LASSIC Media らしくメディア

Q: MDMがあれば、署名や証明書の管理は不要になりますか。

いいえ。MDM/EMMは配布・構成管理を担いますが、アプリ自体の署名や証明書・署名鍵の管理は別途必要です。iOSのエンタープライズ証明書には有効期限があり、Androidでもアプリ署名鍵の保管方針が更新運用に影響します。MDMの導入とは別に、署名・鍵の管理体制を設計しておくことが大切です。

2026.06.30 らしくコラム

アプリの社内配布(MDM/エンタープライズ)を外注する

LASSIC IT事業部｜元請（プライムベンダー）としてシステム保守・運用を受託

mobile device management

この記事のポイント

自社開発アプリを一般のApp Store／Google Playに公開せず社内・法人へ配る手段は、iOSとAndroidで仕組みが異なり、Apple Business Manager（カスタムApp）やManaged Google Play（プライベートアプリ）などの選択肢があります
どの経路でもMDM／EMM（Intune・Jamf等）による配布・構成管理が運用の中心になり、署名・プロビジョニング・更新の継続的な管理が必要です
配布経路の選定・署名管理・MDM構成・更新運用は専門領域が広く、外注では役割分担と運用引き継ぎの設計が要点になります

アプリの社内配布とは — 一般ストア公開との違い
iOS：Apple Business Manager＋カスタムApp
iOS：Apple Developer Enterprise Program（社内配布）の要件と制約
Android：Managed Google Playとプライベートアプリ
MDM／EMM（Intune・Jamf等）による配布・構成管理
署名・プロビジョニング・更新運用の論点
配布経路の比較と選定の目安
社内配布を外注で進める5ステップ
よくある質問

アプリの社内配布とは — 一般ストア公開との違い

business smartphone devices

アプリの社内配布とは、自社で開発したモバイルアプリを一般のApp Store／Google Playに公開せず、社内の従業員や特定の法人にだけ届ける配布形態を指します。一般公開アプリは不特定多数のユーザーがストアから検索・取得しますが、社内配布では配布先を組織内に限定します。

一般公開のアプリでは、ストア最適化（ASO）や審査対応、ストア掲載といった「広く見つけてもらう」ための工程が重要になります。これに対し社内配布で重視されるのは、配布対象を限定すること、配布先デバイスを管理すること、そして更新を継続的に届けることです。本稿ではストア公開やASOの一般論には踏み込まず、社内・法人向け配布に固有の論点に絞って整理します。

配布の経路はiOSとAndroidで仕組みが大きく異なります。以下では、iOS（Apple Business Manager・Enterprise Program）、Android（Managed Google Play）、両者をまたぐMDM／EMMの順に、一次情報をもとに見ていきます。

社内配布の流れ（開発・署名→配布登録→MDM連携→配信・構成→更新運用）

iOS：Apple Business Manager＋カスタムApp

iOSアプリを社内・法人に配布する標準的な経路の一つが、Apple Business Manager（ABM）とカスタムApp（Custom Apps）の組み合わせです。Appleの公式ドキュメントによれば、カスタムAppは「組織固有の業務ニーズに合わせて開発されたアプリ」で、自社または第三者の開発者が開発し、Apple Business Managerを通じて組織のメンバーに非公開で配布されます^*1。

App Store Connectでの提出と組織への割り当て

カスタムAppは、開発者がApp Store Connectを通じて提出し、自社のApple Business Managerアカウントに割り当てます。承認後はその組織だけが閲覧・取得できる状態になり、開発者がアクセスを許可する組織を指定して特定の組織に限定して配布できます^*1。一般公開のApp Storeでは検索に表示されない点が、社内・法人向け配布の核心です。

App Storeアプリと同じ配布モデルを利用できる

Appleのデプロイメント向けドキュメントでは、カスタムAppはApple Business ManagerやApple School Managerの「Apps and Books」セクション内で非公開に配布され、IT部門はApp Storeアプリと同じ配布モデル（デバイス単位の割り当てやマネージドApp機能を含む）を利用できると説明されています^*2。つまり、後述するMDMからデバイスへアプリを割り当てる運用に、そのまま組み込めます。

カスタムAppは、配布先が限定される一方で、提出時にAppleのレビューを経る点は一般公開アプリと共通です。社内専用の機能であっても、レビュアーが動作確認できるようテストアカウントを用意するなどの準備が必要になります^*2。

iOS：Apple Developer Enterprise Program（社内配布）の要件と制約

もう一つのiOS社内配布の経路が、Apple Developer Enterprise Programです。Appleの公式説明によれば、このプログラムは大規模な組織が「専有の社内利用アプリ（proprietary, internal-use apps）」を、社内システムやMDMを通じて従業員に直接配布するためのもので、一般公開のApp Storeモデルに当てはまらないアプリを対象としています^*3。

加入要件

Apple Developer Enterprise Programには、Appleが公式に示す加入要件があります。主なものは次のとおりです^*3。

従業員100名以上の組織であること
法人格を持つ組織であること（屋号・支店等は対象外）
D-U-N-S Number（Dun & Bradstreetの識別番号）を保有していること
組織ドメインの公開Webサイトを持っていること
Appleの検証インタビューと継続的な評価プロセスを通過すること

費用は年額299米ドル（または現地通貨）で、標準のApple Developer Program（年額99米ドル）とは別枠です^*3。更新時には再検証が求められます。

配布上の制約

このプログラムには明確な制約があります。Appleの説明では、利用は「自社が開発した専有アプリ」「社内利用のみ（従業員のみ）」「従業員だけがアクセスできる仕組みを備えること」に限定され、App Storeでの一般公開、第三者への配布・再販には使えません^*3。社外の取引先や顧客に配るためのプログラムではない点に注意が必要です。

Appleは、まず標準のApple Developer Programの利用を先に検討するよう案内しています。カスタムAppやアドホック配布などで要件を満たせる場合があるためです^*3。社外の特定法人へ配るならカスタムApp、自社従業員のみへ広く配るならEnterprise Programというように、配布対象によって適した経路が分かれます。

Android：Managed Google Playとプライベートアプリ

Androidで自社アプリを社内・法人に配る中心的な仕組みが、Android EnterpriseとManaged Google Playです。Googleの公式ドキュメントによれば、プライベートアプリ（private apps）は特定の組織に限定されたカスタムアプリで、組織に制限した時点で「そのアプリは非公開となり、それらの組織だけが利用できる」状態になります^*4。

プライベートアプリの配布の流れ

Googleの説明では、開発者はGoogle Play Consoleに登録してアプリのバンドルをアップロードし、アクセスを許可する組織のID（Organization ID）を指定して配布先を限定します。その後、組織側のEMM（Enterprise Mobility Management）プロバイダの管理コンソールから従業員への配布を行います^*4。Google Play Consoleが公開の基盤、EMMコンソールが実際のデバイスへの配信を担う役割分担です。

デバイス管理のモード

Android Enterpriseは、アプリ配布に関係するデバイス管理モードを提供しています。Googleの公式ページによれば、業務専用にデバイス全体を管理する「フルマネージド（fully managed）」と、業務と個人の領域を分離する「仕事用プロファイル（work profile）」があり、いずれも150以上のEMMパートナーと連携してアプリ配信やポリシー適用を行えるとされています^*5。Managed Google Playは、組織が承認したアプリ（公開・専有を問わず）を従業員に提供し、公開市場の全アプリではなく承認済みのアプリだけにアクセスを限定する仕組みです^*5。

MDM／EMM（Intune・Jamf等）による配布・構成管理

corporate mobile technology

iOS・Androidのいずれの経路でも、実際にデバイスへアプリを届け、設定を適用する運用の中心になるのがMDM／EMMです。代表的な製品としてMicrosoft IntuneやJamf Proがあります。

Microsoft Intune：LOBアプリとManaged Google Play連携

Microsoftの公式ドキュメントによれば、Intuneは「店頭アプリ（store apps）」「Webアプリ」「自社開発またはカスタムの業務アプリ（line-of-business：LOBアプリ）」など複数のアプリ種別をサポートしています^*6。LOBアプリは社内で作成またはカスタム開発したアプリで、iOS／iPadOSは拡張子.ipa、Androidは.apkのインストールファイルをIntuneに登録して配布します^*6。

Androidについては、Intuneの「Managed Google Play」種別を通じてAndroid Enterpriseのアプリを取り込みます。Androidのフルマネージドや専用デバイスでは、必須のLOBアプリをManaged Google Playを経由せずIntuneから直接配布することもできるとされています^*6。

Intuneは、デバイス自体を管理するMDMと、デバイスを管理せずアプリだけを管理するMAM（Mobile Application Management）の両方の考え方を持ちます。BYOD（私物端末の業務利用）では、端末全体ではなくアプリ内の業務データを管理するMAMが選ばれることがあると説明されています^*6。社内配布の設計では、端末が会社所有か私物かによってこの選択が変わります。

Jamf Pro：ボリュームパーチェスとスコープによる割り当て

Apple端末に特化したMDMであるJamf Proは、Apple Business ManagerやApple School Managerと連携してコンテンツトークンを取得し、ボリュームパーチェス（一括購入）のロケーションを追加してアプリのライセンスを管理します^*7。配布の経路としては、利用者がアプリを選べるSelf Service、App Installers、構成プロファイルによる配信などがあります^*7。

アプリの割り当ては、Jamf Proの「スコープ（scope）」で行います。デバイスの条件に基づくスマートグループや静的グループを作成し、対象・除外を設定することで、指定したデバイスにだけアプリがMDMのプッシュで配布されます^*7。前述のカスタムAppも、このMDMのデバイス単位割り当ての枠組みに乗せて配布する運用になります。

署名・プロビジョニング・更新運用の論点

社内配布で見落とされやすいのが、配布した後の継続的な運用です。署名・プロビジョニング・更新は、一度設定すれば終わりではなく、継続管理が前提になります。

署名とプロビジョニング

iOSアプリはAppleが発行する証明書で署名し、配布対象を定めるプロビジョニングプロファイルとともに配布します。カスタムAppはApp Store Connect経由でAppleの署名・配布基盤に乗りますが、Apple Developer Enterprise Programでの社内配布では、組織が発行するエンタープライズ向けの証明書で署名する運用になります^*3。証明書には有効期限があるため、期限管理を運用に組み込む必要があります。

Androidでは、アプリ署名鍵の管理が継続運用の要点です。Managed Google Play経由で配布する場合も、アップロードするアプリバンドルの署名と鍵の保管方針を定めておくことが、後々の更新を滞りなく行ううえで大切です。

更新の配布

更新の届け方は配布経路によって異なります。Intuneでは、店頭アプリの更新は自動で行われる一方、LOBアプリは「自社で更新する」必要があると明記されています^*6。つまり、自社開発アプリを社内配布する場合、新バージョンのファイルを再登録して配布し直す運用を自前で回すことになります。

Intuneは、必須アプリについて端末のチェックイン時に再インストール・更新・削除を一定の周期で評価し、24時間以内に反映するとされています^*6。更新の即時性をどこまで求めるかによって、配布の設計や検証の手順が変わってきます。

配布経路の比較と選定の目安

ここまで見てきた配布経路を、配布対象・仕組みの観点で整理します。自社の状況（配布先が従業員か社外法人か、端末が会社所有か私物か）に照らして選定の目安としてください。

配布経路	主な配布対象	仕組み・特徴
ABM＋カスタムApp（iOS）	自社従業員、または指定した特定の法人	App Store Connectで提出しApple Business Managerに割り当て。アクセス許可する組織を指定して非公開配布。App Storeアプリと同じデバイス単位の割り当てが使えます^1^2。
Apple Developer Enterprise Program（iOS）	自社の従業員のみ（社内利用に限定）	従業員100名以上・D-U-N-S・検証通過などの要件。年額299米ドル。社外配布・再販は不可。エンタープライズ証明書で署名^*3。
Managed Google Play／プライベートアプリ（Android）	指定した組織の従業員	Google Play Consoleにアップロードし組織IDで配布先を限定。EMMコンソールから従業員へ配布。フルマネージド／仕事用プロファイルに対応^4^5。
MDM／EMM（Intune・Jamf等）	上記各経路と組み合わせて管理対象デバイスへ	LOBアプリ（.ipa／.apk）やManaged Google Play連携で配布。スコープ／グループで対象を指定。LOBアプリの更新は自社で再配布^6^7。

配布対象が社外の特定法人を含むならカスタムApp、自社従業員に限定するならEnterprise ProgramやManaged Google Playのプライベートアプリが候補になります。いずれの場合も、配信と構成管理の実務はMDM／EMMで担う構成が一般的です。

社内配布を外注で進める5ステップ

社内配布は、開発・署名・配布基盤・MDM運用と専門領域が横断するため、外注では役割分担と引き継ぎの設計が要点になります。進め方を5ステップで整理します。

ステップ1：配布対象と前提条件の整理

配布先が自社従業員か社外法人か、対象端末がiOS・Android・両方か、会社所有端末か私物（BYOD）かを整理します。この前提で適した配布経路が絞られます。Enterprise Programを検討する場合は、従業員数やD-U-N-Sの保有など加入要件の充足も先に確認します^*3。

ステップ2：配布経路とMDMの選定

整理した前提に基づき、配布経路（カスタムApp・Enterprise Program・Managed Google Play）と、配信・構成管理を担うMDM／EMM（Intune・Jamf等）を選定します。既存のMDM環境があれば、それに取り込めるかを優先的に確認します。

ステップ3：アカウント・証明書・署名の準備

Apple Business Manager、Apple Developer Program／Enterprise Program、Google Play Consoleなど必要なアカウントを開設し、署名証明書・プロビジョニングプロファイル・アプリ署名鍵を準備します。証明書の管理主体（自社か外注先か）と保管方針を契約段階で明確にしておくことが、後の更新を滞らせない要点です。

ステップ4：配布登録とMDM構成・検証

アプリを配布経路に登録し、MDMへ取り込み、配布対象のグループ・スコープを設定します。会社所有端末とBYODで構成が変わるため、実機での配信・起動・構成適用の検証を行います。テスト用の端末群で配信から構成適用までを一通り確認してから本配布に移ります。

ステップ5：更新運用の引き継ぎ

社内配布は配布して終わりではなく、新バージョンの再配布や証明書の期限管理が継続的に発生します。LOBアプリの更新は自社で行う必要があるため^*6、更新手順・担当・周期を運用ドキュメントとして引き継ぎます。外注の場合、開発のみ委託するのか運用まで継続委託するのかをこの段階で確定させます。

よくある質問

社外の取引先にだけアプリを配りたい場合、どの経路が向いていますか。

iOSでは、Apple Business Managerのカスタムappが候補になります。開発者がアクセスを許可する組織を指定して非公開で配布できるためです^*1。一方、Apple Developer Enterprise Programは「自社の従業員のみ・社内利用に限定」という制約があり、社外配布や再販には使えません^*3。配布先が社外法人かどうかで適した経路が分かれます。

Apple Developer Enterprise Programには誰でも加入できますか。

いいえ。Appleが公式に示す要件があり、従業員100名以上の法人であること、D-U-N-S Numberを保有していること、組織ドメインの公開Webサイトを持つこと、Appleの検証インタビューと継続的な評価を通過することなどが求められます^*3。費用は年額299米ドルで、更新時に再検証があります。要件を満たさない場合は、まず標準のApple Developer Programでの配布手段を検討するようAppleは案内しています^*3。

Androidの自社アプリをGoogle Playに公開せず社内に配るには、どうすればよいですか。

Managed Google Playのプライベートアプリが該当します。Google Play Consoleにアプリをアップロードし、アクセスを許可する組織のID（Organization ID）を指定すると、そのアプリは非公開になり指定組織だけが利用できます^*4。実際のデバイスへの配信は、組織側のEMM（MDM）コンソールから行う仕組みです^*4。

MDMがあれば、署名や証明書の管理は不要になりますか。

いいえ。MDM／EMMは配布・構成管理を担いますが、アプリ自体の署名や証明書・署名鍵の管理は別途必要です。iOSのエンタープライズ証明書には有効期限があり^*3、Androidでもアプリ署名鍵の保管方針が更新運用に影響します。MDMの導入とは別に、署名・鍵の管理体制を設計しておくことが大切です。

社内配布したアプリの更新は、自動で全端末に反映されますか。

配布経路によります。Microsoft Intuneの公式ドキュメントでは、店頭アプリの更新は自動で行われる一方、自社開発のLOBアプリは「自社で更新する」必要があると明記されています^*6。自社アプリを社内配布する場合は、新バージョンを登録して再配布する運用を自前で回すことになります。必須アプリは端末のチェックイン時に評価され、一定周期で反映されるとされています^*6。

著者：テレリモ総研編集部　鈴木亮佑

LASSICに相談するメリット

LASSICはiOS・Androidアプリの受託開発に加え、Apple Business Managerのカスタムapp対応、Managed Google Playでの配布、Intune・Jamf等のMDM／EMMを用いた配信・構成管理まで、社内配布の設計と運用を一貫してご支援します。配布経路の選定、署名・証明書の管理方針、更新運用の引き継ぎまで含めて体制を組めるため、開発から運用までの空白を作らずに進められます。社内・法人向けアプリ配布でお困りの際は、まずご相談ください。

ITアウトソーシング・システム開発のご相談はLASSICへ

元請（プライムベンダー）として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

*1　出典：Apple「Learn about Custom Apps in Apple Business Manager」support.apple.com（2026年6月取得）
*2　出典：Apple「Distribute Custom Apps to Apple devices」support.apple.com（2026年6月取得）
*3　出典：Apple「Apple Developer Enterprise Program」developer.apple.com（2026年6月取得）
*4　出典：Google「Publish private apps – managed Google Play」support.google.com（2026年6月取得）
*5　出典：Google「Android Enterprise – Management」android.com（2026年6月取得）
*6　出典：Microsoft「Add apps to Microsoft Intune」learn.microsoft.com（2026年6月取得）
*7　出典：Jamf「In-House Apps（Jamf Pro Documentation）」learn.jamf.com（2026年6月取得）

こちらの記事もおすすめ

バックナンバー

Back Category Next