Microsoft Intune で iOS アプリ間のデータ転送を管理する方法
会社のデータを保護するために、管理するアプリのみにファイル転送を制限します。 iOS アプリは、次の方法で管理できます。
アプリのアプリ保護ポリシーを構成して、職場または学校アカウントの組織データを保護します。 ポリシーマネージド アプリと呼ばれます。 保護されたアプリのMicrosoft Intuneに関するページを参照してください。
iOS デバイス管理を使用してアプリを展開および管理します。これには、デバイスがモバイル デバイス管理 (MDM) ソリューションに登録する必要があります。 展開するアプリは、 ポリシー管理アプリ またはその他の iOS マネージド アプリです。
登録済みの iOS デバイス のオープンイン管理機能 では、iOS マネージド アプリ間のファイル転送を制限できます。 Open-In/Share フィルタリング値を使用して他のアプリに組織データをポリシー管理アプリに送信し、Intuneを使用してポリシーをデプロイするアプリ保護ポリシーを使用して、オープンイン管理制限を設定します。 ユーザーがデプロイされたアプリをインストールすると、割り当てられたポリシーに基づいて設定した制限が適用されます。
オープンイン管理を使用して iOS アプリとデータを保護する
iOS Open-in 管理機能でアプリ保護ポリシーを使用して、次の方法で会社のデータを保護します。
MDM ソリューションによって管理されていないデバイス: アプリ保護ポリシー設定を設定して、 Open-in または Share 拡張機能を使用して他のアプリケーションとのデータ共有を制御できます。 これを行うには、Open-In/Share フィルタリング値 を使用して [他のアプリに組織データを送信 する] 設定を [ポリシー管理アプリ] に 構成します。 ポリシー管理アプリの Open-in/Share 動作では、共有のオプションとして他のポリシーマネージド アプリのみが表示されます。 関連情報については、「iOS/iPadOS アプリと Android アプリ、データ転送、iOS 共有拡張機能のアプリ保護ポリシー」を参照してください。
MDM ソリューションによって管理されるデバイス: Intuneまたはサード パーティの MDM ソリューションに登録されているデバイスの場合、アプリ保護ポリシーと MDM を介して展開されたその他の管理対象 iOS アプリとのアプリ間のデータ共有は、Intune APP ポリシーと iOS Open-in 管理機能によって制御されます。 MDM ソリューションを使用して展開するアプリが、Intuneアプリ保護ポリシーにも関連付けられているようにするには、次のセクション「ユーザー UPN 設定の構成」で説明されているように、ユーザー UPN 設定を構成します。 他の ポリシー管理アプリ と iOS マネージド アプリへのデータ転送を許可する方法を指定するには、[OS 共有を使用して 他のアプリに組織データを送信する ] 設定を [ポリシーマネージド アプリ] に設定します。 アプリが他のアプリからデータを受信できるようにする方法を指定するには、[他のアプリ からデータを受信する ] を有効にしてから、データを受信する任意のレベルを選択します。 アプリ データの受信と共有の詳細については、「 データ再配置設定」を参照してください。
Microsoft Intuneまたはサード パーティの EMM のユーザー UPN 設定を構成する
ユーザー UPN 設定の構成は、Intuneまたはサード パーティの EMM ソリューションによって管理されるデバイスで、iOS マネージド アプリにデータを転送するときに、送信ポリシー管理アプリの登録済みユーザー アカウントを識別するために必要です。 必要なアプリ構成設定の詳細については、「デバイス管理の種類」を参照してください。 UPN 構成は、Intuneからデプロイするアプリ保護ポリシーで機能します。
次の手順は、UPN 設定と結果のユーザー エクスペリエンスを構成する方法に関する一般的なフローです。
Microsoft Intune管理センターで、iOS/iPadOS 用のアプリ保護ポリシーを作成して割り当てます。 会社の要件に従ってポリシー設定を構成し、このポリシーを持つ必要がある iOS アプリを選択します。
次の一般化された手順を使用して、Intuneまたはサード パーティの MDM ソリューションを使用して管理するアプリと電子メール プロファイルを展開します。 このエクスペリエンスは、 例 1 でも取り上げられています。
次のアプリ構成設定を使用してアプリをマネージド デバイスにデプロイします。
key = IntuneMAMUPN, value = username@company.com
例: ['IntuneMAMUPN', 'janellecraig@contoso.com']
注:
Intuneでは、App Configuration ポリシー登録の種類をマネージド デバイスに設定する必要があります。 さらに、アプリは、Intune ポータル サイトからインストールするか (使用可能に設定されている場合)、または必要に応じてデバイスにプッシュする必要があります。
注:
IntuneMAMUPN アプリ構成設定を、データを送信するターゲットマネージド アプリに展開します。 受信アプリへのアプリ構成キーの追加は省略可能です。
注:
現在、同じデバイスに MDM 登録済みアカウントがある場合、アプリで別のユーザーに登録することはサポートされていません。
Intuneまたはサード パーティの MDM プロバイダーを使用して、登録されているデバイスに Open-in 管理ポリシーを展開します。
例 1: Intuneまたはサード パーティの MDM コンソールでの管理エクスペリエンス
Microsoft Intune管理センターまたはサード パーティの MDM プロバイダーに移動します。 登録済みの iOS デバイスにアプリケーション構成設定を展開する管理センターのセクションに移動します。
[アプリケーションの構成] セクションで、デバイス管理の種類に基づいて自動的に構成されるアプリを除き、iOS マネージド アプリにデータを転送するポリシーマネージド アプリごとに次の設定を入力します。
key = IntuneMAMUPN, value = username@company.com
キーと値のペアの正確な構文は、サード パーティの MDM プロバイダーによって異なる場合があります。 次の表は、サード パーティの MDM プロバイダーの例と、キーと値のペアに入力する必要がある正確な値を示しています。
サード パーティの MDM プロバイダー 構成キー 値の種類 構成値 Microsoft Intune IntuneMAMUPN String {{userprincipalname}} Microsoft Intune IntuneMAMOID String {{userid}} VMware AirWatch IntuneMAMUPN String {UserPrincipalName} MobileIron IntuneMAMUPN String ${userUPN} または ${userEmailAddress} Citrix エンドポイント管理 IntuneMAMUPN String ${user.userprincipalname} ManageEngine Mobile デバイス マネージャー IntuneMAMUPN String %upn%
注:
Outlook for iOS/iPadOS の場合、[構成デザイナーの使用] オプションを使用してマネージド デバイスApp Configurationポリシーを展開し、[職場または学校アカウントのみを許可する] を有効にすると、構成キー IntuneMAMUPN がポリシーのバックグラウンドで自動的に構成されます。 詳細については、「iOS および Android 用の新しい Outlook App Configuration ポリシー エクスペリエンス - 一般的なApp Configuration」の FAQ セクションを参照してください。
例 2: エンド ユーザー エクスペリエンス
OS 共有を使用したポリシーマネージド アプリから他のアプリケーションへの共有
ユーザーが登録済みの iOS デバイスで Microsoft OneDrive アプリを開き、職場アカウントにサインインします。 ユーザーが入力するアカウントは、Microsoft OneDrive アプリのアプリ構成設定で指定したアカウント UPN と一致する必要があります。
サインイン後、管理者が構成した APP 設定が Microsoft OneDrive のユーザー アカウントに適用されます。 これには、OS 共有値を持つポリシーマネージド アプリに対する [他のアプリへの組織データの送信] 設定の構成が含まれます。
ユーザーは作業ファイルをプレビューし、Open-in から iOS マネージド アプリへの共有を試みます。
データ転送が成功し、iOS マネージド アプリ の Open-in 管理 によってデータが保護されるようになりました。 Intune APP は、ポリシーで管理されているアプリではないアプリケーションには適用されません。
受信組織データを使用して iOS マネージド アプリからポリシー管理アプリに共有する
ユーザーは、登録済みの iOS デバイスでマネージド メール プロファイルを使用してネイティブ メールを開きます。
ユーザーは、ネイティブメールから Microsoft Wordへの作業ドキュメントの添付ファイルを開きます。
Word アプリが起動すると、次の 2 つのエクスペリエンスのいずれかが発生します。
- データは、次の場合Intune APP によって保護されます。
- ユーザーは、Microsoft Word アプリのアプリ構成設定で指定したアカウント UPN と一致する職場アカウントにサインインしています。
- 管理者が構成したアプリ設定は、Microsoft Wordのユーザー アカウントに適用されます。 これには、[他の アプリからデータを受信 する] 設定の [ 受信組織データを使用するすべてのアプリ ] の値の構成が含まれます。
- データ転送が成功し、ドキュメントにアプリ内の作業 ID でタグが付けられます。 Intune APP は、ドキュメントのユーザー アクションを保護します。
- データは、次の場合Intune APP によって保護されません。
- ユーザーが職場アカウントにサインイン していません 。
- 管理者が構成した設定は、ユーザーがサインインしていないため、Microsoft Wordには適用されません。
- データ転送が成功し、ドキュメントにアプリの作業 ID がタグ付け されません 。 Intune APP では、アクティブではないため、ドキュメントのユーザー アクションは保護されません。
注:
ユーザーは、Wordで個人用アカウントを追加して使用できます。 ユーザーが作業コンテキストの外部でWordを使用する場合、アプリ保護ポリシーは適用されません。
- データは、次の場合Intune APP によって保護されます。
サード パーティの EMM のユーザー UPN 設定を検証する
ユーザー UPN 設定を構成した後、iOS アプリがアプリ保護ポリシーを受け取って準拠Intune機能を検証します。
たとえば、[ アプリの PIN を要求する ] ポリシー設定は簡単にテストできます。 ポリシー設定が [必須] と等しい場合、ユーザーは会社のデータにアクセスする前に PIN を設定または入力するように求めるプロンプトを表示する必要があります。
まず、 アプリ保護ポリシーを作成して iOS アプリに割り当てます 。 アプリ保護ポリシーをテストする方法の詳細については、「アプリ保護ポリシーの 検証」を参照してください。