Microsoft Intune の Android アプリ保護ポリシーの設定
この記事では、Android デバイスのアプリ保護ポリシー設定について説明します。 説明されているポリシー設定は、ポータルの [設定] ウィンドウでアプリ保護ポリシーに対して構成できます。 ポリシー設定には、データ保護設定、アクセス要件、条件付き起動の 3 つのカテゴリがあります。 この記事の "ポリシーで管理されているアプリ" という用語は、アプリ保護ポリシーで構成されるアプリを示します。
重要
Android デバイスのアプリ保護ポリシーを受信するには、デバイスでIntune ポータル サイトが必要です。
Intune Managed Browser は廃止されました。 保護された Intune ブラウザー エクスペリエンスには Microsoft Edge を使用してください。
データの保護
データ転送
| Setting | 使用方法 | 既定値 |
|---|---|---|
| Android バックアップ サービスへの組織データのバックアップ | [ ブロック] を 選択すると、このアプリが Android Backup Service に職場または学校のデータをバックアップできなくなります。 [ 許可] を 選択して、このアプリが職場または学校のデータをバックアップできるようにします。 |
許可 |
| 組織データを他のアプリに送信する | このアプリからデータを受け取ることができるアプリを指定します。
Intune でデータ転送先として既定で許可される可能性のある除外対象アプリとサービスがいくつかあります。 さらに、Intune アプリをサポートしていないアプリへのデータ転送を許可する必要がある場合、独自の例外を作成できます。 詳細については、「 データ転送の除外」を参照してください。 このポリシーは、Android アプリ リンクにも適用される場合があります。 一般的な Web リンクは、[Intune Managed Browser でアプリ リンクを開く] ポリシー設定によって管理されます。 注: Intuneは現在、Android インスタント アプリ機能をサポートしていません。 Intuneは、アプリとの間のデータ接続をブロックします。 詳細については、Android 開発者向けドキュメントの 「Android インスタント アプリ 」を参照してください。 [他のアプリに組織データを送信する] が [すべてのアプリ] に構成されている場合、テキスト データは引き続き OS 共有を介してクリップボードに転送される可能性があります。 |
すべてのアプリ |
|
このオプションは、上記のオプションで [ポリシーで管理されているアプリ] を選択した場合に使用できます。 | |
|
このアプリで [名前を付けて保存] オプションの使用を無効にするには、[ブロック] を選択します。 "名前を付けて保存" の使用を許可する場合は、[許可] を選択します。 "ブロック" に設定した場合、"選択したサービスにユーザーがコピーを保存することを許可" の設定を構成できます。 注:
|
許可 |
|
ユーザーは、選択したサービス (OneDrive for Business、SharePoint、フォト ライブラリ、Box、ローカル ストレージ) に保存できます。 その他のサービスはすべてブロックされます。 | 選択済み 0 |
|
通常、ハイパーリンクの付いた電話番号をアプリ内でユーザーが選択すると、電話番号が事前入力された状態で電話アプリが開き、電話をかける準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。
|
任意の電話アプリ |
|
特定のダイヤラー アプリが選択されている場合は、 アプリ パッケージ ID を指定する必要があります。 | Blank |
|
特定のダイヤラー アプリが選択されている場合は、ダイヤラー アプリの名前を指定する必要があります。 | Blank |
|
通常、ハイパーリンクの付いた電話番号をアプリ内でユーザーが選択すると、電話番号が事前入力された状態で電話アプリが開き、電話をかける準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。
|
任意のメッセージング アプリ |
|
特定のメッセージング アプリが選択されている場合は、 アプリ パッケージ ID を指定する必要があります。 | Blank |
|
特定のメッセージング アプリが選択されている場合は、メッセージング アプリの名前を指定する必要があります。 | Blank |
| 他のアプリからデータを受信 | このアプリにデータを転送できるアプリを以下のように指定します。
Intuneがデータ転送を許可する一部の除外アプリとサービスがあります。 アプリとサービスの完全な一覧については、「 データ転送の除外 」を参照してください。 |
すべてのアプリ |
|
このアプリで、アカウント間でデータを共有するための "開く" オプションやその他のオプションの使用を無効にするには、[ブロック] を選択します。 "開く" の使用を許可する場合は、[許可] を選択します。 [ブロック] に設定すると、[選択したサービスからデータを開くことをユーザーに許可する] を構成して、組織データの場所で使用できるサービスを指定することができます。 注:
|
許可 |
|
ユーザーがデータを開くことができるアプリケーション ストレージ サービスを選択します。 他のすべてのサービスはブロックされます。 サービスを選択しない場合、ユーザーはデータを開けなくなります。 サポートされているサービス:
|
すべて選択済み |
| 他のアプリとの間で切り取り、コピー、貼り付けを制限する | このアプリで切り取り、コピー、および貼り付け操作をいつ使用できるようにするかを指定します。 次から選択します。
|
任意のアプリ |
|
組織のデータとアカウントから切り取りまたはコピーできる文字数を指定します。 これにより、指定した文字数の共有が許可されます。それ以外の場合は、[他のアプリとの切り取り、コピー、貼り付けを制限する] 設定によってブロックされます。 既定値 = 0 注: バージョン 5.0.4364.0 以降Intune ポータル サイト必要です。 |
0 |
| スクリーン キャプチャと Google アシスタント | [ ブロック] を選択して画面キャプチャをブロックし、 Circle to Search をブロックし、このアプリを使用するときにデバイス上の組織データへの Google アシスタント のアクセスをブロックします。 [ ブロック ] を選択すると、職場または学校アカウントでこのアプリを使用するときに、アプリ 切り替えプレビュー イメージもぼかされます。 注: 組織データにアクセスしないシナリオでは、ユーザーが Google Assistant にアクセスできる場合があります。 |
Block |
| 承認済みキーボード | [ 必須] を 選択し、このポリシーで承認されたキーボードの一覧を指定します。 承認済みキーボードを使用していないユーザーは、保護されたアプリを使用する前に、承認されたキーボードをダウンロードしてインストールするように求められます。 この設定では、アプリに Intune SDK for Android バージョン 6.2.0 以降が必要です。 |
必須ではありません |
|
このオプションは、前のオプションで [必須 ] を選択した場合に使用できます。 [ 選択] を選択 して、このポリシーによって保護されたアプリで使用できるキーボードと入力方法の一覧を管理します。 リストにキーボードを追加し、既定のオプションのいずれかを削除できます。 設定を保存するには、承認されたキーボードが少なくとも 1 つ必要です。 時間が経つにつれて、Microsoft は新しい App Protection ポリシーの一覧にキーボードを追加する場合があります。これにより、管理者は必要に応じて既存のポリシーを確認して更新する必要があります。 キーボードを追加するには、次のように指定します。
手記: 複数の App Protection ポリシーを割り当てられたユーザーは、すべてのポリシーに共通する承認済みのキーボードのみを使用できます。 |
暗号化
| Setting | 使用方法 | 既定値 |
|---|---|---|
| 組織データを暗号化する | [ 必須] を 選択して、このアプリで職場または学校のデータの暗号化を有効にします。 Intuneでは、wolfSSL の 256 ビット AES 暗号化スキームと Android キーストア システムを使用して、アプリ データを安全に暗号化します。 データは、ファイル I/O タスク中に同期的に暗号化されます。 デバイス ストレージ上のコンテンツは常に暗号化され、Intuneのアプリ保護ポリシーをサポートし、ポリシーが割り当てられているアプリによってのみ開くことができます。 新しいファイルは 256 ビット キーで暗号化されます。 既存の 128 ビット暗号化ファイルでは、256 ビット キーへの移行が試行されますが、プロセスは保証されません。 128 ビット キーで暗号化されたファイルは読み取り可能なままになります。 暗号化方法は FIPS 140-2 検証済みです。詳細については、「 wolfCrypt FIPS 140-2」および「FIPS 140-3」を参照してください。 |
必須 |
|
[必須] を選択して、すべてのデバイスでIntuneアプリレイヤーの暗号化を使用して組織データの暗号化を適用します。 [必須ではありません] を選択すると、登録済みデバイスでIntuneアプリレイヤーの暗号化を使用して組織データの暗号化を適用できません。 | 必須 |
機能
| Setting | 使用方法 | 既定値 |
|---|---|---|
| ポリシー管理されたアプリのデータをネイティブ アプリやアドインと同期させることが可能 | [ブロック] を選択すると、ポリシーマネージド アプリがデバイスのネイティブ アプリ (連絡先、予定表、ウィジェット) にデータを保存できないようにし、ポリシー管理アプリ内でのアドインの使用を防ぐことができます。 アプリケーションでサポートされていない場合は、ネイティブ アプリへのデータの保存とアドインの使用が許可されます。 [許可] を選択した場合、ポリシー管理アプリでこれらの機能がサポートされ、有効になっている場合、ポリシー管理アプリはネイティブ アプリにデータを保存したり、アドインを使用したりできます。 アプリケーションは、特定のネイティブ アプリにデータ同期動作をカスタマイズするための追加のコントロールを提供したり、このコントロールを受け入れたりしない場合があります。 注: 選択的ワイプを実行してアプリから職場または学校のデータを削除すると、ポリシー管理アプリからネイティブ アプリに直接同期されたデータが削除されます。 ネイティブ アプリから別の外部ソースに同期されたデータはワイプされません。 注: 次のアプリはこの機能をサポートしています。
|
許可 |
| 組織データを出力する | [ ブロック ] を選択すると、アプリが職場または学校のデータを印刷できなくなります。 この設定を [許可] (規定値) のままにした場合、ユーザーはすべての組織データをエクスポートおよび印刷できるようになります。 | 許可 |
| その他のアプリでの Web コンテンツの転送を制限する | ポリシーで管理されているアプリケーションから Web コンテンツ (http/https リンク) をどのように開くか指定します。 次から選択します。
ポリシーで管理されるブラウザー Android では、Intune Managed Browserも Microsoft Edge もインストールされていない場合、エンド ユーザーは http/https リンクをサポートする他のポリシーで管理されたアプリから選択できます。 ポリシーで管理されているブラウザーが必要であるにもかかわらず、インストールされていない場合、エンド ユーザーには Microsoft Edge のインストールが求められます。 ポリシーで管理されたブラウザーが必要な場合、Android アプリ リンクは、[ アプリが他のアプリにデータを転送することを許可する ] ポリシー設定によって管理されます。
Intune デバイスの登録
ポリシーで管理されている Microsoft Edge |
未構成 |
|
1 つのブラウザーのアプリケーション ID を入力します。 ポリシー管理アプリケーションからの Web コンテンツ (http/https リンク) は、指定されたブラウザーで開きます。 Web コンテンツは、対象のブラウザーで管理されなくなります。 | Blank |
|
アンマネージド ブラウザー ID に関連付けられているブラウザーのアプリケーション名を入力します。 指定したブラウザーがインストールされていない場合、この名前がユーザーに表示されます。 | Blank |
| 組織のデータ通知 | 組織アカウントの OS 通知を介して共有される組織データの量を指定します。 このポリシー設定は、ローカル デバイスと、ウェアラブルやスマート スピーカーなど、接続されているあらゆるデバイスに影響を与えます。 アプリにより、通知動作をカスタマイズする目的で制御が追加されたり、すべての値が無視されたりすることがあります。 次の中から選択します。
注: この設定には、アプリのサポートが必要です。
|
許可 |
データ転送の除外対象
アプリ保護ポリシーで送受信されるデータ転送を許可Intune、一部の除外アプリとプラットフォーム サービスがあります。 たとえば、Android 上のすべてのIntune管理されたアプリは、モバイル デバイスの画面からテキストを音声で読み上げることができるように、Google テキスト読み上げと音声変換の間でデータを転送できる必要があります。 このリストは、セキュリティで保護された生産性向上に役立つと考えられるサービスとアプリを表しており、変更される可能性があります。
完全な除外
これらのアプリとサービスは、Intuneマネージド アプリとの間でデータ転送が完全に許可されます。
| アプリ/サービス名 | 説明 |
|---|---|
| com.android.phone | ネイティブ電話アプリ |
| com.android.vending | Google Play ストア |
| com.google.android.webview | WebView。Outlook を含む多くのアプリに必要です。 |
| com.android.webview | Webview。Outlook を含む多くのアプリに必要です。 |
| com.google.android.tts | Google テキスト読み上げ |
| com.android.providers.settings | Android システム設定 |
| com.android.settings | Android システム設定 |
| com.azure.authenticator | Azure Authenticator アプリ。これは、多くのシナリオで認証を成功させるために必要です。 |
| com.microsoft.windowsintune.companyportal | Intune ポータル サイト |
| com.android.providers.contacts | ネイティブ連絡先アプリ |
条件付き除外
これらのアプリとサービスは、特定の条件下でIntune管理されたアプリとの間でのみデータ転送が許可されます。
| アプリ/サービス名 | 説明 | 除外条件 |
|---|---|---|
| com.android.chrome | Google Chrome ブラウザー | Chrome は、Android 7.0 以降の一部の WebView コンポーネントに使用され、ビューから非表示になることはありません。 ただし、アプリとの間のデータ フローは常に制限されます。 |
| com.skype.raider | Skype | Skype アプリは、電話をかける特定のアクションに対してのみ許可されます。 |
| com.android.providers.media | Android メディア コンテンツ プロバイダー | 着信音の選択アクションに対してのみ許可されるメディア コンテンツ プロバイダー。 |
| com.google.android.gms;com.google.android.gsf | Google Play Services パッケージ | これらのパッケージは、プッシュ通知などの Google Cloud Messaging アクションに使用できます。 |
| com.google.android.apps.maps | Google Maps | アドレスはナビゲーションに使用できます。 |
| com.android.documentsui | Android ドキュメント ピッカー | ファイルを開いたり作成したりするときに許可されます。 |
| com.google.android.documentsui | Android ドキュメント ピッカー (Android 10 以降) | ファイルを開いたり作成したりするときに許可されます。 |
詳細については、「 アプリのデータ転送ポリシーの例外」を参照してください。
アクセス要件
| Setting | 使用方法 |
|---|---|
| アクセスに PIN を使用 |
[必要] を選択すると、このアプリを使用する際に PIN が要求されます。 ユーザーは、職場または学校のコンテキストでアプリを初めて実行するときに、この PIN のセットアップを求められます。 既定値 = 必須 [アクセスに PIN を使用] セクションの下の使用可能な設定を使用して、PIN 強度を構成できます。 手記: アプリへのアクセスを許可されているエンド ユーザーは、アプリの PIN をリセットできます。 Android デバイスでは、この設定が表示されない場合があります。 Android デバイスには、4 つの使用可能なショートカットの最大制限があります。 最大値に達すると、エンド ユーザーは、カスタマイズされたショートカット (または別のマネージド アプリ ビューからショートカットにアクセス) を削除して、リセットされた APP PIN ショートカットを表示する必要があります。 または、エンド ユーザーがショートカットをホームページにピン留めすることもできます。 |
PIN の種類 |
アプリ保護ポリシーが適用されているアプリにアクセスする前に、数値またはパスコードのどちらの種類の PIN を入力する必要があるかを設定します。 数値の場合は数字だけですが、パスコードの場合は少なくとも 1 つのアルファベットまたは少なくとも 1 つの特殊文字で定義できます。 既定値 = 数値 手記: 使用できる特殊文字には、Android 英語キーボードの特殊文字と記号が含まれます。 |
|
ユーザーが 1234、1111、abcd、aaaa などの単純な PIN シーケンスを使用できるようにするには、[許可] を選択します。 [ ブロック] を 選択すると、単純なシーケンスを使用できなくなります。 単純なシーケンスは、3 文字のスライディング ウィンドウで確認されます。
Block が構成されている場合、エンド ユーザーが設定した PIN として 1235 または 1112 は受け入れられませんが、1122 は許可されます。 既定値 = 許可 手記: パスコードの種類の PIN が構成されていて、Simple PIN が [許可] に設定されている場合、ユーザーは PIN に少なくとも 1 つの文字 または 少なくとも 1 つの特殊文字が必要です。 パスコードの種類の PIN が構成されていて、Simple PIN が [ブロック] に設定されている場合、ユーザーは PIN に少なくとも 1 つの数字 と 1 つの文字 と 少なくとも 1 つの特殊文字が必要です。 |
|
PIN シーケンスの最小桁数を指定します。 既定値 = 4 |
|
[ 許可] を 選択して、ユーザーが生体認証を使用して Android デバイスでユーザーを認証できるようにします。 許可されている場合、生体認証は Android 10 以降のデバイス上のアプリにアクセスするために使用されます。 |
|
この設定を使用するには、[必要] を選択し、非アクティブ タイムアウトを構成します。 既定値 = 必須 |
|
パスコードまたは数値 (構成済み) PIN によって生体認証の使用がオーバーライドされるまでの時間を分単位で指定します。 このタイムアウト値は、[(非アクティブ分数) 後にアクセス要件を再確認する] に指定した値よりも大きい必要があります。 既定値 = 30 |
|
[ 必須] を選択して、ユーザーがクラス 3 の生体認証でサインインすることを要求します。 クラス 3 の生体認証の詳細については、Google のドキュメントの 「生体認証 」を参照してください。 |
|
生体認証の変更が検出されたときに PIN で生体認証の使用をオーバーライドするには、[ 必須] を選択します。
注意: |
|
[はい] を選択すると、ユーザーは設定された期間の経過後にアプリの PIN を変更する必要があります。 [はい] に設定した場合は、PIN のリセットが要求されるまでの日数を構成します。 既定値 = いいえ |
|
PIN のリセットが要求されるまでの日数を構成します。 既定値 = 90 |
|
この設定では、Intuneが保持する以前の PIN の数を指定します。 新しい PIN は、Intuneが管理しているものとは異なる必要があります。 既定値 = 0 |
|
[必須ではありません] を選択すると、登録されているデバイスでデバイスロックが検出され、ポータル サイトが構成されている場合にアプリの PIN が無効になります。 既定値 = 必須。 |
| アクセスに職場または学校アカウントの資格情報を使用 | [ 必須] を選択すると、アプリアクセス用の PIN を入力するのではなく、職場または学校アカウントでサインインするようにユーザーに要求できます。
[必須] に設定し、PIN または生体認証プロンプトがオンになっている場合、企業の資格情報と PIN または生体認証プロンプトの両方が表示されます。 既定値 = 必須ではありません |
| (非アクティブ分数) 後にアクセス要件を再確認する | 次の設定を構成します。
|
注:
Android で同じアプリとユーザーのセットに対して [アクセス] セクションで構成された複数のIntuneアプリ保護設定の詳細については、「MAM に関してよく寄せられる質問をIntuneし、Intuneのアプリ保護ポリシー アクセス アクションを使用してデータを選択的にワイプする」を参照してください。
条件付き起動
アプリ保護ポリシーのサインイン セキュリティ要件を設定するように条件付き起動設定を構成します。
既定では、値とアクションが事前構成された設定がいくつか提供されます。 最小 OS バージョンなど、一部の設定を削除できます。 [1 つ選んでください] ドロップダウンから追加の設定を選択することもできます。
アプリの条件
| Setting | 使用方法 |
|---|---|
| PIN の最大試行回数 | PIN の入力試行回数を指定します。成功せずにこの回数を超えると、構成されているアクションが実行されます。 PIN の最大試行後にユーザーが PIN の入力に失敗した場合、ユーザーはアカウントに正常にログインし、必要に応じて多要素認証 (MFA) チャレンジを完了した後にピンをリセットする必要があります。 このポリシー設定の形式は、正の整数をサポートします。
"アクション" に含まれている項目:
|
| [オフラインの猶予期間] | マネージド アプリがオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。
"アクション" に含まれている項目:
|
| アプリの最小バージョン | アプリケーションの最小バージョンの値を指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。 さらに、エンド ユーザーが基幹業務 (LOB) アプリの更新バージョンを取得できる場所を構成できます。 これがエンド ユーザーに対して表示されるのは [アプリの最小バージョン] 条件付き起動ダイアログであり、エンド ユーザーは最小バージョンの LOB アプリに更新することを求められます。 Android では、この機能では ポータル サイト が使用されます。 エンド ユーザーが LOB アプリを更新する必要がある場所を構成するには、キー com.microsoft.intune.myappstore を含むマネージド アプリ構成ポリシーをアプリに送信する必要があります。 送信される値により、エンド ユーザーがアプリをダウンロードするストアが定義されます。 アプリがポータル サイト経由で展開される場合、値は CompanyPortal である必要があります。 他のストアの場合は、完全な URL を入力する必要があります。 |
| 無効なアカウント | この設定に設定する値はありません。
"アクション" に含まれている項目:
|
| 非稼働時間 | この設定に設定する値はありません。
"アクション" に含まれている項目:
次のアプリは、ポータル サイト v5.0.5849.0 以降でこの機能をサポートしています。
|
デバイスの条件
| Setting | 使用方法 |
|---|---|
| 脱獄またはルート化されたデバイス | デバイスへのアクセスをブロックするか、脱獄またはルート化されたデバイスのデバイス データをワイプするかを指定します。
"アクション" に含まれている項目:
|
| OS の最小バージョン | このアプリを使用するために必要な最小 Android オペレーティング システムを指定します。 指定された最小 OS バージョンより下の OS バージョン では、アクションがトリガーされます。
"アクション" に含まれている項目:
|
| OS の最大バージョン | このアプリを使用するために必要な最大 Android オペレーティング システムを指定します。 指定した最大 OS バージョンより下の OS バージョン では、アクションがトリガーされます。
"アクション" に含まれている項目:
|
| 最小パッチ バージョン | Google によってリリースされた Android セキュリティ パッチがデバイスに最低限必要です。
|
| デバイスの製造元 | 製造元のセミコロン区切りの一覧を指定します。 これらの値では大文字と小文字が区別されません。
"アクション" に含まれている項目:
|
| 整合性の判定を再生する | アプリ保護ポリシーでは、一部の Google Play Integrity API がサポートされています。 この設定は特に、エンド ユーザー デバイスで Google の Play Integrity チェックを構成して、それらのデバイスの整合性を検証します。
[基本整合性] または [基本整合性とデバイスの整合性] を指定します。 基本的な整合性 は、デバイスの一般的な整合性について説明します。 ルート化されたデバイス、エミュレーター、仮想デバイス、改ざんの兆候があるデバイスは基本的な整合性のチェックで不合格になります。 認定デバイス & 基本的な整合性 は、デバイスと Google のサービスの互換性について説明します。 Google に認められた、改造されていないデバイスのみがこのチェックに合格します。 条件付き起動に必要に応じて [整合性判定の再生] を選択した場合は、評価の種類として厳密な整合性チェックを使用するように指定できます。 評価の種類として強力な整合性チェックが存在すると、デバイスの整合性が向上します。 厳密な整合性チェックをサポートしていないデバイスは、この設定を対象としている場合、MAM ポリシーによってブロックされます。 強力な整合性チェックは、ソフトウェアのみのソリューションでは常に確実に検出できない新しい種類のルート化ツールと方法に応答して、より堅牢なルート検出を提供します。 APP 内では、[Play integrity verdict evaluation type]\(プレイ整合性判定評価の種類\) を [Play integrity verdict]\(整合性判定の確認\) に設定し、[必要な SafetyNet 評価の種類] を [デバイスの整合性] チェック構成した後チェック厳密な整合性に設定することで、ハードウェア構成証明が有効になります。 ハードウェアによってサポートされる構成証明は、Android 8.1 以降でインストールされたデバイスに付属するハードウェア ベースのコンポーネントを利用します。 以前のバージョンの Android から Android 8.1 にアップグレードされたデバイスには、ハードウェアによる構成証明に必要なハードウェアベースのコンポーネントがない可能性があります。 この設定は Android 8.1 と共に出荷されるデバイス以降では広くサポートされているはずですが、Microsoft ではこのポリシー設定を広範囲で有効にする前に、デバイスを個別にテストすることを強くお勧めします。 大事な:この評価の種類をサポートしていないデバイスは、デバイスの整合性チェックアクションに基づいてブロックまたはワイプされます。 この機能を使用する組織は、ユーザーがデバイスをサポートしていることを確認する必要があります。 Google の推奨デバイスの詳細については、「 Android Enterprise の推奨要件」を参照してください。
"アクション" に含まれている項目:
|
| アプリで脅威スキャンを要求する | アプリ保護ポリシーでは、Google Play Protect の API の一部がサポートされています。 特にこの設定により、エンド ユーザー デバイスで Google の [アプリの確認] スキャンがオンになります。 構成されている場合、エンド ユーザーは自分の Android デバイス上で Google のアプリ スキャンを有効にするまでアクセスがブロックされます。
"アクション" に含まれている項目:
|
| 必須の SafetyNet 評価の種類 | ハードウェアによる構成証明により、既存の SafetyNet 構成証明サービスのチェックが強化されます。 この値は、SafteyNet デバイス構成証明を設定した後で、ハードウェアに基づくキーに設定できます。 |
| デバイス ロックが必要 | この設定は、Android デバイスに最小パスワード要件を満たすデバイス PIN があるかどうかを決定します。 アプリ保護 ポリシーは、デバイス ロックが最小パスワード要件を満たしていない場合にアクションを実行できます。
値 は次のとおりです。
この複雑さの値は、Android 12 以降を対象とします。 Android 11 以前で動作しているデバイスの場合、低、中、または高の複雑さの値を設定すると、既定では低 複雑度の予期される動作になります。 詳細については、Google の開発者向けドキュメント 「getPasswordComplexity、 PASSWORD_COMPLEXITY_LOW、 PASSWORD_COMPLEXITY_MEDIUM、 PASSWORD_COMPLEXITY_HIGH」を参照してください。
"アクション" に含まれている項目:
|
| 最小ポータル サイトバージョン | 最小ポータル サイトバージョンを使用すると、エンド ユーザー デバイスに適用されるポータル サイトの特定の最小定義バージョンを指定できます。 この条件付き起動設定を使用すると、各値が満たされていない場合に、 アクセスのブロック、 データのワイプ、および可能な限り 警告 アクションに値を設定できます。 この値に使用できる形式は、パターン [Major].[ に従います。Minor], [Major].[Minor].[ビルド]、または [メジャー].[Minor].[ビルド]。[リビジョン]。 一部のエンド ユーザーは、その場でアプリの強制更新を好まない場合があるため、この設定を構成する場合は、"警告" オプションが理想的な場合があります。 Google Play ストアは、アプリの更新のために差分バイトのみを送信するという優れた仕事をしますが、更新時にデータに含まれている場合、ユーザーが利用したくない大量のデータである可能性があります。 更新を強制し、更新されたアプリをダウンロードすると、更新時に予期しないデータ料金が発生する可能性があります。 詳細については、「 Android ポリシー設定」を参照してください。 |
| 最大ポータル サイトバージョンの有効期間 (日数) | Android デバイスのポータル サイト (CP) バージョンの年齢として、最大日数を設定できます。 この設定により、エンド ユーザーが CP リリースの一定の範囲内 (日数) に収まるようにします。 値は 0 から 365 日の間である必要があります。 デバイスの設定が満たされていない場合、この設定のアクションがトリガーされます。 アクションには、 アクセスのブロック、 データのワイプ、または 警告が含まれます。 関連情報については、「 Android ポリシー設定」を参照してください。 手記:ポータル サイトビルドの年齢は、エンド ユーザー デバイスの Google Play によって決まります。 |
| Samsung Knox デバイスの構成証明 | Samsung Knox デバイス構成証明チェックが必要かどうかを指定します。 このチェックを渡すことができるのは、Samsung によって検証された変更されていないデバイスのみです。 サポートされているデバイスの一覧については、「 samsungknox.com」を参照してください。 この設定を使用すると、Microsoft Intuneは、ポータル サイトから正常なデバイスから送信されたIntune サービスへの通信も確認します。 "アクション" に含まれている項目:
手記:ユーザーは、デバイス構成証明チェックを実行する前に、Samsung Knox の条項に同意する必要があります。 ユーザーが Samsung Knox の用語に同意しない場合は、指定したアクションが実行されます。 手記: この設定は、対象となるすべてのデバイスに適用されます。 この設定を Samsung デバイスにのみ適用するには、"マネージド アプリ" 割り当てフィルターを使用できます。 割り当てフィルターの詳細については、「Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください。 |
| 許容される最大デバイス脅威レベル | アプリ保護ポリシーでは、Intune-MTD コネクタを利用できます。 このアプリの使用に対して許容される最大脅威レベルを指定します。 脅威は、エンド ユーザー デバイスで選択された Mobile Threat Defense (MTD) ベンダー アプリによって決定されます。 "セキュリティ保護"、"低"、"中"、"高" のいずれかを指定します。 "セキュリティ保護" は、デバイスに対する脅威は不要で、構成可能な最も制限の厳しい値であるのに対し、"高" では基本的に Intune と MTD の間のアクティブな接続が必要です。
"アクション" に含まれている項目:
|
| プライマリ MTD サービス | 複数の Intune-MTD コネクタを構成している場合は、エンド ユーザー デバイスで使用する必要があるプライマリ MTD ベンダー アプリを指定します。
値 は次のとおりです。
この設定を使用するには、設定 "最大許可デバイス脅威レベル" を構成する必要があります。 この設定には アクション がありません。 |