Teams アプリのセットアップポリシー周りについて検証したメモです。
- ここでのアプリとは
- セットアップポリシーとは
- まず結論
- 【ポイント】セットアップポリシーの「インストール済みアプリ」からアプリを削除したらアンインストール…ではない
- 一括でアンインストール手段はないのか?
- 本当に一括アンインストールする手段はないのか?
- ポリシーがなかなか反映されない時は
- 残検証項目
- まとめ
ここでのアプリとは
セットアップポリシーとは
「ピン留めされたアプリ」に指定するとアプリはTeamsのアプリバーの指定位置にピン留めされます。
まず結論
【ポイント】セットアップポリシーの「インストール済みアプリ」からアプリを削除したらアンインストール…ではない
セットアップポリシーでインストールしたんだから、ポリシーから削除すればアンインストールされるのでは?…というわけではないようです。
セットアップポリシーからアプリを削除してみると
セットアップポリシーでの「インストール済みアプリ」からアプリを削除しても、アプリはアンインストールされません。ポリシーによる強制がなくなったことでアプリを右クリックするとアンインストールが可能となるだけです。
※カスタムポリシーごと削除した場合も同様の動作でした。
一括でアンインストール手段はないのか?
Microsoft Learn のセットアップポリシーのページ
Microsoft Learn のこちらにセットアップポリシーの情報があるものの、セットアップポリシーからアプリを削除した場合の挙動については言及がありません。
マイクロソフトサポートに聞いてみた
やはり一括でアンインストールする事はできないようです。(2023年9月時点)
本当に一括アンインストールする手段はないのか?
こちらの文書にはこのような記述があります。
「ユーザーによって既に追加されているアプリを削除またはアンインストールすることはできません」と明記されていますが
- アプリをブロックする
- アプリデータアクセスを無効にする
アプリを使用できなくすることはできるようです。実際に動作を確認してみました。
1.アプリをブロック
1-1.Teams管理センターのアプリの管理でブロック
アプリをTeams管理センター→Teamsのアプリ→アプリを管理でアプリをブロック指定してみます。
変更が反映されると、クライアント側ではアプリは表示されなくなりました。
1-2.Teams管理センターのアクセス許可ポリシーでアプリをブロック
インストール済みのアプリをTeams管理センター→Teamsのアプリ→アクセス許可ポリシーでアプリをブロック指定してみます。
ポリシーが反映されると、クライアント側ではアプリは表示されなくなりました。アプリの管理でブロックした場合と同じ挙動です。
1-3.ブロックを解除するとアプリは復活してしまう
1-1,1-2の設定で一見アンインストールされたように見えます。では、アプリのブロックをを解除すると……インストール済みだったアカウントでアプリは復活しました。
[推測]
この為、ブロックされた時点で非表示になるもののアンインストールはされていないか少なくともインストールしたという情報は抹消されていないのではないかと思われます。
※ブロック後36時間ほどで解除した際の挙動です。長期間ブロックした場合の挙動までは確認できていません。
2.アプリデータアクセスを無効にする
「アプリケーションへのユーザーのサインインを無効にする - Microsoft Entra | Microsoft Learn」こちらのページの手順通りに設定してみます。
- Entra ID管理センターにアクセス
- [ID]→[アプリケーション]→[エンタープライズ アプリケーション]→[すべてのアプリケーション]
- 対象のアプリケーションを選択
- [プロパティ]
[ユーザーのサインインが有効になっていますか?] に "いいえ" を選択し[保存]
この設定を行うと、アプリにアクセスしても下図のようになりアプリは使用できなくなります。
ポリシーがなかなか反映されない時は
複数ユーザーを切り替えて検証していたのですが一部のユーザーにポリシーがなかなか反映されず検証に手間取りました。
Teamsのキャッシュを削除すれば、ポリシーを手早く反映させることができました。
デスクトップアプリの場合はこちらの手順でキャッシュを削除できます。
モバイルアプリの場合は[設定]→[一般]→[データとストレージ]→[アプリのデータをクリア]で削除できます。
WebブラウザーTeamsの場合は、ブラウザーのキャッシュだけでなくサイトデータまで削除する方が確実です。私は検証の際には「Clear Site Data」という拡張機能を使っています。サイト単位でサイトデータの削除が行えるのでとても捗ります。
残検証項目
- カスタムアプリの検証が漏れていた
まとめ
- アプリをセットアップポリシーで一括インストールすることはできるが、ポリシーからアプリを削除してもアンインストールはされない(ユーザー操作でのアンインストールが可能になるだけ)
- アプリを一括でアンインストールする機能は現時点では提供されていない
- アプリの管理・アクセス許可ポリシーでブロックすれば非表示になるがブロックを解除すると再表示されてしまう
- アプリデータアクセスの無効化まで実施しておけばそのアプリは使えない
一括アンインストールが必要だがアプリのブロックができない…といった状況はあまりないかと思いますので、現時点ではセットアップポリシーから削除した後にアプリをブロックすることが最善の手段かと思われます。