管理対象の iOS/iPadOS デバイスのアプリ構成ポリシーを追加する
Microsoft Intuneのアプリ構成ポリシーを使用して、iOS/iPadOS アプリのカスタム構成設定を提供します。 これらの構成設定を使用すると、アプリのサプライヤーの指示に基づいてアプリをカスタマイズできます。 これらの構成設定 (キーと値) は、アプリのサプライヤーから取得する必要があります。 アプリを構成するには、設定をキーと値として指定するか、キーと値を含む XML として指定します。
Microsoft Intune管理者は、管理対象デバイス上の Microsoft Office アプリケーションに追加するユーザー アカウントを制御できます。 許可されている組織のユーザー アカウントのみにアクセスを制限し、登録済みデバイスの個人アカウントをブロックできます。 サポートアプリケーションは、アプリの構成を処理し、承認されていないアカウントを削除およびブロックします。 構成ポリシー設定は、アプリがチェックするときに使用されます 。通常は初めて実行されます。
アプリ構成ポリシーを追加したら、アプリ構成ポリシーの割り当てを設定できます。 ポリシーの割り当てを設定する場合は、 フィルター を使用し、ポリシーが適用されるユーザーのグループを含めるか除外するかを選択できます。 1 つ以上のグループを含める場合は、組み込みグループを含める特定のグループを選択するか、組み込みグループを選択するかを選択できます。 組み込みグループには、[すべてのユーザー]、[すべてのデバイス]、および [すべてのユーザー + すべてのデバイス] が含まれます。
注:
Intune では、便利なように、最適化が組み込まれた [すべてのユーザー] グループと [すべてのデバイス] グループがコンソールで提供されています。 これらのグループを使用して、自分で作成した可能性のある [すべてのユーザー] または [すべてのデバイス] グループではなく、すべてのユーザーとすべてのデバイスをターゲットにすることを強くお勧めします。
アプリケーション構成ポリシーに含まれるグループを選択したら、除外する特定のグループを選択することもできます。 詳細については、「Microsoft Intuneにアプリの割り当てを含める/除外する」を参照してください。
ヒント
このポリシーの種類は現在、iOS/iPadOS 8.0 以降を実行しているデバイスでのみ使用できます。 これは、次のアプリのインストールの種類をサポートしています。
- アプリ ストアから管理された iOS/iPadOS アプリ
- iOS 用アプリ パッケージ
アプリのインストールの種類の詳細については、「アプリをMicrosoft Intuneに追加する方法」を参照してください。 管理対象デバイスの .ipa アプリ パッケージにアプリ構成を組み込む方法の詳細については、iOS 開発者向けドキュメントの「マネージド App Configuration」を参照してください。
アプリ構成ポリシーを作成する
Microsoft Intune管理センターにサインインします。
[アプリ>] [アプリの構成] ポリシー [管理対象デバイスの>追加]> を選択します。 [管理対象デバイス] と [管理対象アプリ] のどちらかを選択できることに注意してください。 詳細については、「 アプリの構成をサポートするアプリ」を参照してください。
[ 基本 ] ページで、次の詳細を設定します。
- [名前] - Microsoft Intune管理センターに表示されるプロファイルの名前。
- 説明 - Microsoft Intune管理センターに表示されるプロファイルの説明。
- [デバイス登録の種類 ] - この設定は [ 管理対象デバイス] に設定されます。
[プラットフォーム] として [iOS/iPadOS] を選択します。
[対象アプリ] の横にある [アプリの選択] をクリックします。 [ 関連付けられているアプリ ] ウィンドウが表示されます。
[ 対象アプリ ] ウィンドウで、構成ポリシーに関連付けるマネージド アプリを選択し、[OK] をクリック します。
[次へ] をクリックして、[設定] ページを表示します。
ドロップダウン ボックスで、[ 構成設定] 形式を選択します。 構成情報を追加するには、次のいずれかの方法を選択します。
[次へ] をクリックして [スコープ タグ] ページを表示します。
[省略可能]アプリ構成ポリシーのスコープ タグを構成できます。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。
[次へ] を選択して [割り当て] ページを表示します。
[ 割り当て] ページで、[ グループの追加]、[ すべてのユーザーの追加]、または [ すべてのデバイスの追加] を選択して、アプリ構成ポリシーを割り当てます。 割り当てグループを選択したら、管理対象デバイスのアプリ構成ポリシーを展開するときに、割り当てスコープを絞り込む フィルター を選択できます。
ドロップダウン ボックスで [ すべてのユーザー ] を選択します。
![[ポリシーの割り当て - すべてのユーザー] ドロップダウン オプションのスクリーンショット](media/app-configuration-policies-use-ios/app-config-policy02.png)
[省略可能][ フィルターの編集] をクリックして フィルター を追加し、割り当てスコープを絞り込みます。
[ 除外するグループの選択 ] をクリックして、関連ウィンドウを表示します。
![[ポリシーの割り当て - 除外するグループの選択] ウィンドウのスクリーンショット](media/app-configuration-policies-use-ios/app-config-policy03.png)
除外するグループを選択し、[ 選択] をクリックします。
注:
グループを追加するときに、特定の割り当てタイプに他のグループが既に含まれている場合、そのグループは事前に選択され、他のインクルード割り当てタイプでは変更できません。 したがって、使用されているそのグループは、除外されたグループとして使用できません。
[次へ] をクリックして、[確認と作成] ページを表示します。
[作成] をクリックして、アプリ構成ポリシーをIntuneに追加します。
構成デザイナーを使用する
Microsoft Intuneは、アプリに固有の構成設定を提供します。 構成デザイナーは、Microsoft Intuneに登録されているか、登録されていないデバイス上のアプリに使用できます。 デザイナーを使用すると、基になる XML を作成するのに役立つ特定の構成キーと値を構成できます。 また、値ごとにデータ型を指定する必要もあります。 これらの設定は、アプリのインストール時に自動的にアプリに提供されます。
設定を追加する
- 構成のキーと値ごとに、次の値を設定します。
- 構成キー - 特定の設定構成を一意に識別する大文字と小文字が区別されるキー。
- 値の種類 - 構成値のデータ型。 型には、Integer、Real、String、または Boolean が含まれます。
- 構成値 - 構成 の値。
- [ OK] を選択 して構成設定を設定します。
設定を削除する
- 設定の横にある省略記号 (...) を選択します。
- [削除] を選択します。
{{ および }} 文字はトークン型でのみ使用され、他の目的で使用することはできません。
アプリで構成済みの組織アカウントのみを許可する
Microsoft Intune管理者は、管理対象デバイス上の Microsoft アプリに追加する職場または学校アカウントを制御できます。 許可されている組織のユーザー アカウントのみにアクセスを制限し、登録済みデバイス上のアプリ内の個人アカウント (サポートされている場合) をブロックできます。 iOS/iPadOS デバイスの場合は、マネージド デバイス アプリ構成ポリシーで次のキーと値のペアを使用します。
| キー | 値 |
|---|---|
| IntuneMAMAllowedAccountsOnly |
|
| IntuneMAMUPN |
|
注:
次のアプリは、上記のアプリ構成を処理し、組織アカウントのみを許可します。
- iOS 用 Edge (44.8.7 以降)
- Office、Word、Excel、PowerPoint for iOS (2.41 以降)
- OneDrive for iOS (10.34 以降)
- iOS 用 OneNote (2.41 以降)
- Outlook for iOS (2.99.0 以降)
- Teams for iOS (2.0.15 以降)
アプリで構成済みの組織アカウントを要求する
登録済みデバイスでは、組織は、他の管理対象アプリから組織データを受信するために、職場または学校アカウントがマネージド Microsoft アプリにサインインすることを要求できます。 たとえば、ネイティブ iOS メール クライアントにあるマネージド 電子メール プロファイルに含まれる電子メール メッセージに添付ファイルが含まれているシナリオを考えてみましょう。 ユーザーがデバイスで管理され、これらのキーが適用されている Office などの Microsoft アプリに添付ファイルを転送しようとすると、転送された添付ファイルが Org データとして扱われ、職場または学校アカウントのサインインとアプリ保護ポリシー設定の適用が必要になります。
iOS/iPadOS デバイスの場合は、Microsoft アプリごとにマネージド デバイス アプリ構成ポリシーで次のキーと値のペアを使用します。
| キー | 値 |
|---|---|
| IntuneMAMRequireAccounts |
|
| IntuneMAMUPN |
|
注:
アプリには、iOS バージョン 12.3.3 以降Intune APP SDK が必要であり、職場または学校アカウントへのサインインを要求する場合は、Intune アプリ保護ポリシーを対象とする必要があります。 アプリ保護ポリシー内で、[他のアプリからデータを受信する] を "受信組織データを持つすべてのアプリ" に設定する必要があります。
現時点では、アプリのサインインは、対象アプリへの受信 Org データがある場合にのみ必要です。
XML データを入力する
Intuneに登録されているデバイスのアプリ構成設定を含む XML プロパティ リストを入力または貼り付けることができます。 XML プロパティ リストの形式は、構成するアプリによって異なります。 使用する正確な形式の詳細については、アプリのサプライヤーにお問い合わせください。
Intuneは XML 形式を検証します。 ただし、Intuneは、XML プロパティ リスト (PList) がターゲット アプリで動作することを確認しません。
XML プロパティ リストの詳細については、以下を参照してください。
- iOS 開発者ライブラリの 「XML プロパティ リストについて」 を参照してください。
アプリ構成 XML ファイルの形式の例
アプリ構成ファイルを作成するときは、次の形式を使用して、次の 1 つ以上の値を指定できます。
<dict>
<key>userprincipalname</key>
<string>{{userprincipalname}}</string>
<key>mail</key>
<string>{{mail}}</string>
<key>partialupn</key>
<string>{{partialupn}}</string>
<key>accountid</key>
<string>{{accountid}}</string>
<key>deviceid</key>
<string>{{deviceid}}</string>
<key>userid</key>
<string>{{userid}}</string>
<key>username</key>
<string>{{username}}</string>
<key>serialnumber</key>
<string>{{serialnumber}}</string>
<key>serialnumberlast4digits</key>
<string>{{serialnumberlast4digits}}</string>
<key>udidlast4digits</key>
<string>{{udidlast4digits}}</string>
<key>aaddeviceid</key>
<string>{{aaddeviceid}}</string>
<key>IsSupervised</key>
<string>{{IsSupervised}}</string>
</dict>
サポートされている XML PList データ型
Intuneでは、プロパティ リストで次のデータ型がサポートされます。
- <整数>
- <本当の>
- <文字列>
- <配列>
- <dict>
- <true /> または <false />
プロパティ リストで使用されるトークン
さらに、Intuneでは、プロパティ リストで次のトークンの種類がサポートされています。
- {{userprincipalname}} — たとえば、 John@contoso.com
- {{mail}}—たとえば、 John@contoso.com
- {{partialupn}}—たとえば、 John
- {{accountid}} — たとえば、 fc0dc142-71d8-4b12-bbea-bae2a8514c81
- {{deviceid}} — たとえば、 b9841cd9-9843-405f-be28-b2265c59ef97
- {{userid}} — たとえば、 3ec2c00f-b125-4519-acf0-302ac3761822
- {{username}}—たとえば、 John Doe
- {{serialnumber}} — たとえば、F4KN99ZUG5V2 (iOS/iPadOS デバイスの場合)
- {{serialnumberlast4digits}} — たとえば、G5V2 (iOS/iPadOS デバイスの場合)
- {{aaddeviceid}} — たとえば、 ab0dc123-45d6-7e89-aabb-cde0a1234b56
- {{issupervised}} — たとえば、 True (iOS/iPadOS デバイスの場合)
自動デバイス登録で登録された iOS デバイスと iPadOS デバイスをサポートするようにポータル サイト アプリを構成する
Apple の自動デバイス登録は、既定では、ポータル サイト アプリのアプリ ストア バージョンと互換性がありません。 ただし、次の手順を使用して、ユーザーがApp Storeからポータル サイトをダウンロードした場合でも、iOS/iPadOS ADE デバイスをサポートするようにポータル サイト アプリを構成できます。
Microsoft Intune管理センターで、[アプリ][すべてのアプリ][iOS ストア アプリの追加] の順に移動して、まだ追加されていない場合は、Intune ポータル サイト アプリ>を>追加>します。
[アプリ>の構成ポリシー] に移動して、ポータル サイト アプリのアプリ構成ポリシーを作成します。
以下の XML を使用してアプリ構成ポリシーを作成します。 アプリ構成ポリシーを作成して XML データを入力する方法の詳細については、「 管理対象 iOS/iPadOS デバイス用のアプリ構成ポリシーを追加する」を参照してください。
ユーザー アフィニティで登録されている自動デバイス登録 (ADE) デバイスでポータル サイトを使用します。
注:
登録プロファイルに [ポータル サイトのインストール] が [はい] に設定されている場合、Intuneは、初期登録プロセスの一環として、以下のアプリケーション構成ポリシーを自動的にプッシュします。 この構成は、登録中に既に送信されたペイロードと競合するため、ユーザーまたはデバイスに手動で展開しないでください。これにより、エンド ユーザーは、ポータル サイト にサインインした後に新しい管理プロファイルをダウンロードするように求められます (これらのデバイスに管理プロファイルが既にインストールされているため、そうすべきでない場合)。
<dict> <key>IntuneCompanyPortalEnrollmentAfterUDA</key> <dict> <key>IntuneDeviceId</key> <string>{{deviceid}}</string> <key>UserId</key> <string>{{userid}}</string> </dict> </dict>ユーザー アフィニティなしで登録されている ADE デバイス (デバイス ステージングとも呼ばれます) で、ポータル サイトを使用します。
注:
ポータル サイトにサインインするユーザーは、デバイスのプライマリ ユーザーとして設定されます。
<dict> <key>IntuneUDAUserlessDevice</key> <string>{{SIGNEDDEVICEID}}</string> </dict>
目的のグループを対象とするアプリ構成ポリシーを持つデバイスにポータル サイトを展開します。 ADE が既に登録されているデバイスのグループにのみポリシーを展開してください。
ポータル サイト アプリが自動的にインストールされたら、エンド ユーザーにサインインするように指示します。
注:
ユーザー アフィニティのない ADE デバイスでポータル サイト アプリを許可するアプリ構成を追加すると、 が発生STATE Policy Errorする可能性があります。 他のアプリ構成とは異なり、この状況はデバイスがチェックインするたびに適用されるわけではありません。 代わりに、このアプリ構成は、ユーザーがポータル サイトにサインインしたときに、ユーザー アフィニティなしで登録された既存のデバイスがユーザー アフィニティを取得できるようにするための 1 回限りの操作を目的としています。 このアプリ構成は、正常に適用されると、バックグラウンドでポリシーから削除されます。 ポリシーの割り当ては存在しますが、アプリ構成がバックグラウンドで削除されると"成功" は報告されません。 アプリ構成ポリシーがデバイスに適用されたら、ポリシーの割り当てを解除できます。
デバイスごとに iOS/iPadOS アプリの構成状態を監視する
構成ポリシーが割り当てられたら、管理対象デバイスごとに iOS/iPadOS アプリの構成状態を監視できます。 Microsoft Intune管理センターの [Microsoft Intune] で、[デバイス] [すべてのデバイス] の順に選択します>。 管理対象デバイスの一覧から、デバイスのウィンドウを表示する特定のデバイスを選択します。 デバイス ウィンドウで、[アプリの 構成] を選択します。