Intuneにて、iOS デバイスが Intune MDM 登録されているかどうかで、配布するアプリ保護ポリシーを変えるときの落とし穴【IntuneMAMUPN】※iOSのみ

公開日：2020/8/4

Intune にて、iOS デバイスが Intune MDM 登録されているかどうかで、配布するアプリ保護ポリシーを変えたいときって、あるかもしれません。
社給端末は MDM (MAMゆるめ) で管理して、BYOD 端末は MAM (がっちり) で管理するとか。↓ 参考URLの1つ目にも、そんなことが書いてありますが。

でも、これ、この前（4月）とても嵌まりまして……しくしく……。同じことしようとしている方へ届くとよいです。

【参考URL】

アプリ保護ポリシーを作成して展開する - Microsoft Intune

iOS アプリ間のデータ転送を管理する - Microsoft Intune

↓ このページ、いつ公開されたんだろう。4月にこのページがあれば、4時間かからなかった気がする……！ でも、このページだけ見たら、それはそれで迷いそうですね。

IOS デバイスのアプリ保護ポリシーを設定する

ざっくり結論

iOS デバイスにて、アプリ保護ポリシーを、デバイスのIntune 登録状態によって ( Intune から配布しているアプリかどうかによって) 変えたい場合、Intune から配布しているアプリには、同時にアプリ構成ポリシーで IntuneMAMUPN という構成キーを配らないとダメです。
それをしないと、Intune から配っているアプリを含めてすべてのアプリが、アンマネージと評価されて、アンマネージドの方のアプリ保護ポリシーしか適用されません。

3．対象となる各アプリのアプリ構成ポリシーを作成します。 デバイスの登録の種類は、管理対象デバイスに設定する必要があります。 また、 Intunemamupnキーと値を設定する必要があります。

IOS デバイスのアプリ保護ポリシーを設定する

アプリ保護ポリシーで対象アプリの設定を行うのは以下の箇所です。
デバイスのすべての種類のアプリをターゲットにする：いいえ
デバイスの種類：アンマネージド/マネージド

iOS/iPadOSデバイス用のアプリ構成ポリシーの作り方については以下参照。

管理対象の iOS/iPadOS デバイス用アプリ構成ポリシーを追加する - Microsoft Intune

フロチャートのようなもの

デバイスがIntune管理下だ
　⇒アプリがIntuneから配布されている
　　⇒アプリ構成ポリシーでIntuneMAMUPNが配布されている
　　　⇒マネージド デバイスを対象にしたアプリ保護ポリシー適用
　　⇒アプリ構成ポリシーでIntuneMAMUPNが配布されていない
　　　⇒アンマネージド デバイスを対象にしたアプリ保護ポリシー適用
　⇒アプリがIntuneから配布されていない
　　⇒アプリ構成ポリシーは配れるはず
　　　⇒ 検証してないので、どうなるんだろう？わからないです。
デバイスがIntune管理下ではない
　⇒アプリがIntuneから配布されていない
　　⇒アプリ構成ポリシーは配れるはず
　　　⇒ 検証してないので、どうなるんだろう？わからないです。

おわりに

4月に描こうと思っていた内容なので、ちょっとうろ覚えな部分がありますが……
ほんとうは「３．Apple のDEP？ 監視モード？ DUNS Number？ 何ぞそれ？」を書きたかったのですが、散らかりすぎて諦めました。。