Intuneのアプリ構成ポリシーを使って、iOSアプリの設定を流し込んでみた

iPhoneにインストールするアプリの、インストールと展開について相談を受けました。

• あるSaaSのアプリをiPhoneに配布して利用させたい
• ただ、設定が面倒そうなので各自で設定というのは難しそう。
• かといって、全台自部署に持ち込んでもらって自部署で設定するのは大変だし、費用かけて外注するしかないか・・・と考えている
• 何か、よい方法ないですか？

というものです。

そういえばIntuneのアプリ構成ポリシーで設定できないかと調べてみました。今回はSSOの構成と組み合わせて、ユーザーでもタップするだけで初期設定を行うことができ、外注コストも問い合わせも大きく減らすことができました。

次回以降のメモを兼ねて、今回のアプリ構成ポリシー設定までの手順をまとめてみました。

• メリット
• アプリのキー情報を入手する
• 設定したいアプリをIntuneに登録する
• アプリ構成ポリシーを作成して、ユーザーに割り当てる
• アプリ構成ポリシーとAppConfig
• 参考資料

メリット

ざっくり、3つのメリットがあります。

１、ユーザーにとって、準備のハードルが下がる。

２、イレギュラーが減り、問い合わせが減る。

３、その結果、利用率があがる

ユーザーにとって、初期設定は面倒です。たとえサーバー名と、アカウントとパスワードだけでもです。サーバー名（なじみがない）、アカウント（メールアドレスとかだと長い）、パスワードが面倒・・・それがタップするだけで済むなら相当にハードルは低くできます。長いパスワードを入力したあと「パスワードが違います」と出たらそれだけでやる気を削がれますね。

当然ですが、ハードルが低ければ設定についての問い合わせは大きく減ります。こんな使い方できない？という相談は大歓迎ですが、手順書に書いていても見ないで問い合わせされた、なんて経験した方も少なくないハズです。

問い合わせしてくれるならまだマシで、分からないなりに使おうとしてくれているわけです。しかし「分からないからもういいや」という反応もある程度の割合で存在するわけです。使ってほしくて導入するわけですから、利用へのハードルを下げれば使ってくれることにつながるでしょう。

折角導入するわけですから、ポジティブに使ってもらって、便利だね、と思ってもらいたい。ユーザーにとって準備のハードルが低いことは、それだけで利用に直結すると私は思います。

アプリのキー情報を入手する

アプリ構成ポリシーで設定するには、設定用のキー情報が必要です。

Docsには、以下のように記載されていますので、アプリの開発元・提供元に問い合わせして、必要なキー情報を入手しましょう。

Microsoft Intune のアプリ構成ポリシーを使用して、iOS/iPadOS アプリのカスタム構成設定を指定できます。 これらの構成設定では、アプリのサプライヤーの指示に基づいてアプリをカスタマイズすることができます。 これらの構成設定 (キーと値) は、アプリのサプライヤーから取得する必要があります。 

https://docs.microsoft.com/ja-jp/mem/intune/apps/app-configuration-policies-use-ios

今回は、とある国内SaaS提供元のアプリだったのですが、サポート窓口に「Microsoft365とSSOさせている。サーバー名とUPNをIntuneのアプリ構成ポリシーで設定したいが、キー情報を提供いただけないか」と問い合わせたところ即回答が返ってきました。

Key	Value
LoginID	{{userprincipalname}}
Server	サーバーURL

キー情報を入手できれば、あとは設定していくだけ。アプリ提供元、サポート窓口の方にはホント感謝です。

設定したいアプリをIntuneに登録する

このあとのアプリ構成ポリシーを設定するためには、Intuneで配信するアプリとして登録が必要になります。

必須インストールや利用可能などの割り当ては後からでもよいので、まずはアプリを登録しましょう。

アプリ構成ポリシーを作成する

では、設定しましょう！

エンドポイント管理センター - アプリ -アプリ構成ポリシー - [+追加]を選択します。

デバイスとアプリ、どちらに設定するのかと聞いてきます。アプリの設定ではあるのですが、「マネージド　デバイス」を選びましょう。

ポリシーに名前を付けて、プラットドームを選んで、対象アプリを選択します。

先の手順で登録していないと表示されませんのでご注意ください。

キーを設定します。

先ほど入手したキー情報を設定していきます。

XMLファイルを一括アップロードでも設定できますが、今回は構成キーを使いました。

あとは、このポリシーを適用するグループを選択すればOKです。

ポリシーがデバイスに同期されたら、アプリをインストールすればアプリ構成ポリシーに従って初期値が入っています。完了！

アプリ構成ポリシーとAppConfig

アプリ構成ポリシーはIntune固有の機能ではないようです。

AppConfig Communityという業界団体によって標準化されているようで、Mobilironや、AirWatchなどさまざまなEMMやMDMで名前は違えど同じような機能が利用できるようです。

ただ、この組織のメンバーにMS社は見つからないんですよね。とはいえ、この機能はとても便利なものですので、対応しているアプリやベンダーが増えるとうれしいですね。

参考資料

管理対象の iOS/iPadOS デバイス用アプリ構成ポリシーを追加する - Docs

https://docs.microsoft.com/ja-jp/mem/intune/apps/app-configuration-policies-use-ios

iOSでのデバイスおよび企業データの管理 - Apple

https://www.apple.com/jp/business-docs/Managing_Devices_and_Corporate_Data_on_iOS.pdf

AppConfig Community

https://appconfig.org/

各種SaaSの、Azure Active Directory (AAD) でのシングルサインオン対応状況 - peridot-green.com

https://www.peridot-green.com/2021/03/saasazure-active-directory-aad.html