Microsoft Intune のアプリ構成ポリシー

アプリ構成ポリシーは、アプリを実行する前にエンド ユーザーに割り当てられているポリシーに構成設定を割り当て、アプリのセットアップの問題を解消するのに役立ちます。 この設定は、アプリがエンド ユーザー デバイスで構成されている場合に自動的に提供され、エンドユーザーはアクションを実行する必要はありません。 構成設定は、アプリごとに一意です。

アプリ構成ポリシーを作成して使用して、iOS/iPadOS または Android アプリの両方に構成設定を提供できます。 これらの構成設定を使用すると、アプリの構成と管理を使用してアプリをカスタマイズできます。 構成ポリシー設定は、アプリがこれらの設定をチェックするときに使用されます (通常、アプリを初めて実行する場合)。

たとえば、アプリの構成設定では、次の詳細を指定する必要がある場合があります。

  • カスタム ポート番号
  • 言語設定
  • セキュリティの設定
  • 会社のロゴなどのブランド設定

エンド ユーザーが代わりにこれらの設定を入力すると、正しく実行されない可能性があります。 アプリ構成ポリシーは、企業全体で一貫性を提供し、自分で設定を構成しようとしているエンドユーザーからのヘルプデスク呼び出しを減らすのに役立ちます。 アプリ構成ポリシーを使用すると、新しいアプリの導入がより簡単かつ迅速になります。

使用可能な構成パラメーターと構成パラメーターの実装は、アプリケーションの開発者によって決定されます。 使用可能な構成と、構成がアプリケーションの動作に与える影響を確認するために、アプリケーション ベンダーのドキュメントを確認する必要があります。 一部のアプリケーションでは、Intune は使用可能な構成設定を設定します。

注意

Managed Google Play ストアでは、構成をサポートするアプリは次のようにマークされます。

構成済みアプリのスクリーンショット

管理対象デバイスを Android デバイスの登録の種類として使用する場合は、Google Playストアではなく、Managed Google Playストアのアプリだけが表示されます。 Android for Work (AfW) および Android Enterprise として知っている場合があるマネージ Google Play ストアは、アプリ構成をサポートするアプリバージョンを含むワーク プロファイル内のアプリです。

アプリ構成ポリシーをエンド ユーザーとデバイスのグループに割り当てるには、含める割り当てと除外の割り当てを組み 合わせて使用します。 アプリ構成ポリシーを追加したら、アプリ構成ポリシーの割り当てを設定できます。 ポリシーの割り当てを設定すると、ポリシーが適用されるエンド ユーザーのグループを含めるおよび除外できます。 1 つ以上のグループを含める場合は、特定のグループを選択して組み込みグループを含めるか選択できます。 組み込みのグループには、 すべてのユーザーすべてのデバイス、および すべてのユーザー + すべてのデバイスが含まれます

Intune でアプリ構成ポリシーを使用するには、次の 2 つのオプションがあります。

  • 管理対象デバイス - デバイスは、モバイル デバイス管理 (MDM) プロバイダーとして Intune によって管理されます。 アプリは、アプリの構成をサポートするように設計されている必要があります。

  • マネージ アプリ - Intune アプリ SDK を統合するために開発されたアプリ。 これは、登録なしのモバイル アプリケーション管理(MAM-WE) と呼ばれています。 アプリをラップして Intune アプリ SDK を実装およびサポートすることもできます。 アプリをラップする方法の詳細については、「アプリ保護ポリシー用に業務用アプリを準備する 」を参照してください

    注意

    Intune アプリ保護ポリシーと組み合わせて展開すると、Intune 管理アプリは Intune アプリ構成ポリシーの状態に対して 30 分の間隔でチェックインします。 Intune アプリ保護ポリシーがユーザーに割り当てられていない場合、Intune アプリ構成ポリシーのチェックイン間隔は 720 分に設定されます。

アプリの構成をサポートするアプリ

管理対象デバイス

アプリ構成ポリシーは、アプリをサポートするアプリに使用できます。 Intune でアプリ構成をサポートするには、OS で定義されているアプリ構成の使用をサポートするためにアプリを記述する必要があります。 サポートするアプリ構成キーの詳細については、アプリ ベンダーに問い合わせください。

管理されているアプリ

Intune アプリ SDK をアプリに組み込むか、Intuneアプリを使用してアプリを開発した後でアプリをラップすることで、業務用アプリを準備App Wrapping Tool。 Intune アプリ SDK は、アプリ開発者に必要なコード変更の量を最小限に抑える努力をしています。 詳細については 、「Intune App SDK の概要」を参照してください。 Intune アプリ SDK と Intune アプリの比較については、「アプリ保護ポリシー App Wrapping Tool業務用アプリを準備する」を参照してください

[デバイス登録の種類]として [管理対象アプリ] を選択すると、具体的には、デバイス管理に登録されていないデバイスの Intune 構成ポリシーによって構成されたアプリが示され、管理対象デバイスは MDM チャネルを通じて展開されたアプリに適用され、Intune によって管理されます。 これらの説明に基づいて適切な選択肢を選択します。

デバイスの登録のタイプ

注意

Microsoft アプリなどのマルチ ID アプリOutlookユーザー設定が考慮される場合があります。 たとえば、フォーカスされた受信トレイはユーザー設定を尊重し、構成は変更されません。 他のパラメーターを使用すると、ユーザーが設定を変更できるかどうかを制御できます。 詳細については、「deploying Outlook for iOS/iPadOS」および「Android アプリ構成設定」を参照してください

Android アプリ構成ポリシー

Android アプリ構成ポリシーでは、アプリ構成プロファイルを作成する前にデバイス登録の種類を選択できます。 登録の種類に基づく証明書プロファイルを考慮できます。

登録の種類は、次のいずれかを指定できます。

  • [すべてのプロファイルの種類]: 新しいプロファイルが作成され、デバイス登録の種類として [すべてのプロファイルの種類] が選択されている場合は、証明書プロファイルをアプリ構成ポリシーに関連付けできません。 このオプションは、ユーザー名とパスワード認証をサポートします。 証明書ベースの認証を使用する場合は、このオプションを使用しない。
  • 完全管理、専用、および Corporate-Owned 作業プロファイルのみ: 新しいプロファイルが作成され、完全管理、専用、および Corporate-Owned 作業プロファイルのみ選択されている場合は、[デバイス構成プロファイル] で作成された完全管理、専用、および Corporate-Owned 作業プロファイル証明書ポリシーを使用できます。 > このオプションは、証明書ベースの認証、およびユーザー名とパスワード認証をサポートします。 完全管理は、完全に管理Enterpriseデバイス (COBO) の Android に関連付けられます。 専用 は、Android 専用Enterprise (COSU) に関連します。 企業所有の作業プロファイルは、企業所有Enterpriseプロファイル (COPE) の Android に関連します。
  • 個人所有 の作業プロファイルのみ : 新しいプロファイルが作成され、[個人用所有の作業プロファイルのみ] が選択されている場合は、[デバイス構成プロファイル]で作成された作業プロファイル証明書ポリシーを > 利用できます。 このオプションは、証明書ベースの認証、およびユーザー名とパスワード認証をサポートします。

注意

ユーザーが関係しない Android Enterprise 専用のデバイス作業プロファイルに Gmail または 9 の構成プロファイルを展開すると、Intune でユーザーを解決できないので失敗します。

重要

この機能がリリースされる前に作成された既存のポリシー (2020 年 4 月リリース - 2004 年 4 月) では、ポリシーに関連付けられている証明書プロファイルは既定でデバイス登録の種類の [すべてのプロファイルの種類] になります。 また、証明書プロファイルが関連付けられているこの機能がリリースされる前に作成された既存のポリシーは、既定で作業プロファイルにのみ設定されます。

既存のポリシーは、新しい証明書を修復または発行しない。

適用されたアプリ構成ポリシーを検証する

アプリ構成ポリシーは、次の 3 つの方法で検証できます。

  1. デバイスでアプリ構成ポリシーを目に見えて確認します。 対象アプリがアプリ構成ポリシーに適用される動作を示しているのを確認します。

  2. 診断ログを使用して確認します (以下の「 診断ログ」 セクションを参照してください)。

  3. 管理センターでMicrosoft エンドポイント マネージャーします。 [アプリ管理[Microsoft エンドポイント マネージャーで、アプリ] [すべてのアプリ] > > *関連するアプリを選択**を選択します。 次に、[監視] セクションで 、[ デバイスインストールの 状態] または [ユーザー インストール の状態] を選択します

    デバイスのインストール状態の最初のスクリーンショット

    デバイスのインストール状態の 2 番目のスクリーンショット

    さらに、管理センターの [Microsoft エンドポイント マネージャー [で、デバイスすべてのデバイス] を選択 > > して、デバイスアプリの構成 > を選択します。 アプリ構成** ウィンドウには、割り当てられているすべてのポリシーとその状態が表示されます。

    アプリ構成のスクリーンショット

診断ログ

管理されていないデバイスでの iOS/iPadOS 構成

管理対象アプリ構成用の管理されていないデバイスの Intune 診断 ログ を使用して、iOS/iPadOS 構成を検証できます。 以下の手順に加えて、アプリの管理ログにアクセスするには、次の手順Microsoft Edge。 詳細については 、「Use Edge for iOS and Android to access managed app logs 」を参照してください

  1. デバイスにまだインストールされていない場合は、App Store から Microsoft Edgeインストールします。 詳細については、「保護されたアプリMicrosoft Intuneを参照してください

  2. アプリを 起動Microsoft Edge ナビゲーション バーから > intunehelp について選択します。

  3. [はじめに]をクリックします

  4. [ログ の共有] をクリックします

  5. 選択したメール アプリを使用して、自分にログを送信し、PC でログを表示できます。

  6. テキスト IntuneMAMDiagnostics.txt ビューアーでファイルを確認します。

  7. ApplicationConfiguration を検索します。 結果は次のようになります。

        {
            (
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.BlockListURLs";
                    Value = "https://www.aol.com";
                },
                {
                    Name = "com.microsoft.intune.mam.managedbrowser.bookmarks";
                    Value = "Outlook Web|https://outlook.office.com||Bing|https://www.bing.com";
                }
            );
        },
        {
            ApplicationConfiguration =             
            (
                {
                Name = IntuneMAMUPN;
                Value = "CMARScrubbedM:13c45c42712a47a1739577e5c92b5bc86c3b44fd9a27aeec3f32857f69ddef79cbb988a92f8241af6df8b3ced7d5ce06e2d23c33639ddc2ca8ad8d9947385f8a";
                },
                {
                Name = "com.microsoft.outlook.Mail.NotificationsEnabled";
                Value = false;
                }
            );
        }
    

アプリケーション構成の詳細は、テナント用に構成されたアプリケーション構成ポリシーと一致している必要があります。

対象アプリの構成

管理対象デバイスでの iOS/iPadOS 構成

管理対象デバイス上の Intune 診断ログを使用して、管理対象アプリ構成用の iOS/iPadOS 構成を検証できます。

  1. デバイスにまだインストールされていない場合は、App Store から Microsoft Edgeインストールします。 詳細については、「保護されたアプリMicrosoft Intuneを参照してください
  2. ナビゲーション Microsoft Edge を起動し、ナビゲーション バー > から intunehelp について選択します。
  3. [はじめに]をクリックします
  4. [ログ の共有] をクリックします
  5. 選択したメール アプリを使用して、自分にログを送信し、PC でログを表示できます。
  6. テキスト IntuneMAMDiagnostics.txt ビューアーでファイルを確認します。
  7. AppConfig を検索します。 結果は、テナント用に構成されたアプリケーション構成ポリシーと一致する必要があります。

管理対象デバイスでの Android 構成

管理対象デバイス上の Intune 診断ログを使用して 、管理対象 アプリ構成用の Android 構成を検証できます。

Android デバイスからログを収集するには、ユーザーまたはエンド ユーザーが USB 接続 (またはデバイスで同等の エクスプローラー ) を介してデバイスからログをダウンロードする必要があります。 それらのステップは次のとおりです。

  1. Connect USB ケーブルを使用して Android デバイスをコンピューターに接続します。

  2. コンピューターで、デバイスの名前を持つディレクトリを探します。 そのディレクトリで、 を探します Android Device\Phone\Android\data\com.microsoft.windowsintune.companyportal

  3. フォルダーで com.microsoft.windowsintune.companyportal 、[ファイル] フォルダーを開き、 を開きます OMADMLog_0

  4. アプリの構成 AppConfigHelper に関連するメッセージを検索します。 結果は、次のデータ ブロックに似ています。

    2019-06-17T20:09:29.1970000 INFO AppConfigHelper 10888 02256 Returning app config JSON [{"ApplicationConfiguration":[{"Name":"com.microsoft.intune.mam.managedbrowser.BlockListURLs","Value":"https:\/\/www.aol.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.bookmarks","Value":"Outlook Web|https:\/\/outlook.office.com||Bing|https:\/\/www.bing.com"},{"Name":"com.microsoft.intune.mam.managedbrowser.homepage","Value":"https:\/\/www.arstechnica.com"}]},{"ApplicationConfiguration":[{"Name":"IntuneMAMUPN","Value":"AdeleV@M365x935807.OnMicrosoft.com"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled","Value":"false"},{"Name":"com.microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed","Value":"false"}]}] for user User-875363642

Graphアプリ構成の API サポート

アプリ構成タスクをGraph API を使用できます。 詳細については、「APIリファレンス MAM Graph構成」を参照してください。Intune とアプリの詳細については、「Microsoft Graphで Intune を操作する」を参照Graph。

トラブルシューティング

ログを使用して構成パラメーターを表示する

ログに、適用が確認されているが動作していないように見える構成パラメーターが表示される場合は、アプリ開発者による構成の実装に問題がある可能性があります。 最初にアプリ開発者に連絡するか、ナレッジ ベースを確認すると、Microsoft とのサポート呼び出しが保存される場合があります。 アプリ内での構成の処理方法に問題がある場合は、将来更新されたバージョンのアプリで対処する必要があります。

次の手順

管理対象デバイス

管理されているアプリ