iPhoneをIntuneなどのMDMで管理していると、iPhoneのAppSotreアプリのインストールをどこまでやらせるか悩みどころ。「自由にインストール可」「絶対禁止な、というアプリ以外は自由にインストール可」「許可してるアプリのみインストールのみ可」とざっくり3パターンにわかれてて、後者ほどめんどくさくセキュリティに厳しくなってくる。
「絶対禁止な、というアプリ以外は自由にインストール可」というのはブラックリストで指定すればOKで、アプリのバージョンアップもユーザーで実施できる。
「許可してるアプリのみインストールのみ可」はホワイトリスト形式で管理することが多いんだけど、AppStoreを禁止にするシナリオと、禁止しないシナリオで勝手がいろいろ変わってくる。
それぞれどんな設定すればいいのか、を備忘録兼ねてまとめてみた。
ちなみに、監視モード前提。DEPにしておけば監視モードになってるはず。
一部アプリのみ禁止(ブラックリスト形式)
Azureポータル→Intune→デバイスの構成→デバイスの制限→プロファイル、とメニューを掘ってく。
その中の[アプリの表示・非表示]で、[非表示のアプリ]に設定する。
AppStoreのアプリなら、「AppStore アプリ名」で検索して、URLを入力して、アプリ名(管理者がわかる任意の名前でOK)で追加する。
たとえば、LINEならこんな感じ。
| アプリURL | アプリバンドルID | アプリ名 | 発行元 |
|---|---|---|---|
| https://apps.apple.com/jp/app/line/id443904275 | (空白) | LINE(任意の名でOK) | (空白でOK) |
このポリシー割り当てたら、インストールはできるのに、表示されない。起動もできない。
iOSの標準アプリは、AppStoreで見つけられないので、バンドルIDを使う。純正アプリのバンドルIDを集めたサイトがあって(多謝!)こちらを参照。
https://emm.how/t/ios-12-list-of-default-apps-and-bundle-id-s/790
業務にMusicは不要でしょ!とかいう場合はこれで非表示にできる。
一部アプリのみ許可(ブラックリスト形式)
やることは、さっきと同じ。[非表示のアプリ]に、AppStoreを登録すること。
AppStoreを含めたiOSの標準アプリは、AppStoreで見つけられないので、バンドルIDを使う。純正アプリのバンドルIDを集めたサイトがあって(多謝!)こちらを参照。
https://emm.how/t/ios-12-list-of-default-apps-and-bundle-id-s/790
AppStoreなら、
| アプリURL | アプリバンドルID | アプリ名 | 発行元 |
|---|---|---|---|
| (空白) | com.apple.AppStore | AppStore(任意の名でOK) | (空白でOK) |
ほかの見せたくないアプリも同じ手順で、非表示のリストに入れておけばよい。
配布したいアプリは、Intune→クライアントアプリで設定する。
この方法だと、そもそもAppStoreが見えないのでユーザー変なアプリを入れようとしないで、あきらめてくれるくれる。アプリはポータルからインストールするしかありません!とシンプルな案内ができる点がメリット。
欠点は、AppStoreがないのでアプリのバージョンアップがめんどくさいこと。アンインストールして、Intuneポータルアプリから再インストールして、再度ログインするとか、面倒。
一部アプリのみ許可だけど、バージョンアップもさせたい場合(ホワイトリストで管理)
手順はさっきとほぼ同じ。違うところは、[アプリの表示・非表示]で[表示のアプリ]を選んで、表示してもいいアプリを設定すること。
注意点は、「ここにインストールしてもいいアプリは全部登録する」こと。書かないとカメラやSafariなど純正アプリも非表示になる。
・AppStoreは記載する(必須!)
・インストールしていいアプリを表示のアプリに全部登録しておく。
・配布したいアプリは、Intune→クライアントアプリで設定する。
メリ・デメはさっきのブラックリスト形式の逆。
この方法だと、AppStoreは見えるから、バージョンアップはユーザーで実施できる。アカウント情報も持っていける。
デメリットは、AppStoreが見えてしまうので、インストールする操作自体はできてしまうこと。表示リストにないアプリはインストールしても見えないのだけど、ユーザーからするとインストールしたはずなのに!と問い合わせが来る恐れあり。面倒。
まとめと余談
バージョンアップをラクにさせるか、それともインストールできないという問い合わせさせないか。どっちがいいかは要件次第。
あと、Wifiがないと大きめのアプリはインストールやバージョンアップができない。直近だと、200MB越えのアプリが対象。OutlookやExcelが引っかかってしまう。Teamsは手元でみたら160MBちょいだけど、200MB超えてないからLTEでもインストール可。インストールできません!という問い合わせがあったらこれのせいかもしれない。