Microsoft Intune を使用してアプリをグループに割り当てる

Microsoft Intune にアプリを追加したら、そのアプリをユーザーとデバイスに割り当てることができます。 デバイスが Intune によって管理されているかどうかに関係なく、デバイスにアプリを展開できることに注意することが重要です。

注:

Android Enterprise フル マネージド デバイス (COBO) と Android Enterprise 企業所有の個人所有 (COPE) デバイスを対象とする場合、 登録済み デバイスの展開意図は 、ユーザー グループ とデバイス グループ でサポートされます。

次の表に、ユーザーとデバイスにアプリを割り当てるためのさまざまなオプションを示します。

オプション Intune に登録されているデバイス Intune に登録されていないデバイス
ユーザーに割り当てる はい はい
デバイスに割り当てる はい 不要
ラップされたアプリまたは Intune SDK を組み込んだアプリを割り当てる (アプリ保護ポリシー用) はい はい
アプリを使用可能として割り当てる はい はい
アプリを必須として割り当てる はい 不要
アプリをアンインストールする はい 不要
Intune からアプリの更新プログラムを受信する はい 不要
エンド ユーザーは、ポータル サイト アプリから使用可能なアプリをインストールします はい 不要
エンド ユーザーは、Web ベースのポータル サイトから使用可能なアプリをインストールします はい はい

注:

現在、iOS/iPadOS および Android アプリ (基幹業務および店舗で購入したアプリ) を、Intune に登録されていないデバイスに割り当てることができます。

Intune に登録されていないデバイスでアプリの更新プログラムを受信するには、デバイス ユーザーが組織の会社のポータル サイトに移動し、アプリの更新プログラムを手動でインストールする必要があります。

ほぼすべてのアプリの種類とプラットフォームの場合、 使用可能な割り当ては 、デバイス グループではなくユーザー グループに割り当てられている場合にのみ有効です。 Win32 アプリは、ユーザー グループまたはデバイス グループに割り当てることができます。

Android Enterprise 個人所有の仕事用プロファイル デバイスで必要に応じてマネージド Google Play プレプロダクション トラック アプリが割り当てられている場合、そのアプリはデバイスにインストールされません。 これを回避するには、2 つの同じユーザー グループを作成し、運用前のトラックを 1 つのユーザーに "使用可能" として割り当て、もう一方に "必須" を割り当てます。 その結果、運用前のトラックがデバイスに正常にデプロイされます。

アプリを割り当てる

  1. Microsoft エンドポイント マネージャー管理センター

  2. [アプリ]>[すべてのアプリ] を選択します。

  3. [アプリ] ウィンドウで、割り当てるアプリを選択します。

  4. メニューの [ 管理 ] セクションで、[プロパティ] を選択 します

  5. [ プロパティ ] まで下にスクロールし、[ 割り当て] を選択します。

  6. [グループの追加] を選択して、アプリに関連する [グループの追加] ウィンドウを開きます。

  7. 特定のアプリについて、割り当ての種類を選択します。

    • 登録済みのデバイスで使用可能: ポータル サイト アプリまたは Web サイトからアプリをインストールできるユーザーのグループにアプリを割り当てます。

    • 登録の有無にかかわらず使用可能: このアプリを、デバイスが Intune に登録されていないユーザーのグループに割り当てます。 ユーザーには Intune ライセンスを割り当てる必要があります。「Intune ライセンス」を参照してください。

    • [必須]: アプリは選択したグループのデバイスにインストールされます。 一部のプラットフォームでは、アプリのインストールを開始する前に、エンド ユーザーが確認するための追加のプロンプトが表示される場合があります。

    • アンインストール: 同じ展開を使用して "登録済みデバイスで使用可能" または "必須" の割り当てを介して Intune が以前にアプリケーションをデバイスにインストールした場合、アプリは選択したグループのデバイスからアンインストールされます。

      注:

      iOS/iPadOS アプリの場合のみ:

      • デバイスが管理されなくなったときに管理対象アプリに起こることを構成するには、[デバイスの削除時にアンインストール] で目的の設定を選択できます。 詳細については、「iOS/iPadOS 管理対象アプリのアプリ アンインストール設定」を参照してください。
      • アプリごとの VPN 設定を含む iOS/iPadOS VPN プロファイルを作成した場合は、[VPN] で VPN プロファイルを選択できます。 アプリを実行すると、VPN 接続が開きます。 詳細については、「iOS/iPadOS デバイスの VPN 設定」を参照してください。
      • 必要な iOS/iPadOS アプリがエンド ユーザーによってリムーバブル アプリとしてインストールされるかどうかを構成するには、[リムーバブルとしてインストール] で設定を選択できます。

      Android アプリの場合のみ:

      • Android アプリを登録の有無にかかわらず使用可能として展開した場合、レポートの状態は登録済みデバイスでのみ使用可能になります。

      登録済みデバイスで使用可能の場合:

      • アプリは、ポータル サイトにログインしているユーザーがデバイスを登録したプライマリ ユーザーであり、アプリがデバイスに適用できる場合にのみ、使用可能として表示されます。
  8. このアプリの割り当ての影響を受けるユーザーのグループを選択するには、[含まれているグループ] を選択します。

  9. 含めるグループを 1 つ以上選択したら、[選択] を選択します。

  10. [割り当て] ウィンドウで、[OK] を選択して、含まれるグループの選択を完了します。

  11. このアプリ割り当ての影響から除外するユーザー グループがある場合は、[グループの除外] を選びます。

  12. 除外するグループがある場合には、[グループの選択][選択] を選びます。

  13. [グループの追加] ウィンドウで [OK] を選択します。

  14. アプリの [割り当て] ウィンドウで、[保存] を選択します。

これで、選択したグループにアプリが割り当てられます。 アプリの割り当てを含めるおよび除外する方法の詳細については、「アプリの割り当てを含めるおよび除外する」を参照してください。

ヒント

Intuneでは、入れ子になったグループへのアプリの割り当てもサポートされています。 たとえば、アプリを "Engineering Global" グループに割り当て、"Engineering APAC"、"Engineering EMEA"、"Engineering US" を子グループとして入れ子にした場合、それらの子グループのメンバーも割り当ての対象になります。

アプリの意図間の競合をどのように解決するか

単一のグループが複数のアプリ割り当て意図の対象になることは防止されますが、ユーザーまたはデバイスがそれぞれ異なる意図が割り当てられた複数のグループのメンバーである場合、競合が発生します。 アプリケーションの割り当ての競合を作成することはお勧めしません。 次の表の情報は、競合が発生したときに結果として生じる意図を理解するのに役立ちます。

グループ 1 の意図 グループ 2 の意図 結果として生じる意図
ユーザー必須 ユーザー使用可能 必須および使用可能
ユーザー必須 ユーザー アンインストール 必須
ユーザー使用可能 ユーザー アンインストール アンインストール
ユーザー必須 デバイス必須 両方が存在し、Intune は必須を扱います
ユーザー必須 デバイス アンインストール 両方が存在し、Intune は必須を解決します
ユーザー使用可能 デバイス必須 両方が存在し、Intune は必須 (必須および使用可能) を解決します
ユーザー使用可能 デバイス アンインストール 両方が存在し、Intune は使用可能を解決します。

アプリはポータル サイトに表示されます。

アプリが既にインストールされている場合 (以前の意図で必要なアプリとして)、アプリはアンインストールされます。

ユーザーが [ポータル サイトからインストール] を選択すると、アプリがインストールされ、アンインストールの意図は尊重されません。
ユーザー アンインストール デバイス必須 両方が存在し、Intune は必須を解決します
ユーザー アンインストール デバイス アンインストール 両方が存在し、Intune はアンインストールを解決します
デバイス必須 デバイス アンインストール 必須
ユーザー必須および使用可能 ユーザー使用可能 必須および使用可能
ユーザー必須および使用可能 ユーザー アンインストール 必須および使用可能
ユーザー必須および使用可能 デバイス必須 両方が存在し、必須および使用可能
ユーザー必須および使用可能 デバイス アンインストール 両方が存在し、Intune は必須 (必須および使用可能) を解決します
登録なしでユーザー使用可能 ユーザー必須および使用可能 必須および使用可能
登録なしでユーザー使用可能 ユーザー必須 必須
登録なしでユーザー使用可能 ユーザー使用可能 使用可能
登録なしでユーザー使用可能 デバイス必須 登録なしで必須および使用可能
登録なしでユーザー使用可能 デバイス アンインストール 登録なしでアンインストールおよび使用可能。

ユーザーがポータル サイトからアプリをインストールしなかった場合、アンインストールが受け入れられます。

ユーザーがポータル サイトからアプリをインストールする場合、インストールはアンインストールよりも優先されます。

注:

マネージド iOS ストア アプリの場合のみ、これらのアプリを Microsoft Intune に追加し、必須として割り当てると、アプリは必須使用可能の意図の両方で自動的に作成されます。

必須の意図で対象となる iOS ストア アプリ (iOS/iPadOS VPP アプリではない) は、デバイスのチェックイン時にデバイスに適用され、ポータル サイト アプリにも表示されます。

[デバイスの削除時にアンインストール] 設定で競合が発生した場合、デバイスが管理されなくなったときにアプリはデバイスから削除されません。

注:

会社所有の仕事用プロファイル デバイスに [必須] として展開されたアプリは、ユーザーが手動でアンインストールすることはできません。

非管理対象デバイスへの管理された Google Play アプリの展開

登録されていない Android デバイスの場合は、マネージド Google Play を使用して、ストア アプリと基幹業務 (LOB) アプリをユーザーに展開できます。 デプロイが完了したら、 Mobile Application Management (MAM) を使用してアプリケーションを管理できます。 登録の有無にかかわらず使用可能として対象にされるマネージド Google Play アプリは、ポータル サイト アプリではなく、エンド ユーザーのデバイスの Play ストア アプリに表示されます。 エンド ユーザーは、Play アプリからこの方法で展開されたアプリを参照してインストールします。 アプリはマネージド Google Play からインストールされるため、エンド ユーザーはデバイスの設定を変更して不明なソースからのアプリのインストールを許可する必要がありません。つまり、デバイスの安全性が高まります。 アプリ開発者がユーザーのデバイスにインストールされたアプリの新しいバージョンを Play に公開すると、アプリは Play によって自動的に更新されます。

マネージド Google Play アプリを非管理対象デバイスに割り当てる手順:

  1. Intune テナントをマネージド Google Play に接続します。 Android Enterprise の個人所有、専用、フル マネージド、または企業所有の仕事用プロファイル デバイスを管理するために既にこれを行っている場合は、もう一度行う必要はありません。

  2. マネージド Google Play から Intune コンソールにアプリを追加します。

  3. マネージド Google Play アプリを、目的のユーザー グループへの登録の有無にかかわらず使用可能としてターゲットにします。 必須およびアンインストール アプリのターゲティングは、登録されていないデバイスではサポートされていません。

  4. アプリ保護ポリシーをユーザー グループに割り当てます。

  5. ユーザーは保護されたアプリにログインします。

  6. 次回エンド ユーザーがポータル サイト アプリを開いてログイン プロセスを完了すると、[アプリ] セクションに使用可能なアプリがあることを示すメッセージが表示されます。 ユーザーはこの通知を選択して Play ストアに移動できます。

    注:

    デバイス登録設定オプションを、使用可能、プロンプトなし、または使用不可に構成できます。 この設定により、ユーザーがポータル サイトにログインした後、意図せずにデバイスを登録したり、デバイスを登録するための通知を受信したりするのを防ぐことができます。

  7. エンド ユーザーは、Play ストア アプリ内のコンテキスト メニューを展開して、個人の Google アカウント (個人のアプリが表示される場所) と職場アカウント (自分を対象としたストアおよび LOB アプリが表示される場所) を切り替えることができます。 エンド ユーザーは、Play ストア アプリで [インストール] をタップしてアプリをインストールします。

Intune コンソールで APP 選択的ワイプが発行されると、職場アカウントは Play ストア アプリから自動的に削除され、エンド ユーザーはその時点から Play ストア アプリ カタログに仕事用アプリを表示しなくなります。 職場アカウントがデバイスから削除されると、Play ストアからインストールされたアプリはデバイスにインストールされたままになり、アンインストールされません。

iOS 管理対象アプリのアプリ アンインストール設定

iOS/iPadOS デバイスの場合、デバイスを Intune から登録解除するか、[デバイスの削除時にアンインストール] 設定を使用して管理プロファイルを削除すると、管理対象アプリに起こることを選択できます。 この設定は、デバイスが登録され、アプリが管理対象としてインストールされた後のアプリにのみ適用されます。 Web アプリまたは Web リンクに対して設定を構成することはできません。 モバイル アプリケーション管理 (MAM) によって保護されているデータのみが、アプリ選択ワイプによって廃止された後に削除されます。

設定の既定値は、次のように新しい割り当て用に事前入力されています。

iOS アプリの種類 [デバイスの削除時にアンインストール] の既定の設定
基幹業務アプリ はい
ストア アプリ 不要
VPP アプリ 不要
組み込みアプリ 不要

注:

"使用可能な" 割り当ての種類: この設定を "登録済みデバイスで使用可能" または "登録の有無にかかわらず使用可能" グループに更新する場合、管理対象アプリを既に持っているユーザーは、デバイスを同期するまで更新された設定を取得しません。Intune を実行して、アプリを再インストールします。

既存の割り当て: アプリのアンインストール設定は 2019 年 5 月に導入されました。 この日付より前に存在していた割り当ては変更されず、管理からデバイスを削除すると、すべての管理対象アプリが削除されます。 割り当てが 2019 年 5 月より前に作成された場合、上記の既定の設定が適用されない可能性があるため、アプリのアンインストール設定を明示的に設定することが必要な場合があります。

次の手順

アプリの割り当てを監視する方法の詳細については、「アプリを監視する方法」を参照してください。