IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSIntune > 【Microsoft Intune】デバイス管理 | 私有Android2
最終更新日

【Microsoft Intune】デバイス管理 | 私有Android2

MSIntune インフラ

Microsoft Intune デバイス管理(私有Android) 2

前の記事の続きになります。
Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、私有Androidデバイスの管理方法の例を紹介します。
これにより、セキュリティルールに準拠しない私有Androidに組織のアプリを使用させないといった制約や、アプリの導入・アプリ内の挙動(組織アプリ外へのデータ持ち出し禁止等)を制御することができます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium(試用版)
  • 管理デバイス環境:Android OS 14

 

 

Intune管理C アプリ展開設定

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[アプリ]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。

図表6-1 Intune管理センターのアプリ展開の設定へ

図表6-1 Intune管理センターのアプリ展開の設定へ

 

[追加]を選択し、アプリの種類で[マネージドGoogle Playアプリ]を選択し、画面下の[選択]を押します。

図表6-2 アプリ展開の設定(種類選択)

図表6-2 アプリ展開の設定(種類選択)

 

[Google Chrome]をします。

*対象アプリが表示されない場合は画面上部の検索欄でキーワード検索します

[選択]を押し、[同期]を選択します。

図表6-3 アプリ展開の設定(アプリ選択)

図表6-3 アプリ展開の設定(アプリ選択)

 

一覧画面に戻りましたら、[Google Chrome]と同じ要領で、以下アプリも追加します。

  • Googleドライブ
  • Microsoft 365(Office)
  • Microsoft Edge
  • Microsoft OneDrive
  • Microsoft Outlook
  • Microsoft Teams

一通り追加し終わりましたら、[Google Chrome]を選択します。

図表6-4 アプリ一覧画面(他アプリも同様に追加)

図表6-4 アプリ一覧画面(他アプリも同様に追加)

 

サブメニューの[管理>プロパティ]を選択し、[割り当て]の[編集]を選択します。

図表6-5 アプリ展開の設定(割り当てへ)

図表6-5 アプリ展開の設定(割り当てへ)

 

[割り当て]画面では、アプリ導入(必須・登録済任意・任意)と削除の対象ユーザーまたはデバイスを設定できます。
この例では、MS365は[必須]カテゴリ、他アプリは[登録済みデバイスで使用]カテゴリを使用し、[すべてのユーザーを追加する]を選択します
設定できたら[レビューと保存]を選択します。

図表6-6 アプリ展開の設定(割り当て)

図表6-6 アプリ展開の設定(割り当て)

 

設定内容を確認し、問題なければ[保存]を選択します。
左上の[Android|Androidのアプリ]を選択して、一覧画面に戻ります。

図表6-7 アプリ展開の設定(保存),一覧へ戻る

図表6-7 アプリ展開の設定(保存),一覧へ戻る

 

一覧画面に戻りましたら、[Google Chrome]と同じ要領で、以下アプリの割り当てを行います。

  • Googleドライブ
  • Microsoft 365(Office)
  • Microsoft Edge
  • Microsoft OneDrive
  • Microsoft Outlook
  • Microsoft Teams
*この例ではMS365のみ[必須]カテゴリにします

図表6-8 アプリ一覧画面(他アプリも同様に割り当て)

図表6-8 アプリ一覧画面(他アプリも同様に割り当て)

 

なお、アプリの展開状況の確認方法は、以前の記事のWindowsPCのデバイス管理で紹介した手順と同じですので、よろしければ参考にしてください。

 

Intune管理C アプリ保護ポリシー作成

Microsoft Intune管理センターの左メニューの[アプリ]を選択し、サブメニューの[ポリシー>アプリ保護ポリシー]を選択し、[ポリシーの作成>Android]を選択します。

図表7-1 Intune管理センターのアプリ保護ポリシーの設定へ

図表7-1 Intune管理センターのアプリ保護ポリシーの設定へ

 

[基本]画面でポリシーの名前を適宜入力し、[次へ]を選択します。
[アプリ]画面でポリシーの対象に[すべてのアプリ]を選択し、[次へ]を選択します。

図表7-2 アプリ保護ポリシーの設定(基本,アプリ)

図表7-2 アプリ保護ポリシーの設定(基本,アプリ)

 

前の記事の冒頭の要件に従い、[データ保護]画面で必要な項目を設定し、[次へ]を選択します。

  • データ転送>他のアプリに組織データを送信:ポリシーマネージドアプリ
  • データ転送>組織データのコピーを保存:ブロック
  • データ転送>選択したサービスにユーザーがコピーを保存することを許可:OneDrive for Business、SharePoint
  • データ転送>他のアプリとの間で切り取り、コピー、貼り付けを制限する:貼り付けを使用する、ポリシーマネージドアプリ
  • 暗号化>組織データを暗号化:必要
  • 暗号化>登録済みデバイスで組織データを暗号化:必要

図表7-3 アプリ保護ポリシーの設定(データ保護)

図表7-3 アプリ保護ポリシーの設定(データ保護)

 

[アクセス要件]画面では、PIN認証を不要に変更し、[次へ]を選択します。

*PIN認証はデフォルトでは必要ですが、モバイルアプリ利用のたびに要求されると煩わしすぎるため、あえて不要にしています

[条件付き起動]画面はこの例では特に変更せず、[次へ]を選択します。

図表7-4 アプリ保護ポリシーの設定(アクセス要件,条件付き起動)

図表7-4 アプリ保護ポリシーの設定(アクセス要件,条件付き起動)

 

[割り当て]画面で[グループを追加]を選択し、組織内メンバとシステム管理者のグループを選択し、[次へ]を選択します。
設定内容を確認し、問題なければ[作成]を選択します。

図表7-5 アプリ保護ポリシーの設定(割り当て,確認と作成)

図表7-5 アプリ保護ポリシーの設定(割り当て,確認と作成)

 

 

 

ユーザー操作 私有Androidデバイス 業務利用の初期設定

ここからは私有Androidデバイス使用者(この例ではシステム管理者)による、業務利用のための初期設定を進めます。


[Google Play ストア]アプリを起動し、検索欄に[company portal]と入力し、[Microsoft Intune ポータルサイトアプリ]が表示されたら、[インストール]を選択します。
インストールが完了したら、[開く]を選択します。
通知の確認メッセージが表示されたら、[許可]を選択します。

図表8-1 私有Androidユーザー初期設定(Intuneアプリ導入)

図表8-1 私有Androidユーザー初期設定(Intuneアプリ導入)

 

アプリが起動したら、[サインイン]を選択します。
Androidデバイス使用者の組織のアカウント名を入力し、[次へ]を入力します。
パスワードを入力し、[サインイン]を選択します。

図表8-2 私有Androidユーザー初期設定(Intuneサインイン)

図表8-2 私有Androidユーザー初期設定(Intuneサインイン)

 

多要素認証導入済の環境(以前の記事)であれば、ここで認証を求められます。
認証アプリを起動して承認処理を行います。
セットアップ画面が表示されたら、[開始]を選択します。

図表8-3 私有Androidユーザー初期設定(Intuneサインインの続き)

図表8-3 私有Androidユーザー初期設定(Intuneサインインの続き)

 

プライバシーに関するメッセージが表示されたら、[続行]を選択します。
[同意して続行]を選択します。
[次へ]を選択します。

図表8-4 私有Androidユーザー初期設定(Intuneセットアップ)

図表8-4 私有Androidユーザー初期設定(Intuneセットアップ)

 

[続行]を選択します。
完了メッセージが表示されたら、[完了]を選択します。
[了解]を選択します。

図表8-5 私有Androidユーザー初期設定(Intuneセットアップの続き)

図表8-5 私有Androidユーザー初期設定(Intuneセットアップの続き)

 

Company Portalの画面にこのスマホが表示されており、赤い警告マークがついています。これを選択します。
[このデバイスの設定を更新する必要があります]を選択します。
[このデバイスには、コンプライアンスポリシーが割り当てられていません]と表示されました。

図表8-6 私有Androidユーザー初期設定(コンプライアンスポリシーに関する警告)

図表8-6 私有Androidユーザー初期設定(コンプライアンスポリシーに関する警告)

コンプライアンスポリシーを割り当てるには、Microsoft Intune管理センターかMicrosoft Entra管理センターで私有Androidのデバイスグループに登録する必要があります(システム管理者作業)。その後、コンプライアンスポリシーのチェックで準拠済になれば組織のアプリを使用できるようになります。怪しいデバイスを組織のアプリに接続させないためにこのようにしています。

 

Entra管理C 私有Androidデバイスグループ登録

Webブラウザーより、Microsoft Entra管理センターにアクセスし、左メニューの[デバイス>すべてのデバイス]を選択します。前の工程で初期設定した私有Androidデバイスが非準拠の状態で表示されます。このデバイス名を覚えておきます。

*Intune管理センターからでも作業できますが、Entra管理センターより状態の反映に若干時間がかかるように感じますので、後者を使用しています

図表9-1 Entra管理センターの私有Androidデバイスグループへのメンバー登録へ

図表9-1 Entra管理センターの私有Androidデバイスグループへのメンバー登録へ

 

左メニューの[グループ>すべてのグループ]を選択し、前の記事の工程2で作成した私有Androidデバイスグループを選択します。
サブメニューの[管理>メンバー]を選択し、[メンバーの追加]を選択します。

図表9-2 私有Androidデバイスグループへのメンバー登録(追加)

図表9-2 私有Androidデバイスグループへのメンバー登録(追加)

 

[デバイス]タブを選択し、図表9-1のデバイス一覧画面で確認した私有Androidデバイスを選択します。

図表9-3 私有Androidデバイスグループへのメンバー登録(デバイス選択)

図表9-3 私有Androidデバイスグループへのメンバー登録(デバイス選択)

 

私有Androidのデバイスグループ登録が完了しました。
15分位経ってから、再びデバイス一覧画面にアクセスすると、コンプライアンスポリシーのチェックで問題がなければ、私有Androidデバイスの状態が非準拠から準拠済に変わっています。

図表9-4 メンバー登録後の確認

図表9-4 メンバー登録後の確認

 

ユーザー操作 私有Androidデバイス 組織アプリ導入、動作確認

再び私有Androidデバイス使用者(この例ではシステム管理者)による作業に戻ります。


ホーム画面でホームボタンをタップまたは下から上にスワイプすると、個人用/仕事用のプロファイルが表示されます。[仕事用]の[Playストア]を選択します。
組織のアプリが表示されます。導入必須としたMS365はインストール済になっています。ここではOutlookを選択します。
[インストール]を選択します。

図表10-1 私有Androidユーザーアプリ導入(任意アプリ導入)

図表10-1 私有Androidユーザーアプリ導入(任意アプリ導入)

 

インストールが完了したら、[開く]を選択します。
Outlookが起動したら、[アカウントを追加してください]を選択します。
組織のアカウントが検出されますので、これにチェックをつけ、[続行]を選択します。

図表10-2 私有Androidユーザーアプリ導入(任意アプリ導入の続き)

図表10-2 私有Androidユーザーアプリ導入(任意アプリ導入の続き)

 

多要素認証導入済の環境であれば、ここで認証を求められます。
認証アプリを起動して承認処理を行います。
[別のアカウントを追加]画面が表示されたら、[後で]を選択します。

図表10-3 私有Androidユーザーアプリ導入(サインイン)

図表10-3 私有Androidユーザーアプリ導入(サインイン)

 

[続行]を選択します。
通知の確認については、[いいえ]を選択します(どちらでも構いませんが)。
アプリの初回アクセス時は、確認メッセージやナビゲーターが色々出て少々煩わしいですが、適宜選択して先に進めます。
アプリの初期設定が完了したら、使用できる状態になります。
他に必要なアプリがあれば、同じ要領で導入します。

図表10-4 私有Androidユーザーアプリ導入(初期設定)

図表10-4 私有Androidユーザーアプリ導入(初期設定)

 

アプリ保護ポリシーで組織アプリ外へのデータ共有を規制する設定を行いました。参考まで、その挙動をMS365アプリを使って紹介します。


MS365アプリ上でWord文書を作成し、Word文書の三点マークから[共有]を選択します。
[仕事用]のアプリへの共有は可能ですが、[個人用]のアプリへの共有は不可となっていることが分かります。

図表10-5 私有Androidユーザーアプリ導入(組織外データ共有禁止の挙動)

図表10-5 私有Androidユーザーアプリ導入(組織外データ共有禁止の挙動)

 

こちらも参考までのご紹介です。
図表10-1の左の画面に表示されていた、[仕事用アプリを一時停止]を選択すると、仕事用の全アプリの通知を止めることができ、[停止解除]を選択すれば通知を再開できます。業務時間内/外で簡単に切り替えができて便利です。

図表10-6 仕事用プロファイルのオフ/オン設定

図表10-6 仕事用プロファイルのオフ/オン設定

 

おわりに

私有デバイスの業務利用は、組織が貸与するデバイス以上にセキュリティの設定に気を遣い、導入を躊躇われるものかと思います。しかし、私有デバイスと組織貸与デバイスの二台持ちにならず身軽な点や、使い慣れた機種・好きな機種を使用できる点などの利便性に関するメリットもあります。

 

Microsoft Intuneで細かいセキュリティ設定ができますので、それを把握した上で導入を検討するのも良いと思います。特にコンプライアンスポリシーとアプリ保護ポリシーについては、情報漏洩リスクと利便性を考慮しながら、設定と動作確認を繰り返し、要件を微調整することをお奨めします。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com

 

当ブログ内の関連記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com

elmgrn.hatenablog.com

elmgrn.hatenablog.com