この記事では、Android デバイスのアプリ保護ポリシー設定について説明します。 説明されているポリシー設定は、ポータルの [設定] ウィンドウでアプリ保護ポリシーに対して構成できます。 ポリシー設定には、データ保護設定、アクセス要件、条件付き起動の 3 つのカテゴリがあります。 この記事の "ポリシーで管理されているアプリ" という用語は、アプリ保護ポリシーで構成されるアプリを示します。
重要
Android デバイスのアプリ保護ポリシーを受信するには、デバイスでIntune ポータル サイトが必要です。
Intune Managed Browserは廃止されます。 保護された Intune ブラウザー エクスペリエンスには Microsoft Edge を使用してください。
データの保護
データ転送
| Setting | 使用方法 | 既定値 |
|---|---|---|
| Android バックアップ サービスへの組織データのバックアップ | [ ブロック] を 選択すると、このアプリが Android Backup Service に職場または学校のデータをバックアップできなくなります。 [ 許可] を 選択して、このアプリが職場または学校のデータをバックアップできるようにします。 |
許可 |
| 組織データを他のアプリに送信する | このアプリからデータを受け取ることができるアプリを指定します。
Intune で既定でデータ転送を許可できる一部の除外アプリとサービスがあります。 さらに、Intune アプリをサポートしていないアプリへのデータ転送を許可する必要がある場合、独自の例外を作成できます。 詳細については、「 データ転送の除外」を参照してください。 このポリシーは、Android アプリ リンクにも適用できます。 一般的な Web リンクは、[Intune Managed Browser でアプリ リンクを開く] ポリシー設定によって管理されます。 注: Intune は現在、Android インスタント アプリ機能をサポートしていません。 Intune は、アプリとの間のデータ接続をブロックします。 詳細については、Android 開発者向けドキュメントの 「Android インスタント アプリ 」を参照してください。 [他のアプリに組織データを送信する] が [すべてのアプリ] に構成されている場合でも、OS 共有を介してクリップボードにテキスト データを転送できます。 |
すべてのアプリ |
|
このオプションは、上記のオプションで [ポリシーで管理されているアプリ] を選択した場合に使用できます。 | |
|
このアプリで [名前を付けて保存] オプションの使用を無効にするには、[ブロック] を選択します。 "名前を付けて保存" の使用を許可する場合は、[許可] を選択します。 "ブロック" に設定した場合、"選択したサービスにユーザーがコピーを保存することを許可" の設定を構成できます。 注:
|
許可 |
|
ユーザーは、選択したサービス (OneDrive、SharePoint、フォト ライブラリ、Box、iManage、Egnyte、Local Storage) に保存できます。 他のすべてのサービスはブロックされます。 | 選択済み 0 |
|
通常、ユーザーがアプリでハイパーリンク付き電話番号を選択すると、ダイヤル アプリが開き、電話番号が事前に入力され、呼び出す準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。
|
任意の電話アプリ |
|
特定のダイヤラー アプリが選択されている場合は、 アプリ パッケージ ID を指定する必要があります。 | Blank |
|
特定のダイヤラー アプリが選択されている場合は、ダイヤラー アプリの名前を指定する必要があります。 | Blank |
|
ユーザーがアプリ内のメッセージング アプリのハイパーリンク付き電話番号を選択すると、メッセージング アプリが開き、あらかじめ入力された電話番号が表示され、メッセージを送信する準備が整います。 この設定では、ポリシーで管理されたアプリから開始されたときに、この種類のコンテンツ転送を処理する方法を選択します。
|
任意のメッセージング アプリ |
|
特定のメッセージング アプリが選択されている場合は、 アプリ パッケージ ID を指定する必要があります。 | Blank |
|
特定のメッセージング アプリが選択されている場合は、メッセージング アプリの名前を指定する必要があります。 | Blank |
| 他のアプリからデータを受信 | このアプリにデータを転送できるアプリを以下のように指定します。
Intune でデータ転送を許可できる除外アプリとサービスがいくつかあります。 アプリとサービスの完全な一覧については、「 データ転送の除外 」を参照してください。 |
すべてのアプリ |
|
このアプリで、アカウント間でデータを共有するための "開く" オプションやその他のオプションの使用を無効にするには、[ブロック] を選択します。 "開く" の使用を許可する場合は、[許可] を選択します。 [ブロック] に設定すると、[選択したサービスからデータを開くことをユーザーに許可する] を構成して、組織データの場所で使用できるサービスを指定することができます。 注:
|
許可 |
|
ユーザーがデータを開くことができるアプリケーション ストレージ サービスを選択します。 他のすべてのサービスはブロックされます。 サービスを選択しない場合、ユーザーはデータを開けなくなります。 サポートされているサービス:
|
すべて選択済み |
| 他のアプリとの間で切り取り、コピー、貼り付けを制限する | このアプリで切り取り、コピー、および貼り付け操作をいつ使用できるようにするかを指定します。 次から選択します。
|
任意のアプリ |
|
組織のデータとアカウントから切り取りまたはコピーできる文字数を指定します。 これにより、アンマネージド アプリを含む任意のアプリに指定した文字数を共有できます。それ以外の場合は、[他のアプリとの切り取り、コピー、貼り付けを制限する] 設定によってブロックされます。 既定値 = 0 注: バージョン 5.0.4364.0 以降Intune ポータル サイト必要です。 |
0 |
| スクリーン キャプチャと Google アシスタント | [ ブロック] を選択して画面キャプチャをブロックし、 Circle to Search をブロックし、このアプリを使用するときにデバイス上の組織データへの Google アシスタント のアクセスをブロックします。 [ ブロック ] を選択すると、職場または学校アカウントでこのアプリを使用するときに、アプリ 切り替えプレビュー イメージもぼかされます。 注: 組織データにアクセスしないシナリオでは、ユーザーが Google Assistant にアクセスできる場合があります。 |
許可 |
| 承認済みキーボード | [ 必須] を 選択し、このポリシーで承認されたキーボードの一覧を指定します。 承認済みキーボードを使用していないユーザーは、保護されたアプリを使用する前に、承認されたキーボードをダウンロードしてインストールするように求められます。 この設定では、アプリに Intune SDK for Android バージョン 6.2.0 以降が必要です。 |
必須ではありません |
|
このオプションは、前のオプションで [必須 ] を選択した場合に使用できます。 [ 選択] を選択 して、このポリシーによって保護されたアプリで使用できるキーボードと入力方法の一覧を管理します。 一覧にキーボードを追加し、既定のオプションのいずれかを削除できます。 設定を保存するには、承認されたキーボードが少なくとも 1 つ必要です。 時間が経つにつれて、Microsoft は新しい App Protection ポリシーの一覧にキーボードを追加する場合があります。これには、管理者が必要に応じて既存のポリシーを確認して更新する必要があります。 キーボードを追加するには、次のように指定します。
手記: 複数の App Protection ポリシーを割り当てられたユーザーは、すべてのポリシーに共通する承認済みのキーボードのみを使用できます。 |
暗号化
| Setting | 使用方法 | 既定値 |
|---|---|---|
| 組織データを暗号化する | [ 必須] を 選択して、このアプリで職場または学校のデータの暗号化を有効にします。 Intune では、wolfSSL の 256 ビット AES 暗号化スキームと Android キーストア システムを使用して、アプリ データを安全に暗号化します。 データは、ファイル I/O タスク中に同期的に暗号化されます。 デバイス ストレージ上のコンテンツは常に暗号化され、Intune のアプリ保護ポリシーをサポートし、ポリシーが割り当てられているアプリによってのみ開くことができます。 新しいファイルは 256 ビット キーで暗号化されます。 既存の 128 ビット暗号化ファイルでは、256 ビット キーへの移行が試行されますが、プロセスは保証されません。 128 ビット キーで暗号化されたファイルは読み取り可能なままになります。 暗号化方法は FIPS 140-2 検証済みです。詳細については、「 wolfCrypt FIPS 140-2」および「FIPS 140-3」を参照してください。 |
必須 |
|
[ 必須] を選択して、すべてのデバイスで Intune アプリレイヤーの暗号化を使用して組織データの暗号化を適用します。 [ 必須ではありません ] を選択すると、登録済みデバイスで Intune アプリレイヤーの暗号化を使用して組織データの暗号化を適用できません。 | 必須 |
機能
| Setting | 使用方法 | 既定値 |
|---|---|---|
| ポリシー管理されたアプリのデータをネイティブ アプリやアドインと同期させることが可能 | [ブロック] を選択すると、ポリシーマネージド アプリがデバイスのネイティブ アプリ (連絡先、予定表、ウィジェット) にデータを保存できないようにし、ポリシー管理アプリ内でのアドインの使用を防ぐことができます。 アプリケーションでサポートされていない場合は、ネイティブ アプリへのデータの保存とアドインの使用が許可されます。 [許可] を選択した場合、ポリシー管理アプリでこれらの機能がサポートされ、有効になっている場合、ポリシー管理アプリはネイティブ アプリにデータを保存したり、アドインを使用したりできます。 アプリケーションは、特定のネイティブ アプリにデータ同期動作をカスタマイズしたり、このコントロールを受け入れたりするための追加のコントロールを提供する場合があります。 注: 選択的ワイプを実行してアプリから職場または学校のデータを削除すると、ポリシー管理アプリからネイティブ アプリに直接同期されたデータが削除されます。 ネイティブ アプリから別の外部ソースに同期されたデータはワイプされません。 注: 次のアプリはこの機能をサポートしています。
|
許可 |
| 組織データを出力する | [ ブロック ] を選択すると、アプリが職場または学校のデータを印刷できなくなります。 この設定を [許可] (既定値) のままにすると、ユーザーはすべての組織データをエクスポートして印刷できます。 | 許可 |
| その他のアプリでの Web コンテンツの転送を制限する | ポリシーで管理されているアプリケーションから Web コンテンツ (http/https リンク) をどのように開くか指定します。 次から選択します。
Android アプリ リンクは、[アプリが 他のアプリにデータを転送することを許可する ] ポリシー設定によって管理されます。
Intune デバイスの登録
ポリシーで管理されている Microsoft Edge |
未構成 |
|
1 つのブラウザーのアプリケーション ID を入力します。 ポリシー管理アプリケーションからの Web コンテンツ (http/https リンク) が、指定したブラウザーで開きます。 Web コンテンツは、ターゲット ブラウザーでは管理されません。 | Blank |
|
アンマネージド ブラウザー ID に関連付けられているブラウザーのアプリケーション名を入力します。 指定したブラウザーがインストールされていない場合、この名前がユーザーに表示されます。 | Blank |
| 組織のデータ通知 | 組織アカウントの OS 通知を介して共有される組織データの量を指定します。 このポリシー設定は、ローカル デバイスと、ウェアラブルやスマート スピーカーなどの接続されているデバイスに影響します。 アプリは、通知の動作をカスタマイズするための追加のコントロールを提供する場合や、すべての値を優先しないように選択する場合があります。 次の中から選択します。
注: この設定には、アプリのサポートが必要です。
|
許可 |
データ転送の除外対象
Intune アプリ保護ポリシーで送受信されるデータ転送を許可する除外アプリとプラットフォーム サービスがいくつかあります。 たとえば、Android 上のすべての Intune で管理されるアプリは、モバイル デバイスの画面からテキストを読み上げることができるように、Google テキスト読み上げとの間でデータを転送できる必要があります。 このリストは、セキュリティで保護された生産性向上に役立つと考えられるサービスとアプリを表しており、変更される可能性があります。
完全な除外
これらのアプリとサービスは、Intune で管理されるアプリとの間でデータ転送が完全に許可されます。
| アプリ/サービス名 | Description |
|---|---|
| com.android.phone | ネイティブ電話アプリ |
| com.android.vending | Google Play ストア |
| com.google.android.webview | WebView。Outlook を含む多くのアプリに必要です。 |
| com.android.webview | Webview。Outlook を含む多くのアプリに必要です。 |
| com.google.android.tts | Google テキスト読み上げ |
| com.android.providers.settings | Android システム設定 |
| com.android.settings | Android システム設定 |
| com.azure.authenticator | Azure Authenticator アプリ。これは、多くのシナリオで認証を成功させるために必要です。 |
| com.microsoft.windowsintune.companyportal | Intune ポータル サイト |
| com.android.providers.contacts | ネイティブ連絡先アプリ |
| com.samsung.android.providers.contacts | Samsung 連絡先プロバイダー。 Samsung デバイスで許可されます。 |
| com.android.providers.blockednumber | Android ブロック番号プロバイダー。 Android デバイスで使用できます。 |
条件付き除外
これらのアプリとサービスは、特定の条件下でのみ Intune で管理されるアプリとの間でのデータ転送が許可されます。
| アプリ/サービス名 | Description | 除外条件 |
|---|---|---|
| com.android.chrome | Google Chrome ブラウザー | Chrome は、Android 7.0 以降の一部の WebView コンポーネントに使用され、ビューから非表示になることはありません。 ただし、アプリとの間のデータ フローは常に制限されます。 |
| com.skype.raider | Skype | Skype アプリは、電話をかける特定のアクションに対してのみ許可されます。 |
| com.android.providers.media | Android メディア コンテンツ プロバイダー | 着信音の選択アクションに対してのみ許可されるメディア コンテンツ プロバイダー。 |
| com.google.android.gms;com.google.android.gsf | Google Play Services パッケージ | これらのパッケージは、プッシュ通知などの Google Cloud Messaging アクションに使用できます。 |
| com.google.android.apps.maps | Google Maps | アドレスはナビゲーションに使用できます。 |
| com.android.documentsui | Android ドキュメント ピッカー | ファイルを開いたり作成したりするときに許可されます。 |
| com.google.android.documentsui | Android ドキュメント ピッカー (Android 10 以降) | ファイルを開いたり作成したりするときに許可されます。 |
詳細については、「 アプリのデータ転送ポリシーの例外」を参照してください。
アクセス要件
| Setting | 使用方法 |
|---|---|
| アクセスに PIN を使用 |
[必要] を選択すると、このアプリを使用する際に PIN が要求されます。 ユーザーは、職場または学校のコンテキストでアプリを初めて実行するときに、この PIN のセットアップを求められます。 既定値 = 必須 [アクセスに PIN を使用] セクションの下の使用可能な設定を使用して、PIN 強度を構成できます。 手記: アプリへのアクセスを許可されているエンド ユーザーは、アプリの PIN をリセットできます。 Android デバイスでは、この設定が表示されない場合があります。 Android デバイスには、4 つの使用可能なショートカットの最大制限があります。 最大値に達すると、エンド ユーザーは、カスタマイズされたショートカット (または別のマネージド アプリ ビューからショートカットにアクセス) を削除して、リセットされた APP PIN ショートカットを表示する必要があります。 または、エンド ユーザーがショートカットをホームページにピン留めすることもできます。 |
PIN の種類 |
アプリ保護ポリシーが適用されているアプリにアクセスする前に、数値またはパスコードのどちらの種類の PIN を入力する必要があるかを設定します。 数値の場合は数字だけですが、パスコードの場合は少なくとも 1 つのアルファベットまたは少なくとも 1 つの特殊文字で定義できます。 既定値 = 数値 手記: 使用できる特殊文字には、Android 英語キーボードの特殊文字と記号が含まれます。 |
|
ユーザーが 1234、1111、abcd、aaaa などの単純な PIN シーケンスを使用できるようにするには、[許可] を選択します。 [ ブロック] を 選択すると、単純なシーケンスを使用できなくなります。 単純なシーケンスは、3 文字のスライディング ウィンドウで確認されます。
Block が構成されている場合、エンド ユーザーが設定した PIN として 1235 または 1112 は受け入れられませんが、1122 は許可されます。 既定値 = 許可 手記: パスコードの種類の PIN が構成されていて、Simple PIN が [許可] に設定されている場合、ユーザーは PIN に少なくとも 1 つの文字 または 少なくとも 1 つの特殊文字が必要です。 パスコードの種類の PIN が構成されていて、Simple PIN が [ブロック] に設定されている場合、ユーザーは PIN に少なくとも 1 つの数字 と 1 つの文字 と 少なくとも 1 つの特殊文字が必要です。 |
|
PIN シーケンスの最小桁数を指定します。 既定値 = 4 |
|
[ 許可] を 選択して、ユーザーが生体認証を使用して Android デバイスでユーザーを認証できるようにします。 許可されている場合、生体認証は Android 10 以降のデバイス上のアプリにアクセスするために使用されます。 |
|
この設定を使用するには、[必要] を選択し、非アクティブ タイムアウトを構成します。 既定値 = 必須 |
|
パスコードまたは数値 (構成済み) PIN によって生体認証の使用がオーバーライドされるまでの時間を分単位で指定します。 このタイムアウト値は、[(非アクティブ分数) 後にアクセス要件を再確認する] に指定した値よりも大きい必要があります。 既定値 = 30 |
|
[ 必須] を選択して、ユーザーがクラス 3 の生体認証でサインインすることを要求します。 クラス 3 の生体認証の詳細については、Google のドキュメントの 「生体認証 」を参照してください。 |
|
生体認証の変更が検出されたときに PIN で生体認証の使用をオーバーライドするには、[ 必須] を選択します。
注意: |
|
[はい] を選択すると、ユーザーは設定された期間の経過後にアプリの PIN を変更する必要があります。 [はい] に設定した場合は、PIN のリセットが要求されるまでの日数を構成します。 既定値 = いいえ |
|
PIN のリセットが要求されるまでの日数を構成します。 既定値 = 90 |
|
この設定では、Intune が保持する以前の PIN の数を指定します。 新しい PIN は、Intune が管理しているものとは異なる必要があります。 既定値 = 0 |
|
[必須ではありません] を選択すると、登録されているデバイスでデバイスロックが検出され、ポータル サイトが構成されている場合にアプリの PIN が無効になります。 既定値 = 必須。 |
| アクセスに職場または学校アカウントの資格情報を使用 | [ 必須] を選択すると、アプリアクセス用の PIN を入力するのではなく、職場または学校アカウントでサインインするようにユーザーに要求できます。
[必須] に設定し、PIN または生体認証プロンプトがオンになっている場合、企業の資格情報と PIN または生体認証プロンプトの両方が表示されます。 既定値 = 必須ではありません |
| (非アクティブ分数) 後にアクセス要件を再確認する | 次の設定を構成します。
|
注:
Android で同じアプリとユーザーのセットに対して [アクセス] セクションで構成された複数の Intune アプリ保護設定がどのように動作するかの詳細については、「 Intune MAM に関するよく寄せられる質問」と「Intuneでのアプリ保護ポリシーアクセス アクションを使用してデータを選択的にワイプする」を参照してください。
条件付き起動
アプリ保護ポリシーのサインイン セキュリティ要件を設定するように条件付き起動設定を構成します。
既定では、いくつかの設定に構成済みの値とアクションが用意されています。 最小 OS バージョンなど、一部の設定を削除できます。 [1 つ選択] ドロップダウンからさらに設定 を選択 することもできます。
アプリの条件
| Setting | 使用方法 |
|---|---|
| PIN の最大試行回数 | PIN の入力試行回数を指定します。成功せずにこの回数を超えると、構成されているアクションが実行されます。 PIN の最大試行後にユーザーが PIN の入力に失敗した場合、ユーザーはアカウントに正常にログインし、必要に応じて多要素認証 (MFA) チャレンジを完了した後にピンをリセットする必要があります。 このポリシー設定の形式は、正の整数をサポートします。
"アクション" に含まれている項目:
|
| [オフラインの猶予期間] | マネージド アプリがオフラインで実行できる分数。 アプリのアクセス要件を再確認するまでの時間 (分) を指定します。
"アクション" に含まれている項目:
|
| アプリの最小バージョン | アプリケーションの最小バージョンの値を指定します。
"アクション" に含まれている項目:
このエントリは複数回表示できます。インスタンスごとに異なるアクションがサポートされます。 このポリシー設定では、major.minor、major.minor.build、major.minor.build.revision のいずれの形式もサポートされます。 また、エンド ユーザーが基幹業務 (LOB) アプリの更新バージョンを取得できる 場所 を構成することもできます。 エンド ユーザーは 、アプリの最小バージョン の条件付き起動ダイアログでこれを表示します。これにより、エンド ユーザーは LOB アプリの最小バージョンに更新するように求められます。 Android では、この機能では ポータル サイト が使用されます。 エンド ユーザーが LOB アプリを更新する必要がある場所を構成するには、キー com.microsoft.intune.myappstore を含むマネージド アプリ構成ポリシーをアプリに送信する必要があります。 送信される値は、エンド ユーザーがアプリのダウンロード元となるストアを定義します。 アプリがポータル サイト経由で展開される場合、値は CompanyPortal である必要があります。 他のストアの場合は、完全な URL を入力する必要があります。 |
| 無効なアカウント | この設定に設定する値はありません。
"アクション" に含まれている項目:
|
| 非稼働時間 | この設定に設定する値はありません。
"アクション" に含まれている項目:
次のアプリは、ポータル サイト v5.0.5849.0 以降でこの機能をサポートしています。
|
デバイスの条件
| Setting | 使用方法 |
|---|---|
| 脱獄またはルート化されたデバイス | デバイスへのアクセスをブロックするか、脱獄またはルート化されたデバイスのデバイス データをワイプするかを指定します。
"アクション" に含まれている項目:
|
| OS の最小バージョン | このアプリを使用するために必要な最小 Android オペレーティング システムを指定します。 指定された 最小 OS バージョン より下の OS バージョンでは、アクションがトリガーされます。
"アクション" に含まれている項目:
|
| OS の最大バージョン | このアプリを使用するために必要な最大 Android オペレーティング システムを指定します。 指定した最大 OS バージョンより下の OS バージョン では、アクションがトリガーされます。
"アクション" に含まれている項目:
|
| 最小パッチ バージョン | Google によってリリースされた Android セキュリティ パッチがデバイスに最低限必要です。
|
| デバイスの製造元 | 製造元のセミコロン区切りの一覧を指定します。 これらの値では、大文字と小文字は区別されません。
"アクション" に含まれている項目:
|
| 整合性の判定を再生する | アプリ保護ポリシーでは、一部の Google Play Integrity API がサポートされています。 この設定は特に、エンド ユーザー デバイスで Google の Play Integrity チェックを構成して、それらのデバイスの整合性を検証します。
[基本整合性] または [基本整合性とデバイスの整合性] を指定します。 基本的な整合性 は、デバイスの一般的な整合性について説明します。 ルート化されたデバイス、エミュレーター、仮想デバイス、改ざんの兆候があるデバイスは基本的な整合性のチェックで不合格になります。 認定デバイス & 基本的な整合性 は、デバイスと Google のサービスの互換性について説明します。 このチェックを渡すことができるのは、Google によって認定された変更されていないデバイスのみです。 条件付き起動に必要に応じて [整合性判定の再生] を選択した場合は、評価の種類として厳密な整合性チェックを使用するように指定できます。 評価の種類として、厳密な整合性チェックが存在すると、デバイスの整合性が向上します。 MAM ポリシーは、この設定を対象としている場合、強力な整合性チェックをサポートしていないデバイスをブロックします。 強力な整合性チェックは、ソフトウェアのみのソリューションでは常に確実に検出できるとは限らない、新しい種類のルート化ツールと方法に対応して、より堅牢なルート検出を提供します。 APP 内では、ハードウェア構成証明は、[Play integrity verdict evaluation type]\(Play 整合性判定評価の種類\) を [Play integrity verdict]\(プレイ整合性の判定が構成されたら厳密な整合性を確認する\) に設定し、[デバイスの整合性チェックが構成されたら[必要な SafetyNet 評価の種類] を [厳密な整合性] チェックに設定することで有効になります。 ハードウェアでサポートされる構成証明では、Android 8.1 以降でインストールされているデバイスに付属するハードウェア ベースのコンポーネントが使用されます。 以前のバージョンの Android から Android 8.1 にアップグレードされたデバイスには、ハードウェアによる構成証明に必要なハードウェアベースのコンポーネントがない可能性があります。 この設定は Android 8.1 と共に出荷されるデバイス以降では広くサポートされているはずですが、Microsoft ではこのポリシー設定を広範囲で有効にする前に、デバイスを個別にテストすることを強くお勧めします。 大事な:この評価の種類をサポートしていないデバイスは、デバイスの整合性チェックアクションに基づいてブロックまたはワイプされます。 この機能を使用する組織は、ユーザーがデバイスをサポートしていることを確認する必要があります。 Google の推奨デバイスの詳細については、「 Android Enterprise の推奨要件」を参照してください。
"アクション" に含まれている項目:
|
| アプリで脅威スキャンを要求する | アプリ保護ポリシーでは、Google Play Protect の API の一部がサポートされています。 特にこの設定により、エンド ユーザー デバイスで Google の [アプリの確認] スキャンがオンになります。 構成されている場合、エンド ユーザーは Android デバイスで Google のアプリ スキャンを有効にするまでアクセスがブロックされます。
"アクション" に含まれている項目:
|
| 必須の SafetyNet 評価の種類 | ハードウェアによる構成証明により、既存の SafetyNet 構成証明サービスのチェックが強化されます。 この値は、SafteyNet デバイス構成証明を設定した後で、ハードウェアに基づくキーに設定できます。 |
| デバイス ロックが必要 | この設定は、Android デバイスに最小パスワード要件を満たすデバイス PIN があるかどうかを決定します。 アプリ保護 ポリシーは、デバイス ロックが最小パスワード要件を満たしていない場合にアクションを実行できます。
値 は次のとおりです。
この複雑さの値は、Android 12 以降を対象とします。 Android 11 以前で動作しているデバイスの場合は、低、中、または高の既定値の複雑さの値を低 複雑度の予期される動作に設定します。 詳細については、Google の開発者向けドキュメント 「getPasswordComplexity、 PASSWORD_COMPLEXITY_LOW、 PASSWORD_COMPLEXITY_MEDIUM、 PASSWORD_COMPLEXITY_HIGH」を参照してください。
"アクション" に含まれている項目:
|
| 最小ポータル サイトバージョン |
最小ポータル サイトバージョンを使用すると、エンド ユーザー デバイスに適用されるポータル サイトの特定の最小定義バージョンを指定できます。 この条件付き起動設定を使用すると、各値が満たされていない場合に、 アクセスのブロック、 データのワイプ、および可能な限り 警告 アクションに値を設定できます。 この値に使用できる形式は、パターン [Major].[ に従います。Minor], [Major].[Minor].[ビルド]、または [メジャー].[Minor].[ビルド]。[リビジョン]。 手記:5.0.5421.0 より前のバージョンの Android ポータル サイトのサポートは、2025 年 10 月 1 日に終了しました。 一部のエンド ユーザーは、その場でアプリの強制更新を好まない場合があるため、この設定を構成する場合は、"警告" オプションが理想的な場合があります。 Google Play ストアは、アプリの更新のために差分バイトのみを送信するという優れた仕事をしますが、更新時にデータを使用している場合、ユーザーが使用したくない大量のデータである可能性があります。 更新を強制し、更新されたアプリをダウンロードすると、更新時に予期しないデータ料金が発生する可能性があります。 詳細については、「 Android ポリシー設定」を参照してください。 |
| 最大ポータル サイトバージョンの有効期間 (日数) | Android デバイスのポータル サイト (CP) バージョンの年齢として、最大日数を設定できます。 この設定により、エンド ユーザーが CP リリースの一定の範囲内 (日数) に収まるようにします。 値は 0 から 365 日の間である必要があります。 デバイスの設定が満たされていない場合、この設定のアクションがトリガーされます。 アクションには、 アクセスのブロック、 データのワイプ、または 警告が含まれます。 関連情報については、「 Android ポリシー設定」を参照してください。 手記:ポータル サイトビルドの年齢は、エンド ユーザー デバイスの Google Play によって決まります。 |
| Samsung Knox デバイスの構成証明 | Samsung Knox デバイス構成証明チェックが必要かどうかを指定します。 このチェックを渡すことができるのは、Samsung によって検証された変更されていないデバイスのみです。 サポートされているデバイスの一覧については、「 samsungknox.com」を参照してください。 この設定を使用すると、Microsoft Intune は、ポータル サイトから Intune サービスへの通信が正常なデバイスから送信されたことを確認します。 "アクション" に含まれている項目:
手記: [警告]、[アクセスのブロック]、[データのワイプ] アクションを選択する場合は、注意してください。
|
| 許容される最大デバイス脅威レベル | アプリ保護ポリシーでは、Intune-MTD コネクタを利用できます。 このアプリの使用に対して許容される最大脅威レベルを指定します。 脅威は、エンド ユーザー デバイスで選択された Mobile Threat Defense (MTD) ベンダー アプリによって決定されます。 "セキュリティ保護"、"低"、"中"、"高" のいずれかを指定します。 "セキュリティ保護" は、デバイスに対する脅威は不要で、構成可能な最も制限の厳しい値であるのに対し、"高" では基本的に Intune と MTD の間のアクティブな接続が必要です。
"アクション" に含まれている項目:
|
| プライマリ MTD サービス | 複数の Intune-MTD コネクタを構成している場合は、エンド ユーザー デバイスで使用する必要があるプライマリ MTD ベンダー アプリを指定します。
値 は次のとおりです。
この設定を使用するには、設定 "最大許可デバイス脅威レベル" を構成する必要があります。 この設定には アクション がありません。 |