管理対象の iOS/iPadOS デバイスのアプリ構成ポリシーを追加する

  • [アーティクル]

Microsoft Intune のアプリ構成ポリシーを使用して、iOS/iPadOS アプリのカスタム構成設定を提供します。 これらの構成設定を使用すると、アプリのサプライヤーの指示に基づいてアプリをカスタマイズできます。 これらの構成設定 (キーと値) は、アプリのサプライヤーから入手する必要があります。 アプリを構成するには、設定をキーと値として指定するか、キーと値を含む XML として指定します。

Microsoft Intune の管理者は、マネージド デバイスの Microsoft 365 (Office) アプリケーションに追加するユーザー アカウントを制御できます。 アクセスを許可された組織のユーザー アカウントのみに制限し、登録済みデバイスの個人用アカウントをブロックできます。 サポートしているアプリケーションは、アプリの構成を処理し、承認されていないアカウントを削除してブロックします。 構成ポリシー設定は、通常、アプリが初めて実行されるときに、アプリがこれらの設定をチェックするときに使用されます。

アプリ構成ポリシーを追加したら、そのアプリ構成ポリシーの割り当てを設定できます。 ポリシーの割り当てを設定するときに、フィルターを使用して、ポリシーが適用されるユーザー グループの追加と除外を行うことができます。 1 つ以上のグループを追加する場合は、追加する特定のグループを選択するか、組み込みグループを選択できます。 組み込みグループには、[すべてのユーザー][すべてのデバイス]、および [すべてのユーザー + すべてのデバイス] が含まれます。

注:

Intune では、便利なように、最適化が組み込まれた [すべてのユーザー] グループと [すべてのデバイス] グループがコンソールで提供されています。 これらのグループを使用して、自分で作成した [すべてのユーザー] グループまたは [すべてのデバイス] グループではなく、すべてのユーザーとすべてのデバイスを対象にすることを強くお勧めします。

アプリケーション構成ポリシーに含めるグループを選択したら、除外する特定のグループも選択できます。 詳細については、「Microsoft Intune でのアプリ割り当ての追加と除外」を参照してください。

ヒント

このポリシーの種類は、現在、iOS/iPadOS 8.0 以降を実行しているデバイスでのみ使用できます。 次のアプリ インストールの種類をサポートしています。

  • App Store から入手したマネージド iOS/iPadOS アプリ
  • iOS 用アプリ パッケージ

アプリ インストールの種類の詳細については、「Microsoft Intune にアプリを登録する方法」を参照してください。 マネージド デバイス用に .ipa アプリ パッケージにアプリ構成を組み込む方法の詳細については、「iOS 開発者向けドキュメント」の「マネージド アプリの構成」を参照してください。

アプリ構成ポリシーを作成する

  1. Microsoft Intune 管理センターにサインインします。

  2. [アプリ]>[アプリ構成ポリシー]>[追加]>[マネージド デバイス] の順に選択します。 [マネージド デバイス][マネージド アプリ] のどちらかを選択できることに注意してください。 詳細については、「アプリ構成をサポートするアプリ」を参照してください。

  3. [基本] ページで、次の詳細を設定します。

    • [名前] - Microsoft Intune 管理センターに表示されるプロファイルの名前。
    • [説明] - Microsoft Intune 管理センターに表示されるプロファイルの説明。
    • [デバイスの登録の種類] - この設定は、[マネージド デバイス] に設定されます。

  4. [プラットフォーム][iOS/iPadOS] を選択します。

  5. [対象アプリ] の横にある [アプリの選択] をクリックします。 [関連アプリ] ウィンドウが表示されます。

  6. [対象アプリ] ウィンドウで、構成ポリシーに関連付けるマネージド アプリを選択し、[OK] をクリックします。

  7. [次へ] をクリックして、[設定] ページを表示します。

  8. ドロップダウン ボックスで、[構成設定の形式] を選択します。 構成情報を追加するには、次のいずれかの方法を選択してください。

    • 構成デザイナーを使用する
    • XML データを入力する

      構成デザイナーの使用方法の詳細については、「構成デザイナーを使用する」を参照してください。 XML データの入力方法の詳細については、「XML データを入力する」を参照してください。

  9. [次へ] をクリックして [スコープ タグ] ページを表示します。

  10. [省略可能] アプリ構成ポリシーのスコープ タグを構成できます。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

  11. [次へ] を選択して [割り当て] ページを表示します。

  12. アプリ構成ポリシーを割り当てるには、[割り当て] ページで [グループの追加][すべてのユーザーの追加]、または [すべてのデバイスの追加] のいずれかを選択します。 割り当てグループを選択したら、[フィルター] を選択して、マネージド デバイスのアプリ構成ポリシーを展開するときに割り当てスコープを絞り込むことができます。

    構成ポリシーの割り当てページのスクリーンショット

  13. ドロップダウン ボックスで [すべてのユーザー] を選択します。

    ポリシー割り当てのスクリーンショット - [すべてのユーザー] ドロップダウン オプション

  14. [省略可能] [フィルターの編集] をクリックしてフィルターを追加し、割り当てスコープを絞り込みます。

    ポリシー割り当てのスクリーンショット - [フィルターの編集]

  15. [除外するグループの選択] をクリックして、関連するウィンドウを表示します。

  16. 除外するグループを選択し [選択] をクリックします。

    注:

    グループを追加するときに、指定した割り当ての種類に対して他のグループが既に含まれている場合、そのグループは事前に選択され、他の割り当ての種類に変更できません。 したがって、使用されているグループは、除外グループとしては使用できません。

  17. [次へ] をクリックして、[確認と作成] ページを表示します。

  18. [作成] をクリックして、アプリ構成ポリシーを Intune に追加します。

構成デザイナーを使用する

Microsoft Intune は、アプリ固有の構成設定を提供します。 デバイスの Microsoft Intune への登録有無にかかわらず、アプリの構成デザイナーを使用できます。 デザイナーでは、基になる XML を作成する際に役立つ特定の構成キーと値を構成できます。 各値のデータ型も指定する必要があります。 これらの設定は、アプリのインストール時に自動的にアプリに提供されます。

設定を追加する

  1. 構成内のキーと値ごとに、次の値を設定します。
    • [構成キー] - 特定の設定構成を一意に識別する、大文字と小文字を区別するキー。
    • [値の型] - 構成値のデータ型。 型には、整数、実数、文字列、ブール値などがあります。
    • [構成値] - 構成の値。
  2. [OK] を選択して、構成の設定値を設定します。

設定を削除する

  1. 設定の横にある省略記号 ([...]) を選択します。
  2. [削除] を選択します。

{{ and }} はトークンの種類でのみ使用され、他の目的には使用できません。

アプリで構成済みの組織アカウントのみを許可する

Microsoft Intune の管理者は、マネージド デバイスの Microsoft アプリに追加する職場または学校アカウントを制御できます。 アクセスを許可された組織のユーザー アカウントのみに制限し、アプリ内で登録済みデバイスの個人用アカウントをブロックできます (サポートされている場合)。 iOS/iPadOS デバイスの場合、マネージド デバイス アプリの構成ポリシーで次のキーと値のペアを使用します。

キー
IntuneMAMAllowedAccountsOnly
  • [有効]: IntuneMAMUPN キーによって定義されたマネージド ユーザー アカウントのみが許可されます。
  • [無効] (または、大文字と小文字の区別なく Enabled に一致しない任意の値): すべてのアカウントを使用できます。
IntuneMAMUPN
  • アプリへのサインインが許可されているアカウントの UPN。
  • Intune に登録されているデバイスの場合、{{userprincipalname}} トークンを使用して、登録済みのユーザー アカウントを表すことができます。

注:

次のアプリは、上記のアプリ構成を処理し、組織アカウントのみを許可します。

  • Copilot for iOS (28.1.420324001 以降)
  • Edge for iOS (44.8.7 以降)
  • Office、Word、Excel、PowerPoint for iOS (2.41 以降)
  • OneDrive for iOS (10.34 以降)
  • OneNote for iOS (2.41 以降)
  • Outlook for iOS (2.99.0 以降)
  • Teams for iOS (2.0.15 以降)

アプリで構成済みの組織アカウントを要求する

登録済みのデバイスでは、組織は、他のマネージド アプリから組織データを受信するために、職場または学校アカウントでマネージド Microsoft アプリにサインインするように要求できます。 たとえば、ユーザーがネイティブ iOS メール クライアントにあるマネージド メール プロファイルに含まれるメール メッセージに添付ファイルを追加したシナリオを考えてみましょう。 ユーザーがデバイスで管理され、これらのキーが適用されている Microsoft アプリ (Office など) に添付ファイルを転送しようとすると、この構成では、転送された添付ファイルが組織データとして扱われ、職場または学校アカウントへのサインインが必要となり、アプリ保護ポリシー設定が適用されます。

iOS/iPadOS デバイスの場合、Microsoft アプリごとにマネージド デバイス アプリの構成ポリシーで次のキーと値のペアを使用します。

キー
IntuneMAMRequireAccounts
  • [有効]: アプリで組織データを受信するには、ユーザーが IntuneMAMUPN キーで定義されたマネージド ユーザー アカウントにサインインする必要があります。
  • [無効] (または、大文字と小文字の区別なく Enabled に一致しない任意の値): アカウントへのサインインは必要ありません。
IntuneMAMUPN
  • アプリへのサインインが許可されているアカウントの UPN。
  • Intune に登録されているデバイスの場合、{{userprincipalname}} トークンを使用して、登録済みのユーザー アカウントを表すことができます。

注:

アプリには、Intune APP SDK for iOS バージョン 12.3.3 以降が必要であり、職場または学校アカウントへのサインインを必須とする場合は、Intune アプリ保護ポリシーの対象にする必要があります。 アプリ保護ポリシー内で、[他のアプリからデータを受信する] を [受信した組織のデータを持つすべてのアプリ] に設定する必要があります。

現時点では、対象アプリが受信する組織データが存在する場合にのみ、アプリのサインインが必要です。

XML データを入力する

Intune に登録されているデバイスのアプリ構成設定を含む XML プロパティ リストを入力または貼り付けることができます。 XML プロパティ リストの形式は、構成するアプリによって異なります。 使用する正確な形式の詳細については、アプリのサプライヤーにお問い合わせください。

Intune では XML 形式を検証します。 ただし、Intune では、XML プロパティ リスト (PList) のターゲット アプリでの動作については確認しません。

XML プロパティ リストの詳細については、次を参照してください。

アプリ構成 XML ファイルの形式の例

アプリ構成ファイルを作成するときに、この形式を使用して、次の値を 1 つ以上指定できます。

<dict>
  <key>userprincipalname</key>
  <string>{{userprincipalname}}</string>
  <key>mail</key>
  <string>{{mail}}</string>
  <key>partialupn</key>
  <string>{{partialupn}}</string>
  <key>accountid</key>
  <string>{{accountid}}</string>
  <key>deviceid</key>
  <string>{{deviceid}}</string>
  <key>userid</key>
  <string>{{userid}}</string>
  <key>username</key>
  <string>{{username}}</string>
  <key>serialnumber</key>
  <string>{{serialnumber}}</string>
  <key>serialnumberlast4digits</key>
  <string>{{serialnumberlast4digits}}</string>
  <key>udidlast4digits</key>
  <string>{{udidlast4digits}}</string>
  <key>aaddeviceid</key>
  <string>{{aaddeviceid}}</string>
  <key>IsSupervised</key>
  <string>{{IsSupervised}}</string>
</dict>

サポートされている XML PList データ型

Intune では、プロパティ一覧で次のデータ型がサポートされています。

  • <integer>
  • <real>
  • <string>
  • <配列>
  • <dict>
  • <true /> または <false />

プロパティ一覧で使用されるトークン

さらに、Intune では、プロパティ一覧で次のトークンの種類がサポートされています。

  • {{userprincipalname}} - 例: John@contoso.com
  • {{mail}} - 例: John@contoso.com
  • {{partialupn}} - 例: John
  • {{accountid}} - 例: fc0dc142-71d8-4b12-bbea-bae2a8514c81
  • {{deviceid}} - 例: b9841cd9-9843-405f-be28-b2265c59ef97
  • {{userid}} - 例: 3ec2c00f-b125-4519-acf0-302ac3761822
  • {{username}} - 例: John Doe
  • {{serialnumber}} - 例: F4KN99ZUG5V2 (iOS/iPadOS デバイスの場合)
  • {{serialnumberlast4digits}} - 例: G5V2 (iOS/iPadOS デバイスの場合)
  • {{aaddeviceid}} - 例: ab0dc123-45d6-7e89-aabb-cde0a1234b56
  • {{issupervised}} - 例: True (iOS/iPadOS デバイスの場合)
  • {{OnPremisesSamAccountName}} - 例: contoso\John

デバイスの自動登録に登録されている iOS および iPadOS デバイスをサポートするように、ポータル サイト アプリを構成する

Apple の自動デバイス登録は、既定では App Store バージョンのポータル サイト アプリと互換性がありません。 ただし、次の手順を使用して、ユーザーが App Store からポータル サイトをダウンロードした場合でも、iOS/iPadOS ADE デバイスをサポートするようにポータル サイト アプリを構成できます。

  1. Microsoft Intune 管理センターで、Intune ポータル サイト アプリがまだ追加されていない場合は、[アプリ]>[すべてのアプリ]>[追加]>[iOS ストア アプリ] の順に移動して追加します。

  2. [アプリ]>[アプリ構成ポリシー] の順に移動して、ポータル サイト アプリのアプリ構成ポリシーを作成します。

  3. 以下の XML を使用してアプリ構成ポリシーを作成します。 アプリ構成ポリシーを作成して XML データを入力する方法の詳細については、「マネージド iOS/iPadOS デバイスのアプリ構成ポリシーの追加」を参照してください。

    • ユーザー アフィニティを使用して登録された自動デバイス登録 (ADE) デバイスでポータル サイトを使用する:

      注:

      登録プロファイルで [ポータル サイトをインストールする] が [はい] に設定されている場合、Intune は初期登録プロセスの一環として、以下のアプリケーション構成ポリシーを自動的にプッシュします。 登録時に既に送信されたペイロードとの競合が発生するため、この構成をユーザーまたはデバイスに手動で展開しないでください。展開した場合、エンド ユーザーはポータル サイトにサインインした後に新しい管理プロファイルをダウンロードするように求められます (これらのデバイスには管理プロファイルが既にインストールされているため、ダウンロードしないでください)。

      <dict>
    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>
    <dict>
        <key>IntuneDeviceId</key>
        <string>{{deviceid}}</string>
        <key>UserId</key>
        <string>{{userid}}</string>
    </dict>
</dict>

    • ユーザー アフィニティなしで登録された ADE デバイスでポータル サイトを使用する (デバイス ステージング):

      注:

      ポータル サイトにサインインするユーザーは、デバイスのプライマリ ユーザーとして設定されます。

      <dict>
    <key>IntuneUDAUserlessDevice</key>
    <string>{{SIGNEDDEVICEID}}</string>
</dict>

  4. 目的のグループを対象とするアプリ構成ポリシーを使用して、デバイスにポータル サイトを展開します。 ポリシーは、既に ADE に登録されているデバイスのグループにのみ展開してください。

  5. 自動的にインストールされたら、ポータル サイト アプリにサインインするようにエンド ユーザーに指示します。

注:

ユーザー アフィニティなしで ADE デバイス上のポータル サイト アプリを許可するアプリ構成を追加すると、STATE Policy Error が発生することがあります。 他のアプリ構成とは異なり、この状況はデバイスがチェックインするたびに発生するわけではありません。 代わりに、このアプリ構成は、ユーザー アフィニティなしで登録された既存のデバイスが、ユーザーがポータル サイトにサインインしたときにユーザー アフィニティを取得できるようにする 1 回限りの操作を目的としています。 このアプリ構成が正常に適用されると、バックグラウンドでポリシーから削除されます。 ポリシーの割り当ては存在しますが、アプリの構成がバックグラウンドで削除されると "成功" は報告されません。 アプリ構成ポリシーがデバイスに適用されたら、ポリシーの割り当てを解除できます。

デバイスごとの iOS/iPadOS アプリの構成状態を監視する

構成ポリシーが割り当てられたら、マネージド デバイスごとに iOS/iPadOS アプリの構成状態を監視できます。 Microsoft IntuneMicrosoft Intune 管理センターで、[デバイス]>[すべてのデバイス] の順に選択します。 マネージド デバイスの一覧から特定のデバイスを選択して、そのデバイスのウィンドウを表示します。 デバイスのウィンドウで、[アプリの構成] を選択します。

追加情報

次の手順

アプリの [割り当て][監視] に進みます。