Help us understand the problem. What is going on with this article?

【備忘録】Intuneで、iPhoneで利用できるアプリを制御する

More than 1 year has passed since last update.

iPhoneをIntuneなどのMDMで管理していると、iPhoneのAppSotreアプリのインストールをどこまでやらせるか悩みどころ。「自由にインストール可」「絶対禁止な、というアプリ以外は自由にインストール可」「許可してるアプリのみインストールのみ可」とざっくり3パターンにわかれてて、後者ほどめんどくさくセキュリティに厳しくなってくる。

「絶対禁止な、というアプリ以外は自由にインストール可」というのはブラックリストで指定すればOKで、アプリのバージョンアップもユーザーで実施できる。

「許可してるアプリのみインストールのみ可」はホワイトリスト形式で管理することが多いんだけど、AppStoreを禁止にするシナリオと、禁止しないシナリオで勝手がいろいろ変わってくる。

それぞれどんな設定すればいいのか、を備忘録兼ねてまとめてみた。
ちなみに、監視モード前提。DEPにしておけば監視モードになってるはず。

一部アプリのみ禁止(ブラックリスト形式)

Azureポータル→Intune→デバイスの構成→デバイスの制限→プロファイル、とメニューを掘ってく。
その中の[アプリの表示・非表示]で、[非表示のアプリ]に設定する。
image.png

AppStoreのアプリなら、「AppStore アプリ名」で検索して、URLを入力して、アプリ名(管理者がわかる任意の名前でOK)で追加する。
たとえば、LINEならこんな感じ。

アプリURL アプリバンドルID アプリ名 発行元
https://apps.apple.com/jp/app/line/id443904275 (空白) LINE(任意の名でOK)   (空白でOK)

このポリシー割り当てたら、インストールはできるのに、表示されない。起動もできない。

iOSの標準アプリは、AppStoreで見つけられないので、バンドルIDを使う。純正アプリのバンドルIDを集めたサイトがあって(多謝!)こちらを参照。
https://emm.how/t/ios-12-list-of-default-apps-and-bundle-id-s/790
業務にMusicは不要でしょ!とかいう場合はこれで非表示にできる。

一部アプリのみ許可(ブラックリスト形式)

やることは、さっきと同じ。[非表示のアプリ]に、AppStoreを登録すること。

AppStoreを含めたiOSの標準アプリは、AppStoreで見つけられないので、バンドルIDを使う。純正アプリのバンドルIDを集めたサイトがあって(多謝!)こちらを参照。
https://emm.how/t/ios-12-list-of-default-apps-and-bundle-id-s/790

AppStoreなら、

アプリURL アプリバンドルID アプリ名 発行元
(空白) com.apple.AppStore AppStore(任意の名でOK) (空白でOK)

ほかの見せたくないアプリも同じ手順で、非表示のリストに入れておけばよい。

配布したいアプリは、Intune→クライアントアプリで設定する。

この方法だと、そもそもAppStoreが見えないのでユーザー変なアプリを入れようとしないで、あきらめてくれるくれる。アプリはポータルからインストールするしかありません!とシンプルな案内ができる点がメリット。

欠点は、AppStoreがないのでアプリのバージョンアップがめんどくさいこと。アンインストールして、Intuneポータルアプリから再インストールして、再度ログインするとか、面倒。

一部アプリのみ許可だけど、バージョンアップもさせたい場合(ホワイトリストで管理)

手順はさっきとほぼ同じ。違うところは、[アプリの表示・非表示]で[表示のアプリ]を選んで、表示してもいいアプリを設定すること。

注意点は、「ここにインストールしてもいいアプリは全部登録する」こと。書かないとカメラやSafariなど純正アプリも非表示になる。

・AppStoreは記載する(必須!)
・インストールしていいアプリを表示のアプリに全部登録しておく。
・配布したいアプリは、Intune→クライアントアプリで設定する。

メリ・デメはさっきのブラックリスト形式の逆。

この方法だと、AppStoreは見えるから、バージョンアップはユーザーで実施できる。アカウント情報も持っていける。

デメリットは、AppStoreが見えてしまうので、インストールする操作自体はできてしまうこと。表示リストにないアプリはインストールしても見えないのだけど、ユーザーからするとインストールしたはずなのに!と問い合わせが来る恐れあり。面倒。

まとめと余談

バージョンアップをラクにさせるか、それともインストールできないという問い合わせさせないか。どっちがいいかは要件次第。

あと、Wifiがないと大きめのアプリはインストールやバージョンアップができない。直近だと、200MB越えのアプリが対象。OutlookやExcelが引っかかってしまう。Teamsは手元でみたら160MBちょいだけど、200MB超えてないからLTEでもインストール可。インストールできません!という問い合わせがあったらこれのせいかもしれない。

hisssa0102
ユーザー企業でMicrosoft 365の管理者・社内利活用促進をやってます。
https://peridot-green.com
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away