MAM とアプリの保護に関してよく寄せられる質問

この記事では、Intune モバイル アプリケーション管理 (MAM) と Intune アプリ保護に関してよく寄せられる質問に対する回答を示します。

MAM の基本

MAM とは

アプリ保護ポリシー

アプリ保護ポリシーとは

アプリ保護ポリシーは、管理対象アプリで組織のデータがセキュリティ保護または保持されるようにするルールです。 ポリシーの例としては、ユーザーが "企業" データへのアクセスまたは移動を試みた場合や、アプリ内で禁止または監視されている一連の操作を試みた場合に適用されるルールがあります。

アプリ保護ポリシーの例は何ですか?

MDM ポリシーと MAM ポリシーの両方を、デバイスごとに同じユーザーに同時に適用できますか? たとえば、ユーザーが自分の MAM 対応マシンから仕事用リソースにアクセスできるだけでなく、Intune MDM で管理されたデバイスも使用できる場合です。 このアイデアに注意点はありますか?

デバイス管理状態を設定せずに MAM ポリシーをユーザーに適用すると、ユーザーは BYOD デバイスと Intune で管理されるデバイスの両方で MAM ポリシーを取得します。 デバイスの管理状態に基づいて MAM ポリシーを適用することもできます。 そのため、アプリ保護ポリシーを作成するときに、[すべてのデバイスの種類のアプリをターゲットにする] の横にある [いいえ] を選択します。 次に以下のいずれかを実行します。

  • Intune マネージド デバイスに制限が緩い MAM ポリシーを適用し、MDM が登録されていないデバイスにより制限の厳しい MAM ポリシーを適用します。
  • Intune マネージド デバイスに対して、サード パーティのマネージド デバイスと同様に厳密な MAM ポリシーを適用します。
  • 登録解除されたデバイスのみに MAM ポリシーを適用します。

詳細については、「 アプリ保護ポリシーを監視する方法」を参照してください。

アプリ保護ポリシーで管理できるアプリ

アプリ保護ポリシーで管理できるアプリはどれですか?

Intune App SDK と統合されているか、Intune App Wrapping Toolによってラップされているアプリは、Intune アプリ保護ポリシーを使用して管理できます。 一般公開されている Intune で管理されているアプリの公式の一覧を参照してください。

Intune で管理されるアプリでアプリ保護ポリシーを使用するためのベースライン要件は何ですか?

  • エンド ユーザーには、Microsoft Entra アカウントが必要です。 Microsoft Entra IDで Intune ユーザーを作成する方法については、「ユーザーの追加と Intune への管理アクセス許可の付与」を参照してください。

  • エンド ユーザーには、Microsoft Entra アカウントに割り当てられているMicrosoft Intuneのライセンスが必要です。 Intune ライセンスをエンドユーザーに割り当てる方法については、「Intune のライセンスを管理する」を参照してください。

  • エンド ユーザーは、アプリ保護ポリシーの対象となるセキュリティ グループに属している必要があります。 同じアプリ保護ポリシーは、使用している特定のアプリを対象にしている必要があります。 アプリ保護ポリシーは、Microsoft Intune管理センターで作成および展開できます。 セキュリティ グループは現在のところ、Microsoft 365 管理センターで作成できます。

  • エンド ユーザーは、Microsoft Entra アカウントを使用してアプリにサインインする必要があります。

Intune App Protection でアプリを有効にしたいが、サポートされているアプリ開発プラットフォームを使用していない場合はどうなりますか?

Intune SDK 開発チームは、ネイティブの Android、iOS/iPadOS (Obj-C、Swift)、Xamarin、および Xamarin.Forms プラットフォームを使ってビルドされたアプリに対するサポートを、積極的にテストして管理しています。 一部のお客様は、Intune SDK と React Native や NativeScript などの他のプラットフォームとの統合に成功していますが、サポートされているプラットフォーム以外のものを使用するアプリ開発者向けの明示的なガイダンスやプラグインは提供していません。

Intune APP SDK は Microsoft Authentication Library (MSAL) をサポートしていますか?

Intune App SDK では、認証シナリオと条件付き起動シナリオに Microsoft 認証ライブラリを使用できます。 また、MSAL を使用して、デバイス登録シナリオを使用せずに管理するために、MAM サービスにユーザー ID を登録します。

Outlook モバイル アプリを使用するためのその他の要件は何ですか?

  • エンド ユーザーは、デバイスに Outlook モバイル アプリ をインストールする必要があります。

  • エンド ユーザーには、Microsoft 365 Exchange Online メールボックスとライセンスがMicrosoft Entra アカウントにリンクされている必要があります。

    注:

    現在、Outlook モバイル アプリでは、ハイブリッド先進認証を使用したMicrosoft Exchange OnlineとExchange Serverの Intune App Protection のみがサポートされており、Office 365 Dedicated での Exchange はサポートされていません。

Word、Excel、PowerPoint アプリを使用するためのその他の要件は何ですか?

  • エンド ユーザーは、Microsoft Entra アカウントにリンクされたMicrosoft 365 Apps for businessまたはエンタープライズのライセンスを持っている必要があります。 サブスクリプションには、モバイル デバイスの Office アプリが含まれている必要があります。また、OneDrive for Business のクラウド ストレージ アカウントを含めることも可能です。 Microsoft 365 ライセンスは、Microsoft 365 管理センターで割り当てることができます。こちらの手順に従ってください。

  • エンド ユーザーは、[組織データのコピーを保存] アプリケーション保護ポリシー設定の機能として、詳細保存を使用して管理対象の場所を構成しておく必要があります。 たとえば、管理対象の場所が OneDrive の場合、OneDrive アプリはエンド ユーザーのWord、Excel、または PowerPoint アプリで構成する必要があります。

  • 管理対象の場所が OneDrive の場合、アプリは、エンド ユーザーに展開されているアプリの保護ポリシーの対象となる必要があります。

    注:

    現段階では、Office モバイル アプリは SharePoint Online のみをサポートし、オンプレミスの SharePoint はサポートされていません。

Office にマネージドロケーション (OneDrive) が必要なのはなぜですか?

Intune は、アプリ内のすべてのデータを "企業" または "個人用" としてマークします。データは、ビジネス上の場所から発信される場合、"企業" と見なされます。 Office アプリについては、Intune では電子メール (Exchange) またはクラウド ストレージ (OneDrive for Business アカウントを使用した OneDrive アプリ) が勤務地と見なされます。

Skype for Businessを使用するためのその他の要件は何ですか?

Skype for Business のライセンス要件を参照してください。 Skype for Business (SfB) ハイブリッド構成とオンプレミス構成については、「Hybrid Modern Auth for SfB」を参照し、Exchange は MICROSOFT ENTRA IDを使用してオンプレミスの SfB 用 GA および Modern Auth を使用します。

アプリ保護機能

マルチ ID サポートとは

マルチ ID サポートは、Intune App SDK がアプリにサインインしている職場または学校アカウントにのみアプリ保護ポリシーを適用する機能です。 個人用アカウントでアプリにサインインした場合、データは管理されません。

マルチ ID サポートの目的は何ですか?

マルチ ID サポートを使用すると、"企業" とコンシューマーの両方の対象ユーザー (つまり Office アプリ) を持つアプリを、"企業" アカウントの Intune アプリ保護機能を使用して一般公開できます。

Outlook とマルチ ID はどうですか?

Outlook には個人用メールと "企業" メールの両方のメール ビューが組み合わされているため、起動時に Intune PIN の入力を求めるメッセージが表示されます。

Intune アプリ PIN とは

暗証番号 (PIN) は、アプリケーションで適切なユーザーが組織のデータにアクセスしていることを確認するために使用されるパスコードです。

ユーザーが PIN を入力するように求められるのはいつですか?

Intune では、ユーザーが "企業" データにアクセスしようとした場合にアプリの PIN が要求されます。 Word/Excel/PowerPoint などのマルチ ID アプリでは、"企業" ドキュメントまたはファイルを開こうとすると、ユーザーに PIN の入力を求められます。 Intune App Wrapping Toolを使用して管理される基幹業務アプリなどのシングル ID アプリでは、Intune App SDK はアプリでのユーザーのエクスペリエンスが常に "企業" であることを認識しているため、起動時に PIN が求められます。

ユーザーはどのくらいの頻度で Intune PIN の入力を求められますか?

IT 管理者は、Microsoft Intune管理センターで Intune アプリ保護ポリシー設定の [アクセス要件を (分) 後に再確認する] を定義できます。 この設定では、デバイスでアクセス要件がチェックされるまでの時間を指定し、アプリケーションの PIN 画面が再び表示されます。 ただし、PIN に関する以下の内容は重要であり、ユーザーが入力を求められる頻度に影響を与えます。

  • PIN は、使いやすさを向上させるために、同じ発行元のアプリ間で共有されます。 iOS/iPadOS では、1 つのアプリ PIN が 同じアプリ発行元のすべてのアプリ間で共有されます。 Android では、アプリの PIN はすべてのアプリで共有されます。
  • デバイスの再起動後の "(分) 後のアクセス要件の再確認" 動作: "PIN タイマー" は、Intune アプリの PIN を次に表示するタイミングを決定する非アクティブ時間 (分) を追跡します。 iOS/iPadOS では、PIN タイマーはデバイスの再起動の影響を受けません。 したがって、デバイスの再起動は、ユーザーが Intune PIN ポリシーを使用して iOS/iPadOS アプリから非アクティブになった分数には影響しません。 Android では、デバイスの再起動時に PIN タイマーがリセットされます。 そのため、Intune PIN ポリシーを使用した Android アプリでは、 デバイスの再起動後に [アクセス要件を確認する (分)] 設定値に関係なく、アプリ PIN の入力を求めるメッセージが表示される可能性があります。
  • PIN に関連付けられているタイマーのローリング特性:アプリ (アプリ A) にアクセスするために PIN を入力し、アプリがデバイス上のフォアグラウンド (メイン入力フォーカス) を離れると、その PIN の PIN タイマーがリセットされます。 この PIN を共有するアプリ (アプリ B) は、タイマーがリセットされているため、ユーザーに PIN エントリの入力を求められません。 "(分数) 後にアクセス要件を再確認する" の値がもう一度満たされると、再度プロンプトが表示されます。

iOS/iPadOS デバイスの場合、異なる発行元のアプリ間で PIN が共有されている場合でも、メイン入力フォーカスではないアプリに対して [(分) 後にアクセス要件を再確認する] 値が再び満たされると、プロンプトが再び表示されます。 そこで、たとえば、ユーザーに発行元 X からのアプリ A と発行元 Y からのアプリ B があるとき、それら 2 つのアプリで同じ PIN が共有されているとします。 ユーザーのフォーカスがアプリ A (前景) にあり、アプリ B は最小化されています。 [(分数) 後にアクセス要件を再確認する] 値が満たされ、ユーザーがアプリ B に切り替えると、PIN が必要になります。

注:

ユーザーのアクセス要件をより頻繁に確認するために (つまり、PIN プロンプト)、特に頻繁に使用されるアプリの場合は、[(分) 後にアクセス要件を再確認する] 設定の値を減らすことをお勧めします。

Intune PIN は、Outlook と OneDrive 用の組み込みアプリ PIN でどのように機能しますか?

Intune PIN は、非アクティブベースのタイマー ("(分) 後にアクセス要件を再確認する] の値) に基づいて動作します。 そのため、Intune PIN プロンプトは、既定でアプリの起動に関連付けられていることが多い Outlook および OneDrive 用の組み込みのアプリ PIN プロンプトとは独立して表示されます。 ユーザーに両方の PIN プロンプトが同時に表示される場合、Intune PIN が優先される動作が予想されます。

PIN は安全ですか?

PIN は、アプリで適切なユーザーのみが組織のデータにアクセスできるようにするためのものです。 そのため、エンドユーザーが Intune アプリの PIN を設定またはリセットするには、職場または学校のアカウントを使用してサインインする必要があります。 この認証は、セキュリティで保護されたトークン交換を介してMicrosoft Entra IDによって処理され、Intune App SDK に対して透過的ではありません。 セキュリティの観点からは、職場または学校のデータを保護する最も効果的な方法は暗号化です。 暗号化はアプリ PIN に関連していませんが、独自のアプリ保護ポリシーです。

Intune はブルート フォース攻撃から PIN を保護する方法を説明します。

IT 管理者は、アプリの PIN ポリシーの一環として、アプリがロックされるまでにユーザーが PIN の認証を試みることのできる最大回数を設定できます。 試行回数が満たされると、Intune App SDK はアプリ内の "企業" データをワイプできます。

同じ発行元のアプリで PIN を 2 回設定する必要があるのはなぜですか?

MAM (iOS/iPadOS 上) では、現在、アプリケーション (WXP、Outlook、マネージド ブラウザー、Yammer) の参加を必要とする英数字と特殊文字 ("パスコード" と呼ばれる) を含むアプリケーション レベルの PIN を使用して、Intune APP SDK for iOS/iPadOS を統合できます。 これを行わないと、対象アプリケーションにパスコード設定が適切に適用されません。 これは、Intune SDK for iOS/iPadOS v. 7.1.12 でリリースされた機能です。

この機能をサポートし、iOS/iPadOS 用 Intune SDK の以前のバージョンとの下位互換性を確保するために、7.1.12 以降の PIN は (数値のものもパスコードも) すべて、以前のバージョンの SDK で使用された数値からなる PIN とは別に扱われます。 そのため、デバイスに、同じ発行元の 7.1.12 より前の iOS/iPadOS バージョンの Intune SDK と 7.1.12 以降のアプリケーションがある場合は、2 つの PIN を設定する必要があります。

つまり、(アプリごとに) 2 つの PIN は関係ありません。つまり、アプリに適用されるアプリ保護ポリシーに従う必要があります。 そのため、アプリ A と B に対して、(PIN に関して) 同じポリシーを適用できる場合に "のみ"、ユーザーは同じ PIN を 2 回設定できます。

これは、Intune モバイル アプリの管理が有効になっている iOS/iPadOS アプリケーション上の PIN に固有の動作です。 時間の経過とともに、新しいバージョンの iOS/iPadOS 用 Intune SDK が採用されていくと、同じ発行元のアプリに 1 つの PIN を 2 回設定しなくてはならないことは問題ではなくなっていきます。 例については、以下の注記をご覧ください。

注:

たとえば、アプリ A が 7.1.12 より前のバージョンでビルドされ、アプリ B が同じ発行元の 7.1.12 以上のバージョンでビルドされている場合、エンド ユーザーは、両方が iOS/iPadOS デバイスにインストールされている場合、A と B に個別に PIN を設定する必要があります。

SDK バージョン 7.1.9 を持つアプリ C がデバイスにインストールされている場合、アプリ A と同じ PIN が共有されます。

7.1.14 でビルドされたアプリ D は、アプリ B と同じ PIN を共有します。

1 つのデバイスに アプリ A とアプリ C だけがインストールされている場合、設定する必要がある PIN は 1 つです。 1 つのデバイスに アプリ B とアプリ D だけがインストールされている場合も同様です。

暗号化はどうですか?

IT 管理者は、アプリ データの暗号化を必須にするアプリ保護ポリシーを展開できます。 ポリシーの一環として、IT 管理者はコンテンツがいつ暗号化されるかを指定することもできます。

Intune でデータを暗号化する方法

暗号化のアプリ保護ポリシー設定の詳細については、Android アプリ保護ポリシーの設定iOS/iPadOS アプリ保護ポリシーの設定に関する各記事を参照してください。

何が暗号化されますか?

IT 管理者のアプリ保護ポリシーに従い、"企業" データとしてマークされたデータのみが暗号化されます。 勤務地から送信されたデータは "企業" データと見なされます。 Office アプリについては、Intune では電子メール (Exchange) またはクラウド ストレージ (OneDrive for Business アカウントを使用した OneDrive アプリ) が勤務地と見なされます。 Intune App Wrapping Toolによって管理される基幹業務アプリの場合、すべてのアプリ データは "企業" と見なされます。

Intune でリモートでデータをワイプする方法

Intune では、フル デバイス ワイプ、MDM の選択的ワイプ、MAM 選択的ワイプの 3 つの方法でアプリ データをワイプできます。 MDM のリモート ワイプの詳細については、ワイプまたはインベントリからの削除を使用してデバイスを削除する方法に関するページを参照してください。 MAM を使用した選択的なワイプの詳細については、インベントリからの削除アクションに関するページとアプリから会社のデータのみをワイプする方法に関するページを参照してください。

ワイプとは

ワイプ は、デバイスを出荷時の既定 の設定に 復元することで、すべてのユーザー データと設定をデバイスから削除します。 デバイスは Intune から削除されません。

注:

ワイプは、Intune モバイル デバイス管理 (MDM) に登録されているデバイスでのみ実現できます。

MDM の選択的ワイプとは

会社データの削除については、デバイスの削除 - インベントリからの削除に関するページを参照してください。

MAM の選択的ワイプとは

MAM の選択的ワイプは、単にアプリから業務用アプリのデータを削除します。 要求は、Microsoft Intune管理センターを使用して開始されます。 ワイプ要求を開始する方法については、アプリから企業データのみをワイプする方法に関するページを参照してください。

MAM の選択的ワイプはどのくらいの速さで行われますか?

選択的ワイプが開始されたときにユーザーがアプリを使用している場合、Intune App SDK は、Intune MAM サービスからの選択的ワイプ要求を 30 分ごとにチェックします。 ユーザーがアプリを初めて起動し職場または学校のアカウントを使ってサインインした場合も、選択的ワイプがチェックされます。

オンプレミス (オンプレミス) サービスが Intune で保護されたアプリと連携しないのはなぜですか?

Intune アプリの保護は、アプリケーションと Intune アプリ SDK の間で一貫性を保つユーザーの ID によって異なります。 これを保証する唯一の方法は、最新の認証を使用することです。 アプリがオンプレミスの構成で動作する可能性があるが、一貫性も保証もされていないシナリオがあります。

マネージド アプリから Web リンクを開く安全な方法はありますか?

はい。 IT 管理者は、Microsoft Edge アプリのアプリ保護ポリシーを展開および設定できます。 IT 管理者は、Intune で管理されているアプリのすべての Web リンクを Microsoft Edge アプリを使用して開く必要があります。

Android でのアプリ エクスペリエンス

Android デバイスで Intune アプリ保護を機能させるためにポータル サイト アプリが必要なのはなぜですか?

同じアプリとユーザーのセットに構成されている複数の Intune アプリ保護アクセス設定は、Android でどのように動作しますか?

Intune アプリのアクセス保護ポリシーは、エンド ユーザー デバイスが企業アカウントからターゲット アプリにアクセスしようとすると、特定の順序で適用されます。 一般に、ブロックが優先され、次に無視できる警告が表示されます。 たとえば、特定のユーザー/アプリに適用可能な場合、ユーザーのアクセスをブロックする最小の Android パッチ バージョン設定の後、パッチ アップグレードを実行するようユーザーに警告する最小の Android パッチ バージョン設定が適用されます。 したがって、IT 管理者が最小の Android パッチ バージョンを 2018-03-01 に構成し、最小の Android パッチ バージョン (警告のみ) を 2018-02-01 に構成した状態で、アプリにアクセスしようとしているデバイスがパッチ バージョン 2018-01-01 にあった場合、エンド ユーザーは最小の Android パッチ バージョンに対するより制限の厳しい設定に基づいてブロックされ、その結果、アクセスがブロックされます。

さまざまな種類の設定を扱う場合、優先順位は、アプリのバージョン要件、Android オペレーティング システムのバージョン要件、Android パッチのバージョン要件となります。 その後、同じ順序ですべての種類の設定の警告が確認されます。

Intune App Protection ポリシーは、管理者がエンド ユーザー デバイスに Android デバイス用の Google Play のデバイス整合性チェックを渡す必要がある機能を提供します。 新しい Google Play のデバイスの整合性チェック結果がサービスに送信される頻度はどのくらいですか?

Intune サービスは、サービスの負荷によって決まる構成不可能な間隔で Google Play に連絡します。 Google Play のデバイス整合性チェック設定に対して構成された IT 管理者のアクションは、条件付き起動時に Intune サービスに最後に報告された結果に基づいて実行されます。 Google のデバイスの整合性の結果が準拠している場合、アクションは実行されません。 Google のデバイス整合性の結果が準拠していない場合は、IT 管理者が構成したアクションが直ちに実行されます。 何らかの理由で Google Play のデバイスの整合性チェック要求が失敗した場合、前の要求のキャッシュされた結果は、最大 24 時間、または次のデバイス再起動で使用されます。これは、最初に発生します。 その時点で、Intune アプリ保護ポリシーは、現在の結果を取得できるようになるまでアクセスをブロックします。

Intune App Protection ポリシーは、管理者がエンド ユーザー デバイスに対して、Google の Android デバイス向けアプリの検証 API を介してシグナルを送信することを要求する機能を提供します。 エンド ユーザーがアプリ スキャンを有効にして、このためアクセスがブロックされないようにするにはどうすればよいですか?

これを行う方法の手順は、デバイスによって若干異なります。 一般的なプロセスでは、Google Play Store に移動し、[My apps & games]\(アプリとゲーム\) をアクセスし、最後のアプリ スキャンの結果をクリックします。クリックすると、Play Protect メニューが表示されます。 [端末をスキャンしてセキュリティ上の脅威を確認] のトグルが確実にオンになっているようにします。

Google の Play Integrity API は実際に Android デバイスで何をチェックしますか? "基本的な整合性の確認" と "認定されたデバイス & 基本的な整合性の確認" の構成可能な値の違いは何ですか?

Intune では、Google Play Integrity API を利用して、登録されていないデバイスの既存のルート検出チェックに追加します。 Google は、Android アプリがルート化されたデバイスでアプリを実行したくない場合に採用するこの API セットを開発し、維持しています。 Android Pay アプリなどでこれを組み込んでいます。 Google では、発生するルート検出チェックの全体をパブリックに共有しませんが、これらの API は、デバイスをルート化したユーザーを検出することを期待しています。 そのようなユーザーのアクセスをブロックしたり、ポリシーが有効になっているアプリからそのようなユーザーの企業アカウントを消去したりできます。 "基本的な整合性の確認" は、デバイスの一般的な整合性について説明します。 ルート化されたデバイス、エミュレーター、仮想デバイス、改ざんの兆候があるデバイスは基本的な整合性のチェックで不合格になります。 「認定されたデバイス & 基本的な整合性を確認する」は、Google のサービスとのデバイスの互換性について説明します。 Google に認められた、改造されていないデバイスのみがこのチェックに合格します。 不合格になるデバイス:

  • 基本的な整合性のチェックで不合格になるデバイス
  • ブートローダーがロックされていないデバイス
  • カスタム システム イメージ/ROM が含まれるデバイス
  • メーカーが Google 認定に申し込まなかった、あるいは合格しなかったデバイス
  • Android オープン ソース プログラムのソース ファイルから直接構築されたシステム イメージを含むデバイス
  • ベータ版/開発者プレビューのシステム イメージを含むデバイス

技術的な詳細については、 Play Integrity API に関する Google のドキュメント を参照してください。

Android デバイス用の Intune アプリ保護ポリシーを作成するときに、[条件付き起動] セクションにも同様のチェックが 2 つあります。 [Play integrity verdict]\(整合性判定の再生\) 設定または [脱獄/ルート化されたデバイス] 設定を要求する必要がありますか?

Google Play Integrity API のチェックでは、構成証明の結果を決定するための "ラウンドトリップ" が実行される時間の間、エンド ユーザーがオンラインである必要があります。 エンド ユーザーがオフラインの場合でも、IT 管理者は "脱獄/ルート化されたデバイス" 設定から結果が適用されることを期待できます。 つまり、エンド ユーザーがオフラインに長すぎる場合は、ネットワーク アクセスが使用可能になるまで、"オフライン猶予期間" の値が再生され、タイマー値に達すると、職場または学校のデータへのすべてのアクセスがブロックされます。 両方の設定をオンにすると、エンド ユーザーデバイスを正常に保つための階層化されたアプローチが可能になります。これは、エンド ユーザーがモバイル上の職場または学校のデータにアクセスするときに重要です。

Google Play プロテクトの API を活用するアプリ保護ポリシー設定を利用するには、Google Play 開発者サービスが機能する必要があります。 エンド ユーザーがいる可能性がある場所で Google Play サービスが許可されない場合はどうすればよいですか?

[Play integrity verdict]\(整合性判定の再生\) と [アプリの脅威スキャン] の両方の設定では、Google が決定したバージョンの Google Play Services が正しく機能する必要があります。 これらはセキュリティの領域に該当する設定であるため、エンド ユーザーがこれらの設定を対象にしていて、適切なバージョンの Google Play サービスを満たしていない場合、または Google Play サービスにアクセスできない場合、エンド ユーザーはブロックされます。

iOS でのアプリ エクスペリエンス

デバイスに指紋や顔を追加または削除するとどうなりますか?

Intune アプリ保護ポリシーでは、アプリへのアクセスを制御して、Intune のライセンスがあるユーザーのみを許可することができます。 アプリへのアクセスを制御する方法の 1 つは、Apple の Touch ID または Face ID のいずれかをサポートされているデバイス上で要求することです。 Intune では、デバイスの生体認証データベースに何らかの変更がある場合、次の非アクティブタイムアウト値が満たされたときにユーザーに PIN の入力を求める動作を実装します。 フィンガープリントや顔の追加や削除も、生体認証データの変更に含まれます。 Intune ユーザーに PIN が設定されていない場合は、Intune PIN を設定します。

この目的は、organizationのデータをアプリ レベルでセキュリティで保護され、保護されたアプリ内に維持し続けることです。 この機能は iOS/iPadOS でのみ使用でき、Intune APP SDK for iOS/iPadOS バージョン 9.0.1 以降を統合するアプリケーションの参加が必要です。 SDK の統合は、対象のアプリケーション上で動作を適用するために必要です。 この統合は、ローリング方式で行われ、特定のアプリケーション チームに依存します。 参加するアプリケーションには、WXP、Outlook、Managed Browser、Yammer などが含まれます。

iOS 共有拡張機能を使用して、データ転送ポリシーが "マネージド アプリのみ" または "アプリなし" に設定されている場合でも、管理されていないアプリで職場または学校のデータを開くことができるようになります。 これはデータをリークしませんか?

Intune アプリ保護ポリシーでは、デバイスを管理せずに iOS 共有拡張機能を制御することはできません。 そのため、Intune は アプリの外部で共有される前に"企業" データを暗号化します。 これを検証するには、マネージド アプリの外部で "企業" ファイルを開こうとします。 ファイルは暗号化されていて、管理対象アプリの外部では開くことができないはずです。

同じアプリとユーザーのセットに構成されている複数の Intune アプリ保護アクセス設定は、iOS でどのように機能しますか?

Intune アプリのアクセス保護ポリシーは、エンド ユーザー デバイスが企業アカウントからターゲット アプリにアクセスしようとすると、特定の順序で適用されます。 一般に、ワイプが優先され、ブロックが続き、無視できる警告が続きます。 たとえば、特定のユーザーまたはアプリに適用可能な場合、ユーザーのアクセスをブロックする最小の iOS/iPadOS オペレーティング システム設定の後、iOS/iPadOS バージョンを更新するようユーザーに警告する最小の iOS/iPadOS オペレーティング システム設定が適用されます。 そのため、IT 管理者が最小 iOS/iPadOS オペレーティング システムを 11.0.0.0 に、最小 iOS/iPadOS オペレーティング システム (警告のみ) を 11.1.0.0 に構成するシナリオでは、 アプリにアクセスしようとしているデバイスが iOS/iPadOS 10 上にあった間、エンド ユーザーは、アクセスがブロックされる最小 iOS/iPadOS オペレーティング システムバージョンの制限の厳しい設定に基づいてブロックされます。

さまざまな種類の設定を処理する場合は、Intune App SDK のバージョン要件が優先され、アプリのバージョン要件の後に iOS/iPadOS オペレーティング システムのバージョン要件が続きます。 その後、同じ順序ですべての種類の設定の警告が確認されます。 Intune App SDK のバージョン要件は、重要なブロック シナリオに対する Intune 製品チームからのガイダンスでのみ構成することをお勧めします。