Microsoft Intuneでアプリとアプリ データを管理する

アプリとそのデータの管理と保護は、エンドポイント管理戦略とソリューションの重要な部分です。 ほとんどの環境では、ユーザーはパブリック リテール アプリをインストールし、これらのアプリからorganizationデータにアクセスできます。 また、多くの組織には、管理 & 展開する必要がある独自のプライベート アプリと基幹業務アプリもあります。 このアプリ データがorganization内に留まるようにする必要があります。

アプリ管理は困難な場合があり、Intuneが役立ちます。 Microsoft Intuneは、多くのアプリの種類を管理できるクラウドベースのサービスです。 管理者は、Intuneを使用して、organization リソースにアクセスするアプリをデプロイ、構成、保護、更新できます。 Intuneとその利点の詳細については、「Microsoft Intuneとは」を参照してください。

Microsoft Intuneは、Android、iOS/iPadOS、macOS、および Windows クライアント デバイスでアプリを管理できます。 そのため、多くのデバイスでIntuneのアプリ管理機能を使用できます。

サービスの観点から見ると、Intuneは ID 管理にMicrosoft Entra IDを使用します。 一部のアプリを使用するには、これらのMicrosoft Entraユーザー ID にライセンスが割り当てられている必要があります。 Microsoft Intune管理センターは、ライセンスの管理にも役立ちます。

この記事では、アプリの管理とセキュリティ保護の際に考慮する必要がある概念と機能について説明します。

organizationで使用するアプリをデプロイする

組織は、ストア アプリ、基幹業務 (LOB) アプリ、Web アプリなど、さまざまな種類のアプリを使用します。 アプリをIntuneに追加し、そのアプリ ポリシー管理を使用して、これらのアプリをデバイスに展開できます。

Intune管理センターのアプリ機能を使用すると、これらのさまざまな種類のアプリを簡単にデプロイできます。

• Android デバイスの場合、Intune管理センターはパブリック Play ストアに自動的に接続し、アプリを検索できます。 また、マネージド Google Play アカウントと同期して、プライベート アプリを含む Android Enterprise アプリにアクセスすることもできます。

  Android デバイスでは、次をデプロイできます。

  • パブリック Play ストアからのパブリック アプリとリテール アプリ
  • Android Enterprise デバイスへのマネージド Google Play アプリ
  • Web アプリへの Web リンク
  • 組み込みのアプリ。これは、Intune管理センターに自動的に含まれ、利用可能なアプリです
  • organizationによって作成されるカスタム基幹業務アプリ
  • Android Enterprise システム アプリ(通常は Android デバイスに含まれるアプリ)

  Google Mobile Services (GMS) (Android の Web サイトを開く) を使用している場合は、GMS にライセンスを購入できます。これは通常、Android デバイスを購入するときに発生します。 GMS を使用すると、ユーザーはパブリック Play ストアとそのパブリック アプリにアクセスできます。

  organizationが Google Mobile Services (GMS) (Android の Web サイトを開く) を使用していない場合は、Intune Android オープン ソース プロジェクト (AOSP) プラットフォームを使用してデバイスを管理することもできます。

  詳細については、次のページを参照してください。

  • Google Mobile Services を使用しない環境でIntuneを使用する方法
  • Android Enterprise デバイスにマネージド Google Play アプリを追加する
  • Google Play でプライベート Android アプリを管理 する (Google の Web サイトを開く)
  • 組み込みアプリを追加する

• iOS/iPadOS デバイスの場合、Intune管理センターは自動的にパブリック App Storeに接続し、アプリを検索できます。 Apple Business Manager または Apple School Manager アカウントと同期して、ボリューム ライセンスアプリにアクセスすることもできます。 同期すると、購入したアプリ (ライセンスアプリ) が管理センターに自動的に表示されます。

  iOS/iPadOS デバイスでは、次をデプロイできます。

  • パブリック App Storeからのパブリック アプリとリテール アプリ
  • Apple Business Manager または Apple School Manager を使用したボリューム ライセンスアプリ
  • ホーム画面に追加できる Web サイト リンクへのショートカットである Web クリップ
  • Web アプリへの Web リンク
  • 組み込みのアプリ。これは、Intune管理センターに自動的に含まれ、利用可能なアプリです
  • organizationによって作成されるカスタム基幹業務アプリ

  詳細については、次のページを参照してください。

  • iOS ストア アプリを追加する
  • Apple Business Manager を使用して購入した iOS/iPadOS アプリと macOS アプリを管理する
  • iOS/iPadOS LOB アプリを追加する
  • 組み込みアプリを追加する

• macOS デバイスの場合、Intune管理センターには、Microsoft Edge や Microsoft 365 アプリなど、macOS に一般的に展開されるアプリを含む機能が組み込まれています。 Apple Business Manager または Apple School Manager アカウントと同期して、ボリューム ライセンスアプリにアクセスすることもできます。 同期すると、購入したアプリ (ライセンスアプリ) が管理センターに自動的に表示されます。

  macOS デバイスでは、次をデプロイできます。

  • Apple Business Manager または Apple School Manager を使用したボリューム ライセンスアプリ
  • Word、Excel、PowerPoint、Outlook、OneNote、Teams、OneDrive を含む Microsoft 365 アプリ
  • Microsoft Edge バージョン 77 以降(最新の Chromium バージョン)
  • Microsoft Defender for Endpoint。これは、悪意を検出し、セキュリティの脅威の修復に役立つクラウド サービスです
  • Web アプリへの Web リンク
  • organizationによって作成されるカスタム基幹業務アプリ
  • Apple Disk Image (DMG) アプリ。これは、デプロイする 1 つ以上のアプリを含むファイルです

  詳細については、次のページを参照してください。

  • Apple Business Manager を使用して購入した iOS/iPadOS アプリと macOS アプリを管理する
  • macOS デバイスに Microsoft 365 を割り当てる
  • macOS LOB アプリを追加する

• Windows デバイスの場合、Intune管理センターはパブリック Microsoft Store に自動的に接続し、アプリを検索する機能を提供します。 また、ビジネス向け Microsoft Store アカウントと同期して、ボリューム ライセンスアプリにアクセスすることもできます。 同期すると、購入したアプリ (ライセンスアプリ) が管理センターに自動的に表示されます。

  Windows デバイスでは、次を展開できます。

  • ビジネス向け Microsoft Storeを使用したボリューム ライセンス アプリ
  • Microsoft Store のパブリック アプリとリテール アプリ
  • Word、Excel、PowerPoint、Outlook、OneNote、Teams、OneDrive を含む Microsoft 365 アプリ
  • Microsoft Edge バージョン 77 以降(最新の Chromium バージョン)
  • Web アプリへの Web リンク
  • organizationによって作成されるカスタム基幹業務アプリ
  • Win32 アプリ

  詳細については、次のページを参照してください。

  • ビジネス向け Microsoft Storeから購入したボリューム アプリを管理する
  • Windows クライアント デバイスに Microsoft 365 アプリを追加する
  • Win32 アプリの管理

  注:

  ビジネス向け Microsoft Storeは廃止される予定です。 Windows 11以降、プライベート ボリューム ライセンスアプリの新しいオプションがあります。 詳細については、「Windows 11のプライベート アプリ リポジトリ」と「Update」を参照して、Windows 上の Microsoft Store との統合をMicrosoft Intuneします。

アプリをインストールする前に構成する

アプリがユーザーとデバイスに展開されると、ユーザーに構成情報の入力を求めることができます。 ユーザーが入力する内容がわからない場合や、特定の方法で構成するorganization設定がある場合があります。

アプリ構成ポリシーでは、これらの機能が提供されます。 アプリを自動的に構成するアプリ構成ポリシーを作成できます。 ポリシー設定によっては、ユーザーがアプリを開くときに構成情報を入力する必要がない場合があります。

たとえば、アプリ構成ポリシーでは、アプリの言語の入力、organizationのロゴの追加、個人用アカウントの使用をアプリでブロックするなどを行うことができます。

アプリ構成ポリシーは、いつでもデプロイできます。 ユーザーが初めてアプリを開く前にアプリを構成する場合は、ユーザーがデバイスを登録するときにアプリ構成ポリシーを含めます。 登録中に、アプリ構成ポリシーが自動的に展開され、アプリに構成設定が含まれます。

詳細については、Intuneのアプリ構成ポリシーに関するページを参照してください。

所有デバイスと個人用デバイスorganizationアプリを保護する

アプリ保護 ポリシーは、organization データにアクセスするアプリ内のデータを保護するための重要な部分です。 ユーザー所有の個人デバイスがorganizationデータにアクセスしている場合は、アプリ保護ポリシーが必要です。 これらのポリシーを使用して、メールの保護、共有ファイルの保護、会議へのアクセスの保護などを行います。

Intuneを使用して、個人所有のデバイスや別の MDM プロバイダーによって管理されているデバイスなど、ユーザーとデバイスにアプリ保護ポリシーを作成、構成、展開できます。 通常、所有organizationデバイスは、organizationによって管理されます。 これらのマネージド デバイスに追加のセキュリティを必要とするアプリがある場合は、これらのデバイスでアプリ保護ポリシーを使用することもできます。

アプリ保護ポリシーは、個人データをorganizationデータから分離するのにも役立ちます。 たとえば、アプリ間のコピーと貼り付けをブロックしたり、アプリを開くときに PIN を要求したり、個人用クラウド サービスへのバックアップをブロックしたりするポリシーを作成できます。

詳細については、次のページを参照してください。

• アプリ保護 ポリシーの概要と利点
• アプリ保護ポリシーを作成して割り当てる方法

アプリを最新バージョンに更新する

アプリは、多くの場合、バグ修正、機能の改善、セキュリティ更新プログラムなどを含むように更新されます。 Intuneを使用してアプリをデプロイすると、アプリの更新プログラムが利用可能になると、ほとんどのアプリが自動的に更新されます。 そのため、Intuneを使用して、organizationで使用されるアプリをデプロイすることをお勧めします。

Windows Autopatch を使用して、Microsoft 365 Apps for enterprise、Microsoft Edge、Microsoft Teams の自動修正プログラムを適用することもできます。

ユーザーがパブリック アプリ ストアを含むアプリを自分でインストールする場合、これらのアプリは手動で更新する必要があります。 このような場合は、アプリ保護ポリシーを使用してアプリの最小バージョンを適用し、標準を満たしていないデバイス上のorganizationデータをワイプすることもできます。

詳細については、次を参照してください:

• アプリの追加と更新
• Windows Autopatch の概要
• Intune が管理するアプリから企業データを削除する
• アプリ保護ポリシーの条件付き起動アクションを使用してデータを選択的にワイプする

次の手順

• ID の管理
• デバイスの管理
• アプリケーション管理とアプリ保護に関してよく寄せられる質問