このページでは、Android Enterprise のすべての機能の一覧を示します。
500 台を超えるデバイスを管理する場合は、EMM ソリューションを商用で利用可能にする前に、少なくとも 1 つのソリューション セットのすべての標準機能()をサポートする必要があります。標準管理セットを提供するソリューションとして Android の Enterprise ソリューション ディレクトリに掲載を希望する EMM デベロッパーは、標準機能の検証に合格し、Android Enterprise パートナー プログラムのメンバーになる必要があります。
各ソリューション セットには、高度な機能の追加セットが用意されています。これらの機能は、各ソリューション セットのページで、個人所有デバイスの仕事用プロファイル、会社所有デバイスの仕事用プロファイル、完全管理対象デバイス、専用デバイスとして示されています。AE パートナー プログラムのメンバーで、高度な機能の検証に合格したソリューションを持つ EMM デベロッパーは、エンタープライズ ソリューション ディレクトリに、高度な管理セットを提供している企業として掲載されます。
キー
| 標準機能 | 上級者向け機能 | オプション機能 | 該当なし |
1. デバイスのプロビジョニング
1.1. DPC ファーストの仕事用プロビジョニング
Google Play から EMM の DPC をダウンロードした後で、仕事用プロファイルをプロビジョニングできます。
1.1.1. EMM の DPC は Google Play で一般公開されている必要があります。これにより、ユーザーはデバイスの個人用プロファイルに DPC をインストールできます。
1.1.2. インストールが完了すると、DPC は仕事用プロファイルのプロビジョニング プロセスをユーザーに案内する必要があります。
1.1.3. プロビジョニングが完了すると、デバイスの個人用側に管理の痕跡は残らなくなります。
- プロビジョニング中に設定されたポリシーはすべて削除する必要があります。
- アプリの権限を取り消す必要があります。
- EMM の DPC は、少なくともデバイスの個人用プロファイルでオフになっている必要があります。
1.2. DPC ID によるデバイスのプロビジョニング
IT 管理者は、Play EMM API デベロッパー ドキュメントで定義されている実装ガイドラインに従って、DPC 識別子(「afw#」)を使用して完全管理対象デバイスまたは専用デバイスをプロビジョニングできます。
1.2.1. EMM の DPC は Google Play で一般公開されている必要があります。DPC 固有の識別子を入力することで、デバイス設定ウィザードから DPC をインストールできる必要があります。
1.2.2. インストールが完了したら、EMM の DPC は、完全管理対象デバイスまたは専用デバイスのプロビジョニング プロセスをユーザーに案内しなければなりません。
1.3. NFC デバイスのプロビジョニング
IT 管理者は、Play EMM API デベロッパー ドキュメントで定義されている実装ガイドラインに沿って、NFC タグを使用して新しいデバイスまたは出荷時の設定にリセット済みのデバイスをプロビジョニングできます。
1.3.1. EMM は、少なくとも 888 バイトのメモリを備えた NFC フォーラム タイプ 2 タグを使用しなければなりません。プロビジョニングでは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID などの機密情報以外の登録の詳細をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。
1.3.2. EMM の DPC がデバイス所有者として設定されたら、DPC はすぐに開き、デバイスが完全にプロビジョニングされるまで画面にロックされる必要があります。1.3.3. NFC ビーム(NFC バンプとも呼ばれます)のサポートが終了したため、Android 10 以降では NFC タグの使用をおすすめします。
1.4. QR コードによるデバイスのプロビジョニング
IT 管理者は、 Play EMM API デベロッパー向けドキュメントで定義されている実装ガイドラインに沿って、新しいデバイスまたは出荷時の状態にリセットされたデバイスを使用して、EMM のコンソールで生成された QR コードをスキャンし、デバイスをプロビジョニングできます。
1.4.1. QR コードは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID などの機密情報以外の登録の詳細をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。
1.4.2. EMM の DPC がデバイスをセットアップした後、DPC はすぐに開き、デバイスが完全にプロビジョニングされるまで画面にロックされる必要があります。
1.5. ゼロタッチ登録
IT 管理者は、認定販売パートナーから購入したデバイスを事前設定し、EMM コンソールを使用して管理できます。
1.5.1. IT 管理者は、ゼロタッチ登録: IT 管理者向けで説明されているゼロタッチ登録方法を使用して、会社所有デバイスをプロビジョニングできます。
1.5.2. デバイスの初回起動時に、IT 管理者が定義した設定が自動的に適用されます。
1.6. 高度なゼロタッチ プロビジョニング
IT 管理者は、ゼロタッチ登録で DPC 登録の詳細情報をデプロイすることで、デバイス登録プロセスの大部分を自動化できます。EMM の DPC は、EMM が提供する構成オプションに従って、登録を特定のアカウントまたはドメインに制限することをサポートします。
1.6.1. IT 管理者は、ゼロタッチ登録: IT 管理者向けで説明されているゼロタッチ登録方法を使用して、会社所有デバイスをプロビジョニングできます。
1.6.2. EMM の DPC がデバイスをセットアップした後、EMM の DPC はすぐに開き、デバイスが完全にプロビジョニングされるまで画面にロックされる必要があります。
- ゼロタッチ登録の登録情報を使用して、サイレントで完全にプロビジョニングされるデバイス(専用デバイスのデプロイなど)では、この要件は免除されます。
1.6.3. EMM の DPC は、登録の詳細情報を使用して、DPC が呼び出されたときに承認されていないユーザーがアクティベーションを続行できないようにする必要があります。少なくとも、アクティベーションは特定の企業のユーザーに限定されなければなりません。
1.6.4. 登録の詳細を使用して、EMM の DPC は、一意のユーザーまたはデバイス情報(ユーザー名/パスワード、アクティベーション トークンなど)以外の登録の詳細(サーバー ID、登録 ID など)を IT 管理者が事前入力できるようにする必要があります。これにより、ユーザーはデバイスをアクティベートする際に詳細を入力する必要がなくなります。
- EMM は、ゼロタッチ登録の構成にパスワードや証明書などの機密情報を含めてはなりません。
1.7. Google アカウントの仕事用プロファイルのプロビジョニング
管理対象の Google ドメインを使用している企業の場合、この機能は、デバイスのセットアップ時またはすでに有効になっているデバイスで、企業の Workspace 認証情報を入力した後に、仕事用プロファイルのセットアップをユーザーに案内します。どちらの場合も、会社の Workspace ID は仕事用プロファイルに移行されます。
1.7.1. Google アカウントのプロビジョニング方法では、定義済みの実装ガイドラインに従って仕事用プロファイルがプロビジョニングされます。
1.8. Google アカウントのデバイス プロビジョニング
Workspace を使用する企業の場合、この機能は、デバイスの初期設定時に企業の Workspace 認証情報を入力した後に、EMM の DPC のインストールをユーザーに案内します。インストールが完了すると、DPC は会社所有デバイスのセットアップを完了します。
1.8.1. Google アカウント プロビジョニング メソッドは、定義された実装ガイドラインに従って、会社所有のデバイスをプロビジョニングします。
1.8.2. EMM がデバイスを企業資産として明確に識別できない限り、プロビジョニング プロセス中にプロンプトなしでデバイスをプロビジョニングすることはできません。このプロンプトは、チェックボックスをオンにする、デフォルト以外のメニュー項目を選択するなど、デフォルト以外の操作を行う必要があります。EMM がデバイスを企業資産として識別できるようにして、プロンプトが表示されないようにすることをおすすめします。
1.9. 直接ゼロタッチ設定
IT 管理者は、EMM のコンソールで ゼロタッチ iframe を使用してゼロタッチ デバイスを設定できます。
1.10. 会社所有デバイスの仕事用プロファイル
EMM は、仕事用プロファイルが設定された会社所有デバイスを登録できます。
1.10.1. 意図的に空白。
1.10.2. IT 管理者は、会社所有デバイスの仕事用プロファイルにコンプライアンス アクションを設定できます。
1.10.3. IT 管理者は、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。
1.10.4. IT 管理者は、仕事用プロファイルまたはデバイス全体でスクリーン キャプチャを無効にできます。
1.10.5. IT 管理者は、個人用プロファイルにインストールできないアプリのブロックリストを設定できます。
1.10.6. IT 管理者は、仕事用プロファイルを削除するか、デバイス全体をワイプすることで、会社所有デバイスの管理を解除できます。
1.11. 専用デバイスのプロビジョニング
IT 管理者は、ユーザーに Google アカウントでの認証を求めることなく専用デバイスを登録できます。
2. デバイスのセキュリティ
2.1. デバイスのセキュリティ チャレンジ
IT 管理者は、管理対象デバイスで、3 つの複雑さレベルの事前定義された選択肢からデバイスのセキュリティ チャレンジ(PIN/パターン/パスワード)を設定して適用できます。
2.1.1. ポリシーは、デバイスのセキュリティ チャレンジを管理する設定を適用しなければなりません(仕事用プロファイルの場合は parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの場合は passwordRequirements)。
2.1.2. パスワードの複雑さは、次のパスワードの複雑さにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含むパターンまたは PIN。
- PASSWORD_COMPLEXITY_MEDIUM - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まない PIN、または長さが 4 文字以上のアルファベットまたは英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まず、長さが 8 文字以上の PIN、または長さが 6 文字以上の英字または英数字のパスワード
2.2. 仕事用プロファイルのセキュリティに関する問題
IT 管理者は、仕事用プロファイル内のアプリとデータに対して、デバイスのセキュリティ チャレンジ(2.1.)とは別に、異なる要件のセキュリティ チャレンジを設定して適用できます。
2.2.1. ポリシーは、仕事用プロファイルのセキュリティ保護用手続きを適用する必要があります。デフォルトでは、IT 管理者は、スコープが指定されていない場合、仕事用プロファイルに対してのみ制限を設定すべきです。IT 管理者は、スコープを指定することで、デバイス全体に制限を設定できます(要件 2.1 を参照)。
2.1.2. パスワードの複雑さは、次のパスワードの複雑さにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含むパターンまたは PIN。
- PASSWORD_COMPLEXITY_MEDIUM - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まない PIN、または長さが 4 文字以上のアルファベットまたは英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まず、長さが 8 文字以上の PIN、または長さが 6 文字以上の英字または英数字のパスワード
2.3. 高度なパスコード管理
2.3.1. 意図的に空白にしています。
2.3.2. 意図的に空白。
2.3.3. デバイスで利用可能な各ロック画面に対して、次のパスワード ライフサイクル設定を設定できます。
- 意図的に空白
- 意図的に空白
- ワイプの最大パスワード失敗回数: デバイスから企業データがワイプされるまでに、ユーザーが間違ったパスワードを入力できる回数を指定します。IT 管理者はこの機能を無効にできる必要があります。
2.4. スマートロックの管理
IT 管理者は、Android の Smart Lock 機能のどの信頼エージェントがデバイスのロック解除を許可されるかを管理できます。IT 管理者は、信頼できる Bluetooth デバイス、顔認識、音声認識などの特定のロック解除方法を無効にしたり、必要に応じて機能を完全に無効にしたりできます。
2.4.1. IT 管理者は、デバイスで利用可能なロック画面ごとに、Smart Lock 信頼エージェントを個別に無効にできます。
2.4.2. IT 管理者は、デバイスで利用可能なロック画面ごとに、Bluetooth、NFC、場所、顔、装着状態、音声の各信頼エージェントについて、Smart Lock 信頼エージェントを選択的に許可して設定できます。
- IT 管理者は、利用可能な Trust エージェントの構成パラメータを変更できます。
2.5. ワイプとロック
IT 管理者は EMM のコンソールを使用して、管理対象デバイスをリモートでロックし、仕事用データをワイプできます。
2.5.1. EMM の DPC はデバイスをロックする必要があります。
2.5.2. EMM の DPC はデバイスをワイプする必要があります。
2.6. コンプライアンスの適用
デバイスがセキュリティ ポリシーに準拠していない場合、仕事用データは自動的に制限されます。
2.6.1. デバイスに適用されるセキュリティ ポリシーには、少なくともパスワード ポリシーが含まれている必要があります。
2.7. デフォルトのセキュリティ ポリシー
EMM は、IT 管理者が EMM のコンソールで設定をセットアップまたはカスタマイズしなくても、指定されたセキュリティ ポリシーをデバイスにデフォルトで適用する必要があります。EMM は、IT 管理者がこれらのセキュリティ機能のデフォルトの状態を変更できないようにすることが推奨されます(必須ではありません)。
2.7.1. EMM の DPC は、仕事用プロファイルが設定された Android 8.0 以降のデバイスの個人用側にインストールされたアプリを含め、提供元不明のアプリのインストールをブロックしなければなりません。
2.7.2. EMM の DPC はデバッグ機能をブロックしなければなりません。
2.8. 専用デバイスのセキュリティ ポリシー
専用デバイスはロックダウンされ、他の操作を行うための解除はできません。
2.8.1. EMM の DPC は、デフォルトでセーフモードでの起動をオフにしなければなりません。
2.8.2. プロビジョニングの初回起動時に、EMM の DPC を開いてすぐに画面にロックし、他の方法でデバイスを操作できないようにする必要があります。
2.8.3. 定義された実装ガイドラインに従って、起動時に許可されたアプリが画面にロックされるように、EMM の DPC をデフォルトのランチャーとして設定しなければなりません。
2.9. Play Integrity のサポート
EMM は Play Integrity API を使用して、デバイスが有効な Android デバイスであることを確認します。
2.9.1. EMM の DPC はプロビジョニング中に Play Integrity API を実装します。デフォルトでは、デバイスの完全性が MEETS_STRONG_INTEGRITY を返した場合にのみ、企業データを含むデバイスのプロビジョニングを完了します。
2.9.2. EMM の DPC は、デバイスが EMM のサーバーにチェックインするたびに、別の Play Integrity チェックを実行します。このチェックは IT 管理者が構成できます。EMM サーバーは、完全性チェックのレスポンスとレスポンス自体の APK 情報を検証してから、デバイスの企業ポリシーを更新します。
2.9.3. IT 管理者は、プロビジョニングのブロック、企業データのワイプ、登録の続行の許可など、Play Integrity チェックの結果に基づいてさまざまなポリシー対応を設定できます。
- EMM サービスは、各完全性チェックの結果に対してこのポリシー レスポンスを適用します。
2.9.4. 初期の Play 整合性チェックが失敗した場合、または強い整合性を満たさない結果が返された場合、EMM の DPC がまだ ensureWorkingEnvironment を呼び出していない場合は、プロビジョニングが完了する前に呼び出してチェックを繰り返さなければなりません。
2.10. アプリの確認の適用
IT 管理者は、デバイスでアプリの確認をオンにできます。アプリの確認では、Android デバイスにインストールされているアプリをインストール前後にスキャンして有害なソフトウェアがないか確認します。これにより、悪意のあるアプリが企業データを侵害するのを防ぐことができます。
2.10.1. EMM の DPC は、デフォルトでアプリの確認をオンにしなければなりません。
2.11. ダイレクト ブートのサポート
電源を入れたばかりの Android 7.0 以降のデバイスでは、デバイスが最初にロック解除されるまでアプリを実行できません。ダイレクト ブートのサポートにより、デバイスがロック解除されていない場合でも、EMM の DPC が常にアクティブになり、ポリシーを適用できるようになります。
2.11.1. EMM の DPC は、DPC の認証情報暗号化ストレージが復号される前に、デバイス暗号化ストレージを活用して重要な管理機能を実行します。ダイレクト ブート中に利用可能な管理機能には、以下が含まれなければなりません(ただし、これらに限定されません)。
- エンタープライズ ワイプ。必要に応じて、初期設定へのリセット保護データをワイプする機能を含む。
2.11.2. EMM の DPC は、デバイスの暗号化されたストレージ内の企業データを公開してはなりません。
2.11.3. EMM は、トークンを設定して有効化し、仕事用プロファイルのロック画面で [パスワードを忘れた場合] ボタンを有効にできます。このボタンは、IT 管理者に仕事用プロファイルのパスワードの安全なリセットをリクエストするために使用されます。
2.12. ハードウェア セキュリティの管理
IT 管理者は、会社所有デバイスのハードウェア要素をロックダウンして、データ損失防止を徹底できます。
2.12.1. IT 管理者は、デバイスで物理的な外部メディアをマウントできないようにユーザーをブロックできます。
2.12.2. IT 管理者は、ユーザーが NFC ビームを使用してデバイスからデータを共有することをブロックできます。NFC ビーム機能は Android 10 以降ではサポートされなくなったため、このサブ機能は省略可能です。
2.12.3. IT 管理者は、デバイスから USB 経由でファイルを転送できないようにユーザーをブロックできます。
2.13. エンタープライズ セキュリティ ロギング
IT 管理者は、デバイスから使用状況データを収集して、悪意のある動作や危険な動作がないか解析し、プログラムによって評価できます。記録されるアクティビティには、Android Debug Bridge(adb)のアクティビティ、アプリの起動、画面のロック解除などがあります。
2.13.1. IT 管理者は特定のデバイスでセキュリティ ロギングを有効にできます。EMM の DPC は、セキュリティ ログと再起動前のセキュリティ ログの両方を自動的に取得できる必要があります。
2.13.2. IT 管理者は、EMM のコンソールで、特定のデバイスと設定可能な期間のエンタープライズ セキュリティ ログを確認できます。
2.13.3. IT 管理者は、EMM のコンソールからエンタープライズ セキュリティ ログをエクスポートできます。
3. アカウントとアプリの管理
3.1. エンタープライズ バインディング
IT 管理者は EMM を組織にバインドして、EMM が managed Google Play を使用してデバイスにアプリを配布できるようにします。
3.1.1. 既存の管理対象の Google ドメインを持つ管理者は、ドメインを EMM にバインドできます。
3.1.2. EMM のコンソールは、各エンタープライズに対して一意の ESA をサイレントでプロビジョニングして設定する必要があります。
3.1.3. Play EMM API を使用して企業登録を解除します。
3.1.4. EMM コンソールは、管理者が Android の登録フローで仕事用メールアドレスを入力するよう促し、Gmail アカウントの使用を推奨しません。
3.1.5. EMM は、Android の登録フローで管理者のメールアドレスを事前入力します。
3.2. managed Google Play アカウントのプロビジョニング
EMM は、managed Google Play アカウントと呼ばれる企業のユーザー アカウントをサイレントでプロビジョニングできます。これらのアカウントは管理対象ユーザーを識別し、ユーザーごとに一意のアプリ配信ルールを許可します。
3.2.1. EMM の DPC は、定義された実装ガイドラインに従って、管理対象 Google Play アカウントをサイレントでプロビジョニングして有効にできます。この場合:
- タイプ
userAccountの管理対象 Google Play アカウントがデバイスに追加されます。 - タイプ
userAccountの managed Google Play アカウントは、EMM のコンソールの実際のユーザーと 1 対 1 でマッピングされている必要があります。
3.3. managed Google Play デバイス アカウントのプロビジョニング
EMM は、managed Google Play のデバイス アカウントを作成してプロビジョニングできます。デバイス アカウントは、管理対象 Google Play ストアからのアプリのサイレント インストールをサポートしており、単一のユーザーに紐付けられていません。代わりに、デバイス アカウントを使用して単一のデバイスを識別し、専用デバイスのシナリオでデバイスごとのアプリ配信ルールをサポートします。
3.3.1. EMM の DPC は、定義された実装ガイドラインに従って、管理対象 Google Play アカウントをサイレントでプロビジョニングして有効にできます。この場合、タイプ deviceAccount の管理対象 Google Play アカウントがデバイスに追加される必要があります。
3.4. 以前のデバイス向けの managed Google Play アカウントのプロビジョニング
EMM は、managed Google Play アカウントと呼ばれる企業ユーザー アカウントをサイレントでプロビジョニングできます。これらのアカウントは管理対象ユーザーを識別し、ユーザーごとに一意のアプリ配布ルールを許可します。
3.4.1. EMM の DPC は、定義された実装ガイドラインに従って、管理対象 Google Play アカウントをサイレントでプロビジョニングして有効にできます。この場合:
- タイプ
userAccountの管理対象 Google Play アカウントがデバイスに追加されます。 - タイプ
userAccountの managed Google Play アカウントは、EMM のコンソールの実際のユーザーと 1 対 1 でマッピングされている必要があります。
3.5. アプリの自動配布
IT 管理者は、ユーザーの操作なしで、ユーザーのデバイスに仕事用アプリを自動的に配布できます。
3.5.1. EMM コンソールは、IT 管理者が管理対象デバイスに仕事用アプリをインストールできるように、Play EMM API を使用する必要があります。
3.5.2. EMM コンソールは、IT 管理者が管理対象デバイスの仕事用アプリを更新できるように、Play EMM API を使用する必要があります。
3.5.3. EMM コンソールは、IT 管理者が管理対象デバイスでアプリをアンインストールできるように、Play EMM API を使用する必要があります。
3.6. 管理対象設定の管理
IT 管理者は、管理対象設定をサポートするアプリの管理対象設定を表示して、サイレントで設定できます。
3.6.1. EMM のコンソールは、任意の Google Play アプリの管理対象構成設定を取得して表示できる必要があります。
- EMM は
Products.getAppRestrictionsSchemaを呼び出してアプリの管理対象設定スキーマを取得するか、EMM コンソールに管理対象設定フレームを埋め込むことができます。
3.6.2. EMM のコンソールでは、IT 管理者が Play EMM API を使用して、任意の Play アプリに対して任意の構成タイプ(Android フレームワークで定義)を設定できる必要があります。
3.6.3. EMM のコンソールでは、IT 管理者がワイルドカード($username$ や %emailAddress% など)を設定できるようにする必要があります。これにより、Gmail などのアプリの単一の設定を複数のユーザーに適用できます。管理対象構成の iframe は、この要件を自動的にサポートします。
3.7. アプリ カタログの管理
IT 管理者は、managed Google Play(play.google.com/work)から、企業向けに承認されたアプリのリストをインポートできます。
3.7.1. EMM のコンソールには、配布が承認されたアプリのリストが表示されます。このリストには次のものが含まれます。
- managed Google Play で購入したアプリ
- IT 管理者に公開されるプライベート アプリ
- プログラムで承認されたアプリ
3.8. プログラムによるアプリの承認
EMM のコンソールは、managed Google Play iframe を使用して、Google Play のアプリの検出と承認の機能をサポートします。IT 管理者は、EMM のコンソールを離れることなく、アプリの検索、アプリの承認、新しいアプリの権限の承認を行うことができます。
3.8.1. IT 管理者は、managed Google Play iframe を使用して、EMM のコンソール内でアプリを検索して承認できます。
3.9. 店舗の基本的なレイアウト管理
managed Google Play ストア アプリは、デバイスで仕事用アプリをインストール、更新するために使用できます。デフォルトで基本的なストア レイアウトが表示され、企業向けに承認されたアプリが一覧表示されます。EMM は、ポリシーに基づいてユーザーごとにフィルタリングします。
3.9.1. IT 管理者は、[ユーザーが利用できるプロダクト セットを管理する]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) ことで、managed Google Play ストアの [ストアのホーム] セクションでアプリの閲覧とインストールを許可できます。
3.10. 高度なストア レイアウトの構成
IT 管理者は、デバイスの managed Google Play ストア アプリに表示されるストアのレイアウトをカスタマイズできます。
3.10.1. IT 管理者は、EMM のコンソールで次の操作を行って、managed Google Play ストアのレイアウトをカスタマイズできます。
- ストア レイアウト ページは 100 件まで作成できます。ページには、任意の数のローカライズされたページ名を設定できます。
- 各ページに最大 30 個のクラスタを作成します。クラスタには、任意の数のローカライズされたクラスタ名を設定できます。
- 各クラスタに最大 100 個のアプリを割り当てます。
- 各ページに最大 10 個のクイック リンクを追加できます。
- クラスタ内のアプリとページ内のクラスタの並べ替え順序を指定します。
3.11. アプリ ライセンスの管理
IT 管理者は、EMM のコンソールから managed Google Play で購入したアプリのライセンスを確認、管理できます。
3.11.1. 企業向けに承認された有料アプリの場合、EMM のコンソールに次の項目が表示される必要があります。
- 購入したライセンスの数。
- 使用されたライセンスの数と、ライセンスを使用したユーザー。
- 配布可能なライセンスの数。
3.11.2. IT 管理者は、ユーザーのデバイスにアプリを強制的にインストールすることなく、ユーザーにライセンスを自動的に割り当てることができます。
3.11.3. IT 管理者は、ユーザーからアプリ ライセンスの割り当てを解除できます。
3.12. Google ホスト型限定公開アプリの管理
IT 管理者は、Google Play Console ではなく EMM コンソールから Google ホストの限定公開アプリを更新できます。
3.12.1. IT 管理者は、次の方法で、すでに非公開で企業に公開されているアプリの新しいバージョンをアップロードできます。
3.13. セルフホスト型限定公開アプリの管理
IT 管理者は、自己ホスト型の限定公開アプリを設定して公開できます。Google がホストする限定公開アプリとは異なり、Google Play では APK はホストされません。代わりに、EMM は IT 管理者が APK を自分でホストできるようにし、managed Google Play で承認された場合にのみインストールできることを確認することで、セルフホスト型アプリを保護します。
詳しくは、限定公開アプリをサポートするをご覧ください。
3.13.1. EMM のコンソールは、IT 管理者がアプリの APK をホストできるよう、次の両方のオプションを提供する必要があります。
- EMM のサーバーで APK をホストする。サーバーはオンプレミスまたはクラウドベースにできます。
- IT 管理者の裁量により、EMM のサーバー外で APK をホストします。IT 管理者は、EMM コンソールで APK のホスト場所を指定する必要があります。
3.13.2. EMM のコンソールは、提供された APK を使用して適切な APK 定義ファイルを生成し、IT 管理者に公開プロセスを案内する必要があります。
3.13.3. IT 管理者はセルフホスト型の限定公開アプリを更新できます。EMM のコンソールは、Google Play Developer Publishing API を使用して、更新された APK 定義ファイルをサイレントで公開できます。
3.13.4. EMM のサーバーは、リクエストの Cookie に有効な JWT が含まれている自己ホスト型 APK のダウンロード リクエストのみを処理します。この JWT は、非公開アプリの公開鍵によって検証されます。
- このプロセスを容易にするため、EMM のサーバーは、IT 管理者が Google Play Console からセルフホスト型アプリのライセンス公開鍵をダウンロードし、この鍵を EMM コンソールにアップロードするよう案内する必要があります。
3.14. EMM プル通知
EMM プル通知は、新しい権限や管理対象構成を含むアプリの更新などの過去のイベントを特定するために Play を定期的にクエリする代わりに、このようなイベントをリアルタイムで EMM に積極的に通知します。これにより、EMM はこれらのイベントに基づいて自動アクションを実行し、カスタムの管理通知を提供できます。
3.14.1. EMM は、Google Play の EMM 通知を使用して通知セットをプルする必要があります。
3.14.2. EMM は、次の通知イベントについて IT 管理者に自動的に通知する必要があります(自動メールなど)。
newPermissionEvent: アプリをユーザーのデバイスにサイレント インストールまたは更新する前に、IT 管理者が新しいアプリの権限を承認する必要があります。appRestrictionsSchemaChangeEvent: 意図した効率を維持するために、IT 管理者がアプリの管理対象構成を更新する必要がある場合があります。appUpdateEvent: アプリの更新によってコア ワークフローのパフォーマンスが影響を受けないことを検証したい IT 管理者にとって有用です。productAvailabilityChangeEvent: アプリのインストールやアプリのアップデートの取得に影響する可能性があります。installFailureEvent: Play がデバイスにアプリをサイレント インストールできません。デバイスの構成にインストールを妨げる何かがある可能性があります。この通知を受け取った後、EMM はすぐにサイレント インストールを再試行しないでください。Google Play 独自の再試行ロジックはすでに失敗しているためです。
3.14.3. EMM は、次の通知イベントに基づいて適切なアクションを自動的に実行します。
newDeviceEvent: デバイスのプロビジョニング中、EMM はnewDeviceEventを待ってから、新しいデバイスに対する Play EMM API 呼び出し(サイレント アプリのインストールや管理対象構成の設定など)を行う必要があります。productApprovalEvent:productApprovalEvent通知を受信すると、EMM は、アクティブな IT 管理者セッションがある場合、または承認済みアプリのリストが各 IT 管理者セッションの開始時に自動的に再読み込みされない場合、デバイスに配信するために EMM コンソールにインポートされた承認済みアプリのリストを自動的に更新しなければなりません。
3.15. API の使用要件
EMM は Google の API を大規模に実装し、IT 管理者が本番環境でアプリを管理する能力に悪影響を及ぼす可能性のあるトラフィック パターンを回避します。
3.15.1. EMM は、Play EMM API の使用上限を遵守する必要があります。これらのガイドラインを超える動作を修正しない場合、Google の裁量により API の使用が停止されることがあります。
3.15.2. EMM は、特定の時間帯に企業トラフィックを統合するのではなく、さまざまな企業のトラフィックを 1 日を通して分散させる必要があります。このトラフィック パターンに該当する動作(登録された各デバイスのバッチ オペレーションのスケジュール設定など)は、Google の判断により API の使用が一時停止される可能性があります。
3.15.3. EMM は、実際の企業データの取得や管理を試みない、一貫性のない、不完全な、または意図的に誤ったリクエストを継続的に行うべきではありません。このトラフィック パターンに該当する動作は、Google の裁量により API の使用が一時停止される可能性があります。
3.16. 高度な管理対象設定の管理
3.16.1. EMM のコンソールは、次の方法を使用して、任意の Google Play アプリの管理対象構成設定(最大 4 階層までネスト可能)を取得して表示できる必要があります。
- Managed Google Play iFrame 、または
- カスタム UI。
3.16.2. IT 管理者が設定したときに、EMM のコンソールがアプリのフィードバック チャネルから返されたフィードバックを取得して表示できる必要があります。
- EMM のコンソールでは、IT 管理者が特定のフィードバック アイテムを、そのアイテムの送信元となったデバイスやアプリに関連付けることができる必要があります。
- EMM のコンソールで、IT 管理者が特定タイプのメッセージ(エラー メッセージなど)のアラートやレポートを購読できるようにする必要があります。
3.16.3. EMM のコンソールは、次のいずれかの値のみを送信する必要があります。デフォルト値が設定されているか、管理者が手動で設定した値。
- 管理対象設定 iframe
- カスタム UI。
3.17. ウェブアプリの管理
IT 管理者は EMM コンソールでウェブアプリを作成して配布できます。
3.17.1. IT 管理者は、EMM のコンソールを使用して、次の方法でウェブアプリへのショートカットを配布できます。
3.18. managed Google Play アカウントのライフサイクル管理
EMM は、IT 管理者に代わって managed Google Play アカウントを作成、更新、削除できます。
3.18.1. EMM は、Play EMM API デベロッパー ドキュメントで定義されている実装ガイドラインに従って、managed Google Play アカウントのライフサイクルを管理できます。
3.18.2. EMM は、ユーザーの操作なしで managed Google Play アカウントを再認証できます。
3.19. アプリ トラックの管理
3.19.1. IT 管理者は、特定のアプリについてデベロッパーが設定したトラック ID のリストを取得できます。
3.19.2. IT 管理者は、アプリで特定の開発トラックを使用するようにデバイスを設定できます。
3.20. 高度なアプリケーション更新管理
3.20.1. IT 管理者は、アプリが優先度高のアプリのアップデートを使用して、アップデートの準備が整ったときにアップデートされるようにすることができます。
3.20.2. IT 管理者は、アプリのアプリのアップデートを 90 日間延期できます。
3.21. プロビジョニング方法の管理
EMM は、プロビジョニング構成を生成し、エンドユーザーへの配布準備が整った形式(QR コード、ゼロタッチ構成、Google Play ストアの URL など)で IT 管理者に提示できます。
3.22. Enterprise バインディングをアップグレードする
IT 管理者は、エンタープライズ バインディング タイプを Managed Google Domains エンタープライズにアップグレードできます。これにより、組織は登録済みデバイスで Google アカウントのサービスと機能にアクセスできるようになります。
3.22.1. EMM コンソールを使用すると、IT 管理者は 必要な API を使用して、既存の managed Google Play アカウント エンタープライズを Managed Google Domains エンタープライズにアップグレードできます。
3.22.2. EMM は Pub/Sub を使用して、IT 管理者が開始したアップグレード イベント(EMM コンソール外で発生したイベントも含む)に関する通知を受け取り、これらの変更を反映するように UI を更新する必要があります。
3.23. 管理対象の Google アカウントのプロビジョニング
EMM は、管理対象の Google アカウントと呼ばれる企業向けユーザー アカウントを使用してデバイスをプロビジョニングできます。これらのアカウントは管理対象ユーザーを識別し、アプリの配布ルールを許可し、Google サービスへのアクセスを許可します。IT 管理者は、登録中または登録後に管理対象の Google アカウントの認証を必須とするポリシーを設定することもできます。
3.23.1. EMM の DPC は、定義された実装ガイドラインに従って管理対象 Google アカウントをプロビジョニングできます。
この場合:
- 管理対象の Google アカウントがデバイスに追加された。
- 管理対象の Google アカウントは、EMM のコンソールで実際のユーザーと 1 対 1 でマッピングされている必要があります。
3.23.2. IT 管理者は、このポリシーを使用して、登録用の管理対象 Google アカウントにログインするオプションをユーザーに提供できます。
3.23.3. IT 管理者は、このポリシーを使用して、登録を完了するために管理対象の Google アカウントへのログインをユーザーに求めるかどうかを制御できます。
3.23.4. IT 管理者は、必要に応じて、特定のデバイスのアップグレード フローを特定のアカウント ID(メールアドレス)に制限できます。
3.24. managed Google Play アカウントのアップグレード
IT 管理者は、ユーザー アカウントを 管理対象の Google アカウントにアップグレードできます。これにより、登録されたデバイスで Google アカウントのサービスや機能にアクセスできるようになります。
3.24.1. IT 管理者は、デバイス上の既存の managed Google Play アカウントを管理対象の Google アカウントにアップグレードできます。
3.24.2. IT 管理者は、必要に応じて、特定のデバイスのアップグレード フローを特定のアカウント ID(メールアドレス)に制限できます。
4. デバイス管理
4.1. ランタイム権限ポリシーの管理
IT 管理者は、仕事用アプリからのランタイム権限リクエストに対するデフォルトの応答を自動的に設定できます。
4.1.1. IT 管理者は、組織のデフォルトの実行時の権限ポリシーを設定する際に、次のオプションから選択できる必要があります。
- プロンプト(ユーザーが選択可能)
- allow
- 拒否
EMM は、EMM の DPC を使用してこれらの設定を適用する必要があります。
4.2. ランタイム権限の付与状態の管理
デフォルトの実行時権限ポリシーを設定した後(4.1. を参照)、IT 管理者は、API 23 以上で構築された仕事用アプリの特定の権限に対する応答をサイレントに設定できます。
4.2.1. IT 管理者は、API 23 以降で構築された仕事用アプリがリクエストする権限の付与状態(デフォルト、付与、拒否)を設定できなければなりません。EMM は、EMM の DPC を使用してこれらの設定を適用する必要があります。
4.3. Wi-Fi 構成管理
IT 管理者は、管理対象デバイスにエンタープライズ Wi-Fi 構成をサイレントでプロビジョニングできます。対象は次のとおりです。
4.3.1. EMM の DPC を使用して SSID を設定します。
4.3.2. EMM の DPC を使用したパスワード。
4.4. Wi-Fi セキュリティ管理
IT 管理者は、次の高度なセキュリティ機能を含む管理対象デバイスにエンタープライズ Wi-Fi 構成をプロビジョニングできます。
4.4.1. EMM の DPC を使用した ID。
4.4.2. EMM の DPC を使用したクライアント認証用の証明書。
4.4.3. EMM の DPC を使用した CA 証明書。
4.5. 高度な Wi-Fi 管理
IT 管理者は、管理対象デバイスの Wi-Fi 構成をロックダウンして、ユーザーが構成を作成したり、会社の構成を変更したりできないようにすることができます。
4.5.1. IT 管理者は、次のいずれかの構成で企業 Wi-Fi 構成をロックダウンできます。
- ユーザーは EMM によってプロビジョニングされた Wi-Fi 構成を変更することはできませんが、ユーザーが構成可能な独自のネットワーク(個人用ネットワークなど)を追加および変更することはできます。
- ユーザーはデバイスで Wi-Fi ネットワークを追加または変更することはできません。Wi-Fi 接続は EMM によってプロビジョニングされたネットワークのみに制限されます。
4.6. アカウント管理
IT 管理者は、SaaS ストレージや生産性向上アプリ、メールなどのサービスで、承認されていない企業アカウントが企業データにアクセスできないことを確認できます。この機能がない場合、一般ユーザー向けアカウントもサポートしている企業アプリに個人アカウントを追加して、企業データを個人アカウントと共有できます。
4.6.1. IT 管理者は、アカウントの追加や変更を禁止できます。
- デバイスにこのポリシーを適用する場合、EMM はプロビジョニングが完了する前にこの制限を設定する必要があります。これにより、ポリシーが有効になる前にアカウントを追加してこのポリシーを回避することを防ぐことができます。
4.7. Workspace アカウントの管理
この機能は非推奨です。交換の要件については、3.23. を参照してください。
4.8. 証明書の管理
IT 管理者は、ID 証明書と認証局をデバイスにデプロイして、企業リソースにアクセスできるようにします。
4.8.1. IT 管理者は、PKI で生成されたユーザー ID 証明書をユーザーごとにインストールできます。EMM のコンソールは、少なくとも 1 つの PKI と統合し、そのインフラストラクチャから生成された証明書を配布する必要があります。
4.8.2. IT 管理者は、管理対象キーストアに認証局をインストールできます。
4.9. 高度な証明書管理
IT 管理者は、特定の管理対象アプリが使用する証明書をサイレントで選択できます。この機能により、IT 管理者はアクティブなデバイスから CA と ID 証明書を削除することもできます。この機能により、管理対象キーストアに保存されている認証情報をユーザーが変更できなくなります。
4.9.1. デバイスに配布されるアプリについて、IT 管理者は、実行時にアプリにアクセス権限が自動的に付与される証明書を指定できます。
- 証明書の選択は、すべてのユーザーに適用される単一の構成を許可するのに十分な汎用性が必要です。各ユーザーは、ユーザー固有の ID 証明書を持つことができます。
4.9.2. IT 管理者は、管理対象キーストアから証明書をサイレントに削除できます。
4.9.3. IT 管理者は、CA 証明書またはシステム以外のすべての CA 証明書をサイレント アンインストールできます。
4.9.4. IT 管理者は、ユーザーが管理対象キーストアで認証情報を構成できないようにすることができます。
4.9.5. IT 管理者は、仕事用アプリの証明書を事前付与できます。
4.10. 委任された証明書管理
IT 管理者は、サードパーティの証明書管理アプリをデバイスに配布して、管理対象キーストアに証明書をインストールする特権アクセスをアプリに付与できます。
4.10.1. IT 管理者は、DPC によって委任された証明書管理アプリとして設定する証明書管理パッケージを指定します。
- コンソールは、既知の証明書管理パッケージを提案しても構いませんが、IT 管理者がインストール可能なアプリのリストから、該当するユーザーを選択できるようにする必要があります。
4.11. 高度な VPN 管理
IT 管理者が常時接続 VPN を指定して、指定した管理対象アプリのデータが常に設定済みの VPN を通過することを確認できるようにします。
4.11.1. IT 管理者は、常時接続 VPN として設定する任意の VPN パッケージを指定できます。
- EMM のコンソールでは、常時接続 VPN をサポートする既知の VPN パッケージを任意で提案できますが、常時接続の設定で使用できる VPN を任意のリストに制限することはできません。
4.11.2. IT 管理者は、管理対象設定を使用してアプリの VPN 設定を指定できます。
4.12. IME の管理
IT 管理者は、デバイスで設定できる入力方式(IME)を管理できます。IME は仕事用プロファイルと個人用プロファイルの両方で共有されるため、IME の使用をブロックすると、個人用としての IME の使用も許可されなくなります。ただし、IT 管理者は仕事用プロファイルのシステム IME をブロックすることはできません(詳細については、高度な IME 管理をご覧ください)。
4.12.1. IT 管理者は、任意の長さの IME 許可リストを設定できます(空のリストも可。空のリストはシステム以外の IME をブロックします)。このリストには任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに含める既知の IME や推奨される IME を任意で提案できますが、IT 管理者がインストール可能なアプリのリストから該当するユーザー向けに選択できるようにする必要があります。
4.12.2. EMM は、仕事用プロファイルが設定されたデバイスではシステム IME が管理対象から除外されることを IT 管理者に通知する必要があります。
4.13. 高度な IME 管理
IT 管理者は、デバイスで設定できる入力方式(IME)を管理できます。高度な IME 管理では、IT 管理者がデバイスのメーカーや携帯通信会社が提供するシステム IME の使用も管理できるようになり、基本機能が拡張されます。
4.13.1. IT 管理者は、任意の長さの IME 許可リストを設定できます(空のリストは除く。空のリストは、システム IME を含むすべての IME をブロックします)。このリストには、任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに含める既知の IME や推奨される IME を任意で提案できますが、IT 管理者がインストール可能なアプリのリストから該当するユーザー向けに選択できるようにする必要があります。
4.13.2. EMM は、IT 管理者が空の許可リストを設定できないようにする必要があります。この設定を行うと、システム IME を含むすべての IME がデバイスで設定できなくなります。
4.13.3. EMM は、IME 許可リストにシステム IME が含まれていない場合、許可リストがデバイスに適用される前にサードパーティ製 IME がサイレント インストールされることを確認しなければなりません。
4.14. ユーザー補助サービスの管理
IT 管理者は、ユーザーのデバイスで許可するユーザー補助サービスを管理できます。ユーザー補助サービスは、障がいのあるユーザーや一時的にデバイスを十分に操作できないユーザーにとって強力なツールですが、企業ポリシーに準拠しない方法で企業データにアクセスする可能性があります。この機能を使用すると、IT 管理者はシステム以外のユーザー補助サービスを無効にできます。
4.14.1. IT 管理者は、任意の長さのユーザー補助サービス許可リストを設定できます(空のリストも可。空のリストはシステム以外のユーザー補助サービスをブロックします)。このリストには任意のユーザー補助サービス パッケージを含めることができます。仕事用プロファイルに適用すると、個人用プロファイルと仕事用プロファイルの両方に影響します。
- コンソールは、許可リストに含める既知のアクセシビリティ サービスや推奨されるアクセシビリティ サービスを任意で提案できますが、IT 管理者がインストール可能なアプリのリストから該当するユーザーを選択できるようにする必要があります。
4.15. 現在地の共有の管理
IT 管理者は、ユーザーが仕事用プロファイルのアプリと位置情報を共有できないようにすることができます。それ以外の場合、仕事用プロファイルの位置情報の設定は [設定] で構成できます。
4.15.1. IT 管理者は、仕事用プロファイル内で位置情報サービスを無効にできます。
4.16. 現在地の共有の高度な管理
IT 管理者は、管理対象デバイスに特定の現在地の共有設定を適用できます。 この機能により、企業アプリは常に高精度の位置情報データにアクセスできます。また、位置情報の設定をバッテリー セーバー モードに制限することで、バッテリーの無駄な消費を防ぐこともできます。
4.16.1. IT 管理者は、デバイスの位置情報サービスを設定して、次の各モードにすることができます。
- 高精度] をタップします。
- センサーのみ(GPS など)。ネットワークから提供される位置情報は含まれません。
- バッテリー節約モード。更新頻度が制限されます。
- オフ。
4.17. 出荷時設定へのリセット保護機能の管理
IT 管理者は、承認されていないユーザーがデバイスを出荷時設定にリセットできないようにすることで、会社所有デバイスを盗難から保護できます。デバイスが IT に返却される際に、出荷時設定へのリセット保護機能が運用上の複雑さを生み出す場合は、IT 管理者がこの機能を完全にオフにすることもできます。
4.17.1. IT 管理者は、ユーザーが [設定] からデバイスを初期状態にリセットできないようにすることができます。
4.17.2. IT 管理者は、出荷時設定へのリセット後にデバイスのプロビジョニングを許可する企業アカウントを指定できます。
- このアカウントは個人に紐付けることも、企業全体でデバイスのロック解除に使用することもできます。
4.17.3. IT 管理者は、指定したデバイスの出荷時設定へのリセット保護機能を無効にできます。
4.17.4. IT 管理者は、リモートでデバイスのワイプを開始できます。このとき、必要に応じてリセット保護データをワイプし、リセットされたデバイスの出荷時設定へのリセット保護機能を削除できます。
4.18. 高度なアプリ制御
IT 管理者は、設定を通じてユーザーが管理対象アプリをアンインストールしたり、変更したりできないようにすることができます(アプリの強制終了やアプリのデータ キャッシュのクリアなど)。
4.18.1. IT 管理者は、任意の管理対象アプリ、またはすべての管理対象アプリのアンインストールをブロックできます。
4.18.2. IT 管理者は、ユーザーが設定からアプリケーション データを変更できないようにすることができます。
4.19. スクリーン キャプチャの管理
IT 管理者は、管理対象アプリの使用中にユーザーがスクリーンショットを撮れないようにブロックできます。この設定には、画面共有アプリや、システムのスクリーンショット機能を使用する同様のアプリ(Google アシスタントなど)のブロックが含まれます。
4.19.1. IT 管理者は、ユーザーがスクリーンショットを撮影できないようにすることができます。
4.20. カメラを無効にする
IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます。
4.20.1. IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます。
4.21. ネットワーク統計情報の収集
IT 管理者は、デバイスの仕事用プロファイルからネットワーク使用状況の統計情報をクエリできます。収集された統計情報は、設定の [データ使用量] セクションでユーザーと共有される使用状況データを反映しています。収集された統計情報は、仕事用プロファイル内のアプリの使用状況に適用されます。
4.21.1. IT 管理者は、特定のデバイスと構成可能な時間枠について、仕事用プロファイルのネットワーク統計情報の概要をクエリし、EMM のコンソールでこれらの詳細を表示できます。
4.21.2. IT 管理者は、特定のデバイスと設定可能な期間について、仕事用プロファイルのネットワーク使用状況の統計情報でアプリの概要をクエリし、EMM のコンソールで UID ごとに整理された詳細情報を確認できます。
4.21.3. IT 管理者は、特定のデバイスと構成可能な期間について、仕事用プロファイルのネットワーク使用履歴データをクエリし、EMM のコンソールで UID ごとに整理されたこれらの詳細を表示できます。
4.22. 高度なネットワーク統計情報の収集
IT 管理者は、管理対象デバイス全体のネットワーク使用状況の統計情報をクエリできます。収集された統計情報は、設定の [データの使用] セクションでユーザーと共有された使用状況データを反映しています。収集された統計情報は、デバイスでのアプリの使用に適用されます。
4.22.1. IT 管理者は、デバイス全体のネットワーク統計情報の概要をクエリしたり、特定のデバイスと構成可能な時間枠を指定してクエリしたりできます。これらの詳細は EMM のコンソールで確認できます。
4.22.2. IT 管理者は、特定のデバイスと構成可能な期間について、アプリのネットワーク使用状況の統計情報の概要をクエリし、EMM のコンソールで UID ごとに整理された詳細情報を確認できます。
4.22.3. IT 管理者は、特定のデバイスと構成可能な時間枠について、ネットワーク使用状況の履歴データをクエリし、EMM のコンソールで UID ごとに整理された詳細情報を確認できます。
4.23. デバイスを再起動
IT 管理者は、マネージド デバイスをリモートで再起動できます。
4.23.1. IT 管理者は、管理対象デバイスをリモートで再起動できます。
4.24. システム無線管理
IT 管理者は、システム ネットワーク ラジオと関連する使用ポリシーをきめ細かく管理できます。
4.24.1. IT 管理者は、サービス プロバイダから送信されるセルブロードキャスト(AMBER アラートなど)を無効にできます。
4.24.2. IT 管理者は、ユーザーが設定でモバイル ネットワーク設定を変更できないようにすることができます。
4.24.3. IT 管理者は、ユーザーが設定でネットワーク設定をリセットできないようにすることができます。
4.24.4. IT 管理者は、ローミング中のモバイルデータを許可または禁止できます。
4.24.5. IT 管理者は、緊急通報を除き、デバイスから電話をかけられるかどうかを設定できます。
4.24.6. IT 管理者は、デバイスでテキスト メッセージの送受信を許可するかどうかを設定できます。
4.24.7. IT 管理者は、テザリングによってユーザーがデバイスをポータブル ホットスポットとして使用できないようにすることができます。
4.24.8. IT 管理者は、Wi-Fi のタイムアウトをデフォルト、電源に接続しているときのみ、常にに設定できます。
4.24.9. IT 管理者は、ユーザーが Bluetooth 接続を設定したり、既存の Bluetooth 接続を変更したりできないようにすることができます。
4.25. システム音声の管理
IT 管理者は、デバイスのミュート、ユーザーによる音量設定の変更の禁止、ユーザーによるデバイスのマイクのミュート解除の禁止など、デバイスの音声機能をサイレントで管理できます。
4.25.1. IT 管理者は、管理対象デバイスをサイレント モードにできます。
4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにすることができます。
4.25.3. IT 管理者は、ユーザーがデバイスのマイクのミュートを解除できないようにすることができます。
4.26. システム クロックの管理
IT 管理者は、デバイスの時計とタイムゾーンの設定を管理し、ユーザーがデバイスの自動設定を変更できないようにすることができます。
4.26.1. IT 管理者は、システムの自動時刻を強制適用して、ユーザーがデバイスの日時を設定できないようにすることができます。
4.26.2. IT 管理者は、自動時刻と自動タイムゾーンの両方をサイレントでオフまたはオンにできます。
4.27. 高度な専用デバイス機能
IT 管理者がより詳細な専用デバイス機能を管理して、さまざまなキオスクのユースケースをサポートできるようにします。
4.27.1. IT 管理者はデバイスのキーガードを無効にできます。
4.27.2. IT 管理者は、デバイスのステータスバーをオフにして、通知とクイック設定をブロックできます。
4.27.3. IT 管理者は、デバイスが電源に接続されている間、デバイスの画面をオンのままにするように設定できます。
4.27.4. IT 管理者は、次のシステム UI が表示されないようにすることができます。
- トースト
- アプリケーション オーバーレイ。
4.27.5. IT 管理者は、アプリのシステム推奨で、初回起動時にユーザー チュートリアルやその他の入門ヒントをスキップできるようにすることができます。
4.28. 委任されたスコープの管理
IT 管理者は、個々のパッケージに追加の権限を委任できます。
4.28.1. IT 管理者は、次のスコープを管理できます。
- 証明書のインストールと管理
- 意図的に空白
- ネットワーク ログ
- セキュリティ ロギング (個人所有デバイスの仕事用プロファイルではサポートされていません)
4.29. 登録固有の ID のサポート
Android 12 以降では、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、登録固有の ID を使用して、仕事用プロファイルが設定されたデバイスのライフサイクルを追跡できます。この ID は、出荷時の設定にリセットしても維持されます。
4.29.1. IT 管理者は登録固有の ID を設定および取得できます。
4.29.2. この登録固有の ID は、出荷時の設定にリセットしても維持される必要があります。
4.30. 認証情報マネージャー ポリシー
IT 管理者は、ポリシーを使用して、許可またはブロックする認証情報マネージャー アプリケーションを管理できます。
4.30.1 IT 管理者は、デバイス(または仕事用プロファイル内)ですべての認証情報マネージャーを任意でブロックできます。
4.30.2 意図的に空白。
4.30.3 IT 管理者は、認証情報マネージャー機能の提供を許可するパッケージ名のリストを指定できます。
4.31. 基本的な eSIM 管理
IT 管理者が eSIM プロファイルでデバイスをプロビジョニングし、デバイスのライフサイクルを管理できるようにします。
4.31.1 IT 管理者は、デバイスに eSIM プロファイルをサイレントでプロビジョニングできます。
4.31.2 IT 管理者は、デバイスから管理対象 eSIM を削除できます。
4.31.3 IT 管理者は、[設定](mobileNetworksConfigDisabled に移動)でユーザーがモバイル ネットワーク設定を変更できないようにすることができます。
4.31.4 IT 管理者がデバイスまたは仕事用プロファイルに対してリモート ワイプを実行する場合、管理対象の eSIM をデバイスから削除するオプションもあります。デフォルトでは、管理対象の eSIM は個人所有デバイスの仕事用プロファイルから削除されますが、会社所有デバイスでは保持されます。
4.31.5(任意)IT 管理者は、EMM コンソール UI(または同等の方法)を使用してデバイスの EID(Embedded Identity Document)識別子を取得し、これらの値をエクスポートできます。
5. デバイスのユーザビリティ
5.1. 管理対象プロビジョニングのカスタマイズ
IT 管理者は、デフォルトの設定フローの UX を変更して、企業固有の機能を含めることができます。必要に応じて、IT 管理者はプロビジョニング中に EMM 提供のブランディングを表示できます。
5.1.1. IT 管理者は、企業のカラー、企業のロゴ、企業の利用規約やその他の免責事項などの企業固有の詳細を指定して、プロビジョニング プロセスをカスタマイズできます。
5.1.2. IT 管理者は、EMM の色、EMM のロゴ、EMM の利用規約やその他の免責事項などの詳細を含む、構成不可能な EMM 固有のカスタマイズをデプロイできます。
Android 10 以降のエンタープライズ リソースでは、5.1.3 [primaryColor] が非推奨になりました。
- EMM 固有のカスタマイズが使用されない場合でも、EMM は、システム プロビジョニングの免責事項バンドルで、プロビジョニング フローの利用規約やその他の免責事項を含めなければなりません。
- EMM は、構成不可能な EMM 固有のカスタマイズをすべてのデプロイのデフォルトとして設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。
5.2. エンタープライズのカスタマイズ
IT 管理者は、企業ブランドを使って仕事用プロファイルのさまざまな要素をカスタマイズできます。たとえば、IT 管理者は仕事用プロファイルのユーザー アイコンを企業のロゴに設定できます。別の例として、仕事の課題の背景色を設定することがあります。
5.2.1. IT 管理者は、仕事のチャレンジの背景色として使用する組織の色を設定できます。
5.2.2. IT 管理者は仕事用プロファイルの表示名を設定できます。
5.2.3. IT 管理者は仕事用プロファイルのユーザー アイコンを設定できます。
5.2.4. IT 管理者は、ユーザーが仕事用プロファイルのユーザー アイコンを変更できないようにすることができます。
5.3. 高度なエンタープライズ カスタマイズ
IT 管理者は、企業ブランドを使って管理対象デバイスをカスタマイズできます。たとえば、IT 管理者は、メインユーザーのアイコンを企業のロゴに設定したり、デバイスの壁紙を設定したりできます。
5.3.1. IT 管理者は、管理対象デバイスの表示名を設定できます。
5.3.2. IT 管理者は、管理対象デバイスのユーザー アイコンを設定できます。
5.3.3. IT 管理者は、ユーザーがデバイスのユーザー アイコンを変更できないようにすることができます。
5.3.4. IT 管理者はデバイスの壁紙を設定できます。
5.3.5. IT 管理者は、ユーザーがデバイスの壁紙を変更できないようにすることができます。
5.4. ロック画面のメッセージ
IT 管理者は、デバイスのロック画面に常に表示されるカスタム メッセージを設定できます。このメッセージを表示するためにデバイスのロックを解除する必要はありません。
5.4.1. IT 管理者は、カスタム ロック画面メッセージを設定できます。
5.5. ポリシーの透明性の管理
IT 管理者は、デバイスで管理対象設定を変更する際にユーザーに表示されるヘルプテキストをカスタマイズしたり、EMM から提供された一般的なサポート メッセージをデプロイしたりできます。短いサポート メッセージと長いサポート メッセージの両方をカスタマイズできます。これらのメッセージは、IT 管理者がすでにアンインストールをブロックしている管理対象アプリをアンインストールしようとした場合などに表示されます。
5.5.1. IT 管理者は、短いサポート メッセージと長いサポート メッセージの両方をカスタマイズします。
5.5.2. IT 管理者は、構成不可の EMM 固有の短いサポート メッセージと長いサポート メッセージをデプロイできます。
- EMM は、構成不可能な EMM 固有のサポート メッセージをすべてのデプロイのデフォルトとして設定できますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。
5.6. クロス プロファイル連絡先管理
IT 管理者は、仕事用プロファイルから送信できる連絡先データを管理できます。電話アプリとメッセージ(SMS)アプリは両方とも個人用プロファイルで実行する必要があり、仕事用連絡先の効率性を高めるために仕事用プロファイルの連絡先データへのアクセスを必要としますが、管理者は仕事用データを保護するためにこれらの機能を無効にすることができます。
5.6.1. IT 管理者は、システム連絡先プロバイダを使用する個人用アプリのクロス プロファイル連絡先検索を無効にできます。
5.6.2. IT 管理者は、システム連絡先プロバイダを使用する個人用電話アプリに対して、クロス プロファイル発信者 ID 検索を無効にできます。
5.6.3. IT 管理者は、システム連絡先プロバイダを使用する Bluetooth デバイス(車内のハンズフリー通話やヘッドセットなど)との連絡先の共有を無効にできます。
5.7. クロス プロファイル データ管理
仕事用プロファイルのデフォルトのセキュリティ機能を超えて、仕事用プロファイルから持ち出せるデータを IT 管理者が管理できるようにします。この機能を使用すると、IT 管理者は、特定のタイプのクロス プロファイル データ共有を許可して、主要なユースケースのユーザビリティを向上させることができます。IT 管理者は、さらにロックダウンを強化して企業データを保護することもできます。
5.7.1. IT 管理者は、クロス プロファイル インテント フィルタを構成して、個人用アプリが仕事用プロファイルからのインテント(共有インテントやウェブリンクなど)を解決できるようにすることができます。
- コンソールでは、構成用に既知または推奨のインテント フィルタを提案できますが、任意のリストにインテント フィルタを制限することはできません。
5.7.2. IT 管理者は、ホーム画面にウィジェットを表示できる管理対象アプリを許可できます。
- EMM のコンソールでは、IT 管理者がインストール可能なアプリのリストから該当するユーザーにアプリを選択できるようにする必要があります。
5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイルの間でコピー&ペーストを使用できないようにブロックできます。
5.7.4. IT 管理者は、NFC ビームを使用して仕事用プロファイルからデータを共有することをブロックできます。
5.7.5. IT 管理者は、個人用アプリが仕事用プロファイルからウェブリンクを開くことを許可できます。
5.8. システム アップデート ポリシー
IT 管理者は、デバイスの無線(OTA)システム アップデートを設定して適用できます。
5.8.1. EMM のコンソールでは、IT 管理者は次の OTA 設定を行うことができます。
- 自動: デバイスは OTA アップデートが利用可能になるとインストールします。
- 延期: IT 管理者は、OTA アップデートを最大 30 日間延期できる必要があります。このポリシーは、セキュリティ アップデート(毎月のセキュリティ パッチなど)には影響しません。
- 時間枠あり: IT 管理者は、毎日のメンテナンスの時間枠内で OTA アップデートをスケジュールできる必要があります。
5.8.2. EMM の DPC アプリがデバイスに OTA 設定を適用します。
5.9. ロックタスク モードの管理
IT 管理者は、アプリまたはアプリのセットを画面にロックし、ユーザーがアプリを終了できないようにします。
5.9.1. EMM のコンソールを使用すると、IT 管理者は任意のアプリのセットをサイレントでインストールし、デバイスにロックできます。EMM の DPC が専用デバイスモードを許可している。
5.10. 優先アクティビティの永続的な管理
IT 管理者が、特定のインテント フィルタに一致するインテントのデフォルト インテント ハンドラとしてアプリを設定できるようにします。たとえば、IT 管理者が、ウェブリンクを自動的に開くブラウザアプリや、ホームボタンをタップしたときに使用するランチャー アプリを選択できるようにします。
5.10.1. IT 管理者は、任意のインテント フィルタのデフォルトのインテント ハンドラとして任意のパッケージを設定できます。
- EMM のコンソールでは、構成用の既知のインテントや推奨インテントを任意で提案できますが、インテントを任意のリストに制限することはできません。
- EMM のコンソールでは、IT 管理者が該当するユーザーにインストール可能なアプリのリストから選択できるようにする必要があります。
5.11. Keyguard 機能の管理
- 信頼エージェント
- 指紋認証によるロック解除
- 編集されていない通知
5.11.2. EMM の DPC は、仕事用プロファイルで次のキーガード機能をオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
5.12. 高度なキーガード機能の管理
5.13. リモートデバッグ
IT 管理者は、追加の手順を踏むことなく、デバイスからデバッグ リソースを取得できます。
5.13.1. IT 管理者は、バグレポートをリモートでリクエストしたり、EMM のコンソールからバグレポートを表示したり、EMM のコンソールからバグレポートをダウンロードしたりできます。
5.14. MAC アドレスの取得
EMM はデバイスの MAC アドレスをサイレントで取得できます。MAC アドレスは、企業インフラストラクチャの他の部分でデバイスを識別するために使用できます(ネットワーク アクセス制御のデバイスを識別する場合など)。
5.14.1. EMM は、デバイスの MAC アドレスをサイレントで取得し、EMM のコンソールでデバイスに関連付けることができます。
5.15. ロックタスク モードの詳細管理
デバイスが専用デバイスとしてセットアップされている場合、IT 管理者は EMM のコンソールを使用して次のタスクを実行できます。
5.15.1. EMM の DPC を使用して、単一のアプリがデバイスにロックされることをサイレントで許可します。
5.15.2. EMM の DPC を使用して、次のシステム UI 機能をオンまたはオフにします。
- ホームボタン
- 概要
- グローバルな操作
- 通知
- システム情報 / ステータスバー
- キーガード(ロック画面)
5.15.3. EMM の DPC を使用して、システム エラー ダイアログをオフにします。
5.16. 高度なシステム アップデート ポリシー
IT 管理者は、指定した凍結期間中、デバイスのシステム アップデートをブロックできます。
5.16.1. EMM の DPC は、指定された凍結期間にデバイスに無線(OTA)システム アップデートを適用できます。
5.17. 仕事用プロファイルのポリシーの透明性の管理
IT 管理者は、デバイスから仕事用プロファイルを削除する際にユーザーに表示されるメッセージをカスタマイズできます。
5.17.1. IT 管理者は、仕事用プロファイルがワイプされたときに表示するカスタム テキストを指定できます。
5.18. 接続済みアプリのサポート
IT 管理者は、仕事用プロファイルの境界を越えて通信できるパッケージのリストを設定できます。
5.19. システムを手動で更新する
IT 管理者は、パスを指定してシステム アップデートを手動でインストールできます。
6. デバイス管理のサポート終了
6.1. Device Admin のサポート終了
EMM は、2022 年末までに、2023 年第 1 四半期末までに GMS デバイスでのデバイス管理者のカスタマー サポートを終了する計画を投稿する必要があります。
7. API の使用
7.1. 新しいバインディングの標準ポリシー コントローラ
デフォルトでは、新しいバインディングでは Android Device Policy を使用してデバイスを管理する必要があります。EMM では、[詳細設定] などの見出しの下にある設定エリアで、カスタム DPC を使用してデバイスを管理するオプションが提供される場合があります。新規のお客様は、オンボーディングまたは設定のワークフローで、テクノロジー スタックの任意の選択肢にさらされることがあってはなりません。
7.2. 新しいデバイスの標準ポリシー コントローラ
デフォルトでは、既存のバインディングと新しいバインディングの両方で、すべての新しいデバイス登録に Android Device Policy を使用してデバイスを管理する必要があります。EMM は、[詳細設定] などの見出しの下にある設定領域で、カスタム DPC を使用してデバイスを管理するオプションを提供することがあります。