Configuration Manager でアプリケーションを承認するApprove applications in Configuration Manager

適用対象:Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Configuration Manager でアプリケーションを展開するときに、インストールする前に承認を要求することができます。When deploying an application in Configuration Manager, you can require approval before installation. ソフトウェア センターでユーザーからアプリケーションを要求されたら、その要求を Configuration Manager コンソールで確認します。Users request the application in Software Center, and then you review the request in the Configuration Manager console. 要求を承認または拒否することができます。You can approve or deny the request.

承認設定Approval settings

アプリケーションの承認動作は、推奨されるオプションであるアプリ承認エクスペリエンスを有効にするかどうかどうかによって異なります。The application approval behavior depends upon whether you enable the recommended optional app approval experience. 次の承認設定のいずれかが、アプリケーション展開の [展開の設定] ページに表示されます。One of the following approval settings appears on the Deployment Settings page of the application deployment:

管理者は、デバイス上のこのアプリケーションへの要求を承認する必要があるAn administrator must approve a request for this application on the device

注意

Configuration Manager では、この機能は既定で無効です。Configuration Manager doesn't enable this feature by default. 使用する前に、オプション機能の [デバイスごとにユーザーのアプリケーション要求を承認します] を有効にします。Before using it, enable the optional feature Approve application requests for users per device. 詳細については、「Enable optional features from updates」 (更新プログラムのオプション機能の有効化) を参照してください。For more information, see Enable optional features from updates.

この機能を有効にしない場合、前のエクスペリエンスが表示されます。If you don't enable this feature, you see the prior experience.

管理者がアプリケーションに対するユーザー要求を承認するまで、ユーザーは要求したデバイスにそのアプリケーションをインストールできません。The administrator approves any user requests for the application before the user can install it on the requested device. 管理者が要求を承認した場合、ユーザーはそのデバイスにのみアプリケーションをインストールできます。If the administrator approves the request, the user is only able to install the application on that device. 別のデバイスにアプリケーションをインストールするには、ユーザーは別の要求を送信する必要があります。The user must submit another request to install the application on another device. 展開目的が [必須] である場合、またはアプリケーションをデバイス コレクションに展開する場合は、このオプションは淡色表示されます。This option is grayed out when the deployment purpose is Required, or when you deploy the application to a device collection.

注意

Configuration Manager の新機能を利用するには、最初にクライアントを最新バージョンに更新します。To take advantage of new Configuration Manager features, first update clients to the latest version. サイトとコンソールを更新すると Configuration Manager コンソールに新しい機能が表示されますが、クライアントのバージョンも最新になるまでは完全なシナリオは機能しません。While new functionality appears in the Configuration Manager console when you update the site and console, the complete scenario isn't functional until the client version is also the latest.

Configuration Manager コンソールの [ソフトウェア ライブラリ] ワークスペースで [アプリケーション管理][アプリケーションの要求] を確認します。View Application Requests under Application Management in the Software Library workspace of the Configuration Manager console. (バージョン 1902 以前では、このノードは 承認要求 と呼ばれます。)各要求のリストに、 [デバイス] 列が追加されています。(In version 1902 and earlier, this node is called Approval Requests.) There's now a Device column in the list for each request. 要求に対するアクションを実行するとき、[アプリケーションの要求] ダイアログ ボックスには、ユーザーが要求を送信したデバイスの名前も表示されます。When you take action on the request, the Application Request dialog also includes the device name from which the user submitted the request.

要求は、30 日以内に承認されなければ削除されます。If a request isn't approved within 30 days, it's removed. クライアントを再インストールすると、保留承認要求が取り消される可能性があります。Reinstalling the client might cancel any pending approval requests.

デバイス コレクションへの展開に対する承認が必要な場合、アプリはソフトウェア センターに表示されません。When you require approval on a deployment to a device collection, the app isn't displayed in Software Center. ユーザー コレクションへの展開に対する承認が必要な場合、アプリはソフトウェア センターに表示されます。If you require approval on a deployment to a user collection, the app is displayed in Software Center. クライアント設定 [ソフトウェア センターで承認されていないアプリケーションを非表示にする] を使用してユーザーに非表示にすることもできます。You can still hide it from users with the client setting, Hide unapproved applications in Software Center. 詳細については、ソフトウェア センターのクライアント設定に関するページを参照してください。For more information, see Software Center client settings.

アプリケーションのインストールを承認した後は、Configuration Manager コンソールで要求を 拒否 することができます。After you've approved an application for installation, you can Deny the request in the Configuration Manager console. ユーザーがアプリケーションをまだインストールしていない場合は、この操作により、ソフトウェア センターからアプリケーションの新しいコピーをインストールできなくなります。If users haven't already installed the application, this action stops them from installing new copies of the application from Software Center. アプリケーションが既に承認されてインストールされている場合は、アプリケーションの要求を [拒否] すると、クライアントによってユーザーのデバイスからアプリケーションがアンインストールされるようになりました。If an application was previously approved and installed, when you Deny the request for the application, the client uninstalls the application from the user's device.

バージョン 1906 以降では、コンソールでアプリ要求を承認して拒否した場合、再度承認できるようになりました。Starting in version 1906, if you approve an app request in the console, and then deny it, you can now approve it again. 承認すると、アプリはクライアントに再インストールされます。The app is reinstalled on the client after you approve it.

Approve-CMApprovalRequest PowerShell コマンドレットによって、承認プロセスを自動化します。Automate the approval process with the Approve-CMApprovalRequest PowerShell cmdlet. バージョン 1902 以降では、このコマンドレットに InstallActionBehavior パラメーターが含まれています。Starting in version 1902, this cmdlet includes the InstallActionBehavior parameter. このパラメーターを使用して、アプリケーションをすぐインストールするか、または営業時間外にインストールするかを指定します。Use this parameter to specify whether to install the application right away or during non-business hours.

1906 以降では、承認が必要な展開を確認できます。Starting in 1906, you can see which deployments require approval. [アプリケーション] ノードでアプリを選択します。Select an app in the Applications node. 詳細ウィンドウで、 [展開] タブに切り替えます。既定では新しい列 [Requires Approval] (承認が必要) が表示されます。In the details pane, switch to the Deployments tab. There's a new column displayed by default, Requires Approval.

事前承認済みアプリケーションのインストールの再試行Retry the install of pre-approved applications

バージョン 1906 以降では、ユーザーまたはデバイスに対して以前に承認したアプリのインストールを再試行できます。Starting in version 1906, you can retry the installation of an app that you previously approved for a user or device. 承認オプションは、使用できる展開専用です。The approval option is only for available deployments. ユーザーがアプリをアンインストールした場合、または初期インストール プロセスが失敗した場合、Configuration Manager ではその状態の再評価と再インストールは行われません。If the user uninstalls the app, or if the initial install process fails, Configuration Manager doesn't reevaluate its state and reinstall it. この機能を使用すると、サポート技術者は、サポートを求めるユーザーのためにアプリのインストールをすばやく再試行できます。This feature allows a support technician to quickly retry the app install for a user that calls for help.

  1. アプリケーション オブジェクトに対する 承認 アクセス許可を持つユーザーとして Configuration Manager コンソールを開きます。Open the Configuration Manager console as a user that has the Approve permission on the Application object. たとえば、アプリケーション管理者 または アプリケーション作成者 の組み込みロールには、このアクセス許可があります。For example, the Application Administrator or Application Author built-in roles have this permission.

  2. 承認が必要なアプリを展開し、承認します。Deploy an app that requires approval, and approve it.

    ヒント

    または、デバイスにアプリケーションをインストールします。Alternatively, Install an application for a device. これでデバイス上にアプリの承認済み要求が作成されます。It creates an approved request for the app on the device.

アプリケーションが正常にインストールされなかった場合、またはユーザーがアプリをアンインストールした場合は、次のプロセスを使用して再試行します。If the application doesn't install successfully, or the user uninstalls the app, use the following process to retry:

  1. Configuration Manager コンソールで、 [ソフトウェア ライブラリ] ワークスペースに移動し、 [アプリケーション管理] を展開して [アプリケーションの要求] ノードを選択します。In the Configuration Manager console, go to the Software Library workspace, expand Application Management, and select the Application Requests node. (バージョン 1902 以前では、このノードは 承認要求 と呼ばれます。)(In version 1902 and earlier, this node is called Approval Requests.)

  2. 以前に承認されたアプリを選択します。Select the previously approved app. リボンの [承認要求] グループで、 [インストールの再試行] を選択します。In the Approval Request group of the ribbon, select Retry install.

その他のアプリ承認リソースOther app approval resources

ユーザーがこのアプリケーションを要求した場合に管理者の承認を必要とするRequire administrator approval if users request this application

注意

このエクスペリエンスは、推奨されるオプションであるアプリ承認エクスペリエンスを有効にしない場合に適用されます。This experience applies if you don't enable the recommended optional app approval experience.

管理者がアプリケーションに対するユーザー要求を承認するまで、ユーザーはそのアプリケーションをインストールできません。The administrator approves any user requests for the application before the user can install it. 展開目的が [必須] である場合、またはアプリケーションをデバイス コレクションに展開する場合は、このオプションは淡色表示されます。This option is grayed out when the deployment purpose is Required, or when you deploy the application to a device collection.

アプリケーション承認要求は、 [ソフトウェア ライブラリ] ワークスペースの [アプリケーション管理] の下にある [アプリケーションの要求] ノードに表示されます。Application approval requests are displayed in the Application Requests node, under Application Management in the Software Library workspace. (バージョン 1902 以前では、このノードは 承認要求 と呼ばれます。)要求は、30 日以内に承認されなければ削除されます。(In version 1902 and earlier, this node is called Approval Requests.) If a request isn't approved within 30 days, it's removed. クライアントを再インストールすると、保留承認要求が取り消される可能性があります。Reinstalling the client might cancel any pending approval requests.

アプリケーションのインストールを承認した後は、Configuration Manager コンソールで要求を 拒否 することができます。After you've approved an application for installation, you can Deny the request in the Configuration Manager console. この操作によってクライアントがデバイスからアプリケーションをアンインストールすることはありません。This action doesn't cause the client to uninstall the application from any devices. ユーザーは、ソフトウェア センターからアプリケーションの新しいコピーをインストールできなくなります。It stops users from installing new copies of the application from Software Center.

メール通知Email notifications

アプリケーションの承認を要求するメール通知を構成できます。You can configure email notifications for application approval requests. ユーザーがアプリケーションを要求すると、管理者はメールを受け取ります。When a user requests an application, you receive an email. メールのリンクをクリックして、要求を承認または拒否できます。Configuration Manager コンソールは必要ありません。Click links in the email to approve or deny the request, without requiring the Configuration Manager console.

アプリケーションの新しい展開の作成中、要求を承認または却下できるユーザーのメール アドレスを定義できます。You can define the email addresses of the users who can approve or deny the request while creating a new deployment for the application. 後でメール アドレスの一覧を変更しなければならなくなった場合、 [監視] ワークスペースに移動し、 [アラート] を展開し、 [サブスクリプション] ノードを選択します。If you need to change the list of email addresses afterwards, go to the Monitoring workspace, expand Alerts, and select the Subscriptions node. アプリケーション展開に関連する [電子メールでアプリケーションを承認する] サブスクリプションの 1 つから [プロパティ] を選択します。Select Properties from one of the Approve application via email subscriptions that's related to your application deployment.

アラートが複数ある場合、アラートと展開の組み合わせを判断できます。If there is more than one alert, you can determine which alert goes with which deployment. アラートのプロパティを開き、[全般] タブで [選択した警告] の一覧を表示します。このサブスクリプションのアラートとして展開が有効になっています。Open the alert properties, and view the list of Selected alerts on the General tab. The deployment is enabled as the alert for this subscription.

ユーザーは、ソフトウェア センターからの要求にコメントを追加することができます。Users can add a comment to the request from Software Center. このコメントは、Configuration Manager コンソールのアプリケーションの要求に表示されます。This comment shows on the application request in the Configuration Manager console. バージョン 1902 以降では、そのコメントは電子メールにも表示されます。Starting in version 1902, that comment also shows in the email. 電子メールにこのコメントを含めると、承認者が要求を承認するか拒否するかをより適切に判断するのに役立ちます。Including this comment in the email helps the approvers make a better decision to approve or deny the request.

[前提条件]Prerequisites

メール通知を送信し、内部ネットワーク上でアクションを実行するにはTo send email notifications and take action on internal network

これらの前提条件により、受信者は要求の通知メールを受け取ります。With these prerequisites, recipients receive an email with notification of the request. 受信者が内部ネットワーク上にいる場合、メールから要求を承認または拒否することができます。If they are on the internal network, they can also approve or deny the request from the email.

  • オプション機能[デバイスごとにユーザーのアプリケーション要求を承認します] を有効にします。Enable the optional feature Approve application requests for users per device.

  • アラートのメール通知を構成します。Configure email notification for alerts.

    注意

    アプリケーションを展開する管理ユーザーには、アラートとサブスクリプションを作成するためのアクセス許可が必要です。The administrative user that deploys the application needs permission to create an alert and subscription. このユーザーにこれらのアクセス許可がない場合は、ソフトウェアの展開ウィザード の最後にエラーが表示されます。"この操作の実行に必要なセキュリティ権限がありません。"If this user doesn't have these permissions, they'll see an error at the end of the Deploy Software Wizard: "You do not have security rights to perform this operation."

  • 証明書を使用するため、プライマリ サイトの SMS プロバイダーを有効にします。Enable the SMS Provider on the primary site to use a certificate. 次のいずれかのオプションを使用します。Use one of the following options:

    • (推奨) プライマリ サイトの拡張 HTTP を有効にします。(Recommended) Enable Enhanced HTTP for the primary site.

      注意

      プライマリ サイトによって SMS プロバイダー用に証明書が作成されると、そのプロバイダーはクライアント上の Web ブラウザーで信頼されません。When the primary site creates a certificate for the SMS Provider, it won't be trusted by the web browser on the client. セキュリティの設定によっては、アプリケーションの要求に応答するときに、セキュリティ警告が表示されることがあります。Based on your security settings, when responding to an application request, you may see a security warning.

    • プライマリ ホストで SMS プロバイダーの役割をホストするサーバー上の IIS でポート 443 に PKI ベースの証明書を手動でバインドします。Manually bind a PKI-based certificate to port 443 in IIS on the server that hosts the SMS Provider role on the primary site.

注意

階層内に複数の子プライマリ サイトがある場合は、この機能を有効にしたいプライマリ サイトごとに、これらの前提条件を構成します。If you have multiple child primary sites in a hierarchy, configure these prerequisites for each primary site where you want to enable this feature. メール通知のリンクは、プライマリ サイトの管理サービス用です。The links in the email notification are for the administration service at the primary site.

インターネットからアクションを実行するにはTo take action from internet

これら追加オプションの前提条件により、受信者はインターネットにアクセスできる任意の場所から要求を承認または拒否することができます。With these additional optional prerequisites, recipients can approve or deny the request from anywhere they have internet access.

  • クラウド管理ゲートウェイ経由で SMS プロバイダーの管理サービスを有効にします。Enable the SMS Provider administration service through the cloud management gateway. Configuration Manager コンソールで、 [管理] ワークスペースに移動し、 [サイトの構成] を展開して [サーバーとサイト システムの役割] ノードを選択します。In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Servers and Site System Roles node. SMS プロバイダーの役割を持つサーバーを選択します。Select the server with the SMS Provider role. 詳細ウィンドウで [SMS プロバイダー] 役割を選択して、[サイトの役割] タブのリボンで [プロパティ] を選択します。 [管理サービスで Configuration Manager クラウド管理ゲートウェイ トラフィックを許可する] のオプションを選択します。In the details pane, select the SMS Provider role, and select Properties in the ribbon on the Site Role tab. Select the option to Allow Configuration Manager cloud management gateway traffic for administration service.

  • SMS プロバイダーでは .NET 4.5.2 以降が必要です。The SMS Provider requires .NET 4.5.2 or later.

  • クラウド管理ゲートウェイを設定します。Set up a cloud management gateway.

  • クラウド管理 のために Azure サービスにサイトをオンボードします。Onboard the site to Azure services for Cloud Management.

  • Azure AD ユーザー探索を有効にします。Enable Azure AD User Discovery.

  • Azure AD で設定を手動で構成します。Manually configure settings in Azure AD:

    1. "全体管理者" のアクセス許可を持つユーザーとして Azure portal に移動します。Go to the Azure portal as a user with Global Admin permissions. [Azure Active Directory] に移動して、 [アプリの登録] を選択します。Go to Azure Active Directory, and select App registrations.

    2. Configuration Manager クラウド管理 統合用に作成したアプリケーションを選択します。Select the application that you created for Configuration Manager Cloud Management integration.

    3. [管理] メニューで、 [認証] を選択します。In the Manage menu, select Authentication.

      1. [リダイレクト URI] セクションで、次のパスを貼り付けます。https://<CMG FQDN>/CCM_Proxy_ServerAuth/ImplicitAuthIn the Redirect URIs section, paste in the following path: https://<CMG FQDN>/CCM_Proxy_ServerAuth/ImplicitAuth

      2. <CMG FQDN> をクラウド管理ゲートウェイ (CMG) サービスの完全修飾ドメイン名 (FQDN) で置き換えます。Replace <CMG FQDN> with the fully qualified domain name (FQDN) of your cloud management gateway (CMG) service. 例: GraniteFalls.Contoso.com。For example, GraniteFalls.Contoso.com.

      3. 次に、 [保存] を選択します。Then select Save.

    4. [管理] メニューで、 [マニフェスト] を選択します。In the Manage menu, select Manifest.

      1. [マニフェストの編集] ウィンドウで、oauth2AllowImplicitFlow プロパティを探します。In the Edit manifest pane, find the oauth2AllowImplicitFlow property.

      2. その値を true に変更します。Change its value to true. たとえば、行全体が次の行のようになります。"oauth2AllowImplicitFlow": true,For example, the entire line should look like the following line: "oauth2AllowImplicitFlow": true,

      3. [保存] を選択します。Select Save.

メールの承認を構成するConfigure email approval

  1. Configuration Manager コンソールで、ユーザー コレクションに使用できるようにアプリケーションを展開します。In the Configuration Manager console, deploy an application as available to a user collection. [展開の設定] ページで、承認に対して有効にします。On the Deployment Settings page, enable it for approval. 通知を受け取るアドレスを 1 つ以上入力します。Then enter one or more email addresses to receive notification. メール アドレスはセミコロン (;) で区切ります。Separate email addresses with a semi-colon (;).

    注意

    Azure AD 組織内でメールを受け取るすべてのユーザーが、要求を承認できます。Anyone in your Azure AD organization who receives the email can approve the request. 他のユーザーにアクションを実行させるのでない限り、他のユーザーにメールを転送しないでください。Don't forward the email to others unless you want them to take action.

  2. ユーザーが、ソフトウェア センターでアプリケーションを要求します。As a user, request the application in Software Center.

  3. 5 分以内に通知メールが届きます。You receive an email notification within five minutes. メールの内容は、次の例のようになります。The content of the email is similar to the following example:

アプリケーション承認のメール通知の例

注意

承認または拒否のためのリンクは、1 回しか使用できません。The link to approve or deny is for one-time use. たとえば、通知を受け取るためのグループの別名を構成します。For example, you configure a group alias to receive notifications. あるユーザーが要求を承認します。Meg approves the request. その場合、別のユーザーは要求を拒否できません。Now Bruce can't deny the request.

トラブルシューティングのため、サイト サーバーで NotiCtrl.log ファイルを確認します。Review the NotiCtrl.log file on the site server for troubleshooting.

メンテナンスMaintenance

Configuration Manager により、アプリケーション承認要求に関する情報がサイト データベースに保存されます。Configuration Manager stores the information about the application approval request in the site database. 取り消された要求または拒否された要求については、30 日を経過すると、サイトによって要求履歴から削除されます。For requests that are canceled or denied, the site deletes the request history after 30 days. 削除動作は、 [期限切れのアプリケーション要求データの削除] サイトのメンテナンス タスクで構成できます。You can configure this deletion behavior with the Delete Aged Application Request Data site maintenance task. 承認済みまたは保留中のアプリケーション要求がサイトで削除されることはありません。The site never deletes any approved or pending application requests.