BYOD デバイスを企業で導入する場合、懸念される行為として、社内データと個人データの境界線が曖昧になることでのデータの不正持ち出しなどが挙げられます。
このようなセキュリティリスクへの対策として、IntuneでMAM(Mobile Application Management)による端末のアプリケーション管理を行います。
今回は、MAMと条件付きアクセスポリシーの実装方法について紹介いたしますので是非ご参考ください。
図1 アプリ保護ポリシー適用の流れ
![](https://yjk365.jp/wp-content/uploads/2024/05/画像1-1.png)
![](https://yjk365.jp/wp-content/uploads/2024/05/画像1-2.png)
条件付きアクセスを設定すると「個人スマホで会社用メールを確認したい!」といった際に、勝手に個人スマホで追加できないようになります。
個人スマホで会社用メールを利用するには、まず社内で許可をもらいます。その後、Authenticatorを利用してMicrosoft Entraにデバイス登録をします。そうすると自動的にアプリ保護ポリシーが割り当てられます。そうすると、会社用メールの追加が許可されます。デバイス登録をしていない個人スマホはアプリ保護ポリシーが適用されていないのでOutlookの利用ができません。
図2 個人用のスマホに業務データの保存や共有ができない
![](https://yjk365.jp/wp-content/uploads/2024/05/画像2-1.png)
![](https://yjk365.jp/wp-content/uploads/2024/05/画像2-2.png)
アプリ保護ポリシーを設定すると情報漏えい対策ができます。個人用G-mailアカウントで受信した業務データを保存・共有することは可能ですが、会社用アカウントで受信した業務データは、アプリ保護ポリシーによって制限されるため業務データを保存・共有することはできません。
- 手順1 iOS アプリ保護ポリシーの作成
- 手順2 条件付きアクセス作成
- 手順3 iOSで会社用のメールアカウントを追加する
- 手順4 Entra/Intuneでデバイスの自動反映を確認
- 手順5 iOS 個人用/会社用でのファイルの保存や共有の違い
- 手順6 Android アプリ保護ポリシーの作成
- 手順7 Androidで会社用のメールアカウントを追加する
- 手順8 Android 個人用/会社用でのファイルの保存や共有の違い
手順1 iOS アプリ保護ポリシーの作成
1.Microsoft Intune 管理センターを開きます。
2.「アプリ」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-1.アプリ-1024x549.jpg)
3.「アプリ保護ポリシー」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-2.アプリ保護ポリシー-1024x551.jpg)
4.「ポリシーの作成」のプルダウンから、「iOS/iPadOS」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-3.ポリシーの作成-1024x553.jpg)
5.「名前」を入力し、「次へ」をクリックします。
※ここでは「iOS_App_Protection」と入力します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-4.名前-1024x558.jpg)
6.「ポリシーの対象」のプルダウンから、「すべてのアプリ」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-5.すべてのアプリ-1024x557.jpg)
7.「次へ」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-6.次へ-1024x562.jpg)
8.「iTunesとiCloudのバックアップに組織データをバックアップ」を「ブロック」に設定します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-7.ブロック-1024x562.jpg)
9.「他のアプリに組織データを送信」のプルダウンから、「ポリシー マネージド アプリ」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-8.ポリシーマネージドアプリ-1024x558.jpg)
10.「組織データのコピーを保存」を「ブロック」に設定します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-9.ブロック-1024x558.jpg)
11.「選択したサービスにユーザーがコピーを保存することを許可」のプルダウンの、「OneDrive for Business」と「SharePoint」にチェックを入れます。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-10.設定-1024x558.jpg)
12.「ポリシー マネージド アプリデータとネイティブアプリまたはアドインの同期」と「組織のデータを出力する」の設定を「ブロック」へと変更します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-11.ブロック-1024x557.jpg)
13.「次へ」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-12.次へ-1024x557.jpg)
14.「単純なPIN」を「ブロック」に設定し、「タイムアウト(非アクティブ分数)」を「720」に設定します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-13.単純なPIN-1024x559.jpg)
15.「次へ」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-14.次へ-1024x555.jpg)
16.アプリの条件の「オフラインの猶予期間」を「720」に設定します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-15.720-1024x557.jpg)
17.デバイスの条件を新規で作成します。プルダウンから、「OSの最小バージョン」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-16.OS最小バージョン-1024x558.jpg)
18.「値」を「10.0」に設定し、「操作」のプルダウンから「アクセス禁止」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-17.バージョン-1-1024x554.jpg)
19.「次へ」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-18.次へ-1024x558.jpg)
20.「グループの追加」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-19.グループの追加-1024x569.jpg)
21.含めるグループを選択し、「選択」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-20.グループ選択-1024x562.jpg)
22.「レビューと保存」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-21.レビューと保存-1024x560.jpg)
23.「保存」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-22.保存-1024x555.jpg)
24.ポリシーが保存されました。
![](https://yjk365.jp/wp-content/uploads/2024/04/1-23.保存完了-1024x558.jpg)
手順2 条件付きアクセス作成
1.「デバイス」をクリックし、「条件付きアクセス」を開きます。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-1.条件付きアクセス-1024x520.jpg)
2.「新しいポリシーを作成する」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-2.新しいポリシー-1024x538.jpg)
3.「名前」を入力し、「ユーザー」をクリックします。
※ここでは「BYOD_conditionalPolicy」と入力します。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-3.名前-1024x552.jpg)
4.「ユーザーとグループの選択」をクリックし、「ユーザーとグループ」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-4.ユーザーとグループ-1024x563.jpg)
5.対象のユーザーやグループを選択し、「選択」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-5.グループ-1024x573.jpg)
6.「対象外」をクリックし、「ユーザーとグループ」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-6.対象外-1024x490.jpg)
7.対象外に設定するユーザーやグループを選択し、「選択」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-7.ユーザー-1024x573.jpg)
8.「ターゲットリソース」をクリックし、「すべてのクラウドアプリ」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-8.すべてのクラウドアプリ-1024x521.jpg)
9.「条件」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-9.条件-1024x532.jpg)
10.「デバイスプラットフォーム」をクリックし、構成を「はい」に変更します。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-10.デバイスプラットフォーム-1024x572.jpg)
11.「デバイスプラットフォームの選択」をクリックし、「Android」と「iOS」にチェックを入れ、「完了」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-11.完了-1024x573.jpg)
12.「許可」をクリックし、「アプリの保護ポリシーが必要」にチェックを入れ、「選択」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-12.許可-1024x573.jpg)
13.「ポリシーの有効化」を「オン」に設定し、「作成」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/2-13.作成-1024x573.jpg)
手順3 iOSで会社用のメールアカウントを追加する
・Authenticatorと連携し、会社用メールアカウントを追加
1.「Outlook」を開きます。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-8.ホーム画面Authenticator-575x1024.jpg)
2.左上の「アカウントマーク」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-9.メール画面-593x1024.jpg)
3.「メールアカウントの追加」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-10.メール-592x1024.jpg)
4.メールアドレスを入力し、「アカウントの追加」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-11.メールアドレス-592x1024.jpg)
5.認証画面に切り替わるので、「Authenticatorを開く」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-12.Authenticator.jpg)
6.パスワードを入力し、「サインイン」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-13.パスワード.jpg)
7.「登録」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-14.登録.jpg)
8.サインインを行います。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-15.サインイン.jpg)
9.「OK」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-16.ポップアップ.jpg)
10.再度Outlookを開き、「アカウントマーク」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-17.メール画面.jpg)
11.会社用メールアカウントが追加されたことを確認できます。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-18.連携.jpg)
![](https://yjk365.jp/wp-content/uploads/2024/04/3-19.会社用-1.jpg)
———-
(失敗例)Authenticatorと連携せずに、アカウントを追加
→ エラーが表示され、追加ができませんでした。
1.「Outlook」を開きます。
※Authenticatorはインストールされていません。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-1.ホーム画面-594x1024.jpg)
2.「アカウントマーク」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-2.メール画面-593x1024.jpg)
3.「メールアカウントの追加」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-3.メール-592x1024.jpg)
4.メールアドレスを入力し、「アカウントの追加」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-4.メールアドレス-592x1024.jpg)
5.パスワードを入力し、「サインイン」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-5.パスワード-592x1024.jpg)
6.「アプリの取得」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-6.アプリの取得-592x1024.jpg)
7.エラー画面が表示されました。
![](https://yjk365.jp/wp-content/uploads/2024/04/3-7.エラー表示-593x1024.jpg)
手順4 Entra/Intuneでデバイスの自動反映を確認
[Microsoft Entra]
1.Microsoft Entraを開きます。
2.ユーザーから、「デバイス」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/4-1.デバイス-1024x508.jpg)
3.デバイスが自動で反映されているのを確認できます。
![](https://yjk365.jp/wp-content/uploads/2024/04/4-2.iPhone8-1024x468.jpg)
[Intune]
1.Microsoft Intune 管理センターを開きます。
2.ユーザーを開き、「デバイス」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/4-3デバイス-1024x522.jpg)
3.デバイスが自動で反映されているのを確認できます。
![](https://yjk365.jp/wp-content/uploads/2024/04/4-4.登録-1024x485.jpg)
手順5 iOS 個人用/会社用でのファイルの保存や共有の違い
・個人のアウントで作業した場合
→ ファイルを個人のデバイスへ保存・共有などが可能
1.「Outlook」を開きます。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-1.Outlook-575x1024.jpg)
2.ファイルが添付されているメールを開きます。
※個人のアカウントからメールを開いています。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-2.PDF付きメール-590x1024.jpg)
3.PDFファイルを開き、右上の「保存ボタン」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-3.PDF保存-591x1024.jpg)
4.「ファイルの共有」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-4.ファイルの共有-1.jpg)
5.「ファイルに保存」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-5.ファイル保存.jpg)
6.iPhone内に保存することが可能です。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-6.iPhone内.jpg)
7.ファイルの共有をするには、手順5-4で「ファイルの共有」を選択した後、「Outlook」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-7.Outlook.jpg)
8.自動で画面が切り替わり、PDFファイルの共有が可能になります。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-8.宛先.jpg)
———-
・会社用アウントで作業した場合
→ ファイルを個人のデバイスへ保存・共有することは不可
1.「Outlook」を開きます。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-9.Outlook-575x1024.jpg)
2.会社用アカウントに切り替えます。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-10.会社用アカウント-594x1024.jpg)
3. PDFファイル右上の「保存ボタン」をクリックし、「ファイルの共有」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-11.ファイルの共有-596x1024.jpg)
4.「ファイルに保存」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-12.ファイルに保存-1-591x1024.jpg)
5.このようにエラー画面が表示され、個人のデバイス内には保存できないようになっています。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-13.エラー-586x1024.jpg)
6.ファイルデータをコピーし、個人用のアカウントに切り替えて貼り付けしようとしても、「組織のデータをここに貼り付けることはできません。」というメッセージが表示され、貼り付けられない仕様になっていました。
![](https://yjk365.jp/wp-content/uploads/2024/04/5-14.コピペ-595x1024.jpg)
手順6 Android アプリ保護ポリシーの作成
1.Microsoft Intune 管理センターを開きます。
2.「アプリ」をクリックし、「アプリ保護ポリシー」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-1.アプリ保護ポリシー-1024x471.jpg)
3.「ポリシーの作成」のプルダウンから、「Android」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-2.ポリシーの作成-1024x469.jpg)
4.「名前」を入力し、「次へ」をクリックします。
※ここでは「Android_App_Protection」と入力します。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-3.名前-1024x687.jpg)
5.「ポリシーの対象」のプルダウンから、「すべてMicrosoft Apps」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-4.ポリシーの対象-1024x477.jpg)
6.「次へ」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-5.次へ-1024x640.jpg)
7.「Androidバックアップサービスに組織データをバックアップ」を「ブロック」に設定します。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-6.ブロック-1024x490.jpg)
8.「他のアプリに組織データを送信」のプルダウンから、「ポリシー マネージド アプリ」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-7.ポリシーマネージドアプリ-1024x491.jpg)
9.「ポリシー マネージド アプリデータとネイティブアプリまたはアドインの同期」と「組織のデータを出力する」の設定を「ブロック」へと変更します。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-8.ブロック-1024x518.jpg)
10.「次へ」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-9.次へ-1024x658.jpg)
11.「タイムアウト(非アクティブ分数)」を「720」に設定し、「次へ」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-10.720-1024x661.jpg)
12.「次へ」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-11.次へ-1024x652.jpg)
13.「グループの追加」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-12.グループの追加-1024x556.jpg)
14.含めるグループを選択し、「選択」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-13.グループ選択-1024x647.jpg)
15.「次へ」を選択します。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-14.次へ-1024x661.jpg)
16.「作成」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/6-15.作成-1024x654.jpg)
手順7 Androidで会社用のメールアカウントを追加する
・Authenticatorと連携し、Microsoft Intune ポータルサイトをインストール後アカウントを追加
1.Microsoft Intune ポータルサイトをインストールします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-23.インストール-460x1024.jpg)
2. Outlookを開き、「アカウントマーク」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-24.メール-461x1024.jpg)
3.「アカウントの追加」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-25.メール-461x1024.jpg)
4.メールアドレスとパスワードを入力し、「登録」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-26.登録-462x1024.jpg)
5.サインインを行います。画面が切り替わるので、そのままお待ちください。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-27.サインイン要求-460x1024.jpg)
6.「続行」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-28.続行-461x1024.jpg)
7.PINを入力し、「OK」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-29.PIN_-462x1024.jpg)
8.会社用メールアカウントが追加されました。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-30.追加完了-462x1024.jpg)
———-
(失敗例) Authenticatorと連携せずに、アカウントを追加
→ Microsoft Intune ポータルサイトのインストール画面が表示されてしまい、追加できませんでした。
1.「Outlook」を開きます。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-1.Androidメール-463x1024.jpg)
2.「アカウントマーク」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-2.メール-457x1024.jpg)
3.「アカウントの追加」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-3.アカウント-462x1024.jpg)
4.メールアドレスを入力し、「続行」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-6.メールアドレス-459x1024.jpg)
5.パスワードを入力し、「サインイン」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-7.サインイン-457x1024.jpg)
6.「アプリの取得」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-8.アプリの取得-461x1024.jpg)
7.Microsoft Intune ポータルサイトのインストール画面が表示されてしまいます。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-9.インポータルアプリ-458x1024.jpg)
———-
(失敗例) Authenticatorと連携し、アカウントを追加
→ こちらも、Microsoft Intune ポータルサイトのインストール画面が表示されてしまい追加できませんでした。
1.Authenticatorにサインインします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-10.Authenticator.jpg)
2.メールアドレスとパスワードを入力し、サインインを行います。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-13.サインイン要求-460x1024.jpg)
3.「OK」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-14.ポップアップ-445x1024.jpg)
4. Authenticatorのサインインが完了しました。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-15.インストール完了-446x1024.jpg)
5.Outlookを開き、「アカウントマーク」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-16.メール-461x1024.jpg)
6.「アカウントの追加」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-17.メール-461x1024.jpg)
7.再度、Microsoft Intune ポータルサイトのインストール画面が表示されてしまいました。
![](https://yjk365.jp/wp-content/uploads/2024/04/7-22.インポータルアプリ-458x1024.jpg)
手順8 Android 個人用/会社用でのファイルの保存や共有の違い
・個人のアウントで作業した場合
→ ファイルを個人のデバイスへ保存・共有などが可能
1.ファイルが添付されているメールを開きます。
※個人のアカウントからメールを開いています。
![](https://yjk365.jp/wp-content/uploads/2024/04/8-1.PDF付きメール-460x1024.jpg)
2.PDFファイルを開き、右上の「三点リーダー」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/8-2.三点リーダー-457x1024.jpg)
3.「ダウンロード」をクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/8-3.ダウンロード-460x1024.jpg)
4.ファイルが保存されました。
![](https://yjk365.jp/wp-content/uploads/2024/04/8-4.保存-462x1024.jpg)
———-
・会社用アウントで作業した場合
→ ファイルを個人のデバイスへ保存・共有することは不可
1.会社用アカウントに切り替えます。
![](https://yjk365.jp/wp-content/uploads/2024/04/8-5.会社用アカウント-461x1024.jpg)
2. PDFファイルをクリックします。
![](https://yjk365.jp/wp-content/uploads/2024/04/8-6.PDF-455x1024.jpg)
3.このように、PDFファイルを開こうとするとエラー画面が表示され、個人のデバイス内に保存することはできませんでした。
![](https://yjk365.jp/wp-content/uploads/2024/04/8-7.失敗-461x1024.jpg)
その他お困りごとも動画で解説!
![](https://yjk365.jp/wp-content/uploads/2024/04/サムネイル変更4.jpg)