ってこれを行う可能性があります。 アプリ構成ポリシーは、企業全体で一貫性を提供し、エンド ユーザーが独自に設定を構成しようとするヘルプデスクの呼び出しを減らすのに役立ちます。 アプリ構成ポリシーを使用すると、新しいアプリの導入を簡単かつ迅速に行うことができます。
使用可能な構成パラメーターと構成パラメーターの実装は、アプリケーションの開発者によって決定されます。 アプリケーション ベンダーのドキュメントを確認して、使用可能な構成と、構成がアプリケーションの動作にどのような影響を与えるかを確認する必要があります。 一部のアプリケーションでは、使用可能な構成設定が Intune によって設定されます。
注:
マネージド Google Play ストアでは、構成をサポートするアプリは次のようにマークされます。
Android デバイスの登録の種類として マネージド デバイスを使用している場合は、 Google Play ストアではなく、マネージド Google Play ストアからのアプリのみが表示されます。
アプリ構成ポリシーは、含める割り当 てと除外の割り当てを組み合わせて使用して、エンド ユーザーとデバイスのグループに割り当てることができます。 アプリ構成ポリシーを追加または更新するプロセスの一環として、アプリ構成ポリシーの割り当てを設定できます。 ポリシーの割り当てを設定するときに、ポリシーが適用されるエンド ユーザーの グループ を含めるか除外するかを選択できます。 1 つ以上のグループを追加する場合は、追加する特定のグループを選択するか、組み込みグループを選択できます。 組み込みグループには、[すべてのユーザー]、[すべてのデバイス]、および [すべてのユーザー + すべてのデバイス] が含まれます。
また、フィルターを使用して、管理対象の iOS デバイスと Android デバイスのアプリ構成ポリシーをデプロイするときに、割り当てスコープを絞り込むこともできます。 最初に、iOS と Android で使用可能なプロパティのいずれかを使用して フィルターを作成 する必要があります。 次に、Microsoft Intune 管理センターで、[アプリ>アプリ構成ポリシー>[デバイスの追加>管理] を選択して、割り当てページに移動して、マネージド アプリ構成ポリシーを割り当てることができます。 グループを選択した後、フィルターを選択し、 含める または 除外 モードで使用することを決定することで、ポリシーの適用性を調整できます。
アプリ構成ポリシー ワークロードは、テナント用に作成されたアプリ構成ポリシーの一覧を提供します。 この一覧には、名前、プラットフォーム、更新、登録の種類、スコープ タグなどの詳細が表示されます。 特定のアプリ構成ポリシーの詳細については、ポリシーを選択します。 [ポリシーの 概要 ] ウィンドウには、デバイスに基づくポリシーの状態やユーザーに基づくポリシーの状態、ポリシーが割り当てられているかどうかなど、特定の詳細が表示されます。
アプリの構成をサポートするアプリ
アプリ構成は、登録済みデバイスのモバイル デバイス管理 (MDM) OS チャネル (iOS の場合はマネージド アプリ構成 チャネル、 Android の場合は Enterprise チャネルの Android ) またはモバイル アプリケーション管理 (MAM) チャネルを介して配信できます。
Intune は、次のようなさまざまなアプリ構成ポリシー チャネルを表します。
- マネージド デバイス - デバイスは、統合エンドポイント管理プロバイダーとして Intune によって管理されます。 アプリは、iOS/iPadOS 上の管理プロファイルにピン留めするか、Android デバイス上の Managed Google Play を介してデプロイする必要があります。 さらに、アプリは目的のアプリ構成をサポートします。
- マネージド アプリ - Intune App SDK が統合されているか、Intune ラッピング ツールを使用してラップされ、App Protection ポリシー (APP) がサポートされているアプリ。 この構成では、デバイスの登録状態も、アプリがデバイスに配信される方法も重要ではありません。 アプリは、目的のアプリ構成をサポートします。
アプリでは、ユーザー設定に関してアプリ構成ポリシーの設定が異なる場合があります。 たとえば、Outlook for iOS と Android では、[フォーカス受信トレイ] アプリの構成設定はユーザー設定を尊重し、ユーザーが管理者の意図をオーバーライドできるようにします。 その他の設定では、ユーザーが管理者の意図に基づいて設定を変更できるかどうかを制御できます。
注:
Intune では、デバイス登録シナリオおよび管理対象デバイス アプリ構成ポリシーを介して配信されるアプリ構成に Android 8.x 以降が必要です。 これらのデバイスは引き続きサポートされるため、この要件は Microsoft Teams Android デバイスには適用されません。
Intune アプリ保護ポリシーと、Managed apps アプリ構成ポリシーを介して配信されるアプリ構成の場合、Intune には Android 9.0 以降が必要です。
管理対象デバイス
[デバイス登録の種類] として [マネージド デバイス] を選択すると、特に登録済みデバイスに Intune によって展開されたアプリが参照されるため、登録プロバイダーとして Intune によって管理されます。
登録済みデバイスで Intune を介して展開されるアプリのアプリ構成をサポートするには、OS で定義されているアプリ構成の使用をサポートするようにアプリを記述する必要があります。 MDM OS チャネルを介した配信をサポートするアプリ構成キーの詳細については、アプリ ベンダーに問い合わせてください。 MDM OS チャネルを使用する場合、通常、アプリ構成の配信には次の 4 つのシナリオがあります。
- 職場または学校アカウントのみを許可する
- アカウント設定の構成設定
- 一般的なアプリ構成設定
- S/MIME 構成設定
管理されているアプリ
[デバイス登録の種類] として [マネージド アプリ] を選択すると、特に、登録の状態に関係なく、デバイスで Intune App Protection ポリシーで構成されたアプリが示されます。
MAM チャネルを使用してアプリの構成をサポートするには、アプリを Intune App SDK と統合する必要があります。 基幹業務アプリは、Intune App SDK を統合するか、Intune App Wrapping Tool を使用できます。 Intune App SDK とIntune App Wrapping Toolの比較については、「アプリ保護ポリシーの基幹業務アプリを準備する」を参照してください。
MAM チャネルを介したアプリ構成の配信では、デバイスを登録する必要も、統合エンドポイント管理ソリューションを介してアプリを管理または配信する必要はありません。 MAM チャネルを使用したアプリ構成の配信には、次の 3 つのシナリオがあります。
- 一般的なアプリ構成設定
- S/MIME 構成設定
- App Protection ポリシーによって提供される機能を拡張する高度な APP データ保護設定
注:
Intune マネージド アプリは、Intune アプリ保護ポリシーと共に展開されると、Intune アプリ構成ポリシーの状態を 30 分間隔でチェックインします。 Intune App Protection Policy がユーザーに割り当てられていない場合、Intune App Configuration ポリシーのチェックイン間隔は 720 分に設定されます。
MAM チャネルを使用してアプリの構成をサポートするアプリの詳細については、「保護されている Microsoft Intune アプリ」を参照してください。
Android Enterprise セキュリティ構成フレームワークのアプリ構成ポリシー
Android Enterprise アプリ構成ポリシーの場合は、アプリ構成プロファイルを作成する前にデバイス登録の種類を選択できます。 登録の種類に基づく証明書プロファイルを考慮できます。
登録の種類は、次のいずれかになります。
- すべてのプロファイルの種類: 新しいプロファイルが作成され、デバイス登録 の種類に [すべてのプロファイルの種類 ] が選択されている場合、証明書プロファイルをアプリ構成ポリシーに関連付けることはできません。 このオプションでは、ユーザー名とパスワードの認証がサポートされます。 証明書ベースの認証を使用する場合は、このオプションを使用しないでください。
- フル マネージド、専用、および Corporate-Owned 作業プロファイルのみ: 新しいプロファイルが作成され、[フル マネージド]、[専用]、[Corporate-Owned 作業プロファイルのみ] が選択されている場合は、[Corporate-Owned デバイス>管理デバイス] で作成された作業プロファイル証明書ポリシー>Configuration を使用できます。 このオプションでは、証明書ベースの認証、ユーザー名とパスワードの認証がサポートされます。 フル マネージド は、Android Enterprise フル マネージド デバイス (COBO) に関連します。 Dedicated は、Android Enterprise 専用デバイス (COSU) に関連します。 企業所有の仕事用プロファイルは 、Android Enterprise 企業所有の仕事用プロファイル (COPE) に関連します。
- 個人所有の仕事用プロファイルのみ: 新しいプロファイルが作成され、[ 個人所有の仕事用プロファイルのみ ] が選択されている場合は、[ デバイス>管理デバイス>Configuration で作成された仕事用プロファイル証明書ポリシーを使用できます。 このオプションでは、証明書ベースの認証、ユーザー名とパスワードの認証がサポートされます。
注:
ユーザーが関与しない Android Enterprise 専用デバイスの仕事用プロファイルに Gmail または Nine 構成プロファイルを展開すると、Intune でユーザーを解決できないため、失敗します。
重要
この機能のリリース前に作成された既存のポリシー (2020 年 4 月のリリース - 2004) で、ポリシーに関連付けられている証明書プロファイルがない場合、既定では、デバイス登録の 種類のすべてのプロファイルの種類 が使用されます。 また、証明書プロファイルが関連付けられているこの機能のリリース前に作成された既存のポリシーは、既定で [仕事用プロファイルのみ] になります。
既存のポリシーでは、新しい証明書の修復や発行は行われません。
適用されたアプリ構成ポリシーを検証する
アプリ構成ポリシーは、次の 3 つの方法を使用して検証できます。
デバイス上でアプリ構成ポリシーを目に見えて確認します。 対象のアプリが、アプリ構成ポリシーに適用されている動作を示していることを確認します。
診断ログを使用して確認します (下の 「診断ログ 」セクションを参照してください)。
Microsoft Intune 管理センターで確認します。 Microsoft Intune 管理センターで、[アプリ>すべてのアプリ] を選択>関連するアプリを選択します*。 次に、[ 監視 ] セクションで、[ デバイスのインストール状態: デバイスのインストール状態レポート] を選択すると、構成ポリシーの対象となっているすべてのデバイスの最新のチェックインが監視されます。
さらに、Microsoft Intune 管理センターで、[デバイス>すべてのデバイス>デバイス>App 構成を選択します。 アプリ構成** ウィンドウには、割り当てられたすべてのポリシーとその状態が表示されます。
診断ログ
アンマネージド デバイスでの iOS/iPadOS 構成
管理対象アプリ構成ポリシーを使用して展開された設定については、 Intune 診断ログ を使用して iOS/iPadOS 構成を検証できます。 次の手順に加えて、Microsoft Edge を使用してマネージド アプリ ログにアクセスできます。 詳細については、「 Microsoft Edge for iOS と Android を使用してマネージド アプリ ログにアクセスする」を参照してください。
デバイスにまだインストールされていない場合は、App Store から Microsoft Edge をダウンロードしてインストールします。 詳細については [Microsoft Intune に保護されているアプリ] を参照してください。
Microsoft Edge を起動し、アドレス ボックスに「about:intunehelp」と入力します。
[ 開始] をクリックします。
[ ログの共有] をクリックします。
任意のメール アプリを使用して自分にログを送信し、PC で表示できるようにします。
テキスト ファイル ビューアーで IntuneMAMDiagnostics.txt を確認します。
ApplicationConfiguration
を検索します。 結果は次のようになります。{ ( { Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs"; Value = "https://www.aol.com"; }, { Name = "com.microsoft.intune.mam.managedbrowser.bookmarks"; Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com"; } ); }, { ApplicationConfiguration = ( { Name = IntuneMAMUPN; Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a"; }, { Name = "com.microsoft.outlook.Mail.BlockExternalImagesEnabled"; Value = true; } ); }
アプリケーション構成の詳細は、テナント用に構成されたアプリケーション構成ポリシーと一致する必要があります。
管理対象デバイスでの iOS/iPadOS 構成
管理対象アプリの構成については、管理対象デバイスの Intune 診断ログ を使用して iOS/iPadOS 構成を検証できます。
- デバイスにまだインストールされていない場合は、App Store から Microsoft Edge をダウンロードしてインストールします。 詳細については [Microsoft Intune に保護されているアプリ] を参照してください。
- Microsoft Edge を起動し、アドレス ボックスに「about:intunehelp」と入力します。
- [ 開始] をクリックします。
- [ ログの共有] をクリックします。
- 任意のメール アプリを使用して自分にログを送信し、PC で表示できるようにします。
- テキスト ファイル ビューアーで IntuneMAMDiagnostics.txt を確認します。
-
AppConfig
を検索します。 結果は、テナント用に構成されたアプリケーション構成ポリシーと一致する必要があります。
管理対象デバイスでの Android 構成
管理対象アプリの構成については、管理対象デバイスの Intune 診断ログ を使用して Android の構成を検証できます。
Android デバイスからログを収集するには、ユーザーまたはエンド ユーザーが USB 接続 (またはデバイス上の エクスプローラー と同等) を介してデバイスからログをダウンロードする必要があります。 それらのステップは次のとおりです。
USB ケーブルを使用して Android デバイスをコンピューターに接続します。
コンピューターで、デバイスの名前を持つディレクトリを探します。 そのディレクトリで、
Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal
を見つけます。com.microsoft.windowsintune.companyportal
フォルダーで、[ファイル] フォルダーを開き、OMADMLog_0
を開きます。AppConfigHelper
を検索して、アプリ構成に関連するメッセージを検索します。 結果は、次のデータ ブロックのようになります。2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642
アプリ構成に対する Graph API のサポート
Graph API を使用して、アプリ構成タスクを実行できます。 詳細については、「 Graph API Reference MAM Targeted Config」を参照してください。Intune と Graph の詳細については、「 Microsoft Graph での Intune の操作」を参照してください。
トラブルシューティング
ログを使用した構成パラメーターの表示
ログに、適用中であることが確認されているが、動作していないように見える構成パラメーターが表示される場合、アプリ開発者による構成の実装に問題がある可能性があります。 最初にアプリ開発者に連絡したり、ナレッジ ベースを確認したりすると、Microsoft のサポートコールが保存される可能性があります。 構成がアプリ内でどのように処理されるかに関する問題である場合は、そのアプリの今後の更新バージョンで対処する必要があります。
次の手順
管理対象デバイス
- iOS/iPadOS デバイスでアプリ構成を使用する方法について説明します。 「マネージド iOS/iPadOS デバイスのアプリ構成ポリシーを追加する」を参照してください。
- Android デバイスでアプリ構成を使用する方法について説明します。 「管理対象 Android デバイスのアプリ構成ポリシーを追加する」を参照してください。
管理されているアプリ
- マネージド アプリでアプリ構成を使用する方法について説明します。 「デバイス登録なしでマネージド アプリのアプリ構成ポリシーを追加する」を参照してください。