Microsoft Intune を使用した Qlik Analytics モバイル アプリの保護と構成 | Qlik Cloud ヘルプ
メイン コンテンツをスキップする 補完的コンテンツへスキップ
Qlik リソース
SearchUnify の検索をロード中 製品に関するサポートが必要な場合は、Qlik Support にお問い合わせください。
Qlik Customer Portal
SearchUnify の検索をロード中 製品に関するサポートが必要な場合は、Qlik Support にお問い合わせください。
Qlik Customer Portal

Microsoft Intune を使用した Qlik Analytics モバイル アプリの保護と構成

Qlik Analytics モバイル アプリを使用すると、現場チームはモバイル デバイスで Qlik Cloud アナリティクスに安全にアクセスできるようになります。Microsoft IntuneMicrosoft Entra ID を使用して、アクセスを制御し、企業データを保護し、ユーザーが Qlik Cloud テナントに接続するために必要な設定を提供できます。

このトピックでは、Android および iOS デバイス上で Qlik Analytics モバイル アプリを管理および保護するために、Intune のアプリ保護ポリシー、アプリ構成ポリシー、および Qlik Cloud のアクセス制御を構成する方法について説明します。

Microsoft Intune 統合について

  • Qlik は、Microsoft の開発者向けガイダンスに従って、Microsoft の標準 Intune および Microsoft Authentication Library (MSAL) SDK を統合しました。

  • Microsoft Entra IDMicrosoft Intune、および関連する SDK は、いずれも Microsoft 社の製品です。

  • Qlik (Qlik サポートを含む) は、Entra または Intune の展開の構成、または Qlik Analytics モバイル アプリを実行しているデバイスのモバイル デバイスの設定に関するガイダンスを提供することはできません。

  • モバイルデバイス管理 (MDM) またはモバイル アプリケーション管理 (MAM) に関するガイダンスについては、「Microsoft Intune のドキュメント」を参照するか、Microsoft Intune のサポートにお問い合わせください。

情報メモMicrosoft Tunnel for Mobile Application Management SDK は、Qlik Analytics モバイル アプリには統合されていません。

開始前の準備

IntuneQlik Analytics モバイル アプリを設定する前に、次の要件が満たされていることを確認してください。

  • Qlik Cloud テナントが Microsoft Entra ID をプライマリ ID プロバイダーとして使用している場合

    Intune MAM の適用には、Qlik Cloud テナントが OIDC を介して Entra ID を ID プロバイダーとして直接使用するように構成されている必要があります。詳細については、「Qlik Cloud の ID プロバイダー」を参照してください。

    情報メモEntra 以外の ID プロバイダー (Okta、Auth0、SAML、または Qlik Account など) を使用するテナントは、Intune MAM の適用をサポートしていません。Entra 以外の ID プロバイダーを Microsoft Entra ID にフェデレートするテナントは、このリリースではサポートされていません。「ID プロバイダーの互換性」を参照してください。

  • Microsoft Entra IDMicrosoft Intune と統合されていること

    デバイスおよびアプリのポリシーを適用できるようにするため、組織環境において EntraIntune が接続されている必要があります。

  • ユーザーが Microsoft Entra ID に登録されていること

    Qlik Analytics モバイル アプリにアクセスするすべてのユーザーは、Entra ID テナントにアカウントを持ち、Qlik Cloud テナント アクセス用に使用されたユーザー ディレクトリに含まれている必要があります。

  • Qlik Cloud テナント管理者権限

    Qlik Cloud でユーザーとグループにモバイル アクセス制御を割り当てるには、テナント管理者アクセスが必要です。「Qlik Cloud での MAM を使用したモバイル アクセス構成」を参照してください。

Qlik Analytics モバイル アプリのインストール

Qlik Analytics モバイル アプリは、iOS App Store および Google Play Store で入手できます。詳細については、「Qlik Analytics モバイル アプリを使い始める」を参照してください。

情報メモプラットフォームや展開環境によっては、デバイスに Microsoft Company Portal や Microsoft Authenticator が必要になる場合があります。Android では、デバイス登録なしの MAM (MAM-WE) シナリオに Company Portal が必要です。

Microsoft Entra ID での Qlik Analytics モバイル アプリ向け Microsoft Intune の設定

このセクションでは、Entra ID および IntuneQlik Analytics モバイル アプリを登録および管理するための主要なステップについて説明します。組織の要件に従って、Entra IDIntune を構成します。アプリケーション登録の詳細な手順については、「Microsoft Intune のドキュメント」を参照してください。

Microsoft Entra ID への Qlik Analytics アプリの登録

Microsoft Intune と連携して Qlik Analytics モバイル アプリを使用するには、Microsoft Entra ID への登録が必要です。

次の手順を実行します。

  1. Entra ID で、 [アプリの登録] に移動し、 [新規登録] を選択します。

  2. グローバルに登録されたアプリケーションを統合するため、 [エンタープライズ アプリケーション] へのリンクを選択します。

  3. アプリケーション ID 53dfc2c0-8711-4bb3-a48f-b384ff663ab9 を検索します。これは Qlik のグローバル アプリ登録です。

  4. 必要に応じて、Intune 管理者は以下のリンクにサインインしてアクセスすることで、登録を開始できます。

    https://login.microsoftonline.com/common/adminconsent?client_id=53dfc2c0-8711-4bb3-a48f-b384ff663ab9

  5. Qlik Analytics モバイル アプリが追加され、 [エンタープライズ アプリケーション] に表示されたら、次の手順を実行します。

    • アプリにアクセスできるユーザーを制限する場合は、ユーザーとグループを割り当てます。

    • [権限] で、ドメインの管理者同意を付与します。

条件付きアクセス ポリシーのガイダンス

Qlik Analytics モバイル アプリは、アプリケーション ID 53dfc2c0-8711-4bb3-a48f-b384ff663ab9 を使用して Microsoft Entra ID にグローバルに登録されています。この登録は、テナントにクラウド アプリケーションとして表示されます。[すべてのクラウド アプリ] にスコープ指定された条件付きアクセス ポリシーは、このアプリ登録に適用されます。

条件付きアクセスと認証フロー

[Intune 使用時に許可] の認証フローには、2 つのサインイン手順が含まれます。

  1. アプリ認証 (MSAL サインイン)

    Qlik Analytics モバイル アプリは、MSAL を使用して Entra でユーザーを認証します。この手順において、Intune MAM ポリシーの評価が実行されます。

  2. ブラウザーベースの Qlik Cloud サインイン

    アプリはデバイス上の外部ブラウザーを起動し、Qlik Cloud の認証を完了させます。Intune フローの場合、Microsoft Edge の使用が必須となります。

この 2 番目のステップでは、Entra は Qlik Analytics モバイル アプリではなくブラウザーをクライアント アプリケーションとして評価し、アプリ登録に対する条件付きアクセス ポリシーを適用します。このステップで使用するブラウザーが、アプリ登録に適用されたグラント制御をサポートしている必要があります。

条件付きアクセスのスコープに関する考慮事項

Qlik Analytics アプリ登録がテナントでクラウド アプリケーションとして表示されるため、 [すべてのクラウド アプリ] を対象とする条件付きアクセス ポリシーもブラウザーのサインイン ステップに適用されます。

ポリシーが許可制御として [アプリ保護ポリシーを要求] を使用する場合、Qlik のサインイン ステップで使用されるブラウザーはこの要件を個別に満たす必要があります。これを実現するには、Microsoft Edge に Intune アプリ保護ポリシーがユーザー向けに展開されている必要があります。Edge がアプリ保護ポリシーの対象でない場合、ブラウザーのサインイン ステップがブロックされる可能性があります。

展開前

Qlik Analytics モバイル アプリを Intune MAM 適用で展開する前に、既存の条件付きアクセス ポリシーが Qlik サインイン ステップで使用されるブラウザーにどのように適用されるかを Microsoft Entra または Intune 管理者に確認してください。

Qlik は、Entra 条件付きアクセス ポリシーの構成や、より広範な Intune 展開構成に関するガイダンスを提供していません。詳細なガイダンスについては、Microsoft ドキュメントの「条件付きアクセスと Intune について」を参照してください。

Qlik Analytics モバイル アプリでの MAM 強制の仕組み

ユーザーに [Intune 使用時に許可] アクセスが割り当てられると、Qlik Analytics モバイル アプリはサインイン フローの一部として Microsoft Intune への登録を開始します。アプリは、テナント コンテンツへのアクセスを許可する前に、登録ステータスを確認します。デバイスが適切に登録されていないか、Intune の要件を満たしていない場合、アプリ レベルでアクセスが拒否されます。

この強制はモバイル アプリで実行され、段階的な実装の一部です。今後のリリースでは、追加の多層防御として Qlik Cloud 認証レイヤーでもサーバー側での強制適用が追加される予定です。

Qlik Cloud での MAM を使用したモバイル アクセス構成

Intune (MAM) の強制は、Qlik Cloud 管理アクティビティ センターでユーザーとグループに割り当てられたモバイル アクセス権限によって制御されます。これは Qlik 側の主要な設定手順であり、Intune および Entra の設定とあわせて実施する必要があります。

モバイル アクセス権限

モバイル アクセス権限は、管理 アクティビティ センター > [ユーザーを管理] > [権限] で設定します。

ユーザー デフォルトまたはカスタム ロールの権限設定を開き、機能とアクション を展開して、モバイル > ネイティブ モバイル アプリ を見つけます。

権限の設定の詳細については、「Qlik Analytics モバイル アプリへのアクセス設定」を参照してください。

Intune 管理テナントにおける権限割り当てのガイダンス

Intune アプリ保護を使用するテナントでは、デバイス管理の状態にかかわらず、モバイル アクセスを必要とするすべてのユーザーとグループに [Intune 使用時に許可] を割り当てます。

Intune で管理されているユーザーに [許可] では不十分な理由

モバイル アクセス権限はデバイスではなく、ユーザーに適用されます。企業の MDM 管理下のデバイスでユーザーに [許可] が付与されている場合、そのユーザーは個人の非管理デバイスからログインした場合にも同じアクセス権を持つことになります。

その個人デバイスには MDM 登録も Intune ブローカーも存在しません。ユーザーのアクセス権限が [許可] に設定されている場合、Qlik Analytics モバイル アプリは Intune への登録が不要で、アプリ保護ポリシーが適用されることなくアクセスが許可されます。ユーザーは、組織の Intune ポリシーを回避して、保護されていない未管理デバイスからテナントにアクセスできてしまいます。

Intune 管理テナントにおける推奨割り当てパターン

割り当てパターン
割り当て 権限

理由
ユーザー デフォルト設定 不許可

既定でモバイル アクセスなし
MDM 登録済みユーザー Intune 使用時に許可

登録済みデバイスでは、登録が自動またはほぼ自動的に完了します。大きな操作負担は発生しません。同じユーザーが個人デバイスを使用する場合は、アクセス許可前に登録を完了する必要があります。
BYOD ユーザー Intune 使用時に許可

非管理デバイスでは完全な登録が必須となります。

社内の Intune 以外のテナントや特定のサービスアカウントなど、Intune アプリ保護が不要なテナントまたはグループにのみ、 [許可] を使用してください。

ID プロバイダーの互換性

Intune MAM の適用には、Qlik Cloud テナントの ID プロバイダー (IdP) として Microsoft Entra ID が必要です。次の表は、ID プロバイダーの構成ごとのモバイル アプリ対応状況をまとめたものです。

IdP 互換性
ID プロバイダー 標準モバイル アクセス (許可) Intune 強制 (Intune 使用時に許可)
Microsoft Entra ID サポートあり サポートあり
Okta (Entraフェデレーションなし) サポートあり サポートなし - Intune 使用時に許可を割り当てないでください
Auth0 (Entra フェデレーションなし) サポートあり サポートなし - Intune 使用時に許可を割り当てないでください
SAML / ADFS (Entraフェデレーションなし) サポートあり サポートなし - Intune 使用時に許可を割り当てないでください
Qlik Account サポートあり サポートなし - Intune 使用時に許可を割り当てないでください
汎用 OIDC サポートあり サポートなし - Intune 使用時に許可を割り当てないでください
フェデレーション IdP シナリオ (Entra ID にフェデレーションされた Entra 以外の IdP) サポートあり

このリリースではサポートなし
情報メモフェデレーション IdP シナリオ: Okta、Auth0、SAML、または ADFS を Microsoft Entra ID にフェデレーションしているユーザーは、このリリースでは Intune MAM の強制がサポートされていません。フェデレーション IdP テナント上のユーザーに [Intune 使用時に許可] を割り当てると、認証の失敗につながります。フェデレーション IdP シナリオのサポートは将来のリリースで予定されています。

アプリ保護ポリシーの選択

Qlik Analytics モバイル アプリは、次の Intune ポリシー機能をサポートしています。

  • ユーザーに会社の資格情報でのログインを要求する (Microsoft Entra ID)。

  • アプリにアクセスするために PIN を強制する。

  • アプリ内でのコピー、貼り付け、ダウンロード操作を制限する。

  • スクリーンショットの撮影をブロックまたは制御する。

  • アプリ構成ポリシーを使用して、Qlik Cloud テナント設定を事前読み込みする。

重要な考慮事項

アプリ保護ポリシーは、どのアプリが互いにデータを共有できるかを制御します。

  • ユーザーが Qlik Analytics モバイル アプリから診断メールを送信する必要がある場合、ポリシーはアプリ間のデータ転送を許可する必要があります。

  • Qlik Analytics モバイル アプリは、サインインを完了するためにデバイス ブラウザーへのアクセスを必要とします。アプリ保護ポリシーでこのアクセスが許可されている必要があります。

  • 確認すべき主要な Intune アプリ ポリシー設定は次のとおりです。

    • データ保護 > 組織データを他のアプリに送信

    • データ保護 > 除外するアプリを選択 (com.qlik.qsm)

    • 機能 > 他のアプリとの Web コンテンツ転送を制限 - この設定で URL を Microsoft Edge で開くように設定されている場合、Qlik Cloud のサインインページが Edge で開かれます。その後、Edge が Microsoft 認証を実行してからページが表示されます。条件付きアクセス ポリシーが [すべてのクラウド アプリ] または IdP アプリ登録に許可コントロールを適用する場合、この時点で Edge に対して評価されます。評価ポイントにおけるさまざまな許可コントロールの影響については、「条件付きアクセス ポリシーのガイダンス」を参照してください。

アプリ構成ポリシーの選択

Intune のアプリ構成ポリシーを使用して、Qlik Analytics モバイルアプリが Qlik Cloud テナントに接続するために必要な設定を適用します。

次の例は、Intune のモバイル アプリ向けにキーと値のペアを構成する方法を示しています。プレースホルダー (<policy name><tenant name><tenant URL>) は、実際の環境に合わせて適切な値に置き換えます。

管理デバイス (iOS)

アプリ構成 > ポリシー名 > プロパティ > 設定:

  • デバイス登録タイプ: 管理デバイス

  • プラットフォーム: iOS

キーと値のペア:

キー: mdm

:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts は、アプリが接続できる 1 つ以上の Qlik Cloud テナントを定義します。

  • name: ユーザーに表示される選択したテナント名。

  • url: Qlik Cloud テナントの URL (例: mobileintune.us.qlikcloud.com)。

キー: IntuneMAMOID

: {{userid}}

Intune ユーザー ID をアプリに渡します。

OR

  • デバイス登録タイプ: 管理デバイス

  • プラットフォーム: Android

キーと値のペア:

キー: mdm

:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

Accounts は、アプリが接続できる 1 つ以上の Qlik Cloud テナントを定義します。

  • name: ユーザーに表示される選択したテナント名。

  • url: Qlik Cloud テナントの URL (例: mobileintune.us.qlikcloud.com)。

管理アプリ (複数プラットフォーム)

アプリ構成 > ポリシー名 > プロパティ > 設定:

  • デバイス登録タイプ: 管理アプリ

  • プラットフォーム: iOS

キーと値のペア:

キー: mdm

:

{
  "policyName": "<policy name>",
  "Accounts": [
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    },
    {
      "name": "<tenant name>",
      "url": "<tenant URL>"
    }
  ]
}

この JSON は、管理デバイスのシナリオと同じ機能を実行し、Qlik Cloud 環境への認証に利用可能なテナント接続を定義します。このシナリオでは、mdm キーのみが必要です。ユーザー ID のマッピングは必要ありません。

アプリ内のポリシー情報

Qlik Analytics モバイル アプリの設定にある [About] (バージョン情報) 画面には、ポリシーがアプリに適用されているかどうかが表示されます。

  • ポリシー (アプリ保護またはアプリ構成) が展開されると 、画面に [ポリシー適用済み] - [はい] と表示されます。

  • ポリシーにポリシー名が設定されている場合、それは別の行に [ポリシー名] として表示されます。

このページは役に立ちましたか?

このページまたはコンテンツにタイポ、ステップの省略、技術的エラーなどの問題が見つかった場合はお知らせください。

こちらにフィードバックをお寄せください