このページでは、Android Enterprise の全機能の一覧を示します。
1, 000 台を超えるデバイスを管理する場合、EMM ソリューションが商用化されるには、少なくとも 1 つのソリューション セットの標準機能()をすべてサポートする必要があります。標準機能の検証に合格した EMM ソリューションは、Android のエンタープライズ ソリューション ディレクトリで標準管理セットとして提供されています。
各ソリューション セットには、その他の高度な機能が用意されています。これらの機能は、各ソリューション セットのページ(仕事用プロファイル、フルマネージド デバイス、専用デバイス)で表されます。 高度な機能の検証に合格した EMM ソリューションは、Android のエンタープライズ ソリューション ディレクトリで高度な管理セットとして提供されています。
キー
| の標準機能 | オプション機能 | 該当なし |
1. デバイスのプロビジョニング
1.1. DPC ファーストの仕事用プロファイルのプロビジョニング
Google Play から Android Device Policy をダウンロードした後、ユーザーは仕事用プロファイルをプロビジョニングできます。
1.1.1. EMM は、IT 管理者に、このプロビジョニング方法をサポートする QR コードまたはアクティベーション コードを提供します( デバイスの登録とプロビジョニングに移動)。
1.2. DPC-ID デバイスのプロビジョニング
デバイスのセットアップ ウィザードで「afw#」と入力すると、フルマネージド デバイスまたは専用デバイスがプロビジョニングされます。
1.2.1. EMM は、IT 管理者に、このプロビジョニング方法をサポートするQR コードまたはアクティベーション コードを提供します(デバイスの登録とプロビジョニングをご覧ください)。
1.3. NFC デバイスのプロビジョニング
NFC タグは、Play EMM API デベロッパー向けドキュメントで定義されている実装ガイドラインに沿って、IT 管理者が新しいデバイスまたは出荷時設定にリセットしたデバイスをプロビジョニングする際に使用できます。
1.3.1. EMM は 888 バイト以上のメモリを搭載した NFC フォーラム タイプ 2 タグを使用する必要があります。プロビジョニングでは、プロビジョニング ID を使用して、サーバー ID や登録 ID などの機密性の高い登録の詳細をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。
1.3.2. NFC ビーム(NFC バンプ)のサポート終了に伴い、Android 10 以降で NFC タグを使用することをおすすめします。
1.4. QR コードのデバイスのプロビジョニング
EMM のコンソールは、 Android Management API デベロッパー向けドキュメントで定義されている実装ガイドラインに従って、IT 管理者がスキャンしてフルマネージド デバイスまたは専用デバイスをプロビジョニングできる QR コードを生成できます。
1.4.1. QR コードでは、機密性の高い情報(サーバー ID や登録 ID など)をデバイスに渡す際に、プロビジョニング エクストラを使用する必要があります。登録の詳細に、パスワードや証明書などの機密情報を含めてはなりません。
1.5. ゼロタッチ登録
IT 管理者は正規販売パートナーから購入したデバイスを事前構成し、EMM コンソールを使用して管理できます。
1.5.1. IT 管理者は、IT 管理者向けゼロタッチ登録に記載されているゼロタッチ登録の方法で、会社所有デバイスをプロビジョニングできます。
1.5.2. デバイスの電源を初めてオンにすると、IT 管理者が定義した設定が自動的に適用されます。
1.6. 高度なゼロタッチ プロビジョニング
IT 管理者は、ゼロタッチ登録により、デバイスの登録プロセスの大部分を自動化できます。IT 管理者は、ログイン URL と組み合わせることで、EMM で提供される構成オプションに応じて、登録を特定のアカウントまたはドメインに制限できます。
1.6.1. IT 管理者は、ゼロタッチ登録の方法を使用して会社所有のデバイスをプロビジョニングできます。
1.6.2. この要件は非推奨となりました。
1.6.3. EMM はログイン URL を使用して、未承認のユーザーが有効化を続行できないようにする必要があります。少なくとも、特定の企業のユーザーはアクティベーションを制限する必要があります。
1.6.4. EMM は、ログイン URL を使用して、一意のユーザーまたはデバイス情報(たとえば、ユーザー名/パスワード、アクティベーション トークン)以外の登録情報(インスタンス サーバー ID、登録 ID など)を IT 管理者が事前に入力できるようにする必要があります。これにより、ユーザーはデバイスを有効化する際に詳細を入力する必要がなくなります。
- EMM は、パスワードや証明書などの機密情報をゼロタッチ登録の構成に含めてはなりません。
1.7. Google アカウントの仕事用プロファイルのプロビジョニング
Android Management API は、この機能をサポートしていません。
1.8 Google アカウントのデバイスのプロビジョニング
Android Management API は、この機能をサポートしていません。
1.9. 直接ゼロタッチ設定
IT 管理者は、EMM のコンソールでゼロタッチ iframe を使用してゼロタッチ デバイスを設定できます。
1.10. 会社所有デバイスの仕事用プロファイル
EMM は、AllowPersonalUsage を設定することで、仕事用プロファイルが設定された会社所有デバイスを登録できます。
1.10.1IT 管理者は、QR コードまたはゼロタッチ登録を使用して、会社所有デバイスの仕事用プロファイルとしてデバイスをプロビジョニングできます。
1.10.2. IT 管理者は、PersonalUsagePolicies を使用して、会社所有デバイスでの仕事用プロファイルのコンプライアンス アクションを設定できます。
1.10.3。IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。
1.10.4. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でスクリーン キャプチャを無効にできます。
1.10.5. IT 管理者は、PersonalApplicationPolicy を使用して、個人用プロファイルにインストールできるアプリケーションの許可リストまたはブロックリストを設定できます。
1.10.6. IT 管理者は、仕事用プロファイルを削除するかデバイス全体をワイプすることで、会社所有デバイスの管理を放棄できます。
2. デバイスのセキュリティ
2.1. デバイスのセキュリティ確認
IT 管理者は、管理対象デバイスの 3 つの複雑さレベルをあらかじめ選択して、デバイス セキュリティ チャレンジ(PIN/パターン/パスワード)を設定して適用できます。
2.1.1 ポリシーは、デバイス セキュリティの課題を管理する設定を適用しなければならない(仕事用プロファイルの parentProfilePasswordRequirements、フルマネージド デバイスと専用デバイスのパスワード要件)。
2.1.2. パスワードの複雑さは、次のパスワードの複雑さに対応している必要があります。
- PASSWORD_COMPLMINUTESY_LOW - 繰り返し(4444)または順序(1234、4321、2468)のシーケンスを持つパターンまたはピン。
- パスワード
- PASSWORD_COMPLMINUTESY_HIGH - 繰り返されない(4444)か順序付けされた(1234、4321、2468)シーケンスと 8 以上の長さまたは少なくとも 6 文字のアルファベットまたは英数字のパスワードを持つ PIN
2.1.3. 会社所有デバイスでは、従来のパスワード設定以外の制限も適用できます。
2.2 仕事用のセキュリティの課題
IT 管理者は、デバイス セキュリティ チャレンジ(2.1)とは別の要件を持つ、仕事用プロファイル内のアプリとデータに対するセキュリティ チャレンジを設定して適用できます。
2.2.1. ポリシーは、仕事用プロファイルのセキュリティ チャレンジを適用する必要があります。
- デフォルトでは、IT 管理者はスコープが指定されていない場合のみ仕事用プロファイルに対する制限を設定する
- IT 管理者は、スコープを指定することでデバイス全体を設定できます(要件 2.1 を参照)
2.2.2. パスワードの複雑さは、次の定義済みのパスワードの複雑さに対応している必要があります。
- PASSWORD_COMPLMINUTESY_LOW - 繰り返し(4444)または順序(1234、4321、2468)のシーケンスを持つパターンまたはピン。
- パスワード
- PASSWORD_COMPLMINUTESY_HIGH - 繰り返されない(4444)か順序付けされた(1234、4321、2468)シーケンスと 8 以上の長さまたは少なくとも 6 文字のアルファベットまたは英数字のパスワードを持つ PIN
2.2.3. 従来の設定として、追加のパスワード制限を適用することもできます
2.3. 高度なパスコードの管理
IT 管理者は、デバイスで高度なパスワードを設定できます。
2.3.1. [意図的に空白にする]
2.3.2. [意図的に空白にする]
2.3.3. デバイスでご利用いただけるロック画面ごとに、次のパスワード ライフサイクル設定を設定できます。
- [意図的に空白にする]
- [意図的に空白にする]
- ワイプの最大パスワード失敗数: 間違ったパスワードをユーザーが入力してから、デバイスから企業データをワイプする回数を指定します。IT 管理者はこの機能を無効にできる必要があります。
2.3.4. (Android 8.0 以降)強力な認証のタイムアウトが必要: IT 管理者が設定したタイムアウト時間が経過すると、強力な認証パスコード(PIN やパスワードなど)を入力する必要があります。タイムアウト期間が終了すると、強力な認証用パスコードを使用してデバイスをロック解除するまで、安全ではない認証方法(指紋認証、顔認証など)がオフになります。
2.4. スマートロック管理
IT 管理者は、Android の Smart Lock 機能における信頼エージェントが、デバイスのロック解除を最大 4 時間延長することを許可するかどうかを管理できます。
2.4.1. IT 管理者は、デバイス上の信頼エージェントを無効にできます。
2.5. ワイプとロック
IT 管理者は、EMM のコンソールを使用して、管理対象デバイスから仕事用データをリモートでロックしてワイプできます。
2.5.1. デバイスは Android Management API を使用してロックする必要があります。
2.5.2. デバイスをワイプするには、Android Management API を使用する必要があります。
2.6. コンプライアンスの適用
デバイスがセキュリティ ポリシーを遵守していない場合、Android Management API によって設定されたコンプライアンス ルールにより、仕事用データの使用が自動的に制限されます。
2.6.1. 少なくとも、デバイスに適用されるセキュリティ ポリシーには、パスワード ポリシーを含める必要があります。
2.7. デフォルトのセキュリティ ポリシー
EMM は、デフォルトで指定のセキュリティ ポリシーをデバイスに適用する必要があります。IT 管理者は EMM のコンソールで設定をセットアップまたはカスタマイズする必要はありません。EMM では、IT 管理者がこれらのセキュリティ機能のデフォルト状態を変更できないようにすることをおすすめします(必須ではありません)。
2.7.1. 仕事用プロファイルが設定された Android 8.0 以降のデバイスの個人用側にインストールされているアプリを含め、提供元不明のアプリのインストールはブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.7.2. デバッグ機能はブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.8. 専用デバイスのセキュリティ ポリシー
ロックダウンされた専用デバイスに対して、その他のアクションを行うことはできません。
2.8.1. セーフモードでの起動は、ポリシー(safeBootDisabled に移動)でデフォルトで無効にする必要があります。
2.9. Play の完全性のサポート
Play の完全性チェックはデフォルトで行われます。追加の実装は必要ありません。
2.9.1. 意図的に空白にする。
2.9.2意図的に空白にする。
2.9.3. IT 管理者は、デバイスのセキュリティ リスクの値に基づいて、プロビジョニングのブロック、企業データのワイプ、登録の続行を許可するなど、さまざまなポリシー レスポンスを設定できます。
- EMM サービスは、各完全性チェックの結果に対して、このポリシー レスポンスを適用します。
2.10. アプリの適用を確認する
IT 管理者は、デバイスでアプリの確認を有効にできます。「アプリの確認」では、Android デバイスにインストール済みのアプリが有害なソフトウェアがないか事前にチェックされ、悪意のあるアプリが企業データを侵害することがないようにします。
2.10.1. ポリシー(ensureVerifyAppsEnabled に移動)で、アプリをデフォルトで有効にする必要があります。
2.11. ダイレクト ブートのサポート
Android Management API はデフォルトでこの機能をサポートしています。追加の実装は必要ありません。
2.12. ハードウェアのセキュリティ管理
IT 管理者は、会社所有デバイスのハードウェア要素をロックダウンして、データ損失を防ぐことができます。
2.12.1. IT 管理者は、ポリシー(mountPhysicalMediaDisabled を参照)を介して、ユーザーが物理外部メディアをマウントできないようにブロックできます。
2.12.2. IT 管理者は、ポリシー(outgoingBeamDisabled に移動)を使用して、ユーザーが NFC ビームを使用してデバイスからのデータ共有をブロックできます。
2.12.3. IT 管理者は、ポリシー(usbFileTransferDisabled を参照)を介して、ユーザーが USB 経由でのファイルの転送をブロックできます。
2.13. エンタープライズ セキュリティ ロギング
Android Management API は現在、この機能をサポートしていません。
3. アカウントとアプリの管理
3.1. managed Google Play アカウント: 企業の登録
IT 管理者は、managed Google Play アカウント エンタープライズを作成できます。これは、managed Google Play でアプリをデバイスに配信できるようにするエンティティです。次の登録ステージは EMM コンソールに統合する必要があります。
3.1.1. Android Management API を使用して、managed Google Play アカウント エンタープライズを登録します。
3.2. managed Google Play アカウントのプロビジョニング
EMM は managed Google Play アカウントと呼ばれるエンタープライズ ユーザー アカウントをサイレントにプロビジョニングできます。これらのアカウントにより、管理対象ユーザーが特定され、ユーザーごとの一意のアプリ配布ルールが許可されます。
3.2.1. managed Google Play アカウント(ユーザー アカウント)は、デバイスのプロビジョニング時に自動的に作成されます。
Android Management API はデフォルトでこの機能をサポートしています。追加の実装は必要ありません。
3.3. managed Google Play デバイス アカウントのプロビジョニング
EMM は managed Google Play デバイス アカウントを作成し、プロビジョニングできます。デバイス アカウントは managed Google Play ストアからの通知をサイレント インストールでサポートし、1 人のユーザーには関連付けられません。代わりに、デバイス アカウントは、専用のデバイス シナリオにおけるデバイスごとのアプリ配信ルールをサポートする単一のデバイスを識別するために使用されます。
3.3.1. managed Google Play アカウントは、デバイスのプロビジョニング時に自動的に作成されます。
Android Management API はデフォルトでこの機能をサポートしています。追加の実装は必要ありません。
3.4. 以前のデバイス向けの managed Google Play アカウントのプロビジョニング
この機能は非推奨となりました。
3.5. アプリのサイレント配信
IT 管理者は、ユーザーの操作なしでデバイスに仕事用アプリをサイレントに配布できます。
3.5.1. EMM のコンソールでは、Android Management API を使用して、IT 管理者が管理対象デバイスに仕事用アプリをインストールできるようにする必要があります。
3.5.2. EMM のコンソールでは、IT 管理者が管理対象デバイス上の仕事用アプリを更新できるように、Android Management API を使用する必要があります。
3.5.3. EMM のコンソールは、Android Management API を使用して、IT 管理者が管理対象デバイスでアプリをアンインストールできるようにする必要があります。
3.6. マネージド構成管理
IT 管理者は、マネージド構成をサポートするアプリのマネージド構成を表示し、通知なく設定できます。
3.6.1. EMM のコンソールは、Play アプリの管理対象構成を取得して表示できる必要があります。
3.6.2. EMM のコンソールでは、IT 管理者は Android Management API を使用して、Play アプリ用の任意の構成タイプ(Android Enterprise フレームワークで定義されている)を設定できる必要があります。
3.6.3. EMM のコンソールでは、IT 管理者がワイルドカード($username$ や %emailAddress% など)を設定し、Gmail などのアプリの 1 つの構成を複数のユーザーに適用できるようにする必要があります。
3.7. アプリカタログの管理
Android Management API はデフォルトでこの機能をサポートしています。追加の実装は必要ありません。
3.8. プログラマティック アプリの承認
EMM のコンソールは、managed Google Play iframe を使用して、Google Play のアプリの検出と承認の機能をサポートします。IT 管理者は、EMM のコンソールを離れることなく、アプリの検索、アプリの承認、新しいアプリの権限の承認を行うことができます。
3.8.1. IT 管理者は、managed Google Play iframe を使用して EMM のコンソール内でアプリを検索し、承認できます。
3.9. 基本的な店舗レイアウト管理
managed Google Play ストア アプリは、仕事用アプリのインストールと更新に使用できます。 デフォルトでは、managed Google Play ストアにはユーザーが承認したアプリが 1 つのリストに表示されます。このレイアウトは、基本のストア レイアウトと呼ばれます。
3.9.1. EMM のコンソールを使用すると、IT 管理者はエンドユーザーの基本ストア レイアウトに表示されるアプリを管理できます。
3.10. ストアの高度なレイアウト構成
3.10.1. IT 管理者は、managed Google Play ストア アプリに表示されるストアのレイアウトをカスタマイズできます。
3.11. アプリのライセンス管理
この機能は非推奨となりました。
3.12. Google がホストする限定公開アプリの管理
IT 管理者は、Google Play Console ではなく EMM コンソールを使用して、Google がホストする限定公開アプリを更新できます。
3.12.1. IT 管理者は、以下を使用して、企業に限定公開されているアプリの新しいバージョンをアップロードできます。
3.13. 自己ホスト型の限定公開アプリ管理
IT 管理者は、自己ホスト型の限定公開アプリを設定して公開できます。Google がホストする限定公開アプリとは異なり、Google Play は APK をホストしません。EMM は IT 管理者が自身で APK をホストし、managed Google Play によって承認された場合にのみインストールできるようにすることで、自己ホスト型のアプリを保護するのに役立ちます。
3.13.1. EMM のコンソールは、次の両方のオプションを提供することで、IT 管理者がアプリ APK をホストするのに役立ちます。
- APK を EMM のサーバーでホストする。サーバーは、オンプレミスまたはクラウドベースです。
- 企業の裁量で、EMM のサーバーの外部で APK をホストする。IT 管理者は、APK がホストされている EMM コンソールで指定する必要があります。
3.13.2. EMM のコンソールは、提供された APK を使用して適切な APK 定義ファイルを生成し、IT 管理者に公開プロセスをご案内する必要があります。
3.13.3. IT 管理者は自己ホスト型限定公開アプリを更新できます。EMM のコンソールは Google Play Developer Publishing API を使用して、更新された APK 定義ファイルを通知なく公開できます。
3.13.4. EMM のサーバーは、秘密鍵の有効な検証内容を含む JWT を含む自己ホスト型 APK のダウンロード リクエストを、秘密鍵によって検証して処理します。
- このプロセスを容易にするために、EMM のサーバーは、Play Console から自己ホスト型アプリのライセンス公開鍵をダウンロードして EMM コンソールにアップロードするように IT 管理者に指示する必要があります。
3.14. EMM の pull 通知
この機能は Android Management API には適用されません。代わりに、Pub/Sub 通知を設定してください。
3.15. API の使用要件
EMM は Android Management API を大規模に実装し、企業による本番環境でのアプリの管理に悪影響を与える可能性のあるトラフィック パターンを回避します。
3.15.1. EMM は Android Management API の使用制限に従う必要があります。これらのガイドラインに違反する動作を修正しないと、Google の裁量で API の使用が停止される場合があります。
3.15.2. EMM は、企業トラフィックを特定の時点または類似するタイミングで統合するのではなく、1 日を通じて異なる企業からのトラフィックを分散する必要があります。登録済みデバイスごとにスケジュールされたバッチ オペレーションなど、このトラフィック パターンに適合する動作が発生すると、Google の裁量で API の使用が停止される場合があります。
3.15.3. EMM は、実際の企業データの取得や管理を試みない、一貫性のない、不完全な、または故意に誤ったリクエストをしてはなりません。 このトラフィック パターンに合致する動作が発生すると、Google の裁量で API の使用が停止される場合があります。
3.16. 高度なマネージド構成管理
EMM は、次の高度なマネージド構成管理機能をサポートしています。
3.16.1. EMM のコンソールは、以下を使用して、Play アプリの最大 4 レベルのネストされた管理対象設定を取得して取得できる必要があります。
- managed Google Play iframe
- カスタム UI。
3.16.2. EMM のコンソールは、IT 管理者がセットアップした場合、アプリのフィードバック チャンネルから返されたフィードバックを取得して表示する必要があります。
- EMM のコンソールでは、特定のフィードバック アイテムを元のデバイスとアプリに関連付けることができます。
- EMM のコンソールでは、IT 管理者が特定のメッセージ タイプ(エラー メッセージなど)のアラートまたはレポートに登録できるようにする必要があります。
3.16.3. EMM のコンソールは、デフォルト値を使用する、または管理者が手動で設定する値のみを送信する必要があります。
- 管理対象設定の iframe
- カスタム UI。
3.17. ウェブアプリの管理
IT 管理者は、EMM コンソールでウェブアプリを作成して配布できます。
3.17.1. EMM コンソールを使用して、IT 管理者は以下を使用して、ウェブアプリにショートカットを配布できます。
3.18. managed Google Play アカウント ライフサイクル管理
EMM は IT 管理者に代わって managed Google Play アカウントを作成、更新、削除し、アカウントの有効期限から自動的に復元できます。
この機能はデフォルトでサポートされています。追加の EMM の実装は必要ありません。
3.19. アプリケーション トラックの管理
3.19.1. IT 管理者は、デベロッパーが特定のアプリに設定したトラック ID のリストを取得できます
3.19.2. IT 管理者は、デバイスに特定の開発トラックを使用するようにデバイスを設定できます。
3.20. 高度なアプリケーション更新管理
IT 管理者は、アプリをすぐに更新したり、更新を 90 日間延期したりできます。
3.20.1. IT 管理者は、更新の準備ができたときに優先度の高いアプリのアップデートを使用してアプリを更新することを許可できます。3.20.2. IT 管理者は、アプリのアップデートを 90 日間延期できます。
3.21. プロビジョニング方法の管理
EMM はプロビジョニング構成を生成し、エンドユーザーに配信できる形式(QR コード、ゼロタッチ構成、Play ストアの URL など)で IT 管理者に提示できます。
4. デバイス管理
4.1. ランタイム権限ポリシーの管理
IT 管理者は、仕事用アプリから実行時の権限リクエストに対するデフォルトのレスポンスをサイレントに設定できます。
4.1.1. IT 管理者は、組織のデフォルトのランタイム権限ポリシーを設定するときに、次のオプションのいずれかを選択できなければなりません。
- プロンプト(ユーザーが選択できるようにします)
- allow
- deny
EMM はポリシーを介してこれらの設定を適用する必要があります。
4.2. 実行時の権限付与の状態管理
デフォルトの実行時の権限ポリシーを設定したら(4.1.)、IT 管理者は、API 23 以上で構築された任意の仕事用アプリから、特定の権限に対する応答をサイレントに設定できます。
4.2.1. IT 管理者は、API 23 以降でビルドされた仕事用アプリから要求された権限の付与状態(デフォルト、許可、拒否)を設定できる必要があります。EMM はポリシーを介してこれらの設定を適用する必要があります。
4.3. Wi-Fi 設定管理
IT 管理者は、管理対象デバイスに以下のようなエンタープライズ Wi-Fi 構成をサイレントにプロビジョニングできます。
4.3.1. SSID(ポリシー経由)。
4.3.2. パスワード(ポリシーを使用)。
4.4. Wi-Fi セキュリティ管理
IT 管理者は、次の高度なセキュリティ機能を含むデバイスにエンタープライズ Wi-Fi 設定をプロビジョニングできます。
4.4.1. ID
4.4.2. クライアント承認の証明書
4.4.3. CA 証明書
4.5. 高度な Wi-Fi 管理
IT 管理者は、管理対象デバイスの Wi-Fi 構成を遮断して、構成の作成や企業構成の変更を防ぐことができます。
4.5.1. IT 管理者は、次のいずれかの構成でポリシーを使用して企業の Wi-Fi 構成をロックダウンできます。
- ユーザーは EMM によってプロビジョニングされた Wi-Fi 構成(
wifiConfigsLockdownEnabledに移動)は変更できませんが、ユーザーが構成可能な独自のネットワーク(個人用ネットワークなど)は追加、変更できます。 - ユーザーはデバイス上で Wi-Fi ネットワークを追加または変更できず(
wifiConfigDisabledに移動)、Wi-Fi 接続を EMM によってプロビジョニングされたネットワークのみに限定されます。
4.6. アカウント管理
IT 管理者は、会社の SaaS ストレージ アプリや生産性向上アプリ、メールなどのサービスに関して、許可された企業アカウントのみが操作できるようになります。この機能がなければ、ユーザーは、一般ユーザー向けアカウントをサポートする企業アプリに個人用アカウントを追加できます。これにより、それらの企業アカウントと企業データを共有できます。
4.6.1. IT 管理者は、ユーザーがアカウントを追加または変更できないようにすることができます(modifyAccountsDisabled を参照)。
- EMM は、このポリシーをデバイスに適用する際、プロビジョニングが完了する前にユーザーが制限を回避できるように、プロビジョニングが完了する前にこのポリシーを設定する必要があります。
4.7. Workspace アカウント管理
Android Management API は、この機能をサポートしていません。
4.8. 証明書の管理
IT 管理者がデバイスに ID 証明書と認証局をデプロイし、企業リソースの使用を許可します。
4.8.1. IT 管理者は、PKI によって生成されたユーザー ID 証明書をユーザーごとにインストールできます。EMM のコンソールは 1 つ以上の PKI と統合し、そのインフラストラクチャから生成された証明書を配布する必要があります。
4.8.2. IT 管理者は、マネージド キーストアに認証局(caCerts を参照)をインストールできます(
)。
4.9. 高度な証明書管理
IT 管理者は、特定の管理対象アプリが使用する証明書を通知なく選択できます。この機能を使用すると、IT 管理者はアクティブなデバイスから CA と ID 証明書を削除し、マネージド キーストアに保存されている認証情報をユーザーが変更できないようにすることもできます。
4.9.1. デバイスに配布されるアプリの場合、IT 管理者は、実行時にアプリが暗黙的に付与するアクセス権を指定できます。(このサブ機能は現在サポートされていません)
- すべてのユーザーに適用される単一の構成(各ユーザーにユーザー固有の ID 証明書がある場合もあります)を使用できるようにするには、証明書の選択が全般的である必要があります。
4.9.2. IT 管理者は、マネージド キーストアから証明書を削除できます。
4.9.3. IT 管理者は通知せずに CA 証明書をアンインストールできます。(このサブ機能は現在サポートされていません)
4.9.4. IT 管理者は、ユーザーがマネージド キーストアで認証情報を構成できないようにする(credentialsConfigDisabled する)ことができます。
4.9.5. IT 管理者は、ChoosePrivateKeyRule を使用して仕事用アプリの証明書を事前に付与できます。
4.10. 委任証明書の管理
IT 管理者は、サードパーティの証明書管理アプリをデバイスに配布して、そのアプリにマネージド キーストアに証明書をインストールする特権権限を付与できます。
4.10.1. IT 管理者は、委任された証明書管理アプリとして設定する証明書管理パッケージ(delegatedCertInstallerPackage に移動)を指定できます。
- EMM は必要に応じて既知の証明書管理パッケージを提案できますが、IT 管理者が、該当するユーザー向けにインストール可能なアプリのリストから選択できるようにする必要があります。
4.11. 高度な VPN 管理
IT 管理者は、常時稼働の VPN を指定し、指定した管理対象アプリのデータが常にセットアップされたバーチャル プライベート ネットワーク(VPN)を通過するようにできます。
4.11.1. IT 管理者は、常時接続 VPN として設定される任意の VPN パッケージを指定できます。
- EMM のコンソールは、常時接続 VPN をサポートする既知の VPN パッケージを任意に提案する場合がありますが、常時接続構成に利用できる VPN を任意のリストに制限することはできません。
4.11.2. IT 管理者は、管理対象構成を使用してアプリの VPN 設定を指定できます。
4.12. IME 管理
IT 管理者は、デバイスに設定できる入力方法(IME)を管理できます。IME は仕事用プロファイルと個人用プロファイルの両方で共有されるため、IME の使用をブロックすると、IME も個人で使用できなくなります。ただし、IT 管理者は仕事用プロファイルでのシステム IME の使用をブロックすることはできません(詳細については、IME の高度な管理に移動してください)。
4.12.1. IT 管理者は任意の長さの IME 許可リストを設定できます(permitted_input_methods に移動)。任意の IME パッケージを含む空のリスト(システム以外の IME をブロックする空のリストを含む)を含めることもできます。
- EMM のコンソールでは、必要に応じて既知の IME または推奨 IME を許可リストに登録することがありますが、IT 管理者が、該当するユーザー向けにインストール可能なアプリのリストから選択できるようにする必要があります。
4.12.2. EMM は、仕事用プロファイルが設定されたデバイスのシステム IME が管理対象外となることを IT 管理者に通知する必要があります。
4.13. IME の高度な管理
IT 管理者は、ユーザーがデバイスで設定できる入力方法(IME)を管理できます。高度な IME 管理機能では、IT 管理者がシステム IME(通常はデバイスのメーカーまたは携帯通信会社)の使用を管理できるようにして、基本的な機能を拡張します。
4.13.1. IT 管理者は任意の長さの IME 許可リストを設定できます(permitted_input_methods に移動)。任意の IME パッケージを含む任意の IME パッケージ(システム IME を含むすべての IME をブロックする空のリストを除く)を設定できます。
- EMM のコンソールでは、必要に応じて既知の IME または推奨 IME を許可リストに登録することがありますが、IT 管理者が、該当するユーザー向けにインストール可能なアプリのリストから選択できるようにする必要があります。
4.13.2. EMM は、空の許可リストを IT 管理者が設定できないようにする必要があります。この設定により、システム IME を含むすべての IME がデバイスで設定されなくなります。
4.13.3. EMM は、IME 許可リストにシステム IME が含まれていない場合、許可リストをデバイスに適用する前に、サードパーティの IME がサイレント インストールされるようにする必要があります。
4.14. ユーザー補助サービスの管理
IT 管理者は、ユーザーがデバイスに対して許可できるユーザー補助サービスを管理できます。ユーザー補助サービスは、障がいのあるユーザーや一時的にデバイスを十分に操作できないユーザー向けの強力なツールです。ただし、企業のポリシーを遵守していない方法で企業データを操作している可能性があります。この機能を使用すると、IT 管理者はシステム以外のユーザー補助サービスをオフにできます。
4.14.1. IT 管理者は任意の長さのユーザー補助サービスの許可リストを設定できます(permittedAccessibilityServices に移動)。任意のユーザー補助サービス パッケージを含む任意のリスト(空のシステムリストによるユーザー補助サービスをブロックできます)を使用できます。仕事用プロファイルに適用すると、個人用プロファイルと仕事用プロファイルの両方に影響します。
- Console では、既知のまたは推奨されるユーザー補助サービスが許可リストに含まれていることがありますが、IT 管理者が該当ユーザーに対し、インストール可能なアプリのリストから選択できるようにする必要があります。
4.15. 現在地の共有管理
IT 管理者は、ユーザーが仕事用プロファイルのアプリで位置情報を共有できないようにすることができます。それ以外の場合、仕事用プロファイルの位置情報の設定は [設定] で構成できます。
4.15.1. IT 管理者は、仕事用プロファイル内で位置情報サービスを無効にすることができます(shareLocationDisabled に移動)。
4.16. 現在地の共有の詳細管理
IT 管理者は、管理対象デバイスに特定の現在地の共有設定を適用できます。この機能により、企業アプリの位置情報を常に高精度で保持できます。また、位置情報の設定をバッテリー節約モードに制限することで、バッテリーの消費量を抑えることもできます。
4.16.1. IT 管理者は、デバイスの位置情報サービスを次のモードに設定できます。
- 高精度] をタップします。
- センサーのみ(GPS など)。ただし、ネットワークで提供される位置情報は含まれません。
- バッテリー節約。アップデートの頻度を抑えます。
- オフ。
4.17. 出荷時設定へのリセット保護機能の管理
IT 管理者は、不正ユーザーがデバイスを出荷時の設定にリセットできないようにすることで、会社所有のデバイスを盗難から保護できます。デバイスが IT 部門に返却される際に、出荷時設定へのリセット保護機能によって操作が複雑になる場合、IT 管理者は出荷時設定へのリセット保護機能を完全にオフにできます。
4.17.1. IT 管理者は、[設定] からデバイスを出荷時の設定にリセットする(factoryResetDisabled にアクセスする)ことができます。
4.17.2. IT 管理者は、出荷時の設定にリセットした後、デバイスのプロビジョニングを承認された会社のロック解除アカウントを指定できます(frpAdminEmails に移動)。
- このアカウントを個人に関連付けることも、企業全体でデバイスのロック解除に使用することもできます。
4.17.3. IT 管理者は、指定したデバイスで出荷時設定へのリセット保護機能を無効にすることができます(go:0 factoryResetDisabled)。
4.17.4. IT 管理者は、必要に応じてリモート デバイスのワイプを開始できます。これにより、リセット保護機能のデータをワイプし、リセットされたデバイス上の出荷時設定へのリセット保護機能を削除できます。
4.18. 高度なアプリ管理
IT 管理者は、[設定] から、ユーザーがマネージド アプリをアンインストールやその他の方法で変更できないようにすることができます。たとえば、アプリを強制終了したり、アプリのデータ キャッシュを消去したりしないようにします。
4.18.1. IT 管理者は、任意の管理対象アプリのアンインストール、またはすべての管理対象アプリのアンインストールをブロックできます(uninstallAppsDisabled に移動)。
4.18.2. IT 管理者は、ユーザーが [設定] からアプリデータを変更できないようにすることができます。(Android Management API はこのサブ機能をサポートしていません)
4.19. スクリーン キャプチャの管理
IT 管理者は、管理対象アプリの使用時にスクリーンショットの撮影をブロックできます。 この設定には、システムのスクリーンショット機能を使用する画面共有アプリ、および同様のアプリ(Google アシスタントなど)のブロックも含まれます。
4.19.1. IT 管理者は、ユーザーがスクリーンショットをキャプチャできないようにすることができます(screenCaptureDisabled に移動)。
4.20. カメラを無効にする
IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます。
4.20.1. IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます(cameraDisabled に移動)。
4.21. ネットワーク統計情報の収集
Android Management API は現在、この機能をサポートしていません。
4.22. 高度なネットワーク統計情報の収集
Android Management API は現在、この機能をサポートしていません。
4.23. デバイスの再起動
IT 管理者は管理対象デバイスをリモートで再起動できます。
4.23.1. IT 管理者は、管理対象デバイスをリモートで再起動できます。
4.24. システムの無線管理
ポリシーを使用して、システム ネットワークの無線通信とそれに関連する使用ポリシーをきめ細かく管理します。
4.24.1. IT 管理者は、サービス プロバイダから送信されたセルブロードキャストをオフにできます(cellBroadcastsConfigDisabled に移動)。
4.24.2. IT 管理者は、[設定] でモバイル ネットワークの設定を変更することを防止できます(mobileNetworksConfigDisabled を参照)。
4.24.3. IT 管理者は、ユーザーが [設定] ですべてのネットワーク設定をリセットできないようにできます。(networkResetDisabled に移動)。
4.24.4. IT 管理者は、デバイスがローミング中にモバイルデータを許可するかどうかを設定できます(dataRoamingDisabled に移動)。
4.24.5. IT 管理者は、デバイスで緊急通報(outGoingCallsDisabled を参照)からの発信を許可するかどうかを設定できます。
4.24.6. IT 管理者は、デバイスがテキスト メッセージを送受信できるかどうかを設定できます(smsDisabled に移動)。
4.24.7. IT 管理者は、テザリングによってユーザーがデバイスをポータブル アクセス ポイントとして使用することを防止できます(tetheringConfigDisabled に移動)。
4.24.8. IT 管理者は、Wi-Fi タイムアウトをデフォルトにするか、接続しないか、まったく設定しないことが可能です。(Android Management API はこのサブ機能をサポートしていません)
4.24.9. IT 管理者は、ユーザーが既存の Bluetooth 接続を設定または変更できないようにすることができます(bluetoothConfigDisabled に移動)。
4.25. システムのオーディオ管理
IT 管理者は、デバイスのミュート、音量設定の変更、デバイスのマイクのミュート解除など、デバイスのオーディオ機能をサイレントに制御できます。
4.25.1. IT 管理者は、管理対象デバイスをミュートできます。(Android Management API はこのサブ機能をサポートしていません)
4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにすることができます(adjustVolumeDisabled に移動)。これにより、デバイスもミュートされます。
4.25.3. IT 管理者は、ユーザーがデバイスのマイクのミュートを解除できないようにすることができます(unmuteMicrophoneDisabled に移動)。
4.26. システム クロック管理
IT 管理者は、デバイスの時計とタイムゾーンの設定を管理し、ユーザーが自動デバイス設定を変更できないようにすることができます。
4.26.1. IT 管理者は、システムの自動時刻と自動タイムゾーンを適用できます。これにより、ユーザーがデバイスの日付、時刻、タイムゾーンを設定できないようにすることができます。
4.27. 高度な専用デバイス機能
専用のデバイスの場合、IT 管理者はポリシーを介して次の機能を管理し、さまざまなキオスクのユースケースに対応できます。
4.27.1. IT 管理者はデバイスのキーガードをオフにできます(keyguardDisabled に移動)。
4.27.2IT 管理者は、デバイスのステータスバー、通知のブロック、クイック設定(statusBarDisabled に移動)をオフにできます。
4.27.3. IT 管理者は、デバイスが接続されている間、デバイスの画面をオンのままにすることができます(stayOnPluggedModes に移動)。
4.27.4. IT 管理者は、次のシステム UI が表示されないようにできます(createWindowsDisabled に移動)。
- トースト
- アプリケーション オーバーレイ。
4.27.5. IT 管理者は、アプリの初回起動時のユーザー チュートリアルやその他の導入のヒントをスキップするように、システムによるアプリへのおすすめを許可できます(skip_first_use_hints を参照)。
4.28. 委任されたスコープの管理
IT 管理者は、個々の権限をパッケージごとに委任できます。
4.28.1. IT 管理者は次のスコープを管理できます。
- 証明書のインストールと管理
- 管理対象構成の管理
- ネットワーク ロギング
- セキュリティ ロギング
4.29. 登録固有の ID のサポート
Android 12 以降、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、登録固有の ID を介して仕事用プロファイルが設定されたデバイスのライフサイクルに従うことができ、初期状態にリセットしても保持されます。
4.29.1. IT 管理者は登録固有の ID を取得できる
4.29.2. この登録固有の ID は、出荷時の設定にリセットしても保持する必要があります
5. デバイスのユーザビリティ
5.1. 管理対象プロビジョニングのカスタマイズ
IT 管理者は、デフォルトの設定フローの UX を変更してエンタープライズ固有の機能を含めることができます。必要に応じて、IT 管理者はプロビジョニング中に EMM 提供のブランディングを表示できます。
5.1.1. IT 管理者は、エンタープライズ固有の利用規約とその他の免責条項(termsAndConditions を参照)を指定して、プロビジョニング プロセスをカスタマイズできます。
5.1.2. IT 管理者は、構成不可の EMM 固有の利用規約とその他の免責条項をデプロイできます(termsAndConditions をご覧ください)。
- EMM は、構成不可の EMM 固有のカスタマイズをデプロイのデフォルトに設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。
Android 10 以降のエンタープライズ リソースでは、5.1.3 primaryColor が非推奨になりました。
5.2. エンタープライズ カスタマイズ
Android Management API は、この機能をサポートしていません。
5.3. 企業向けの高度なカスタマイズ
Android Management API は、この機能をサポートしていません。
5.4. ロック画面メッセージ
IT 管理者は、デバイスのロック画面に常に表示されるカスタム メッセージを設定できます。デバイスのロック解除を表示する必要はありません。
5.4.1. IT 管理者は、カスタムのロック画面メッセージを設定できます(deviceOwnerLockScreenInfo に移動)。
5.5. ポリシーの透明性の管理
IT 管理者は、デバイスで管理対象設定を変更しようとしたとき、または EMM から提供された汎用のサポート メッセージをデプロイしようとしたときに、ユーザーに表示されるヘルプテキストをカスタマイズできます。短いサポート メッセージと長いサポート メッセージはカスタマイズ可能で、IT 管理者がアンインストールをすでにブロックしている管理対象アプリをアンインストールしようとする場合などに表示されます。
5.5.1. IT 管理者は、ユーザーに表示される短いサポート メッセージをカスタマイズできます。
5.5.2. IT 管理者は、構成不可で EMM 固有の短いサポート メッセージと詳細サポート メッセージをデプロイできます(policies の shortSupportMessage と longSupportMessage に移動)。
- EMM は、構成不可の EMM 固有のサポート メッセージをデプロイのデフォルトとして設定することがありますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。
5.6. クロス プロファイルの連絡先管理
5.6.1. IT 管理者は、個人用プロファイルでの連絡先検索と着信時に仕事用連絡先の表示を無効にすることができます。
5.6.2. IT 管理者は、自動車やヘッドセットのハンズフリー通話など、仕事用連絡先の Bluetooth 連絡先の共有を無効にできます。
5.7. クロス プロファイル データ管理
IT 管理者は、仕事用プロファイルと個人用プロファイルの間で共有できるデータの種類を管理し、要件に応じてユーザビリティとデータ セキュリティのバランスを取ることができます。
5.7.1. IT 管理者は、個人用アプリによるインテントやウェブリンクの共有などのインテントを仕事用プロファイルから解決できるように、クロス プロファイル データ共有ポリシーを構成できます。
5.7.2. 仕事用ウィジェットの管理は、Android Management API ではまだご利用いただけません。
5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイルの間でコピーや貼り付けの機能を制御できます。
5.8. システム アップデート ポリシー
IT 管理者は、無線(OTA)システム アップデート デバイスを設定して適用できます。
5.8.1. EMM のコンソールでは、IT 管理者は次の OTA 構成を設定できます。
- 自動: アップデートが利用可能になると、デバイスに OTA アップデートが届きます。
- 延期: IT 管理者は OTA アップデートを最大 30 日間延期できる必要があります。
- ウィンドウ管理: IT 管理者は、毎日のメンテナンスの時間枠で OTA アップデートをスケジュールできる必要があります。
5.8.2. OTA 構成は、ポリシーを介してデバイスに適用されます。
5.9. ロックタスク モードの管理
IT 管理者は、アプリまたはアプリのセットを画面にロックし、ユーザーがアプリを終了できないようにすることができます。
5.9.1. EMM のコンソールでは、IT 管理者は任意のアプリセットをサイレントにインストールしてデバイスにロックすることができます。ポリシーを使用すると、専用デバイスをセットアップできます。
5.10. 永続的な優先アクティビティ管理
IT 管理者は、特定のインテント フィルタに一致するインテントのデフォルト インテント ハンドラとして、アプリを設定できます。たとえば、この機能により、IT 管理者は、どのブラウザアプリでウェブリンクを自動的に開くかを選択できます。この機能は、ホームボタンをタップしたときに使用するランチャー アプリを管理できます。
5.10.1. IT 管理者は、任意のインテント フィルタのデフォルト インテント ハンドラとして任意のパッケージを設定できます。
- EMM のコンソールでは、必要に応じて既知のインテントまたは推奨インテントを設定できますが、インテントを任意のリストに限定することはできません。
- EMM のコンソールでは、該当するユーザーがインストールできるアプリのリストから IT 管理者が選択できるようにする必要があります。
5.11. Keyguard 機能の管理
IT 管理者は、デバイス キーガード(ロック画面)と仕事用チャレンジ キーガード(ロック画面)をロック解除する前に、ユーザーが使用できる機能を管理できます。
5.11.1.ポリシーは、次のデバイス キーガード機能をオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
- 削除されていない通知
5.11.2. 仕事用プロファイルの次のキーガード機能は、ポリシーを介して無効にできます。
- 信頼エージェント
- 指紋認証によるロック解除
5.12. 高度なキーガード機能の管理
- カメラを保護
- すべての通知
- 未編集
- 信頼エージェント
- 指紋認証
- すべてのキーガード機能
5.13. リモートデバッグ
Android Management API は現在、この機能をサポートしていません。
5.14. MAC アドレスの取得
EMM はデバイスの MAC アドレスをサイレントに取得して、企業インフラストラクチャの他の部分のデバイスを識別できます(ネットワーク アクセス制御のためにデバイスを識別する場合など)。
5.14.1. EMM はデバイスの MAC アドレスをサイレントに取得し、EMM のコンソールでデバイスに関連付けることができます。
5.15. 高度なロックタスク モード管理
専用デバイスでは、IT 管理者は EMM のコンソールを使用して次のタスクを実行できます。
5.15.1. 1 つのアプリのインストールとデバイスへのロックを許可します。
5.15.2. 次のシステム UI 機能を有効または無効にします。
- ホームボタン
- 概要
- グローバル アクション
- 通知
- システム情報 / ステータスバー
- キーガード(ロック画面)。このサブ機能は、5.15.1 が実装されるとデフォルトで有効になります。
5.15.3. [システムエラーのダイアログ] をオフにします。
5.16. 高度なシステム アップデート ポリシー
IT 管理者は、デバイスのシステム アップデートをブロックするために、指定した凍結期間を設定できます。
5.16.1. EMM のコンソールでは、IT 管理者が特定の凍結期間にわたって無線(OTA)システム アップデートをブロックできるようにする必要があります。
5.17. 仕事用プロファイルのポリシーの透明性管理
IT 管理者は、デバイスから仕事用プロファイルを削除するときにユーザーに表示されるメッセージをカスタマイズできます。
5.17.1. 仕事用プロファイルをワイプする際に、IT 管理者が表示するカスタム テキスト(wipeReasonMessage に移動)を指定できます。
5.18. 接続済みのアプリのサポート
IT 管理者は、ConnectedWorkAndPersonalApp を設定することで、仕事用プロファイルの境界を越えて通信できるパッケージのリストを設定できます。
5.19. システムの手動更新
Android Management API は、この機能をサポートしていません。
6. デバイス管理のサポート終了
6. デバイス管理のサポート終了
EMM は 2022 年末までにプランを投稿し、2023 年第 1 四半期末までに GMS デバイスのデバイス管理のカスタマー サポートを終了する必要があります。