Microsoft Intune アプリ SDK の概要
iOS と Android の両方で使用できる Intune App SDK を使用すると、アプリでIntuneアプリ保護ポリシーをサポートできます。 アプリにアプリ保護ポリシーが適用されると、アプリは Intune で管理できるようになり、Intune に管理対象アプリとして認識されます。 SDK は、アプリ開発者に必要なコード変更の量を最小限に抑えるように努めています。 アプリの動作を変更することなく、SDK のほとんどの機能を有効にできることがわかります。 エンド ユーザーと IT 管理者のエクスペリエンスを強化するために、SDK の API を利用してアプリの動作をカスタマイズし、アプリの参加を必要とする機能をサポートできます。
アプリでアプリ保護ポリシーをサポートIntune有効にすると、IT 管理者はこれらのポリシーをデプロイして、アプリ内の企業データを保護できます。
アプリ保護機能
SDK で有効にできるIntuneアプリ保護機能の例を次に示します。
企業ファイルを移動するユーザーの機能を制御する
IT 管理者は、アプリ内の職場または学校のデータを移動できる場所を制御できます。 たとえば、アプリが企業データをクラウドにバックアップできないようにするポリシーをデプロイできます。
クリップボードの制限を構成する
IT 管理者は、Intuneマネージド アプリでクリップボードの動作を構成できます。 たとえば、エンド ユーザーがアプリからデータを切り取ったりコピーしたり、管理されていない個人用アプリに貼り付けたりできないようにポリシーをデプロイできます。
保存されたデータに暗号化を適用する
IT 管理者は、アプリによってデバイスに保存されたデータが確実に暗号化されるようにポリシーを適用できます。
企業データをリモートでワイプする
IT 管理者は、Intuneマネージド アプリから企業データをリモートでワイプできます。 この機能は ID ベースであり、エンド ユーザーの企業 ID に関連付けられているファイルのみを削除します。 そのためには、この機能にはアプリの参加が必要です。 アプリでは、ユーザー設定に基づいてワイプを実行する ID を指定できます。 これらの指定されたユーザー設定がアプリに存在しない場合、既定の動作は、アプリケーション ディレクトリをワイプし、アクセスが削除されたことをエンド ユーザーに通知することです。
マネージド ブラウザーの使用を強制する
IT 管理者は、アプリ内の Web リンクを Microsoft Edge アプリで強制的に開くことができます。 この機能により、企業環境に表示されるリンクは、Intuneマネージド アプリのドメイン内に保持されます。
PIN ポリシーを適用する
IT 管理者は、アプリ内の企業データにアクセスする前に、エンド ユーザーに PIN の入力を要求できます。 これにより、アプリを使用しているユーザーが、職場または学校アカウントで最初にサインインしたユーザーと同じになります。 エンド ユーザーが PIN を構成すると、Intune App SDK は Microsoft Entra ID を使用して、登録されているIntune アカウントに対するエンド ユーザーの資格情報を検証します。
ユーザーがアプリにアクセスするために職場または学校アカウントでサインインすることを要求する
IT 管理者は、ユーザーが職場または学校アカウントでサインインしてアプリにアクセスすることを要求できます。 Intune App SDK では、Microsoft Entra IDを使用してシングル サインオン エクスペリエンスを提供します。ここで、入力した資格情報は後続のログインで再利用されます。 また、Microsoft Entra IDとフェデレーションされた ID 管理ソリューションの認証もサポートしています。
デバイスの正常性とコンプライアンスを確認する
IT 管理者は、エンド ユーザーがアプリにアクセスする前に、デバイスの正常性とIntune ポリシーへの準拠をチェックできます。 iOS/iPadOS では、このポリシーはデバイスが脱獄されているかどうかを確認します。 Android では、このポリシーはデバイスがルート化されているかどうかを確認します。
マルチ ID のサポート
マルチ ID サポートは、ポリシーで管理された (企業) アカウントとアンマネージド (個人用) アカウントを 1 つのアプリで共存できるようにする SDK の機能です。
たとえば、多くのユーザーは、iOS と Android 用の Office モバイル アプリで企業と個人の両方のメール アカウントを構成します。 ユーザーが自分の会社のアカウントでデータにアクセスする場合、IT 管理者はアプリ保護ポリシーが適用されることを確信している必要があります。 ただし、ユーザーが個人のメール アカウントにアクセスする場合、そのデータは IT 管理者の制御の範囲外である必要があります。 Intune App SDK は、アプリの企業 ID のみにアプリ保護ポリシーをターゲットにすることでこれを実現します。
マルチ ID 機能は、個人アカウントと職場アカウントの両方をサポートするストア アプリで組織が直面するデータ保護の問題を解決するのに役立ちます。
デバイス登録なしのアプリ保護
重要
デバイス登録を使用しないIntuneアプリ保護は、Intune アプリ ラッピング ツール、Intune App SDK for Android、Intune App SDK for iOS、Intune App SDK Xamarin Bindings で使用できます。
個人用デバイスを持つ多くのユーザーは、モバイル デバイス管理 (MDM) プロバイダーに個人用デバイスを登録せずに企業データにアクセスしたいと考えています。 MDM 登録ではデバイスをグローバルに制御する必要があるため、ユーザーは個人用デバイスの制御を会社に渡すのをためらうことがよくあります。
デバイス登録なしでアプリ保護すると、Microsoft Intune サービスは、デバイス管理チャネルを使用してポリシーを展開することなく、アプリ保護ポリシーをアプリに直接デプロイできます。