アプリ中心の管理を使用してアプリへのアクセスを管理する
Important
すべての組織では、アプリ中心管理 (ACM) 機能を利用できません。 カスタムアクセス許可ポリシーを使用していなかったが、エンタープライズユーザーでない場合は、この機能を使用するように組織を移行しました。 カスタムアクセス許可ポリシーを使用している場合、またはエンタープライズ顧客である場合は、すぐに自分で ACM 機能に移行できるようになります。 タイムラインについては、「 メッセージ センターの投稿MC688930 」または 「Microsoft 365 ロードマップ項目の151829」を参照してください。
[アクセス許可ポリシー] ページにポリシーが表示される場合は、引き続きアプリのアクセス許可ポリシーを使用するか、独自にこの機能に移行します。 組織で ACM 機能を使用している場合は、アクセス許可ポリシー ページに次のメッセージが表示されます。
アプリ中心の管理機能により、ユーザーとグループの Teams アプリへのアクセスを制御する新しい方法が導入されました。 アプリのアクセス許可ポリシーが置き換えられます。 この機能を使用すると、各アプリを使用できるユーザーとグループを指定し、アプリごとに制御できます。
個々のユーザー、サポートされているグループ、または組織内のすべてのユーザーのアプリへのアクセスを管理できます。 組織にアプリを追加できるユーザーと追加できないユーザーを完全に制御できます。 また、Teams アプリ ストアに発行する新しいアプリへのアクセスを制御することもできます。
アプリ中心の管理とアクセス許可ポリシーの違い
以前は、アクセス許可ポリシーを使用する場合、次の 3 つの設定を使用してアプリへのアクセスを決定しました。
- サード パーティ製アプリの組織全体のアプリ設定: 組織レベルで適用され、すべてのサード パーティ製アプリがすべてのユーザーに対して使用できるかどうかを制御します。
- アプリの状態: アプリ レベルで許可またはブロックとして適用され、ユーザーが使用できるかどうかを制御します。
- アクセス許可ポリシー: ユーザー レベルで適用され、特定のユーザーがアプリを使用できるかどうかを制御します。
アプリ中心の管理機能により、これらの設定が簡略化されます。 各アプリには、割り当てたユーザーとグループの一覧を使用して、そのアクセス定義が含まれています。 これにより、ユーザーのニーズと組織のコンプライアンスとリスク体制に基づいて、各アプリを個別に管理できます。
この機能を使用する場合は、アプリごとに次のいずれかのオプションを使用してアプリへのアクセスを決定します。
| 新しいオプション | アプリを取得するユーザー | 以前の設定でマップする方法 |
|---|---|---|
Everyone |
すべての組織ユーザー、新しいユーザー、ゲストが使用できます | アプリとグローバル (組織全体の既定) アプリのアクセス許可ポリシーを許可して、すべてのユーザーがアプリを使用できるようにするのと同じ効果です。 |
Specific users or groups |
アプリを使用できるのは、選択したユーザーとグループだけです。 サポートされるグループの種類は、セキュリティ グループ、Microsoft 365 グループ、動的ユーザー メンバーシップ グループ、入れ子になったグループ、配布リストです。 | カスタム アプリのアクセス許可ポリシーを使用して、選択したユーザーまたはグループにアプリの使用を制限するのと同じです。 |
No one |
どのユーザーも使用できません | ブロックされたアプリと同じです。 |
ユーザーがアプリへのアクセスを許可するメソッドは、この機能を使用して変更されます。 以前は、ユーザーへのアクセスを許可するために、ポリシーに許可されたアプリとしてアプリを追加し、そのポリシーをユーザーに割り当てます。 この機能を使用して、選択したユーザーがアプリを使用できるように、アプリの可用性を変更するだけです。 また、アプリと許可されたユーザーの異なる組み合わせに対して複数のポリシーを作成する必要はありません。
アプリ中心の管理に移行する
以前は、カスタム ポリシーを使用していない組織を自動的に移行しました。 管理者はオンデマンド移行を実行できるようになりました。 2 種類の移行の違いを理解します。
| 移行の種類 | 誰がそれを行うのか | 要件 | どのように行われますか |
|---|---|---|---|
| 支援 | Administrator | 組織で 1 つ以上のカスタム ポリシーが使用される | 管理センターのガイド付き UI |
| 自動 | Microsoft | 組織では、既定のグローバル ポリシーのみが使用されます | 管理者の介入なしで自動 |
移行の準備を行い、次の手順に従って準備することを強くお勧めします。
Teams 管理センターにログインし、Teams アプリ>[Permission ポリシー] ページにアクセスします。 アクセス許可ポリシーでアプリのインベントリを取得し、アプリが許可またはブロックされているユーザーとグループを特定します。 移行中に、既存のユーザーとグループの一部のアプリの可用性を手動で編集しなければならない場合があります。 詳細については、手順 5 を参照してください。
[アクセス許可ポリシー] ページで、[ 開始] を選択します。
移行するポリシーを選択し、[ 次へ] を選択します。 ページには、ユーザーまたはグループに割り当てられているポリシーのみが表示されます。 また、移行するポリシーの一部であるアプリとその可用性のみを移行します。 選択されていないポリシー内のアプリは移行の一部ではなく、後で移行することはできません。 ただし、移行後に任意のアプリの可用性を手動で編集できます。
次のページで、ユーザーのアプリの可用性を確認します。 次の 3 つのタブには、組織全体のアプリ設定のアプリの一覧と、移行を選択したアプリのアクセス許可ポリシーが表示されます。
- すべてのユーザーが利用できる: 組織内のすべてのユーザーに許可されているアプリの一覧。
- 特定のユーザーとグループで使用できる: 少なくとも 1 人の組織ユーザーまたはサポートされているグループに対して選択的に許可されるアプリの一覧。
- 誰も使用できない: 組織内の誰も使用できないアプリの一覧。
各タブでは、必要に応じて、アプリの可用性を 3 つのアプリの可用性の種類のいずれかに変更できます。 アプリの可用性が明確ではなく、管理者の入力を続行する必要がある場合は、[可用性の編集] オプションが [ 特定のユーザーとグループで使用可能 ] タブに表示されます。 これは、移行または競合する可用性を持つポリシーにアプリが存在しないためです。 続行する前に、このようなアプリを に割り当てる必要があります。
先端
このタブに多数のアプリが表示される場合は、アプリの可用性が競合するポリシーが存在する可能性があります。 たとえば、多くのアプリを許可するポリシーと、同じアプリをブロックする別のポリシーなどです。 このようなシナリオでは、競合につながるポリシーをオフにするか、このタブで可用性を編集することをお勧めします。
変更は、アプリごとまたはユーザーごとに検証できます。 タブを選択し、アプリまたはユーザーの名前を入力します。
最後のレビュー UI では、移行後に適用されるアプリ、その可用性、組織全体のアプリ設定を確認できます。 この情報を CSV ファイルとしてダウンロードして、さらに評価できます。 たとえば、手順 1 のインベントリ マッピングを使用して、アプリの可用性が意図したとおりであることを確認できます。 確実に、[ 移行の開始 ] を選択し、プロンプトに従います。
移行中は、[ 後で完了] オプションを使用して、移行の進行状況の下書きを保存できます。 また、[ すべての変更をリセット ] オプションを使用して、保存した下書きを取り消して削除することもできます。
注意
移行を開始すると、既存のアプリ管理 UI が無効になります。 続行する準備ができていない場合や、終了するアクセス許可ポリシーを変更する場合は、ウィザードを開き、[すべての変更をリセット] オプションを選択します。 移行をもう一度再起動できます。
移行後も、ブロックされたアプリは引き続きユーザーが使用できなくなります。 このようなアプリの状態は現在unblockedと表示されますが、[アプリの管理] ページの [Available to] 列のNo oneにアプリが割り当てられます。 これは、組織ユーザーが前に意図したとおりにアプリを使用できないことを意味します。
ユーザーのアプリの可用性を追加または変更する
ユーザーがアプリを追加して使用できるようにするには、ユーザーまたはグループをアプリに割り当てる必要があります。 変更が有効になるまでに最大 24 時間かかります。
Teams 管理センターで、[ アプリの管理 ] ページに移動し、必要なアプリを検索し、アプリ名を選択してアプリの詳細ページを開きます。 アプリを一括で割り当てることはできません。
[ 割り当て ] タブを選択します。
[アプリの割り当て] または [アプリの割り当て] を選択します
[ このアプリをインストールできるユーザーの管理] メニューから必要なオプションを選択します。 ユーザーまたはグループを割り当てる場合は、[ユーザーまたはグループの検索] メニューから ユーザーまたはグループを検索 します。 [適用] を選択します。
アプリから 1 つ以上のユーザーまたはグループを削除するには、行を選択し、[削除] を選択 します。
アプリの可用性の既定の設定
アプリの可用性を定義するだけでなく、新しいアプリの既定のアプリの可用性を制御することもできます。 アプリの種類ごとに制御できます。 新しい組織の場合、ユーザーが既定でアプリをインストールできるように、既定の設定が設定されています。 既存の組織の場合、 古い設定は新しいアクセス設定にマップされます。
この既定の設定を変更するには、[ アプリの管理 ] ページにアクセスし、[ アクション>Org-wide アプリの設定] を選択し、必要な設定を変更します。
組織全体のアプリ設定は、次に適用されます。
- Teams アプリ ストアで利用可能になったすべての新しいアプリ。
- アクティブに管理していなかったすべての既存のアプリ、つまり、 の可用性を変更しませんでした。
組織全体のアプリ設定は、次の場合には適用されません。
- ユーザー割り当てが [特定のユーザーとグループ] に設定され、ユーザーによって保存されたすべてのアプリ。
- Everyone または No one に割り当てられ、個別に保存されたすべてのアプリ。
- ブロックされたアプリ。
この機能の使用を開始し、すべてのアプリがすべてのユーザーに割り当てられたシナリオを考えてみましょう。 次に、アプリの可用性を特定のグループまたは一部のユーザーに変更しました。 この変更を保存した後、「 既定で使用可能なアプリをインストールして使用できるようにする」というタイトルの組織全体のアプリ設定を変更した場合、この特定のアプリは引き続き特定のグループまたはユーザーに割り当てられます。 組織全体のアプリ設定に対する変更は、可用性を変更しなかったアプリにのみ適用されます。 さらに、[ 既定で使用可能なアプリをユーザーがインストールして使用できるようにする ] 設定をもう一度変更すると、アクティブに管理したアプリを除き、他のすべてのアプリの可用性が再び影響を受けます。
組織内のアプリを表示する
カタログ内のすべてのアプリを表示し、[アプリの 管理 ] ページからアプリの可用性に簡単にアクセスできます。 3 種類のアプリの可用性をすべて使用して、並べ替えとフィルター処理を行うことができます。 Microsoft が提供するアプリについては、「 Microsoft で作成されたアプリの一覧」を参照してください。
特定のユーザーが使用できるすべてのアプリを表示する
[ ユーザーの管理 ] ページで、ユーザーを選択してユーザーの詳細ページを開き、[ アプリ ] タブを選択します。タブには、ユーザーがアクセスできるアプリが一覧表示されます。 アプリのアクセスの種類を簡単に見つけるには、アプリの名前を検索できます。
![[ユーザーの管理] ページから、ユーザーがアクセスできるすべてのアプリを表示する方法を示すスクリーンショット。](media/acm-manage-user-apps-tab.png)
各アプリには、ユーザーがアプリに割り当てられている方法を示す可用性の種類が表示されます。これは、すべてのユーザーへの可用性、ユーザーへの直接の可用性、またはグループを通じて行われます。 この一覧には、ユーザーに割り当てられ、組織内で使用できるアプリのみが表示されます。 誰にも割り当てられていないアプリと、組織でブロックされているアプリは、この一覧に表示されません。
ユーザーのアプリの可用性を削除できます。 ユーザーに直接割り当てられているアプリを選択し、[削除] を選択 します。 アプリがすべてのユーザーまたはグループで使用できる場合、ユーザーの可用性を削除することはできません。
古いアクセス許可ポリシーと新しいアプリの可用性の間のマッピング
テナントの管理センターがこの機能を受け取ると、アプリアクセスに対して次の更新が行われます。 アプリへのアクセスは変更されません。更新プログラムでは、既存のアクセス許可ポリシーのみが新しい可用性にマップされます。
| 以前のアプリのアクセス許可ポリシーと組織の設定 | この機能の使用中の組織全体のアプリ設定 |
|---|---|
Microsoft アプリのグローバルアクセス許可ポリシーが Allow all されたか、Microsoft アプリのグローバルアクセス許可ポリシーが Block an app(s), allow all others |
Allow users install available apps by default Microsoft アプリが に設定されている場合 |
Microsoft アプリのグローバルアクセス許可ポリシーが Block all されたか、Microsoft アプリのグローバルアクセス許可ポリシーが Allow app(s), Block all others |
Allow users install available apps by default Microsoft アプリが off に設定されている場合 |
組織全体のアプリ設定のサード パーティ製アプリの設定が に設定されました。組織全体のアプリ設定の新しいサード パーティ製アプリ設定が に設定されました。サード パーティ製アプリのグローバルアクセス許可ポリシーが Allow allされました。または、サード パーティアプリのグローバルアクセス許可ポリシーが Block an app(s), allow all others |
Allow users install available apps by default サード パーティ製アプリの 場合は、 が に設定されています |
組織全体のアプリ設定のサード パーティ製アプリの設定がオフに設定されました。組織全体のアプリ設定の新しいサード パーティ製アプリ設定がオフに設定されました。サード パーティ製アプリのグローバルアクセス許可ポリシーが Block allされました。または、サード パーティアプリのグローバルアクセス許可ポリシーが Allow app(s), Block all others |
Allow users install available apps by default サード パーティ製アプリが オフに設定されている場合 |
カスタム アプリのグローバルアクセス許可ポリシーが Allow all されたか、カスタム アプリのグローバルアクセス許可ポリシーが Block an app(s), allow all others |
Allow users install available apps by default カスタム アプリが に設定されている場合 |
カスタム アプリのグローバルアクセス許可ポリシーが Block all されたか、カスタム アプリのグローバルアクセス許可ポリシーが Allow app(s), Block all others |
Allow users install available apps by default カスタム アプリが off に設定されている場合 |
| 以前のアプリの状態 | 以前に適用されたアクセス許可ポリシー | この機能を使用する場合のアプリの可用性 |
|---|---|---|
| ブロックされました | ブロックされました | 誰もインストールできない |
| ブロックされました | 許可 | 誰もインストールできない |
| 許可 | ブロックされました | 誰もインストールできない |
| 許可 | 許可 | すべてのユーザー |
考慮事項と既知の制限事項
アプリには、一度に最大 99 人のユーザーまたはグループを追加できます。
追加するユーザーまたはグループを検索すると、UI には 20 件の結果のみが表示されます。 予想される結果が見つからない場合は、正確な名前を使用するように検索クエリを絞り込みます。
移行後も、ブロックされたアプリは引き続きユーザーが使用できなくなります。 このようなアプリの状態は現在
unblockedされていますが、[アプリの管理] ページの [Available to] 列でアプリをNo oneできます。 これは、組織ユーザーが前に意図したとおりにアプリを使用できないことを意味します。この機能に切り替えた後は、アクセス許可ポリシーにアクセスしたり、編集したり、アクセス許可ポリシーを使用したりすることはできません。 組織を移行すると、移行を元に戻すことはできません。
アプリの可用性を一括で更新することはできません。