Microsoft Intune App SDK の概要

このガイドは、モバイル アプリがMicrosoft Intuneでアプリ保護ポリシーをサポートできるようにするのに役立ちます。 Intune App SDK の概要で説明されているように、最初にIntune App SDK の利点を理解すると便利な場合があります。

Intune App SDK は、iOS と Android 全体で同様のシナリオをサポートしており、IT 管理者向けのプラットフォーム全体で一貫したエクスペリエンスを作成することを目的としています。 ただし、プラットフォームの違いと制限のため、特定の機能のサポートには小さな違いがあります。

プロセス フロー

次の図は、iOS 用Intune App SDK と Android 用のIntune App SDK のプロセス フローを示しています。

ストア アプリを Microsoft に登録する

アプリがorganizationの内部にあり、一般公開されない場合:

アプリを登録する 必要はありません 。 会社または会社用に作成された内部 基幹業務 (LOB) アプリ の場合、IT 管理者はアプリを内部的にデプロイします。 Intuneは、アプリが SDK で構築されていることを検出し、IT 管理者がアプリ保護ポリシーを適用できるようにします。 「 アプリ保護ポリシーで iOS または Android アプリを有効にする」セクションに進むことができます。

Apple App Storeや Google Play など、アプリがパブリック アプリ ストアにリリースされる場合:

まず、アプリをMicrosoft Intuneに登録し、登録条件に同意する必要があります。 IT 管理者は、アプリ保護ポリシーをマネージド アプリに適用できます。このポリシーは、 パートナーの生産性アプリとして一覧表示されます。

登録が完了し、Microsoft Intune チームによって確認されるまで、Intune管理者はアプリのディープ リンクにアプリ保護ポリシーを適用するオプションを持ちません。 また、Microsoft はアプリを Microsoft Intune パートナー ページに追加します。 アプリのアイコンが表示され、アプリ保護ポリシー Intuneサポートされていることを示します。

登録プロセス

登録プロセスを開始し、Microsoft の連絡先をまだ使用していない場合は、Microsoft Intuneアプリ パートナーアンケートに記入します。

アンケートの回答に記載されているメール アドレスを使用して、登録プロセスに連絡して続行します。 さらに、お客様の登録メール アドレスを使用して、懸念がある場合は、お客様に連絡します。

注:

アンケートおよびMicrosoft Intune チームとの電子メールの連絡を通じて収集されたすべての情報は、Microsoft のプライバシーに関する声明に従います。

登録プロセスで期待される内容:

1. アンケートを送信した後、登録メール アドレスを介して連絡を取り、受信が成功したことを確認するか、登録を完了するための追加情報を要求します。

2. お客様から必要なすべての情報を受け取った後、署名するためにMicrosoft Intuneアプリ パートナー契約が送信されます。 この契約では、会社がアプリ パートナー Microsoft Intuneになる前に同意する必要がある条件について説明します。

3. アプリがMicrosoft Intune サービスに正常に登録されたとき、およびアプリがMicrosoft Intune パートナー サイトで紹介されたときに通知されます。

4. 最後に、アプリのディープ リンクが、次の毎月の Intune Service 更新プログラムに追加されます。 たとえば、登録情報が 7 月に完了した場合、ディープ リンクは 8 月中旬にサポートされます。

ディープ リンクは、パブリック アプリ ストア内のアプリの登録情報へのリンクです。 今後アプリのディープ リンクが変更される場合は、アプリを再登録する必要があります。

SDK ファイルをダウンロードする

ネイティブ iOS と Android 用の Intune アプリ SDK は、Microsoft GitHub アカウントでホストされます。 これらのパブリック リポジトリには、それぞれネイティブ iOS と Android 用の SDK ファイルがあります。

• Intune App SDK for iOS
• Intune App SDK for Android

アプリが .NET マルチプラットフォーム アプリ UI (.NET MAUI) でビルドされている場合は、次の SDK バリアントを使用します。

• Intune App SDK for .NET MAUI - Android
• Intune App SDK for .NET MAUI - iOS

注:

Intune APP SDK for .NET MAUI を使用すると、.NET マルチプラットフォーム アプリ UI を組み込んだIntune用の Android または iOS アプリを開発できます。 このフレームワークを使用して開発されたアプリを使用すると、モバイル アプリケーション管理Intune適用できます。

リポジトリをフォークしてプルするために使用できる GitHub アカウントにサインアップすることをお勧めします。 GitHub を使用すると、開発者は製品チームとコミュニケーションを取り、問題を開き、迅速な応答を受け取り、リリース ノートを表示し、Microsoft にフィードバックを提供できます。 Intune App SDK GitHub に関する質問については、msintuneappsdk@microsoft.comにお問い合わせください。

アプリ保護ポリシーで iOS アプリまたは Android アプリを有効にする

Intune App SDK をアプリに統合するには、次のいずれかの開発者ガイドが必要です。

• Intune App SDK for iOS 開発者ガイド: このドキュメントでは、Intune App SDK を使用してネイティブ iOS アプリを有効にする手順について詳しく説明します。

• Intune App SDK for Android 開発者ガイド: このドキュメントでは、Intune App SDK を使用してネイティブ Android アプリを有効にする手順について詳しく説明します。

• Intune App SDK Xamarin Bindings ガイド: このドキュメントは、アプリ保護ポリシーに Xamarin を使用して iOS アプリと Android アプリIntune構築するのに役立ちます。

重要

Intuneは、Intune App SDK の更新プログラムを定期的にリリースします。 更新プログラムをソフトウェア開発リリース サイクルに組み込み、アプリが最新の App Protection ポリシー設定を確実にサポートできるように、更新プログラムのIntune App SDK リポジトリをサブスクライブすることをお勧めします。

OS の更新によって破壊的変更が発生する可能性があるため、アプリがスムーズに実行され続けられるように、すべてのメジャー OS リリースの前に必須のIntune App SDK 更新プログラムを実行することを計画します。 メジャー OS リリースの前に最新バージョンに更新しない場合は、重大な変更が発生したり、アプリにアプリ保護ポリシーを適用できなかったりするリスクが発生する可能性があります。

アプリ ベースの条件付きアクセスに対して iOS または Android アプリを有効にする

アプリ保護ポリシーのアプリを有効にするだけでなく、アプリベースの条件付きアクセスでアプリが適切に機能するには、次Microsoft Entra必要です。

• アプリは Microsoft 認証ライブラリを使用して構築され、Microsoft Entra ブローカー認証が有効になっています。

• アプリの Microsoft Entra クライアント ID は、iOS プラットフォームと Android プラットフォーム間で一意である必要があります。

アプリのテレメトリを構成する

Microsoft Intuneは、アプリの使用状況統計に関するデータを収集します。

• Intune App SDK for iOS: SDK は、既定で使用状況イベントに関する SDK テレメトリ データをログに記録します。 このデータは、Microsoft Intuneに送信されます。

  • アプリから SDK テレメトリ データをMicrosoft Intuneに送信しないことを選択した場合は、IntuneMAMSettings ディクショナリのプロパティ MAMTelemetryDisabledを "YES" に設定して、テレメトリの送信を無効にする必要があります。

• Intune App SDK for Android: Intune App SDK for Android では、アプリからのデータ収集は制御されません。 ポータル サイト アプリケーションは、既定でテレメトリ データをログに記録します。 このデータは、Microsoft Intuneに送信されます。 Microsoft ポリシーに従って、個人を特定できる情報 (PII) は収集されません。

  • エンド ユーザーがこのデータを送信しないことを選択した場合は、ポータル サイト アプリの [設定] でテレメトリをオフにする必要があります。 詳細については、「 Microsoft 使用状況データ収集を無効にする」を参照してください。

基幹業務アプリのバージョン番号

Intuneの基幹業務アプリに、iOS アプリと Android アプリのバージョン番号が表示されるようになりました。 番号は、アプリの一覧とアプリの概要ブレードのMicrosoft Intune管理センターに表示されます。 エンド ユーザーは、ポータル サイト アプリと Web ポータルでアプリ番号を確認できます。

完全なバージョン番号

完全なバージョン番号は、アプリの特定のリリースを識別します。 番号は Version(Build) として表示されます。 たとえば、2.2(2.2.17560800)。

完全なバージョン番号には、次の 2 つのコンポーネントがあります。

• バージョン
  バージョン番号は、アプリの人間が判読できるリリース番号です。 これは、エンド ユーザーがアプリのさまざまなリリースを識別するために使用されます。

• ビルド番号
  ビルド番号は、アプリの検出やプログラムによるアプリの管理に使用できる内部番号です。 ビルド番号は、コード内の変更を参照するアプリのイテレーションを指します。

Android と iOS のバージョンとビルド番号

Android と iOS の両方で、アプリを参照してバージョン番号とビルド番号が使用されます。 ただし、どちらのオペレーティング システムにも OS 固有の意味があります。 次の表では、これらの用語の関連について説明します。

Intuneで使用する基幹業務アプリケーションを開発するときは、バージョンとビルド番号の両方を忘れずに使用してください。 Intuneアプリ管理機能は、意味のある CFBundleVersion (iOS 用) と PackageVersionCode (Android 用) に依存しています。 これらの番号は、アプリ マニフェストに含まれています。

Intune	iOS	Android	説明
バージョン番号	CFBundleShortVersionString	PackageVersionName	この番号は、エンド ユーザー向けのアプリの特定のリリースを示します。
ビルド番号	CFBundleVersion	PackageVersionCode	この数値は、アプリ コード内のイテレーションを示すために使用されます。

iOS

• CFBundleShortVersionString
  バンドルのリリース バージョン番号を指定します。 この番号は、リリースされたバージョンのアプリを識別します。 この番号は、エンド ユーザーがアプリを参照するために使用されます。
• CFBundleVersion
  バンドルのイテレーションを識別するバンドルのビルド バージョン。 この番号は、リリースまたはリリースされていないバンドルを識別できます。 この数値は、アプリの検出に使用されます。

Android

• PackageVersionName
  ユーザーに表示されるバージョン番号。 この属性は、生の文字列として、または文字列リソースへの参照として設定できます。 文字列には、ユーザーに表示される以外の目的はありません。
• PackageVersionCode
  内部バージョン番号。 この番号は、あるバージョンが別のバージョンよりも新しいかどうかを判断するためにのみ使用され、より新しいバージョンを示す数値が大きくなります。 これはバージョンではありません

統合後の次の手順

アプリのテスト

iOS アプリまたは Android アプリを Intune App SDK と統合するために必要な手順を完了したら、ユーザーと IT 管理者に対してすべてのアプリ保護ポリシーが有効で機能していることを確認する必要があります。統合アプリをテストするには、次のものが必要です。

• Microsoft Intuneテスト アカウント: Intuneアプリ保護機能に対してIntuneマネージド アプリをテストするには、Microsoft Intune アカウントが必要です。

  • アプリ保護ポリシーで iOS または Android ストア アプリを有効にする ISV の場合は、登録手順で説明されているように、Intune Microsoft Intuneでの登録が完了すると、プロモーション コードが届きます。 プロモーション コードを使用すると、1 年間の延長使用でMicrosoft Intune試用版にサインアップできます。

  • ストアに出荷されない基幹業務アプリを開発している場合は、organizationを通じてMicrosoft Intuneにアクセスできる必要があります。 Microsoft Intuneで 1 か月間の無料試用版にサインアップすることもできます。

  • エンド ユーザー アカウントを使用してモバイル デバイスでアプリをテストする場合は、管理者アカウントでログインした後、Microsoft 365 管理センター Web サイトでそのアカウントにIntune ライセンスを付与していることを確認します。「Microsoft Intune ライセンスを割り当てる」を参照してください。

• アプリ保護ポリシーのIntune: すべてのIntuneアプリ保護ポリシーに対してアプリをテストするには、ポリシー設定ごとに予期される動作がわかっている必要があります。 iOS アプリ保護ポリシーと Android アプリ保護ポリシーの説明を参照してください。 アプリが Intune SDK を統合しているが、対象となるアプリの一覧に一覧にない場合は、[カスタム アプリ] を選択するときに、テキスト ボックスでアプリのバンドル ID (iOS) またはパッケージ名 (Android) を指定できます。

• トラブルシューティング: アプリのインストール ユーザー エクスペリエンスを手動でテストしているときに問題が発生した場合は、「アプリの インストールに関する問題のトラブルシューティング」を参照してください。

Intune Mobile App Management サービスへのアクセス権をアプリに付与する

アプリで独自のカスタム Microsoft Entra設定を認証に使用している場合は、パブリック ストア アプリと内部 LOB アプリの両方に対して次の手順を実行する必要があります。 アプリで Intune SDK の既定のクライアント ID を使用している場合は、この手順を実行する必要はありません。

Azure テナント内にアプリを登録し、[すべてのアプリケーション] にアプリが表示されたら、アプリに Intune Mobile App Management サービスへのアクセス権を付与する必要があります。 Microsoft Intune管理センターで、次の手順を実行します。

1. [Microsoft Entra ID] ブレードに移動します。
2. [アプリの登録] で、アプリケーション用に設定された一覧に移動します。
3. [ + アクセス許可の追加] をクリックします。
4. organizationで使用する API をクリックします。
5. 検索ボックスに「 Microsoft Mobile Application Management」と入力します。
6. [ 委任されたアクセス許可] で、[ DeviceManagementManagedApps.ReadWrite: ユーザーのアプリ管理データ* の読み取りと書き込み] チェック ボックスをオンにします。
7. [アクセス許可を追加する] をクリックします。

アプリにバッジを付けます (省略可能)

アプリ保護ポリシー Intuneアプリで機能することを検証したら、アプリのアイコンにIntuneアプリ保護ロゴを付けることができます。

このバッジは、IT 管理者、エンド ユーザー、および潜在的なIntuneユーザーに対して、アプリがIntuneアプリ保護ポリシーで動作することを示します。 これは、Intune顧客によるアプリの使用と導入を奨励します。

バッジはブリーフケース アイコンで、次のサンプルで確認できます。

アプリにバッジを付けるために必要なもの:

• .epsファイルを読み取ることができる画像操作アプリケーション、または .ai ファイルを読み取ることができる Adobe アプリケーション。

• Intune アプリ バッジのアセットとガイドラインは、Microsoft Intune GitHub にあります。