アプリ保護ポリシーを作成して割り当てる方法

組織のユーザーに Microsoft Intune アプリ保護ポリシー (APP) を作成して割り当てる方法について説明します。 この記事では、既存のポリシーを変更する方法についても説明します。

はじめに

アプリ保護ポリシーは、Intune で管理される、または管理されない可能性があるデバイスで実行されているアプリに適用できます。 アプリ保護ポリシーのしくみと Intune アプリ保護ポリシーでサポートされているシナリオの詳細については、「アプリ保護ポリシーの概要」を参照してください。

アプリ保護ポリシー (APP) で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。

APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。

  • エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
  • エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
  • エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。

各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。

Intune SDK を統合したアプリのリストを探している場合は、「Microsoft Intune に保護されたアプリ」を参照してください。

組織の基幹業務 (LOB) アプリをアプリ保護ポリシーの準備のために Microsoft Intune に追加する方法については、「アプリを Microsoft Intune に追加する」を参照してください。

iOS/iPadOS および Android アプリのアプリ保護 ポリシー

iOS/iPadOS および Android アプリ用のアプリ保護ポリシーを作成するときは、Intune プロセス フローに従って、新しいアプリ保護ポリシーを作成します。 Windows アプリのアプリ保護ポリシーの作成については、「Windows の アプリ保護ポリシー設定」を参照してください。

iOS/iPadOS または Android アプリ保護ポリシーを作成する

  1. Microsoft Intune 管理センターにサインインします。
  2. [アプリ] > [アプリ保護 ポリシー] を選択します。 この選択により、[アプリ保護ポリシーの詳細] が開き、新しいポリシーを作成したり、既存のポリシーを編集したりできます。
  3. [ポリシーの作成] を選択し、[iOS/iPadOS] または [Android] を選択します。 [ポリシーの作成] ウィンドウが表示されます。
  4. [基本] ページで、次の値を追加します。
説明
名前 このアプリ保護ポリシーの名前。
Description [省略可能] このアプリ保護ポリシーの説明。

[ポリシーの作成] ウィンドウの [基本] ページを示すスクリーンショット

  1. [次へ] を選択して [アプリ] ページを表示します。
    [ アプリ] ページでは、このポリシーの対象となるアプリを選択できます。 少なくとも 1 つのアプリを追加する必要があります。

    値/オプション Description
    ポリシーのターゲット先 [ポリシーのターゲット先] ドロップダウン ボックスで、 アプリ保護ポリシーの対象を [すべてのアプリ]、[Microsoft Apps]、または [Core Microsoft Apps] から選択します。

    • [All Apps] には、Intune SDK を統合したすべての Microsoft Apps とパートナー アプリが含まれています。
    • [Microsoft Apps] には、Intune SDK を統合したすべての Microsoft Apps が含まれています。
    • Core Microsoft Apps には、Microsoft Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams、To Do、Word の各アプリが含まれています。

    次に、[対象となるアプリのリストを表示] を選択して、このポリシーの影響を受けるアプリのリストを表示できます。
    公開アプリ 定義済みのアプリ グループの 1 つを選択しない場合は、[ターゲット ポリシーの対象] ドロップダウン ボックスで [ 選択したアプリ ] を選択して、個々のアプリ をターゲットにすることができます 。 [公開アプリの選択] をクリックして、ターゲットとする公開アプリを選択します。
    カスタムアプリ 定義済みのアプリ グループの 1 つを選択しない場合は、[ターゲット ポリシーの対象] ドロップダウン ボックスで [ 選択したアプリ ] を選択して、個々のアプリ をターゲットにすることができます 。 [カスタム アプリを選択] をクリックして、バンドル ID に基づいてターゲットにするカスタム アプリを選択します。 同じポリシー内のすべてのパブリック アプリを対象とする場合、カスタム アプリを選択することはできません。

    選択したアプリは、公開アプリとカスタム アプリのリストに表示されます。

    注:

    [公開アプリ] がサポートされているのは、Microsoft Apps と、Microsoft Intuneで一般的に使用されるパートナーのアプリです。 Intune に保護されているアプリは、豊富な一連のモバイル アプリケーション保護ポリシーで有効化されています。 詳細については [Microsoft Intune に保護されているアプリ] を参照してください。 カスタム アプリとは、Intune SDK と統合されているか、Intune アプリ ラッピング ツールによってラップされている基幹業務アプリです。 詳細については「Microsoft Intune App SDK の概要」および「アプリ保護ポリシー対応の基幹業務アプリの準備」を参照してください。

  2. [次へ] をクリックして、[データ保護] ページを表示します。
    このページでは、切り取り、コピー、貼り付け、名前を付けて保存の制限など、データ損失防止 (DLP) コントロールの設定を提供します。 これらの設定は、このアプリ保護ポリシーが適用されるアプリ内のデータをユーザーがどのように操作するかを決定します。

    データ保護の設定:

  3. [次へ] を選択して、[アクセス要件] ページを表示します。
    このページには、ユーザーが仕事のコンテキストでアプリにアクセスするために満たす必要のある PIN と資格情報の要件を構成できる設定が用意されています。

    アクセス要件の設定:

  4. [次へ] をクリックして、[条件付き起動] ページを表示します。
    このページでは、アプリ保護ポリシーのサインイン セキュリティ要件を設定するための設定を提供します。 [設定] を選択し、ユーザーが会社のアプリにサインインするために満たす必要がある [] を入力します。 次に、ユーザーが要件を満たしていない場合に実行する アクション を選択します。 場合によっては、単一の設定に対して複数のアクションを構成できます。

    条件付き起動設定:

  5. [次へ] を選択して [割り当て] ページを表示します。
    [割り当て] ページでは、アプリ保護ポリシーをユーザーのグループに割り当てることができます。 ポリシーを有効にするには、ユーザーのグループにポリシーを適用する必要があります。

  6. [次へ: 確認と作成] をクリックして、このアプリ保護ポリシーに入力した値と設定を確認します。

  7. 完了したら、[ 作成 ] をクリックして Intune でアプリ保護ポリシーを作成します。

    ヒント

    これらのポリシー設定は、作業コンテキストでアプリを使用する場合にのみ適用されます。 エンド ユーザーがアプリを使用して個人用タスクを実行する場合、これらのポリシーの影響を受けません。 新しいファイルを作成するときは個人用ファイルと見なされることに注意してください。

    重要

    アプリ保護ポリシーが既存のデバイスに適用されるまでに時間がかかる場合があります。 アプリ保護ポリシーが適用されると、エンド ユーザーにはデバイスに通知が表示されます。 条件付きアクセス ルールを適用する前に、アプリ保護ポリシーをデバイスに適用します。

エンド ユーザーは、App Store または Google Play からアプリをダウンロードできます。 詳細については、以下を参照してください。

既存のポリシーの変更

既存のポリシーを編集し、対象ユーザーに適用できます。 ポリシーの配信タイミングの詳細については、「 App Protection Policy の配信タイミングについて」を参照してください。

ポリシーに関連付けられているアプリのリストを変更するには

  1. [アプリ保護 ポリシー] ウィンドウで、変更するポリシーを選択します。

  2. [Intune アプリ保護] ウィンドウで、[プロパティ] を選択します。

  3. [アプリ] というタイトルのセクションの横にある [編集] を選択します。

  4. [ アプリ] ページでは、このポリシーの対象となるアプリを選択できます。 少なくとも 1 つのアプリを追加する必要があります。

    値/オプション Description
    公開アプリ [ポリシーのターゲット先] ドロップダウン ボックスで、アプリ保護ポリシーの対象を [すべてのパブリック アプリ]、[Microsoft Apps]、または [Core Microsoft Apps] のいずれかから選択します。 次に、[対象となるアプリのリストを表示] を選択して、このポリシーの影響を受けるアプリのリストを表示できます。

    必要に応じて、[公開アプリの選択] をクリックして、個々のアプリをターゲットにすることを選択できます。

    カスタムアプリ [カスタム アプリを選択] をクリックして、バンドル ID に基づいてターゲットにするカスタム アプリを選択します。

    選択したアプリは、公開アプリとカスタム アプリのリストに表示されます。

  5. [確認と作成] をクリックして、このポリシーで選択したアプリを確認します。

  6. 完了したら、[ 保存 ] をクリックしてアプリ保護ポリシーを更新します。

ユーザー グループのリストを変更するには

  1. [アプリ保護 ポリシー] ウィンドウで、変更するポリシーを選択します。

  2. [Intune アプリ保護] ウィンドウで、[プロパティ] を選択します。

  3. [割り当て] というタイトルのセクションの横にある [編集] を選択します。

  4. 新しいユーザー グループをポリシーに追加するには、[Include] タブで [含めるグループを選択] を選んでユーザー グループを選択します。 [選択] を選んでグループを追加します。

  5. ユーザー グループを除外するには、[除外] タブで [除外するグループを選択] を選んでユーザー グループを選択します。 ユーザー グループを削除するには、[選択] を選びます。

  6. 前に追加したグループを削除するには、[包含] または [除外] タブで、 省略記号 (...) を選択し [削除] を選択します。

  7. このポリシー用に選択したユーザー グループを確認するには、[確認と作成] をクリックします。

  8. 割り当ての変更の準備ができたら、[保存] を選択して構成を保存し、新しいユーザー セットにポリシーを展開します。 構成を保存する前に [キャンセル ] を選択すると、[ 含める ] タブと [ 除外] タブに加えたすべての変更が破棄されます。

ポリシー設定を変更するには

  1. [アプリ保護 ポリシー] ウィンドウで、変更するポリシーを選択します。

  2. [Intune アプリ保護] ウィンドウで、[プロパティ] を選択します。

  3. 変更する設定に対応するセクションの横にある [編集] を選択します。 次に、設定を新しい値に変更します。

  4. このポリシー用に更新した設定を確認するには、[確認と作成] をクリックします。

  5. [保存] を選択し変更内容を保存します。 このプロセスを繰り返して設定領域を選択し、すべての変更が完了するまで変更を行いその変更を保存します。 その後、[Intune アプリ保護 - プロパティ] ウィンドウを閉じることができます。

デバイス管理の状態に基づいてアプリ保護ポリシーをターゲットにする

多くの組織では、エンド ユーザーが Intune Mobile Device Management (MDM) マネージド デバイス (企業所有デバイスなど) と Intune アプリ保護ポリシーのみで保護された非管理対象デバイスの両方を使用できるようにするのが一般的です。 アンマネージド デバイスは、多くの場合、"持ち込みデバイス (BYOD)" と呼ばれます。

Intune アプリ保護ポリシーはユーザーの ID を対象とするため、ユーザーの保護設定は、登録済み (MDM マネージド) デバイスと登録されていないデバイス (MDM なし) の両方に適用できます。 そのため、Intune アプリ保護ポリシーは、フィルターを使用して Intune に登録されているか登録解除された iOS/iPadOS および Android デバイスを対象にすることができます。 フィルターの作成の詳細については、「ポリシーを 割り当てるときにフィルターを使用する 」を参照してください。 厳格なデータ損失防止 (DLP) 制御が実施されているアンマネージド デバイスに対する 1 つの保護ポリシーと、DLP 制御が少し緩和される可能性がある MDM マネージド デバイス用の別の保護ポリシーを持たせることができます。 個人用 Android Enterprise デバイスでのこの動作の詳細については、「アプリ保護ポリシーと仕事用プロファイル」を参照してください。

ポリシーを割り当てるときにこれらのフィルターを使用するには、Intune 管理センターで [アプリ>アプリ保護ポリシー ] を参照し、[ ポリシーの作成] を選択します。 既存のアプリ保護ポリシーを編集することもできます。 [割り当て] ページに移動し、[フィルターの編集] を選択して、割り当てられたグループのフィルターを含めるか除外します。

デバイス管理の種類

重要

Microsoft Intune は、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

  • アンマネージド: iOS/iPadOS デバイスの場合、アンマネージド デバイスは、Intune MDM 管理またはサード パーティの MDM/EMM ソリューションが IntuneMAMUPN キーを渡さないデバイスです。 Android デバイスの場合、管理されていないデバイスは、Intune MDM 管理が検出されていないデバイスです。 これには、サード パーティの MDM ベンダーによって管理されているデバイスが含まれます。
  • Intune マネージド デバイス: マネージド デバイスは Intune MDM によって管理されます。
  • Android デバイス管理者: Android デバイス管理 API を使用して Intune で管理されるデバイス。
  • Android Enterprise: Android Enterprise の仕事用プロファイルまたは Android Enterprise Full デバイス管理を使用して Intune で管理されるデバイス。
  • Microsoft Entra 共有デバイス モードの Android Enterprise 企業所有の専用デバイス: 共有デバイス モードの Android Enterprise 専用デバイスを使用する Intune で管理されるデバイス。
  • Android (AOSP) ユーザー関連デバイス: AOSP ユーザー関連の管理を使用した Intune で管理されるデバイス。
  • Android (AOSP) ユーザーレス デバイス: AOSP ユーザーレス デバイスを使用した Intune で管理されるデバイス。 これらのデバイスは、Microsoft Entra 共有デバイス モードも利用します。

Android では、選択したデバイス管理の種類に関係なく、Android デバイスによって Intune ポータル サイト アプリのインストールが求められます。 たとえば、[Android Enterprise] を選択した場合でも、アンマネージドの Android デバイスを使用しているユーザーにメッセージが表示されます。

iOS/iPadOS の場合、デバイス管理の種類を Intune マネージド デバイスに適用するには、追加のアプリ構成設定が必要です。 これらの設定は、アプリ (App Protection Policy) サービスと通信して、アプリが管理されていることを示します。 そのため、アプリ構成ポリシーをデプロイするまで、アプリ設定は適用されません。 アプリの構成設定を次に示します。

  • IntuneMAMUPNIntuneMAMOID は、すべての MDM マネージド アプリケーションに対して構成する必要があります。 詳細については、「Microsoft Intune で iOS/iPadOS アプリ間のデータ転送を管理する方法」を参照してください。
  • IntuneMAMDeviceID は、すべてのサード パーティおよび基幹業務 MDM マネージド アプリケーションに対して構成する必要があります。 IntuneMAMDeviceID をデバイス ID トークンに構成する必要があります。 たとえば、key=IntuneMAMDeviceID, value={{deviceID}} などです。 詳細については、「iOS/iPadOS のマネージド デバイス用アプリ構成ポリシーを追加する」を参照してください。
  • IntuneMAMDeviceID のみが構成されている場合、Intune APP はデバイスをアンマネージドと見なします。

ポリシー設定

iOS/iPadOS および Android のポリシー設定の完全なリストを表示するには、次のいずれかのリンクを選択します:

次の手順

コンプライアンスとユーザーの状態を監視する

関連項目