前の記事の続きになります。
- MS Intune管理センターでアプリ展開の設定を行う
- MS Intune管理センターでアプリ保護ポリシーを作成する
- ユーザー操作:私有Androidデバイスで業務利用の初期設定を行う
- MS Entra管理センターで私有Androidのデバイスグループ登録を行う
- ユーザー操作:私有Androidデバイスに組織アプリを導入し、動作確認する
- おわりに
MS Intune管理センターでアプリ展開の設定を行う
WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[アプリ]を選択し、サブメニューの[プラットフォーム別>Android]を選択します。
※Microsoft Intune管理センター:Microsoft Intune admin center
[追加]を選択し、アプリの種類で[マネージドGoogle Playアプリ]を選択し、画面下の[選択]を押します。
[Google Chrome]をします。
※対象アプリが表示されない場合は画面上部の検索欄でキーワード検索します。
[選択]を押し、[同期]を選択します。
一覧画面に戻りましたら、[Google Chrome]と同じ要領で、以下アプリも追加します。
・Googleドライブ
・Microsoft 365(Office)
・Microsoft Edge
・Microsoft OneDrive
・Microsoft Outlook
・Microsoft Teams
一通り追加し終わりましたら、[Google Chrome]を選択します。
サブメニューの[管理>プロパティ]を選択し、[割り当て]の[編集]を選択します。
[割り当て]画面では、アプリ導入(必須・登録済任意・任意)と削除の対象ユーザーまたはデバイスを設定できます。
この例では、MS365は[必須]カテゴリ、他アプリは[登録済みデバイスで使用]カテゴリを使用し、[すべてのユーザーを追加する]を選択します。
設定できたら[レビューと保存]を選択します。
設定内容を確認し、問題なければ[保存]を選択します。
左上の[Android|Androidのアプリ]を選択して、一覧画面に戻ります。
一覧画面に戻りましたら、[Google Chrome]と同じ要領で、以下アプリの割り当てを行います。
・Googleドライブ
・Microsoft 365(Office)
・Microsoft Edge
・Microsoft OneDrive
・Microsoft Outlook
・Microsoft Teams
※この例ではMS365のみ[必須]カテゴリにします
なお、アプリの展開状況の確認方法は、以前の記事のWindowsPCのデバイス管理で紹介した手順と同じですので、よろしければ参考にしてください。
MS Intune管理センターでアプリ保護ポリシーを作成する
Microsoft Intune管理センターの左メニューの[アプリ]を選択し、サブメニューの[ポリシー>アプリ保護ポリシー]を選択し、[ポリシーの作成>Android]を選択します。
[基本]画面でポリシーの名前を適宜入力し、[次へ]を選択します。
[アプリ]画面でポリシーの対象に[すべてのアプリ]を選択し、[次へ]を選択します。
前の記事の冒頭の要件に従い、[データ保護]画面で必要な項目を設定し、[次へ]を選択します。
[アクセス要件]画面では、PIN認証を不要に変更し、[次へ]を選択します。
※PIN認証はデフォルトでは必要ですが、モバイルアプリ利用のたびに要求されると煩わしすぎるため、あえて不要にしています
[条件付き起動]画面はこの例では特に変更せず、[次へ]を選択します。
[割り当て]画面で[グループを追加]を選択し、組織内メンバとシステム管理者のグループを選択し、[次へ]を選択します。
設定内容を確認し、問題なければ[作成]を選択します。
ユーザー操作:私有Androidデバイスで業務利用の初期設定を行う
ここからは私有Androidデバイス使用者(この例ではシステム管理者)による、業務利用のための初期設定を進めます。
[Google Play ストア]アプリを起動し、検索欄に[company portal]と入力し、[Microsoft Intune ポータルサイトアプリ]が表示されたら、[インストール]を選択します。
インストールが完了したら、[開く]を選択します。
通知の確認メッセージが表示されたら、[許可]を選択します。
アプリが起動したら、[サインイン]を選択します。
Androidデバイス使用者の組織のアカウント名を入力し、[次へ]を入力します。
パスワードを入力し、[サインイン]を選択します。
多要素認証導入済の環境(以前の記事)であれば、ここで認証を求められます。
認証アプリを起動して承認処理を行います。
セットアップ画面が表示されたら、[開始]を選択します。
プライバシーに関するメッセージが表示されたら、[続行]を選択します。
[同意して続行]を選択します。
[次へ]を選択します。
[続行]を選択します。
完了メッセージが表示されたら、[完了]を選択します。
[了解]を選択します。
Company Portalの画面にこのスマホが表示されており、赤い警告マークがついています。これを選択します。
[このデバイスの設定を更新する必要があります]を選択します。
[このデバイスには、コンプライアンスポリシーが割り当てられていません]と表示されました。
コンプライアンスポリシーを割り当てるには、Microsoft Intune管理センターかMicrosoft Entra管理センターで私有Androidのデバイスグループに登録する必要があります。その後、コンプライアンスポリシーのチェックで準拠済になれば組織のアプリを使用できるようになります。怪しいデバイスを組織のアプリに接続させないためにこのようにしています。
MS Entra管理センターで私有Androidのデバイスグループ登録を行う
Webブラウザーより、Microsoft Entra管理センターにアクセスし、左メニューの[デバイス>すべてのデバイス]を選択します。前の工程で初期設定した私有Androidデバイスが非準拠の状態で表示される筈です。このデバイス名を覚えておきます。
※Microsoft Entra管理センター:Microsoft Entra admin center
※Intune管理センターからでも作業できますが、Entra管理センターより状態の反映に若干時間がかかるように感じますので、後者を使用しています
左メニューの[グループ>すべてのグループ]を選択し、前の記事の工程2で作成した私有Androidデバイスグループを選択します。
サブメニューの[管理>メンバー]を選択し、[メンバーの追加]を選択します。
[デバイス]タブを選択し、先ほどデバイス一覧画面で確認した私有Androidデバイスを選択します。
私有Androidのデバイスグループ登録が完了しました。
15分位経ってから、再びデバイス一覧画面にアクセスすると、コンプライアンスポリシーのチェックで問題がなければ、私有Androidデバイスの状態が非準拠から準拠済に変わっている筈です。
ユーザー操作:私有Androidデバイスに組織アプリを導入し、動作確認する
再び私有Androidデバイス使用者(この例ではシステム管理者)による作業に戻ります。
ホーム画面でホームボタンをタップまたは下から上にスワイプすると、個人用/仕事用のプロファイルが表示されます。[仕事用]の[Playストア]を選択します。
組織のアプリが表示されます。導入必須としたMS365はインストール済になっています。ここではOutlookを選択します。
[インストール]を選択します。
インストールが完了したら、[開く]を選択します。
Outlookが起動したら、[アカウントを追加してください]を選択します。
組織のアカウントが検出されますので、これにチェックをつけ、[続行]を選択します。
多要素認証導入済の環境であれば、ここで認証を求められます。
認証アプリを起動して承認処理を行います。
[別のアカウントを追加]画面が表示されたら、[後で]を選択します。
[続行]を選択します。
通知の確認については、[いいえ]を選択します(どちらでも構いませんが)。
アプリの初回アクセス時は、確認メッセージやナビゲーターが色々出て少々煩わしいかもしれませんが、適宜選択して先に進めます。
アプリの初期設定が完了したら、使用できる状態になります。
他に必要なアプリがあれば、同じ要領で導入します。
参考まで、アプリ保護ポリシーで組織アプリ外へのデータ共有を規制する設定を行いましたが、その挙動をMS365アプリを使って紹介します。
MS365アプリ上でWord文書を作成し、Word文書の三点マークから[共有]を選択します。
[仕事用]のアプリへの共有は可能ですが、[個人用]のアプリへの共有は不可となっていることが分かります。
こちらも参考までのご紹介です。この工程の一番最初の画面に表示されていた、[仕事用アプリを一時停止]を選択すると、仕事用の全アプリの通知を止めることができ、[停止解除]を選択すれば通知を再開できます。業務時間内/外で簡単に切り替えができて便利です。
おわりに
私有デバイスの業務利用は、組織が貸与するデバイス以上にセキュリティの設定に気を遣い、導入を躊躇われるものかと思います。しかし、私有デバイスと組織貸与デバイスの二台持ちにならず身軽な点や、使い慣れた機種・好きな機種を使用できる点などの利便性に関するメリットもあります。
Microsoft Intuneで細かいセキュリティ設定ができますので、それを把握した上で導入を検討するのも良いと思います。特にコンプライアンスポリシーとアプリ保護ポリシーについては、情報漏洩リスクと利便性を考慮しながら、設定と動作確認を繰り返し、要件を微調整することをお奨めします。