次の方法で共有

Microsoft Intune 用のアプリを購入して追加する

  • [アーティクル]

organizationのデータを保護してセキュリティで保護するために、マネージド アプリをorganizationのメンバーに提供して、安全に共同作業を行い、生産性を高めることができます。 マネージド アプリは、organizationのメンバーのデバイスにインストールして管理するクライアント アプリのサブセットです。 特別な構成と保護機能をサポートするように強化されたこれらのアプリ。 これらの機能は、Microsoft Intuneなどのエンドポイント管理ソリューションによって管理および管理されます。 Intuneは、organizationのすべてのエンドポイントを管理、保護、監視するための Web ベースのコンソールを提供します。これらのエンドポイントがデバイスかアプリかに関係なく、すべてのエンドポイントを管理、保護、監視できます。 Intuneによって提供される機能は、organizationのクラウドとオンプレミスのデバイス、アプリ、データのセキュリティを維持するのに役立ちます。 Microsoft Intune製品ファミリには、Microsoft Intune、Microsoft Endpoint Configuration Manager、Desktop Analytics、および Windows Autopilot が統合されています。

注:

エンドポイントには、organizationで使用されるモバイル デバイス、デスクトップ コンピューター、仮想マシン、埋め込みデバイス、サーバー、アプリ、共有デバイスが含まれます。 共有および特殊化されたデバイスの例としては、小売販売時点管理デバイス、ラグド デバイス、デジタル対話型ホワイトボード、会議室デバイス、ホログラフィック ウェアラブル コンピューターなどがあります。 さらに、エンドポイントには、organizationで使用されるアプリも含まれます。

organizationが必要とするアプリによっては、特定のアプリのライセンスを購入することもできます。 このコンテンツは、Intuneで使用できるさまざまな種類のアプリを理解するのに役立ちます。 さらに、構成ポリシーと保護ポリシーを使用して管理するアプリ、またはorganizationのメンバーに展開できるアプリを追加できます。 アプリとアプリ ライセンスの購入について学習します。 これらの概念はすべて、アプリをIntuneに追加するプロセスの重要な部分です。

このソリューションの内容

このソリューションでは、マネージド アプリをMicrosoft Intuneに追加するプロセスについて説明します。 マネージド アプリをIntuneに追加することは、organizationのメンバーが安全にアプリを使用できるようにアプリを構成、保護、デプロイする前に最初に行う手順です。 organizationでアプリを管理することで、organizationのデータの保護とセキュリティ保護に役立ちます。

アプリを購入してMicrosoft Intuneに追加するための手順。

Intuneのデプロイ

アプリの追加と割り当てを開始する前に、Intuneの機能を設定してデプロイする方法を理解しておく必要があります。 Intuneのデプロイには、通常、次の手順が含まれます。

Intuneをセットアップしてデプロイする手順

手順 アクション 説明
1 Intune の設定 高速に開始する手順に従って、Intuneを無料で試すことができます。 この手順が完了すると、次の作業が完了します。
  • 無料のIntune テナントを作成しました。 テナントは、IntuneへのサブスクリプションがホストされているMicrosoft Entra IDの専用インスタンスです。
  • Intuneでユーザーを作成し、ユーザーにライセンスを割り当てます。
  • ユーザーを管理するグループを作成しました
  • Windows 10/11 デバイスの自動登録を設定します。
  • デバイスを登録する方法について説明します。
  • Android Enterprise デバイスのパスワード コンプライアンス ポリシーを作成する方法について説明します。
  • 非準拠デバイスに通知を送信する方法について説明します。
  • アプリを追加して割り当てます。
  • アプリ保護ポリシーを作成して割り当てた。
  • カスタム ロールを作成して割り当てた。
  • iOS/iPadOS 用の電子メール デバイス プロファイルを作成しました。
2 アプリを設定する organizationで使用するアプリを追加構成保護します。 この手順が完了すると、次の作業が完了します。
3 デバイス コンプライアンスと条件付きアクセス ポリシーを作成する デバイス コンプライアンス ポリシーと条件付きアクセス ポリシーを作成する方法について説明します。 この手順を完了すると、デバイスのコンプライアンスと条件付きアクセスについて理解し、コンプライアンス違反を処理する方法を理解します。 さらに、さまざまなレベルのデバイス コンプライアンスについて理解します。
4 デバイス構成ポリシーを作成する デバイスの機能と設定を構成して、デバイスをセキュリティで保護し、リソースにアクセスする方法について説明します。 この手順を完了すると、さまざまなレベルのデバイス構成と保護について理解できます。
5 管理するデバイスを登録する この手順を完了すると、登録用にデバイスを構成する方法と、登録ポリシーと制限について理解できます。 登録プロファイルと Windows Autopilot の使用方法についても説明します。

モバイル アプリケーション管理の構成

アプリが制限なしで使用されている場合、会社データと個人データが混在する可能性があります。 会社のデータは、個人のストレージなどの場所に保存されたり、Purview を超えてアプリに転送されたりして、データの公開やデータの損失につながる可能性があります。 organizationのメンバーがデバイスで使用するアプリを管理することは、Mobile Application Management (MAM) と呼ばれます。 MAM を使用すると、登録されていないデバイスでデータ保護を提供できます。 登録解除されたデバイスは、organizationのメンバーが企業データにアクセスするために使用する個人用デバイスです。 これらの個人用デバイスは管理されていないが、保護が必要であることを理解することが重要です。 デバイス登録なしで MAM を使用する主な理由の 1 つ、またはデバイス登録で MAM を使用する主な理由の 1 つは、organizationのデータを保護することです。

Microsoft Intune サービスでは、次の 2 つのモバイル アプリケーション管理 (MAM) 構成がサポートされています。

デバイス管理を使用しない MAM

Intuneの MAM は、カスタム アプリやストア アプリなど、アプリケーション レベルでorganizationデータを保護するように設計されています。 アプリ管理は、組織所有のデバイスと個人用デバイスで使用できます。 個人用デバイスで使用する場合は、組織関連のアクセスとデータのみが管理されます。 この構成では、organizationのアプリをIntuneで管理できますが、Intuneによって管理されるデバイスは登録されません。 この構成は、一般に 、デバイス登録なしで MAM と呼ばれます。 IT 管理者は、Intune Mobile デバイス管理 (MDM) に登録されていないデバイスでIntune構成と保護ポリシーを使用して、MAM を使用してアプリを管理できます。 MAM シナリオでは、アプリはデバイス上のアプリのサインイン ユーザーに基づいて管理されます。 MAM は、個人タスクと作業タスクの両方でorganizationのメンバーによって使用されるデバイス上のorganization データを保護するのに最適です。 MDM を使用しない MAM は、organizationのメンバーが自分のデバイス (BYOD) でリモートで作業できるようにする組織で人気があります。

ヒント

Microsoft Office アプリなどの多くの仕事効率化アプリは、Intune MAM で管理できます。 一般使用が可能な Microsoft Intune によって保護されたアプリの公式一覧を参照してください。

デバイス登録なしで MAM を使用する場合は、次のようないくつかの制限事項に注意してください。

  • 特にデバイスにアプリを直接デプロイすることはできません。 エンド ユーザー (organizationのメンバー) は、ストアからアプリを取得します。
  • これらの非管理対象デバイスで 証明書プロファイル をプロビジョニングすることはできません。
  • これらの管理されていないデバイスで会社 の Wi-FiVPN の設定をプロビジョニングすることはできません。

注:

MAM 構成には、サード パーティのエンタープライズ モビリティ管理 (EMM) プロバイダーに登録されているデバイスで、Intuneを使用したアプリの管理が含まれます。 Intuneアプリの構成と保護ポリシーは、MDM ソリューションとは無関係に使用できます。 この独立性により、デバイスをデバイス管理ソリューションに登録してもしなくても会社のデータを保護できます。 アプリ レベルのポリシーを実装することにより、会社のリソースへのアクセスを制限し、データを IT 部門の管理範囲内に収めることができます。

デバイス管理を使用した MAM

この構成により、organizationのアプリとデバイスの両方を管理できます。 この構成は、一般に MAM + MDM と呼ばれます。 IT 管理者は、MDM に登録されているデバイスで MAM を使用してアプリIntune管理できます。

MAM だけでなく MDM を使用することで、確実にデバイスを保護できます。 たとえば、デバイスへのアクセスに PIN を要求したり、デバイスに管理対象のアプリを展開したりすることができます。

アプリ保護ポリシーで MDM を使用する場合は、追加の利点があります。 たとえば、organizationのメンバーは、会社が発行した電話と、自分の個人用タブレットの両方を持つことができます。 会社の電話は MDM に登録し、アプリ保護ポリシーによって保護できますが、個人用デバイスはアプリ保護ポリシーでのみ保護されます。

MDM サービスを使用する登録済みデバイスでは、アプリ保護ポリシーによって追加の保護レイヤーを追加できます。 たとえば、ユーザーは、組織の資格情報を使用してデバイスにサインインします。 組織のデータが使用されると、アプリ保護ポリシーによってデータの保存方法と共有方法が制御されます。 ユーザーが自分の個人 ID でサインインする場合、同じ保護 (アクセスと制限) は適用されません。 このようにして、IT 部門が組織のデータを制御すると同時に、エンド ユーザーは個人データの制御とプライバシーを維持します。

MDM ソリューションは、次の機能を提供することで価値を高めます。

  • デバイスを登録する
  • アプリをデバイスに展開する
  • 継続的なデバイスのポリシー準拠と管理を提供する

アプリ保護 ポリシーは、次の機能を提供することで価値を高めます。

  • コンシューマー アプリやサービスに会社データがリークしないように保護を支援する
  • "名前を付けて保存"、"クリップボード"、PIN などの制限をクライアント アプリに適用する
  • デバイスからアプリを削除せずに、必要時にアプリから会社データをワイプする

Intuneを使用した MAM の利点

アプリがIntuneで管理されている場合、管理者は次の操作を実行できます。

  • アプリ レベルで会社のデータを保護します。 ユーザー グループとデバイスにモバイル アプリを追加して割り当てることができます。 この管理により、会社のデータをアプリ レベルで保護できます。 モバイル アプリ管理ではデバイス管理が必要ないため、管理対象デバイスと管理対象外デバイスの両方で会社のデータを保護できます。 管理の中心がユーザー ID になり、デバイスを管理する必要がなくなります。
  • 特定の設定を有効にして起動または実行するようにアプリを構成します。 さらに、デバイス上に既に存在するアプリを更新することもできます。
  • アクセスを制限し、organizationの外部でデータが使用されないようにポリシーを割り当てます。 これらのポリシーの設定は、organizationの要件に基づいて選択します。 たとえば、次のようなことが可能です。
    • 仕事ではアプリを開くとき、PIN を要求する。
    • 脱獄またはルート化されたデバイスでマネージド アプリが実行されないようにブロックします。
    • アプリ間のデータ共有を制御する。
    • 組織データのコピーを保存する、切り取り、コピー、貼り付けを制限するなどのデータ再配置ポリシーを使用して、会社のアプリ データを個人用ストレージの場所に保存できないようにします。
  • さまざまなプラットフォームとオペレーティング システムでアプリをサポートします。 プラットフォームはそれぞれ異なります。 Intuneでは、サポートされているプラットフォームごとに使用可能な設定が用意されています。
  • 使用されているアプリに関するレポートを表示し、その使用状況を追跡します。 さらに、Intuneでは、問題の評価と解決に役立つエンドポイント分析が提供されます。
  • アプリから組織のデータのみを削除して選択的ワイプを実行する。
  • 個人データがマネージド データとは別に保持されていることを確認します。 エンド ユーザーの生産性に影響を与えることがなく、個人のコンテキストでアプリが使用される場合にはポリシーは適用されません。 ポリシーは仕事のコンテキストでのみ適用されるため、個人データに影響を与えることなく会社データを保護することが可能になります。

アプリの種類について

organizationのアプリとデバイスのユーザーには、いくつかのアプリ要件がある場合があります。 アプリをIntuneに追加し、organizationのメンバーが利用できるようにする前に、いくつかのアプリの基礎を評価して理解しておくと役立つ場合があります。 Intune で利用できるアプリにはさまざまな種類があります。 organizationのメンバーが必要とするプラットフォームや機能など、organizationのユーザーが必要とするアプリ要件を決定する必要があります。 Intune を使用して (アプリを含む) デバイスを管理するか、Intune にデバイスを管理させずにアプリを管理させるか、決定する必要があります。 また、organizationのメンバーが必要とするアプリと機能と、それらを必要とするユーザーを決定する必要があります。 詳細については、「 マネージド環境のアプリの種類 」または「概要」を参照してください。

アプリの購入

多くの場合、アプリをorganizationのメンバーに配布するには、アプリを購入するか、アプリを使用するライセンスを購入するか、アプリを使用するライセンスを取得する必要があります。 多くのアプリは無料ですが、これらのアプリをorganizationのメンバーに配布するには、購入プロセスに従う必要がある場合があります。 これらの無料アプリのうち、ほとんどが保護され、Intuneで構成されるように設計されていません。 詳細については、概要については、「Intune用アプリを購入する」を参照してください。

Intune にアプリを追加します

マネージド アプリをorganizationのメンバーに配布する前に、まずアプリをIntuneに追加する必要があります。 追加したら、構成ポリシーと保護ポリシーの両方を作成してアプリをサポートできます。 準備ができたら、アプリをorganizationのメンバーに割り当てることができます。 詳細については、「アプリをMicrosoft Intuneに追加する概要」を参照してください。