Microsoft Azure and Intune による Qlik Sense Mobile の展開

Qlik Sense Mobile アプリは、Microsoft Azure and Intune を使って展開できます。Qlik Sense MobileSingle Sign On (SSO) および Intune の管理を有効にするには、Microsoft Azure ポータルでいくつかの設定変更を行う必要があります。

開始する前に:

  • プライマリ ドメイン (Active Directory) と Azure Portal (Azure Active Directory) を複製するように Azure AD Connect が構成されている必要があります。
  • Azure AD Application Proxy Connector がインストールされ、構成されている必要があります。

Microsoft Azure and Intune を使ってアプリを展開するには、次の手順を実行します。

  • Qlik Sense Enterprise 仮想プロキシを設定する
  • Active DirectoryKerberos に制限される委任を設定する
  • Qlik Sense Enterprise 仮想プロキシの Azure エンタープライズ アプリケーションを追加する
  • Qlik Sense MobileAzure アプリ登録を追加する
  • Qlik Sense Mobile アプリをIntune 会社ポータルに追加する
  • Qlik Sense Mobile アプリ保護ポリシーを定義する
  • Qlik Sense Mobile 設定ポリシーを定義する
  • Qlik Sense Mobile アプリを展開する

Qlik Sense Enterprise 仮想プロキシを設定する

  1. Qlik Sense Enterprise サーバーで Qlik Management Console を開きます。
  2. [プロキシ] > [セントラル プロキシ] の順に移動します。
  3. Kerberos 認証を有効にします。
  4. Qlik Management Console ホーム ページから、[仮想プロキシ] に移動します。
  5. [新しい仮想プロキシを作成する] をクリックします。
  6. 次の情報を入力します。
    • ID
    • 認証
    • 負荷分散
    • [ホスト ホワイト リスト] のセクション
    注: 使用されるプレフィックスをメモしてください。後ほど、Azure Portal の設定で使用します (https://sense_server_fqdn/prefix)。
    注: Windows 認証パターンは Mozilla に設定する必要があります。
  7. [保存] をクリックします。

Active DirectoryKerberos に制限される委任を設定する

  1. プライマリ ドメインの Active Directory へのアクセス権を持つサーバーにログインします。
  2. 管理者として Windows Power Shell を開きます。
  3. 次のコマンドを使用して、インストール済み Qlik Sense EnterpriseService Principal Name (SPN) を作成します。 
    setspn.exe -U -S HTTP/sense_server_fqdn domain\sense_server_service_account
  4. [Active Directory ユーザーとコンピューター] を開きます。
  5. Azure AD App Proxy をホストするコンピューターを見つけ、マシンのプロパティを変更します。
  6. [委任] タブに移動し、 [指定されたサービスへの委任でのみこのコンピューターを信頼する] を選択します。
  7. [どの認証プロトコルでも使用する] を選択し、作成された SPN を追加します。
  8. ADSI を開き、Azure AD アプリのプロキシ ホストが Qlik Sense サーバーに委任するように設定されていることを確認します。

Qlik Sense Enterprise 仮想プロキシの Azure エンタープライズ アプリケーションを追加する

  1. Azure ポータルにログインし、[Azure Active Directory サービス] を選択します。
  2. [アプリケーション プロキシ] を選択し、アクティブなアプリケーション プロキシが少なくとも 1 つはあることを確認します。
  3. [エンタープライズ アプリケーション] を選択します。
  4. [新しいアプリケーション] をクリックします。
  5. [オンプレミスのアプリケーション] を選択します。
  6. 新しいアプリケーションの名前を入力します。
  7. Qlik Sense Enterprise がインストールされているサーバーの URL を入力します。
    注: URL パスには、QSE 仮想プロキシのプレフィックスを含めてください。
    例: https://sense_server_fqdn/prefix
  8. [外部 URL] を設定します。
    注: この設定は、後ほど Microsoft Intune のアプリ登録で使用します。たとえば、https://sensekcd-qlikemmnet.msappproxy.net/prefix/ などです。
    注意: URL は、プレフィックス (sensekcd-)、テナント名、msappproxy.net、QSE 仮想プロキシのプレフィックスで構成されます。
  9. アプリケーションでは、事前認証手段として必ず Azure Active Directory が使用されるようにします。
  10. トラフィックをアプリケーション プロキシの方向に向けるため、必ず有効な [コネクタ グループ] が選択されるようにします。
  11. [エンタープライズ アプリケーション] の [Single sign-on properties] (シングル サインオンのプロパティ) を選択します。
  12. [モード] の [統合 Windows 認証] を選択します。
  13. 前の手順で作成した SPN を入力します。
  14. [委任されたログイン ID] の [オンプレミス ユーザー プリンシパル名] を選択します。
  15. [保存] をクリックします。
  16. 追加したエンタープライズ アプリケーションを選択し、[プロパティ] をクリックします。
  17. [ユーザーの割り当てが必要] を [はい] に設定し、[保存] をクリックします。

Qlik Sense MobileAzure アプリ登録を追加する

  1. Azure ポータルにログインし、[Azure Active Directory サービス] を選択します。
  2. [Apps Registrations] (アプリ登録) を選択します。
  3. [新しいアプリケーションの登録] をクリックします。
  4. [名前] を入力します。
  5. ネイティブの [アプリ登録タイプ] を入力します。
  6. [リダイレクト URL](msauth://com.qlik.qliksense.mobile/17PV4mdIRAc%2F3SeFXILsSWg1aDU%3D) を入力します。
  7. [App Registration] (アプリ登録) で、[設定] をクリックし、[リダイレクト URL] を選択します。
  8. 追加のリダイレクト URL (qliksense-intune://com.qlik.qliksense.mobile) を追加し、[保存] をクリックします。
  9. アプリ登録の [アプリケーション ID] をメモしてください。
  10. 次の委任権限を追加および付与します。
  • Microsoft Mobile Application Management - ユーザーのアプリ管理データの読み取りと書き込み
  • 上記で定義した Web アプリ / API - <Web アプリ / API 名> へのアクセス
  • Microsoft Graph - ディレクトリ データの読み取り
  • Windows Azure Active Directory - サインインおよびユーザー プロファイルの読み取り
    注: これらの権限のいくつかでは、管理者権限が必要です。Qlik Sense Mobile にログインする最初のユーザーは、必要な権限に同意することができるなどのテナント管理権限を有するユーザーである必要があります。

Qlik Sense Mobile アプリをIntune 会社ポータルに追加する

  1. Azure ポータルにログインし、Intune サービスを選択します。
  2. [クライアント アプリ] を選択します。
  3. [アプリ] を選択します。
  4. [追加] をクリックします。
  5. Android の場合は [Android Store App] (Android ストア アプリ) で、または iOS の場合は [iOS Store App] (iOS ストア アプリ) で [アプリの種類] を選択します。
  6. [ファイルの選択] をクリックし、AndroidQlik Sense Mobile apk ファイルを参照するか、iOS の ipa ファイルを参照して保存します。
  7. [構成] をクリックし、次の情報を入力します。
    • 名前
    • 説明
    • 最小オペレーティング システム
  8. [OK] をクリックします。
  9. アプリをアップロードしたら、[割り当て] をクリックし、適切なユーザーとデバイスがアプリに割り当てられていることを確認します。
  10. アプリのリストを更新します。Android の場合は「Managed Android Store App」(管理対象の Android ストア アプリ) タイプの新しいアプリが、iOS の場合には「Managed iOS Store App」(管理対象の iOS ストア アプリ) タイプの新しいアプリが、[Assigned value] (割り当て値) を「YES」にして表示されます。

Qlik Sense Mobile アプリ保護ポリシーを定義する

  1. Azure ポータルにログインし、Intune サービスを選択します。
  2. [クライアント アプリ] を選択します。
  3. [App protection policies] (アプリ保護ポリシー) を選択します。
  4. [Create Policy] (ポリシーの作成) をクリックします。
  5. [名前] と [説明] を入力します。
  6. Android または iOS の [プラットフォーム] を入力します。
  7. [target to all app types] (すべてのアプリの種類をターゲットにする) に、値を「Yes」(はい) と入力します。
  8. [Select Required Apps] (必要なアプリを選択する) をクリックし、上の手順で追加した Android または iOS アプリの Qlik Sense Mobile を選択します。
    注: iOS の場合は、そのバンドル ID の com.qlik.qliksense.mobile を介して Qlik Sense Mobile アプリを追加する必要があります。
    Android の場合は、そのパッケージ ID の com.qlik.qliksense.mobile を介して Qlik Sense Mobile アプリを追加します。
  9. [設定] をクリックし、さまざまな設定を構成してから [保存] をクリックします。
  10. Qlik Sense Mobile からのデータ転送を制限するように保護ポリシーが構成されている場合は、制限を [ポリシー管理対象アプリ] に設定して Qlik Sense Mobile が診断メールを送信できるようにする必要があります。
  11. 注: Android の場合は、ブラウザーを使用してヘルプを表示し、PDF ビューアーを使用して [Qlik Sense Mobile Terms and Conditions] (使用条件) ドキュメントを表示します。
    注: iOS 保護ポリシーの場合は、Qlik Sense Mobile で診断メールを送信できるようにするため、類似の設定が必要です。ヘルプおよび使用条件は、iOS Qlik Sense Mobile アプリ自体に表示されます。

Qlik Sense Mobile 設定ポリシーを定義する

  1. Azure ポータルにログインし、Intune サービスを選択します。
  2. [クライアント アプリ] を選択します。
  3. [App configuration policies] (アプリ構成ポリシー) を選択します。
  4. [追加] をクリックします。
  5. [名前] と [説明] を入力します。
  6. 登録タイプとして、Android の場合は [管理対象アプリ] を、iOS の場合は [管理されたデバイス] を選択します。
  7. [割り当て] をクリックし、適切なユーザーまたはユーザー グループを割り当てます。
  8. [Select the required app] (必要なアプリを選択する) をクリックし、Company Portal に追加した Qlik Sense Mobile アプリを選択します。
  9. [構成設定] をクリックし、mdm の名前を入力します。
  10. [] には、json ドキュメント { "Accounts" : [ {"name":"Your server name","url":"<external URL>", "config": { "AADAppId" : "<the Application Id noted above>"} を入力します } ] }
  11. [保存] をクリックします。
  12. アプリ構成が、Android の場合は「管理対象アプリ」が、iOS の場合は「管理対象デバイス」が、登録タイプとして割り当てられて表示されることを確認します。

Android デバイスに Qlik Sense Mobile アプリを展開する

  1. Intune が登録されている Android デバイスで、Company Portal を開いて Qlik Sense Mobile をインストールします。
  2. Qlik Sense Mobile を起動します。
  3. アプリが管理対象にであることを指定するよう求められます。求められない場合は、アプリ保護ポリシーで構成問題が発生している可能性があります。
  4. Qlik Sense Mobile サーバー リストで Qlik Sense Mobile 展開を確認してください。確認できない場合は、構成問題かユーザー割り当て問題が発生している可能性があります。
  5. Qlik Sense Mobile 展開へのログインに続いて、Azure SSO ログイン フローに従って操作します。

iOS デバイスに Qlik Sense Mobile アプリを展開する

  1. Intune が登録されている iOS デバイスで、Company Portal を開いて Qlik Sense Mobile をインストールします。
    Intune にダイアログが表示され、Qlik Sense Mobile を管理するよう求められます。
  2. [はい] または [管理] をクリックします。
  3. Qlik Sense Mobile を起動します。
    上の手順で定義した Qlik Sense Mobile サーバーが表示されます。確認できない場合は、構成問題かユーザー割り当て問題が発生している可能性があります。
  4. サーバー名をクリックし、必要に応じて SSO を使用してログインします。
  5. Intune のダイアログが表示され、アプリ データが管理されていることが示されます。[OK] をクリックします。Qlik Sense Mobile が終了します。
  6. Qlik Sense Mobile 展開へのログインに続いて、Azure SSO ログイン フローに従って操作します。