Microsoft Intune でアプリとアプリ データを管理する
アプリとそのデータの管理と保護は、エンドポイント管理戦略とソリューションの重要な部分です。 ほとんどの環境では、ユーザーはパブリック リテール アプリをインストールし、これらのアプリから組織データにアクセスできる可能性があります。 また、多くの組織には、管理 & 展開する必要がある独自のプライベート アプリと基幹業務アプリもあります。 このアプリ データが組織内に留まるようにする必要があります。
アプリ管理は困難な場合があり、Intune が役立ちます。 Microsoft Intune は、多くのアプリの種類を管理できるクラウドベースのサービスです。 管理者は Intune を使用して、組織のリソースにアクセスするアプリを展開、構成、保護、更新できます。 Intune とその利点の詳細については、「 Microsoft Intune とは」を参照してください。
Microsoft Intune では、Android、iOS/iPadOS、macOS、および Windows クライアント デバイスでアプリを管理できます。 そのため、多くのデバイスで Intune のアプリ管理機能を使用できます。
サービスの観点から見ると、Intune は ID 管理に Microsoft Entra ID を使用します。 一部のアプリを使用するには、これらの Microsoft Entra ユーザー ID にライセンスが割り当てられている必要があります。 Microsoft Intune 管理センターは、ライセンスの管理にも役立ちます。
この記事では、アプリの管理とセキュリティ保護の際に考慮する必要がある概念と機能について説明します。
組織で使用するアプリを展開する
組織は、ストア アプリ、基幹業務 (LOB) アプリ、Web アプリなど、さまざまな種類のアプリを使用します。 Intune にアプリを追加し、そのアプリ ポリシー管理を使用して、これらのアプリをデバイスに展開できます。
Intune 管理センターのアプリ機能を使用すると、これらのさまざまな種類のアプリを簡単に展開できます。
Android デバイスの場合、Intune 管理センターはパブリック Play ストアに自動的に接続し、アプリを検索する機能を提供します。 また、マネージド Google Play アカウントと同期して、プライベート アプリを含む Android Enterprise アプリにアクセスすることもできます。
Android デバイスでは、次をデプロイできます。
- パブリック Play ストアからのパブリック アプリとリテール アプリ
- Android Enterprise デバイスへのマネージド Google Play アプリ
- Web アプリへの Web リンク
- 組み込みのアプリ。これは、Intune 管理センターに自動的に含まれ、利用可能なアプリです
- 組織が作成するカスタム基幹業務アプリ
- Android Enterprise システム アプリ(通常は Android デバイスに含まれるアプリ)
Google Mobile Services (GMS) (Android の Web サイトを開く) を使用している場合は、GMS にライセンスを購入できます。これは通常、Android デバイスを購入するときに発生します。 GMS を使用すると、ユーザーはパブリック Play ストアとそのパブリック アプリにアクセスできます。
組織が Google Mobile Services (GMS) ( Android の Web サイトを開く) を使用していない場合、Intune は Android オープン ソース プロジェクト (AOSP) プラットフォームを使用してデバイスを管理することもできます。
より具体的な情報については、以下を参照してください:
iOS/iPadOS デバイスの場合、Intune 管理センターはパブリック App Store に自動的に接続し、アプリを検索する機能を提供します。 Apple Business Manager または Apple School Manager アカウントと同期して、ボリューム ライセンスアプリにアクセスすることもできます。 同期すると、購入したアプリ (ライセンスアプリ) が管理センターに自動的に表示されます。
iOS/iPadOS デバイスでは、次をデプロイできます。
- パブリック App Store のパブリック アプリとリテール アプリ
- Apple Business Manager または Apple School Manager を使用したボリューム ライセンスアプリ
- ホーム画面に追加できる Web サイト リンクへのショートカットである Web クリップ
- Web アプリへの Web リンク
- 組み込みのアプリ。これは、Intune 管理センターに自動的に含まれ、利用可能なアプリです
- 組織が作成するカスタム基幹業務アプリ
より具体的な情報については、以下を参照してください:
macOS デバイスの場合、Intune 管理センターには、Microsoft Edge や Microsoft 365 アプリなど、macOS に一般的に展開されるアプリを含む機能が組み込まれています。 Apple Business Manager または Apple School Manager アカウントと同期して、ボリューム ライセンスアプリにアクセスすることもできます。 同期すると、購入したアプリ (ライセンスアプリ) が管理センターに自動的に表示されます。
macOS デバイスでは、次をデプロイできます。
- Apple Business Manager または Apple School Manager を使用したボリューム ライセンスアプリ
- Word、Excel、PowerPoint、Outlook、OneNote、Teams、OneDrive を含む Microsoft 365 アプリ
- Microsoft Edge バージョン 77 以降(最新の Chromium バージョン)
- Microsoft Defender for Endpoint は、悪意を検出し、セキュリティの脅威の修復に役立つクラウド サービスです
- Web アプリへの Web リンク
- 組織が作成するカスタム基幹業務アプリ
- Apple Disk Image (DMG) アプリ。これは、デプロイする 1 つ以上のアプリを含むファイルです
より具体的な情報については、以下を参照してください:
Windows デバイスの場合、Intune 管理センターはパブリック Microsoft Store に自動的に接続し、アプリを検索する機能を提供します。 また、Microsoft Store for Business アカウントと同期して、ボリューム ライセンスアプリにアクセスすることもできます。 同期すると、購入したアプリ (ライセンスアプリ) が管理センターに自動的に表示されます。
Windows デバイスでは、次を展開できます。
- ビジネス向け Microsoft Store を使用したボリューム ライセンスアプリ
- Microsoft Store のパブリック アプリとリテール アプリ
- Word、Excel、PowerPoint、Outlook、OneNote、Teams、OneDrive を含む Microsoft 365 アプリ
- Microsoft Edge バージョン 77 以降(最新の Chromium バージョン)
- Web アプリへの Web リンク
- 組織が作成するカスタム基幹業務アプリ
- Win32 アプリ
より具体的な情報については、以下を参照してください:
注:
ビジネス向け Microsoft Store は廃止される予定です。 Windows 11 以降では、プライベート ボリューム ライセンスアプリの新しいオプションがあります。 詳細については、「 Windows 11 のプライベート アプリ リポジトリ 」および「 Microsoft Intune と Windows 上の Microsoft Store の統合への更新」を参照してください。
アプリをインストールする前に構成する
アプリがユーザーとデバイスに展開されると、ユーザーに構成情報の入力を求めることができます。 ユーザーが入力する内容がわからない場合や、特定の方法で構成する組織の設定がある場合があります。
アプリ構成ポリシーでは、これらの機能が提供されます。 アプリを自動的に構成するアプリ構成ポリシーを作成できます。 ポリシー設定によっては、ユーザーがアプリを開くときに構成情報を入力する必要がない場合があります。
たとえば、アプリ構成ポリシーでは、アプリの言語を入力したり、組織のロゴを追加したり、個人用アカウントを使用してアプリをブロックしたりできます。
アプリ構成ポリシーは、いつでもデプロイできます。 ユーザーが初めてアプリを開く前にアプリを構成する場合は、ユーザーがデバイスを登録するときにアプリ構成ポリシーを含めます。 登録中に、アプリ構成ポリシーが自動的に展開され、アプリに構成設定が含まれます。
詳細については、「 Intune のアプリ構成ポリシー」を参照してください。
組織所有デバイスと個人用デバイス上のアプリを保護する
アプリ保護ポリシーは、組織のデータにアクセスするアプリのデータを保護するための重要な部分です。 ユーザー所有の個人デバイスが組織のデータにアクセスしている場合は、アプリ保護ポリシーが必要です。 これらのポリシーを使用して、メールの保護、共有ファイルの保護、会議へのアクセスの保護などを行います。
Intune を使用すると、個人所有のデバイスや別の MDM プロバイダーによって管理されているデバイスなど、ユーザーとデバイスにアプリ保護ポリシーを作成、構成、展開できます。 通常、組織所有のデバイスは組織によって管理されます。 これらのマネージド デバイスに追加のセキュリティを必要とするアプリがある場合は、これらのデバイスでアプリ保護ポリシーを使用することもできます。
アプリ保護ポリシーは、個人データを組織データから分離するのにも役立ちます。 たとえば、アプリ間のコピーと貼り付けをブロックしたり、アプリを開くときに PIN を要求したり、個人用クラウド サービスへのバックアップをブロックしたりするポリシーを作成できます。
より具体的な情報については、以下を参照してください:
アプリを最新バージョンに更新する
アプリは、多くの場合、バグ修正、機能の改善、セキュリティ更新プログラムなどを含むように更新されます。 Intune を使用してアプリを展開すると、アプリの更新プログラムが利用可能になると、ほとんどのアプリが自動的に更新されます。 そのため、Intune を使用して組織で使用されるアプリを展開することをお勧めします。
Windows Autopatch を使用して、Microsoft 365 Apps for enterprise、Microsoft Edge、Microsoft Teamsの自動修正プログラムを適用することもできます。
ユーザーがパブリック アプリ ストアを含むアプリを自分でインストールする場合、これらのアプリは手動で更新する必要があります。 このような状況では、アプリ保護ポリシーを使用してアプリの最小バージョンを適用したり、標準を満たしていないデバイスで組織データをワイプしたりできます。
詳細については、次を参照してください: