Microsoft Intune – 設定 (MAM アプリケーション展開 for iOS)

目次

  1. Microsoft Intune – 基本 (MDM, MAM)
  2. Microsoft Intune – 設定 (MAM アプリケーション展開 for iOS)
  3. Microsoft Intune – 登録 (Windows Desktop PC編)

概要

前回から引き続き Microsoft Intune 設定 (MDM, MAM)

Microsoft IntuneのMAMにてアプリケーションを追加する方法を記載します。

世界的大流行中のPokemon GOで実験してみます。

インストール後の画面

mamapp0160

詳細

Intuneのアプリ、アプリ, アプリの追加

mamapp0010

アプリの追加

mamapp0020

Pokemon Go for iOSのサイトにいきます。
URLをコピーします。

mamapp0030

URLをペーストします。

mamapp0040

発行元、名前等を入力します。

mamapp0050

アップロードします。

mamapp0060

「展開の管理」をします。

mamapp0070

「必須のインストール」を選択します。

mamapp0075

「ユーザ」もしくは「デバイス」を割り付けます。

mamapp0077

 

mamapp0090

iPhoneでIntuneのポータルを開きます。
「会社のアプリ」をタッチします。

mamapp0100

「Pokemon Go」 をタッチします。

mamapp0110

Pokemon Go をインストールします。

mamapp0120

Appのインストールします。

mamapp0130

「ダウンロード」中。。。。

mamapp0140

インストールされました!!

mamapp0150

Pokemon Goを起動します。

mamapp0160

これで仕事中に思う存分、ポケモンGetできます。

mamapp0170

補足

機能制限でAppStoreの「インストール」使用不可してもインストールできます。


当社の場合は「Appの削除」「App内課金」も未使用にしています。

intune0600

調査中:アプリを必須にしていますが自動でのインストールは失敗しています。
ユーザは手動でインストール可能です。

intune0610

必須の場合は、1日程度放置しておくと以下のように、インストールしてと表示されます。

pokemongo600

pokemongo610

参考

Deploy apps in Microsoft Intune (Microsoft Intune でアプリを展開する)

Microsoft Intune – 基本 (MDM, MAM)

目次

  1. Microsoft Intune – 基本 (MDM, MAM)
  2. Microsoft Intune – 設定 (MAM アプリケーション展開 for iOS)
  3. Microsoft Intune – 登録 (Windows Desktop PC編)

概要

Intuneの設定について、主要なところを、確認してみました。
https://docs.microsoft.com/ja-jp/intune/understand-explore/introduction-to-microsoft-intune

  • モバイル デバイス管理 (MDM):
    プロビジョニング、構成、監視、およびデバイスのワイプなどのアクションをデバイスで実行できるように、それらのデバイスを Intune に登録する機能。
    例)
    1. リモートワイプ
    2. Root化デバイスの検出
    3. パスワードポリシーの設定
    4. Wifi設定

  • モバイル アプリケーション管理 (MAM):
    ユーザーのモバイル アプリを公開、プッシュ、構成、セキュリティ保護、監視、および更新する機能。
    例)
    1. アプリケーションの配布(自社 Store)
    2. メール設定
    3. Office365への条件付きアクセス

  • モバイル アプリケーションのセキュリティ (MAMの機能の一部?):
    モバイル アプリの管理の一部として、Intune は会社のデータから個人のデータを分離し、会社のデータを選択的にワイプできるようにすることで、モバイル データをセキュリティ保護するために役立つ機能を備えています
    例)
    1. 許可していない、アプリの間でのコピペ
    2. Office365のSharePoint/OneDrive以外への保存
    3. Office365のSharePoint/OneDriveのリモートで切断

公式のDocument(一読すると良いです)

  1. Microsoft Intune のドキュメント
    特に「展開と使用」を読む
  2. Intune Documentation
    特に[Deploy & Use]を読む

ここ重要(2016/6/23日現在)

条件付きアクセスについて(ポリシー=Password等)

Office 365 サービス用条件付きアクセスのデバイス ポリシー

よく寄せられる質問 (FAQ)

Q: サポートされていないデバイス プラットフォームに対する既定の除外ポリシーとは何ですか。

A: 現在のところ、条件付きアクセス ポリシーは、iOS デバイスおよび Android デバイスのユーザーに選択的に適用されます。その他のデバイス プラットフォームのアプリケーションは、既定では、iOS デバイスおよび Android デバイスの条件付きアクセス ポリシーの影響を受けません。ただし、テナント管理者は、サポートされていないプラットフォームのユーザーへのアクセスを許可しないようにグローバル ポリシーを上書きすることができます。今後、条件付きアクセス ポリシーが拡張されて、Windows を含むその他のプラットフォームのユーザーにもポリシーが適用される予定です。

Q: Office 365 サービスに対する条件付きアクセス ポリシーがブラウザー ベースのアプリ (OWA、ブラウザー ベースの SharePoint など) に拡張されるのはいつですか。

A: 現在のところ、Office 365 サービスへの条件付きのアクセスは、デバイスの機能豊富なアプリケーションに制限されます。今後、条件付きアクセス ポリシーが拡張されて、ブラウザーからサービスにアクセスするユーザーにもポリシーが適用される予定です。

補足

  1. つまり、ポリシー(Password等)に準拠した、デバイスか判断して、メールアプリやSharePointアプリのアクセス制限(Webブラウザー経由は関係ない)はiOSとAndroidしか使えないというです。
  2. 補足:Azure AD Premiumの条件付きアクセス(IP制限、デバイス制限)を利用すれば、
    Intuneとは別機能ですが、iPhoneのOutlookは先進認証(Web認証)を使用しますので、登録済みデバイスでアクセス許可できます。(デバイスの登録時のIP制限が出来るので、登録自体は社内で実施する等)
  3. ※Office Desktopアプリも先進認証にできます。

MAM – iOS(iPhone) – アプリケーション配布

Microsoft Intune 設定 (MAM アプリケーション展開 for iOS)

MAM – iOS(iPhone) – 電子メールプロファイル

構成ポリシーで以下のように設定します。

ホスト名:outlook.office365.com

あとは、デェフォルトでOK

参考

Microsoft Intune を使って iOS デバイスに電子メール アクセスをセットアップする

intune0010

結果

残念ながら、 Outlook for iOS は設定されない

intune0020

標準のメールには設定が自動で設定されます。

intune0030

 

intune0040

MAM – 条件付きアクセス

デバイスが準拠していない(パスワード等)場合は,「Exchange Online」「SharePoint/OneDrive」に接続できないようにします。

注意)

  1. Web Browserからのアクセスはこの設定と関係ありません。
    例)以下のoutlook webサイト等
    https://outlook.office.com/owa/
  2. Intuneでは接続できるデバイス数を全体で1~5に設定できます。
    この方法で、1台しか接続できなないようにする設定はできます。
  3. 確実にデバイス制限するにはADFSを使用します。
    AD DS(オンプレミス)にデバイス登録を行い
    ※Intuneの場合はIntuneにデバイス登録時に、AD Syncで自動的にAD DSに登録される
    ADFSに認証時に登録されていないデバイスは許可しない設定をします。
  4. SharePoint/OneDriveについては、iOSとAndroidのみ対象です。

Exchnage Onlineのポリシー

intune0230

SharePoint Online (OneDrive含む)のポリシー
SharePoint/OneDriveについては、iOSとAndroidのみ対象です。

intune0240

コンプライアンスポリシーを違反させます。

現在のiPhoneはパスワード5文字のところを、準拠は6文字に変更

iPhone上では60分以内にパスワードを変更してくださいと言われる

intune0250

上記だとどうしても以下のように準拠にしかなりませんでした。(非準拠の仕方が不明、この辺りは、更に検証が必要)

intune0260

しかたないので、サインアウトして

intune0270

念のためにIntuneのプロファイルを削除して

intune0280

iPhone再起動後、Outlookの メールアカウント削除して追加すると以下のように拒否されるようになりました。

intune0290

 

更に、確認のために、Exchange Onlineポリシー無効にします。

intune0300

Exchange Online条件付きポリシーが無効のため、メールアカウントが以下のように追加できました。

intune0310

intune0320

 

MAM – モバイルアプリ管理  – 組織のデータ保護

注意点:現時点で構成出来るポリシーは iOS, Androidです。(2014/07/20)

mam0800

MAMのメニューはAzureにあります。

Azure のメニューから、参照で[intune]を探します

intune0050

MAMを使用するセキュリティグループをOffice365の セキュリティグループで作成し、MAMで管理したいユーザを追加しておきます。

intune0060

AzureのIntuneにて[ポリシーの追加]をします。

intune0070

[ポリシー]にユーザグループを割り当てます。

Office365で作成した、セキュリティグループを割り当てます

intune0080

対象アプリを割り付けます

intune0090

ポリシーの設定を行います。今回は標準にします(変更しません)

intune0100

結果

Excel, Outlook等のアプリケーションを起動すると、最初の1回だけPINを設定する画面ができてきます。

2日目以降はPINを要求されます。

 

intune0110

一度PINを打つと1時間?程度PINを入力する必要がないです。

intune0120

OneDrive/SharePointにあるデータは、iPhoneに保存できなくなります。

その文章をiPhoneに保存したときに、「保存を許可しません」、と表示されます。

※新規文章作成時(保存していない状況)はどこにも保存できます。一旦、OneDrive/SharePointに保存するとiPhoneに保存できなくなります。

intune0130

組織管理のデータ(OneDrive/SharePoint)のデータですと「コピー・ペースト」もできません。

wordで「コピー」します。

intune0140

iPhoneのノートに「ペースト」できません。

intune0150

許可されたアプリ、PowerPointは「ペースト」できます。

intune0160

MAM – モバイルアプリ管理  – 組織のデータ保護 (注意点:メモへの抜け道)

Outlookでなぜか保存するときに iPhone ローカルのメモに保存できてしまいます。

受信ファイルのzipをタッチします。

intune0400

「メモを追加」をタッチする。

intune0410

iPhoneでメモアプリを起動する。

intune0425

iPhoneのローカルのメモをタッチします。

intune0430

zipが保存されています。

※組織のデータを封じ込めるには、iPhoneをユーザに配るときににメモを使えなくなる必要がありそう。

intune0440

クラウドに保存を実行してみます。

Outlookのメールの添付ファイルをタッチします。

intune0450

Google ドライブに保存する。

intune0460

「保護されたファイル」 「ITポリシーはこのファイルの保存を許可してません。」と表示されます。

intune0470

 

MAM – モバイルアプリ管理 – ワイプ要求

ユーザとデバイスを選んでワイプ要求をします。

intune0170

PowerPointを起動するとワイプされます。

実際にはOfficeからサインアウトされて OneDrive/SharePointにアクセスできなくなるだけです。

 

 

intune0180

ワイプされたあとは、OneDirve/SharePointがありません。

intune0190

もう一度Office365にサインインします。

intune0200

Office365にサインすると OneDrive/SharePointにアクセスできます。

 

intune0210

データは削除されずに、残っています。
※このワイプは、データの削除ではなく、OneDirve/SharePointのアクセスの切断です。

intune0220

参考

  1. Azure Rights Management with Office365 (EMS 及び Azure RMSの解説)

  2. Microsoft Windows Intune(統合管理ソフトウェア)

  3. Office 365のモバイルデバイス管理機能  (365の無料のMDM, Intuneの機能限定版)

  4. [EMS] 他社 MDM を利用しながらでも Office アプリの保護が可能! Intune MAM without MDM 機能の提供について

  5. Microsoft Intune でのモバイル アプリ管理ポリシーの作成および展開
  6. Microsoft様の解説サイトとってもわかりやすいので、以下の図を参照しておきます。Office365 のE3, E5 は Azure RMSのIRMの機能を使用しているのが以下の図からわかります。

    Office 365 と Azure AD、Intune、Azure RMS の関係について

    image

 

Azure Rights Management with Office365

はじめに

Azure Rights Mangement は、購入するライセンスのところで、とっても迷います

できるだけ、分かり易く解説します

※2016/07/13日現在、複雑なため自己責任でお願いします。

組み合わせ可能なライセンスが以下の表になります

Office Plan 1. Office
Pro plus
2. Azure RMS
IRM機能
Office365プラン
3. Azure RMS
Premium
単体プラン
4. Azure RMS
Premium
(EMSに含む)
Office Home and Business 組合せ可
Office Professional 組合せ可
Office 365 solo 組合せ可
Office 365 Business Essentials 組合せ可
Office 365 Business 組合せ可
Office 365 Business Premium 組合せ可
Office 365 ProPlus 含む 組合せ可
Office 365 Enterprise K1 組合せ可 組合せ可
Office 365 Enterprise E1 組合せ可 組合せ可
Office 365 Enterprise E3 含む 含む 組合せ可
Office 365 Enterprise E5 含む 含む 組合せ可
Exchange Online Plan 1 組合せ可 組合せ可
Exchange Online Plan 2 組合せ可 組合せ可
Exchange Online Kisok 組合せ可 組合せ可

 

タイトル 内容
1. Office Pro plus
(Officeアプリケーション)
  • IRM のアクセス制限の機能がアプリに含まれているので、すぐにIRMを実施できる。
    ※[Outlook application(Pro plus)  or  Outlook Web App] +[Exchange online] の組み合わせですとメールの本文を含めた暗号化が可能
  • PC用のOfficeアプリケーション で Professonal Plus以外は、無料の[RMS共有アプリ]の[Microsoft RMS Office Addins]が必要、その場合は Outlook applicationでは、本文の暗号化はできません。
  • 古いですが、エディション比較
    Office 2010 製品エディション
2. Azure RMS
IRM機能
Office365プラン
  • E3, E5 に付随するライセンス、「Azure RMS Premium」のIRMの機能が使用できます
  • 「Azure RMS Premium」の追跡、アクセス許可取消は使用できませんが、RMS共有アプリも使用できます。
3. Azure RMS
Premium
単体プラン
  • RMSの全機能使用できる、Office365のプランに追加した場合は、IRMも使用できる
  • RMS Connector(ディレクトリ同期必須)
  • テンプレートカスタマイズ
  • Microsoft のWeb Site
    Microsoft Azure Rights Management
4. Azure RMS
Premium
EMS

Microsoft様の解説サイト

とってもわかりやすいので、以下の図を参照しておきます。

Office365 のE3, E5 は Azure RMSのIRMの機能を使用しているのが以下の図からわかります。

Office 365 と Azure AD、Intune、Azure RMS の関係について

image

Office の製品エディションの比較

古いですが見つからないので

Office 2010 製品エディション

rms0220

 

IRMの概要 (information rights management)

Office365 テナント内で[Azure Rights Management]を有効にする

rms0020

rms0030

[Azure Rights Management]をユーザに割り付ける

rms0010

 補足
以下はOffice 365 Business Plemium+EMS(Enterprise Mobility Suite)の画面です。
※ EMSのライセンスの中に、2つあるのがわかります。
[Azure Rights Management Plemium]+[Azure Rights Management]

rms0210

IRM Office Professional で使用する場合

Excelに[アクセスの制限]ボタンがある

rms0070

Outlookに[アクセス許可]ボタンがある

rms0080

 

IRM Office Home and Business / Business で使用する場合

以下はOffice Business

rms0040

Excelに[アクセスの制限]ボタンがない

rms0050

Outlookに[アクセス許可]ボタンがない

rms0060

アクセス許可ができないので、[RMS共有アプリ]の[Microsoft RMS Office Addins]をインストールします

以下のようにOfficeの中にRMS Office Addins がインストールされていますので、ボタンを押します。

rms0100

以下のようにTXT,PDF Officeファイル等も 、[RMS共有アプリ]の機能で暗号化できます。

rms0110

ファイルを保護します。

ここで追跡も選べますが、最初にファイル暗号化します。
※追跡は [Azure RMS Premium]なら可能です

rms0120

 

権限の詳細設定ができます。

rms0200

 

rms0130

rms0140

 

rms0150

Azure RMS Premium ですと追跡できます。

rms0160

rms0170

rms0180

 

Azure RMS Premium でない、E3,E5のIRMの場合は以下のようになり追跡のためにログインできません。

rms0190

 

RMS共有アプリケーション

Officeなくても動作します。
※以下はOffice アプリケーションインストールしていないのでExcelのアイコンが表示されません

RMSで保護すると、

  1. [xlsx] ファイルはそのまま
  2. [txt]ファイルは[ptxt]
  3. [bmp]ファイルは[pbmp]
  4. [zzz]ファイルは[zzz.pfile] ※拡張子未対応のものはこうなります。

 

rms0230

共有相手

フリーメール系は共有できないようです。
gmail.com, outlook.com, hotmail.com, yahoo.co.jp

onmicrosoft.comはOKのようです

フリーメール以外の相手に共有します。
※ファイルを保護 or 保護してメールで送信する

例)以下はgmail
rms0240

共有相手は、Azure RMSがなければ、以下でサイインして、RMS共有アプリをダウンロードします。

https://portal.aadrm.com/

このサイトで、アカウントを作成できます。Azure RMS 個人(Indivisual)
※Azure RMSライセンスを所有していない場合

rms0280

Azure RMS共有アプリケーションで開きます。(アプリケーション起動時にログイン画面表示されます)

以下にはテキストの内容がでています。

コピー保護がかかっているので、真っ黒になります。

rms0290

Azure RMS を所有していない場合は、個人用(individual)のAzure RMS(無料)が作成されます。

メールアドレス充てに送信した場合は以下のURLがリンクされていますので、アクセスして個人用Azure RMSを作成します。

https://portal.aadrm.com/

rms0010

rms0020

RMSテンプレートカスタマイズ

確認中(ライセンス、動作)

One drive for Business

確認中(ライセンス、動作)

Azure RMS Premium という名前になった時期 (EMSに含まれる)

http://japan.zdnet.com/article/35084713/

なお、Microsoftは2015年に、EMSに「Advanced Threat Analytics」(同社がAoratoの買収で得た技術)を追加搭載した際、EMSにバンドルされていたAzure RMSを「Premium」バージョンにアップデートしている。

Azure RMS 単独購入(Premiumと書いていないが購入するときに Premiumという表示されれる)

https://products.office.com/ja-jp/business/microsoft-azure-rights-management

Microsoft Azure Rights Management は、Office 365 Enterprise E3 プランと E4 プランに含まれています。また、次のプランと共に単体で購入することもできます: Office 365 Enterprise E1、Office 365 Enterprise K1、Exchange Online プラン 1、Exchange Online プラン 2、Exchange Online Kiosk。

参考

  1. Office 365 と Azure AD、Intune、Azure RMS の関係について
  2. Office 365 と Azure RMS (IRM、共有アプリケーション)
  3. Azure RMS 共有アプリケーション利用に必要なライセンスとその違い (検証結果)
  4. Azure RMS ベーシック導入プラン
    個人用(Indivisual)のRMSがわかる。
  5. Azure Rights Management による社外ユーザとのセキュアなコンテンツ共有の実現
    全体がよくわかる(2014年度なのすこし古い)

 

 

 

SharePoint Add-ins 2013 (オンプレミス; on-premise) にTenant Scopeでリリース時にエラーになる

はじめに

SharePoint Add-insにテナント(Tenant) Scope で、権限の追加時に、以下のエラーが出る場合があります。

英語
Sorry, only tenant administrators can add or give access to this app
日本語
申し訳ございません。このアプリへのアクセス許可を追加または付与できるのは、テナント管理者のみです。

その場合には、ファーム管理者に追加する必要があります。

詳細

例)AppManufest に テナント(tenant)に[Full Control]を設定します

tenant-onpremise0010

デバック実行すると以下のメッセージが表示されます。
「申し訳ございません。このアプリへのアクセス許可を追加または付与できるのは、テナント管理者のみです。」

tenant-onpremise0020

[SharePoint全体管理]の[セキュリティ]をクリックする

tenant-onpremise0030

[Farm Administratore(ファーム管理者)]にVisual Studioを実行しているユーザを追加します。

tenant-onpremise0040

IISをリセットする

[PowerShell]を[管理者として実行する]

[Iisreset]コマンドを入力する

tenant-onpremise0050

再度[Visual Studio]で[デバック実行]する
Farm Administratorの権限が付与されているので、メッセージが以下に代わります
「すべてのサイトコレクションのフルコントロールを許可します。」

tenant-onpremise0060

結果、以下のように SharePoint Provider-hosted からSharePointにアクセスできています

tenant-onpremise0070

参考

  1. Apps using tenant scope permissions in a local site

 

 

 

SharePoint Add-ins 2013 (オンプレミス; on-premise) とVisual StuidoでのProvider-hosted アプリデバックの環境(enviroment)

はじめに

[SharePoint2013] on-premiseで[SharePoint Add-ins]を動作させるためには

SharePoint-hosted」か「high-trust な Provider-hosted(高信頼アプリ)」のどちらかになります。

  1. SharePoint-hosted」の場合は
    hostedされるURLが別名になります(実際にはSharePointです)ので、DNSやSharePointの「アプリ URL の構成」をする必要があります。
    はまる、App for SharePoint 2013 (オンプレミス; on-premises) とVisual Stuidoでのsharepoint hoted apps アプリデバックの環境(enviroment)
  2. 「high-trust な Provider-hosted(高信頼アプリ)」の場合は
    [自己証明書 or 商用証明書]を使用してProvider-hosted(WebSite)を信頼済み(SecurityTokenService)にしなければいけません。信頼済みにしないとエラーになります。

詳細(high-trust な Provider-hosted(高信頼アプリ))

  1. 自己署名入り証明書の作成する。
    sp-provider-onpre0010
  2. 証明書のフレンドリ名を指定する
    sp-provider-onpre0020
  3. 証明書をエクスポートする
    ※pfx :後でVisual Studioにpfx(秘密キー入り証明書)を読み込ませます
    例)
    場所  [C:\Certs\HighTrustSampleCert.pfx]
    password [password]
    sp-provider-onpre0030
  4. .cer(秘密キーのない証明書)も作ります。
    ※.cer :後で、[SharePoint Security Token Service]に秘密キーのない証明書を読み込ませます
    作成した証明書をダブルクリック
    sp-provider-onpre0040
    詳細タブのファイルコピーをクリックする
    sp-provider-onpre0050
    秘密キーをエクスポートしません。
    sp-provider-onpre0060
    保存します。
    例)
    場所  [C:\Certs\HighTrustSampleCert.cer]
    sp-provider-onpre0070
    結果以下のようになります。
    sp-provider-onpre0080
  5. SharePoint Security Token Service の構成を行います。
    注意:specificIssuerId はGUIDを自分で生成する必要があります。
    以下を[SharePoint2013 管理シェル]を管理者から起動して実行します。

    $publicCertPath = "C:\Certs\HighTrustSampleCert.cer"
    $certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($publicCertPath)
    
    
    New-SPTrustedRootAuthority -Name "HighTrustSampleCert" -Certificate $certificate 
    
    $realm = Get-SPAuthenticationRealm
    
    
    $specificIssuerId = "11111111-1111-1111-1111-111111111111"
    $fullIssuerIdentifier = $specificIssuerId + '@' + $realm 
    
    
    New-SPTrustedSecurityTokenIssuer -Name "High Trust Sample Cert" -Certificate $certificate -RegisteredIssuerName $fullIssuerIdentifier –IsTrustBroker
    iisreset 
    
    
    $serviceConfig = Get-SPSecurityTokenServiceConfig
    $serviceConfig.AllowOAuthOverHttp = $true
    $serviceConfig.Update()
  6. Visual Studioで[SharePoint Add-ins] [Provider-hosted]アプリを作成します。
    ※[Visual Studio] は[管理者と実行]すること

    1. 新しいプロジェクト
      sp-provider-onpre0090
    2. プロバイダー向けのホスト型
      ※SharePointのサイトはDeveloperサイトのテンプレートで作成したサイトにして下さい
      sp-provider-onpre0100
    3. SharePoint2013にします。
      ※DLLのバージョンがonline, on-premiseと異なりますので注意して下さい
      sp-provider-onpre0105
    4. [ASP.NET Webフォーム アプリケーション], [ASP.NET MVC Web アプリケーション]どちらでもよいです。
      sp-provider-onpre0110
    5. [アプリの認証方法]で証明書を使用する(高信頼性が必要なSharePoint設置型アプリの場合)
      例
      [証明書の場所(秘密キー込み)]: [C:\Certs\HighTrustSampleCert.pfx]
      [パスワード]: password
      [発行者 ID]: 11111111-1111-1111-1111-111111111111

      sp-provider-onpre0120

    6. プロジェクトを作成後[Web.config]を確認すると以下のようになっています。
      sp-provider-onpre0130
    7.  デバック実行してみます。(F5)
      IEが起動するので、[信頼する]をクリックする
      sp-provider-onpre0140
    8. 以下のように標準テンプレートのサンプルが表示され、名前をSharePointから取得しています。
      sp-provider-onpre0150
  7. テストが終わり本番にリリースする際に証明書の入れ替えについては
    以下のサイトの「ドメインが発行した証明書または商用証明書を使用してデバッグを完了する」を参考にして下さい
    SharePoint の高信頼性アドインを作成する

参考

  1. SharePoint Add-ins: On-Premises と Office 365 で動く Add-in を作成するには (Authentication)
  2. SharePoint の高信頼性アドインを作成する
  3. Create high-trust SharePoint Add-ins
  4. はまる、App for SharePoint 2013 (オンプレミス; on-premises) とVisual Stuidoでのsharepoint hoted apps アプリデバックの環境(enviroment)
  5. SharePoint2013+VisualStudio2013 配置手順 ‘IIS アプリケーション プールのリサイクル’ でエラー