Microsoft Intune App SDK の概要
このガイドは、モバイル アプリが Microsoft Intune でアプリ保護ポリシーをサポートできるようにするのに役立ちます。 Intune App SDK の概要で説明されているように、最初に Intune App SDK の利点を理解すると便利な場合があります。
Intune App SDK は、iOS と Android 全体で同様のシナリオをサポートしており、IT 管理者向けのプラットフォーム全体で一貫したエクスペリエンスを作成することを目的としています。 ただし、プラットフォームの違いと制限のため、特定の機能のサポートには小さな違いがあります。
プロセス フロー
次の図は、iOS 用 Intune App SDK と Android 用 Intune App SDK のプロセス フローを示しています。
ストア アプリを Microsoft に登録する
アプリが組織の内部にあり、一般公開されない場合:
アプリを登録する 必要はありません 。 会社または会社用に作成された内部 基幹業務 (LOB) アプリ の場合、IT 管理者はアプリを内部的にデプロイします。 Intune は、アプリが SDK で構築されていることを検出し、IT 管理者がアプリ保護ポリシーを適用できるようにします。 「 アプリ保護ポリシーで iOS または Android アプリを有効にする」セクションに進むことができます。
Apple App Store や Google Play などのパブリック アプリ ストアにアプリがリリースされる場合:
まず、アプリを Microsoft Intune に登録し、登録条件に同意する 必要があります 。 IT 管理者は、アプリ保護ポリシーをマネージド アプリに適用できます。このポリシーは、 パートナーの生産性アプリとして一覧表示されます。
登録が完了し、Microsoft Intune チームによって確認されるまで、Intune 管理者はアプリのディープ リンクにアプリ保護ポリシーを適用するオプションを持ちません。 Microsoft は、アプリを Microsoft Intune パートナー ページにも追加します。 アプリのアイコンが表示され、Intune アプリ保護ポリシーがサポートされていることを示します。
登録プロセス
登録プロセスを開始し、Microsoft の連絡先をまだ使用していない場合は、 Microsoft Intune アプリ パートナーアンケートに記入します。
アンケートの回答に記載されているメール アドレスを使用して、登録プロセスに連絡して続行します。 さらに、お客様の登録メール アドレスを使用して、懸念がある場合は、お客様に連絡します。
注:
アンケートおよび Microsoft Intune チームとの電子メールの連絡を通じて収集されたすべての情報は、 Microsoft プライバシーに関する声明に従います。
登録プロセスで期待される内容:
アンケートを送信した後、登録メール アドレスを介して連絡を取り、受信が成功したことを確認するか、登録を完了するための追加情報を要求します。
お客様から必要なすべての情報を受け取った後、Microsoft Intune アプリ パートナー契約を送信して署名します。 この契約では、会社が Microsoft Intune アプリ パートナーになる前に同意する必要がある条項について説明します。
アプリが Microsoft Intune サービスに正常に登録されたとき、およびアプリが Microsoft Intune パートナー サイトで紹介されたときに通知されます。
最後に、アプリのディープ リンクが次の毎月の Intune サービス更新プログラムに追加されます。 たとえば、登録情報が 7 月に完了した場合、ディープ リンクは 8 月中旬にサポートされます。
ディープ リンクは、パブリック アプリ ストア内のアプリの登録情報へのリンクです。 今後アプリのディープ リンクが変更される場合は、アプリを再登録する必要があります。
SDK ファイルをダウンロードする
ネイティブ iOS と Android 用の Intune アプリ SDK は、Microsoft GitHub アカウントでホストされます。 これらのパブリック リポジトリには、それぞれネイティブ iOS と Android 用の SDK ファイルがあります。
アプリが .NET マルチプラットフォーム アプリ UI (.NET MAUI) でビルドされている場合は、次の SDK バリアントを使用します。
注:
.NET MAUI 用 Intune APP SDK を使用すると、 .NET マルチプラットフォーム アプリ UI を組み込んだ Android または iOS アプリを Intune 用に開発できます。 このフレームワークを使用して開発されたアプリを使用すると、 Intune モバイル アプリケーション管理を適用できます。
リポジトリをフォークしてプルするために使用できる GitHub アカウントにサインアップすることをお勧めします。 GitHub を使用すると、開発者は製品チームとコミュニケーションを取り、問題を開き、迅速な応答を受け取り、リリース ノートを表示し、Microsoft にフィードバックを提供できます。 Intune App SDK GitHub に関する質問については、 msintuneappsdk@microsoft.comにお問い合わせください。
アプリ保護ポリシーで iOS アプリまたは Android アプリを有効にする
Intune App SDK をアプリに統合するには、次のいずれかの開発者ガイドが必要です。
Intune App SDK for iOS 開発者ガイド: このドキュメントでは、Intune アプリ SDK を使用してネイティブ iOS アプリを有効にする手順について説明します。
Intune App SDK for Android 開発者ガイド: このドキュメントでは、Intune App SDK を使用してネイティブ Android アプリを有効にする手順について詳しく説明します。
Intune App SDK Xamarin Bindings ガイド: このドキュメントは、Intune アプリ保護ポリシーに Xamarin を使用して iOS アプリと Android アプリを構築するのに役立ちます。
重要
Intune では、 Intune App SDK の更新プログラムが定期的にリリースされます。 更新プログラムをソフトウェア開発リリース サイクルに組み込み、アプリが最新の App Protection ポリシー設定を確実にサポートできるように、更新プログラムについては Intune App SDK リポジトリをサブスクライブすることをお勧めします。
OS の更新によって重大な変更が発生する可能性があるため、すべての主要な OS リリースの前に必須の Intune App SDK 更新プログラムを実行して、アプリがスムーズに実行されるように計画します。 メジャー OS リリースの前に最新バージョンに更新しない場合は、重大な変更が発生したり、アプリにアプリ保護ポリシーを適用できなかったりするリスクが発生する可能性があります。
アプリ ベースの条件付きアクセスに対して iOS または Android アプリを有効にする
アプリ保護ポリシーのアプリを有効にするだけでなく、アプリが Microsoft Entra アプリ ベースの条件付きアクセスで適切に機能するには、次のものが必要です。
アプリは Microsoft 認証ライブラリ を使用して構築され、Microsoft Entra ブローカー認証が有効になっています。
アプリの Microsoft Entra クライアント ID は、iOS プラットフォームと Android プラットフォーム間で一意である必要があります。
アプリのテレメトリを構成する
Microsoft Intune は、アプリの使用状況統計に関するデータを収集します。
Intune App SDK for iOS: SDK は、既定で使用状況イベントに関する SDK テレメトリ データをログに記録します。 このデータは Microsoft Intune に送信されます。
- アプリから SDK テレメトリ データを Microsoft Intune に送信しないことを選択した場合は、IntuneMAMSettings ディクショナリのプロパティ
MAMTelemetryDisabled
を "YES" に設定して、テレメトリ送信を無効にする必要があります。
- アプリから SDK テレメトリ データを Microsoft Intune に送信しないことを選択した場合は、IntuneMAMSettings ディクショナリのプロパティ
Intune App SDK for Android: Intune App SDK for Android では、アプリからのデータ収集は制御されません。 ポータル サイト アプリケーションは、既定でテレメトリ データをログに記録します。 このデータは Microsoft Intune に送信されます。 Microsoft ポリシーに従って、個人を特定できる情報 (PII) は収集されません。
- エンド ユーザーがこのデータを送信しないことを選択した場合は、ポータル サイト アプリの [設定] でテレメトリをオフにする必要があります。 詳細については、「 Microsoft 使用状況データ収集を無効にする」を参照してください。
基幹業務アプリのバージョン番号
Intune の基幹業務アプリに、iOS アプリと Android アプリのバージョン番号が表示されるようになりました。 アプリの一覧と [アプリの概要] ブレードの Microsoft Intune 管理センター に表示されます。 エンド ユーザーは、ポータル サイト アプリと Web ポータルでアプリ番号を確認できます。
完全なバージョン番号
完全なバージョン番号は、アプリの特定のリリースを識別します。 番号は Version(Build) として表示されます。 たとえば、2.2(2.2.17560800)。
完全なバージョン番号には、次の 2 つのコンポーネントがあります。
バージョン
バージョン番号は、アプリの人間が判読できるリリース番号です。 これは、エンド ユーザーがアプリのさまざまなリリースを識別するために使用されます。ビルド番号
ビルド番号は、アプリの検出やプログラムによるアプリの管理に使用できる内部番号です。 ビルド番号は、コード内の変更を参照するアプリのイテレーションを指します。
Android と iOS のバージョンとビルド番号
Android と iOS の両方で、アプリを参照してバージョン番号とビルド番号が使用されます。 ただし、どちらのオペレーティング システムにも OS 固有の意味があります。 次の表では、これらの用語の関連について説明します。
Intune で使用する基幹業務アプリケーションを開発する場合は、バージョンとビルド番号の両方を必ず使用してください。 Intune アプリ管理機能は、意味のある CFBundleVersion (iOS の場合) と PackageVersionCode (Android 用) に依存しています。 これらの番号は、アプリ マニフェストに含まれています。
Intune | iOS | Android | 説明 |
---|---|---|---|
バージョン番号 | CFBundleShortVersionString | PackageVersionName | この番号は、エンド ユーザー向けのアプリの特定のリリースを示します。 |
ビルド番号 | CFBundleVersion | PackageVersionCode | この数値は、アプリ コード内のイテレーションを示すために使用されます。 |
iOS
-
CFBundleShortVersionString
バンドルのリリース バージョン番号を指定します。 この番号は、リリースされたバージョンのアプリを識別します。 この番号は、エンド ユーザーがアプリを参照するために使用されます。 -
CFBundleVersion
バンドルのイテレーションを識別するバンドルのビルド バージョン。 この番号は、リリースまたはリリースされていないバンドルを識別できます。 この数値は、アプリの検出に使用されます。
Android
-
PackageVersionName
ユーザーに表示されるバージョン番号。 この属性は、生の文字列として、または文字列リソースへの参照として設定できます。 文字列には、ユーザーに表示される以外の目的はありません。 -
PackageVersionCode
内部バージョン番号。 この番号は、あるバージョンが別のバージョンよりも新しいかどうかを判断するためにのみ使用され、より新しいバージョンを示す数値が大きくなります。 これはバージョンではありません
統合後の次の手順
アプリのテスト
iOS または Android アプリを Intune App SDK と統合するために必要な手順を完了したら、ユーザーと IT 管理者に対してすべてのアプリ保護ポリシーが有効で機能していることを確認する必要があります。統合アプリをテストするには、次のものが必要です。
Microsoft Intune テスト アカウント: Intune で管理されるアプリを Intune アプリ保護機能に対してテストするには、Microsoft Intune アカウントが必要です。
iOS または Android ストア アプリの Intune アプリ保護ポリシーを有効にする ISV の場合は、登録手順で説明されているように、Microsoft Intune への登録を完了した後にプロモーション コードを受け取ります。 プロモーション コードを使用すると、1 年間の延長使用で Microsoft Intune 試用版にサインアップできます。
ストアに出荷されない基幹業務アプリを開発している場合は、組織を通じて Microsoft Intune にアクセスできる必要があります。 Microsoft Intune で 1 か月間の無料試用版にサインアップすることもできます。
エンド ユーザー アカウントを使用してモバイル デバイスでアプリをテストする場合は、管理者アカウントでログインした後、Microsoft 365 管理センター Web サイトでそのアカウントに Intune ライセンスを付与していることを確認してください。「 Microsoft Intune ライセンスの割り当て」を参照してください。
Intune アプリ保護ポリシー: すべての Intune アプリ保護ポリシーに対してアプリをテストするには、ポリシー設定ごとに予期される動作がわかっている必要があります。 iOS アプリ保護ポリシーと Android アプリ保護ポリシーの説明を参照してください。 アプリが Intune SDK を統合しているが、対象となるアプリの一覧に一覧にない場合は、[ カスタム アプリ] を選択するときに、テキスト ボックスでアプリのバンドル ID (iOS) またはパッケージ名 (Android) を指定できます。
トラブルシューティング: アプリのインストール ユーザー エクスペリエンスを手動でテストしているときに問題が発生した場合は、「アプリの インストールに関する問題のトラブルシューティング」を参照してください。
Intune Mobile App Management サービスへのアクセス権をアプリに付与する
アプリで独自のカスタム Microsoft Entra 設定を認証に使用している場合は、パブリック ストア アプリと内部 LOB アプリの両方に対して次の手順を実行する必要があります。 アプリで Intune SDK の既定のクライアント ID を使用している場合は、この手順を実行する必要はありません。
Azure テナント内にアプリを登録し、[ すべてのアプリケーション] にアプリが表示されたら、アプリに Intune Mobile App Management サービスへのアクセス権を付与する必要があります。 Microsoft Intune 管理センターで、次の手順を実行します。
- [Microsoft Entra ID] ブレードに移動します。
- [ アプリの登録] で、アプリケーション用に設定された一覧に移動します。
- [ + アクセス許可の追加] をクリックします。
- 組織が使用する API をクリックします。
- 検索ボックスに「 Microsoft Mobile Application Management」と入力します。
- [ 委任されたアクセス許可] で、[ DeviceManagementManagedApps.ReadWrite: ユーザーのアプリ管理データ* の読み取りと書き込み] チェック ボックスをオンにします。
- [アクセス許可を追加する] をクリックします。
アプリにバッジを付けます (省略可能)
Intune アプリ保護ポリシーがアプリで機能することを検証したら、Intune アプリ保護ロゴを使用してアプリ アイコンにバッジを付けることができます。
このバッジは、IT 管理者、エンド ユーザー、および Intune の潜在的な顧客に対して、アプリが Intune アプリ保護ポリシーと連携していることを示します。 これは、Intune の顧客によるアプリの使用と導入を促進します。
バッジはブリーフケース アイコンで、次のサンプルで確認できます。
アプリにバッジを付けるために必要なもの:
.epsファイルを読み取ることができる画像操作アプリケーション、または .ai ファイルを読み取ることができる Adobe アプリケーション。
Intune アプリ バッジの資産とガイドラインは、Microsoft Intune GitHub にあります。