Microsoft Intune を使用してアプリをグループに割り当てる
Microsoft Intune にアプリを追加したら、そのアプリをユーザーとデバイスに割り当てることができます。 デバイスが Intune によって管理されているかどうかに関係なく、デバイスにアプリを展開できることに注意してください。
注:
Android Enterprise フル マネージド デバイス (COBO) と Android Enterprise 企業所有の個人所有 (COPE) デバイスを対象とする場合、 登録済み デバイスに対して使用可能な展開意図は 、ユーザー グループ とデバイス グループ でサポートされます。
マネージド アプリを割り当てる場合のオプション
次の表に、ユーザーとデバイスにアプリ を割り当てる際のさまざまなオプションを 示します。
オプション | Intune に登録されているデバイス | Intune に登録されていないデバイス |
---|---|---|
ユーザーに割り当てる | はい | はい |
デバイスに割り当てる | はい | 不要 |
ラップされたアプリまたは Intune SDK を組み込んだアプリを割り当てる (アプリ保護ポリシー用) | はい | はい |
アプリを使用可能として割り当てる | はい | はい |
アプリを必須として割り当てる | はい | 不要 |
アプリをアンインストールする | はい | 不要 |
Intune からアプリの更新プログラムを受信する | はい | 不要 |
エンド ユーザーは、ポータル サイト アプリから使用可能なアプリをインストールします | はい | 不要 |
エンド ユーザーは、Web ベースのポータル サイトから使用可能なアプリをインストールします | はい | はい |
注:
現在、iOS/iPadOS および Android アプリ (基幹業務および店舗で購入したアプリ) を、Intune に登録されていないデバイスに割り当てることができます。
Intune に登録されていないデバイスでアプリの更新プログラムを受信するには、デバイス ユーザーが組織の会社のポータル サイトに移動し、アプリの更新プログラムを手動でインストールする必要があります。
ほぼすべてのアプリの種類とプラットフォームの場合、 使用可能な割り当ては 、デバイス グループではなく、ユーザー グループに割り当てるときにのみ有効です。 Win32 アプリは、ユーザー グループまたはデバイス グループに割り当てることができます。
管理対象の Google Play の実稼働前トラック アプリが Android Enterprise 個人所有の仕事用プロファイル デバイスで必要に応じて割り当てられている場合、デバイスにはインストールされません。 これを回避するには、2 つの同一のユーザー グループを作成し、運用前トラックを 1 つのユーザーに "使用可能" として割り当て、もう一方に "必須" を割り当てます。 その結果、運用前のトラックがデバイスに正常にデプロイされます。
アプリを割り当てる
Microsoft Intune 管理センターにサインインします。
[アプリ]>[すべてのアプリ] を選択します。
[アプリ] ウィンドウで、割り当てるアプリを選択します。
メニューの [ 管理 ] セクションで、[プロパティ] を選択 します。
[ プロパティ ] まで下にスクロールし、[ 割り当て] を選択します。
[グループの追加] を選択して、アプリに関連する [グループの追加] ウィンドウを開きます。
特定のアプリについて、割り当ての種類を選択します。
登録済みのデバイスで使用可能: ポータル サイト アプリまたは Web サイトからアプリをインストールできるユーザーのグループにアプリを割り当てます。
登録の有無にかかわらず使用できる: デバイスが Intune に登録されていないユーザーのグループにこのアプリを割り当てます。 ユーザーには Intune ライセンスを割り当てる必要があります。「Intune ライセンス」を参照してください。
[必須]: アプリは選択したグループのデバイスにインストールされます。 一部のプラットフォームでは、アプリのインストールを開始する前に、エンド ユーザーが確認するための追加のプロンプトが表示される場合があります。
アンインストール: 同じ展開を使用して "登録済みデバイスで使用可能" または "必須" の割り当てを介して Intune が以前にアプリケーションをデバイスにインストールした場合、アプリは選択したグループのデバイスからアンインストールされます。
注:
iOS/iPadOS アプリの場合のみ:
- デバイスが管理されなくなったときに管理対象アプリに起こることを構成するには、[デバイスの削除時にアンインストール] で目的の設定を選択できます。 詳細については、「iOS/iPadOS 管理対象アプリのアプリ アンインストール設定」を参照してください。
- アプリごとの VPN 設定を含む iOS/iPadOS VPN プロファイルを作成した場合は、[VPN] で VPN プロファイルを選択できます。 アプリを実行すると、VPN 接続が開きます。 詳細については、「iOS/iPadOS デバイスの VPN 設定」を参照してください。
- 必要な iOS/iPadOS アプリがエンド ユーザーによってリムーバブル アプリとしてインストールされるかどうかを構成するには、[リムーバブルとしてインストール] で設定を選択できます。
- 管理対象の iOS/iPadOS アプリの iCloud バックアップを防止する方法を構成するには、グループの割り当て (VPN) を追加した後、次のいずれかの設定をクリックするか、デバイスの削除時にアンインストールするか、リムーバブルとしてインストールします。 次に、[iCloud アプリのバックアップを禁止する] という設定を構成します。 詳細については、「 iOS/iPadOS アプリと macOS アプリの iCloud アプリのバックアップ設定を禁止する」を参照してください。
macOS アプリの場合のみ:
- マネージド macOS アプリの iCloud バックアップを防止する方法を構成するには、グループの割り当て (VPN) を追加した後、次のいずれかの設定をクリックするか、デバイスの削除時にアンインストールするか、リムーバブルとしてインストールします。 次に、[iCloud アプリのバックアップを禁止する] という設定を構成します。 詳細については、「 iOS/iPadOS アプリと macOS アプリの iCloud アプリのバックアップ設定を禁止する」を参照してください。
Android アプリの場合のみ:
- Android アプリを登録の有無にかかわらず使用可能として展開した場合、レポートの状態は登録済みデバイスでのみ使用可能になります。
登録済みデバイスで使用可能の場合:
- アプリは、ポータル サイトにログインしているユーザーがデバイスを登録したプライマリ ユーザーであり、アプリがデバイスに適用できる場合にのみ、使用可能として表示されます。
このアプリの割り当ての影響を受けるユーザーのグループを選択するには、[含まれているグループ] を選択します。
含めるグループを 1 つ以上選択したら、[選択] を選択します。
[割り当て] ウィンドウで、[OK] を選択して、含まれるグループの選択を完了します。
このアプリ割り当ての影響から除外するユーザー グループがある場合は、[グループの除外] を選びます。
除外するグループがある場合には、[グループの選択] で [選択] を選びます。
[グループの追加] ウィンドウで [OK] を選択します。
アプリの [割り当て] ウィンドウで、[保存] を選択します。
これで、選択したグループにアプリが割り当てられます。 アプリの割り当てを含めるおよび除外する方法の詳細については、「アプリの割り当てを含めるおよび除外する」を参照してください。
ヒント
Intune では、入れ子になったグループへのアプリの割り当てもサポートされています。 たとえば、アプリを "Engineering Global" グループに割り当て、"Engineering APAC"、"Engineering EMEA"、"Engineering US" を子グループとして入れ子にした場合、それらの子グループのメンバーも割り当ての対象になります。
iOS/iPadOS アプリと macOS アプリの iCloud アプリのバックアップ設定を禁止する
管理者は、iOS/iPadOS 上の管理対象 App Store アプリと基幹業務 (LOB) アプリをバックアップしたり、macOS デバイス上の管理対象 App Store アプリをバックアップしたり、ユーザーとデバイスのライセンスを持つ VPP/非 VPP アプリの両方をバックアップしたりすることはできません。 macOS LOB アプリでは、この設定はサポートされません。 この機能には、Intune に追加され、ユーザーとデバイスを対象とする VPP の有無に関係なく送信される、新規および既存の App Store/LOB アプリの両方が含まれます。 指定したマネージド アプリのバックアップを防ぐと、デバイスが登録され、バックアップから復元されるときに、Intune 経由でこれらのアプリを適切に展開できるようになります。 テナント内の新しいアプリまたは既存のアプリの新しい設定を構成すると、管理対象アプリはデバイス用に再インストールできますが、Intune ではバックアップできなくなります。
注:
デバイス上のマネージド アプリが iCloud にデータをバックアップすることは想定していませんが、マネージド アプリ用にローカルに保存されたデータは、バックアップと復元後に使用できない可能性があることに注意してください。
既存のデバイスの場合、[ iCloud アプリのバックアップを禁止 する] がアプリ/アプリに対して [はい ] に設定されている場合、必要なすべての App Store/LOB アプリに対して新しい動作が自動的に更新されます (VPP の有無にかかわらず)。 以前にデバイスにインストールされている必要なアプリは、設定値が [はい] に保存されると、すべてのデバイスに対して自動的に再構成されます。 使用可能なアプリでは、ポータル サイト アプリまたは ポータル サイト Web サイトから使用可能なアプリを再ダウンロードする必要があります。 さらに、アプリの構成とライセンスによっては、Intune とデバイスの間の同期が必要になる場合があります。
アプリの意図間の競合をどのように解決するか
単一のグループが複数のアプリ割り当て意図の対象になることは防止されますが、ユーザーまたはデバイスがそれぞれ異なる意図が割り当てられた複数のグループのメンバーである場合、競合が発生します。 アプリケーションの割り当て競合の作成はお勧めしません。 次の表の情報は、競合が発生したときに結果として生じる意図を理解するのに役立ちます。
グループ 1 の意図 | グループ 2 の意図 | 結果として生じる意図 |
---|---|---|
ユーザー必須 | ユーザー使用可能 | 必須および使用可能 |
ユーザー必須 | ユーザー アンインストール | 必須 |
ユーザー使用可能 | ユーザー アンインストール | アンインストール |
ユーザー必須 | デバイス必須 | 両方が存在し、Intune は必須を扱います |
ユーザー必須 | デバイス アンインストール | 両方が存在し、Intune は必須を解決します |
ユーザー使用可能 | デバイス必須 | 両方が存在し、Intune は必須 (必須および使用可能) を解決します |
ユーザー使用可能 | デバイス アンインストール | 両方が存在し、Intune は使用可能を解決します。 アプリはポータル サイトに表示されます。 アプリが既にインストールされている場合 (以前の意図で必要なアプリとして)、アプリはアンインストールされます。 ユーザーが ポータル サイトから [インストール] を選択した場合、アプリがインストールされ、アンインストール意図は適用されません。 |
ユーザー アンインストール | デバイス必須 | 両方が存在し、Intune は必須を解決します |
ユーザー アンインストール | デバイス アンインストール | 両方が存在し、Intune はアンインストールを解決します |
デバイス必須 | デバイス アンインストール | 必須 |
ユーザー必須および使用可能 | ユーザー使用可能 | 必須および使用可能 |
ユーザー必須および使用可能 | ユーザー アンインストール | 必須および使用可能 |
ユーザー必須および使用可能 | デバイス必須 | 両方が存在し、必須および使用可能 |
ユーザー必須および使用可能 | デバイス アンインストール | 両方が存在し、Intune は必須 (必須および使用可能) を解決します |
登録なしでユーザー使用可能 | ユーザー必須および使用可能 | 必須および使用可能 |
登録なしでユーザー使用可能 | ユーザー必須 | 必須 |
登録なしでユーザー使用可能 | ユーザー使用可能 | 使用可能 |
登録なしでユーザー使用可能 | デバイス必須 | 登録なしで必須および使用可能 |
登録なしでユーザー使用可能 | デバイス アンインストール | 登録なしでアンインストールおよび使用可能。 ユーザーがポータル サイトからアプリをインストールしなかった場合、アンインストールが受け入れられます。 ユーザーがポータル サイトからアプリをインストールする場合、インストールはアンインストールよりも優先されます。 |
注:
マネージド iOS ストア アプリの場合のみ、これらのアプリを Microsoft Intune に追加し、必須として割り当てると、アプリは必須と使用可能の意図の両方で自動的に作成されます。
必須の意図で対象となる iOS ストア アプリ (iOS/iPadOS VPP アプリではない) は、デバイスのチェックイン時にデバイスに適用され、ポータル サイト アプリにも表示されます。
[デバイスの削除時にアンインストール] 設定で競合が発生した場合、デバイスが管理されなくなったときにアプリはデバイスから削除されません。
注:
会社所有の仕事用プロファイルと会社所有のフル マネージド デバイスに [必須] として展開されたアプリは、ユーザーが手動でアンインストールすることはできません。
非管理対象デバイスへの管理された Google Play アプリの展開
登録解除された Android デバイスの場合は、マネージド Google Play を使用して、ストア アプリと基幹業務 (LOB) アプリをユーザーに展開できます。 デプロイが完了したら、 Mobile Application Management (MAM) を使用してアプリケーションを管理できます。 登録の有無にかかわらず使用可能として対象にされるマネージド Google Play アプリは、ポータル サイト アプリではなく、エンド ユーザーのデバイスの Play ストア アプリに表示されます。 エンド ユーザーは、Play アプリからこの方法で展開されたアプリを参照してインストールします。 アプリは管理対象の Google Play からインストールされているため、エンド ユーザーはデバイス設定を変更して不明なソースからのアプリのインストールを許可する必要がないため、デバイスの安全性が高くなります。 アプリ開発者がユーザーのデバイスにインストールされたアプリの新しいバージョンを Play に公開すると、アプリは Play によって自動的に更新されます。
マネージド Google Play アプリを非管理対象デバイスに割り当てる手順:
Intune テナントをマネージド Google Play に接続します。 Android Enterprise の個人所有、専用、フル マネージド、または企業所有の仕事用プロファイル デバイスを管理するために既にこれを行っている場合は、もう一度行う必要はありません。
管理対象の Google Play から Intune 管理センターにアプリを追加します。
マネージド Google Play アプリを、目的のユーザー グループへの登録の有無にかかわらず使用可能としてターゲットにします。 必須 および アンインストール アプリのターゲット設定は、登録されていないデバイスではサポートされていません。
アプリ保護ポリシーをユーザー グループに割り当てます。
ユーザーは保護されたアプリにログインします。
次にエンド ユーザーがポータル サイト アプリを開き、ログイン プロセスを完了すると、[アプリ] セクションに使用可能なアプリがあることを示すメッセージが表示されます。 ユーザーはこの通知を選択して Play ストアに移動できます。
注:
デバイス登録設定オプションを、使用可能、プロンプトなし、または使用不可に構成できます。 この設定により、ユーザーがポータル サイトにログインした後、意図せずにデバイスを登録したり、デバイスを登録するための通知を受信したりするのを防ぐことができます。
エンド ユーザーは、Play ストア アプリ内のコンテキスト メニューを展開し、個人用 Google アカウント (個人用アプリが表示される場所) と職場アカウント (対象となるストアアプリと LOB アプリが表示される場所) を切り替えることができます。 エンド ユーザーは、Play ストア アプリで [インストール] をタップしてアプリをインストールします。
Intune 管理センターでアプリの選択的ワイプが発行されると、職場アカウントは Play ストア アプリから自動的に削除され、エンド ユーザーはその時点から Play ストア アプリ カタログに作業アプリが表示されなくなります。 職場アカウントがデバイスから削除されると、Play ストアからインストールされたアプリはデバイスにインストールされたままになり、アンインストールされません。
iOS 管理対象アプリのアプリ アンインストール設定
iOS/iPadOS デバイスの場合、デバイスを Intune から登録解除するか、[デバイスの削除時にアンインストール] 設定を使用して管理プロファイルを削除すると、管理対象アプリに起こることを選択できます。 この設定は、デバイスが登録され、アプリが管理対象としてインストールされた後のアプリにのみ適用されます。 Web アプリまたは Web リンクに対して設定を構成することはできません。 モバイル アプリケーション管理 (MAM) によって保護されているデータのみが、アプリ選択ワイプによって廃止された後に削除されます。
設定の既定値は、次のように新しい割り当て用に事前入力されています。
iOS アプリの種類 | [デバイスの削除時にアンインストール] の既定の設定 |
---|---|
基幹業務アプリ | はい |
ストア アプリ | 不要 |
VPP アプリ | 不要 |
組み込みアプリ | いいえ |
注:
"使用可能な" 割り当ての種類: この設定を "登録済みデバイスで使用可能" または "登録の有無にかかわらず使用可能" グループに更新する場合、管理対象アプリを既に持っているユーザーは、デバイスを同期するまで更新された設定を取得しません。Intune を実行して、アプリを再インストールします。
既存の割り当て: アプリのアンインストール設定は 2019 年 5 月に導入されました。 この日付より前に存在していた割り当ては変更されず、管理からデバイスを削除すると、すべての管理対象アプリが削除されます。 割り当てが 2019 年 5 月より前に作成された場合、上記の既定の設定が適用されない可能性があるため、アプリのアンインストール設定を明示的に設定することが必要な場合があります。
次の手順
アプリの割り当てを監視する方法の詳細については、「アプリを監視する方法」を参照してください。