アプリ間のデータ転送のトラブルシューティング
この記事では、データ転送を許可するように設計されたMicrosoft Intune アプリ保護ポリシー (APP) が意図したとおりに機能しないシナリオのトラブルシューティング ガイダンスについて説明します。 Intune APP の最も一般的な用途は、データ保護、APP マネージド アプリケーション (アプリ) 間の企業データの転送の制御、およびアンマネージド アプリへのデータ転送の制限です。 たとえば、ユーザーは、Microsoft Outlook アプリから Microsoft Excel アプリ (両方のポリシーで管理) に企業データを転送できますが、Dropbox モバイル アプリ (アンマネージド アプリ) には転送できません。
データ保護Intune APP を適用すると、Outlook や Teams などの管理対象アプリ間でユーザーがデータを転送できないという大きな予期しない動作が発生します。 このようなシナリオでは、この記事のトラブルシューティング手順を使用して、問題の診断と解決に役立ちます。 一般的な APP のトラブルシューティングについては、「Intuneでのアプリ保護ポリシーのデプロイのトラブルシューティング」を参照してください。
サポートされているプラットフォーム、OS バージョン、アプリを使用していることを確認する
アプリ保護ポリシーを使用するための前提条件を満たしていることを確認します。 サポートされているプラットフォーム、オペレーティング システム (OS) バージョン、アプリにはいくつかの要件があります。
サポートされているプラットフォーム: アプリ保護 ポリシーは、iOS、iPadOS、Android でサポートされています。 ただし、 共有 iPad デバイス と Android Enterprise 専用デバイス はサポートされていません。
サポートされている OS バージョン: サポートされている OS とバージョンを使用していることを確認します。 「Intuneでサポートされているオペレーティング システムとブラウザー」で説明されているように、アプリ保護ポリシーの特別なバージョン要件に注意してください。 サポートされているオペレーティング システムは時間の経過と同時に変化し、古いバージョンはサポートされなくなります。 また、OS が使用する各アプリの要件を満たしていることを確認します。
サポートされているアプリ:アプリ保護ポリシーをサポートするには、アプリを Microsoft Intune App SDK と統合する必要があります。 サポートされている Microsoft アプリケーションとパートナー アプリケーションの一覧については、「保護されたアプリMicrosoft Intune」を参照してください。
アカウントが企業アカウントであり、ファイルが企業データであることを確認する
Intuneアプリ保護ポリシー (APP) のスコープは、企業アカウントとデータのみを対象としています。 APP を使用して個人アカウントを保護したり、個人データの転送を管理したりすることはできません。 アプリを正しく適用するには、マネージド アプリへのサインインに使用しているアカウントが企業アカウントであり、共有しようとしているデータが企業データであることを確認する必要があります。 次の内容を確認します。
企業アカウント:ユーザー アカウントは、会社のMicrosoft Entra テナントに属しており、企業アカウントと見なされます。 これらのアカウントは、Microsoft Entra Connect を使用してオンプレミスの Active Directoryと同期できます。 アプリを使用するには、Intune ライセンスをユーザーに割り当てる必要があります。
企業データ:OneDrive for Businessや SharePoint Online などの管理された場所に格納されているデータは、企業データと見なされます。 個人のローカル ストレージの場所に格納されているデータは、企業データとして扱われません。 マネージド Microsoft Office アプリ (Wordや Excel など) を使用して作成されたファイルは、管理された場所 (OneDrive for Businessおよび SharePoint Online) に保存された場合にのみ企業データと見なされます。 Office ファイルをOneDrive for Businessに保存すると、会社のデータとして扱われます。 ローカル ストレージまたはその他の管理されていない場所に保存されたファイルは、個人データとして扱われ、APP によって保護されません。 Microsoft Outlook アプリで下書き、送信、受信したメールは、企業アカウントでサインインしているときに作成された場合、企業データとして扱われます。
マルチ ID アプリ: Outlook や OneDrive などの一部のアプリケーションでは、マルチ ID がサポートされているため、企業アカウントと個人用アカウントの両方を同時にアプリに追加できます。 このシナリオでは、企業アカウントのファイル、電子メール、ドキュメントは企業データとして扱われ、APP によって保護されます。 たとえば、OneDrive for Businessに格納されているファイルや Outlook のメールや添付ファイルは、企業データとして扱われます。 このデータの転送データは、APP を使用して制限できます。 一方、個人アカウントの OneDrive ファイルと Outlook メールは個人データとして扱われ、APP によって保護されません。 APP では、これらのアカウントのデータ転送を制限することはできません。
Android の場合、アプリが仕事用プロファイルにあることをチェックします
Android 仕事用プロファイル デバイスを使用している場合は、会社のデータを操作するときに、ユーザーが仕事用プロファイル アプリを使用していることを確認します。 これらのデバイスIntuneアプリを適用するには、Intune ポータル サイト アプリを仕事用プロファイルにインストールする必要があります。 ポータル サイト アプリのインストールの詳細については、「Microsoft Intuneを使用してWindows 10 ポータル サイト アプリを追加する」を参照してください。
仕事用プロファイル内のアプリは、アプリ アイコンのブリーフケース バッジで識別されます。
Android 仕事用プロファイルの詳細については、「 Android 仕事用プロファイルの概要」を参照してください。
想定されるアプリ設定がアプリに適用されていることを確認する
Intuneとデバイス側で構成されているアプリ保護ポリシー設定の両方を確認します。 このドキュメントの「Intune APP 設定の確認」セクションの表は、管理センターで設定が正しく構成されていることを確認するための一般的なガイドラインを示しています。 確認したら、デバイス上のアプリに同じ設定が適用されていることを確認します。
Intuneでアプリの設定を確認する
Intune管理センターでは、[アプリ>アプリ保護 ポリシー] でアプリ保護ポリシーを作成および管理できます。 [ データ保護 ] セクションには、データ転送シナリオの重要な設定が含まれています。これは、予期しない動作が発生しているかどうかを確認する必要があります。 次の表に、データ保護の一般的な APP 設定とそのユース ケースを示します。
| 設定名 | OS | 値を設定する | ユース ケース |
|---|---|---|---|
| 組織データを他のアプリに送信する | Android | ポリシーで管理されているアプリ | ポリシーで管理されているアプリへのデータ転送を制限します。 データはアンマネージド アプリに転送できますが、データは暗号化され、開くできません。 |
| iOS/iPadOS | OS 共有を使用した管理対象アプリのポリシー設定 | "IntuneMAMUPN" アプリ構成ポリシーを適用することで、データ転送をポリシー管理アプリとアンマネージド アプリに制限できます。 「iOS/iPadOS セキュリティ アプリの構成ポリシー」および「Microsoft Intuneで iOS アプリ間のデータ転送を管理する方法」を参照してください。 | |
| iOS | Open-In/Share フィルター処理を使用したポリシー管理アプリ | 共有拡張機能に表示されるアプリをフィルター処理して、データ転送を制限します。 この設定でファイルを共有すると、使用可能なアプリは、Intune APP のみをサポートするものに制限されます。 | |
| 除外するアプリを選択します | iOS | カスタム URI スキーム | 特定のアンマネージド アプリへのデータ転送を許可します。 |
| Android | アプリ パッケージ ID | 特定のアンマネージド アプリへのデータ転送を許可します。 | |
| 除外するユニバーサル リンクを選択する | iOS/iPadOS | URL 文字列 | Microsoft Edge ではなく URL リンクを開くアンマネージド アプリを指定します。 |
| 管理対象ユニバーサル リンクを選択する | iOS/iPadOS | URL 文字列 | Microsoft Edge ではなく URL リンクを開くマネージド アプリを指定します。 |
| 組織データのコピーを保存 | すべて | ブロック | ファイルの保存場所をブロックまたは制限します。 |
| 選択したサービスにユーザーがコピーを保存することを許可 | すべて | OneDrive for Business、SharePoint、Box、ローカル ストレージ、フォト ライブラリ | マネージド ファイルの保存場所を指定します。 その他の場所がブロックされているか、データが暗号化された状態で保持されます。 |
| 他のアプリからデータを受信 | すべて | すべてのアプリ | マネージド アプリが、アンマネージド アプリを含む任意のアプリからデータを受信できるようにします。 |
| iOS/iPadOS | 受信組織データを含むすべてのアプリ | マネージド アプリが、アンマネージド アプリを含む任意のアプリからデータを受信できるようにします。 | |
| すべて | ポリシーで管理されているアプリ | アプリがポリシーで管理されているアプリからのみデータを受信できるようにする。 | |
| すべて | なし | 任意のアプリからの受信データをブロックします。 | |
| データを開いて組織ドキュメントに読み込む | すべて | 許可 | 任意のデータ ソースからのデータを開くことを許可します。 |
| すべて | ブロック | 特定のデータ ソースからのデータを開くのを制限します。 | |
| 選択したサービスからデータを開くことをユーザーに許可する | すべて | OneDrive for Business、SharePoint、カメラ、フォト ライブラリ | 選択したデータ ソース アプリからデータを開くことが許可されます。 |
| その他のアプリでの Web コンテンツの転送を制限する | すべて | Microsoft Edge | ポリシーで管理される Microsoft Edge アプリを指定して、URL リンクを開きます。 |
詳細については、「 iOS/iPadOS アプリ保護ポリシー設定 」と 「Android アプリ保護ポリシー設定」を参照してください。
Microsoft Edge を使用してデバイス側のアプリ設定を確認する
Microsoft Edge でIntune 診断を実行して、デバイス上の各マネージド アプリケーションに適用された APP 設定をチェックします。
デバイスで Microsoft Edge を開き、URL about:intunehelp を入力します。 次の例に示すように、Intune診断が開きます。
[アプリの状態Intune表示 (iOS/iPadOS)] または [アプリ情報の表示 (Android)] をタップして、デバイス上の各アプリに適用されているアプリ設定を表示します。
このビューの設定値を、Intuneで構成されているものと比較します。
これらの設定の値の詳細については、「 クライアント アプリ保護ログを確認する」を参照してください。
注: このビューでは、アプリのバージョンとIntune App SDK のバージョンを確認することもできます。
動作を他のデバイス、ユーザー、アプリ、パターンと比較する
デバイス、ユーザー、アプリ、操作の動作を比較して問題のトラブルシューティングを行い、根本原因を分離して絞り込むのに役立ちます。 問題が 1 つのデバイスまたはデバイスのサブセットに固有であるかどうかを理解するために、他のデバイスと他のユーザーの問題を特定または再現してみてください。 他のデバイスに問題が表示されない場合は、ユーザー グループ、デバイス モデル、OS バージョンなど、問題のあるデバイスの違いを特定してみてください。
また、アプリ間の動作を比較するのにも役立ちます。 Excel アプリに表示される問題は、Word アプリでは発生しない可能性があります。 これらの比較を行う場合は、予期しない動作がバージョンに固有である可能性があるため、アプリのバージョンとアプリ SDK のバージョンをIntuneすることが重要です。 利用可能な最新バージョンにアプリを定期的に更新することをお勧めします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示