Intune でのアプリ保護ポリシーの展開のトラブルシューティング

この記事は、MICROSOFT Intune でアプリ保護ポリシー (APP) を適用する際の問題を IT 管理者が理解し、トラブルシューティングするのに役立ちます。 状況に適用されるセクションの指示に従います。 アプリ保護ポリシーのユーザーの問題のトラブルシューティングアプリ間のデータ転送のトラブルシューティングなど、アプリ関連のその他のトラブルシューティング ガイダンスについては、このガイドを参照。

開始する前に

トラブルシューティングを開始する前に、いくつかの基本的な情報を収集して、問題をよりよく理解し、解決策を見つける時間を短縮してください。

次の背景情報を収集します。

• 適用されるポリシー設定と適用されないポリシー設定 ポリシーは適用されますか?
• ユーザー エクスペリエンスとは ユーザーが対象アプリをインストールして起動しましたか?
• 問題が発生し始めた時期 アプリ保護は機能したことがありますか?
• 問題があるプラットフォーム (Android または iOS) はどれですか?
• 何人のユーザーが影響を受けていますか? すべてのユーザーが影響を受けるか、一部のユーザーのみが影響を受けるか。
• 影響を受けるデバイスの数は? すべてのデバイスまたは一部のデバイスのみが影響を受けるか。
• Intune アプリ保護ポリシーではモバイル デバイス管理 (MDM) サービスは必要ありませんが、影響を受けるユーザーは Intune またはサード パーティの MDM ソリューションを使用していますか?
• すべての管理対象アプリまたは特定のアプリのみが影響を受けるか。 たとえば、 Intune App SDK を使用して構築された基幹業務 (LOB) アプリは影響を受けますが ストア アプリは影響を受けますか。
• Intune 以外の管理サービスはデバイスで使用されていますか?

上記の情報を設定すると、トラブルシューティングを開始できます。

推奨される調査フロー

アプリ保護ポリシーの展開を成功させるには、設定とその他の依存関係の適切な構成が必要です。 Intune APP に関する一般的な問題を調査するための推奨されるフローは次のとおりです。これについては、この記事で詳しく確認します。

1. アプリ保護ポリシーを展開するための前提条件を満たしていることを確認します。
2. アプリ保護ポリシーの状態を確認し、ターゲット設定を確認。
3. ユーザーが対象になっていることを確認します。
4. マネージド アプリが対象になっていることを確認します。
5. ユーザーが対象の企業アカウントを使用して影響を受けるアプリケーションにサインインしたことを確認します。
6. デバイス データの収集。

手順 1: アプリ保護ポリシーの前提条件を確認する

トラブルシューティングの最初の手順は、すべての前提条件が満たされているかどうかを確認することです。 Intune APP は MDM ソリューションに関係なく使用できますが、次の前提条件を満たす必要があります。

• ユーザーには Intune ライセンスが割り当てられている必要があります。

• ユーザーは、アプリ保護ポリシーの対象となるセキュリティ グループに属している必要があります。 同じアプリ保護ポリシーは、使用されている特定のアプリを対象にする必要があります。

• Android デバイスの場合、アプリ保護ポリシーを受け取るためにポータル サイト アプリが必要です。

• Word、Excel、または PowerPoint アプリを使用する場合は、次の追加要件を満たす必要があります。

  • ユーザーは、 Microsoft 365 Apps for business または enterprise のライセンスを持っている必要があります ユーザーの Microsoft Entra アカウントにリンクされています。 サブスクリプションにはモバイル デバイス上のOffice アプリが含まれている必要があり、OneDrive for Business を持つクラウド ストレージ アカウントを含めることができます。 Microsoft 365 ライセンスは、Microsoft 365 管理センターの手順従って割り当てることができます。
  • ユーザーには、詳細な 名前を付けて保存する機能を使用して構成された管理された場所 必要があります。 このコマンドは、 組織データのコピーの保存 アプリケーション保護ポリシー設定の下にあります。 たとえば、管理されている場所がOneDrive場合は、ユーザーの Word、Excel、またはPowerPoint アプリで OneDrive アプリを構成する必要があります。
  • 管理対象の場所が OneDrive の場合、アプリはユーザーに展開されているアプリ保護ポリシーの対象にする必要があります。

  Note

  現在、Office モバイル アプリは SharePoint Online のみをサポートしており、オンプレミスの SharePoint はサポートしていません。

• Intune アプリ保護ポリシーをオンプレミス リソース (Microsoft Skype for Business および Microsoft Exchange Server) と共に使用する場合は、Skype for Business および Exchange Hybrid 先進認証を有効にする必要があります。

手順 2: アプリ保護ポリシーの状態を確認する

アプリ保護ポリシーの状態を理解するには、次の詳細を確認します。

• 影響を受けるデバイスからユーザーのチェックインが行われていますか?
• 問題のシナリオのアプリケーションは、対象のポリシーを使用して管理されていますか?
• ポリシー配信のタイミングが想定される動作内にあることを確認します。 詳細については、 アプリ保護ポリシーの配信タイミングを参照してください。

詳細情報を取得するには、次の手順に従います。

1. Microsoft Intune 管理センターにサインインします。
2. Apps>Monitor>アプリ保護 status を選択し、割り当てられたユーザー タイルを選択します。
3. [ App reporting ページで、 ユーザーの選択 を選択して、ユーザーとグループの一覧を表示します。
4. 影響を受けるユーザーのいずれかを一覧から検索して選択し、 ユーザーの選択を選択します。 [アプリレポート] ページの上部で、ユーザーがアプリ保護のライセンスを取得していて、Microsoft 365 のライセンスを持っているかどうかを確認できます。 また、すべてのユーザーのデバイスのアプリの状態を確認することもできます。
5. 対象となるアプリ、デバイスの種類、ポリシー、デバイスのチェックイン状態、最終同期時刻などの重要な情報を書き留めておきます。

詳細については、「 Microsoft Intune でアプリ保護ポリシーのセットアップを検証する方法を参照してください。

手順 3: ユーザーが対象になっていることを確認する

Intune アプリ保護ポリシーは、ユーザーを対象とする必要があります。 アプリ保護ポリシーをユーザーまたはユーザー グループに割り当てない場合、ポリシーは適用されません。

対象ユーザーにポリシーが適用されていることを確認するには、次の手順に従います。

1. Microsoft Intune 管理センターにサインインします。
2. Apps>Monitor>アプリ保護 status を選択し、(デバイス OS プラットフォームに基づいて) ユーザーの状態 タイルを選択します。 開いた [ App reporting ウィンドウで、 ユーザーの選択 を選択してユーザーを検索します。
3. 一覧からユーザーを選択します。 そのユーザーの詳細を確認できます。 新しい対象ユーザーがレポートに表示されるまでに最大 24 時間かかる場合があることに注意してください。

ユーザー グループにポリシーを割り当てるときは、ユーザーがユーザー グループ内にあることを確認します。 これを行うには、次の手順を実行します。

1. Microsoft Intune 管理センターにサインインします。
2. グループ >すべてのグループを選択し、アプリ保護ポリシーの割り当てに使用するグループを検索して選択します。
3. [ Manage セクションで、 Members を選択します。
4. 影響を受けるユーザーが一覧にない場合は、Microsoft Entra グループおよびグループ メンバーシップ ルールを使用して、管理アプリとリソース アクセスを確認します。 影響を受けるユーザーがグループに含まれていることを確認します。
5. 影響を受けるユーザーがポリシーの除外されたグループに含まれていないことを確認します。

手順 4: マネージド アプリが対象になっていることを確認する

Intune アプリ保護ポリシーを構成する場合、対象アプリは Intune App SDK を使用する必要があります。 そうしないと、アプリ保護ポリシーが正しく機能しない可能性があります。

対象のアプリが Microsoft Intune で保護されたアプリに表示されていることを確認します。 LOB またはカスタム アプリの場合は、アプリで最新バージョンの Intune App SDK が使用されていることを確認します。

iOS の場合、各バージョンには、これらのポリシーの適用方法とその機能に影響する修正プログラムが含まれているため、この方法が重要です。 詳細については、「 Intune App SDK iOS リリースを参照してください。 Android ユーザーは、ポリシー ブローカー エージェントとして動作するため、ポータル サイト アプリの最新バージョンがインストールされている必要があります。

手順 5: 対象の企業アカウントを使用して、影響を受けるアプリケーションにユーザーがサインインしたことを確認する

一部のアプリはユーザーのサインインなしで使用できますが、Intune APP を使用してアプリを正常に管理するには、ユーザーが会社の資格情報を使用してアプリにサインインする必要があります。 Intune アプリ保護ポリシーでは、ユーザーの ID がアプリと Intune App SDK の間で一貫している必要があります。 影響を受けるユーザーが会社のアカウントを使用してアプリに正常にサインインしていることを確認します。

ほとんどのシナリオでは、ユーザーは自分のユーザー プリンシパル名 (UPN) を使用して自分のアカウントにサインインします。 ただし、一部の環境 (オンプレミスのシナリオなど) では、ユーザーは他の形式のサインイン資格情報を使用する場合があります。 このような場合、アプリで使用される UPN が Microsoft Entra ID の UPN オブジェクトと一致しない場合があります。 この問題が発生すると、アプリ保護ポリシーは想定どおりに適用されません。

Microsoft の推奨されるベスト プラクティスは、UPN とプライマリ SMTP アドレスを照合することです。 この方法により、ユーザーは一貫性のある ID を持つことで、マネージド アプリ、Intune アプリ保護、およびその他の Microsoft Entra リソースにログインできます。 詳細については、「 Microsoft Entra UserPrincipalName population を参照してください。

この一貫性を保証する唯一の方法は、先進認証を使用することです。 最新の認証なしでオンプレミスの構成でアプリが動作するシナリオがあります。 ただし、結果は一貫性も保証もされません。

お使いの環境で代替のサインイン方法が必要な場合は、「代替ログイン ID の構成(特に代替 ID を使用した先進認証のハイブリッド認証を参照してください。

手順 6: Microsoft Edge を使用してデバイス データを収集する

ユーザーと協力して、実行しようとしている操作と実行している手順に関する詳細を収集します。 ユーザーに、動作のスクリーンショットまたはビデオ録画を収集するように依頼します。 これは、実行されている明示的なデバイス アクションを明確にするのに役立ちます。 次に、デバイス上の Microsoft Edge を介してマネージド アプリ ログを収集します。

iOS または Android デバイスに Microsoft Edge がインストールされているユーザーは、Microsoft が公開したすべてのアプリの管理状態を表示できます。 次の手順を使用して、トラブルシューティングに役立つログを送信できます。

1. デバイスで iOS および Android 用の Microsoft Edge を開きます。
2. アドレス バーに、「 about:intunehelp」と入力します。
3. iOS および Android 用の Microsoft Edge がトラブルシューティング モードで起動します。

この画面から、デバイスに関する 2 つのオプションとデータが表示されます。

[Intune アプリの状態 表示 を選択してアプリの一覧を表示します。 特定のアプリを選択すると、デバイスで現在アクティブになっているアプリに関連付けられているアプリ設定が表示されます。

特定のアプリに対して表示される情報がアプリのバージョンに制限され、ポリシー チェックイン タイムスタンプと共にバンドルされている場合は、デバイス上のそのアプリに現在ポリシーが適用されていないことを意味します。

Get Started オプションを使用すると、APP 対応アプリケーションに関するログを収集できます。 アプリ保護ポリシーのサポート チケットを Microsoft で開いた場合は、可能であれば、影響を受けるデバイスからこれらのログを常に提供する必要があります。 Android 固有の手順については、「 アップロードと電子メール ログを参照してください。

Intune 診断 (APP) ログに格納されている設定の一覧については、「 Review クライアント アプリ保護ログを参照してください。

その他のトラブルシューティング シナリオ

APP の問題のトラブルシューティングを行うときは、次の一般的なシナリオを確認してください。 Common データ転送の問題のシナリオを確認することもできます。

シナリオ: ポリシーの変更が適用されない

Intune App SDK では、ポリシーの変更が定期的にチェックされます。 ただし、次のいずれかの理由により、このプロセスが遅れる可能性があります。

• アプリがサービスにチェックインされていません。
• ポータル サイト アプリがデバイスから削除されました。

Intune アプリ保護ポリシーは、ユーザー ID に依存します。 そのため、アプリに対して職場または学校アカウントを使用する有効なログインと、サービスへの一貫した接続が必要です。 ユーザーがアプリにサインインしていない場合、またはポータル サイト アプリがデバイスから削除されている場合、ポリシーの更新は適用されません。

アプリ保護の状態を確認するには、次の手順に従います。

1. Microsoft Intune 管理センターにサインインします。
2. Apps>Monitor>アプリ保護 status を選択し、割り当てられたユーザー タイルを選択します。
3. [アプリ レポート] ページで、 ユーザーの選択 を選択して、ユーザーとグループの一覧を開きます。
4. 影響を受けるユーザーのいずれかを一覧から検索して選択し、 ユーザーの選択を選択します。
5. 状態や最終同期時刻など、現在適用されているポリシーを確認します。
6. 状態が チェックインされていない場合、または最近の同期が行われなかったことが表示された場合は、ユーザーが一貫したネットワーク接続を持っているかどうかを確認します。 Android ユーザーの場合は、最新バージョンの ポータル サイト アプリがインストールされていることを確認します。

Intune アプリ保護ポリシーには、マルチ ID のサポートが含まれます。 Intune では、アプリにサインインしている職場または学校アカウントにのみアプリ保護ポリシーを適用できます。 ただし、デバイスごとに 1 つの職場または学校アカウントのみがサポートされます。

シナリオ: Intune に登録された iOS デバイスに追加の構成が必要

アプリ保護ポリシーを作成するときは、すべてのアプリの種類または次のアプリの種類を対象にすることができます。

• アンマネージド デバイス上のアプリ
• Intune で管理されているデバイス上のアプリ
• Android の個人所有の仕事用プロファイル内のアプリ

iOS Intune で管理されているデバイスのみを対象としている場合は、アプリ保護ポリシーと共に、次の追加 アプリ構成設定 を対象にする必要があります。

• IntuneMAMUPN および IntuneMAMOID は、すべての MDM (Intune またはサード パーティの EMM) マネージド アプリケーションに対して構成する必要があります。 詳細については、「 Microsoft Intune またはサード パーティの EMM のユーザー UPN 設定を構成するを参照してください。
• IntuneMAMDeviceID は、すべてのサード パーティおよび LOB MDM で管理されるアプリケーション用に構成する必要があります。
• IntuneMAMDeviceID デバイス ID トークンとして構成する必要があります。 たとえば、key=IntuneMAMDeviceID、value={{deviceID}。 詳細については、「 管理対象 iOS デバイス用のアプリ構成ポリシーを追加する」を参照してください。
• IntuneMAMDeviceID値のみが構成されている場合、Intune APP はデバイスをアンマネージドと見なします。

次のステップ

• アプリ保護ポリシーのユーザーに関する問題のトラブルシューティング
• MAM とアプリの保護に関してよく寄せられる質問
• Microsoft Intune でアプリ保護ポリシーの設定を検証する