Home » エンドポイント管理センター » VPPとIntuneのアプリ構成ポリシーの組み合わせで引っかかってしまった(とりあえず解決したんだろうか)

VPPとIntuneのアプリ構成ポリシーの組み合わせで引っかかってしまった(とりあえず解決したんだろうか)

11/27/2021

Intune Microsoft Edge エンドポイント管理センター

Intuneのアプリ構成ポリシーは、アプリの初期設定を強制したり、アカウント情報やサーバー情報も設定できるので便利。ユーザーを当てにせず、初期設定を強制できるのは結構ありがたい。

それから、Apple VPP使ったアプリ配布も便利。Intuneのアプリでのアプリは配布設定と組み合わせて、Apple ID 作成させなくても、アプリを強制インストールできるし。


アプリ構成ポリシーで配布していたアプリを、VPP配布切り替えたところ、アプリ構成ポリシーが適用されなくなってしまった!で、これを解決した手法でEdgeのAppProxyリダイレクトの設定が適用されなくなってしまった!


・・・自分への備忘録をかねて、まとめてみました。

環境について

IntuneでiOS管理、ABMを利用しています。アプリ保護ポリシーも365系アプリには適用してます。


正常に利用できていた、アプリ配布とアプリ構成ポリシー

国内のあるSaaSのアプリを、非VPPでアプリ強制配布設定して、アプリ構成ポリシー適用して、利用していました。特に問題なく初期設定も適用できて特にトラブルありませんでした。

ただ、アプリインストールするためにApple IDを作らなきゃいけないのが面倒ってことでVPPで配布に切り替えました。


VPPでは、アプリ構成ポリシーが適用できない→解決した

ところが一部端末でアプリ構成ポリシーの設定が適用されないとの相談が入るようになりました。アプリ構成ポリシーは何も触っていないし、設定も変えていません。それでも適用されないということは、アプリ配布方法を変更したことが原因の可能性が高いですね。


VPPでのアプリ配布は、Intune上のユーザーには割り当てができず、デバイスに対して適用されるようです。


アプリ構成ポリシーの設定を今一度確認すると、「マネージドアプリ」「マネージドデバイス」の選択肢があります。さきのSaaSのアプリ構成ポリシーは、マネージドアプリで作成していたので、「マネージドデバイス」で同じ構成を作成・適用したところ、無事にiPhone上のアプリに適用することができました。


VPPで配布するアプリにアプリ構成ポリシーを適用するには、マネージドデバイスとして作成すればいいのね・・・とおもったこれが後で違うトラブルを招くことになりました。


VPP配布のEdgeでは、マネージドデバイスでアプリ構成ポリシーでは一部適用されない

EdgeもVPPで配布しよう、てことはアプリ構成ポリシーもマネージドデバイスで作成すればいいよね、と思って作成・適用したのですが・・・



・・・アプリ構成ポリシーの一部しか反映されない!


ブックマークや、ホームページ設定は適用されるんです。でも、表示不可サイトの設定や、AppProxyリダイレクトの設定が適用されない。セキュリティや利便性のための機能が使えないなんて、顔面蒼白です。



VPPアプリなら、マネージドデバイスでアプリ構成作成じゃないのか?VPPでアプリインストールは効率化したいけど、セキュリティを切り捨てることはできない。何か答えがあるはずだ・・・とサービスリクエストで問い合わせました。



解決した

AppProxyリダイレクトのシナリオが適用できない、と泣きつきました。返ってきた答えは「マネージドデバイスではなくて、マネージドアプリで構成してください」でした。


VPPで巻いてることを問い合わせで書いてなかったし、それを補足しようか。
でも、その前に言われたことをやってみよう・・・ということでマネージドアプリで作成していたアプリ構成ポリシーを適用したところ、あっさり反映!



マネージドデバイスとマネージドアプリどちらを使えばいいの

調べてみると、こんな記述が。


管理対象デバイス - デバイスは、モバイル デバイス管理 (MDM) プロバイダーとして Intune によって管理されます。 アプリは、アプリの構成をサポートするように設計されている必要があります。


マネージ アプリ - Intune アプリ SDK を統合するために開発されたアプリ。 これは、登録なしのモバイル アプリケーション管理(MAM-WE) と呼ばれています。 アプリをラップして Intune アプリ SDK を実装およびサポートすることもできます。 アプリをラップする方法の詳細については、「アプリ保護ポリシー用に業務用アプリを準備する 」を参照してください。

https://docs.microsoft.com/ja-jp/mem/intune/apps/app-configuration-policies-overview


とのこと。


冒頭のアプリは、アプリ保護ポリシー対応しているアプリなんだけど、アプリ構成ポリシーをマネージドデバイスで作成したから適用できたりもしてて、条件が今ひとつはっきりしない。



やや、もやもやしてるけど次にアプリ構成ポリシー対応アプリを配布するときに検証してみます。




参考記事

Apple Business Manager で購入した iOS アプリと macOS アプリを Microsoft Intune で管理する方法 - Docs
https://docs.microsoft.com/ja-jp/mem/intune/apps/vpp-apps-ios#assign-a-volume-purchased-app


エッジ for iOS と Android を使用して、アプリを使用して web アクセスをMicrosoft Intune - Docs
https://docs.microsoft.com/ja-jp/mem/intune/apps/manage-microsoft-edge


-
ラベル: , ,