iPhoneにアプリを自動配信する「Microsoft Intune」とは？

　「Microsoft Intune」は、モバイルデバイスの管理（MDM：Mobile Device Management）に加え、モバイルデバイス上で実行するアプリを管理（MAM：Mobile Application Management）する機能も備えている。これを利用すれば、管理対象のAndroidやiPhoneに対してリモートからアプリを配信できる。

業務で利用するアプリを自動でインストール

　例えば、社内コミュニケーションのためにMicrosoft Teamsを全社的に利用したいといった際、Microsoft Intuneを使えば、対象デバイスへアプリを配信することができる。これにより、各ユーザーが個別にアプリをインストールする必要がなくなる。業務に必要なアプリを迅速に展開できるのは大きなメリットだ。

　Microsoft Intuneで配布できるのは、Google PlayやApp Store、Microsoft Storeで配信されているアプリのほか、Microsoft OfficeやMicrosoft Edge、カスタムアプリ、Win32アプリケーションなどさまざまだ。いずれかのカテゴリを選んで配信するアプリを追加し、続けてそのアプリを配信するユーザーやグループを指定するといった流れになる。

　実際にアプリを追加するには、「Microsoft Endpoint Manager admin center」で「アプリ」－「すべてのアプリ」を開いて、「追加」をクリックする。これでアプリケーションの種類が表示されるので、追加したいアプリの種類を選び、各種設定を行っていく。

アプリケーションの種類を選択する画面。macOSに対して、Officeアプリケーションを配信することもできる

　例えば、AndroidやiOSのデバイスにMicrosoft Teamsを配布したいなら、アプリケーションの種類として「組み込みアプリ」を選択する。組み込みアプリとは、Microsoftによって選定されたアプリをAndroid/iOSに簡単に割り当てられる仕組みだ。

　その後、アプリの選択画面で「アプリの選択」をクリックすると、組み込みアプリとして選択できるアプリが一覧表示される。アプリはOSごとに登録されているので、一覧からAndroidとiOSの両方、あるいはいずれかのMicrosoft Teamsにチェックマークを付ければいい。次の画面で、管理権限を制御する際に使うスコープタグを選択し、最後に「作成」をクリックすれば、アプリの追加が完了だ。

　続けて追加したMicrosoft Teamsのプロパティを開き、アプリを配信するユーザーやグループを割り当てる。なお割り当てには、「必須」と「登録済みデバイスで使用可能」、「登録の有無にかかわらず使用可能」の3つのカテゴリがある。

組み込みアプリの選択画面。組み込みアプリとしては、WordやExcel、PowerPoint、OneNoteの各モバイルアプリのほか、Adobeの「Acrobat Reader」なども用意されている

アプリを配信するグループやユーザーを選択。なお、グループはMicrosoft Endpoint Manager admin centerの「グループ」で作成できる

Microsoft Intuneのポータルサイトアプリ。管理者が登録したアプリをここからインストールすることができる

　「必須」に指定したグループには、Microsoft Intuneに登録済みのデバイスに対して自動的にインストールが行われる。一方、「登録済みデバイスで使用可能」では、ユーザー自身がポータルサイトアプリからインストールする必要がある。「登録の有無にかかわらず使用可能」にグループを登録すると、Microsoft Intuneに登録されていないデバイスでも、ポータルサイトアプリからインストールすることが可能だ。

　なおiOSには「アンインストール」というカテゴリがある。こちらはMicrosoft Intuneでデバイスに対してアプリを割り当てた後、そのアプリをアンインストールする際に利用する。

　いずれかのカテゴリにグループを割り当てた後、「レビューと保存」をクリックし、さらに次の画面で「保存」をクリックすれば、アプリを配信する設定は完了だ。

アプリ起動時にPINの入力を求めることも可能

　さらに、「アプリ保護ポリシー」を利用すれば、こうして配信したアプリのデータを保護したり、利用に制限を加えることが可能だ。

アプリ保護ポリシーの「データ保護」では、指定したアプリのバックアップの可否や、別のアプリとのクリップボード経由でのデータのやり取りなどを制御できる

「アクセス要件」の項目では、アプリの利用にPINの利用を要求するように設定が可能。また設定するPINの要件やTouch IDの許可／ブロックなどといった選択肢もある

　具体的には、そのアプリのデータについて、iTunesやiCloudへのバックアップを禁止したり、ほかのアプリとの間で切り取りやコピー、貼り付けを制限できるほか、アプリの起動時にPINの入力を求める、といったことも可能だ。

　なお、Microsoft IntuneのMAM機能で管理できるのは、AndroidやiPhoneだけではない。前述したように、Officeアプリケーションを配信できるほか、業務アプリやWin32アプリをMicrosoft Intune経由で配信するといったこともできる。

Windows 10やmacOSに対して、Officeアプリケーション（Office 365 スイート）の配信も設定することが可能。Windows 10の場合、インストールするアプリや更新チャネルも選択できる

　昨今は在宅勤務やテレワークに取り組む企業が増えているが、オフィス以外の場所で使われるPCをどのように管理するかは難しい問題だろう。

　しかし、Microsoft Intuneを使えば、デバイスの場所にかかわらず、クラウド経由でデバイスの情報を取得したり、ポリシーを適用することが可能だ。これにより、設定の不備による情報漏えいなどといったリスクを低減できる。Microsoft 365を導入するのなら、Microsoft Intuneをぜひ積極的に活用したい。