次の方法で共有


Android 用 Intune App SDK - 統合を計画する

Microsoft Intune App SDK for Android を使用すると、Intune アプリ保護ポリシー ( APP または MAM ポリシーとも呼ばれます) をネイティブの Java/Kotlin Android アプリに組み込むことができます。 Intune で管理されるアプリケーションは、Intune App SDK と統合されたアプリケーションです。 Intune 管理者は、Intune がアプリをアクティブに管理するときに、Intune で管理されるアプリにアプリ保護ポリシーを簡単に展開できます。

ステージ 1: 統合を計画する

このガイドは、既存の Android アプリ内で Microsoft Intune のアプリ保護ポリシーのサポートを追加しようとしている Android 開発者向けです。

ステージの目標

  • Android で使用できるアプリ保護ポリシーの設定と、これらのポリシーがアプリケーション内でどのように機能するかについて説明します。
  • SDK 統合プロセス中の重要な決定ポイントを理解し、アプリの統合を計画します。
  • SDK を統合するアプリケーションの要件について説明します。
  • テスト Intune テナントを作成し、Android App Protection ポリシーを構成します。

MAM について

Intune App SDK を Android アプリケーションに統合する前に、少し時間をかけて Microsoft Intune のモバイル アプリケーション管理ソリューションについて理解してください。

  • [Microsoft Intune アプリ管理] には、さまざまなプラットフォーム上の MAM 機能の概要と、Microsoft Intune 管理センターでこれらの機能を見つける場所が記載されています。
  • Intune App SDK の概要 は、SDK の現在の機能について説明し、1 つのレイヤーを深く説明します。
  • Android アプリ保護ポリシー設定 では、各 Android 設定について詳しく説明します。 アプリでは、SDK を統合することで、これらの設定がサポートされます。 SDK 統合プロセス中に、検証のためにこれらの設定を独自のテスト テナントで構成します。

注:

一部の Android App Protection ポリシー設定では、サポートするために特定のコードが必要です。 詳細については、「 ステージ 7: アプリ参加機能 」を参照してください。

SDK 統合に関する主な決定事項

アプリケーションを Microsoft ID プラットフォームに登録する必要がありますか?

はい。Microsoft ID プラットフォームに登録するには、Intune SDK と統合されているすべてのアプリが必要です。 「クイック スタート: Microsoft ID プラットフォーム - Microsoft ID プラットフォームにアプリを登録する」の手順に従ってください。

アプリケーションのソース コードにアクセスできますか?

アプリケーションのソース コードにアクセスできず、.apkまたは .aab 形式のコンパイル済みアプリケーションにのみアクセスできる場合、SDK をアプリケーションに統合することはできません。 ただし、アプリケーションは引き続き Intune アプリ保護ポリシーと互換性がある場合があります。 詳細については、「 Android 用アプリ ラッピング ツール 」を参照してください。

アプリケーションで Microsoft Authentication Library (MSAL) を統合する必要がありますか?

アプリケーションが MSAL を統合する必要があるかどうかを判断するには、「 Microsoft Authentication Library (MSAL) の概要 」を参照してください。 ほとんどのアプリケーションでは、Intune SDK を統合する前に MSAL を統合する必要があります。

アプリは、 次のすべてが当てはまる場合にのみ、MSAL の統合をスキップできます。

  • アプリケーションには、対話型のログインとログアウトのエンド ユーザー エクスペリエンスがない、または必要ありません。
  • アプリケーションは、同時にログインした複数のアカウントをサポートしていません。
  • アプリケーションで Intune 以外のアカウントをサポートする必要はありません。
  • アプリケーションは、条件付きアクセスによって保護されたリソースへのアクセスを許可しません。

アプリが上記のすべての条件を満たし、MSAL を統合していない場合でも、管理されていない使用のオプションがなくても、アプリ保護ポリシーによって保護できます。 詳細については、「 既定の登録 」を参照してください。

MSAL の統合に関する手順と、アプリケーション内の ID シナリオの詳細については、「 ステージ 2: MSAL の前提条件 」を参照してください。

アプリケーションはシングル ID またはマルチ ID ですか?

Intune App Protection Policy のサポートがない場合、アプリケーションはユーザー認証とアカウントをどのように処理しますか?

  • 現在、アプリケーションでは 1 つのアカウントのログインのみを許可していますか? 別のアカウントのログインを許可する前に、アプリケーションは明示的にログインアカウントを強制的にログアウトし、その前のアカウントのデータを削除しますか? その場合、アプリケーションは 単一 ID です

  • 別のアカウントが既にログインしている場合でも、アプリケーションでは現在、2 つ目のアカウントのログインが許可されていますか? アプリケーションでは、共有画面に複数のアカウントのデータが表示されますか? アプリケーションは複数のアカウントのデータを格納しますか? アプリケーションでは、ユーザーがログインしている別のアカウントを切り替えることができますか? その場合、アプリケーションは マルチ ID であり、 ステージ 5: マルチ ID に従う必要があります。 このセクションは、アプリに必要です。

アプリケーションがマルチ ID の場合でも、この統合ガイドに従ってください。 最初に単一 ID として統合およびテストすることで、適切な統合を確保し、企業データが保護されなくなるバグを防ぐことができます。

アプリケーションにアプリ構成設定がありますか?

Android では、 Android Enterprise 管理モードで デプロイされたアプリケーションに適用されるアプリケーション固有の管理構成がサポートされています。 管理者は、Microsoft Intune 管理センター管理対象の Android Enterprise デバイスに対してこれらのアプリケーション構成ポリシーを構成できます。

Intune では、デバイス管理モードに関係なく、SDK 統合アプリケーションに適用されるアプリケーション構成もサポートされています。 管理者は、Microsoft Intune 管理センターマネージド アプリのこれらのアプリケーション構成ポリシーを構成できます。

Intune App SDK では、両方の種類のアプリケーション構成がサポートされ、両方のチャネルから構成にアクセスするための 1 つの API が提供されます。 アプリケーションに次のいずれかの種類のアプリケーション構成がある場合、またはサポートする場合は、 ステージ 6: アプリ構成に従う必要があります。

アプリケーションでは、データイングレスとエグレスの詳細な保護を定義する必要がありますか?

ユーザーがクラウド サービスまたはデバイスの場所にデータを保存または開くことをアプリで許可する場合は、拡張データ転送ポリシーをサポートするために変更を加える必要があります。 「ステージ 7: アプリ参加機能」の「アプリとデバイスまたはクラウドストレージの場所間のデータ転送を制限するためのポリシー」を参照してください。

アプリケーションには、ユーザー固有の情報を含む通知が表示されますか?

マルチ ID アプリでは、通知ポリシーを適切に適用するためにコードの変更を行う必要があります。 シングル ID アプリでは、この通知ポリシーがアプリの通知の 100% をブロックしないように、コードの変更を行いたい場合があります。 「ステージ 7: アプリ参加機能」の「通知内のコンテンツを制限するためのポリシー」を参照してください。

アプリケーションで Android のバックアップと復元の機能がサポートされていますか?

Android では、ユーザーが新しいデバイスにアップグレードしたり、アプリを再インストールしたりするときに、データと個人用設定を保持するための バックアップと復元 の機能がサポートされています。

Intune では、SDK 統合アプリケーションのバックアップと復元機能もサポートされており、復元によって企業データが漏洩しないようにします。

アプリでこの機能がサポートされている場合は、復元中に企業データを保護するためにコードを変更する必要があります。 「ステージ 7: アプリ参加機能」の「バックアップ データを保護するためのポリシー」を参照してください。

アプリケーションには、条件付きアクセスで保護する必要があるリソースがありますか?

条件付きアクセス (CA)、Microsoft Entra リソースへのアクセスを制御するために使用できる Microsoft Entra ID 機能です。 Intune 管理者は、Intune によって管理されているデバイスまたはアプリからのみリソース へのアクセスを許可する CA 規則を定義できます。

Intune では、 デバイス ベースの CA とアプリ ベースの CA (App Protection CA とも呼ばれます) の 2 種類 の CA がサポートされています。 デバイス ベースの CA は、デバイス全体が Intune によって管理されるまで、保護されたリソースへのアクセスをブロックします。 アプリベースの CA は、特定のアプリが Intune アプリ保護ポリシーによって管理されるまで、保護されたリソースへのアクセスをブロックします。

アプリが Microsoft Entra アクセス トークンを取得し、CA で保護できるリソースにアクセスする場合は、ステージ 7: アプリ参加機能サポート アプリ保護 CA に従う必要があります。

アプリケーションには、Intune App SDK によって表示される UI 間で永続化する必要がある個別のテーマがありますか?

既定では、Intune App SDK には、既定のテーマに従って色付けされたポリシー適用 UI コンポーネントが表示されます。

既定のテーマをオーバーライドする機能は、外観とオプションです。 「ステージ 7: アプリ参加機能」の「カスタム テーマの提供」を参照してください。

要件

ポータル サイト アプリ

Intune App SDK for Android は、デバイス上の ポータル サイト アプリの存在に依存して、アプリ保護ポリシーを有効にします。 ポータル サイトは、Intune サービスからアプリ保護ポリシーを取得します。 SDK 統合アプリが初期化されると、ポリシーとコードが読み込まれて、ポータル サイトからそのポリシーが適用されます。

注:

ポータル サイト アプリがデバイス上にない場合、SDK 統合アプリは、Intune アプリ保護ポリシーをサポートしていない通常のアプリと同じように動作します。 ポータル サイト アプリがデバイス上にある場合でも、SDK 統合アプリは、エンド ユーザーがアプリ保護ポリシーを対象としていない場合、通常と同じように動作します。

ユーザーは、アプリ保護ポリシーを機能させるためにポータル サイト アプリにサインインしたり、ポータル サイト アプリを起動したりする必要 はありません

Android バージョン

注:

アプリが Google Play の要件と互換性があることを確認します。

この SDK は、Android API 34 (Android 14) を介して Android API 28 (Android 9.0) を完全にサポートしています。 Android API 34 (Android 14) をターゲットにするには、Intune App SDK v10.0.0 以降を使用する必要があります。

API 26 から 27 (Android 8.0 - 8.1) は限定的なサポートを受けられます。 ポータル サイト アプリは、Android API 26 (Android 8.0) の下ではサポートされていません。 アプリ保護ポリシーは、Android API 28 (Android 9.0) の下ではサポートされていません。

アプリが API 28 (Android 9.0) より下の API レベルに宣言 minSdkVersion されている場合、Intune App SDK は、App Protection Policy の対象ではないユーザーのアプリの使用状況をブロックしません。

テレメトリ

Intune App SDK for Android では、アプリからのデータ収集は制御されません。 ポータル サイト アプリケーションは、既定でシステム生成データをログに記録します。 このデータは Microsoft Intune に送信されます。 Microsoft Policy に従って、Intune は個人データを収集しません。

ヒント

エンド ユーザーがこのデータを送信しないことを選択した場合は、ポータル サイト アプリの [設定] でテレメトリをオフにする必要があります。 詳細については、「 Microsoft 使用状況データ収集を無効にする」を参照してください。

テスト Android アプリ保護ポリシーの作成

テナントのセットアップのデモ

会社のテナントがまだない場合は、事前に生成されたデータの有無に関係なくデモ テナントを作成できます。 Microsoft CDX にアクセスするには、 Microsoft パートナー として登録する必要があります。 新しいアカウントを作成するには:

  1. Microsoft CDX テナント作成サイトに移動し、Microsoft 365 Enterprise テナントを作成します。
  2. モバイル デバイス管理 (MDM) を有効にするように Intune を設定します。
  3. ユーザーを作成します
  4. グループを作成します
  5. テストに適したライセンスを割り当てます

アプリ保護ポリシーの構成

Microsoft Intune 管理センターでアプリ保護ポリシーを作成して割り当てます。 アプリ保護ポリシーの作成に加えて、Intune で アプリ構成ポリシー を作成して割り当てることができます。

独自のアプリケーション内でアプリ保護ポリシー設定をテストする前に、これらの設定が他の SDK 統合アプリケーション内でどのように動作するかを理解しておくと役立ちます。

ヒント

アプリが Microsoft Intune 管理センターに一覧表示されていない場合は、 その他のアプリ オプションを選択し、テキスト ボックスにパッケージ名を指定することで、ポリシーを使用してアプリをターゲットにすることができます。 アプリ保護ポリシーを使用してアプリをターゲットにし、統合を正常にテストするためにポリシーをユーザーにデプロイする必要があります。 ポリシーが対象とデプロイされている場合でも、SDK が正常に統合されるまで、アプリはポリシーを適切に適用しません。

終了条件

  • Android アプリケーション内で異なるアプリ保護ポリシー設定がどのように動作するかについて理解していますか?
  • アプリを確認し、MSAL、条件付きアクセス、マルチ ID、アプリ構成、その他すべての SDK 機能に関するアプリの統合を計画しましたか?
  • テスト テナント内に Android アプリ保護ポリシーを作成しましたか?

FAQ

Android のアプリケーション保護ポリシーにポータル サイト アプリが必要なのはなぜですか?

Android ポータル サイトは、デバイス上のすべての MAM 対応アプリケーションに代わって、Intune サービスからアプリ保護ポリシーを取得して保持します。 MAM 対応アプリケーションが初期化されると、ポリシーの詳細とポリシー設定を適用するコードがポータル サイトからインポートされます。 ポータル サイトには、エンド ユーザーに表示される認証プロンプトの数を減らすためのコードも含まれています。 最後に、ポータル サイトは、Intune サービスを向上させるためにシステム データを収集します。詳細については、「 テレメトリ」 を参照してください。

注:

アプリ保護ポリシーのこのポータル サイト機能は、Android に固有です。

サポートされていないデバイスを持つユーザーが App Protection ポリシーを対象にしている場合はどうなりますか?

Intune アプリ保護ポリシーでサポートされていない Android デバイスのエンド ユーザー エクスペリエンスは、デバイスの Android OS バージョンによって異なります。

Android OS バージョン Google Play の動作 MAM アプリの動作
Android 8.0 の下 ポータル サイト アプリは、Google Play からダウンロードできません。 ポータル サイトが既にインストールされているデバイスは、新しいバージョンのポータル サイトに更新できません。 MAM 機能は一般的にブロックされません。 ただし、SDK 統合アプリには新しいバージョンの SDK が付属しているため、MAM 対象ユーザーはポータル サイトを更新できないため、これらのアプリの入力がブロックされます。 MAM ポリシーが対象で、以前にアプリにログインしたユーザーがこのようなアプリを起動すると、ポータル サイトのアップグレードを求めるメッセージが表示されます。 ユーザーは、MAM を対象とするアカウントをアプリケーションから削除することで、この動作を軽減できます。 ユーザーがポータル サイトをアンインストールすると、そのアカウントはアプリから自動的に削除されますが、MAM 対象アカウントで再度ログインすることはできません。
Android 8.x ポータル サイト アプリは、Google Play からダウンロードできるようになります。 ポータル サイトが既にインストールされているデバイスは、引き続き新しいバージョンのポータル サイトに更新できます。 MAM 機能はアクティブにブロックされません。 ただし、Android 8.x はサポートされておらず、MAM 機能が期待どおりに機能しない可能性があります。

アプリ ラッピング ツールとは

Android アプリ開発者には、Intune 機能をアプリケーションに統合する複数の方法があります。 このガイドで説明する SDK に加えて、開発者は Android 用アプリ ラッピング ツールを使用することもできます。 SDK とアプリ ラッピング ツールの詳細な比較については、「 アプリ保護ポリシーの基幹業務アプリを準備 する」を参照してください。

次の手順

上記のすべての 終了条件 を完了したら、 ステージ 2: MSAL の前提条件に進みます。