アプリ間のデータ転送のトラブルシューティング
この記事では、データ転送を許可するように設計された Microsoft Intune アプリ保護ポリシー (APP) が意図したとおりに機能しないシナリオのトラブルシューティング ガイダンスを提供します。 Intune APP の最も一般的な用途は、データ保護、APP マネージド アプリケーション (アプリ) 間の企業データの転送の制御、およびアンマネージド アプリへのデータ転送の制限です。 たとえば、ユーザーは、会社のデータを Microsoft Outlook アプリから Microsoft Excel アプリ (両方ともポリシーで管理) に転送できますが、Dropbox モバイル アプリ (アンマネージド アプリ) には転送できません。
Intune APP をデータ保護に適用すると、Outlook や Teams などの管理対象アプリ間でユーザーがデータを転送できないという大きな予期しない動作が発生します。 このようなシナリオでは、この記事のトラブルシューティング手順を使用して、問題の診断と解決に役立ちます。 一般的なアプリのトラブルシューティングについては、「 Intune でのアプリ保護ポリシーの展開のトラブルシューティングを参照してください。
サポートされているプラットフォーム、OS バージョン、アプリを使用していることを確認する
アプリ保護ポリシーを使用するための前提条件を満たしていることを確認します。 サポートされているプラットフォーム、オペレーティング システム (OS) のバージョン、アプリにはいくつかの要件があります。
サポートされているプラットフォーム: アプリ保護 ポリシーは、iOS、iPadOS、Android でサポートされています。 ただし、共有 iPad デバイスAndroid Enterprise 専用デバイスはサポートされていません。
サポートされている OS のバージョン: サポートされている OS とバージョンを使用していることを確認します。 Intune でサポートされているオペレーティング システムとブラウザー で説明されているように、アプリ保護ポリシーの特別なバージョン要件に注意。 サポートされているオペレーティング システムは時間の経過と同時に変更され、古いバージョンはサポートされなくなります。 また、OS が使用する各アプリの要件を満たしていることを確認します。
サポートされているアプリ: アプリ保護ポリシーをサポートするには、 Microsoft Intune App SDK と統合する必要があります。 サポートされている Microsoft アプリケーションとパートナー アプリケーションの一覧については、「 Microsoft Intune で保護されたアプリを参照してください。
アカウントが企業アカウントであり、ファイルが企業データであることを確認する
Intune アプリ保護ポリシー (APP) のスコープは、会社のアカウントとデータのみを対象としています。 APP を使用して個人用アカウントを保護したり、個人データの転送を管理したりすることはできません。 APP を正しく適用するには、マネージド アプリへのサインインに使用しているアカウントが企業アカウントであり、共有しようとしているデータが企業データであることを確認する必要があります。 次の項目を確認してください。
企業アカウント: ユーザー アカウントは会社の Microsoft Entra テナントに属し、企業アカウントと見なされます。 これらのアカウントは、Microsoft Entra Connect を使用してオンプレミスの Active Directoryと同期できます。 APP を使用するには、Intune ライセンスをユーザーに割り当てる必要があります。
企業データ: OneDrive for Business や SharePoint Online などの管理された場所に格納されているデータは、企業データと見なされます。 個人のローカル ストレージの場所に格納されているデータは、企業データとして扱われません。 管理された Microsoft Office アプリ (Word や Excel など) で作成されたファイルは、管理された場所 (OneDrive for Business および SharePoint Online) に保存されている場合にのみ、企業データと見なされます。 Office ファイルを OneDrive for Business に保存すると、そのファイルは企業データとして扱われます。 ローカル ストレージまたはその他の管理されていない場所に保存されたファイルは、個人データとして扱われ、APP によって保護されません。 Microsoft Outlook アプリで下書き、送信、受信したメールは、企業アカウントでサインイン中に作成された場合、企業データとして扱われます。
マルチ ID アプリ: Outlook や OneDrive などの一部のアプリケーションではマルチ ID がサポートされており、企業と個人用アカウントの両方を同時にアプリに追加できます。 このシナリオでは、企業アカウントのファイル、電子メール、ドキュメントが企業データとして扱われ、APP によって保護されます。 たとえば、OneDrive for Business や Outlook のメールや添付ファイルに格納されているファイルは、企業データとして扱われます。 このデータの転送データは APP を使用して制限できます。 一方、個人用アカウントの OneDrive ファイルと Outlook メールは個人データとして扱われ、APP によって保護されません。 APP を使用してこれらのアカウントのデータ転送を制限することはできません。
Android の場合は、アプリが仕事用プロファイルにあることを確認します
Android 仕事用プロファイル デバイスを使用している場合、会社のデータを操作するときにユーザーが仕事用プロファイル アプリを使用していることを確認します。 Intune APP をこれらのデバイスに適用するには、仕事用プロファイルに Intune ポータル サイト アプリをインストールする必要があります。 ポータル サイト アプリのインストールの詳細については、「Microsoft Intune を使用して Windows 10 ポータル サイト アプリを追加するを参照してください。
仕事用プロファイル内のアプリは、アプリ アイコンのブリーフケース バッジで識別されます。
Android 仕事用プロファイルの詳細については、「 Android 仕事用プロファイルへの導入」を参照してください。
必要な APP 設定がアプリに適用されていることを確認する
Intune とデバイス側で構成されているアプリ保護ポリシーの設定の両方を確認します。 このドキュメントの Intune の [アプリ設定の確認] セクションの表には、管理センターで設定が正しく構成されていることを確認するための一般的なガイドラインが記載されています。 確認したら、デバイス上のアプリに同じ設定が適用されていることを確認します。
Intune でアプリの設定を確認する
Intune 管理センターでは、Apps>アプリ保護 ポリシーでアプリ保護ポリシーを作成および管理できます。 Data protection セクションには、予期しない動作が発生した場合に確認する必要がある、データ転送シナリオの重要な設定が含まれています。 次の表に、データ保護の一般的な APP 設定とそのユース ケースを示します。
| 設定の名前 | OS | 設定値 | ユース ケース |
|---|---|---|---|
| 組織データを他のアプリに送信する | Android | ポリシーで管理されているアプリ | ポリシーで管理されているアプリへのデータ転送を制限します。 データはアンマネージド アプリに転送できますが、データは暗号化され、開くことはありません。 |
| iOS/iPadOS | OS 共有を使用して管理対象アプリをポリシーする | "IntuneMAMUPN" アプリ構成ポリシーを適用することで、データ転送をポリシー管理アプリとアンマネージド アプリに制限できます。 iOS/iPadOS セキュリティ アプリ構成ポリシーおよび Microsoft Intune で iOS アプリ間のデータ転送を管理する方法を参照してください。 |
|
| iOS | Open-In/Share フィルター処理を使用したポリシーマネージド アプリ | 共有拡張機能に表示されるアプリをフィルター処理して、データ転送を制限します。 この設定でファイルを共有すると、使用可能なアプリは Intune APP のみをサポートするアプリに制限されます。 | |
| 除外するアプリを選択する | iOS | カスタム URI スキーム | 特定のアンマネージド アプリへのデータ転送を許可します。 |
| Android | アプリ パッケージ ID | 特定のアンマネージド アプリへのデータ転送を許可します。 | |
| 除外するユニバーサル リンクを選択する | iOS/iPadOS | URL 文字列 | Microsoft Edge の代わりに URL リンクを開くアンマネージド アプリを指定します。 |
| マネージド ユニバーサル リンクを選択する | iOS/iPadOS | URL 文字列 | Microsoft Edge ではなく URL リンクを開くマネージド アプリを指定します。 |
| 組織データのコピーを保存します | すべて | ブロック | ファイルの保存場所をブロックまたは制限します。 |
| 選択したサービスへのコピーの保存をユーザーに許可します | すべて | OneDrive for Business、SharePoint、Box、ローカル ストレージ、フォト ライブラリ | マネージド ファイルの保存場所を指定します。 その他の場所はブロックされるか、データが暗号化された状態で保持されます。 |
| 他のアプリからデータを受信する | すべて | すべてのアプリ | 管理対象アプリが、アンマネージド アプリを含む任意のアプリからデータを受信できるようにします。 |
| iOS/iPadOS | 受信した組織データを含むすべてのアプリ | 管理対象アプリが、アンマネージド アプリを含む任意のアプリからデータを受信できるようにします。 | |
| すべて | ポリシーで管理されているアプリ | アプリがポリシーで管理されているアプリからのみデータを受信できるようにします。 | |
| すべて | なし | 任意のアプリからの受信データをブロックします。 | |
| 組織のドキュメントにデータを開く | すべて | Allow | 任意のデータ ソースからデータを開くことを許可します。 |
| すべて | ブロック | 特定のデータ ソースからのデータを開くのを制限します。 | |
| ユーザーが選択したサービスのデータを開くことを許可する | すべて | OneDrive for Business、SharePoint、カメラ、フォト ライブラリ | データ ソースを選択すると、アプリでデータを開くことが許可されます。 |
| 他のアプリで Web コンテンツの転送を制限する | すべて | Microsoft Edge | URL リンクを開くには、ポリシーで管理される Microsoft Edge アプリを指定します。 |
詳細については、「iOS/iPadOS アプリ保護ポリシー設定Android アプリ保護ポリシー設定を参照してください。
Microsoft Edge を使用してデバイス側のアプリ設定を確認する
Microsoft Edge で Intune 診断を実行して、デバイス上の各マネージド アプリケーションに適用されている APP 設定を確認します。
デバイスで Microsoft Edge を開き、URL about:intunehelp を入力します。 次の例に示すように、Intune 診断 が開きます。
[Intune アプリの状態の表示] (iOS/iPadOS) または VIEW APP INFO (Android) をタップして、デバイス上の各アプリに適用されるアプリ設定を表示します。
このビューの設定値と Intune で構成された設定値を比較します。
これらの設定の値の詳細については、「 Review クライアント アプリ保護ログを参照してください。
注: このビューでは、アプリのバージョンと Intune App SDK のバージョンを確認することもできます。
動作を他のデバイス、ユーザー、アプリ、パターンと比較する
デバイス、ユーザー、アプリ、操作の動作を比較して問題のトラブルシューティングを行い、根本原因の分離と絞り込みに役立ちます。 問題が 1 つのデバイスまたはデバイスのサブセットに固有であるかどうかを理解するために、他のデバイスや他のユーザーと共に問題を特定または再現してみてください。 他のデバイスで問題が発生しない場合は、ユーザー グループ、デバイス モデル、OS バージョンなど、問題のあるデバイスの違いを特定してみてください。
また、アプリ間の動作を比較するのにも役立ちます。 Excel アプリに表示される問題は、Word アプリでは発生しない可能性があります。 これらの比較を行うときは、予期しない動作がバージョンに固有である可能性があるため、アプリのバージョンと Intune App SDK のバージョンに注意することが重要です。 利用可能な最新バージョンにアプリを定期的に更新することをお勧めします。