MicrosoftはIntune MAMのセキュリティ要件をより厳格に適用し、iOSおよびAndroidアプリを更新していない企業では、アプリの起動がブロックされる。
Intuneのモバイルアプリケーション管理(MAM)を利用している企業は要注意だ。事前に手を打っていなければ、まもなくアプリが動かなくなる。
Microsoftは、新たなセキュリティ要件に対応するためIntune MAMを1月19日から、または「その直後」に更新する。これにより、iOSのラップ済みアプリ、iOS SDK統合アプリ、そしてAndroid向けIntune Company Portalは、セキュリティを維持して動作させるために、最新のIntuneバージョンへ更新することが求められる。
つまり、最新バージョンに更新していない企業は、アプリの起動自体が全面的にブロックされる。さらに、Intune MAMでラップしたカスタムアプリだけでなく、OutlookやTeamsなど頻繁に使われるアプリも対象に含まれる可能性がある。
Beauceron SecurityのDavid Shipleyは、「要するに、動かしたいなら更新して配布しろ、ということだ」と述べた。
iOSとAndroidで何が更新されるのか
Microsoft Intuneは、Microsoft Modern Workplaceの中核コンポーネントだ。そのMAM機能は、社給端末と個人端末の両方で企業データを保護するのに役立つ。これを使えば、ITチームは端末全体を管理せずに、OutlookやTeamsのような企業アプリを管理できる。この種の統合エンドポイント管理(UEM)は、機能の展開、更新、アプリの廃止を支援すると同時に、企業データを保護しデータ漏えいを防ぐ(理想的には)最小限のユーザー影響で実現する。
月曜日の厳格な期限により、MicrosoftはUEM内でより厳格なセキュリティ要件を適用する。ただし対象は承認済みユーザーのみだ。最新のアプリ保護に対応したMicrosoft製またはサードパーティ製アプリを備えていない場合、「アプリの起動がブロックされる」と同社は警告した。Microsoftは必要な更新について、数か月前にMicrosoft 365 Admin Centerで告知している。
Appleユーザーにとって、月曜日の全面停止が意味するのは次のとおりだ。
- Intune App SDKを使用するiOSの業務アプリ(LOB)およびカスタムiOSアプリは、Xcode 16でコンパイルされたアプリはSDKバージョン20.8.0以降、Xcode 26でコンパイルされたアプリは21.1.0以降へ更新する必要がある。
- ラッパーを使用するアプリは、iOS向けIntune App Wrapping Toolの新バージョンへ更新する必要がある。XCode 16でビルドされたアプリはバージョン20.8.1以降、XCode 26でビルドされたアプリは21.1.0以降。
Androidユーザーはもう少し簡単だ。更新済みSDKを含むMicrosoftアプリが端末に1つでも入っており、Company Portalがバージョン5.0.6726.0以降に更新されていれば、他のAndroidアプリも更新される。
iOSとAndroidの両方のアプリを対象にしたポリシーを持つテナントは、ユーザーに更新が必要であることを通知し、TeamsやOutlookなどのMicrosoftアプリが最新であることを確認すべきだとMicrosoftは助言した。管理者はまた、条件付き起動設定を有効にして、古いSDKバージョンを使用するアプリをブロックしたり、古いアプリバージョンを使用しているユーザーに警告したりできる。
管理者は、ユーザーがスマートフォンで作業している最中にブロックされないよう、先回りして確認することもできる。Microsoft Intune管理センターで、アプリ > 監視 > アプリ保護の状態に移動し、ユーザーが実行しているアプリとSDKのバージョンを確認できる。
Microsoftは「アプリが引き続き円滑に動作するよう、AndroidおよびiOSアプリは常に最新のSDKまたはアプリラッパーに更新することを推奨する」と強調した。
全体として同社は、条件付きアクセス ポリシーを使用し、アプリ保護ポリシーが有効なアプリのみが企業リソースへアクセスできるようにすることを企業に推奨した。
新しいセキュリティ更新により、Microsoftは企業が構築した既存のカスタムアプリに対して制御を追加で適用した、とBeauceronのShipleyは説明する。これにより、アプリ内でPINや生体認証を必須にする、他の管理対象アプリとのデータ共有を制限する、アプリから企業データだけを選択的に消去する、といった機能が可能になる。
Shipleyは「(この更新は)古いバージョンが保護のために本来すべきことをしていないというリスクがあるからかもしれない」と指摘した。
同氏は、Microsoftが2025年以降この更新を示唆しており、実装も2025年12月中旬から今週へすでに延期されていたと述べた。また、この変更はIntune MAMでラップされたカスタムアプリだけでなく、OutlookやTeamsなど他のアプリケーションにも影響する可能性がある点は興味深い。
Shipleyは「結局のところ、レドモンド(Microsoft)が本気で踏み込むと、レドモンドが望むものがそのまま実現する。今回もそう見える」と語った。
Info-Tech Research Groupの主任サイバーセキュリティアドバイザーであるFritz Jean-Louisは、きちんと状況を把握してきたITチームにとって、この期限は驚きではないはずだと述べた。Microsoftはしばらく前から、Intuneのさまざまな要素や、インフラ観点での接続方法を段階的に廃止してきた。
Jean-Louisは「多くのことと同様に、適切な注意義務をもって能動的に管理していなければ、影響を受ける」と述べ、(リモートでもオンプレミスでも)スマートフォンで業務タスクをこなしている従業員は、更新がなければ停止に見舞われると指摘した。「十分に対処されていなければ、ユーザーに深刻な影響が出るだろう」
ITの観点では、新しいバージョニングに備えられていない場合、管理者はできるだけ早くMicrosoftに連絡し、チームの準備が整うまでの間に緩和策を講じられるかどうかを判断すべきだ。
ユーザーに問題が発生した場合は、正式なITサービスデスクに連絡すべきだとJean-Louisは助言する。例えば、適当なサイトに行ってユーザーIDとパスワードを盲目的に入力して更新を受け取る、といった自己解決は試みるべきではない。脅威アクターが待ち構え、この種の機会を利用してマルウェアの「修正」を配布する可能性がある。
「脅威アクターは、こうした大きな変更を常に悪用しようとしている」と同氏は述べた。
