管理対象の Android Enterprise デバイスのアプリ構成ポリシーを追加する

  • [アーティクル]

Microsoft Intune のアプリ構成ポリシーは、管理対象の Android Enterprise デバイス上の Managed Google Play アプリの設定を提供します。 アプリ開発者は、Android で管理されるアプリの構成設定を公開します。 Intune は、管理者がアプリの機能を構成するために、これらの公開設定を使用します。 アプリ構成ポリシーは、ユーザー グループに割り当てられます。 ポリシー設定は、通常、アプリの初回実行時に、アプリがチェックするときに使用されます。

すべてのアプリがアプリ構成をサポートしているわけではありません。 アプリがアプリ構成ポリシーをサポートしているかどうかは、アプリの開発者にご確認ください。

注:

これらのデバイスは引き続きサポートされるため、この要件は Microsoft Teams Android デバイスには適用されません。

Intune アプリ保護ポリシーと、Managed apps アプリ構成ポリシーを介して配信されるアプリ構成の場合、Intune には Android 9.0 以降が必要です。

メール アプリ

Android Enterprise には、いくつかの登録方法があります。 登録の種類は、デバイスでのメールの構成方法によって異なります。

  • Android Enterprise のフル マネージド、専用、会社所有の仕事用プロファイルでは、アプリ構成ポリシーとこの記事の手順をご使用ください。 アプリ構成ポリシーは、Gmail と Nine Work メール アプリをサポートしています。
  • 仕事用プロファイルを持つ個人所有の Android Enterprise デバイスで、Android Enterprise メール デバイス構成プロファイルを作成します。 プロファイルを作成するときに、アプリ構成ポリシーをサポートするメール クライアントの設定を構成できます。 構成デザイナーを使用する場合、Intune には Gmail アプリと Nine Work アプリに固有のメール設定が含まれます。

アプリ構成ポリシーを作成する

  1. Microsoft Intune 管理センターにサインインします。

  2. [アプリ]>[アプリ構成ポリシー]>[追加]>[マネージド デバイス] の順に選択します。 [マネージド デバイス][マネージド アプリ] のどちらかを選択できることに注意してください。 詳細については、「アプリ構成をサポートするアプリ」を参照してください。

  3. [基本] ページで、次の詳細を設定します。

    • 名前 - ポータルに表示されるプロファイルの名前。
    • 説明 - ポータルに表示されるプロファイルの説明。
    • デバイスの登録の種類 - この設定は、マネージド デバイスに設定されます。

  4. プラットフォームとして [Android Enterprise] を選択します。

  5. [対象アプリ] の横にある [アプリの選択] をクリックします。 関連アプリ ウィンドウが表示されます。

  6. 関連アプリ ウィンドウで、構成ポリシーに関連付けるマネージド アプリを選択し、[OK] をクリックします。

  7. [次へ] をクリックして、[設定] ページを表示します。

  8. [追加] をクリックしてアクセス許可の追加ウィンドウを表示します。

  9. オーバーライドするアクセス許可をクリックします。 付与されたアクセス許可は、選択したアプリの「既定のアプリのアクセス許可」ポリシーよりも優先されます。

  10. アクセス許可ごとのアクセス許可状態を設定します。 [プロンプト][自動付与]、または [自動拒否] から選択できます。

    注:

    Android 12 の時点では、Coporate 所有の仕事用プロファイルまたは企業所有の専用デバイスでは、次のアクセス許可の 自動付与 の構成はサポートされていません。

    • SMS (読み取り)
    • 場所へのアクセス (粗)
    • 場所へのアクセス (細かい)
    • カメラ
    • 音声を録音する
    • ボディ センサー データを許可する
    • 背景の場所

  11. マネージド アプリで構成設定がサポートされている場合は、[構成設定の形式] ドロップダウン ボックスが表示されます。 構成情報を追加するには、次のいずれかの方法を選択してください。

    • 構成デザイナーを使用する
    • JSON データの入力

    構成デザイナーの使用方法の詳細については、「構成デザイナーを使用する」を参照してください。 XML データの入力の詳細については、「JSON データの入力」を参照してください。

  12. ユーザーが仕事用プロファイルと個人用プロファイルの両方で対象のアプリを接続できるようにする必要がある場合は、[接続アプリ] の横にある [有効] を選択します。

    構成ポリシーのスクリーンショット - 設定

    注:

    この設定は、個人所有および会社所有の仕事用プロファイル デバイスでのみ機能します。

    [接続アプリ] 設定を [未構成] に変更しても、構成ポリシーはデバイスから削除されません。 [接続アプリ] 機能をデバイスから削除するには、関連する構成ポリシーの割り当てを解除する必要があります。

  13. [次へ] をクリックして [スコープ タグ] ページを表示します。

  14. [省略可能] アプリ構成ポリシーのスコープ タグを構成できます。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

  15. [次へ] を選択して [割り当て] ページを表示します。

  16. アプリ構成ポリシーを割り当てるには、[割り当て先] の横にあるドロップダウン ボックスで [グループの追加][すべてのユーザーの追加]、または [すべてのデバイスの追加] のいずれかを選択します。 割り当てグループを選択したら、[フィルター] を選択して、マネージド デバイスのアプリ構成ポリシーを展開するときに割り当てスコープを絞り込むことができます。

    ポリシー割り当てのスクリーンショット - 割り当て

  17. ドロップダウン ボックスで [すべてのユーザー] を選択します。

    ポリシーの割り当てのスクリーンショット - [すべてのユーザー] ドロップダウン オプション

  18. [省略可能] [フィルターの編集] をクリックしてフィルターを追加し、割り当てスコープを絞り込みます。

    ポリシー割り当てのスクリーンショット - フィルターの編集

  19. [除外するグループの選択] をクリックして、関連するウィンドウを表示します。

  20. 除外するグループを選択し [選択] をクリックします。

    注:

    グループを追加するときに、指定した割り当ての種類に対して他のグループが既に含まれている場合、そのグループは事前に選択され、他の割り当ての種類に変更できません。 したがって、使用されているグループは、除外グループとしては使用できません。

  21. [次へ] をクリックして、[確認と作成] ページを表示します。

  22. [作成] をクリックして、アプリ構成ポリシーを Intune に追加します。

構成デザイナーを使用する

アプリが構成設定をサポートするように設計されている場合は、Managed Google Play アプリの構成デザイナーを使用できます。 構成は、Intune に登録されているデバイスに適用されます。 デザイナーでは、アプリによって公開される設定の特定の構成値を構成できます。

  1. [追加] を選択します。 アプリに入力する構成設定のリストを選択します。

    Gmail または Nine Work メール アプリを使用している場合は、Android Enterprise デバイス設定を使用してメールを構成することで、これらの特定の設定に関する詳細情報が得られます。

  2. 構成内のキーと値ごとに、次の値を設定します。

    • 値の型: 構成値のデータ型。 文字列値型の場合は、必要に応じて、値の種類として変数または証明書プロファイルを選択できます。 ポリシーが作成されると、これらの値型は文字列として表示されることに注意してください。
    • 構成値: 構成の値。 値の型に変数または証明書を選択した場合、変数または証明書プロファイルのリストから選択します。 証明書を選択すると、デバイスに展開された証明書の証明書エイリアスが実行時に入力されます。

構成値でサポートされている変数

値の型として変数を選択した場合、次のオプションを選択できます。

オプション
Microsoft Entra デバイス ID dc0dc142-11d8-4b12-bfea-cae2a8514c82
Account ID fc0dc142-71d8-4b12-bbea-bae2a8514c81
Intune デバイス ID b9841cd9-9843-405f-be28-b2265c59ef97
ドメイン contoso.com
メール john@contoso.com
部分的な UPN John
ユーザー ID 3ec2c00f-b125-4519-acf0-302ac3761822
ユーザー名 John Doe
ユーザー プリンシパル名 john@contoso.com

アプリで構成済みの組織アカウントのみを許可する

Microsoft Intune の管理者として、職場または学校のアカウントをマネージド デバイスの Microsoft アプリに追加するように制御できます。 アクセスを許可された組織のユーザー アカウントのみに制限し、登録済みデバイスの個人用アカウントをブロックできます。 Android デバイスの場合、マネージド デバイス アプリの構成ポリシーで次のキーと値のペアを使用します。

キー com.microsoft.intune.mam.AllowedAccountUPNs
  • 1 つまたは複数の ; で区切られた UPN。
  • このキーで定義された管理対象ユーザー アカウントのみ許可されます。
  • Intune に登録されているデバイスの場合、{{userprincipalname}} トークンを使用して、登録済みのユーザー アカウントを表すことができます。

注:

次のアプリは、上記のアプリ構成を処理し、組織アカウントのみを許可します。

  • Copilot for Android (28.1.420328045 以降)
  • Edge for Android (42.0.4.4048 以降)
  • Office、Word、Excel、PowerPoint for Android (16.0.9327.1000 以降)
  • OneDrive for Android (5.28 以降)
  • OneNote for Android (16.0.13231.20222 以降)
  • Outlook for Android (2.2.222 以降)
  • Teams for Android (1416/1.0.0.2020073101 以降)

JSON データの入力

アプリの一部の構成設定 (バンドル タイプのアプリなど) は、構成デザイナーでは構成できません。 これらの値には JSON エディターを使用してください。 設定は、アプリのインストール時に自動的にアプリに提供されます。

  1. 構成設定の形式については、[JSON エディターの入力] を選択します。
  2. エディターでは、構成設定の JSON 値を定義できます。 [JSON テンプレートのダウンロード] を選択すると、構成可能なサンプル ファイルをダウンロードできます。
  3. [OK] を選んでから、[追加] を選択します。

ポリシーが作成され、一覧に表示されます。

割り当てられたアプリがデバイスで実行されると、アプリ構成ポリシーで構成した設定で実行されます。

接続されたアプリを有効にする

適用対象:
Android 11 以降

個人所有の仕事用プロファイルユーザーには、ポータル サイト バージョン 5.0.5291.0 以降が必要です。 会社所有の仕事用プロファイル ユーザーは、サポートのために特定のバージョンの Microsoft Intune アプリを必要としません。

Android の個人所有および会社所有の仕事用プロファイルを使用するユーザーに対して、サポートされているアプリの接続されたアプリ エクスペリエンスを有効にすることを許可できます。 このアプリ構成設定を使用すると、アプリは仕事用および個人用のアプリ インスタンス間でアプリ データを接続して統合できます。

アプリでこのエクスペリエンスを提供するには、アプリを Google の接続されたアプリ SDK と統合する必要があるため、一部のアプリのみがサポートされています。 接続されたアプリの設定を事前に有効にすることができ、アプリがサポートを追加すると、ユーザーは接続されたアプリ エクスペリエンスを有効にすることができるようになります。

[接続アプリ] 設定を [未構成] に変更しても、構成ポリシーはデバイスから削除されません。 [接続アプリ] 機能をデバイスから削除するには、関連する構成ポリシーの割り当てを解除する必要があります。

警告

アプリの接続されたアプリ機能を有効にした場合、個人用アプリの作業データはアプリ保護ポリシーによって保護されません。

さらに、接続されたアプリの構成に関係なく、一部の OEM は特定のアプリを自動的に接続したり、構成しなかったアプリを接続するためにユーザーの承認を求めることができる場合があります。 この場合のアプリの例としては、OEM のキーボード アプリがあります。

接続されたアプリの設定を有効にした後で、ユーザーが仕事用アプリと個人用アプリを接続するには次の 2 つの方法があります。

  1. サポートされているアプリは、プロファイル間での接続を承認するようユーザーに求めることができます。
  2. [設定] アプリを開き、[接続された職場と個人用アプリ] セクションに移動すると、サポートされているすべてのアプリが一覧表示されます。

重要

同じデバイスを対象とする同じアプリに対して複数のアプリ構成ポリシーが割り当てられ、1 つのポリシーが [接続アプリ]Enabled に設定している一方で、他のポリシーが設定していない場合、アプリ構成は競合を報告し、その結果デバイスに適用される動作は、接続されたアプリを許可しないようになります。

アプリのアクセス許可状態を事前構成する

また、Android デバイスの機能にアクセスするためのアプリのアクセス許可を事前構成することもできます。 既定では、位置情報やデバイス カメラへのアクセスなど、デバイスのアクセス許可を必要とする Android アプリは、ユーザーにアクセス許可の承認または拒否するかを尋ねます。

たとえば、アプリがデバイスのマイクを使用するとします。 ユーザーは、アプリにマイクを使用する許可を与えるように促されます。

  1. Microsoft Intune 管理センターで、[アプリ]>[アプリ構成ポリシー]>[追加]>[マネージド デバイス] を選択します。
  2. 以下のプロパティを追加します。
    • 名前: ポリシーのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なポリシー名として「会社全体の Android Enterprise プロンプト アクセス許可アプリ ポリシー」があります。
    • 説明。 プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。
    • デバイスの登録の種類: この設定は、マネージド デバイスに設定されます。
    • [プラットフォーム]: [Android エンタープライズ] を選択します。
  3. [プロファイルの種類] を選択します。
  4. [対象アプリ] を選択します。 構成ポリシーを関連付けるアプリを選択します。 Intune で承認および同期した Android Enterprise フル マネージド仕事用プロファイル アプリのリストから選択します。
  5. [アクセス許可]>[追加] を選択します。 リストから、使用可能なアプリのアクセス許可を選択して >[OK] を選択します。
  6. このポリシーで付与する各アクセス許可のオプションを選択します。
    • プロンプト。 ユーザーに承認または拒否を促します。
    • 自動付与。 ユーザーに通知せずに自動的に承認します。
    • 自動拒否。 ユーザーに通知せずに自動的に拒否します。
  7. アプリ構成ポリシーを割り当てるには、アプリ構成ポリシーの >[割り当て]>[グループの選択] を選択します。 > [選択] を割り当てるユーザー グループを選択します。
  8. [保存] を選択してポリシーを割り当てます。

追加情報

次の手順

アプリの [割り当て][監視] に進みます。