Intune App SDK for iOS - 統合を計画する

Microsoft Intune App SDK for iOS を使用すると、Intune アプリ保護ポリシー (APP または MAM ポリシーとも呼ばれます) をネイティブ iOS アプリに組み込むことができます。 MAM 対応アプリケーションは、Intune App SDK と統合されたアプリケーションです。 IT 管理者は、Intune がアプリをアクティブに管理するときに、アプリ保護ポリシーをモバイル アプリに展開できます。

重要

Intune では、 Intune App SDK の更新プログラムが定期的にリリースされます。 更新プログラムをソフトウェア開発リリース サイクルに組み込み、アプリが最新の App Protection ポリシー設定を確実にサポートできるように、更新プログラムについては Intune App SDK リポジトリをサブスクライブすることをお勧めします。

OS の更新によって重大な変更が発生する可能性があるため、すべての主要な OS リリースの前に必須の Intune App SDK 更新プログラムを実行して、アプリがスムーズに実行されるように計画します。 メジャー OS リリースの前に最新バージョンに更新しない場合は、重大な変更が発生したり、アプリにアプリ保護ポリシーを適用できなかったりするリスクが発生する可能性があります。

ステージ 1: 統合を計画する

このガイドは、既存の iOS アプリ内で Microsoft Intune のアプリ保護ポリシーのサポートを追加しようとしている iOS 開発者向けです。

ステージの目標

  • iOS で使用できるアプリ保護ポリシーの設定と、これらのポリシーがアプリケーション内でどのように機能するかについて説明します。
  • SDK 統合プロセス中の重要な決定ポイントを理解し、アプリの統合を計画します。
  • SDK を統合するアプリケーションの要件について説明します。
  • テスト Intune テナントを作成し、iOS App Protection ポリシーを構成します。

MAM について

Intune App SDK を iOS アプリケーションに統合する前に、少し時間をかけて Microsoft Intune のモバイル アプリケーション管理ソリューションについて理解してください。

SDK 統合に関する主な決定事項

アプリケーションを Microsoft ID プラットフォームに登録する必要がありますか?

はい。Microsoft ID プラットフォームに登録するには、Intune SDK と統合されているすべてのアプリが必要です。 「クイック スタート: Microsoft ID プラットフォーム - Microsoft ID プラットフォームにアプリを登録する」の手順に従ってください。

アプリケーションのソース コードにアクセスできますか?

アプリケーションのソース コードにアクセスできず、.app形式または .ipa 形式でのみコンパイルされたアプリケーションにアクセスできる場合、SDK をアプリケーションに統合することはできません。 ただし、アプリケーションは引き続き Intune アプリ保護ポリシーと互換性がある場合があります。 詳細については、「 iOS 用アプリ ラッピング ツール 」を参照してください。

アプリケーションで Microsoft Authentication Library (MSAL) を統合する必要がありますか?

はい。Intune SDK を統合する前に MSAL と統合する必要があります。 MSAL と統合する前に、すべてのアプリを Microsoft ID プラットフォームに登録する必要があります。 「クイック スタート: Microsoft ID プラットフォーム - Microsoft ID プラットフォームにアプリを登録する」の手順に従ってください。

MSAL の統合手順と、アプリケーション内の ID シナリオの詳細については、「 ステージ 2: MSAL の前提条件とセットアップ 」を参照してください。

アプリケーションはシングル ID またはマルチ ID ですか?

Intune App Protection Policy のサポートがない場合、アプリケーションはユーザー認証とアカウントをどのように処理しますか?

  • 現在、アプリケーションでは 1 つのアカウントのログインのみを許可していますか? アプリケーションでは、別のアカウントのログインを許可する前に、明示的にログインアカウントを強制的にログアウトし、その以前のアカウントのデータを削除しますか? その場合、アプリケーションは 単一 ID です

  • 別のアカウントが既にログインしている場合でも、アプリケーションでは現在、2 つ目のアカウントのログインが許可されていますか? アプリケーションでは、共有画面に複数のアカウントのデータが表示されますか? アプリケーションは複数のアカウントのデータを格納しますか? アプリケーションでは、ユーザーがログインしている別のアカウントを切り替えることができますか? その場合、アプリケーションは マルチ ID であり、 ステージ 5: マルチ ID を有効にする必要があります。 このセクションは、アプリに必要です。

アプリケーションがマルチ ID の場合でも、この統合ガイドに従ってください。 最初に単一 ID として統合およびテストすることで、適切な統合を確保し、企業データが保護されなくなるバグを防ぐことができます。

アプリが .NET マルチプラットフォーム アプリ UI (.NET MAUI) でビルドされた場合はどうなりますか?

アプリが .NET マルチプラットフォーム アプリ UI (.NET MAUI) でビルドされている場合は、「 Intune App SDK for .NET MAUI - iOS」を参照してください。

アプリケーションにアプリ構成設定がありますか?

Intune では、デバイス管理モードに関係なく、SDK 統合アプリケーションに適用されるアプリケーション構成がサポートされています。 管理者は、Microsoft Intune 管理センターマネージド アプリのこれらのアプリケーション構成ポリシーを構成できます。

Intune App SDK では、両方の種類のアプリケーション構成がサポートされ、両方のチャネルから構成にアクセスするための 1 つの API が提供されます。 アプリケーションでこれらの種類のアプリケーション構成がある場合、またはこれらの種類のアプリケーション構成をサポートする場合は、 iOS アプリケーションのステージ 4: ターゲット構成 (APP/MAM アプリ構成) を有効にする必要があります

iOS で MAM 対象アプリ構成ポリシーを作成する方法の詳細については、「iOS /iPadOS 用の Microsoft Intune アプリ構成ポリシーを使用する方法」の MAM 対象アプリ構成に関するセクションを参照してください。

アプリケーションでは、データイングレスとエグレスの詳細な保護を定義する必要がありますか?

ユーザーがクラウド サービスまたはデバイスの場所にデータを保存または開くことをアプリで許可する場合は、拡張データ転送ポリシーをサポートするために変更を加える必要があります。 「Microsoft Intune で iOS アプリ間のデータ転送を管理する」を参照してください。

アプリケーションには、条件付きアクセスで保護する必要があるリソースがありますか?

条件付きアクセス (CA)、Microsoft Entra リソースへのアクセスを制御するために使用できる Microsoft Entra ID 機能です。 Intune 管理者は、Intune によって管理されているデバイスまたはアプリからのみリソース へのアクセスを許可する CA 規則を定義できます。

Intune では、 デバイス ベースの CA とアプリ ベースの CA (App Protection CA とも呼ばれます) の 2 種類 の CA がサポートされています。 デバイス ベースの CA は、デバイス全体が Intune によって管理されるまで、保護されたリソースへのアクセスをブロックします。 アプリベースの CA は、特定のアプリが Intune アプリ保護ポリシーによって管理されるまで、保護されたリソースへのアクセスをブロックします。

アプリが Microsoft Entra アクセス トークンを取得し、CA で保護できるリソースにアクセスする場合は、[ステージ 4: App Protection CA サポート] に従う必要があります。

テスト iOS アプリ保護ポリシーの作成

テナントのセットアップのデモ

会社のテナントがまだない場合は、事前に生成されたデータの有無に関係なくデモ テナントを作成できます。 Microsoft CDX にアクセスするには、 Microsoft パートナー として登録する必要があります。 新しいアカウントを作成するには:

  1. Microsoft CDX テナント作成サイトに移動し、Microsoft 365 Enterprise テナントを作成します。
  2. モバイル デバイス管理 (MDM) を有効にするように Intune を設定します。
  3. ユーザーを作成します
  4. グループを作成します
  5. テストに適したライセンスを割り当てます

アプリ保護ポリシーの構成

Microsoft Intune 管理センターでアプリ保護ポリシーを作成して割り当てます。 アプリ保護ポリシーの作成に加えて、Intune で アプリ構成ポリシー を作成して割り当てることができます。

独自のアプリケーション内でアプリ保護ポリシー設定をテストする前に、これらの設定が他の SDK 統合アプリケーション内でどのように動作するかを理解しておくと役立ちます。

ヒント

アプリが Microsoft Intune 管理センターに一覧表示されていない場合は、 その他のアプリ オプションを選択し、テキスト ボックスにパッケージ名を指定することで、ポリシーを使用してアプリをターゲットにすることができます。
アプリ保護ポリシーを使用してアプリをターゲットにし、統合を正常にテストするためにポリシーをユーザーにデプロイする必要があります。
ポリシーが対象とデプロイされている場合でも、SDK が正常に統合されるまで、アプリはポリシーを適切に適用しません。

終了条件

  • iOS アプリケーション内で異なるアプリ保護ポリシー設定がどのように動作するかについて理解していますか?
  • アプリを確認し、MSAL、条件付きアクセス、マルチ ID、アプリ構成、その他すべての SDK 機能に関するアプリの統合を計画しましたか?
  • テスト テナント内に iOS アプリ保護ポリシーを作成しましたか?

FAQ

SDK はどこでダウンロードできますか?

SDK をダウンロードするには、「 SDK ファイルのダウンロード」を参照してください。

Intune App SDK をアプリに統合する場合の問題を報告する場所

GitHub で サポートリクエスト を送信してください。

次の手順

上記のすべての 終了条件 を完了したら、 ステージ 2: MSAL の前提条件とセットアップに進みます。