Microsoft Intune で iOS アプリ間のデータ転送を管理する方法

  • [アーティクル]

会社のデータを保護するために、管理するアプリのみにファイル転送を制限します。 iOS アプリは、次の方法で管理できます。

  • アプリのアプリ保護ポリシーを構成して、職場または学校アカウントの組織データを保護します。 ポリシーマネージド アプリと呼ばれます。 「Microsoft Intune で保護されたアプリ」を参照してください。

  • デバイスをモバイル デバイス管理 (MDM) ソリューションに登録する必要がある iOS デバイス管理を使用してアプリを展開および管理します。 展開するアプリは、 ポリシー管理アプリ またはその他の iOS マネージド アプリです。

登録済みの iOS デバイス のオープンイン管理機能 では、iOS マネージド アプリ間のファイル転送を制限できます。 [Open-In/Share フィルタリング] の値を使用して他のアプリに組織データをポリシー管理アプリに送信し、Intune を使用してポリシーを展開するアプリ保護ポリシーを使用して、オープンイン管理制限を設定します。 ユーザーがデプロイされたアプリをインストールすると、割り当てられたポリシーに基づいて設定した制限が適用されます。

オープンイン管理を使用して iOS アプリとデータを保護する

iOS Open-in 管理機能 でアプリ保護ポリシーを使用して、次の方法で会社のデータを保護します。

  • MDM ソリューションによって管理されていないデバイス: アプリ保護ポリシー設定を設定して、 Open-in または Share 拡張機能を使用して他のアプリケーションとのデータ共有を制御できます。 これを行うには、Open-In/Share フィルタリング値 を使用して [他のアプリに組織データを送信 する] 設定を [ポリシー管理アプリ] に 構成します。 ポリシー管理アプリの Open-in/Share 動作では、共有のオプションとして他のポリシーマネージド アプリのみが表示されます。 関連情報については、「 iOS/iPadOS および Android アプリのアプリ保護ポリシー」、「 データ転送」、および「 iOS 共有拡張機能」を参照してください。

  • MDM ソリューションによって管理されるデバイス: Intune またはサード パーティの MDM ソリューションに登録されているデバイスの場合、アプリ保護ポリシーと MDM を介して展開されるその他の管理対象 iOS アプリとのアプリ間のデータ共有は、Intune APP ポリシーと iOS Open-in 管理機能 によって制御されます。 MDM ソリューションを使用して展開するアプリが Intune アプリ保護ポリシーにも関連付けられていることを確認するには、次のセクション「ユーザー UPN 設定の構成」で説明されているように、 ユーザー UPN 設定を構成します。 他の ポリシー管理アプリ と iOS マネージド アプリへのデータ転送を許可する方法を指定するには、[OS 共有を使用して 他のアプリに組織データを送信する ] 設定を [ポリシーマネージド アプリ] に設定します。 アプリが他のアプリからデータを受信できるようにする方法を指定するには、[他のアプリ からデータを受信する ] を有効にしてから、データを受信する任意のレベルを選択します。 アプリ データの受信と共有の詳細については、「 データ再配置設定」を参照してください。

Microsoft Intune またはサード パーティの EMM のユーザー UPN 設定を構成する

iOS マネージド アプリにデータを転送するときに、送信ポリシー管理アプリの登録済みユーザー アカウントを識別するには、Intune またはサード パーティの EMM ソリューションによって管理されているデバイスでユーザー UPN 設定を構成する必要があります。 UPN 構成は、Intune から展開するアプリ保護ポリシーと連携します。 次の手順は、UPN 設定と結果のユーザー エクスペリエンスを構成する方法に関する一般的なフローです。

  1. Microsoft Intune 管理センターで、iOS/iPadOS 用のアプリ保護ポリシーを作成して割り当てます。 会社の要件に従ってポリシー設定を構成し、このポリシーを持つ必要がある iOS アプリを選択します。

  2. 次の一般化された手順を使用して、Intune またはサード パーティの MDM ソリューションを使用して管理するアプリと電子メール プロファイルを展開します。 このエクスペリエンスは、 例 1 でも取り上げられています

  3. 次のアプリ構成設定を使用してアプリをマネージド デバイスにデプロイします。

    key = IntuneMAMUPN, value = username@company.com

    例: ['IntuneMAMUPN', 'janellecraig@contoso.com']

    注:

    Intune では、アプリ構成ポリシーの登録の種類を マネージド デバイスに設定する必要があります。 さらに、アプリは Intune ポータル サイトからインストールするか (使用可能に設定されている場合)、または必要に応じてデバイスにプッシュする必要があります。

    注:

    IntuneMAMUPN アプリ構成設定を、データを送信するターゲットマネージド アプリに展開します。 受信アプリへのアプリ構成キーの追加は省略可能です。

    注:

    現在、同じデバイスに MDM 登録済みアカウントがある場合、アプリで別のユーザーに登録することはサポートされていません。

  4. Intune またはサード パーティの MDM プロバイダーを使用して、登録されているデバイスに Open-in 管理 ポリシーを展開します。

例 1: Intune またはサード パーティの MDM コンソールでの管理者エクスペリエンス

  1. Microsoft Intune 管理センターまたはサード パーティの MDM プロバイダーに移動します。 登録済みの iOS デバイスにアプリケーション構成設定を展開する管理センターのセクションに移動します。

  2. [アプリケーション構成] セクションで、iOS マネージド アプリにデータを転送する ポリシーマネージド アプリ ごとに、次の設定を入力します。

    key = IntuneMAMUPN, value = username@company.com

    キーと値のペアの正確な構文は、サード パーティの MDM プロバイダーによって異なる場合があります。 次の表は、サード パーティの MDM プロバイダーの例と、キーと値のペアに入力する必要がある正確な値を示しています。

    サード パーティの MDM プロバイダー 構成キー 値の種類 構成値
    Microsoft Intune IntuneMAMUPN String {{userprincipalname}}
    Microsoft Intune IntuneMAMOID String {{userid}}
    VMware AirWatch IntuneMAMUPN String {UserPrincipalName}
    MobileIron IntuneMAMUPN String ${userUPN} または ${userEmailAddress}
    Citrix エンドポイント管理 IntuneMAMUPN String ${user.userprincipalname}
    ManageEngine Mobile Device Manager IntuneMAMUPN String %upn%

注:

Outlook for iOS/iPadOS の場合、[構成デザイナーの使用] オプションを使用して管理対象デバイスのアプリ構成ポリシーを展開し、[ 職場または学校アカウントのみを許可する] を有効にすると、構成キー IntuneMAMUPN がポリシーのバックグラウンドで自動的に構成されます。 詳細については、「 iOS 用の新しい Outlook と Android アプリ構成ポリシー エクスペリエンス - 一般的なアプリ構成」の FAQ セクションを参照してください。

例 2: エンド ユーザー エクスペリエンス

OS 共有を使用したポリシーマネージド アプリから他のアプリケーションへの共有

  1. ユーザーが登録済みの iOS デバイスで Microsoft OneDrive アプリを開き、職場アカウントにサインインします。 ユーザーが入力するアカウントは、Microsoft OneDrive アプリのアプリ構成設定で指定したアカウント UPN と一致する必要があります。

  2. サインイン後、管理者が構成した APP 設定が Microsoft OneDrive のユーザー アカウントに適用されます。 これには、OS 共有値を持つポリシーマネージド アプリに対する [他のアプリへの組織データの送信] 設定の構成が含まれます。

  3. ユーザーは作業ファイルをプレビューし、Open-in から iOS マネージド アプリへの共有を試みます。

  4. データ転送が成功し、iOS マネージド アプリ の Open-in 管理 によってデータが保護されるようになりました。 Intune APP は、 ポリシーで管理されているアプリではないアプリケーションには適用されません。

受信組織データを使用して iOS マネージド アプリからポリシー管理アプリ共有する

  1. ユーザーは、登録済みの iOS デバイスでマネージド メール プロファイルを使用してネイティブ メールを開きます。

  2. ユーザーは、ネイティブメールから Microsoft Word への作業文書の添付ファイルを開きます。

  3. Word アプリが起動すると、次の 2 つのエクスペリエンスのいずれかが発生します。

    1. データは、次の場合に Intune APP によって保護されます。
      • ユーザーは、Microsoft Word アプリのアプリ構成設定で指定したアカウント UPN と一致する職場アカウントにサインインしています。
      • 管理者が構成したアプリ設定は、Microsoft Word のユーザー アカウントに適用されます。 これには、[他の アプリからデータを受信 する] 設定の [ 受信組織データを使用するすべてのアプリ ] の値の構成が含まれます。
      • データ転送が成功し、ドキュメントにアプリ内の作業 ID でタグが付けられます。 Intune APP は、ドキュメントのユーザー アクションを保護します。
    2. 次の場合、データは Intune APP によって保護 されません
      • ユーザーが職場アカウントにサインイン していません
      • 管理者が構成した設定は、ユーザーがサインインしていないため、Microsoft Word には適用 されません
      • データ転送が成功し、ドキュメントにアプリの作業 ID がタグ付け されません 。 Intune APP では、ドキュメントがアクティブではないため、ドキュメントのユーザー アクションは保護 されません

    注:

    ユーザーは Word で個人用アカウントを追加して使用できます。 ユーザーが作業コンテキストの外部で Word を使用する場合、アプリ保護ポリシーは適用されません。

サード パーティの EMM のユーザー UPN 設定を検証する

ユーザー UPN 設定を構成したら、iOS アプリが Intune アプリ保護ポリシーを受け取り、準拠する機能を検証します。

たとえば、[ アプリの PIN を要求する ] ポリシー設定は簡単にテストできます。 ポリシー設定が [必須] と等しい場合、ユーザーは会社のデータにアクセスする前に PIN を設定または入力するように求めるプロンプトを表示する必要があります。

まず、 アプリ保護ポリシーを作成して iOS アプリに割り当てます 。 アプリ保護ポリシーをテストする方法の詳細については、「アプリ保護ポリシーの 検証」を参照してください。

関連項目

Intune アプリ保護ポリシーとは