はじめに
このたび MAM を使った検証が必要になり、トライしていたのですが、MAM をうまく機能させられず 丸1日を溶かしました。その反省を踏まえ、MAM を扱うために必要な情報を整理しておきます。
アンマネージドな MAM とは?
MAM(Mobile Application Management) とは、
デバイス全体を管理(MDM)することなく、アプリ単位でデータや挙動を制御するための管理方式です。
Microsoft Intune における MAM は、主に以下のユースケースを想定しています。
- BYOD(個人所有端末)を業務利用する
- 端末全体の管理や制御(MDM)は行いたくない/行えない
- それでも、業務データだけは保護したい
代表的な制御例は以下の通りです。
- 業務アプリ内のデータを、個人アプリへコピーさせない
- 保存先をクラウド(OneDrive for Business など)に限定する
- 未準拠な状態になった場合に、アプリ内データのみをワイプする
- 特定の条件(PIN、生体認証など)を満たさないとアプリを使えないようにする
ポイント
上記のような制御を実装する方法は、以下の私の記事で解説しています。
本記事で MAM 登録ができるようになったら、以下を参照して アプリの保護・構成・制御 までトライしてみてください。
アンマネージドな MAM を登録した BYOD 環境で実現できるアプリ保護・構成・制御とは?
https://qiita.com/carol0226/items/8001e08bb2195cd7b09d
MDM と MAM の違い
混同されがちなので、簡単に整理します。
| 管理方式 | 管理対象 | 特徴 |
|---|---|---|
| MDM | デバイス全体 | ポリシー適用・設定変更・リモートワイプなど、強力だが BYOD には過剰になりがち |
| MAM | アプリ単位 | デバイスには手を入れず、業務アプリ内のデータだけを保護できる |
本記事で扱うのは、
MDM を使わない(=アンマネージド)MAM であり、
特に Windows における MAM(MAM‑WE : MAM without device enrollment) が対象です。
Windows における MAM(MAM‑WE)の位置づけ
Windows の MAM‑WE は、モバイル(iOS / Android)の MAM と比べて癖が強く、
- Entra ID へのデバイス登録(Registered)が必要
- しかし Intune への MDM 登録は不要(かつ回避する)
- アプリ(現時点では、公式に広く利用されているのは Microsoft Edge が中心)
といった、直感に反する前提条件があります。
結果として、挙動を正しく理解していないと意図せず MAM が成立しないケースが発生しやすい構造になっています。
本記事では、
Windows 11 + BYOD 環境で、アンマネージドな MAM(MAM‑WE)を成立させるための正しい条件とユーザー操作を、
実際に全パターン検証した結果をもとに整理しています。
顛末
もともと、以下の検証をしたいと思っていました。
[GSA: Internet] Explicit Forward Proxy (Preview) + Intune MAM BYOD シナリオを試す
https://qiita.com/carol0226/private/36a440963bbb63a8f328
MAM は過去にも検証したことがあったので、自信はありました。
過去に 以下の記事も投稿していますので、それを踏まえて対応すれば良いとは思うものの、
なんとも想像通りにいかない厄介者という印象は持っていました。
Microsoft Entra ID:アンマネージドな MAM 登録 のやり方
https://qiita.com/carol0226/items/b051951fd89f865dd76e
ところが、半年前に 「このデバイスのすべてのアプリ、Web サイト、サービスにサインインしますか?」 の画面に仕様変更があり、この画面制御が変わった結果、MAM の登録の際のオペレーションって、どうなるんだろうとの不安要素を持っていました。
このデバイスのすべてのアプリ、Web サイト、サービスにサインインしますか?
https://jpazureid.github.io/blog/azure-active-directory/WorkPlaceJoin3/
その不安は的中し、私が以前に見極めていたユーザー操作と同じにするには、新画面では どういうオペレーションにすれば良いのかが判りませんでした。
さらに、Entra ID の モビリティの設定にも仕様変更があり、以下のスイッチが追加されました。
Windows で職場または学校アカウントを追加する際に MDM への登録を無効にする
このスイッチの ON / OFF の要素も加わって、何が正解なのかを突き止めるのに時間が掛かりました。
Intune Customer Success: Rethinking “Allow my organization to manage my device” Why opt‑in enrollment works better for Intune
https://techcommunity.microsoft.com/blog/intunecustomersuccess/rethinking-“allow-my-organization-to-manage-my-device”-why-opt‑in-enrollment-wor/4499766
結論
結果的には、これらの設定とユーザー操作の全パターンについて検証を行い、MAM 登録が成立するパターンを見極めたのですが、それでも アプリ保護・アプリ構成ポリシーは機能しませんでした。そこまで追求して、ようやく 初心に立ち返って、ライセンス不足であることが判明したのです。
今回の調査で判明したことのまとめ
MAM でアプリ保護ポリシーを利用するために必要なライセンス
以下の通りです。
なお、Microsoft 365 Business Standard では、ライセンス不足で アプリ保護ポリシー・アプリ構成ポリシー が適用されませんが、テナント内に Entra ID P1 のライセンスがあるので、CA は機能していました。
| ライセンスSKU | Intune APP(MAM‑WE / Edge) | CA「Require app protection policy」 | コメント |
|---|---|---|---|
| Microsoft 365 Business Standard | × | × | Intune を含まない。APP 利用には Intune Plan 1 の追加が必要。CA を使うなら Entra ID P1 も別途必要。 |
| Microsoft 365 Business Premium | ○ | ○ | Intune Plan 1 + Entra ID P1 を含む。MAM‑WE の最小構成として推奨。 |
| Microsoft 365 E3 | ○ | ○ | Intune Plan 1 + Entra ID P1 を含む。 |
| Microsoft 365 E5 | ○ | ○ | Intune Plan 1 + Entra ID P2 を含む。 |
| Office 365 E3/E5(単体) | × | × | Intune を含まない。Intune Plan 1 と Entra ID P1 を別途追加が必要。 |
| Intune Plan 1(単体) | ○ | × | APP/ACP は可。CA を使う場合は Entra ID P1 を追加。 |
| EMS E3 / EMS E5 | ○ | ○ | Intune Plan 1 + Entra ID P1/P2 を含む。 |
ハマりどころ
Intune の トラブルシューティングページ
このページで、ユーザーアカウントを指定すると、使用しているデバイスや所属しているグループ、適用されるライセンスなどが一望できて便利です。
しかし、調査の最中に この画面の表示を確認しながら対応していたのですが、ここに誤りが含まれていたことが後々分かりました。そのため、問題を切り分けることに苦労することになってしまいました。
問題点1
画面を見て、Intune ライセンス済み と表示されており、これを根拠に問題ないと思い込んでいました。しかし、実際のユーザーに適用されているライセンスを目視確認したところ Intune のライセンスが不足していることに気が付きました。この表示は 一体何なのか・・・
問題点2
アプリ保護ポリシー というタブがあります。
当然、ここを選べば このユーザーに適用される アプリ保護ポリシー が表示されるのかと思います。
しかし、最終的に このユーザーに アプリ保護ポリシー が適用される状態になっても、この一覧には表示されてきませんでした。これは一体 どういうことなのか?
Windows で職場または学校アカウントを追加する際に MDM への登録を無効にする
Microsoft Entra 管理センター の モビリティ の設定項目に、2026年初頭から仕様変更がありました。
従来は、この欄がない状態で 既定値は いいえ です。
これを はい にした場合でも、MAM 登録は機能するのかどうかが曖昧でした。
結論としては、このスイッチは ON / OFF どちらでも アンマネージドな MAM 登録には影響しませんが、利用者が あやまって MDM 登録してしまうことを防止することが可能であるため、安全に アンマネージドな MAM 登録へ誘導することが可能であることが判明しました。
この設定を ON にしておくことで、BYOD 端末を ユーザーが手動で Intune へ MDM 登録してしまうことを防止できるため、お勧めです(BYOD を推奨している組織の場合だけ、ここは いいえ のままにします)
このデバイスのすべてのアプリ、Web サイト、サービスにサインインしますか?
以下の記事で紹介されている通り、利用者が Edge や Microsoft 365 などにサインインする際に表示される画面の仕様変更が行われました。その結果、画面遷移が大幅に変更されており、私が以前に見極めた アンマネージドな MAM 登録の手順が 新画面ではどうすれば良いのかがあいまいとなりました。
Support Blog:このデバイスのすべてのアプリ、Web サイト、サービスにサインインしますか?(新画面)
https://jpazureid.github.io/blog/azure-active-directory/WorkPlaceJoin3/
Support Blog:このデバイスのすべてのアプリ、Web サイト、サービスにサインインしますか?(旧画面)
https://jpazureid.github.io/blog/azure-active-directory/WorkPlaceJoin2/
結論としては、私が過去に見極めた際の見解は間違っていなかったのですが、具体的な操作が明確となったことは収穫でした。
対応表(検証結果まとめ)
結論として、アンマネージドな MAM 登録が成立するのは No.4 と No.6 のパターンです。
| # | MDM ユーザー スコープ |
MDM 登録 無効化 |
WIP スコープ |
ユーザー 操作 |
Entra ID 登録 |
MDM 登録 |
アン マネージド MAM |
|---|---|---|---|---|---|---|---|
| 1 | なし | 任意 | 任意 | ― | × | × | × |
| 2 | 一部(対象外) | 任意 | 任意 | ― | × | × | × |
| 3 | 一部 / すべて | オフ | なし | いいえ、このアプリのみ | × | × | × |
| 4 | 一部 / すべて | オフ | なし | はい → いいえ | ○ | × | ○ |
| 5 | 一部 / すべて | オフ | なし | はい → はい | ○ | ○ | ×(MDM+MAM) |
| 6 | 一部 / すべて | オン | なし | はい | ○ | × | ○ |
ユーザー操作(対応表の No. と連動)
検証結果のキャプチャです。
No.1 および No.2
設定画面
- MDM ユーザースコープ なし
※No.2 一部 を選択した場合でも ユーザーがグループに含まれていなければ動作は一緒 - Windows で職場または学校アカウントを追加する際に MDM への登録を無効にする = [いいえ]
- WIP ユーザースコープ なし
ユーザー操作
いいえ、このアプリのみです を選択した場合
アプリにサインインされるだけ
はい を選択した場合
→
PC 上の登録状態
Entra ID 上のデバイス
No.3 , No.4 , No.5
設定画面
- MDM ユーザースコープ すべて・一部(利用者がグループに所属)
- Windows で職場または学校アカウントを追加する際に MDM への登録を無効にする = [いいえ]
- WIP ユーザースコープ なし
ユーザー操作
「いいえ、このアプリのみです」 を選択した場合 (No.3)
アプリにサインインされるだけ
「はい」
このデバイスのすべてのアプリと Web サイトにサインインしますか? で「はい」を選んだ場合の次の画面
「いいえ」 (No.4)
- Microsoft Entra Registered(Entra 登録)
- アンマネージドな MAM 登録
→
PC 上の登録状態
Entra ID 上のデバイス
はい (No.5)
- Microsoft Entra Registered(Entra 登録)
- Intune MDM + MAM 登録
→
※私のテナントでは、BYOD による MDM 登録をブロックしているので、このエラーが出ています。ブロックしていなければ、MDM 登録になります。
No.6
設定画面
- MDM ユーザースコープ すべて・一部(利用者がグループに所属)
- Windows で職場または学校アカウントを追加する際に MDM への登録を無効にする = [はい]
- WIP ユーザースコープ なし
ユーザー操作
いいえ、このアプリのみです を選択した場合
アプリにサインインされるだけ
はい を選択した場合 (No.6)
- Microsoft Entra Registered(Entra 登録)
- アンマネージドな MAM 登録
→
PC 上の登録状態
Entra ID 上のデバイス
Copilot リサーチツールでの壁打ち結果
この方法も、自身の思考を整理する上では有効な手段でしたので、共有します。
本記事に記載の内容がおおかた出来たきた状態で、内容を Copilot リサーチツール へ渡して、アンマネージドな MAM 登録が成立する条件を整理してもらいました。なお、1回目は誤った結果が出てきており、プロンプトで誤り指摘を2回ほど実施した結果、以下のような結果が得られました。
※まだまだ、AI に丸投げはできません。
Windows 11 BYOD におけるアンマネージド MAM(MAM-WE)成立条件
- 「いいえ、このアプリのみ」 を選択して Entra ID 登録を行わない場合、MAM 登録は適切に開始・完了せず、MAM-WE は成立しません。
- MAM-WE を確実に成立させる正解ルートは、
① 最初の画面で「はい(すべてのアプリにサインイン)」→ ② 次画面で MDM を拒否、
もしくは 管理者側で「MDM 登録を無効にする」を有効化することです。
前提条件
- OS:Windows 11
- デバイス:BYOD(個人所有)
- Entra ID Join / Hybrid Join は行わない
- WIP(Windows 情報保護)は使用しない
- 保護対象アプリ:Microsoft Edge(Windows MAM 対応)
成立条件の整理(因果関係)
1. MDM ユーザースコープ(Intune)
-
一部 / すべて:
職場/学校アカウント追加時の登録フロー(MAM/MDM 分岐)が有効化される。 -
なし:
登録フロー自体が起動せず、MAM-WE は成立しない。
※ MAM-WE を成立させたいユーザーは MDM ユーザースコープに含める必要がある。
2. 「Windows で職場または学校アカウントを追加する際に MDM への登録を無効にする」
-
オフ(既定):
ユーザーに MDM 登録可否の選択画面が表示される。 -
オン:
MDM 登録画面が非表示となり、自動的に MAM-WE ルートに誘導される。
BYOD + MAM-WE では オン推奨。
3. WIP(Windows 情報保護)ユーザースコープ
- 必ず「なし」
- WIP が有効だと BYOD では WIP が優先され、MAM-WE が阻害される。
4. ユーザー選択(Windows 11 の 2 段階 UI)
第1段階
「このデバイスのすべてのアプリ、Web サイト、サービスにサインインしますか?」
| 選択肢 | 結果 |
|---|---|
| はい | Entra ID Registered が実行され、MAM 登録プロセス開始 |
| いいえ、このアプリのみ | Entra ID 登録なし → MAM 登録されない |
第2段階(第1段階で「はい」を選択した場合のみ表示)
「所属する組織によるデバイスの管理を許可しますか?」
| 選択肢 | 結果 |
|---|---|
| いいえ | MDM 登録なし → MAM-WE 成立 |
| はい | MDM 登録あり → MDM 管理端末(MAM-WE ではない) |
対応表
| # | MDMユーザースコープ | MDM登録無効化 | WIPスコープ | ユーザー選択 | Entra ID登録 | MDM登録 | MAM-WE |
|---|---|---|---|---|---|---|---|
| 1 | なし | 任意 | 任意 | ― | × | × | × |
| 2 | 一部(対象外) | 任意 | 任意 | ― | × | × | × |
| 3 | 一部 / すべて | オフ | なし | いいえ、このアプリのみ | × | × | × |
| 4 | 一部 / すべて | オフ | なし | はい → いいえ | ○ | × | ○ |
| 5 | 一部 / すべて | オフ | なし | はい → はい | ○ | ○ | ×(MDM) |
| 6 | 一部 / すべて | オン | なし | はい | ○ | × | ○ |
No.3 が不成立となる理由(要点)
- 「いいえ、このアプリのみ」= Entra ID デバイス登録を実施しない
- Entra ID Registered が行われないと、
- Intune 側でユーザー+デバイス(Edge プロファイル)を MAM 対象として正しく識別できない
- MAM 登録が未完了/ブロック状態になる
- 公式ドキュメントでも、
「Heads Up ページで登録せずにサインインした場合、MAM に正しく登録されない」
ことが 既知の問題として明記されている。
上記で表示された表は、1回目は No.3 で MAM 登録が 可 という結果になっていました。
誤りを指摘して、全体の記載を修正してもらっています。そのことに関する AI の追加コメントです。
ここでの内容は その後の AI の出力結果そのままです。
私の記事の冒頭で使っている表は、その後 私が手を加えています。
推奨フロー(MAM-WE を確実に成立させる)
✅ 推奨①(ユーザー操作で制御)
- 「はい(すべてのアプリにサインイン)」 を選択
- 「所属組織によるデバイス管理を許可しますか?」→「いいえ」
→ Entra ID Registered + MDM なし → MAM-WE 成立
✅ 推奨②(管理者設定で制御)
- MDM ユーザースコープ:一部 / すべて
- 「MDM 登録を無効にする」:オン
- WIP:なし
→ ユーザー選択に関係なく MDM を回避し MAM-WE 成立
edge://policy にポリシーが表示される最低要件
-
Intune アプリ保護ポリシー(APP)
- プラットフォーム:Windows
- 対象アプリ:Microsoft Edge
- 対象:ユーザー
- (任意)Intune アプリ構成ポリシー(ACP)
-
条件付きアクセス(CA)
- Windows + ブラウザー
- 「アプリ保護ポリシーを必須」
- Edge の ワーク(職場)プロファイルでサインイン
→ 条件成立後、edge://policy に Intune 由来ポリシーが表示される
edge://policy は、edge のアドレス欄に入力することで、アプリ構成ポリシーの結果を画面表示で確認することができます。この結果で アンマネージドな MAM 登録が成功している裏付けとなります。
ポリシーが取得できた場合の結果例
https://learn.microsoft.com/ja-jp/entra/global-secure-access/how-to-configure-explicit-forward-proxy-intune-policy?wt.mc_id=MVP_407731#validation
まとめ
- MAM-WE は「MDM なし」だが「Entra ID 登録あり」が前提
- 「このアプリのみ」= MAM-WE ではない
- 成功の鍵は
Entra ID Registered を通過し、MDM だけを回避すること - 管理者側で MDM 登録無効化をオンにするのが最も事故が少ない設計
以上が、修正反映後の最終結論です。
結論
- MAM-WE(アンマネージド MAM)を成立させるには、Entra ID(Azure AD)へのデバイス登録(Registered)が必要です。
Copilot の出力結果は ここまで です。
関連情報
調査にあたっては、全世界から MAM に関する情報をあつめ、それらを情報ソースとして Copilot のリサーチツールで分析し、それでも誤りがあったので、そこへ私の知見で壁打ちして ようやく机上での成功パターンを見極めました。
アプリ保護ポリシーに関する公開情報
最終的に、これらの記事をあつめた読み返していたところ、Intune でのアプリ保護ポリシーの展開のトラブルシューティング の記事の冒頭で ライセンスについての言及があり、初心に立ち返ることができました。