アプリ保護ポリシーを作成して割り当てる方法

組織のユーザーに対してアプリMicrosoft Intuneポリシー (APP) を作成して割り当てる方法について説明します。 このトピックでは、既存のポリシーを変更する方法も説明します。

開始する前に

アプリ保護ポリシーは、Intune によって管理される場合と管理できない可能性があるデバイスで実行されているアプリに適用できます。 アプリ保護ポリシーがどのように機能し、Intune アプリ保護ポリシーでサポートされるシナリオの詳細については、「アプリ保護ポリシーの概要」を 参照してください

アプリ保護ポリシー (APP) で利用できる選択肢を使用することで、組織は固有のニーズに合わせて保護を調整できます。 場合によっては、完全なシナリオを実装するためにどのポリシー設定が必要であるかが明確ではないことがあります。 組織がモバイル クライアント エンドポイントのセキュリティ強化を優先できるよう、Microsoft では、iOS および Android モバイル アプリ管理のための APP データ保護フレームワークの分類を導入しました。

APP データ保護フレームワークは 3 つの異なる構成レベルに編成されており、各レベルは前のレベルを基に構築されています。

  • エンタープライズ基本データ保護 (レベル 1) では、アプリが PIN で保護され、暗号化されており、選択的ワイプ操作を実行できるようにします。 Android デバイスの場合、このレベルでは Android デバイスの構成証明を検証します。 これは、Exchange Online メールボックス ポリシーに類似したデータ保護制御を提供し、IT 部門およびユーザー集団に APP を経験させる、エントリ レベルの構成です。
  • エンタープライズ拡張データ保護 (レベル 2) では、APP データ漏えい防止メカニズムと OS の最小要件が導入されています。 この構成は、職場または学校のデータにアクセスするほとんどのモバイル ユーザーに適用されます。
  • エンタープライズ高度データ保護 (レベル 3) では、高度なデータ保護メカニズム、強化された PIN の構成、および APP Mobile Threat Defense が導入されています。 この構成は、危険度の高いデータにアクセスするユーザーに適しています。

各構成レベルおよび、最低限保護する必要のあるアプリに関する具体的な推奨事項については、「アプリ保護ポリシーを使用するデータ保護フレームワーク」を参照してください。

Intune SDK を統合したアプリの一覧を探している場合は、「保護Microsoft Intuneを参照してください

アプリ保護ポリシーの準備のために組織の業務ライン (LOB) アプリを Microsoft Intune に追加する方法については、「Add apps to Microsoft Intune」を参照してください

iOS/iPadOS および Android アプリのアプリ保護ポリシー

iOS/iPadOS および Android アプリ用のアプリ保護ポリシーを作成すると、新しいアプリ保護ポリシーが作成される最新の Intune プロセス フローに従います。 アプリのアプリ保護ポリシーの作成Windows Intune を使用して Windows情報保護 (WIP)ポリシーを作成および展開するを参照してください。

iOS/iPadOS または Android アプリ保護ポリシーを作成する

  1. Microsoft エンドポイント マネージャー管理センター

  2. [アプリ > アプリ保護ポリシー] を選択します。 この選択により、 アプリ保護ポリシーの詳細が開 き、新しいポリシーを作成し、既存のポリシーを編集します。

  3. [ポリシーの作成] を選択し、[iOS/iPadOS] または [Android] を選択します。 [ポリシーの作成] ウィンドウが表示されます。

  4. [基本] ページで、次の値を追加します。

    説明
    名前 このアプリ保護ポリシーの名前。
    説明 [省略可能]このアプリ保護ポリシーの説明。

    [プラットフォーム] の値は、上記の選択に基づいて設定されます。

    [ポリシーの作成] ウィンドウの [基本] ページのスクリーンショット

  5. [次 へ] を クリックして [ アプリ] ページを 表示します。
    [アプリ] ページでは、このポリシーをさまざまなデバイス上のアプリに適用する方法を選択できます。 少なくとも 1 つのアプリを追加する必要があります。

    値/オプション 説明
    すべてのデバイスの種類のアプリをターゲットに設定する このオプションを使用して、管理状態のデバイス上のアプリにポリシーを適用します。 [ いいえ] を 選択して、特定のデバイスの種類のアプリをターゲットにします。 詳細については、「デバイス管理状態 に基づいてアプリ保護ポリシーをターゲットにする」を参照してください
    デバイスの種類 このオプションを使用して、このポリシーを MDM 管理対象デバイスまたは管理されていないデバイスに適用するかどうかを指定します。 iOS/iPadOS APP ポリシーの場合は、[管理されていないデバイスと管理対象 デバイス] から選択 します。 Android APP ポリシーの場合は、[管理されていない ]、Android デバイス管理者、および Android デバイス管理者から選択Enterprise。
    ターゲット ポリシー [ターゲット ポリシーを対象とする] ドロップダウン ボックスで、アプリ保護ポリシーを [すべてのアプリ] 、[Microsoft Apps] 、または [ コア Microsoft Apps]にMicrosoft Apps。

    -すべてのアプリには 、Intune SDK を統合しているすべての Microsoft アプリとパートナー アプリが含まれます。
    -Microsoft Apps Intune SDK を統合しているすべての Microsoft アプリが含まれています。
    -コア Microsoft Apps には、Edge、Excel、Office、OneDrive、OneNote、Outlook、PowerPoint、SharePoint、Teams、To Do、Word。

    次に、[ 対象となるアプリ の一覧を表示する] を選択して、このポリシーの影響を受けるアプリの一覧を表示できます。

    パブリック アプリ 定義済みのアプリ グループのいずれかを選択しない場合は、[ターゲット ポリシーから] ドロップダウン ボックスで [選択したアプリ] を選択して、個々のアプリをターゲット できます。 [パブリック アプリの選択] を クリックして、対象とするパブリック アプリを選択します。
    カスタムアプリ 定義済みのアプリ グループのいずれかを選択しない場合は、[ターゲット ポリシーから] ドロップダウン ボックスで [選択したアプリ] を選択して、個々のアプリをターゲット できます。 [カスタム アプリの選択] をクリックして、バンドル ID に基づいてターゲットとするカスタム アプリを選択します。

    選択したアプリは、パブリック アプリとカスタム アプリの一覧に表示されます。

    注意

    パブリック アプリ がサポートされているのは、Microsoft のアプリと、アプリと一緒に一般的に使用されるパートナー Microsoft Intune。 これらの Intune で保護されたアプリは、モバイル アプリケーション保護ポリシーの豊富なサポートセットで有効になります。 詳細については、「保護されたアプリMicrosoft Intuneを参照してください。 カスタム アプリは、Intune SDK と統合された LOB アプリ、または Intune SDK によってラップされた LOB アプリApp Wrapping Tool。 詳細については、「アプリSDK のMicrosoft Intune」および「アプリ保護ポリシー用の業務用アプリの準備」を参照してください

  6. [次 へ] を クリックして、[ データ保護] ページを表示 します。
    このページでは、切り取り、コピー、貼り付け、名前を付けて保存の制限など、データ損失防止 (DLP) コントロールの設定を提供します。 これらの設定は、このアプリ保護ポリシーが適用されるアプリ内のデータをユーザーがどのように操作するかを決定します。

    データ保護の設定:

    • iOS/iPadOS データ保護 - 詳細については 、「iOS/iPadOSアプリ保護ポリシー設定 - データ保護」を参照してください。
    • Android データ保護 - 詳細については、「Android アプリ保護ポリシー設定 - データ 保護」を参照してください
  7. [次 へ] を クリックして、[ アクセス要件] ページを表示 します。
    このページには、ユーザーが仕事のコンテキストでアプリにアクセスするために満たす必要のある PIN と資格情報の要件を構成できる設定が用意されています。

    アクセス要件の設定:

    • iOS/iPadOS アクセス 要件 - 詳細については 、「iOS/iPadOSアプリ保護ポリシー設定 - アクセス要件」を参照してください。
    • Android アクセス要件 - 詳細については、「Android アプリ保護ポリシー設定 - アクセス要件」 を参照してください
  8. [次 へ] を クリックして、[条件付き 起動] ページを 表示します。
    このページでは、アプリ保護ポリシーのサインイン セキュリティ要件を設定するための設定を提供します。 [設定] を選択し、ユーザーが会社のアプリにサインインするために満たす必要がある [] を入力します。 次に、ユーザーが要件を満たしていない場合に実行する [アクション] を選択します。 場合によっては、単一の設定に対して複数のアクションを構成できます。

    条件付き起動の設定:

  9. [次 へ] を クリックして、[割り当 て] ページを表示 します。
    [ 割り当て ] ページでは、アプリ保護ポリシーをユーザーのグループに割り当てできます。 ポリシーを有効にするには、ユーザーのグループにポリシーを適用する必要があります。

  10. [ 次へ: 確認] + [作成] をクリックして、このアプリ保護ポリシーに入力した値と設定を確認します。

  11. 完了したら、[作成] を クリックして Intune でアプリ保護ポリシーを作成します。

    ヒント

    これらのポリシー設定は、作業コンテキストでアプリを使用する場合にのみ適用されます。 エンド ユーザーがアプリを使用して個人用タスクを実行する場合、これらのポリシーの影響を受け取る必要があります。 新しいファイルを作成すると、個人用ファイルと見なされます。

    重要

    アプリ保護ポリシーが既存のデバイスに適用されるには時間がかかる場合があります。 アプリ保護ポリシーが適用されると、エンド ユーザーにデバイスに通知が表示されます。 特定のアクセス ルールを適用する前に、アプリ保護ポリシーをデバイスに適用します。

エンド ユーザーは、アプリ ストアまたは Google Play からアプリをダウンロードできます。 詳細については、以下を参照してください。

既存のポリシーを変更する

既存のポリシーを編集し、対象ユーザーに適用できます。 ただし、既存のポリシーを変更しても、アプリに既にサインインしているユーザーには、8 時間の間は変更が表示されません。

変更の効果をすぐに確認するには、エンド ユーザーがアプリからサインアウトしてからサインインし直す必要があります。

ポリシーに関連付けられているアプリの一覧を変更するには

  1. [アプリ 保護ポリシー] ウィンドウで 、変更するポリシーを選択します。

  2. [Intune アプリ保護] ウィンドウで、[ プロパティ] を 選択します

  3. [アプリ] というタイトルのセクション の横にある [ 編集] を 選択します

  4. [アプリ] ページでは、このポリシーをさまざまなデバイス上のアプリに適用する方法を選択できます。 少なくとも 1 つのアプリを追加する必要があります。

    値/オプション 説明
    すべてのデバイスの種類のアプリをターゲットに設定する このオプションを使用して、管理状態のデバイス上のアプリにポリシーを適用します。 [ いいえ] を 選択して、特定のデバイスの種類のアプリをターゲットにします。 この設定には、追加のアプリ構成が必要になる場合があります。 詳細については、「デバイス管理状態 に基づいてアプリ保護ポリシーをターゲットにする」を参照してください
    デバイスの種類 このオプションを使用して、このポリシーを MDM 管理対象デバイスまたは管理されていないデバイスに適用するかどうかを指定します。 iOS/iPadOS APP ポリシーの場合は、[管理されていないデバイスと管理対象 デバイス] から選択 します。 Android APP ポリシーの場合は、[管理されていない ]、Android デバイス管理者、および Android デバイス管理者から選択Enterprise。
    パブリック アプリ [ターゲット ポリシーの対象] ドロップダウン ボックスで、アプリ保護ポリシーを [すべてのパブリック アプリ、 Microsoft Apps、 または Core Microsoft Apps に Microsoft Apps。 次に、[ 対象となるアプリ の一覧を表示する] を選択して、このポリシーの影響を受けるアプリの一覧を表示できます。

    必要に応じて、[パブリック アプリの選択] をクリックして、個々の アプリを対象にすることもできます

    カスタムアプリ [カスタム アプリの選択] をクリックして、バンドル ID に基づいてターゲットとするカスタム アプリを選択します。

    選択したアプリは、パブリック アプリとカスタム アプリの一覧に表示されます。

  5. [ レビューと作成] を クリックして、このポリシーで選択したアプリを確認します。

  6. 完了したら、[保存] をクリックして アプリ保護ポリシーを更新します。

ユーザー グループの一覧を変更するには

  1. [アプリ 保護ポリシー] ウィンドウで 、変更するポリシーを選択します。

  2. [Intune アプリ保護] ウィンドウで、[ プロパティ] を 選択します

  3. [割り当て] というタイトルの セクションの横にある[編集] を 選択します

  4. ポリシーに新しいユーザー グループを追加するには、[含める]タブで [含めるグループの選択] を選択し、ユーザー グループを選択します。 [ 選択] を 選択してグループを追加します。

  5. ユーザー グループを除外するには、[除外] タブで [除外するグループの選択] を選択し、ユーザー グループを選択します。 [ 選択] を 選択して、ユーザー グループを削除します。

  6. 以前に追加されたグループを削除するには、[含める]タブまたは[除外] タブで省略記号 (....) を選択し、[削除] を選択 します

  7. [ レビューと作成] を クリックして、このポリシーで選択したユーザー グループを確認します。

  8. 割り当ての変更の準備が整った後、[保存] を選択して構成を保存し、新しいユーザー セットにポリシーを展開します。 構成を保存 する前に [ キャンセル] を選択した場合は、[含める] タブと [除外] タブに加えたすべての変更 を**破棄 します。

ポリシー設定を変更するには

  1. [アプリ 保護ポリシー] ウィンドウで 、変更するポリシーを選択します。

  2. [Intune アプリ保護] ウィンドウで、[ プロパティ] を 選択します

  3. 変更する設定に対応するセクションの横にある [編集] を 選択します。 次に、設定を新しい値に変更します。

  4. [ レビューと作成] を クリックして、このポリシーの更新された設定を確認します。

  5. [保存] を選択 して変更を保存します。 すべての変更が完了するまで、このプロセスを繰り返して設定領域を選択し、変更を変更してから保存します。 その後、[Intune アプリ保護 - プロパティ] ウィンドウを閉 じることができます。

デバイス管理状態に基づいてアプリ保護ポリシーをターゲットにする

多くの組織では、エンド ユーザーが Intune モバイル デバイス管理 (MDM) 管理対象デバイス (企業所有デバイスなど) と Intune アプリ保護ポリシーのみを使用して保護された管理されていないデバイスの両方を使用できるのが一般的です。 管理されていないデバイスは、多くの場合、自分のデバイスを持ち込む (BYOD) と呼ばれています。

Intune アプリ保護ポリシーはユーザーの ID を対象としますので、ユーザーの保護設定は、登録済み (MDM マネージ) デバイスと登録されていないデバイス (MDM なし) の両方に適用できます。 したがって、Intune アプリ保護ポリシーを Intune に登録または登録されていない iOS/iPadOS および Android デバイスにターゲット設定できます。 厳しいデータ損失防止 (DLP) 制御が適用されている管理されていないデバイスに対して 1 つの保護ポリシーと、DLP コントロールが少し緩和される可能性がある MDM 管理対象デバイスの個別の保護ポリシーを設定できます。 個人用 Android デバイスでどのように動作するEnterpriseについては、「アプリ保護ポリシーと作業プロファイル」を参照してください

これらのポリシーを作成するには、Intune コンソールで [アプリ アプリ保護ポリシー] を参照し、[ポリシーの > 作成]を選択します。 既存のアプリ保護ポリシーを編集することもできます。 アプリ保護ポリシーを管理対象デバイスと非管理対象デバイスの両方に適用するには、[アプリ] ページに移動し、すべてのデバイスの種類の [アプリのターゲット] が既定値の [は い] に設定されています。 管理状態に基づいて細かく割り当てる場合は、[ターゲット] を [すべてのデバイスの種類のアプリ] に [いいえ]に****設定します

デバイスの種類

  • 管理されていない: iOS/iPadOS デバイスの場合、管理されていないデバイスは、Intune MDM 管理またはサードパーティの MDM/EMM ソリューションがキーを渡していないすべてのデバイス IntuneMAMUPN です。 Android デバイスの場合、管理されていないデバイスは Intune MDM 管理が検出されていないデバイスです。 これには、サードパーティの MDM ベンダーによって管理されるデバイスが含まれます。
  • Intune 管理対象デバイス: 管理対象デバイスは Intune MDM によって管理されます。
  • Android デバイス管理者: Android デバイス管理 API を使用して Intune で管理されるデバイス。
  • Android Enterprise: Android を使用して Intune で管理されるデバイス Enterpriseプロファイルまたは Android Enterpriseフル デバイス管理。

Android では、Android デバイスは、選択されているデバイスの種類Intune ポータル サイトに関係なく、アプリのインストールを求めるメッセージを表示します。 たとえば、[Android デバイス] を選択Enterprise、管理されていない Android デバイスを持つユーザーに対してメッセージが表示されます。

iOS/iPadOS では、Intune 管理対象デバイスに適用される 「デバイスの種類」 の選択では、追加のアプリ構成設定が必要です。 これらの構成は、特定のアプリが管理され、APP 設定が適用されない APP サービスと通信します。

  • IntuneMAMUPN は、すべての MDM マネージ アプリケーションに対して構成する必要があります。 詳細については、「iOS/iPadOSアプリ間のデータ転送を管理する方法」を参照Microsoft Intune。
  • IntuneMAMDeviceID は、すべてのサード パーティおよびライン オブビジネス MDM マネージ アプリケーションに対して構成する必要があります。 IntuneMAMDeviceID を デバイス ID トークンに構成する必要があります。 たとえば、key=IntuneMAMDeviceID, value={{deviceID}} などです。 詳細については、「マネージ iOS/iPadOSデバイスのアプリ構成ポリシーを追加する」を参照してください。
  • IntuneMAMDeviceID だけが構成されている場合、Intune APP はデバイスを管理されていないと見なします。

注意

デバイス管理状態に基づくアプリ保護ポリシーに関する特定の iOS/iPadOS サポート情報については、「管理状態に基づいて対象となる MAM 保護ポリシー」 を参照してください

ポリシー設定

iOS/iPadOS および Android のポリシー設定の完全な一覧を表示するには、次のいずれかのリンクを選択します。

次の手順

コンプライアンスとユーザーの状態を監視する

関連項目