Microsoft Azure and Intune による Qlik Sense Mobile Client Managed の展開
Qlik Sense Mobile Client Managed アプリは、Microsoft Azure and Intune を使って展開できます。Qlik Sense Mobile Client Managed の Single Sign On (SSO) および Intune の管理を有効にするには、Microsoft Azure ポータルでいくつかの設定変更を行う必要があります。
開始する前に:
- プライマリ ドメイン (Active Directory) と Azure Portal (Azure Active Directory) を複製するように Azure AD Connect が構成されている必要があります。
- Azure AD Application Proxy Connector がインストールされ、構成されている必要があります。
Microsoft Azure and Intune を使ってアプリを展開するには、次の手順を実行します。
- Qlik Sense Enterprise on Windows 仮想プロキシを設定する
- Active Directory で Kerberos に制限される委任を設定する
- Qlik Sense Enterprise on Windows 仮想プロキシの Azure エンタープライズ アプリケーションを追加する
- Qlik Sense Mobile Client Managed の Azure アプリ登録を追加する
- Qlik Sense Mobile Client Managed アプリをIntune 会社ポータルに追加する
- Qlik Sense Mobile Client Managed アプリ保護ポリシーを定義する
- Qlik Sense Mobile Client Managed 設定ポリシーを定義する
- Qlik Sense Mobile Client Managed アプリを展開する
Qlik Sense Enterprise 仮想プロキシを設定する
- ブラウザーに QMC アドレスを入力して、Qlik Sense Enterprise on Windows サーバーの Qlik Management Console (QMC) を開きます。
QMC の既定のアドレスは、https://<QPS サーバー名>/qmcです. - [プロキシ] > [セントラル プロキシ] の順に移動します。
- Kerberos 認証を有効にします。
- QMC ホーム ページから、[仮想プロキシ] に移動します。
- [新しい仮想プロキシを作成する] をクリックします。
- 次の情報を入力します。
- ID
- 認証
- 負荷分散
- [ホスト許可リスト] のセクション
情報メモ使用されるプレフィックスをメモしてください。後ほど、Azure Portal の設定で使用します (https://sense_server_fqdn/prefix)。情報メモWindows 認証パターンは Mozilla に設定する必要があります。 - [保存] をクリックします。
Active Directory で Kerberos に制限される委任を設定する
- プライマリ ドメインの Active Directory へのアクセス権を持つサーバーにログインします。
- 管理者として Windows Power Shell を開きます。
- 次のコマンドを使用して、インストール済み Qlik Sense Enterprise on Windows の Service Principal Name (SPN) を作成します。
setspn.exe -U -S HTTP/sense_server_fqdn domain\sense_server_service_account - [Active Directory ユーザーとコンピューター] を開きます。
- Azure AD App Proxy をホストするコンピューターを見つけ、マシンのプロパティを変更します。
- [委任] タブに移動し、 [指定されたサービスへの委任でのみこのコンピューターを信頼する] を選択します。
- [どの認証プロトコルでも使用する] を選択し、作成された SPN を追加します。
- ADSI を開き、Azure AD アプリのプロキシ ホストが Qlik Sense サーバーに委任するように設定されていることを確認します。
Qlik Sense Enterprise on Windows 仮想プロキシの Azure エンタープライズ アプリケーションを追加する
- Azure ポータルにログインし、[Azure Active Directory サービス] を選択します。
- [アプリケーション プロキシ] を選択し、アクティブなアプリケーション プロキシが少なくとも 1 つはあることを確認します。
- [エンタープライズ アプリケーション] を選択します。
- [新しいアプリケーション] をクリックします。
- [オンプレミスのアプリケーション] を選択します。
- 新しいアプリケーションの名前を入力します。
- Qlik Sense Enterprise on Windows がインストールされているサーバーの URL を入力します。 情報メモURL パスには、QSE 仮想プロキシのプレフィックスを含めてください。
例: https://sense_server_fqdn/prefix - [外部 URL] を設定します。 情報メモこの設定は、後ほど Microsoft Intune のアプリ登録で使用します。たとえば、https://sensekcd-qlikemmnet.msappproxy.net/prefix などです。
注: URL は、プレフィックス (sensekcd-)、テナント名、msappproxy.net、QSE 仮想プロキシのプレフィックスで構成されます。 - アプリケーションでは、事前認証手段として必ず Azure Active Directory が使用されるようにします。
- トラフィックをアプリケーション プロキシの方向に向けるため、必ず有効な [コネクタ グループ] が選択されるようにします。
- [エンタープライズ アプリケーション] の [Single sign-on properties] (シングル サインオンのプロパティ) を選択します。
- [モード] の [統合 Windows 認証] を選択します。
- 前の手順で作成した SPN を入力します。
- [委任されたログイン ID] の [オンプレミス ユーザー プリンシパル名] を選択します。
- [保存] をクリックします。
- 追加したエンタープライズ アプリケーションを選択し、[プロパティ] をクリックします。
- [ユーザーの割り当てが必要] を [はい] に設定し、[保存] をクリックします。
Qlik Sense Mobile Client Managed の Azure アプリ登録を追加する
- Azure ポータルにログインし、[Azure Active Directory サービス] を選択します。
- [Apps Registrations] (アプリ登録) を選択します。
- [新しいアプリケーションの登録] をクリックします。
- [名前] を入力します。
- [リダイレクト URI] タイプのパブリック クライアント/ネイティブを qliksense-intune://com.qlik.qliksense.mobile の URI を使用して入力します。
-
[登録] をクリックして続行します。
- アプリ登録の [アプリケーション ID] をメモしてください。
-
左側のパネルで [認証] をクリックします。
-
[プラットフォームを追加] をクリックして Android プラットフォームを追加します。
[パッケージ名] com.qlik.qliksense.mobile を入力します。
署名のハッシュ 17PV4mdIRAc/3SeFXILsSWg1aDU= を入力します。
[構成] をクリックしてから、[完了] をクリックします。
- 次の委任権限を追加および付与します。
-
Microsoft Mobile Application Management – ユーザーの app 管理データの読み取りと書き込み。
この権限は、API の自分の組織ユーザー タブにあります。
- 上記で定義した Web アプリ / API - <Web アプリ / API 名> へのアクセス
- Microsoft Graph - ディレクトリ データの読み取り
- Windows Azure Active Directory - サインインおよびユーザー プロファイルの読み取り
Qlik Sense Mobile Client Managed アプリをIntune 会社ポータルに追加する
- Microsoft Endpoint Manager Admin Center にログインします。
- [アプリ] を選択します。
- [すべての App] を選択します。
- [追加] をクリックします。
- Android の場合は [Android Store App] (Android ストア アプリ) で、または iOS の場合は [iOS Store App] (iOS ストア アプリ) で [アプリの種類] を選択します。
-
[選択]、[App Store を検索] の順にクリックします。
[Qlik Sense Mobile Client Managed] を検索して選択します。
- [次へ] をクリックして割り当てを確認または変更し、適切なユーザーとデバイスが app に割り当てられるようにします。
- [次へ] をクリックしてから、[作成] をクリックします。
Qlik Sense Mobile Client Managed アプリ保護ポリシーを定義する
- Microsoft Endpoint Manager Admin Center にログインします。
- [アプリ] を選択します。
- [App protection policies] (アプリ保護ポリシー) を選択します。
- [ポリシーを作成] をクリックし、[iOS/iPadOS] または [Android] を選択します。
- [名前] と [説明] を入力します。
- [次へ] をクリックします。
- [target to all app types] (すべてのアプリの種類をターゲットにする) に、値を「Yes」(はい) と入力します。
-
上記で定義したように Android または iOS 用 Qlik Sense Mobile Client Managed の公開 app を追加し、[次へ] をクリックします。
- [Select Required Apps] (必要なアプリを選択する) をクリックし、上の手順で追加した Android または iOS アプリの Qlik Sense Mobile Client Managed を選択します。
- 該当する場合は、データ保護、アクセス要件、および条件付き起動値を構成します。
- [作成] をクリックします。
- Qlik Sense Mobile Client Managed からのデータ転送を制限するように保護ポリシーが構成されている場合は、制限を [ポリシー管理対象 app] に設定して Qlik Sense Mobile Client Managed が診断メールを送信できるようにする必要があります。
Qlik Sense Mobile Client Managed 設定ポリシーを定義する
- Microsoft Endpoint Manager Admin Center にログインします。
- [アプリ] を選択します。
- [App configuration policies] (アプリ構成ポリシー) を選択します。
- [追加] をクリックします。
- 登録タイプとして、Android の場合は [管理対象アプリ] を、iOS の場合は [管理されたデバイス] を選択します。
- [名前] と [説明] を入力します。
-
[会社ポータル] に以前追加した Qlik Sense Mobile Client Managed app の公開 app を追加します。[次へ] をクリックします。
-
[一般構成の設定]で、[mdm] の名前を入力し、値には JSON ドキュメントを入力します。
{ "Accounts" : [ { "name":"Your server name", "url":"<external URL>", "config": { "AADAppId" : "<the Application Id noted above>" } } ] }
-
[次へ] をクリックし、適切なユーザーまたはユーザー グループを割り当てます。
-
[次へ] をクリックしてから、[作成] をクリックします。
- アプリ構成が、Android の場合は「管理対象アプリ」が、iOS の場合は「管理対象デバイス」が、登録タイプとして割り当てられて表示されることを確認します。
Android デバイスに Qlik Sense Mobile Client Managed アプリを展開する
- Intune が登録されている Android デバイスで、Company Portal を開いて Qlik Sense Mobile Client Managed をインストールします。
- Qlik Sense Mobile Client Managed を起動します。
- アプリが管理対象にであることを指定するよう求められます。求められない場合は、アプリ保護ポリシーで構成問題が発生している可能性があります。
- Qlik Sense Mobile Client Managed サーバー リストで Qlik Sense Mobile Client Managed 展開を確認してください。確認できない場合は、構成問題かユーザー割り当て問題が発生している可能性があります。
- Qlik Sense Mobile Client Managed 展開へのログインに続いて、Azure SSO ログイン フローに従って操作します。
iOS デバイスに Qlik Sense Mobile Client Managed アプリを展開する
-
Intune が登録されている iOS デバイスで、Company Portal を開いて Qlik Sense Mobile Client Managed をインストールします。
Intune にダイアログが表示され、Qlik Sense Mobile Client Managed を管理するよう求められます。 - [はい] または [管理] をクリックします。
- Qlik Sense Mobile Client Managed を起動します。
上の手順で定義した Qlik Sense Mobile Client Managed サーバーが表示されます。確認できない場合は、構成問題かユーザー割り当て問題が発生している可能性があります。 - サーバー名をクリックし、必要に応じて SSO を使用してログインします。
- Intune のダイアログが表示され、アプリ データが管理されていることが示されます。[OK] をクリックします。Qlik Sense Mobile Client Managed が終了します。
- Qlik Sense Mobile Client Managed 展開へのログインに続いて、Azure SSO ログイン フローに従って操作します。