Configuration Manager のモバイル アプリケーション管理ポリシーを使用してアプリを制御する方法
適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager SP2 以降 のアプリケーション管理ポリシーを使用すると、会社のコンプライアンス ポリシーとセキュリティ ポリシーに合わせて、展開するアプリの機能を変更することができます。 たとえば、制限付きアプリでの切り取り、コピー、および貼り付け操作を制限することや、管理対象ブラウザー内ですべての Web リンクを開くようにアプリを構成することができます。 アプリ管理ポリシーでは以下をサポートします。
Android 4 以降を実行するデバイス。
iOS 7 以降を実行するデバイス。
.jpeg "System_CAPS_tip") ヒント |
|---|
管理対象のデバイスだけでなく、モバイル アプリ管理ポリシーを使用して、Intune で管理されていないデバイス上のアプリを保護することができます。 この新機能を使用して、Office 365 サービスに接続するアプリに対してモバイル アプリ管理ポリシーを適用できます。 これは、オンプレミスの Exchange や SharePoint に接続するアプリではサポートされていません。 この新機能を使用するには、Azure プレビュー ポータルを使用する必要があります。 使い始めるにあたり、次のトピックを参考にしてください。 |
Configuration Manager の構成項目および基準とは異なり、アプリケーションの管理ポリシーは直接展開しないでください。 代わりに、ポリシーを制限するアプリの展開の種類 (DT) と関連付けます。 アプリ DT がデバイスに展開され、インストールされると、指定した設定が有効になります。
アプリに制限を適用するには、アプリに Microsoft Intune アプリケーション ソフトウェア開発キット (SDK) を組み込む必要があります。 この種類のアプリを取得するには、次の 2 つの方法があります。
ポリシー管理型アプリを使用する (Android および iOS): アプリ SDK が組み込まれています。 この種類のアプリを追加するには、iTunes ストアや Google Play などのアプリ ストアからアプリへのリンクを指定します。 それ以上の処理は、この種類のアプリには必要ありません。 iOS デバイスと Android デバイスで使用可能なポリシー管理型アプリの一覧については、「Microsoft Intune モバイル アプリケーション管理ポリシー用の管理型アプリ」を参照してください。
"ラップされた" アプリを使用する (Android および iOS): Microsoft Intune アプリ ラッピング ツールを使用して、アプリ SDK を含むように再パッケージされたアプリ。 通常、このツールは、社内で作成された企業アプリの処理に使用されます。 このツールを使用して、アプリ ストアからダウンロードされたアプリを処理することはできません。 「Microsoft Intune アプリ ラッピング ツールでモバイル アプリケーション管理のために iOS アプリを準備する」および「Microsoft Intune アプリ ラッピング ツールでモバイル アプリケーション管理のために Android アプリを準備する」を参照してください。
モバイル アプリケーション管理ポリシーを使用したアプリの作成とデプロイ
手順 1: ポリシー管理型アプリへのリンクを取得するか、ラップされたアプリを作成する
手順 2: アプリが含まれた Configuration Manager アプリケーションを作成する
手順 3: アプリケーション管理ポリシーを作成する
手順 4: アプリケーション管理ポリシーを展開の種類と関連付ける
手順 5: アプリの展開を監視する。
手順 1: ポリシー管理型アプリへのリンクを取得するか、ラップされたアプリを作成する
ポリシー管理型アプリへのリンクを取得するには (iOS および Android) - アプリ ストアから、デプロイするポリシー管理型アプリの URL を見つけてメモします。
たとえば、Microsoft Word for iPad アプリの URL は https://itunes.apple.com/us/app/microsoft-word-for-ipad/id586447913?mt=8 です。
ラップされたアプリを作成するには (iOS および Android) - 「Microsoft Intune アプリ ラッピング ツールでモバイル アプリケーション管理のために iOS アプリを準備する」および「Microsoft Intune アプリ ラッピング ツールでモバイル アプリケーション管理のために Android アプリを準備する」の各トピックの情報を使用してラップされたアプリを作成します。
このツールは、処理済みのアプリと関連するマニフェスト ファイルを作成します。 アプリが含まれている Configuration Manager アプリケーションの作成時にこれらのファイルを使用します。
手順 2: アプリが含まれた Configuration Manager アプリケーションを作成する
Configuration Manager アプリケーションの作成手順は、ポリシー管理型アプリ (外部リンク) であるか、iOS 用 Microsoft Intune アプリ ラッピング ツール (iOS 用アプリ パッケージ) を使用して作成されたアプリかによって異なります。 次のいずれかの手順に従って、Configuration Manager アプリケーションを作成します。
iOS アプリ用アプリ ラッピング ツールのアプリケーションを作成するには
-
Configuration Manager コンソールで、[ソフトウェア ライブラリ] をクリックします。
-
[ソフトウェア ライブラリ] ワークスペースで [アプリケーション管理] を展開し、[アプリケーション] をクリックします。
-
[ホーム] タブの [作成] グループで [アプリケーションの作成] をクリックしてアプリケーションの作成ウィザードを開きます。
-
[全般] ページで、[このアプリケーションの情報をインストール ファイルから自動的に検出する] を選択します。
-
[種類] ドロップダウン リストで、[iOS アプリケーション パッケージ (*.ipa ファイル)] を選択します。
-
[参照] をクリックして、インポートするアプリケーション パッケージを選択し、[次へ] をクリックします。
-
[一般情報] ページで、会社ポータルでユーザーに表示する説明とカテゴリ情報を入力します。
-
ウィザードを完了します。
新しいアプリケーションが [ソフトウェア ライブラリ] の [アプリケーション] ノードに表示されます。
ポリシー管理型アプリへのリンクを含むアプリケーションを作成するには
-
Configuration Manager コンソールで、[ソフトウェア ライブラリ] をクリックします。
-
[ソフトウェア ライブラリ] ワークスペースで [アプリケーション管理] を展開し、[アプリケーション] をクリックします。
-
[ホーム] タブの [作成] グループで [アプリケーションの作成] をクリックしてアプリケーションの作成ウィザードを開きます。
-
[全般] ページで、[このアプリケーションの情報をインストール ファイルから自動的に検出する] を選択します。
-
[種類] ドロップダウン リストから、次のいずれかを選択します。
- iOS: **iOS アプリケーション パッケージ (App Store 内)** - Android: **Android アプリケーション パッケージ (Google Play 内)** -
(手順 1 の) アプリの URL を入力してから、[次へ] をクリックします。
-
[一般情報] ページで、会社ポータルでユーザーに表示する説明とカテゴリ情報を入力します。
-
ウィザードを完了します。
新しいアプリケーションが [ソフトウェア ライブラリ] の [アプリケーション] ノードに表示されます。
手順 3: アプリケーション管理ポリシーを作成する
次に、アプリケーションと関連付けるアプリケーション管理ポリシーを作成します。 全般ポリシーまたは管理対象ブラウザー ポリシーを作成することができます。
アプリケーション管理ポリシーを作成するには
-
Configuration Manager コンソールで、[ソフトウェア ライブラリ] をクリックします。
-
[ソフトウェア ライブラリ] ワークスペースで、[アプリケーション管理] を展開し、[アプリケーション管理ポリシー] をクリックします。
-
[ホーム] タブの [作成] グループで、[アプリケーション管理ポリシーの作成] をクリックします。
-
[全般] ページで、ポリシーの名前と説明を入力してから、[次へ] をクリックします。
-
[ポリシーの種類] ページで、このポリシーのプラットフォームとポリシーの種類を選択してから、[次へ] をクリックします。 次のポリシーの種類を使用できます。
- **\[全般\]**: \[全般\] ポリシーの種類を使用すると、会社のコンプライアンス ポリシーやセキュリティ ポリシーに合わせて、展開するアプリの機能を変更することができます。 たとえば、切り取り、コピーと貼り付けの各操作を制限付きのアプリ内で制限することができます。 - **\[管理対象ブラウザー\]**: 管理対象ブラウザーが URL の一覧を開くことを許可またはブロックするように構成します。 管理対象ブラウザー ポリシーの種類を使用すると、Intune 管理対象ブラウザー アプリの機能を変更できます。 Intune 管理対象ブラウザーは、ユーザーが実行できるアクション (ユーザーがアクセスできるサイト、ブラウザー内のコンテンツへのリンクを開く方法など) を管理できる Web ブラウザーです。 Intune 管理対象ブラウザー アプリの詳細については、[こちら](https://itunes.apple.com/us/app/microsoft-intune-managed-browser/id943264951?mt=8) (iOS の場合)、および[こちら](https://play.google.com/store/apps/details?id=com.microsoft.intune.mam.managedbrowser%26hl=en) (Android の場合) を参照してください。 -
[iOS ポリシー] ページまたは [Android ポリシー] ページで、必要に応じて次の値を構成してから、[次へ] をクリックします。 オプションは、ポリシーを構成するデバイスの種類によって異なる場合があります。
値
説明
[Web コンテンツを会社の管理対象ブラウザーで表示するように制限する]
この設定が有効の場合、アプリ内のすべてのリンクは、管理対象ブラウザーで開きます。 このオプションを有効にするには、デバイスにこのアプリをデプロイしている必要があります。
[Android のバックアップを禁止] または [Prevent iTunes および iCloud のバックアップを禁止]
アプリからのすべての情報のバックアップを無効にします。
[アプリで他のアプリへのデータ転送を許可する]
このアプリがデータを送信できる、送信先のアプリを指定します。 いずれのアプリへのデータ転送も許可しない、他の制限付きアプリへの転送のみを許可する、または任意のアプリへの転送を許可する選択ができます。
iOS デバイスの場合、管理されたアプリと管理されていないアプリケーション間のドキュメント転送を防ぐには、[管理されていないその他のアプリで管理されたドキュメントを許可する] 設定を無効にするモバイル デバイスのセキュリティ ポリシーを構成し、デプロイする必要もあります。
[!メモ]
他の制限付きアプリへの転送のみを許可するように選択した場合、それぞれの種類のコンテンツを開くために、Intune PDF Viewer および Image Viewer (デプロイされている場合) が使用されます。
[アプリで他のアプリからのデータの受信を許可する]
このアプリがデータを受信できる、受信元のアプリを指定します。 次の選択ができます。
いずれのアプリからもデータ転送を許可しない
他の制限付きアプリからの転送のみを許可する
すべてのアプリからの転送を許可する
[[名前を付けて保存] を禁止]
このポリシーを使用するすべてのアプリで、[名前を付けて保存] オプションの使用を無効にします。
[切り取り、コピー、および他のアプリでの貼り付けを制限する]
切り取り、コピー、および貼り付け操作を、アプリで使用する方法を指定します。 次の中から選択します。
[ブロック] – このアプリと他のアプリの間で、切り取り、コピー、および貼り付け操作を許可しません。
[ポリシー管理型アプリ] – このアプリと他の制限付きアプリ間のみで、切り取り、コピー、および貼り付け操作を許可します。
[ポリシー管理型アプリと貼り付け] - このアプリからのデータの切り取りまたはコピーと、他の制限付きアプリへの貼り付けのみを許可します。 任意のアプリからのデータの切り取りまたはコピーと、このアプリへの貼り付けを許可します。
[すべてのアプリ] – このアプリとの切り取り、コピー、および貼り付けの操作に制限はありません。
[アクセスには簡易暗証番号が必要]
このアプリを使用するための暗証番号の入力をユーザーに要求します。 ユーザーは、アプリを初めて実行するときに、この暗証番号の設定が求められます。
[暗証番号をリセットするまでの試行数]
暗証番号のリセットが必要になるまでにユーザーが行うことができる、暗証番号の入力回数を指定します。
[アクセスには会社の資格情報が必要]
アプリにアクセスする前に会社のログイン情報の入力をユーザーに要求します。
[アクセスには会社のポリシーに準拠したデバイスが必要]
デバイスが脱獄または root 化されていない場合にのみ、アプリを使用できるようにします。
[(分数) 後に、アクセス要件を再確認する]
[タイムアウト] フィールドに、アプリの起動後にアプリのアクセス要件を再確認するまでの時間を指定します。
[オフラインの猶予期間] フィールドには、デバイスがオフラインの場合は、アプリのアクセス要件を再確認するまでの時間を指定します。
[アプリ データの暗号化]
SD カードなど、外部に格納されているデータを含む、このアプリに関連するすべてのデータを暗号化することを指定します。
[!メモ]
iOS 用の暗号化
Configuration Manager モバイル アプリケーション管理ポリシーに関連付けられているアプリでは、データは OS によって提供されるデバイス レベルの暗号化を使用して、格納中に暗号化されます。 これは、IT 管理者によって設定される必要があるデバイスの暗証番号ポリシーを介して有効になります。 暗証番号が必要な場合、モバイル アプリケーション管理ポリシーの設定に従ってデータが暗号化されます。 Apple のドキュメントで説明されているように、iOS 7 で使用されるモジュールは、FIPS 140-2 で認定されています。
Android 用の暗号化
Configuration Manager モバイル アプリケーション管理ポリシーに関連付けられているアプリでは、暗号化は Microsoft によって提供されます。 データは、モバイル アプリケーション管理ポリシーの設定に従ってファイル I/O 操作中に同期的に暗号化されます。 Android 上の管理されたアプリは、プラットフォームの暗号化ライブラリを利用して、CBC モードで AES-128 暗号化を使用します。 この暗号化方法は FIPS 140-2 で認定されていません。 デバイス ストレージ上のコンテンツは常に暗号化されます。
[画面キャプチャをブロック] (Android デバイスのみ)
このアプリを使用するときに、デバイスの画面キャプチャ機能をブロックするように指定します。
-
[管理対象ブラウザー] ページで、管理対象ブラウザーが一覧内の URL のみを開くことを許可するか、管理対象ブラウザーが一覧内の URL を開けないようにするかを選択し、一覧内の URL を管理してから、[次へ] をクリックします。
.jpeg "System_CAPS_warning")
警告詳細については、「Configuration Manager での管理対象ブラウザー ポリシーを使用したインターネット アクセスの管理」をご覧ください。
-
ウィザードを完了します。
新しいポリシーが [ソフトウェア ライブラリ] ワークスペースの [アプリケーション管理ポリシー] ノードに表示されます。
手順 4: アプリケーション管理ポリシーを展開の種類と関連付ける
アプリケーション管理ポリシーを必要とするアプリ用に展開の種類を作成する場合、Configuration Manager は、関連付けられたアプリが展開される際にアプリケーション管理ポリシーがこの展開の種類とリンクし、アプリケーション管理ポリシーと関連付けるよう求めるメッセージを表示する必要があることを認識します。 管理対象ブラウザーでは、全般ポリシーと管理対象ブラウザー ポリシーの両方を関連付ける必要があります 詳細については、「Configuration Manager でモバイル デバイス用アプリケーションを作成して展開する方法」をご覧ください。
.jpeg "System_CAPS_important") 重要 |
|---|
アプリケーションが既に展開されている場合、新しい種類の展開は、この関連付けがなされるまで失敗します。 関連付けは、[アプリケーション管理] タブにある、アプリケーションのプロパティで実行できます。 |
| 重要 |
|---|
iOS 7.1 以前のオペレーティング システムを実行しているデバイスの場合、関連付けられているポリシーはアプリのアンインストール時に削除されません。 デバイスが Configuration Manager から登録解除された場合 ,ポリシーはアプリから削除されません。 ポリシーが適用されたアプリは、アプリがアンインストールされ、再インストールされた後でもポリシー設定を保持します。 |
手順 5: アプリの展開を監視する。
モバイル アプリケーション管理ポリシーに関連付けられたアプリを作成し、展開したら、アプリを監視し、ポリシーの競合を解決することができます。
-
Configuration Manager コンソールで、[ソフトウェア ライブラリ] をクリックします。
-
[監視] ワークスペースで、[概要] を展開し、[展開] をクリックします。
-
展開を選択し、[ホーム] タブで、[プロパティ] をクリックします。
-
展開の [詳細] ウィンドウで、[関連オブジェクト] の下にある [アプリケーション管理ポリシー] をクリックします。
アプリケーションの監視の詳細については、「Configuration Manager でのアプリケーションの監視方法」を参照してください。
ポリシー競合の解決方法
ユーザーまたはデバイスへの最初のデプロイで、モバイル アプリケーション管理ポリシーの競合がある場合、競合している特定の設定値が、アプリにデプロイされたポリシーから削除され、アプリは組み込みの競合値を使用します。
アプリまたはユーザーへの以降のデプロイでモバイル アプリ管理ポリシーの競合がある場合、競合している特定の設定値は、アプリにデプロイされたモバイル アプリ管理ポリシーで更新されず、アプリはその設定の既存の値を使用します。
デバイスまたはユーザーが 2 つの競合するポリシーを受け取った場合は、次の動作が適用されます。
ポリシーがデバイスに既にデプロイされている場合、既存のポリシー設定は上書きされません。
ポリシーが既にデバイスにデプロイされておらず、2 つの競合する設定がデプロイされている場合、デバイスに組み込まれている既定の設定が使用されます。
使用可能なポリシー管理型アプリ
iOS デバイスと Android デバイスで使用可能なポリシー管理型アプリの一覧については、「Microsoft Intune モバイル アプリケーション管理ポリシー用の管理型アプリ」を参照してください。