Microsoft の Enterprise Mobility + Security (EMS) スイートの一部として、Microsoft Intune は Azure Active Directory (AAD) および Azure Information Protection と統合されています。
これにより、作成した Microsoft Intune のコンプライアンスポリシーに従って、すべてのユーザーのデバイスで組織の情報を保護することができます。
デバイスが Intune に登録されると、AAD に登録され、デバイスのコンプライアンス状態が AAD に報告されます。AAD の条件付きアクセスポリシーと Intune のコンプライアンスポリシーを組み合わせることで、メールや社内リソースに接続できるデバイスやアプリを制御することが可能です。
統合すれば、アクセスを制限して企業データのセキュリティを確保しながら、ユーザーがあらゆるデバイスや場所から作業できるようにすることができます。
ユーザーが LMS365モバイルアプリ を快適に利用できるようにするには、アプリを Intune に追加し、アクセスポリシーを設定する必要があります。
ここでは、LMS365モバイルアプリを Intune に追加する方法と、IntuneがLMS365モバイルアプリと連携するために、AADで条件付きアクセスポリシーを設定する方法についてご説明します。
弊社では、条件付きアクセスポリシーと、iOSおよびAndroid携帯電話向けに内部でMicrosoft Intuneを使用したLMS365モバイルアプリのインストールをサポートしています。 Microsoft Intune App Policies はサポートしていません。 LMS365は、お客様の AAD 内に3つの AADアプリケーションとして展開され、お客様のセキュリティーポリシーによって除外することができます。 |
Microsoft IntuneにLMS365モバイルアプリを追加する
Microsoft Intune を設定するために、Microsoft 365 グローバル管理者はいくつかのステップを実行する必要があります。 この手順を説明するにあたって、Android を使用している特定のユーザーに対するポリシーの設定を例にご説明します。 このポリシーでは、LMS365 モバイル アプリの使用時に多要素認証を義務付けます。 Microsoft Intuneで使用する場合、Microsoft Edge または Google Chrome のいずれかのブラウザーを使用することをお勧めします。 |
デバイス、またはユーザーのグループにアプリを割り当てる前に、まず、アプリを Microsoft Intune に追加する必要があります。
これは、Android と iOS のオペレーティングシステムそれぞれ個別に、Microsoft Endpoint Manager 管理センターから行います。
ここでは、Azure ポータルから Android ストアアプリと iOS ストアアプリを Microsoft Intune に追加する方法についてご説明します。
Azure ポータルから Android ストアアプリを Intune に追加します
手順1~5はこちらのガイド「Androidストア アプリを Microsoft Intune に追加する」に従ってください。
ガイドの手順6では、詳細を追加する必要があります。
- 名前:LMS365(ポータルで表示されるアプリ名を入力します。使用するアプリ名はユニークであることを確認してください。アプリ名が重複している場合、ポータルサイトでユーザーに表示される名前は 1 つだけです。)
- 説明:アプリの説明を入力します。この説明は、ポータルサイトでユーザーに表示されます。
例:LMS365のモバイルアプリでは、受講者は登録しているすべてのコースに簡単にアクセスできます。モバイルデバイス上で、受講者はいつでも、どこからでも、自分が完了したコース、受講中のコース、まだ開始していないコースを表示できます。 - 発行元:アプリの発行元の名前を入力します
- アプリストアのURL:作成するアプリのアプリストアのURLを入力します。ストアでアプリの詳細を表示する場合は、アプリページのURLを使用します。 https://play.google.com/store/apps/details?id=com.elearningforce.LMS
- 最小限のオペレーティングシステム:リストの中から、アプリをインストールできる最も古い OS のバージョンを選択する必要があります。そうでない場合は、インストールされません。
「Androidストア アプリを Microsoft Intune に追加する」のガイドに戻り、続けて手順7以降を設定します。
すべて手順が完了すると、アプリ>すべてのアプリの一覧に、作成したアプリが表示されます。
Azure ポータルから iOS ストアアプリを Intune に 追加します
手順1~8はこちらのガイド「iOS ストア アプリを Microsoft Intune に追加する」に従ってください。
ガイドの手順9では、詳細を追加する必要があります。選択したアプリによって自動的に入力されている場合があります。
- 名前:LMS365(ポータルで表示されるアプリ名を入力します。使用するアプリ名はユニークであることを確認してください。アプリ名が重複している場合、ポータルサイトでユーザーに表示される名前は 1 つだけです。)
- 説明:アプリの説明を入力します。この説明は、ポータルサイトでユーザーに表示されます。
例:LMS365のモバイルアプリでは、受講者は登録しているすべてのコースに簡単にアクセスできます。モバイルデバイス上で、受講者はいつでも、どこからでも、自分が完了したコース、受講中のコース、まだ開始していないコースを表示できます。 - 発行元:アプリの発行元の名前を入力します
- アプリストアのURL:作成するアプリのアプリストアのURLを入力します。ストアでアプリの詳細を表示する場合は、アプリページのURLを使用します。 https://play.google.com/store/apps/details?id=com.elearningforce.LMS
- 最小限のオペレーティングシステム:リストの中から、アプリをインストールできる最も古い OS のバージョンを選択する必要があります。そうでない場合は、インストールされません。
「iOS ストア アプリを Microsoft Intune に追加する」のガイドに戻り、続けて手順10以降を設定します。
すべて手順が完了すると、アプリ>すべてのアプリの一覧に、作成したアプリが表示されます。
ストアアプリでの作業が完了したら、ユーザーはモバイルデバイスで Intune 社内ポータルアプリをダウンロードし、ログインして、手順にしたがってアカウントのアクセス設定をすることができます。
Intune 社内ポータルアプリにログインする際に問題が発生する場合は、Azure Active Directory 管理センターで、該当するユーザーのサインイン状況を確認してください。詳細については、Azure Active Directory のサインイン ログをご参照ください。 |
Azure Active Directory 管理センターでポリシーを設定する
Azure Active Directory 管理センター>セキュリティ>条件付きアクセス | ポリシーに移動します。
「+ 新しいポリシー」を選択し、名前を入力し、以下の2つのブロックを構成します。
- 割り当て:ポリシーを適用するユーザーやグループ、クラウドアプリやアクションを設定します。
- アクセス制御:リソースへのアクセスを許可、またはブロックする内容を設定します。
割り当て
割り当てでは、誰に、どこで、どのような条件のポリシーを適用するかを設定することができます。
1.ユーザーまたはワークロードIDを選択します(①)。対象と対象外の2つのタブが表示されます。
「対象」 タブでは、なし/すべてのユーザー/ユーザーとグループの選択 の3つのオプションがあります。
「ユーザーとグループの選択(②)」と「ユーザーとグループ(③)」をチェックします。開いたパネルでユーザー、グループを選択します。
利用可能なAADユーザーとグループを参照して、特定のユーザーまたはグループを設定することができます。選択したユーザーやグループは、「選択(④)」欄に表示されます。パネル下部の「選択」ボタンで確定します。
ユーザーとグループがポリシーに含まれる場合、「ユーザーまたはワークロード ID(①)」の下に「組み込まれた特定のユーザー」というメッセージが表示されます。
詳細については「条件付きアクセス:ユーザーとグループ」をご参照ください。
2.クラウドアプリまたは操作を選択します(①)。対象と対象外の2つのタブが表示されます。
「対象」 タブでは、なし/すべてのクラウドアプリ/アプリを選択 の3つのオプションがあります。
「アプリの選択(②)」をチェックします。開いたパネルで「Microsoft intune Enrollment」を選択します。
利用可能なアプリケーションのリストを参照することができます。選択したアプリは「選択(③)」欄に表示されます。パネル下部の「選択」ボタンで確定します。
アプリがポリシーに追加されると「クラウドアプリまたは操作(①)」の下にポリシーに「○個のアプリが含められました」というメッセージが表示されます。
条件を選択すると、利用可能なオプションのリストが表示され、ポリシーに適用する追加条件を指定することができます。詳細については「条件付きアクセス:条件」をご参照ください。
3.条件:ここでは、例として、特定のユーザーに多要素認証を要求するポリシーをAndroidに設定します。
「デバイスプラットフォーム」(①)」 を選択します。開いたパネルで、設定トグルを「はい(②)」にします。
対象タブで「デバイスプラットフォームの選択(③)」オプションボタンを選択し、関連するオペレーティングシステム、ここでは「 Android(③)」をチェックします。
「完了」で変更を保存し、パネルを閉じます。
4.クラウドアプリにアクセスするためにユーザーが使用するソフトウェアを設定します。
「クライアントアプリ(①)」を選択します。
クライアント アプリパネルが開き、モダン認証を使用していない特定のクライアントアプリケーションへのユーザーアクセスを構成することができます。
構成トグルを「はい(②)」にします。既定では、すべてのクライアントアプリケーションが選択されています。ここでは、「モバイルアプリとデスクトップクライアント(③)」以外のすべてのチェックボックスをオフにします。
「完了」で変更を保存し、パネルを閉じます。
アクセス制御
アクセス制御で、アクセスをブロック、またはアクセスを許可するために必要な追加の要件を選択します
5.「許可(①)」を選択します。
開いたパネルで「アクセス権の付与(②)」を選択し、アクセスを許可するための必要要件を選択します。
詳細については、「条件付きアクセス:Grant」をご参照ください。
ここでは、以下の2つ(②)をチェックします。
- 「多要素認証を要求する」:ユーザーは、電話やテキストなどの追加のセキュリティ要件を完了する必要があります。
- 「デバイスは準拠しているとしてマーク済みである必要があります」:デバイスは Intune に準拠している必要があります。 デバイスが準拠していない場合、ユーザーにはデバイスを Intune に登録するオプションが表示されます。
「選択したコントロールすべてが必要(③)」が選択されていることを確認し、パネル下部の「選択」ボタンで確定します。
LMS365では「承認されたクライアントアプリが必要です」および「アプリの保護ポリシーが必要」は、サポートされていません。 |
6.すべての設定が完了したら「作成」ボタンで、ポリシーの作成を完了します。