iOS アプリ保護ポリシー設定
この記事では、iOS/iPadOS デバイスのアプリ保護ポリシーの設定について説明します。 新しいポリシーを作成する場合、説明されているポリシーの設定は、ポータルの [設定] ウィンドウ上でアプリ保護ポリシー用に構成することができます。
ポリシーの設定には、"データ再配置"、"アクセス要件"、"条件付き起動" の 3 つのカテゴリがあります。 この記事では、 ポリシーで管理されるアプリ という用語は、アプリ保護ポリシーで構成されているアプリを指します。
重要
Intune Managed Browser は廃止されました。 保護された Intune ブラウザー エクスペリエンスには Microsoft Edge を使用してください。
データの保護
重要
SDK の Xcode 15 および v20.2.1 以降で v19.7.6 以降に更新されたアプリの場合、 他のアプリに組織データを送信 する設定を "すべてのアプリ" 以外の値に構成している場合、画面キャプチャ ブロックが適用されます。 iOS デバイスの画面キャプチャを許可する必要がある場合は、アプリ構成ポリシー設定 com.microsoft.intune.mam.screencapturecontrol
= Disabled
(Apps>App 構成ポリシー>Create>Managed apps>[設定] ステップで [ 全般構成設定] を選択します。
データ転送
Setting | 使用方法 | 既定値 |
---|---|---|
iTunes と iCloud のバックアップに組織データをバックアップ | このアプリで職場や学校のデータが iTunes および iCloud にバックアップされないようにするには、[ブロック] を選択します。 このアプリで職場や学校のデータを iTunes および iCloud にバックアップできるようにするには、[許可] を選択します。 | 許可 |
組織のデータを他のアプリに送信 | このアプリからデータを受け取ることができるアプリを指定します。
スポットライト検索 (アプリ内のデータの検索を有効にする) と Siri ショートカットは、[ すべてのアプリ] に設定されていない限りブロックされます。 このポリシーは、iOS/iPadOS ユニバーサル リンクにも適用できます。 一般的な Web リンクは、[Intune Managed Browser でアプリ リンクを開く] ポリシー設定によって管理されます。 Intune でデータ転送先として既定で許可される可能性のある除外対象アプリとサービスがいくつかあります。 さらに、Intune アプリをサポートしていないアプリへのデータ転送を許可する必要がある場合、独自の例外を作成できます。 詳細については、「データ転送の除外対象」を参照してください。 |
すべてのアプリ |
|
このオプションは、上記のオプションで [ポリシーで管理されているアプリ] を選択した場合に使用できます。 | |
|
iOS/iPadOS ユニバーサル リンクを、「その他のアプリでの Web コンテンツの転送を制限する」設定で指定された保護されているブラウザーではなく、特定のアンマネージド アプリケーションで開くように指定します。 各アプリケーションの正しいユニバーサル リンク形式を決定するには、アプリケーション開発者に問い合わせる必要があります。 | |
|
iOS/iPadOS ユニバーサル リンクを、「その他のアプリでの Web コンテンツの転送を制限する」設定で指定された保護されているブラウザーではなく、特定のマネージ アプリケーションで開くように指定します。 各アプリケーションの正しいユニバーサル リンク形式を決定するには、アプリケーション開発者に問い合わせる必要があります。 | |
|
このアプリで [名前を付けて保存] オプションの使用を無効にするには、[ブロック] を選択します。 "名前を付けて保存" の使用を許可する場合は、[許可] を選択します。 "ブロック" に設定した場合、"選択したサービスにユーザーがコピーを保存することを許可" の設定を構成できます。 注:
|
許可 |
|
ユーザーは、選択したサービス (OneDrive for Business、SharePoint、フォト ライブラリ、ローカル ストレージ) に保存できます。 他のすべてのサービスはブロックされます。 OneDrive for Business: OneDrive for Business と SharePoint Online にファイルを保存できます。 SharePoint: オンプレミスの SharePoint にファイルを保存できます。 フォト ライブラリ: ファイルをフォト ライブラリにローカルに保存できます。 ローカル ストレージ: 管理対象アプリは、組織データのコピーをローカルに保存できます。 これには、デバイスのファイル アプリなどのローカルの管理されていない場所へのファイルの保存は含まれません。 | 選択済み 0 |
|
通常、ハイパーリンクの付いた電話番号をアプリ内でユーザーが選択すると、電話番号が事前入力された状態で電話アプリが開き、電話をかける準備が整います。 この設定では、ポリシー マネージド アプリから開始されたとき、この種のコンテンツ転送をどのように扱うかを選択します。
注: この設定には、SDK 12.7.0 以降Intune必要です。アプリがダイヤラー機能に依存しており、適切なIntune SDK バージョンを使用していない場合は、回避策として、"tel;データ転送の除外として telprompt" を指定します。アプリが正しいIntune SDK バージョンをサポートすると、除外を削除できます。 |
任意の電話アプリ |
|
特定の電話アプリが選択されているときは、iOS デバイスで電話アプリを起動する目的で使用される電話アプリ URL スキームを指定する必要があります。 詳細については、電話リンクに関する Apple のドキュメントをご覧ください。 | Blank |
|
通常、ユーザーがアプリでハイパーリンク付きメッセージング リンクを選択すると、メッセージング アプリが、事前に入力された電話番号で開き、送信する準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。 この設定を有効にするには、追加の手順が必要な場合があります。 まず、[除外するアプリの選択] リストから sms が削除されていることを確認します。 次に、アプリケーションで新しいバージョンの Intune SDK (バージョン > 19.0.0) を使用していることを確認します。 この設定では、ポリシー マネージド アプリから開始されたとき、この種のコンテンツ転送をどのように扱うかを選択します。
注: この設定には、SDK 19.0.0 以降Intune必要です。 |
任意のメッセージング アプリ |
|
特定のメッセージング アプリが選択されている場合は、iOS デバイスでメッセージング アプリを起動するために使用されるメッセージング アプリの URL スキームを指定する必要があります。 詳細については、電話リンクに関する Apple のドキュメントをご覧ください。 | Blank |
他のアプリからデータを受信 | このアプリにデータを転送できるアプリを以下のように指定します。
|
すべてのアプリ |
|
このアプリで、アカウント間でデータを共有するための "開く" オプションやその他のオプションの使用を無効にするには、[ブロック] を選択します。 "開く" の使用を許可する場合は、[許可] を選択します。 [ブロック] に設定すると、[ユーザーが選択したサービスからデータを開くことを許可する] を構成して、組織のデータの場所に許可されるサービスを指定できます。 注:
|
許可 |
|
ユーザーがデータを開くことができるアプリケーション ストレージ サービスを選択します。 他のすべてのサービスはブロックされます。 サービスを選択しないと、ユーザーは外部の場所からデータを開けません。 手記: このコントロールは、企業コンテナーの外部にあるデータに対して機能するように設計されています。 サポートされているサービス:
|
すべて選択済み |
他のアプリとの間で切り取り、コピー、貼り付けを制限する | このアプリで切り取り、コピー、および貼り付け操作をいつ使用できるようにするかを指定します。 次の中から選択します。
|
任意のアプリ |
|
組織のデータとアカウントから切り取りまたはコピーできる文字数を指定します。 これで、[他のアプリとの間で切り取り、コピー、貼り付けを制限する] 設定に関係なく、指定した文字数を任意のアプリケーションと共有できます。 既定値 = 0 注: アプリには Intune SDK バージョン 9.0.14 以降が必要です。 |
0 |
サード パーティのキーボード |
[ブロック] を選択すると、マネージド アプリケーションではサードパーティ製のキーボードが使えなくなります。 この設定が有効になっていると、1 回限りのメッセージがユーザーの元に届き、サードパーティ製キーボードの使用が禁止されていることが伝えられます。 このメッセージは、キーボードの使用を要求する組織データをユーザーが初めて操作したときに表示されます。 マネージド アプリケーションの使用時に使用できるのは、標準の iOS/iPadOS キーボードのみで、その他のキーボード オプションはすべて無効になります。 この設定は、マルチ ID アプリケーションの組織アカウントと個人アカウントの両方に影響します。 この設定は、アンマネージド アプリケーションでのサード パーティ製キーボードの使用には影響しません。 注: この機能を使用するには、アプリで Intune SDK バージョン 12.0.16 以降を使用する必要があります。 SDK バージョンが 8.0.14 から 12.0.15 までのアプリでは、この機能はマルチ ID アプリに正しく適用されません。 詳細については、「 既知の問題: 個人用アカウントの iOS/iPadOS でサード パーティ製キーボードがブロックされない」を参照してください。 |
許可 |
注:
管理対象デバイスの IntuneMAMUPN では、アプリ保護ポリシーが必要です。 これは、登録済みデバイスを必要とする設定にも適用されます。
暗号化
Setting | 使用方法 | 既定値 |
---|---|---|
組織データを暗号化 | [必要] を選択すると、このアプリ内の職場や学校のデータに対する暗号化が有効になります。 Intuneでは、デバイスがロックされている間にアプリ データを保護するために、iOS/iPadOS デバイス レベルの暗号化が適用されます。 さらに、アプリケーションでは、必要に応じて、Intune APP SDK の暗号化を使ってアプリ データを暗号化できます。 Intune APP SDK では iOS/iPadOS の暗号化方法が使用され、アプリ データに 256 ビット AES 暗号化が適用されます。 この設定を有効にする場合、状況によっては、ユーザーが自分のデバイスにアクセスするためにデバイス PIN をセットアップして使用する必要があります。 デバイスの PIN がなく、暗号化が必要な場合、"組織により、このアプリケーションにアクセスするには、最初にデバイス PIN を有効にする必要があります" というメッセージと共に、ユーザーは PIN を設定するよう求められます。 Apple Platform Security の一部として、 Apple の公式ドキュメント にアクセスして、データ保護クラスの詳細を確認してください。 |
必須 |
機能
Setting | 使用方法 | 既定値 |
---|---|---|
ポリシー管理されたアプリのデータをネイティブ アプリやアドインと同期させることが可能 | [ブロック] を選択すると、ポリシーマネージド アプリがデバイスのネイティブ アプリ (連絡先、予定表、ウィジェット) にデータを保存できないようにし、ポリシー管理アプリ内でのアドインの使用を防ぐことができます。 アプリケーションでサポートされていない場合は、ネイティブ アプリへのデータの保存とアドインの使用が許可されます。 [許可] を選択した場合、ポリシー管理アプリでこれらの機能がサポートされ、有効になっている場合、ポリシー管理アプリはネイティブ アプリにデータを保存したり、アドインを使用したりできます。 アプリケーションは、特定のネイティブ アプリにデータ同期動作をカスタマイズするための追加のコントロールを提供したり、このコントロールを受け入れたりしない場合があります。 注: 選択的ワイプを実行してアプリから職場または学校のデータを削除すると、ポリシー管理アプリからネイティブ アプリに直接同期されたデータが削除されます。 ネイティブ アプリから別の外部ソースに同期されたデータはワイプされません。 注: 次のアプリはこの機能をサポートしています。
|
許可 |
組織データを出力する | [ブロック] を選択すると、アプリで職場または学校のデータを印刷できなくなります。 この設定を [許可] (規定値) のままにした場合、ユーザーはすべての組織データをエクスポートおよび印刷できるようになります。 | 許可 |
その他のアプリでの Web コンテンツの転送を制限する | ポリシーで管理されているアプリケーションから Web コンテンツ (http/https リンク) をどのように開くか指定します。 次から選択します。
ポリシーで管理されたブラウザーが必要であってもインストールされていない場合は、エンド ユーザーに Microsoft Edge のインストールを求めるメッセージが表示されます。 ポリシーで管理されたブラウザーが必要な場合、iOS/iPadOS ユニバーサル リンクは、[ 組織データを他のアプリに送信する ] ポリシー設定によって管理されます。
Intune デバイスの登録
ポリシーで管理されている Microsoft Edge
注: Intune SDK では、ターゲット アプリがブラウザーであるかどうかは判別できません。iOS/iPadOS デバイスでは、他の管理対象ブラウザー アプリは許可されません。 |
未構成 |
|
"1 つ" のアンマネージド ブラウザーに対応するプロトコルを入力します。 ポリシーで管理されているアプリケーションからの Web コンテンツ (http/https リンク) は、このプロトコルをサポートする任意のアプリで開かれます。 Web コンテンツは、対象のブラウザーで管理されなくなります。 この機能は、アプリ保護ポリシーを使用して有効になっていない特定のブラウザーと保護されたコンテンツIntune共有する場合にのみ使用する必要があります。 目的のブラウザーでサポートされているプロトコルを確認するには、ブラウザーの製造元にお問い合わせください。 注: プロトコル プレフィックスのみを含めます。ブラウザーでフォーム mybrowser://www.microsoft.com のリンクが必要な場合は、mybrowser を入力します。リンクは次のように変換されます。
|
Blank |
組織のデータ通知 | 組織のアカウントに関して、OS 通知経由でどのくらいの組織データを共有するか指定します。 このポリシー設定は、ローカル デバイスと、ウェアラブルやスマート スピーカーなど、接続されているあらゆるデバイスに影響を与えます。 アプリにより、通知動作をカスタマイズする目的で制御が追加されたり、すべての値が無視されたりすることがあります。 次の中から選択します。
注:
|
許可 |
注:
データ保護の設定では、iOS/iPadOS デバイスの Apple の Managed Open In 機能は制御されません。 Apple の Managed Open In 機能を使用するには、Microsoft Intune で iOS/iPadOS アプリ間のデータ転送を管理する方法に関するページをご覧ください。
データ転送の除外対象
特定のシナリオにおいて Intune アプリ保護ポリシーによってデータ転送が許可される可能性のある除外対象のアプリとプラットフォーム サービスがいくつかあります。 このリストは、セキュリティで保護された生産性向上に役立つと考えられるサービスとアプリを表しており、変更される可能性があります。
サードパーティのアンマネージド アプリを除外リストに追加して、データ転送の例外を許可することができます。 詳細と例については、「Intune App Protection Policy (APP) データ転送ポリシーの例外を作成する方法」を参照してください。 除外されたアンマネージド アプリは、iOS URL プロトコルに基づいて呼び出す必要があります。 たとえば、データ転送の除外対象にアンマネージド アプリを追加しても、ポリシーによって制限されている場合、ユーザーは切り取り、コピー、貼り付けの操作を行うことはできません。 また、この種類の除外では、iOS URL プロトコルに基づいていないため、ユーザーがマネージド アプリ内 で Open-in アクションを使用して、除外するアプリにデータを共有または保存することもできなくなります。 Open-in の詳細については、「iOS アプリでアプリ保護を使用する」を参照してください。
アプリ/サービス名 | 説明 |
---|---|
skype |
Skype |
app-settings |
デバイスの設定 |
itms; itmss; itms-apps; itms-appss; itms-services |
アプリ ストア |
calshow |
ネイティブのカレンダー |
重要
2020 年 6 月 15 日より前に作成されたアプリ保護ポリシーには、既定のデータ転送の除外対象の一部として tel と telprompt URL スキームが含まれています。 これらの URL スキームを使用すると、管理対象アプリで電話を開始できるようになります。 この機能は、アプリ保護ポリシー設定の電話通信データの転送先によって置き換えられました。 電話機能を開始する管理対象アプリに Intune SDK 12.7.0 以降が含まれている場合、管理者はデータ転送の除外対象から tel;telprompt; を削除して、アプリ保護ポリシー設定に依存する必要があります。
重要
また、Intune SDK 14.5.0 以降の場合、データ転送の除外対象に sms および mailto URL スキームを含めることで、ポリシーで管理されているアプリケーション内で MFMessageCompose (sms 用) と MFMailCompose ( mailto 用) のビュー コントローラーに組織データを共有できます。
ユニバーサル リンク
ユニバーサル リンクでは、「その他のアプリでの Web コンテンツの転送を制限する」設定で指定された保護されているブラウザーではなく、リンクに関連付けられたアプリケーションを直接起動することができます。 各アプリケーションの正しいユニバーサル リンク形式を決定するには、アプリケーション開発者に問い合わせる必要があります。
既定のアプリ クリップ リンクは、ユニバーサル リンク ポリシーでも管理されます。
適用除外ユニバーサル リンク
アンマネージド アプリにユニバーサル リンクを追加することで、指定したアプリを起動することができます。 アプリを追加するには、除外リストにリンクを追加する必要があります。
注意
これらのユニバーサル リンクの対象となるアプリケーションは管理されていないため、適用除外を追加するとデータのセキュリティ漏えいが発生する可能性があります。
既定のアプリ ユニバーサル リンクの適用除外は以下のとおりです。
アプリ ユニバーサル リンク | 説明 |
---|---|
http://maps.apple.com;
https://maps.apple.com
|
マップ アプリ |
http://facetime.apple.com;
https://facetime.apple.com
|
FaceTime アプリ |
既定のユニバーサル リンクの適用除外を許可しない場合は、それらを削除できます。 サード パーティ アプリまたは LOB アプリのユニバーサル リンクを追加することもできます。 除外されたユニバーサル リンクを使用すると、http://*.sharepoint-df.com/*
などのワイルドカードを使用できます。
管理対象ユニバーサル リンク
管理対象アプリにユニバーサル リンクを追加することで、指定したアプリ セキュリティを起動することができます。 アプリを追加するには、アプリのユニバーサル リンクをマネージド リストに追加する必要があります。 ターゲット アプリケーションが App Protection ポリシー Intuneサポートしている場合、リンクを選択するとアプリの起動が試みられます。 アプリを開くことができない場合は、保護されたブラウザーでリンクが開きます。 ターゲット アプリケーションが Intune SDK を統合していない場合、リンクを選択すると、保護されたブラウザーが起動します。
既定の管理対象ユニバーサル リンクは次のとおりです。
管理対象アプリ ユニバーサル リンク | 説明 |
---|---|
http://*.onedrive.com/*;
https://*.onedrive.com/*;
|
OneDrive |
http://*.appsplatform.us/*;
http://*.powerapps.cn/*;
http://*.powerapps.com/*;
http://*.powerapps.us/*;
https://*.powerbi.com/*;
https://app.powerbi.cn/*;
https://app.powerbigov.us/*;
https://app.powerbi.de/*;
|
PowerApps |
http://*.powerbi.com/*;
http://app.powerbi.cn/*;
http://app.powerbigov.us/*;
http://app.powerbi.de/*;
https://*.appsplatform.us/*;
https://*.powerapps.cn/*;
https://*.powerapps.com/*;
https://*.powerapps.us/*;
|
Power BI |
http://*.service-now.com/*;
https://*.service-now.com/*;
|
ServiceNow |
http://*.sharepoint.com/*;
http://*.sharepoint-df.com/*;
https://*.sharepoint.com/*;
https://*.sharepoint-df.com/*;
|
SharePoint |
http://web.microsoftstream.com/video/*;
http://msit.microsoftstream.com/video/*;
https://web.microsoftstream.com/video/*;
https://msit.microsoftstream.com/video/*;
|
Stream |
http://*teams.microsoft.com/l/*;
http://*devspaces.skype.com/l/*;
http://*teams.live.com/l/*;
http://*collab.apps.mil/l/*;
http://*teams.microsoft.us/l/*;
http://*teams-fl.microsoft.com/l/*;
https://*teams.microsoft.com/l/*;
https://*devspaces.skype.com/l/*;
https://*teams.live.com/l/*;
https://*collab.apps.mil/l/*;
https://*teams.microsoft.us/l/*;
https://*teams-fl.microsoft.com/l/*;
|
Teams |
http://tasks.office.com/*;
https://tasks.office.com/*;
http://to-do.microsoft.com/sharing*;
https://to-do.microsoft.com/sharing*;
|
ToDo |
http://*.yammer.com/*;
https://*.yammer.com/*;
|
Viva Engage |
http://*.zoom.us/*;
https://*.zoom.us/*;
|
拡大/縮小 |
既定の管理対象ユニバーサル リンクを許可しない場合は、それらを削除できます。 サード パーティ アプリまたは LOB アプリのユニバーサル リンクを追加することもできます。
アクセス要件
Setting | 使用方法 | 既定値 |
---|---|---|
アクセスに PIN を使用 |
[必要] を選択すると、このアプリを使用する際に PIN が要求されます。 ユーザーは、職場または学校のコンテキストでアプリを初めて実行するときに、この PIN のセットアップを求められます。 PIN は、オンラインまたはオフラインで作業しているときに適用されます。 [アクセスに PIN を使用] セクションの下の使用可能な設定を使用して、PIN 強度を構成できます。 手記: アプリへのアクセスを許可されているエンド ユーザーは、アプリの PIN をリセットできます。 iOS デバイスでは、この設定が表示されない場合があります。 iOS デバイスには、4 つの使用可能なショートカットの最大制限があります。 リセットされた APP PIN ショートカットを表示するには、エンド ユーザーが別のマネージド アプリからショートカットにアクセスする必要がある場合があります。 |
必須 |
|
アプリ保護ポリシーが適用されているアプリにアクセスする前に、数値またはパスコードのどちらの種類の PIN を入力する必要があるかを設定します。 数値の場合は数字だけですが、パスコードの場合は少なくとも 1 つのアルファベットまたは少なくとも 1 つの特殊文字で定義できます。 注:パスコードの種類を構成するには、アプリに SDK バージョン 7.1.12 以上Intune必要があります。数値型には、INTUNE SDK のバージョン制限はありません。使用できる特殊文字には、iOS/iPadOS 英語キーボードの特殊文字と記号が含まれます。 |
数値 |
|
[許可] を選択すると、ユーザーは 1234、1111、abcd、aaaa などの単純な PIN シーケンスを使えるようになります。
[ブロック] を選択すると、単純なシーケンスは使用できなくなります。 単純なシーケンスは、3 文字のスライディング ウィンドウで確認されます。
Block が構成されている場合、エンド ユーザーが設定した PIN として 1235 または 1112 は受け入れられませんが、1122 は許可されます。 注: パスコードの種類として PIN が構成され、[単純な PIN を許可する] が [はい] に設定されている場合、少なくとも 1 つの文字または少なくとも 1 つの特殊文字を PIN に使用する必要があります。パスコードの種類として PIN が設定されており、[単純な PIN を許可する] が [いいえ] に設定されている場合、ユーザーは少なくとも 1 つの数字と 1 つの文字との 1 つ以上の特殊文字を PIN に入れる必要があります。 |
許可 |
|
PIN シーケンスの最小桁数を指定します。 | 4 |
|
[許可] を選択すると、アプリへのアクセスに、PIN の代わりに Touch ID を使用できるようになります。 | 許可 |
|
この設定を使用するには、[必要] を選択し、非アクティブ タイムアウトを構成します。 | 必須 |
|
時間を分単位で指定します。この時間を過ぎると、指紋または顔認証の代わりにパスコード、数値のいずれか (構成のとおり) の PIN がアクセス方法として使用されます。 このタイムアウト値は、[(非アクティブ分数) 後にアクセス要件を再確認する] に指定した値よりも大きい必要があります。 | 30 |
|
iOS/iPadOS デバイスでユーザー認証に顔認証テクノロジを使用するには、[許可] を選択します。 許可すると、Face ID 対応デバイスでは Face ID を使用してアプリにアクセスする必要があります。 | 許可 |
|
[はい] を選択すると、ユーザーは設定された期間の経過後にアプリの PIN を変更する必要があります。 [はい] に設定した場合は、PIN のリセットが要求されるまでの日数を構成します。 |
いいえ |
|
PIN のリセットが要求されるまでの日数を構成します。 | 90 |
|
ポータル サイトが構成されている登録済みデバイスでデバイス ロックが検出された場合にアプリの PIN を無効にするには、[無効にする] を選択します。 注:アプリで SDK バージョン 7.0.1 以降Intuneする必要があります。IntuneMAMUPN 設定は、アプリケーションが登録状態を検出するように構成する必要があります。 iOS/iPadOS デバイスでは、ユーザーが PIN の代わりに Touch ID または Face ID を使って自分の身元を証明できるようにすることができます。 Intune は、LocalAuthentication API を使って、Touch ID と Face ID によりユーザーを認証します。 Touch ID と Face ID については、「iOS Security Guide」(iOS セキュリティ ガイド) をご覧ください。 ユーザーが職場または学校のアカウントでこのアプリを使用しようとすると、PIN を入力する代わりに指紋識別と顔識別を求められます。 この設定を有効にすると、会社または学校のアカウントの使用中には、使用中のアプリ一覧のプレビュー画像はぼやけます。 デバイスの生体認証データベースに変更がある場合は、次の非アクティブタイムアウト値が満たされたときに、Intuneによってユーザーに PIN の入力を求められます。 生体認証データの変更には、認証のための指紋または顔の追加または削除が含まれます。 Intuneユーザーに PIN が設定されていない場合は、Intune PIN を設定します。 |
Enable |
アクセスに職場または学校アカウントの資格情報を使用 | [必要] を選択すると、ユーザーは、アプリへのアクセスに、PIN を入力する代わりに職場または学校のアカウントでのサインインが求められます。 これを [必要] に設定し、PIN または生体認証プロンプトが有効になっている場合は、会社の資格情報と、PIN または生体認証プロンプトの両方が表示されます。 | 必須ではありません |
(非アクティブ分数) 後にアクセス要件を再確認する | アプリのユーザーがもう一度アクセス要件を指定するように要求されるまでに経過する必要がある、非アクティブな時間を表す分数を構成します。 たとえば、管理者がポリシーで PIN をオンにし、ルート化されたデバイスをブロックします。ユーザーは、Intuneマネージド アプリを開き、PIN を入力する必要があり、ルート化されていないデバイスでアプリを使用している必要があります。 この設定を使用する場合、ユーザーは PIN を入力したり、構成された値と等しい期間、Intuneマネージド アプリで別のルート検出チェックを受ける必要はありません。 注:iOS/iPadOS では、PIN は、同じ発行元のすべてのIntune管理されたアプリ間で共有されます。特定の PIN の PIN タイマーは、アプリがデバイス上のフォアグラウンドから離れるとリセットされます。ユーザーは、この設定で定義されているタイムアウトの間、PIN を共有するIntuneマネージド アプリに PIN を入力する必要はありません。このポリシー設定形式では、正の整数がサポートされます。 |
30 |
注:
[アクセス] セクションで同じアプリとユーザーの組み合わせに対して構成された複数の Intune アプリ保護設定が iOS/iPadOS 上で動作する方法の詳細については、Intune MAM についてよく寄せられる質問に関するページおよび Intune でアプリ保護ポリシーのアクセス アクションを利用してデータを選択的にワイプする方法に関するページをご覧ください。
条件付き起動
条件付き起動設定を構成し、アクセス保護ポリシーのサインイン セキュリティ要件を設定します。
既定では、値とアクションが事前構成された設定がいくつか提供されます。 [OS の最小バージョン] など、一部の設定を削除できます。 [1 つ選んでください] ドロップダウンから追加の設定を選択することもできます。
Setting | 使用方法 |
---|---|
OS の最大バージョン | このアプリを使用するための最大の iOS/iPadOS オペレーティング システムを指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。 注:アプリで SDK バージョン 14.4.0 以降Intuneする必要があります。 |
OS の最小バージョン | このアプリを使用するための最小の iOS/iPadOS オペレーティング システムを指定します。
"アクション" に含まれている項目:
このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。 注:アプリで SDK バージョン 7.0.1 以降Intuneする必要があります。 |
PIN の最大試行回数 | PIN の入力試行回数を指定します。成功せずにこの回数を超えると、構成されているアクションが実行されます。 ユーザーが PIN の最大試行回数になっても PIN を正常に入力できない場合、ユーザーは、アカウントに正常にログインし、必要に応じて多要素認証 (MFA) のチャレンジを完了した後で、PIN をリセットする必要があります。 このポリシー設定の形式は、正の整数をサポートします。
"アクション" に含まれている項目:
|
[オフラインの猶予期間] | ポリシーで管理されているアプリをオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。
"アクション" に含まれている項目:
|
脱獄またはルート化されたデバイス | この設定に設定する値はありません。
"アクション" に含まれている項目:
|
無効なアカウント | この設定に設定する値はありません。
"アクション" に含まれている項目:
|
アプリの最小バージョン | アプリケーションの最小バージョンの値を指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 このポリシー設定では、iOS アプリ バンドルのバージョン形式 (major.minor または major.minor.patch) の一致がサポートされています。 注:アプリで SDK バージョン 7.0.1 以降Intuneする必要があります。 さらに、エンド ユーザーが基幹業務 (LOB) アプリの更新バージョンを取得できる場所を構成できます。 これがエンド ユーザーに対して表示されるのは [アプリの最小バージョン] 条件付き起動ダイアログであり、エンド ユーザーは最小バージョンの LOB アプリに更新することを求められます。 iOS/iPadOS の場合、この機能では、アプリを iOS v. 10.0.7 以降の Intune SDK と統合 (またはラッピング ツールを使用してラップ) する必要があります。 エンド ユーザーが LOB アプリを更新する必要がある場所を構成するには、キー com.microsoft.intune.myappstore を含むマネージド アプリ構成ポリシーをアプリに送信する必要があります。 送信される値により、エンド ユーザーがアプリをダウンロードするストアが定義されます。 アプリがポータル サイト経由で展開される場合、値は CompanyPortal である必要があります。 他のストアの場合は、完全な URL を入力する必要があります。 |
SDK の最小バージョン | Intune SDK のバージョンの最小値を指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 |
デバイス モデル | セミコロンで区切られたモデル識別子の一覧を指定します。 これらの値では、大文字と小文字は区別されません。
"アクション" に含まれている項目:
|
許容される最大デバイス脅威レベル | アプリ保護ポリシーでは、Intune-MTD コネクタを利用できます。 このアプリの使用に対して許容される最大脅威レベルを指定します。 脅威は、エンド ユーザー デバイスで選択された Mobile Threat Defense (MTD) ベンダー アプリによって決定されます。 "セキュリティ保護"、"低"、"中"、"高" のいずれかを指定します。 "セキュリティ保護" は、デバイスに対する脅威は不要で、構成可能な最も制限の厳しい値であるのに対し、"高" では基本的に Intune と MTD の間のアクティブな接続が必要です。
"アクション" に含まれている項目:
この設定の使用方法について詳しくは、未登録デバイスに対する MTD の有効化に関する記事をご覧ください。 |
プライマリ MTD サービス | 複数の Intune-MTD コネクタを構成している場合は、エンド ユーザー デバイスで使用する必要があるプライマリ MTD ベンダー アプリを指定します。
値 は次のとおりです。
この設定を使用するには、設定 "最大許可デバイス脅威レベル" を構成する必要があります。 この設定には アクション がありません。 |
非稼働時間 | この設定に設定する値はありません。
"アクション" に含まれている項目:
次のアプリは、この機能をサポートしています。
|
詳細情報
- Microsoft アプリの LinkedIn の情報と機能について学習します。
- Microsoft 365 ロードマップ ページに示されている LinkedIn アカウント接続のリリースについて学習します。
- LinkedIn アカウント接続の構成について学習します。
- ユーザーの LinkedIn および Microsoft の職場または学校アカウント間で共有されるデータについて詳しくは、「職場または学校のアカウントを使用した Microsoft アプリケーションの LinkedIn」をご覧ください。