iOS アプリ保護ポリシー設定

  • [アーティクル]

この記事では、iOS/iPadOS デバイスのアプリ保護ポリシーの設定について説明します。 新しいポリシーを作成する場合、説明されているポリシーの設定は、ポータルの [設定] ウィンドウ上でアプリ保護ポリシー用に構成することができます。

ポリシーの設定には、"データ再配置"、"アクセス要件"、"条件付き起動" の 3 つのカテゴリがあります。 この記事では、 ポリシーで管理されるアプリ という用語は、アプリ保護ポリシーで構成されているアプリを指します。

重要

Intune Managed Browser は廃止されました。 保護された Intune ブラウザー エクスペリエンスには Microsoft Edge を使用してください。

データの保護

データ転送

Setting 使用方法 既定値
iTunes と iCloud のバックアップに組織データをバックアップ このアプリで職場や学校のデータが iTunes および iCloud にバックアップされないようにするには、[ブロック] を選択します。 このアプリで職場や学校のデータを iTunes および iCloud にバックアップできるようにするには、[許可] を選択します。 許可
組織のデータを他のアプリに送信 このアプリからデータを受け取ることができるアプリを指定します。
  • すべてのアプリ: すべてのアプリへの転送を許可します。 受信側アプリは、データの読み取りと編集を行うことができます。
  • なし: 他のポリシーで管理されたアプリを含め、アプリへのデータ転送を許可しません。 ユーザーが Managed Open-in 機能を実行してドキュメントを転送した場合、データは暗号化され、読み取り不能になります。
  • ポリシーで管理されているアプリ: 他のポリシーで管理されているアプリへの転送のみを許可します。

    注:ユーザーは、未登録のデバイス上のアンマネージド アプリや、アンマネージド アプリとの共有を許可する登録済みデバイスで、Open-in または Share 拡張機能を介してコンテンツを転送できる場合があります。転送されたデータは Intune によって暗号化され、アンマネージド アプリでは読み取りできません。

  • Policy managed apps with OS sharing (ポリシーで管理されているアプリと OS の共有): 他のポリシーで管理されているアプリへのデータ転送、および登録されたデバイス上の他の MDM で管理されているアプリへのファイル転送のみを許可します。

    注:OS 共有の値を持つポリシーマネージド アプリは、MDM に登録されているデバイスにのみ適用されます。この設定が登録解除されたデバイス上のユーザーを対象としている場合は、[ポリシーで管理されたアプリ] の値の動作が適用されます。ユーザーは、送信アプリに IntuneMAMUPN と IntuneMAMOID が構成されていると仮定して、暗号化されていないコンテンツを Open-in または Share 拡張機能を使用して、iOS MDM allowOpenFromManagedtoUnmanaged 設定で許可されている任意のアプリケーションに転送できます。詳細については、「Microsoft Intuneで iOS アプリ間のデータ転送を管理する方法」を参照してください。この iOS/iPadOS MDM 設定の詳細については、「」を参照してくださいhttps://developer.apple.com/business/documentation/Configuration-Profile-Reference.pdf

  • Policy managed apps with Open-In/Share filtering (ポリシーで管理されているアプリとオープンイン/共有フィルター): 他のポリシーで管理されているアプリへの転送のみを許可し、[OS Open-in/Share]\(OS オープンイン/共有\) ダイアログをポリシーで管理されているアプリだけが表示されるようにフィルター処理します。 [Open-In/Share]\(オープンイン/共有\) ダイアログのフィルタリングを構成するには、ファイル/ドキュメント ソースとして機能するアプリと、このファイル/ドキュメントを開き、Intune SDK for iOS バージョン 8.1.1 以降をインストールできるアプリの両方が必要です。

    注:Intune プライベート データ型がアプリでサポートされている場合、ユーザーは Open-in または Share 拡張機能を介してアンマネージド アプリにコンテンツを転送できる場合があります。転送されたデータは Intune によって暗号化され、アンマネージド アプリでは読み取ることができません。


スポットライト検索 (アプリ内のデータの検索を有効にする) と Siri ショートカットは、[ すべてのアプリ] に設定されていない限りブロックされます。

このポリシーは、iOS/iPadOS ユニバーサル リンクにも適用できます。 一般的な Web リンクは、[Intune Managed Browser でアプリ リンクを開く] ポリシー設定によって管理されます。

Intune でデータ転送先として既定で許可される可能性のある除外対象アプリとサービスがいくつかあります。 さらに、Intune アプリをサポートしていないアプリへのデータ転送を許可する必要がある場合、独自の例外を作成できます。 詳細については、「データ転送の除外対象」を参照してください。

 すべてのアプリ
    除外するアプリを選択します
 このオプションは、上記のオプションで [ポリシーで管理されているアプリ] を選択した場合に使用できます。
    除外するユニバーサル リンクを選択する
 iOS/iPadOS ユニバーサル リンクを、「その他のアプリでの Web コンテンツの転送を制限する」設定で指定された保護されているブラウザーではなく、特定のアンマネージド アプリケーションで開くように指定します。 各アプリケーションの正しいユニバーサル リンク形式を決定するには、アプリケーション開発者に問い合わせる必要があります。
    管理対象ユニバーサル リンクを選択する
 iOS/iPadOS ユニバーサル リンクを、「その他のアプリでの Web コンテンツの転送を制限する」設定で指定された保護されているブラウザーではなく、特定のマネージ アプリケーションで開くように指定します。 各アプリケーションの正しいユニバーサル リンク形式を決定するには、アプリケーション開発者に問い合わせる必要があります。
    組織データのコピーを保存
 このアプリで [名前を付けて保存] オプションの使用を無効にするには、[ブロック] を選択します。 "名前を付けて保存" の使用を許可する場合は、[許可] を選択します。 "ブロック" に設定した場合、"選択したサービスにユーザーがコピーを保存することを許可" の設定を構成できます。

注:
  • この設定は、Microsoft Excel、OneNote、Outlook、PowerPoint、Word、Microsoft Edge でサポートされています。 また、サード パーティ製アプリと LOB アプリでもサポートできます。
  • "この設定が構成できるのは、[他のアプリに組織データを送信] の設定が [ポリシー マネージド アプリ][OS 共有利用のポリシー マネージド アプリ][Open In/Share フィルター利用のポリシー マネージド アプリ] のいずれかに設定されている場合のみです。"
  • [ 他のアプリに組織データを送信 する] 設定が [ すべてのアプリ] に設定されている場合、この設定は "許可" になります。
  • [ 他のアプリに組織データを送信 する] が [なし] に設定されている場合、この設定は許可されたサービスの場所がない "ブロック" になります。
許可
      選択したサービスにユーザーがコピーを保存することを許可
 ユーザーは、選択したサービス (OneDrive for Business、SharePoint、フォト ライブラリ、ローカル ストレージ) に保存できます。 他のすべてのサービスはブロックされます。 OneDrive for Business: OneDrive for Business と SharePoint Online にファイルを保存できます。 SharePoint: オンプレミスの SharePoint にファイルを保存できます。 フォト ライブラリ: ファイルをフォト ライブラリにローカルに保存できます。 ローカル ストレージ: 管理対象アプリは、組織データのコピーをローカルに保存できます。 これには、デバイスのファイル アプリなどのローカルの管理されていない場所へのファイルの保存は含まれません。 選択済み 0
    電話通信データの転送先
 通常、ハイパーリンクの付いた電話番号をアプリ内でユーザーが選択すると、電話番号が事前入力された状態で電話アプリが開き、電話をかける準備が整います。 この設定では、ポリシー マネージド アプリから開始されたとき、この種のコンテンツ転送をどのように扱うかを選択します。
  • なし。アプリ間でこのデータを転送しないでください:電話番号が検出されたときに通信データを転送しないでください。
  • 特定のダイヤラー アプリ: 電話番号が検出されたときに、特定のマネージド ダイヤラー アプリによる連絡先の開始を許可します。
  • 任意のダイヤラー アプリ: 電話番号が検出されたときに、管理対象ダイヤラー アプリを使用して連絡先を開始できるようにします。

: この設定には、Intune SDK 12.7.0 以降が必要です。アプリがダイヤラー機能に依存していて、正しい Intune SDK バージョンを使用していない場合は、回避策として"tel;データ転送の除外として telprompt" を指定します。アプリで正しい Intune SDK バージョンがサポートされたら、除外を削除できます。

 任意の電話アプリ
      電話アプリ URL スキーム
 特定の電話アプリが選択されているときは、iOS デバイスで電話アプリを起動する目的で使用される電話アプリ URL スキームを指定する必要があります。 詳細については、電話リンクに関する Apple のドキュメントをご覧ください。 Blank
    メッセージング データを に転送する
 通常、ユーザーがアプリでハイパーリンク付きメッセージング リンクを選択すると、メッセージング アプリが、事前に入力された電話番号で開き、送信する準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。 この設定を有効にするには、追加の手順が必要な場合があります。 まず、[除外するアプリの選択] リストから sms が削除されていることを確認します。 次に、アプリケーションで新しいバージョンの Intune SDK (バージョン > 19.0.0) を使用していることを確認します。 この設定では、ポリシー マネージド アプリから開始されたとき、この種のコンテンツ転送をどのように扱うかを選択します。
  • なし。アプリ間でこのデータを転送しないでください:電話番号が検出されたときに通信データを転送しないでください。
  • 特定のメッセージング アプリ: 電話番号が検出されたときに、特定のマネージド メッセージング アプリによる連絡先の開始を許可します。
  • 任意のメッセージング アプリ: 電話番号が検出されたときに、マネージド メッセージング アプリを使用して連絡先を開始できるようにします。

: この設定には、Intune SDK 19.0.0 以降が必要です。

 任意のメッセージング アプリ
      メッセージング アプリの URL スキーム
 特定のメッセージング アプリが選択されている場合は、iOS デバイスでメッセージング アプリを起動するために使用されるメッセージング アプリの URL スキームを指定する必要があります。 詳細については、電話リンクに関する Apple のドキュメントをご覧ください。 Blank
他のアプリからデータを受信 このアプリにデータを転送できるアプリを以下のように指定します。
  • すべてのアプリ: すべてのアプリからのデータ転送を許可します。
  • なし: 他のポリシーで管理されたアプリを含め、どのアプリからのデータ転送も許可しません。
  • ポリシーで管理されているアプリ: 他のポリシーで管理されているアプリからの転送のみを許可します。
  • 受信した組織のデータを持つすべてのアプリ: すべてのアプリからのデータ転送を許可します。 ユーザー ID が設定されていないすべての受信データを、自分の組織からのデータとして扱います。 データは、IntuneMAMUPN の設定で定義されている MDM 登録ユーザーの ID でマークされます。

    注:受信 Org データ値を持つすべてのアプリは、MDM 登録済みデバイスにのみ適用されます。この設定が登録解除されたデバイス上のユーザーを対象としている場合、[Any apps]\(アプリ\) の値の動作が適用されます。

複数 ID MAM 対応のアプリケーションの場合、この設定が [なし] または [ポリシーで管理されているアプリ] に構成されているときに、アンマネージド データを受け取るとアンマネージド アカウントへの切り替えが試行されます。 アプリにサインインしているアンマネージド アカウントがない場合、またはアプリが切り替えられない場合、受信データはブロックされます。

 すべてのアプリ
    データを開いて組織ドキュメントに読み込む
 このアプリで、アカウント間でデータを共有するための "開く" オプションやその他のオプションの使用を無効にするには、[ブロック] を選択します。 "開く" の使用を許可する場合は、[許可] を選択します。

[ブロック] に設定すると、[選択したサービスからデータを開くことをユーザーに許可する] を構成して、組織データの場所で使用できるサービスを指定することができます。

注:
  • この設定を構成できるのは、[他のアプリからデータを受信][ポリシー マネージド アプリ] に設定されている場合のみです。
  • この設定は、[ 他のアプリからデータを受信 する] 設定が [ すべてのアプリ ] または [ 受信組織データを持つすべてのアプリ] に設定されている場合、"許可" になります。
  • この設定は、[他のアプリからデータを受信] 設定が [なし] に設定されている場合は、"ブロック" になり、許可されるサービスの場所はありません。
  • この設定は、次のアプリでサポートされています:
    • OneDrive 11.45.3 以降。
    • Outlook for iOS 4.60.0 以降。
    • Teams iOS 3.17.0 以降の場合。
 許可
      選択したサービスからデータを開くことをユーザーに許可する
 ユーザーがデータを開くことができるアプリケーション ストレージ サービスを選択します。 他のすべてのサービスはブロックされます。 サービスを選択しないと、ユーザーは外部の場所からデータを開けません。
メモ: このコントロールは、企業コンテナーの外部にあるデータに対して機能するように設計されています。

サポートされているサービス:
  • OneDrive for Business
  • SharePoint Online
  • カメラ
  • フォト ライブラリ
メモ: カメラに写真やフォト ギャラリーへのアクセスは含まれません。 Intune 内の [ユーザーが選択したサービスからデータを開くことができるようにする] 設定で [フォト ライブラリ] を選択すると、管理アカウントがデバイスのフォト ライブラリから管理対象アプリに [受信] データを許可できるようになります。		 すべて選択済み
他のアプリとの間で切り取り、コピー、貼り付けを制限する このアプリで切り取り、コピー、および貼り付け操作をいつ使用できるようにするかを指定します。 次の中から選択します。
  • ブロック: このアプリと他のアプリとの間で、切り取り、コピー、貼り付け操作を許可しません。
  • ポリシーで管理されているアプリ: このアプリと他のポリシーで管理されているアプリ間で、切り取り、コピー、および貼り付け操作を許可します。
  • 貼り付けを使用する、ポリシーで管理されているアプリ: このアプリと他のポリシーで管理されているアプリ間で切り取りまたはコピーを許可します。 任意のアプリからこのアプリへのデータの貼り付けを許可します。
  • すべてのアプリ: このアプリに対する切り取り、コピー、貼り付けに制限はありません。
 任意のアプリ
    あらゆるアプリの切り取りとコピーの文字制限
 組織のデータとアカウントから切り取りまたはコピーできる文字数を指定します。 これで、[他のアプリとの間で切り取り、コピー、貼り付けを制限する] 設定に関係なく、指定した文字数を任意のアプリケーションと共有できます。

既定値 = 0

: アプリには Intune SDK バージョン 9.0.14 以降が必要です。

 0
サード パーティのキーボード [ブロック] を選択すると、マネージド アプリケーションではサードパーティ製のキーボードが使えなくなります。

この設定が有効になっていると、1 回限りのメッセージがユーザーの元に届き、サードパーティ製キーボードの使用が禁止されていることが伝えられます。 このメッセージは、キーボードの使用を要求する組織データをユーザーが初めて操作したときに表示されます。 マネージド アプリケーションの使用時に使用できるのは、標準の iOS/iPadOS キーボードのみで、その他のキーボード オプションはすべて無効になります。 この設定は、マルチ ID アプリケーションの組織アカウントと個人アカウントの両方に影響します。 この設定は、アンマネージド アプリケーションでのサード パーティ製キーボードの使用には影響しません。

注: この機能を使用するには、アプリで Intune SDK バージョン 12.0.16 以降を使用する必要があります。 SDK バージョンが 8.0.14 から 12.0.15 までのアプリでは、この機能はマルチ ID アプリに正しく適用されません。 詳細については、「 既知の問題: 個人用アカウントの iOS/iPadOS でサード パーティ製キーボードがブロックされない」を参照してください。

 許可

注:

管理対象デバイスの IntuneMAMUPN では、アプリ保護ポリシーが必要です。 これは、登録済みデバイスを必要とする設定にも適用されます。

暗号化

Setting 使用方法 既定値
組織データを暗号化 [必要] を選択すると、このアプリ内の職場や学校のデータに対する暗号化が有効になります。 Intune では、デバイスがロックされている間にアプリ データを保護するために、iOS/iPadOS デバイス レベルの暗号化が適用されます。 さらに、アプリケーションでは、必要に応じて、Intune APP SDK の暗号化を使ってアプリ データを暗号化できます。 Intune APP SDK では iOS/iPadOS の暗号化方法が使用され、アプリ データに 256 ビット AES 暗号化が適用されます。

この設定を有効にする場合、状況によっては、ユーザーが自分のデバイスにアクセスするためにデバイス PIN をセットアップして使用する必要があります。 デバイスの PIN がなく、暗号化が必要な場合、"組織により、このアプリケーションにアクセスするには、最初にデバイス PIN を有効にする必要があります" というメッセージと共に、ユーザーは PIN を設定するよう求められます。

Apple Platform Security の一部として、 Apple の公式ドキュメント にアクセスして、データ保護クラスの詳細を確認してください。		 必須

機能

Setting 使用方法 既定値
ポリシー管理されたアプリのデータをネイティブ アプリやアドインと同期させることが可能 [ブロック] を選択すると、ポリシーマネージド アプリがデバイスのネイティブ アプリ (連絡先、予定表、ウィジェット) にデータを保存できないようにし、ポリシー管理アプリ内でのアドインの使用を防ぐことができます。 アプリケーションでサポートされていない場合は、ネイティブ アプリへのデータの保存とアドインの使用が許可されます。

[許可] を選択した場合、ポリシー管理アプリでこれらの機能がサポートされ、有効になっている場合、ポリシー管理アプリはネイティブ アプリにデータを保存したり、アドインを使用したりできます。

アプリケーションは、特定のネイティブ アプリにデータ同期動作をカスタマイズするための追加のコントロールを提供したり、このコントロールを受け入れたりしない場合があります。

: 選択的ワイプを実行してアプリから職場または学校のデータを削除すると、ポリシー管理アプリからネイティブ アプリに直接同期されたデータが削除されます。 ネイティブ アプリから別の外部ソースに同期されたデータはワイプされません。

: 次のアプリは、この機能をサポートしています。 		許可
組織データを出力する [ブロック] を選択すると、アプリで職場または学校のデータを印刷できなくなります。 この設定を [許可] (規定値) のままにした場合、ユーザーはすべての組織データをエクスポートおよび印刷できるようになります。 許可
その他のアプリでの Web コンテンツの転送を制限する ポリシーで管理されているアプリケーションから Web コンテンツ (http/https リンク) をどのように開くか指定します。 次から選択します。
  • 任意のアプリ: 任意のアプリで Web リンクを許可します。
  • Intune Managed Browser: Intune Managed Browser でのみ Web コンテンツを開くことを許可します。 このブラウザーは、ポリシーで管理されたブラウザーです。
  • Microsoft Edge: Microsoft Edge でのみ Web コンテンツを開くことを許可します。 このブラウザーは、ポリシーで管理されたブラウザーです。
  • アンマネージド ブラウザー: [アンマネージド ブラウザー プロトコル] 設定で定義されたアンマネージド ブラウザーのみで Web コンテンツを開くことを許可します。 Web コンテンツは、対象のブラウザーで管理されなくなります。
    : アプリには Intune SDK バージョン 11.0.9 以降が必要です。
デバイスの管理に Intune を使用している場合は、「Managed Browser のポリシーを使用したインターネット アクセスを Microsoft Intune で管理する」を参照してください。

ポリシーで管理されたブラウザーが必要であってもインストールされていない場合は、エンド ユーザーに Microsoft Edge のインストールを求めるメッセージが表示されます。

ポリシーで管理されたブラウザーが必要な場合、iOS/iPadOS ユニバーサル リンクは、[ 組織データを他のアプリに送信する ] ポリシー設定によって管理されます。

Intune デバイスの登録
デバイスの管理に Intune を使用している場合は、「Microsoft Intune のポリシーで保護されたブラウザーを使用してインターネット アクセスを管理する」をご参照ください。

ポリシーで管理されている Microsoft Edge
モバイル デバイス (iOS/iPadOS および Android) 向けの Microsoft Edge ブラウザーで、Intune アプリ保護ポリシーがサポートされます。 Microsoft Edge ブラウザー アプリケーションで会社のMicrosoft Entra アカウントでサインインするユーザーは、Intune によって保護されます。 Microsoft Edge ブラウザーは Intune SDK を統合し、そのデータ保護ポリシーをすべてサポートしています。ただし、例外として次が禁止されます。

  • 名前を付けて保存: Microsoft Edge ブラウザーでは、ユーザーがクラウド ストレージ プロバイダー (OneDrive など) に直接アプリ内接続を追加することはできません。
  • 連絡先の同期: Microsoft Edge ブラウザーはネイティブ連絡先リストに保存されません。

: Intune SDK では、ターゲット アプリがブラウザーであるかどうかは判別できません。iOS/iPadOS デバイスでは、他の管理対象ブラウザー アプリは許可されません。		 未構成
    アンマネージド ブラウザー プロトコル
 "1 つ" のアンマネージド ブラウザーに対応するプロトコルを入力します。 ポリシーで管理されているアプリケーションからの Web コンテンツ (http/https リンク) は、このプロトコルをサポートする任意のアプリで開かれます。 Web コンテンツは、対象のブラウザーで管理されなくなります。

この機能は、Intune アプリ保護ポリシーを使用して有効になっていない特定のブラウザーと保護されたコンテンツを共有する場合にのみ使用してください。 目的のブラウザーでサポートされているプロトコルを確認するには、ブラウザーの製造元にお問い合わせください。

: プロトコル プレフィックスのみを含めます。ブラウザーでフォーム mybrowser://www.microsoft.com のリンクが必要な場合は、mybrowser を入力します。
リンクは次のように変換されます。
  • http://www.microsoft.com > mybrowser://www.microsoft.com
  • https://www.microsoft.com > mybrowsers://www.microsoft.com
 Blank
組織のデータ通知 組織のアカウントに関して、OS 通知経由でどのくらいの組織データを共有するか指定します。 このポリシー設定は、ローカル デバイスと、ウェアラブルやスマート スピーカーなど、接続されているあらゆるデバイスに影響を与えます。 アプリにより、通知動作をカスタマイズする目的で制御が追加されたり、すべての値が無視されたりすることがあります。 次の中から選択します。
  • ブロック: 通知を共有しません。
    • アプリケーションでサポートされていない場合、通知は許可されます。
  • [組織データのブロック]: たとえば、通知で組織データを共有しないでください。
    • 組織データを共有しません。
    • アプリケーションでサポートされていない場合、通知は許可されます。
  • 許可: 通知で組織データを共有します。

:
この設定には、次のアプリサポートが必要です。

  • Outlook for iOS 4.34.0 以降
  • iOS 2.0.22 以降の Teams
  • iOS 2.72 以降の Microsoft 365 (Office)
 許可

注:

データ保護の設定では、iOS/iPadOS デバイスの Apple の Managed Open In 機能は制御されません。 Apple の Managed Open In 機能を使用するには、Microsoft Intune で iOS/iPadOS アプリ間のデータ転送を管理する方法に関するページをご覧ください。

データ転送の除外対象

特定のシナリオにおいて Intune アプリ保護ポリシーによってデータ転送が許可される可能性のある除外対象のアプリとプラットフォーム サービスがいくつかあります。 このリストは、セキュリティで保護された生産性向上に役立つと考えられるサービスとアプリを表しており、変更される可能性があります。

サードパーティのアンマネージド アプリを除外リストに追加して、データ転送の例外を許可することができます。 詳細と例については、「Intune App Protection Policy (APP) データ転送ポリシーの例外を作成する方法」を参照してください。 除外されたアンマネージド アプリは、iOS URL プロトコルに基づいて呼び出す必要があります。 たとえば、データ転送の除外対象にアンマネージド アプリを追加しても、ポリシーによって制限されている場合、ユーザーは切り取り、コピー、貼り付けの操作を行うことはできません。 また、この種類の除外では、iOS URL プロトコルに基づいていないため、ユーザーがマネージド アプリ内 で Open-in アクションを使用して、除外するアプリにデータを共有または保存することもできなくなります。 Open-in の詳細については、「iOS アプリでアプリ保護を使用する」を参照してください。

アプリ/サービス名 説明
skype Skype
app-settings デバイスの設定
itms; itmss; itms-apps; itms-appss; itms-services アプリ ストア
calshow ネイティブのカレンダー

重要

2020 年 6 月 15 日より前に作成されたアプリ保護ポリシーには、既定のデータ転送の除外対象の一部として teltelprompt URL スキームが含まれています。 これらの URL スキームを使用すると、管理対象アプリで電話を開始できるようになります。 この機能は、アプリ保護ポリシー設定の電話通信データの転送先によって置き換えられました。 電話機能を開始する管理対象アプリに Intune SDK 12.7.0 以降が含まれている場合、管理者はデータ転送の除外対象から tel;telprompt; を削除して、アプリ保護ポリシー設定に依存する必要があります。

重要

また、Intune SDK 14.5.0 以降の場合、データ転送の除外対象に sms および mailto URL スキームを含めることで、ポリシーで管理されているアプリケーション内で MFMessageCompose (sms 用) と MFMailCompose ( mailto 用) のビュー コントローラーに組織データを共有できます。

ユニバーサル リンクでは、「その他のアプリでの Web コンテンツの転送を制限する」設定で指定された保護されているブラウザーではなく、リンクに関連付けられたアプリケーションを直接起動することができます。 各アプリケーションの正しいユニバーサル リンク形式を決定するには、アプリケーション開発者に問い合わせる必要があります。

既定のアプリ クリップ リンクは、ユニバーサル リンク ポリシーでも管理されます。

アンマネージド アプリにユニバーサル リンクを追加することで、指定したアプリを起動することができます。 アプリを追加するには、除外リストにリンクを追加する必要があります。

注意

これらのユニバーサル リンクの対象となるアプリケーションは管理されていないため、適用除外を追加するとデータのセキュリティ漏えいが発生する可能性があります。

既定のアプリ ユニバーサル リンクの適用除外は以下のとおりです。

アプリ ユニバーサル リンク 説明
http://maps.apple.com; https://maps.apple.com マップ アプリ
http://facetime.apple.com; https://facetime.apple.com FaceTime アプリ

既定のユニバーサル リンクの適用除外を許可しない場合は、それらを削除できます。 サード パーティ アプリまたは LOB アプリのユニバーサル リンクを追加することもできます。 除外されたユニバーサル リンクを使用すると、http://*.sharepoint-df.com/* などのワイルドカードを使用できます。

管理対象アプリにユニバーサル リンクを追加することで、指定したアプリ セキュリティを起動することができます。 アプリを追加するには、アプリのユニバーサル リンクをマネージド リストに追加する必要があります。 ターゲット アプリケーションが Intune App Protection ポリシーをサポートしている場合、リンクを選択するとアプリの起動が試みられます。 アプリを開くことができない場合は、保護されたブラウザーでリンクが開きます。 ターゲット アプリケーションが Intune SDK を統合していない場合は、リンクを選択すると、保護されたブラウザーが起動します。

既定の管理対象ユニバーサル リンクは次のとおりです。

管理対象アプリ ユニバーサル リンク 説明
http://*.onedrive.com/*; https://*.onedrive.com/*; OneDrive
http://*.appsplatform.us/*; http://*.powerapps.cn/*; http://*.powerapps.com/*; http://*.powerapps.us/*; https://*.powerbi.com/*; https://app.powerbi.cn/*; https://app.powerbigov.us/*; https://app.powerbi.de/*; PowerApps
http://*.powerbi.com/*; http://app.powerbi.cn/*; http://app.powerbigov.us/*; http://app.powerbi.de/*; https://*.appsplatform.us/*; https://*.powerapps.cn/*; https://*.powerapps.com/*; https://*.powerapps.us/*; Power BI
http://*.service-now.com/*; https://*.service-now.com/*; ServiceNow
http://*.sharepoint.com/*; http://*.sharepoint-df.com/*; https://*.sharepoint.com/*; https://*.sharepoint-df.com/*; SharePoint
http://web.microsoftstream.com/video/*; http://msit.microsoftstream.com/video/*; https://web.microsoftstream.com/video/*; https://msit.microsoftstream.com/video/*; Stream
http://*teams.microsoft.com/l/*; http://*devspaces.skype.com/l/*; http://*teams.live.com/l/*; http://*collab.apps.mil/l/*; http://*teams.microsoft.us/l/*; http://*teams-fl.microsoft.com/l/*; https://*teams.microsoft.com/l/*; https://*devspaces.skype.com/l/*; https://*teams.live.com/l/*; https://*collab.apps.mil/l/*; https://*teams.microsoft.us/l/*; https://*teams-fl.microsoft.com/l/*; Teams
http://tasks.office.com/*; https://tasks.office.com/*; http://to-do.microsoft.com/sharing*; https://to-do.microsoft.com/sharing*; ToDo
http://*.yammer.com/*; https://*.yammer.com/*; Viva Engage
http://*.zoom.us/*; https://*.zoom.us/*; 拡大/縮小

既定の管理対象ユニバーサル リンクを許可しない場合は、それらを削除できます。 サード パーティ アプリまたは LOB アプリのユニバーサル リンクを追加することもできます。

アクセス要件

Setting 使用方法 既定値
アクセスに PIN を使用 [必要] を選択すると、このアプリを使用する際に PIN が要求されます。 ユーザーは、職場または学校のコンテキストでアプリを初めて実行するときに、この PIN のセットアップを求められます。 PIN は、オンラインまたはオフラインで作業しているときに適用されます。

[アクセスに PIN を使用] セクションの下の使用可能な設定を使用して、PIN 強度を構成できます。

メモ: アプリへのアクセスを許可されているエンド ユーザーは、アプリの PIN をリセットできます。 iOS デバイスでは、この設定が表示されない場合があります。 iOS デバイスには、4 つの使用可能なショートカットの最大制限があります。 リセットされた APP PIN ショートカットを表示するには、エンド ユーザーが別のマネージド アプリからショートカットにアクセスする必要がある場合があります。		 必須
    PIN の種類
 アプリ保護ポリシーが適用されているアプリにアクセスする前に、数値またはパスコードのどちらの種類の PIN を入力する必要があるかを設定します。 数値の場合は数字だけですが、パスコードの場合は少なくとも 1 つのアルファベットまたは少なくとも 1 つの特殊文字で定義できます。

注:パスコードの種類を構成するには、アプリに Intune SDK バージョン 7.1.12 以上が必要です。数値型には、Intune SDK のバージョン制限はありません。使用できる特殊文字には、iOS/iPadOS 英語キーボードの特殊文字と記号が含まれます。		 数値
    単純な PIN
 [許可] を選択すると、ユーザーは 1234、1111、abcd、aaaa などの単純な PIN シーケンスを使えるようになります。 [ブロック] を選択すると、単純なシーケンスは使用できなくなります。 単純なシーケンスは、3 文字のスライディング ウィンドウで確認されます。 Block が構成されている場合、エンド ユーザーが設定した PIN として 1235 または 1112 は受け入れられませんが、1122 は許可されます。

: パスコードの種類として PIN が構成され、[単純な PIN を許可する] が [はい] に設定されている場合、少なくとも 1 つの文字または少なくとも 1 つの特殊文字を PIN に使用する必要があります。パスコードの種類として PIN が設定されており、[単純な PIN を許可する] が [いいえ] に設定されている場合、ユーザーは少なくとも 1 つの数字 1 つの文字の 1 つ以上の特殊文字を PIN に入れる必要があります。		 許可
    PIN の最小長を選択
 PIN シーケンスの最小桁数を指定します。 4
    アクセスに PIN ではなく Touch ID を使用 (iOS 8 以降)
 [許可] を選択すると、アプリへのアクセスに、PIN の代わりに Touch ID を使用できるようになります。 許可
      タイムアウト後は PIN で Touch ID をオーバーライドする
 この設定を使用するには、[必要] を選択し、非アクティブ タイムアウトを構成します。 必須
        タイムアウト (非アクティブ分数)
 時間を分単位で指定します。この時間を過ぎると、指紋または顔認証の代わりにパスコード、数値のいずれか (構成のとおり) の PIN がアクセス方法として使用されます。 このタイムアウト値は、[(非アクティブ分数) 後にアクセス要件を再確認する] に指定した値よりも大きい必要があります。 30
      アクセスに PIN ではなく Face ID を使用 (iOS 11 以降)
 iOS/iPadOS デバイスでユーザー認証に顔認証テクノロジを使用するには、[許可] を選択します。 許可すると、Face ID 対応デバイスでは Face ID を使用してアプリにアクセスする必要があります。 許可
    PIN をリセットするまでの日数
 [はい] を選択すると、ユーザーは設定された期間の経過後にアプリの PIN を変更する必要があります。

[はい] に設定した場合は、PIN のリセットが要求されるまでの日数を構成します。		 いいえ
      日数
 PIN のリセットが要求されるまでの日数を構成します。 90
    デバイスの PIN が設定されている場合のアプリ PIN
 ポータル サイトが構成されている登録済みデバイスでデバイス ロックが検出された場合にアプリの PIN を無効にするには、[無効にする] を選択します。

注:アプリに Intune SDK バージョン 7.0.1 以降が必要です。IntuneMAMUPN 設定は、アプリケーションが登録状態を検出するように構成する必要があります。

iOS/iPadOS デバイスでは、ユーザーが PIN の代わりに Touch ID または Face ID を使って自分の身元を証明できるようにすることができます。 Intune は、LocalAuthentication API を使って、Touch ID と Face ID によりユーザーを認証します。 Touch ID と Face ID については、「iOS Security Guide」(iOS セキュリティ ガイド) をご覧ください。

ユーザーが職場または学校のアカウントでこのアプリを使用しようとすると、PIN を入力する代わりに指紋識別と顔識別を求められます。 この設定を有効にすると、会社または学校のアカウントの使用中には、使用中のアプリ一覧のプレビュー画像はぼやけます。 デバイスの生体認証データベースに変更がある場合、次の非アクティブ タイムアウト値が満たされたときに、Intune によってユーザーに PIN の入力を求められます。 生体認証データの変更には、認証のための指紋または顔の追加または削除が含まれます。 Intune ユーザーに PIN が設定されていない場合は、Intune PIN を設定します。		 Enable
アクセスに職場または学校アカウントの資格情報を使用 [必要] を選択すると、ユーザーは、アプリへのアクセスに、PIN を入力する代わりに職場または学校のアカウントでのサインインが求められます。 これを [必要] に設定し、PIN または生体認証プロンプトが有効になっている場合は、会社の資格情報と、PIN または生体認証プロンプトの両方が表示されます。 必須ではありません
(非アクティブ分数) 後にアクセス要件を再確認する アプリのユーザーがもう一度アクセス要件を指定するように要求されるまでに経過する必要がある、非アクティブな時間を表す分数を構成します。

たとえば、管理者がポリシーで PIN をオンにし、ルート化されたデバイスをブロックします。ユーザーは Intune で管理されるアプリを開き、PIN を入力する必要があり、ルートのないデバイスでアプリを使用している必要があります。 この設定を使用する場合、ユーザーは PIN を入力したり、Intune で管理されているアプリで別のルート検出チェックを受けたりする必要はありません。これは、構成された値と等しい期間です。

注:iOS/iPadOS では、PIN は 同じ発行元のすべての Intune で管理されるアプリ間で共有されます。特定の PIN の PIN タイマーは、アプリがデバイス上のフォアグラウンドから離れるとリセットされます。ユーザーは、この設定で定義されているタイムアウトの間、PIN を共有する Intune で管理されるアプリに PIN を入力する必要はありません。このポリシー設定形式では、正の整数がサポートされます。		 30

注:

[アクセス] セクションで同じアプリとユーザーの組み合わせに対して構成された複数の Intune アプリ保護設定が iOS/iPadOS 上で動作する方法の詳細については、Intune MAM についてよく寄せられる質問に関するページおよび Intune でアプリ保護ポリシーのアクセス アクションを利用してデータを選択的にワイプする方法に関するページをご覧ください。

条件付き起動

条件付き起動設定を構成し、アクセス保護ポリシーのサインイン セキュリティ要件を設定します。

既定では、値とアクションが事前構成された設定がいくつか提供されます。 [OS の最小バージョン] など、一部の設定を削除できます。 [1 つ選んでください] ドロップダウンから追加の設定を選択することもできます。

Setting 使用方法
OS の最大バージョン このアプリを使用するための最大の iOS/iPadOS オペレーティング システムを指定します。

"アクション" に含まれている項目:

  • [警告] - デバイスの iOS/iPadOS バージョンが要件を満たさない場合、通知が表示されます。 この通知は閉じることができます。
  • [アクセスのブロック] - デバイスの iOS/iPadOS バージョンがこの要件を満たさない場合、アクセスがブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。

このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。

このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。

注:アプリに Intune SDK バージョン 14.4.0 以上が必要です。
OS の最小バージョン このアプリを使用するための最小の iOS/iPadOS オペレーティング システムを指定します。

"アクション" に含まれている項目:

  • [警告] - デバイスの iOS/iPadOS バージョンが要件を満たさない場合、通知が表示されます。 この通知は閉じることができます。
  • [アクセスのブロック] - デバイスの iOS/iPadOS バージョンがこの要件を満たさない場合、アクセスがブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。

このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。

注:アプリに Intune SDK バージョン 7.0.1 以降が必要です。
PIN の最大試行回数 PIN の入力試行回数を指定します。成功せずにこの回数を超えると、構成されているアクションが実行されます。 ユーザーが PIN の最大試行回数になっても PIN を正常に入力できない場合、ユーザーは、アカウントに正常にログインし、必要に応じて多要素認証 (MFA) のチャレンジを完了した後で、PIN をリセットする必要があります。 このポリシー設定の形式は、正の整数をサポートします。

"アクション" に含まれている項目:

  • [PIN のリセット] - ユーザーは自分の PIN をリセットする必要があります。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
既定値 = 5
[オフラインの猶予期間] ポリシーで管理されているアプリをオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。

"アクション" に含まれている項目:

  • [アクセスのブロック (分)] - ポリシーで管理されているアプリをオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。 構成された期間が過ぎると、ネットワーク アクセスが利用可能になるまで、職場や学校のデータへのアクセスがアプリによってブロックされます。 データ アクセスをブロックするためのオフライン猶予期間タイマーは、Intune サービスでの最後のチェックに基づいて、アプリごとに個別に計算されます。 このポリシー設定の形式は、正の整数をサポートします。

    既定値 = 1440 分 (24 時間)

    メモ: アクセスをブロックするためのオフライン猶予期間タイマーを既定値より小さく構成すると、ポリシーが更新されると、ユーザーの中断が頻繁に発生する可能性があります。 30 分未満の値を選択することは、アプリケーションの起動時または再開ごとにユーザーが中断する可能性があるため、推奨されません。

    メモ: オフライン猶予期間ポリシーの更新 (アプリケーションの終了または中断を含む) を停止すると、次回のアプリの起動または再開時にユーザーが中断されます。

  • [データをワイプ (日)] - オフラインでの実行期間がこの日数 (管理者が定義) を超えると、アプリはユーザーに対してネットワークへの接続と再認証を要求します。 ユーザーが正常に認証された場合、引き続きデータにアクセスでき、オフライン間隔がリセットされます。 ユーザーの認証が失敗した場合、アプリはユーザーのアカウントとデータの選択的ワイプを実行します。 選択的ワイプで削除されるデータの詳細については、「Intune で管理されているアプリから会社のデータをワイプする方法」を参照してください。 データのワイプに対するオフラインの猶予期間タイマーは、Intune サービスでの最後のチェックインに基づき、アプリごとに個別に計算されます。 このポリシー設定の形式は、正の整数をサポートします。

    既定値 = 90 日
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。
脱獄またはルート化されたデバイス この設定に設定する値はありません。

"アクション" に含まれている項目:

  • [アクセスのブロック] - このアプリが脱獄またはルート化されたデバイスで実行されないようにします。 ユーザーは引き続き個人のタスクにこのアプリを使用できますが、このアプリの職場または学校のデータにアクセスする場合は別のデバイスを使用する必要があります。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
無効なアカウント この設定に設定する値はありません。

"アクション" に含まれている項目:

  • アクセスをブロックする - ユーザーがMicrosoft Entra IDで無効になっていることを確認すると、アプリは職場または学校のデータへのアクセスをブロックします。
  • データのワイプ - ユーザーがMicrosoft Entra IDで無効になっていることを確認すると、アプリはユーザーのアカウントとデータの選択的ワイプを実行します。
アプリの最小バージョン アプリケーションの最小バージョンの値を指定します。

"アクション" に含まれている項目:

  • [警告] - デバイス上のアプリ バージョンが要件を満たさない場合、通知が表示されます。 この通知は閉じることができます。
  • [アクセスのブロック] - デバイスのアプリ バージョンが要件を満たさない場合、アクセスがブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
多くの場合、アプリには個別のバージョン管理スキームがあるため、1 つのアプリを対象とした、1 つのアプリの最小バージョンでポリシー (Outlook バージョン ポリシーなど) を作成します。

このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。

このポリシー設定では、iOS アプリ バンドルのバージョン形式 (major.minor または major.minor.patch) の一致がサポートされています。

注:アプリに Intune SDK バージョン 7.0.1 以降が必要です。

さらに、エンド ユーザーが基幹業務 (LOB) アプリの更新バージョンを取得できる場所を構成できます。 これがエンド ユーザーに対して表示されるのは [アプリの最小バージョン] 条件付き起動ダイアログであり、エンド ユーザーは最小バージョンの LOB アプリに更新することを求められます。 iOS/iPadOS では、この機能では、アプリを Intune SDK for iOS v. 10.0.7 以降と統合 (またはラッピング ツールを使用してラップ) する必要があります。 エンド ユーザーが LOB アプリを更新する必要がある場所を構成するには、キー com.microsoft.intune.myappstore を含むマネージド アプリ構成ポリシーをアプリに送信する必要があります。 送信される値により、エンド ユーザーがアプリをダウンロードするストアが定義されます。 アプリがポータル サイト経由で展開される場合、値は CompanyPortal である必要があります。 他のストアの場合は、完全な URL を入力する必要があります。
SDK の最小バージョン Intune SDK のバージョンの最小値を指定します。

"アクション" に含まれている項目:

  • [アクセスのブロック] - アプリの Intune アプリ保護ポリシー SDK バージョンが要件を満たさない場合、アクセスがブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
  • 警告 - アプリの iOS/iPadOS SDK バージョンが最小 SDK 要件を満たしていない場合、ユーザーに通知が表示されます。 ユーザーは、アプリの最新バージョンにアップグレードするように指示されます。 この通知は閉じることができます。
Intune アプリ保護ポリシー SDK に関する詳細については、「Intune App SDK の概要」をご覧ください。 多くの場合、Intune SDK のバージョンはアプリごとに個別であるため、1 つのアプリを対象とする 1 つの最小 Intune SDK バージョンでポリシーを作成します ("Outlook 用の Intune SDK バージョン ポリシー" など)。

このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。
デバイス モデル セミコロンで区切られたモデル識別子の一覧を指定します。 これらの値では、大文字と小文字は区別されません。

"アクション" に含まれている項目:

  • [指定されたものを許可します (未指定のものはブロック)] - 指定のデバイス モデルに一致するデバイスのみでアプリを使用できます。 他のデバイス モデルはすべてブロックされます。
  • [指定されたものを許可します (未指定のものはワイプ)] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
この設定の使用方法について詳しくは、条件付き起動アクションに関する記事をご覧ください。
許容される最大デバイス脅威レベル アプリ保護ポリシーでは、Intune-MTD コネクタを利用できます。 このアプリの使用に対して許容される最大脅威レベルを指定します。 脅威は、エンド ユーザー デバイスで選択された Mobile Threat Defense (MTD) ベンダー アプリによって決定されます。 "セキュリティ保護"、""、""、"" のいずれかを指定します。 "セキュリティ保護" は、デバイスに対する脅威は不要で、構成可能な最も制限の厳しい値であるのに対し、"" では基本的に Intune と MTD の間のアクティブな接続が必要です。

"アクション" に含まれている項目:

  • アクセスのブロック - エンド ユーザー デバイスで選択されている Mobile Threat Defense (MTD) ベンダー アプリによって決定された脅威レベルがこの要件を満たしていない場合、ユーザーはアクセスをブロックされます。
  • [データのワイプ] - アプリケーションに関連付けられているユーザー アカウントがデバイスからワイプされます。
注:アプリに Intune SDK バージョン 12.0.15 以上が必要です。

この設定の使用方法について詳しくは、未登録デバイスに対する MTD の有効化に関する記事をご覧ください。
プライマリ MTD サービス 複数の Intune-MTD コネクタを構成している場合は、エンド ユーザー デバイスで使用する必要があるプライマリ MTD ベンダー アプリを指定します。

は次のとおりです。

  • Microsoft Defender for Endpoint - MTD コネクタが構成されている場合は、デバイスの脅威レベルの情報Microsoft Defender for Endpoint指定します。
  • Mobile Threat Defense (Microsoft 以外) - MTD コネクタが構成されている場合は、Microsoft 以外の MTD がデバイスの脅威レベルの情報を提供することを指定します。

この設定を使用するには、設定 "最大許可デバイス脅威レベル" を構成する必要があります。

この設定には アクション がありません。

詳細情報