Box + Microsoft Intune MAM without Enrollment を設定してみた
Box

Box + Microsoft Intune MAM without Enrollment を設定してみた

kojimaru
·4 min read
Box + Microsoft Intune MAM without Enrollment を設定してみた

Box + Microsoft Intune MAM without Enrollment を設定してみました。手順や注意点を記載します。
※公式の資料があまり見つからず、個人的な見解も多少混じってますので、間違い等ございましたら、ご指摘いただけますと幸いです。

Box + Microsoft Intune MAM without Enrollment とは

もともとBoxは「Box for EMM」というMDM連携用のアプリを提供していたようですが、「Box for EMM」はMDMへ登録済みのデバイス上でしか(with Enrollmentでしか)利用ができませんでした。

それが以下のリリースノートによると、Intune MAM without Enrollmentに対応したとのことで、MDMへデバイスを登録せずに(without Enrollmentで)、BoxアプリをIntuneの管理下とする(Intune MAMのアプリ保護ポリシーの対象とする)ことが可能になったようです。

https://support.box.com/hc/ja/articles/360057142753-AndroidおよびiOS向けIntune-MAM-without-Enrollment

MDMの管理下へデバイスを登録するということは、MDM管理者がデバイスに対してリモートロックやリモートワイプといった操作がかけられるということになるので、個人が所有しているデバイスを業務で活用するBYODでの利用はハードルが高いと思います(誰だって勝手に初期化されかねない状況に自分のデバイスを置きたくないですよね)。

Intune MAM without Enrollmentでは、MDMにデバイスを登録せずにMAMのアプリ保護機能を使えるので、企業に関連するアプリのみMAMで制限をかけ、プライベート領域と切り離して管理ができます。よって、BYODに向いているといえるのだと思います。

それでは、設定手順に移りたいと思います。

Microsoft Intune側の設定

まず、Microsoft Endpoint ManagerからIntune MAM機能をモバイルアプリ(Box)に対して有効化する設定を行います。以下のMicrosoft社のドキュメント通りに設定を行います。https://docs.microsoft.com/ja-jp/mem/intune/apps/app-protection-policies#create-an-iosipados-or-android-app-protection-policy

  1. Microsoft Endpoint Manager 管理センターにサインインする。
  2. [アプリ] > [アプリ保護ポリシー]と遷移し、[ポリシーの作成]をクリックする。
  3. ポリシーの対象とするOSを選択する。iOSの場合は[iOS/iPadOS]、Androidの場合は[Android]を選択する。
  1. [ポリシーの作成]ウィンドウが開かれるので、ポリシーに任意の名前を付ける。
  2. [アプリ]にて[パブリックアプリの選択]より[Box – Cloud Content Management]を選択する。
    ※[Box for EMM]を選ばないこと!
  1. [データ保護]、[アクセス要件]、[条件付き起動]を以下の記事を参考に自身の要件に沿って設定する。
  1. [割り当て]で、ポリシーの対象とするグループを選択する(ポリシーの対象になっていないユーザーはBoxモバイルアプリにログインできなくなります!)。
  2. [確認および作成]で、設定の内容をレビューし[作成]を押下してポリシーを保存する。

ここまででMicrosoft Intune側の設定は完了です。

Box側の設定

Boxモバイルアプリにユーザーがログインを行う際に、Boxモバイルアプリに対してIntune MAMが適用されるように設定を行います。

  1. Box管理者としてログインし管理コンソールを開く。
  2. [Enterprise設定] > [モバイル] と遷移する。
  3. [Intuneモバイルアプリケーション管理 (Intune MAM) を有効化する]のトグルを有効化する。

Box側の設定は以上です。上記設定を行うことで、所属ユーザーがBoxモバイルアプリでログインを行う際に、Intune MAMへのEnrollを促す画面へと遷移する動作となるようです。

iOS/iPadOSでBoxを使ってみる

iPhone(MDMに未登録)にてアプリストアからBoxをインストールしてログインしてみます。

ログイン画面よりBoxアカウントで認証を完了すると、以下のような画面が表示されます。

[Enroll in Intune MAM]を選択すると、Microsoftアカウントの認証ページに飛ばされます。

Microsoftアカウントで認証を済ませると、Boxモバイルアプリが組織によって管理されている旨のメッセージが表示されアプリの再起動を促されます。

これでiPhoneをMDMに登録することなく、BoxモバイルアプリだけをIntuneの管理下とすることができました!

AndroidでBoxを使ってみる

Android(MDMに未登録)にてGoogle Play ストアからBoxをインストールしてログインしてみます。

ログイン画面よりBoxアカウントで認証を完了すると、Google Playストアが開き[Intune Company Portal]アプリをインストールするよう促されます。

[Intune Company Portal]アプリをインストール後、Boxアプリを開きなおすと、Microsoftアカウントで認証するよう促されます。
※[Intune Company Portal]アプリ内でのログインは不要です(ただインストールすることは必須だそうです。Ref: https://docs.microsoft.com/ja-jp/mem/intune/apps/mam-faq#app-experience-on-android

Microsoftアカウントで認証後、以下のような画面になりBoxアプリがIntuneの管理下となっていることがわかります。

注意点

Boxへのログインに使用するアカウントのメールアドレスとMicrosoft Intune側のアカウントのメールアドレスは一致していないとログインができないようです。異なるメールアドレスを使用した場合、Intuneアカウントでログインしようとした際にエラーになりました。

iOSのエラー
Androidのエラー

About Us

Tags

Box
Heroku
WordPress
モバイル
Docker

Subscribe

Stay up to date! Get all the latest & greatest posts delivered straight to your inbox

© 2023 ゆるっとエンジニアブログ. All rights reserved.
Created with and @GodoFredoNinja styling.