Lookout様協賛のセミナーでお話した MAM SDK を利用したサンプルアプリのビルド方法について語った資料です。

1. モバイルアプリケーション管理(MAM)
自社アプリ開発手法
2018年12月10日(月)
松井 大 CISSP
テクノロジー ソリューション プロフェッショナル
- Identity & Information Technology -

2. • Microsoft Intune (Enterprise Mobility Management)の概要
• Mobile Application Management (MAM)の概要
• MAM対応アプリケーションエコシステム
• Intune App SDK によるアプリの保護
• App Wrapping Tool
• Intune App SDK ( Xamarin, iOS / Android native )
Agenda

3. まずは基本から抑えましょう
Microsoft Intune の概要
MAM の概要
MAM 対応アプリケーションエコシステム

4. Mobile Application
Management
PC management
AD GPO → Intune
Mobile Device
Management
エンドユーザーの利便性を損なわず企業のデータを安全に保護
Microsoft Intune の概要
Enable
your users
Protect
your data
Microsoft Intune
User IT

5. モバイルデバイスを保護する(MDMとMAM)
モバイルデバイスの管理
(MDM)
モバイルアプリの管理
(MAM)
デバイスのセキュリティポリシー
アプリのセキュリティポリシー

6. MAM(Mobile Application Management)の概要
モバイルアプリの管理
(MAM)
アプリのセキュリティポリシー
セレクティブ ワイプ
コピー＆ペーストの制限
ローカル保存の禁止
データの暗号化
PINの要求
Managed Browserの強制
MAMの機能

8. PIN の要求
セレクティブ ワイプ
コピー＆ペーストの制限
ローカル保存の禁止
データの暗号化
PINの要求
Managed Browserの強制

9. コピー＆ペーストの制限
セレクティブ ワイプ
コピー＆ペーストの制限
ローカル保存の禁止
データの暗号化
PINの要求
Managed Browserの強制

10. ローカル保存の禁止
セレクティブ ワイプ
コピー＆ペーストの制限
ローカル保存の禁止
データの暗号化
PINの要求
Managed Browserの強制

11. 機能実装の目的は?
▪ 企業と個人のアプリケーション、データ、
ID を明確に分けて保護すること
MAM 対応アプリとは？
▪ Microsoft Office のモバイル アプリには
組み込み済み
▪ 一部のサードパーティ製品にも組み込み
▪ 自社の LOB アプリにも Intune App
SDK を組み込み可
Managed apps
Personal apps個人アプリ
管理されたアプリ
MDM – オプション
(Intune もしくは他社製品)
企業データ
個人データ
マルチ ID のポリシー

13. https://www.microsoft.com/en-us/cloud-platform/microsoft-intune-apps

14. Office 365 を利用するときにユーザーが当然期待すること
Give your people the real Office experience
they expect, without compromising the
control you need.
Intune gives you unparalleled control over
the data that moves through Office - across
all your devices.
A seamless experience between business and
personal accounts

15. Click to edit Master title
style
MAM は MDM と分離可能
Intune’s application protection
policies give you the versatility to
manage your data with or without
device enrollment.

16. MAM without Enrollment
各 MDM ベンダーの管理ツールでMicrosoft Intune MAM を設定可能

18. Managed Browserの強制
セレクティブ ワイプ
コピー＆ペーストの制限
ローカル保存の禁止
データの暗号化
PINの要求
Managed Browserの強制

19. 自社アプリの APP 対応方法

20. Intune App SDK
• APP 機能をフルで
利活用可能
• ストア公開アプリも
LOB アプリも対象
Xamarin Component
• Xamarin で開発し
Android や iOS アプ
リを対象に APP 機能
を実装
App Wrapping Tool
• コマンド ラインのツール
• アプリのコード変更不要
• 簡易な LOB アプリ向け
C:¥users¥bill

21. App Wrapping Tool vs. Intune App SDK
App Wrapping Tool Intune App SDK
簡易アプリ 複数のページに渡るような高度なアプリ、機能と容量の多いアプリ
社内のみにアプリを展開 社内以外に公開 App Store にもリリースする
1つの ID (企業ID) のみを必要とする 複数 ID のサポートを必要とする
アプリを頻繁に更新しない アプリを頻繁に更新する
アプリのソースコードが手元にない・触れられない ソースコードがあり、コード内容を把握している

22. iOS Android
前提条件 • macOS X 10.8.5+ with Xcode
toolset 5+
• Signing 用証明書
• Provisioning profile
• アプリが暗号化されていないこと
• iOS 8.0+ をターゲットとしたアプリ
• Windows
• Java Key tool
• アプリが暗号化されていないこと
• Android 4.0+ をターゲットとしたアプリ
実装環境 Terminal Powershell
ハイブリッド
モバイル
プラットフォーム
Xamarin Xamarin

23. Intune アプリ保護 (MAM) のアーキテクチャ
Modern Auth
iOS Android
Intune MAM 対応アプリ
(Intune App SDK /
App Wrapping Tool)
Intune
MAM
Azure AD
サービス検出、チェックイン
アプリ保護ポリシー受信
30分毎にチェックイン
Intune ライセンス割当て
割当てポリシーなし ：8時間毎
Intune ライセンス割り当てなし：24時間毎
アプリ保護ポリシー作成
認証後

24. Azure Active Directory Authentication Library
(ADAL)
Microsoft Intune のアプリケーション保護機能を利用する場合
認証に ADAL が必須
Intune App SDK を利用する場合、アプリケーション内に ADAL を手動で追加する必要がある
Intune App Wrapping ツールを利用する場合、ツールによりアプリケーションに ADAL が追加される

25. Microsoft Intune
Application Protection
with
App Wrapping Tool

26. App Wrapping コマンド ライン パラメーター
プロパティ 使い方
-i Wrapping する前のアプリケーション ファイル パス (*.app/*.ipa) － 必須
-o Wrapping されたアプリケーションのアウトプット ファイル － 必須
-p (iOS) プロビジョニング プロファイルのパス (*.mobileprovision) ー 必須
-c Signing Certificate の SHA-1 Hash － 必須
-h ヘルプ
-v (オプション) Wrapping 実行時の詳細ログをコンソールに表示
-e (オプション) アプリのプロセスする際に不要エンタイトルメントを削除
-xe (オプション) iOS エクステンションの情報を表示・利用するにあたって必要なエンタイトルメントを列挙
-x (オプション) エクステンション プロビジョニング プロファイルの指定
-f (オプション) コマンドラインの代わりに pfile を利用する場合の pfile パス指定
-b (オプション) カスタム バンドル バージョンの指定 (CFBundleVersion)

27. App Wrapping

28. ターミナルでの実行コマンド

29. Intune App SDK

30. SDK のみで有効な機能
• 複数 ID 対応
• Save-as 時の保存先制御
• スタイル・ブランドのカスタマイズ
• セレクティブ ワイプ
• ステータス・状態・デバッグ通知
• MAM サービスと連携する API
• MDM 登録しない状態での MAM 展開

31. 前提条件 • macOS: OS X 10.8.5 以上
• Xcode toolset version 10
• アプリへのソースコード アクセス (objective-C 又は Swift inter-op)
コンポーネント • libIntuneMAM.a (静的ライブラリ – option 1)
• IntuneMAM.framework (フレームワーク – option 2)
• IntuneMAMResources.bundle (リソースのバンドル)
• Headers (API を含む)

32. 前提条件 • Android (Java) アプリをコンパイルできるマシン
• Java で書かれたアプリへのアクセス
コンポーネント • Microsoft.Intune.MAM.SDK.jar
• Microsoft.Intune.MAM.SDK.Support.v4.jar
• Microsoft.Intune.MAM.SDK.Support.v7.jar
• Resource directory
• Microsoft.Intune.MAM.SDK.aar
• AndroidManifest.xml

33. 前提条件 • IDE: Visual Studio 2017
• Windows
• Mac
対応 OS • Android
• iOS
言語 • C#
• .NET framework
備考 • Microsoft acquired Xamarin in Q1 CY2016
SDK – Xamarin Bindings

34. Microsoft Intune
Application
Protection for
Xamarin
Demo

35. Intune アプリ保護 (MAM) のアーキテクチャ
Modern Auth
iOS Android
Intune MAM 対応アプリ
(Intune App SDK /
App Wrapping Tool)
Intune
MAM
Azure AD
サービス検出、チェックイン
アプリ保護ポリシー受信
30分毎にチェックイン
Intune ライセンス割当て
割当てポリシーなし ：8時間毎
Intune ライセンス割り当てなし：24時間毎
アプリ保護ポリシー作成
Azure AD にアプリを登録
認証後
IntuneMAMSettingsに追加
Application ID = ADALClientId
SkipBroker = false

63. www.github.com/msintuneappsdk
https://www.nuget.org/profiles/msintuneappsdk
https://docs.microsoft.com/intune/app-wrapper-prepare-ios
https://docs.microsoft.com/intune/app-wrapper-prepare-
android
https://docs.microsoft.com/intune/app-sdk-ios
https://docs.microsoft.com/intune/app-sdk-android
https://docs.microsoft.com/intune/app-sdk-xamarin

64. Integration and API options

65. まとめ ： アプリ
• Microsoft Intune + MAM 対応アプリを利用することで、利便性とセキュリティの双方を提供
• 自社の アプリも Intune App SDK を組み込むことで容易に MAM 対応アプリを作成可能
個人用アプリ
管理対象アプリ
Intune の管理対象アプリと非管理対象アプリ間での
コピー/切り取り/貼り付け/保存などの操作を制限することで、
企業データの漏洩を防ぎつつ生産性を最大化
ユーザー

66. Appendix

67. Control access to data based on real-time context
• Block access
• Wipe device
• Allow
• Enforce MFA
• Enroll device
Actions
On-premises
applications
Microsoft Azure
Risk (Low, Medium, High)
Define policies that provide
contextual controls at the user,
location, device, and app levels.
Conditions Parameter Examples
Location Trusted/Untrusted IP
Device state Managed/Unmanaged
User All or user group
Risk Suspicious activity
Policies adapt to real time
conditions based on monitoring
of perceived risks.
Risks are calculated based
on advanced Microsoft
Intelligent Security Graph.

68. Click to edit Master title
style
A growing partner
ecosystem
Intune partnerships are designed to
enhance our core functionality by
delivering interoperability with
popular point solutions our
customers want and rely upon.
All partner products must be purchased directly from the partner

69. Device is compliant
Device is managed
Scans apps for risk
ITScans unknown
network for risk
Allow access or
Block access
Enforce MFA per
user/per app
Intune + Lookout
Device compliant
Scans OS for vulnerability
Risk (Low, Medium, High)

71. Managed Browser CA Demo

72. 本資料は情報提供のみを目的としており、本資料に記載されている情報は、本資料作成時点でのマイクロソフトの見解を示したものです。状況等の変化により、内容は変更される場合があります。本
資料に特別条件等が提示されている場合、かかる条件等は、貴社との有効な契約を通じて決定されます。それまでは、正式に確定するものではありません。従って、本資料の記載内容とは異なる場
合があります。また、本資料に記載されている価格はいずれも、別段の表記がない限り、参考価格となります。貴社の最終的な購入価格は、貴社のリセラー様により決定されます。マイクロソフトは、本
資料の情報に対して明示的、黙示的または法的な、いかなる保証も行いません。
© 2018 Microsoft Corporation. All rights reserved.
https://aka.ms/daimat-IntuneMAMsdk