LMS365モバイルアプリと連携するためのIntuneの設定方法

  • 更新

Microsoft の Enterprise Mobility + Security (EMS) スイートの一部として、Microsoft Intune は Azure Active Directory (AAD) および Azure Information Protection と統合されています。これにより、作成したMicrosoft Intuneのコンプライアンスポリシーに従って、すべてのユーザーのデバイスで組織の情報を保護し続けることができます。デバイスがIntuneに登録されると、AADに登録され、デバイスのコンプライアンス状態がAADに報告されます。AADの条件付きアクセスポリシーとIntuneのコンプライアンスポリシーを組み合わせることで、メールや社内リソースに接続できるデバイスやアプリを制御することが可能です。統合すれば、アクセスを制限して企業データのセキュリティを確保しながら、ユーザーがあらゆるデバイスや場所から作業できるようにすることができます。

ユーザーがLMS365モバイルアプリを快適に利用できるようにするには、アプリをIntuneに対応させ、アクセスポリシーを設定する必要があります。ここでは、LMS365モバイルアプリをIntuneに追加する方法と、LMS365モバイルアプリと連携するためにIntuneのAADで条件付きアクセスポリシーを設定する方法について説明します。

条件付きアクセスポリシーを使用し、iOSおよびAndroidスマートフォンに向けにMicrosoft Intuneを使用してLMS365モバイルアプリをユーザーに配布します。
Microsoft Intune App Policiesはサポートしていません。

LMS365は、AAD内の3つのAADアプリケーションとして展開され、セキュリティポリシーによって除外することができます。

1.Microsoft IntuneにLMS365モバイルアプリを追加する

Microsoft Intune を設定するために、Microsoft 365 グローバル管理者はいくつかのステップを実行する必要があります。

この手順を説明するにあたって、Androidを使用している 特定のユーザーに対するポリシーの設定を例にご説明します。このポリシーでは、LMS365 モバイル アプリの使用時に多要素認証を義務付けます。

Microsoft Intuneで使用する場合、Microsoft EdgeまたはGoogle Chromeのいずれかのブラウザーを使用することをお勧めします。

デバイス、またはユーザーのグループにアプリを割り当てる前に、まず、アプリをMicrosoft Intuneに追加する必要があります。これは、AndroidとiOSを別々にMicrosoft Endpoint Manager管理センターから行います。

ここでは、AzureポータルからAndroidストアアプリとiOSストアアプリをMicrosoft Intuneに追加する方法について説明します。

Azure portalからAndroidストアアプリを Intune に追加します。

手順1~5はこちらのガイド「Androidストア アプリを Microsoft Intune に追加する」に従ってください。

ガイドの手順6では、詳細を追加する必要があります。

  • 名前:LMS365(社内ポータルで表示されるアプリ名を入力します。使用するアプリ名はユニークであることを確認してください。アプリ名が重複している場合、企業ポータルのユーザーには1つの名前しか表示されません。)
  • 説明:アプリの説明を入力します。この説明は、企業ポータルでユーザーに表示されます。
    例:LMS365のモバイルアプリでは、受講者は登録しているすべてのコースに簡単にアクセスできます。モバイルデバイス上で、受講者はいつでも、どこからでも、自分が完了したコース、受講中のコース、まだ開始していないコースを表示できます。
  • 発行元:アプリの発行元の名前を入力します
  • アプリストアのURL:作成するアプリのアプリストアのURLを入力します。ストアでアプリの詳細を表示する場合は、アプリページのURLを使用します。 https://play.google.com/store/apps/details?id=com.elearningforce.LMS
  • 最小限のオペレーティングシステム:リストの中から、アプリをインストールできる最も古いOSのバージョンを選択する必要があります。そうでない場合は、インストールされません。

Androidストア アプリを Microsoft Intune に追加する」のガイドに戻り、続けて手順7以降を設定します。

すべて手順が完了すると、アプリ>すべてのアプリの一覧に、作成したアプリが表示されます。

capture10.gif

Azure ポータルから Intune に iOS ストアアプリを追加します。

手順1~8はこちらのガイド「iOS ストア アプリを Microsoft Intune に追加する」に従ってください。

手順9では、必要な情報を追加します。選択したアプリによって自動的に入力されている場合があります。

  • 名前:LMS365(社内ポータルで表示されるアプリ名を入力します。使用するアプリ名はユニークであることを確認してください。アプリ名が重複している場合、企業ポータルのユーザーには1つの名前しか表示されません。)
  • 説明:アプリの説明を入力します。この説明は、企業ポータルでユーザーに表示されます。
    例:LMS365のモバイルアプリでは、受講者は登録しているすべてのコースに簡単にアクセスできます。モバイルデバイス上で、受講者はいつでも、どこからでも、自分が完了したコース、受講中のコース、まだ開始していないコースを表示できます。
  • 発行元:アプリの発行元の名前を入力します
  • アプリストアのURL:作成するアプリのアプリストアのURLを入力します。ストアでアプリの詳細を表示する場合は、アプリページのURLを使用します。 https://play.google.com/store/apps/details?id=com.elearningforce.LMS
  • 最小限のオペレーティングシステム:リストの中から、アプリをインストールできる最も古いOSのバージョンを選択する必要があります。そうでない場合は、インストールされません。

iOS ストア アプリを Microsoft Intune に追加する」のガイドに戻り、続けて手順10以降を設定します。

すべて手順が完了すると、アプリ>すべてのアプリの一覧に、作成したアプリが表示されます。

capture11.gif

ストアアプリの作成が完了したら、ユーザーはモバイルデバイスでIntune社内ポータルアプリをダウンロードし、ログイン後、手順にしたがってアカウントのアクセス設定をすることができます。

Intune 社内ポータルアプリにログインする際に問題が発生する場合は、Azure Active Directory 管理センターで、該当するユーザーのサインイン状況を確認してください。詳細については、Azure Active Directory のサインイン ログをご参照ください。

2.Azure Active Directory 管理センターでポリシーを設定

Azure Active Directory 管理センター>セキュリティ>条件付きアクセス | ポリシーに移動します。

capture2-2.png

1.「+ 新しいポリシー」を選択し、名前を入力し、以下の2つのブロックを構成します。

capture9.png

  • 割り当て:ポリシーを適用するユーザーやグループ、クラウドアプリやアクションを設定します。
  • アクセス制御:リソースへのアクセスを許可、またはブロックする内容を設定します。

capture1.png

割り当て:

割り当てでは、誰に、どこで、どのような条件のポリシーを適用するかを設定することができます。

① ユーザーまたはワークロードIDを選択すると、対象と対象外の2つのタブが表示されます。
「対象」 タブでは、なし・すべてのユーザー・ユーザーとグループの選択 の3つのオプションがあります。

ユーザーとグループの選択」と「ユーザーとグループ」をチェックします。開いたパネルでユーザー、グループを選択します。利用可能なAADユーザーとグループを参照して、特定のユーザーまたはグループを設定することができます。選択したユーザーやグループは、「選択」欄に表示されます。パネル下部の「選択」ボタンで確定します。

capture3.png

ユーザーとグループがポリシーに含まれる場合、「ユーザーまたはワークロード ID」の下に「組み込まれた特定のユーザー」というメッセージが表示されます。

詳細については「条件付きアクセス:ユーザーとグループ」をご参照ください。

② クラウドアプリまたは操作を選択すると、対象と対象外の2つのタブが表示されます。
「対象」 タブでは、なし・すべてのクラウドアプリ・アプリを選択 の3つのオプションがあります。

アプリの選択をチェックします。開いたパネルで「Microsoft intune Enrollment」を選択します。利用可能なアプリケーションのリストを参照することができます。選択したアプリは「選択」欄に表示されます。パネル下部の「選択」ボタンで確定します。

capture4.png

アプリがポリシーに追加されると「クラウドアプリまたは操作」の下にポリシーに「○個のアプリが含められました」というメッセージが表示されます。

③ 条件を選択すると、利用可能なオプションのリストが表示され、ポリシーに適用する追加条件を指定することができます。詳細については「条件付きアクセス:条件」をご参照ください。

capture5.png

ここでは、特定のユーザーに対してAndroid用のポリシーを設定し、多要素認証を要求するという要件にしたがって設定します。

「デバイスプラットフォーム] を選択します。開いたパネルで、設定トグルを「はい」に切り替えます。対象タブで「デバイスプラットフォームの選択」オプションボタンを選択し、関連するオペレーティングシステム (ここでは Android)をチェックします。「完了」で変更を保存し、パネルを閉じます。

capture6.png

次に、クラウドアプリにアクセスするためにユーザーが使用するソフトウェアを設定します。

「クライアントアプリ」を選択します。最新の認証を使用しない特定のクライアントアプリケーションを対象とするようユーザーアクセスを制御します。

開いたパネルで、設定トグルを「はい」に切り替えます。既定では、すべてのクライアントアプリケーションが選択されています。ここでは、「モバイルアプリとデスクトップクライアント」以外のすべてのチェックボックスをオフにします。「完了」で変更を保存し、パネルを閉じます。

capture7.png

アクセス制御:

アクセス制御では、アクセスをブロックするか、アクセスを許可するための必要要件を追加できます。「許可」を選択します。開いたパネルで「アクセス権の付与」を選択し、アクセスを許可するための必要要件を選択します。詳細については、「条件付きアクセス:Grant」をご参照ください。

アクセス制御では、アクセス権の付与またはアクセスのブロックを設定します。

「アクセス権の付与」を選択し、以下の2つをチェックします。

  • 「多要素認証を要求する」:ユーザーは、電話やテキストなどの追加のセキュリティ要件を完了する必要があります。
  • 「デバイスは準拠しているとしてマーク済みである必要があります」:デバイスは Intune に準拠している必要があります。 デバイスが準拠していない場合、ユーザーにはデバイスを Intune に登録するオプションが表示されます。

「選択したコントロールすべてが必要」が選択されていることを確認し、「選択」で変更を保存し、パネルを閉じます。

capture8.png

LMS365では「承認されたクライアントアプリが必要です」および「アプリの保護ポリシーが必要」は、サポートされていません。

設定が完了したら「作成」ボタンで、ポリシーの作成を完了します。