このページには、Android Enterprise の全機能の一覧が記載されています。
管理するデバイスが 1, 000 台を超える場合、EMM ソリューションは商用利用開始前に少なくとも 1 つのソリューション セットの標準機能()をすべてサポートしている必要があります。標準機能の検証に合格した EMM ソリューションは、標準管理セットの提供として Android のエンタープライズ ソリューション ディレクトリに掲載されています。
ソリューション セットごとに、上級者向け機能のセットを利用できます。これらの機能は、各ソリューション セット ページ(仕事用プロファイル、フルマネージド デバイス、専用デバイス)に示されています。高度な機能の検証に合格した EMM ソリューションは、高度な管理セットとして Android のエンタープライズ ソリューション ディレクトリに掲載されています。
キー
| 個の標準機能 | オプション機能 | 該当なし |
1. デバイスのプロビジョニング
1.1. DPC ファーストの仕事用プロファイルのプロビジョニング
ユーザーは、Google Play から Android Device Policy をダウンロードしたら、仕事用プロファイルをプロビジョニングできます。
1.1.1. このプロビジョニング方法をサポートするために、EMM から IT 管理者に QR コードまたはアクティベーション コードが提供されます( デバイスの登録とプロビジョニングをご覧ください)。
1.2. DPC 識別子のデバイス プロビジョニング
デバイスの設定ウィザードで「afw#」と入力すると、完全管理対象デバイスまたは専用デバイスがプロビジョニングされます。
1.2.1. EMM は、このプロビジョニング方法をサポートするために QR コードまたはアクティベーション コードを IT 管理者に提供します(デバイスの登録とプロビジョニングをご覧ください)。
1.3. NFC デバイスのプロビジョニング
IT 管理者は NFC タグを使用して、Play EMM API デベロッパー向けドキュメントで定義されている実装ガイドラインに沿って、新しいデバイスまたは出荷時の設定にリセットしたデバイスをプロビジョニングできます。
1.3.1. EMM では、888 バイト以上のメモリを搭載した NFC フォーラム タイプ 2 タグを使用する必要があります。プロビジョニングでは、サーバー ID や登録 ID など、機密性の低い登録情報をデバイスに渡すために、プロビジョニング エクストラを使用する必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。
1.3.2. NFC ビーム(NFC バンプ)のサポートが終了しているため、Android 10 以降では NFC タグを使用することをおすすめします。
1.4. QR コードによるデバイスのプロビジョニング
Android Management API デベロッパー向けドキュメントで定義されている実装ガイドラインに従って、EMM のコンソールで QR コードが生成され、IT 管理者はこれをスキャンしてフルマネージド デバイスまたは専用デバイスをプロビジョニングできます。
1.4.1. QR コードは、プロビジョニング エクストラを使用して、機密性の低い登録情報(サーバー ID、登録 ID など)をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報が含まれないようにしてください。
1.5. ゼロタッチ登録
IT 管理者は、正規販売パートナーから購入したデバイスを事前に構成し、EMM コンソールを使用して管理できます。
1.5.1. IT 管理者は、IT 管理者向けのゼロタッチ登録で説明されているゼロタッチ登録方法で、会社所有デバイスをプロビジョニングできます。
1.5.2. デバイスを初めてオンにすると、IT 管理者が定義した設定が自動的に適用されます。
1.6. 高度なゼロタッチ プロビジョニング
IT 管理者は、ゼロタッチ登録によってデバイス登録プロセスの多くを自動化できます。IT 管理者は、ログイン URL と組み合わせることで、EMM で提供される構成オプションに従って特定のアカウントまたはドメインに登録を制限できます。
1.6.1. IT 管理者は、ゼロタッチ登録を使用して会社所有デバイスをプロビジョニングできます。
1.6.2. この要件は非推奨となりました。
1.6.3. EMM は、ログイン URL を使用して、権限のないユーザーが有効化を続行できないようにする必要があります。少なくとも、アクティベーションを特定の企業のユーザーにロックダウンする必要があります。
1.6.4. ログイン URL を使用して、IT 管理者が一意のユーザー情報またはデバイスの情報(ユーザー名/パスワード、アクティベーション トークンなど)以外の登録情報(サーバー ID や登録 ID など)を事前入力できるようにして、ユーザーがデバイスを有効化するときに詳細情報を入力せずに済むようにする必要があります。
- EMM のゼロタッチ登録の構成に、パスワードや証明書などの機密情報を含めることはできません。
1.7. Google アカウントの仕事用プロファイルのプロビジョニング
Android Management API はこの機能をサポートしていません。
1.8 Google アカウントのデバイスのプロビジョニング
Android Management API はこの機能をサポートしていません。
1.9. 直接ゼロタッチ設定
IT 管理者は、EMM のコンソールからゼロタッチ iframe を使用したゼロタッチ デバイスを設定できます。
1.10. 会社所有デバイスの仕事用プロファイル
EMM は、AllowPersonalUsage を設定することで、仕事用プロファイルが設定された会社所有デバイスを登録できます。
1.10.1. IT 管理者は、QR コードまたはゼロタッチ登録を使用して、会社所有デバイスの仕事用プロファイルとしてデバイスをプロビジョニングできます。
1.10.2. IT 管理者は、PersonalUsagePolicies を使って、会社所有デバイスの仕事用プロファイルに対するコンプライアンス アクションを設定できます。
1.10.3. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。
1.10.4. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でスクリーン キャプチャを無効にできます。
1.10.5. IT 管理者は PersonalApplicationPolicy を使用して、個人用プロファイルにインストールできる(またはインストールできない)アプリケーションの許可リストまたは拒否リストを設定できます。
1.10.6. IT 管理者は、仕事用プロファイルを削除するか、デバイス全体をワイプすることで、会社所有デバイスの管理を放棄できます。
2. デバイスのセキュリティ
2.1. デバイス セキュリティ チャレンジ
IT 管理者は、管理対象デバイスの 3 つの複雑さレベルから選択し、デバイスのセキュリティ チャレンジ(PIN/パターン/パスワード)を設定して適用できます。
2.1.1 ポリシーでは、デバイスのセキュリティ チャレンジを管理する設定(仕事用プロファイルの parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの passwordRequirements)を適用する必要があります。
2.1.2. パスワードの複雑さは次のように対応している必要があります。
- PASSWORD_COMPLEXITY_LOW - 繰り返し(4444)または順序(1234、4321、2468)のシーケンスを含むパターンまたは PIN。
- PASSWORD_COMPLEXITY_MEDIUM - 連続(4444)または番号順(1234、4321、2468)のシーケンスのない PIN、英字または英数字のパスワードが 4 文字以上
- PASSWORD_COMPLEXITY_HIGH - 連続(4444)または番号順(1234、4321、2468)のシーケンスがなく、8 文字以上のパスワード、または 6 文字以上の英字または英数字のパスワード
2.1.3. 会社所有デバイスの以前の設定として追加のパスワード制限を適用することもできます。
2.2 仕事用のセキュリティの課題
IT 管理者は、デバイスのセキュリティ チャレンジ(2.1)とは異なる要件を持つ、仕事用プロファイルのアプリとデータに対するセキュリティ チャレンジを設定して適用できます。
2.2.1. ポリシーでは、仕事用プロファイルにセキュリティ チャレンジを適用する必要があります。
- デフォルトでは、スコープが指定されていない場合、IT 管理者は仕事用プロファイルにのみ制限を設定する必要があります
- IT 管理者は、スコープを指定することで、このデバイス全体を設定できます(要件 2.1 を参照)
2.2.2. パスワードの複雑さは、事前定義された以下の複雑なパスワードにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 繰り返し(4444)または順序(1234、4321、2468)のシーケンスを含むパターンまたは PIN。
- PASSWORD_COMPLEXITY_MEDIUM - 連続(4444)または番号順(1234、4321、2468)のシーケンスのない PIN、英字または英数字のパスワードが 4 文字以上
- PASSWORD_COMPLEXITY_HIGH - 連続(4444)または番号順(1234、4321、2468)のシーケンスがなく、8 文字以上のパスワード、または 6 文字以上の英字または英数字のパスワード
2.2.3. 追加のパスワード制限を従来の設定として適用することもできます
2.3. 高度なパスコード管理
IT 管理者はデバイスに高度なパスワード設定を設定できます。
2.3.1. [意図的に空白]
2.3.2. [意図的に空白]
2.3.3. デバイスで利用可能なロック画面ごとに、以下のパスワード ライフサイクルの設定を設定できます。
- [意図的に空白]
- [意図的に空白]
- ワイプの最大パスワード失敗回数: 企業データがデバイスからワイプされるまでにユーザーが間違ったパスワードを入力できる回数を指定します。IT 管理者はこの機能を無効にする必要があります。
2.3.4. (Android 8.0 以降)強力な認証を求めるタイムアウト: IT 管理者が設定したタイムアウト期間後に、強力な認証パスコード(PIN やパスワードなど)の入力が必要になります。タイムアウト時間が経過すると、安全な認証パスコードでデバイスのロックが解除されるまで、安全性の低い認証方法(指紋認証、顔認証など)はオフになります。
2.4. Smart Lock の管理
IT 管理者は、Android の Smart Lock 機能の信頼エージェントに対し、デバイスのロック解除を最大 4 時間延長することを許可するかどうかを管理できます。
2.4.1. IT 管理者は、デバイスで信頼エージェントを無効にできます。
2.5. ワイプとロック
IT 管理者は、EMM のコンソールを使用して、管理対象デバイスから仕事用データをリモートでロックしたりワイプしたりできます。
2.5.1. デバイスは Android Management API を使用してロックする必要があります。
2.5.2. Android Management API を使用してデバイスをワイプする必要があります。
2.6. コンプライアンスの適用
デバイスがセキュリティ ポリシーに準拠していない場合、Android Management API によって適用されるコンプライアンス ルールによって、仕事用データの使用が自動的に制限されます。
2.6.1. デバイスに適用されるセキュリティ ポリシーには、少なくともパスワード ポリシーが含まれている必要があります。
2.7. デフォルトのセキュリティ ポリシー
EMM は、指定されたセキュリティ ポリシーをデフォルトでデバイスに適用する必要があります。IT 管理者が EMM のコンソールで設定やカスタマイズを行う必要はありません。EMM では、IT 管理者がこれらのセキュリティ機能のデフォルト状態を変更できないようにすることが推奨されます(必須ではありません)。
2.7.1. 仕事用プロファイルが設定された Android 8.0 以降のデバイスの個人用側にインストールされたアプリも含め、提供元不明アプリのインストールをブロックする。このサブ機能はデフォルトでサポートされています。
2.7.2. デバッグ機能をブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.8. 専用デバイスのセキュリティ ポリシー
ロックダウンされた専用デバイスに対して、その他のアクションを行うことはできません。
2.8.1. セーフモードでの起動の設定は、ポリシーを使用してデフォルトでオフにする必要があります(safeBootDisabled に移動)。
2.9. Play Integrity のサポート
Play の完全性チェックはデフォルトで行われます。追加の実装は必要ありません。
2.9.1. 意図的に空白にする。
2.9.2. 意図的に空白にする。
2.9.3. IT 管理者は、デバイスの SecurityRisk の値に基づいてさまざまなポリシー レスポンスを設定できます(プロビジョニングのブロック、企業データのワイプ、登録の続行の許可など)。
- EMM サービスは、各整合性チェックの結果に対してこのポリシー レスポンスを適用します。
2.10. 「アプリの確認」の適用
IT 管理者はデバイスで [アプリの確認] を有効にできます。「アプリの確認」は、Android デバイスにインストールされているアプリに対し、インストール前とインストール後に有害なソフトウェアがないかスキャンして、悪意のあるアプリが企業データを不正使用できないようにします。
2.10.1. [アプリの確認] は、ポリシーを使用してデフォルトで有効にする必要があります(ensureVerifyAppsEnabled に移動)。
2.11. ダイレクト ブートのサポート
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
2.12. ハードウェア セキュリティ管理
IT 管理者は、会社所有デバイスのハードウェア要素をロックダウンして、データ損失を防ぐことができます。
2.12.1. IT 管理者は、ポリシーを使用して、ユーザーによる物理外部メディアのマウントをブロックできます(mountPhysicalMediaDisabled に移動)。
2.12.2. IT 管理者は、ユーザーが NFC ビームを使用してデバイスからデータを共有することをポリシーでブロックできます(outgoingBeamDisabled を参照)。NFC ビーム機能は Android 10 以降ではサポートされなくなったため、このサブ機能はオプションです。
2.12.3. IT 管理者は、ポリシーを使用して、ユーザーによる USB 経由でのファイル転送をブロックできます(usbFileTransferDisabled を参照)。
2.13. エンタープライズ セキュリティ ロギング
現在、Android Management API はこの機能をサポートしていません。
3. アカウントとアプリの管理
3.1. managed Google Play アカウントの企業登録
IT 管理者は、managed Google Play アカウント エンタープライズを作成できます。これは、managed Google Play がデバイスにアプリを配信できるようにするエンティティです。次の登録ステージを EMM のコンソールに統合する必要があります。
3.1.1. Android Management API を使用して、managed Google Play アカウント エンタープライズを登録します。
3.2. managed Google Play アカウントのプロビジョニング
EMM では、managed Google Play アカウントと呼ばれる企業ユーザー アカウントをサイレント プロビジョニングできます。これらのアカウントは管理対象ユーザーを識別し、ユーザーごとの一意のアプリ配信ルールを許可します。
3.2.1. managed Google Play アカウント(ユーザー アカウント)は、デバイスがプロビジョニングされると自動的に作成されます。
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
3.3. managed Google Play デバイス アカウントのプロビジョニング
EMM では、managed Google Play デバイス アカウントの作成とプロビジョニングを行うことができます。デバイス アカウントは managed Google Play ストアからのアプリのサイレント インストールをサポートしており、1 人のユーザーには関連付けられていません。代わりにデバイス アカウントを使用して、1 つのデバイスを識別し、専用のデバイス シナリオでデバイスごとにアプリ配信ルールをサポートします。
3.3.1. managed Google Play アカウントは、デバイスがプロビジョニングされると自動的に作成されます。
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
3.4. レガシー デバイス向けの managed Google Play アカウントのプロビジョニング
この機能は非推奨になりました。
3.5. アプリのサイレント配信
IT 管理者は、ユーザーが操作しなくても、デバイスに仕事用アプリを通知せずに配布できます。
3.5.1. IT 管理者が管理対象デバイスに仕事用アプリをインストールできるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.5.2. IT 管理者が管理対象デバイス上の仕事用アプリを更新できるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.5.3. IT 管理者が管理対象デバイスからアプリをアンインストールできるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.6. マネージド構成管理
IT 管理者は、管理対象設定をサポートするアプリの管理対象設定を表示し、通知なく設定できます。
3.6.1. EMM のコンソールは、Play アプリの管理対象設定の設定を取得して表示できる必要があります。
3.6.2. IT 管理者は EMM のコンソールで、Android Management API を使用して、Play アプリに対して(Android Enterprise フレームワークで定義された)任意の構成タイプを設定できるようにする必要があります。
3.6.3. Gmail などのアプリの 1 つの構成を複数のユーザーに適用できるように、IT 管理者は EMM のコンソールでワイルドカード($username$ や %emailAddress% など)を設定できるようにする必要があります。
3.7. アプリ カタログの管理
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
3.8. プログラムによるアプリの承認
EMM のコンソールは、managed Google Play iframe を使用して、Google Play のアプリ検索と承認機能をサポートしています。IT 管理者は EMM のコンソールを離れることなく、アプリの検索、アプリの承認、新しいアプリの権限の承認を行うことができます。
3.8.1. IT 管理者は、EMM のコンソール内で managed Google Play iframe を使ってアプリを検索し、承認できます。
3.9. 基本的な店舗レイアウト管理
managed Google Play ストア アプリは、仕事用アプリのインストールと更新に使用できます。 デフォルトでは、managed Google Play ストアにはユーザーに承認されたアプリが 1 つのリストで表示されます。このレイアウトは「基本ストア レイアウト」と呼ばれます。
3.9.1. IT 管理者は EMM のコンソールで、エンドユーザーの基本的なストア レイアウトに表示されるアプリを管理する必要があります。
3.10. ストア レイアウトの詳細設定
3.10.1. IT 管理者は、managed Google Play ストア アプリに表示されるストアのレイアウトをカスタマイズできます。
3.11. アプリのライセンス管理
この機能は非推奨になりました。
3.12. Google がホストする限定公開アプリの管理
IT 管理者は、Google Play Console ではなく、EMM コンソールから Google がホストする限定公開アプリを更新できます。
3.12.1. IT 管理者は、以下を使用して、企業に限定公開されているアプリの新しいバージョンをアップロードできます。
3.13. 自己ホスト型限定公開アプリの管理
IT 管理者は、自己ホスト型の限定公開アプリを設定して公開できます。Google がホストする限定公開アプリとは異なり、Google Play は APK をホストしません。EMM を使用することで、IT 管理者は自身で APK をホストできます。また、セルフホスト アプリは managed Google Play によって承認された場合にのみインストールされるようにすることで、保護できます。
3.13.1. EMM のコンソールでは、次の両方のオプションを提供して、IT 管理者がアプリ APK をホストできるようにする必要があります。
- EMM のサーバーで APK をホストする。サーバーはオンプレミスでもクラウドベースでもかまいません。
- 企業の裁量で、EMM のサーバーの外部に APK をホストする。IT 管理者は、APK がホストされている場所を EMM コンソールで指定する必要があります。
3.13.2. EMM のコンソールでは、提供された APK を使用して適切な APK 定義ファイルを生成する必要があります。また、IT 管理者は公開プロセスを案内する必要があります。
3.13.3. IT 管理者は、自己ホスト型の限定公開アプリを更新できます。また、EMM のコンソールでは、Google Play Developer Publishing API を使用して、更新された APK 定義ファイルを通知せずに公開できます。
3.13.4. EMM のサーバーは、限定公開アプリの公開鍵によって検証された、リクエストの Cookie 内に有効な JWT を含む自己ホスト型 APK のダウンロード リクエストを処理します。
- このプロセスを容易にするために、EMM サーバーは IT 管理者が Google Play Console から自己ホスト型アプリのライセンス公開鍵をダウンロードし、そのキーを EMM コンソールにアップロードするように指示する必要があります。
3.14. EMM pull 通知
この機能は Android Management API には適用されません。代わりに Pub/Sub 通知を設定してください。
3.15. API の使用要件
EMM は Android Management API を大規模に実装することで、本番環境でのアプリの管理に悪影響を及ぼす可能性のあるトラフィック パターンを回避します。
3.15.1. EMM は、Android Management API の使用量上限に従う必要があります。これらのガイドラインに違反する動作が修正されなかった場合、Google の裁量により API の使用が停止されることがあります。
3.15.2. EMM は、特定の時間や同様の時間にエンタープライズ トラフィックを統合するのではなく、さまざまな企業からのトラフィックを 1 日を通して分散する必要があります。登録された各デバイスに対してスケジュールされた一括オペレーションなど、このトラフィック パターンに合致する動作の場合、Google の裁量により API の使用が停止される場合があります。
3.15.3. EMM では、実際の企業データの取得や管理を試みない、整合性のあるリクエスト、不完全なリクエスト、または意図的に間違ったリクエストを行うことはできません。このトラフィック パターンに当てはまる場合、Google の裁量により API の使用が停止されることがあります。
3.16. 高度なマネージド構成管理
EMM は、次の高度な管理対象構成管理機能をサポートしています。
3.16.1. EMM のコンソールでは、Play アプリの管理対象構成設定を、以下を使用して最大 4 レベルのネストされた設定にして取得できる必要があります。
- managed Google Play iframe
- 作成できます。
3.16.2. IT 管理者がセットアップした場合は、アプリのフィードバック チャンネルから返されたフィードバックをすべて取得して表示できるように、EMM のコンソールを設定する必要があります。
- IT 管理者は EMM のコンソールで、特定のフィードバック項目を元のデバイスとアプリに関連付ける必要があります。
- IT 管理者は、EMM のコンソールで特定のメッセージ タイプ(エラー メッセージなど)のアラートやレポートに登録できる必要があります。
3.16.3. EMM のコンソールから送信できる値は、デフォルト値か、管理者が以下を使用して手動で設定した値のみです。
- 管理対象設定の iframe
- カスタム UI。
3.17. ウェブアプリの管理
IT 管理者は、EMM コンソールでウェブアプリを作成して配布できます。
3.17.1. IT 管理者は EMM コンソールで、以下を使用してウェブアプリへのショートカットを配布できます。
3.18. managed Google Play アカウントのライフサイクル管理
EMM は、IT 管理者に代わって managed Google Play アカウントを作成、更新、削除でき、アカウントの有効期限切れから自動的に復元できます。
この機能はデフォルトでサポートされています。追加の EMM 実装は必要ありません。
3.19. アプリケーション トラック管理
3.19.1. IT 管理者は、デベロッパーが特定のアプリに対して設定したトラック ID のリストを取得できます。
3.19.2. IT 管理者は、アプリに特定の開発トラックを使用するようにデバイスを設定できます。
3.20. 高度なアプリケーション更新管理
IT 管理者は、アプリの更新をすぐに許可することも、更新を 90 日間延期することもできます。
3.20.1. IT 管理者は、優先度の高いアプリのアップデートを、更新の準備が整ってから更新されるようにアプリを許可できます。 3.20.2. IT 管理者はアプリのアプリのアップデートが 90 日間延期されるように設定できます。
3.21. プロビジョニング方法の管理
EMM でプロビジョニング構成を生成し、エンドユーザーに配布できるフォーム(QR コード、ゼロタッチ構成、Play ストアの URL など)で IT 管理者に提示できます。
4. デバイス管理
4.1. ランタイム権限ポリシーの管理
IT 管理者は、仕事用アプリによる実行時の権限リクエストに対するデフォルトのレスポンスをサイレントに設定できます。
4.1.1. IT 管理者は、組織のデフォルトの実行時の権限ポリシーを設定するときに、次のオプションを選択できるようにする必要があります。
- プロンプト(ユーザーが選択可能)
- allow
- 拒否
EMM はポリシーを使用してこれらの設定を適用する必要があります。
4.2. ランタイム権限付与状態の管理
デフォルトの実行時の権限ポリシー(4.1 に移行)を設定したら、IT 管理者は、API 23 以降で構築されたすべての仕事用アプリから、特定の権限に対するレスポンスを暗黙的に設定できます。
4.2.1. IT 管理者は、API 23 以降で構築された仕事用アプリによってリクエストされる権限の付与状態(デフォルト、付与、または拒否)を設定できる必要があります。EMM はポリシーを使用して、これらの設定を適用する必要があります。
4.3. Wi-Fi 構成管理
IT 管理者は、管理対象デバイスで次のような企業の Wi-Fi 構成をサイレント プロビジョニングできます。
4.3.1. ポリシーによる SSID。
4.3.2. ポリシーによるパスワード。
4.4. Wi-Fi セキュリティ管理
IT 管理者は、次の高度なセキュリティ機能を搭載したデバイスに企業の Wi-Fi 構成をプロビジョニングできます。
4.4.1. ID
4.4.2. クライアント認可用の証明書
4.4.3. CA 証明書
4.5. 高度な Wi-Fi 管理
IT 管理者は、管理対象デバイスの Wi-Fi 設定をロックして、ユーザーが設定を作成したり、会社の設定を変更できないようにしたりできます。
4.5.1. IT 管理者は、次のいずれかの構成のポリシーを使用して、企業の Wi-Fi の構成をロックできます。
- ユーザーは、EMM によってプロビジョニングされた Wi-Fi 構成は変更できませんが(
wifiConfigsLockdownEnabledにアクセス)、ユーザーが構成できる独自のネットワーク(パーソナル ネットワークなど)を追加および変更できます。 - ユーザーはデバイスに Wi-Fi ネットワークを追加または変更できず(
wifiConfigDisabledにアクセス)、EMM によってプロビジョニングされたネットワークのみに Wi-Fi 接続が制限されます。
4.6. アカウント管理
IT 管理者は、承認された企業アカウントのみが SaaS ストレージや生産性向上アプリ、メールなどのサービスで企業データを操作できるようにできます。この機能を使用しない場合、ユーザーは、一般ユーザー向けアカウントもサポートしている企業アプリに個人アカウントを追加して、企業データを個人アカウントと共有できます。
4.6.1. IT 管理者は、ユーザーによるアカウントの追加または変更を禁止できます(modifyAccountsDisabled を参照)。
- このポリシーをデバイスに適用する場合、EMM はプロビジョニングの完了前にこの制限を設定する必要があります。これにより、ポリシーの施行前にユーザーがアカウントを追加することによってこのポリシーを回避できないようにすることができます。
4.7. Workspace アカウント管理
Android Management API はこの機能をサポートしていません。
4.8. 証明書の管理
IT 管理者は、ID 証明書と認証局をデバイスにデプロイして、企業リソースの使用を許可できます。
4.8.1. IT 管理者は、PKI によって生成されたユーザー ID 証明書をユーザーごとにインストールできます。EMM のコンソールは少なくとも 1 つの PKI と統合し、そのインフラストラクチャから生成された証明書を配布する必要があります。
4.8.2. IT 管理者は、マネージド キーストアに認証局をインストールできます(caCerts を参照)。ただし、このサブ機能は現在サポートされていません。
4.9. 証明書の高度な管理
IT 管理者は、特定のマネージド アプリで使用する証明書をサイレント モードで選択できます。また、IT 管理者はこの機能を使用して、アクティブなデバイスから CA と ID 証明書を削除し、マネージド キーストアに保存されている認証情報をユーザーが変更できないようにすることもできます。
4.9.1. デバイスに配布されるすべてのアプリについて、IT 管理者は、実行時にアプリが通知なしでアクセス権を付与する証明書を指定できます。(このサブ機能は現在サポートされていません)
- 証明書の選択は、すべてのユーザーに適用される単一の構成を可能にするための一般的なものである必要があります。各ユーザーには、ユーザー固有の ID 証明書を使用できます。
4.9.2. IT 管理者は、マネージド キーストアから通知なく証明書を削除できます。
4.9.3. IT 管理者は CA 証明書を自動的にアンインストールできます。(このサブ機能は現在サポートされていません)
4.9.4. IT 管理者は、ユーザーがマネージド キーストアで認証情報を構成する(credentialsConfigDisabled に移動)できないようにします。
4.9.5. IT 管理者は ChoosePrivateKeyRule を使用して仕事用アプリの証明書を事前に付与できます。
4.10. 委任された証明書管理
IT 管理者は、サードパーティの証明書管理アプリをデバイスに配布し、そのアプリに、マネージド キーストアに証明書をインストールするための特権アクセス権を付与できます。
4.10.1. IT 管理者は、証明書管理パッケージ(delegatedCertInstallerPackage に移動)を指定して、委任された証明書管理アプリに設定できます。
- EMM は既知の証明書管理パッケージをオプションで提案できますが、IT 管理者が該当するユーザーに対して、インストール可能なアプリのリストから選択できるようにする必要があります。
4.11. 高度な VPN 管理
IT 管理者は、常時接続 VPN を指定して、指定した管理対象アプリのデータが常に設定されたバーチャル プライベート ネットワーク(VPN)を通過するようにできます。
4.11.1. IT 管理者は、任意の VPN パッケージを指定して常時接続 VPN に設定できます。
- EMM のコンソールでは、常時接続 VPN をサポートする既知の VPN パッケージを必要に応じて提案できますが、常時接続構成で利用可能な VPN を任意のリストに制限することはできません。
4.11.2. IT 管理者は、管理対象構成を使用して、アプリの VPN 設定を指定できます。
4.12. IME 管理
IT 管理者は、デバイスに設定できる入力方法(IME)を管理できます。IME は仕事用プロファイルと個人用プロファイルの両方で共有されるため、IME の使用をブロックすると、ユーザーはその IME を個人用でも許可できなくなります。ただし、IT 管理者は仕事用プロファイルでのシステム IME の使用をブロックできません(詳しくは、高度な IME 管理をご覧ください)。
4.12.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods に移動)を設定できます(システム以外の IME をブロックする空のリストを含む)。この許可リストには任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに登録する既知の IME または推奨される IME を必要に応じて提案できますが、IT 管理者は該当するユーザーがインストール可能なアプリのリストから選択できるようにする必要があります。
4.12.2. EMM は、仕事用プロファイルが設定されたデバイスの管理からシステム IME が除外されていることを IT 管理者に知らせる必要があります。
4.13. 高度な IME 管理
IT 管理者は、ユーザーがデバイスに設定できる入力方法(IME)を管理できます。高度な IME 管理は、システム IME の使用(デバイスのメーカーや携帯通信会社が通常提供するデバイス)も IT 管理者が管理できるようにすることで、基本機能が拡張されます。
4.13.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods に移動)を設定できます(空のリストではシステム IME を含むすべての IME をブロックします)。これには任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに登録する既知の IME または推奨される IME を必要に応じて提案できますが、IT 管理者は該当するユーザーがインストール可能なアプリのリストから選択できるようにする必要があります。
4.13.2. IT 管理者が空の許可リストを設定できないようにする必要があります。この設定により、システム IME を含むすべての IME がデバイス上でセットアップできなくなります。
4.13.3. EMM は、IME 許可リストにシステム IME が含まれていない場合、許可リストがデバイスに適用される前にサードパーティの IME がサイレント インストールされるようにする必要があります。
4.14. ユーザー補助サービスの管理
IT 管理者は、ユーザーがデバイスで許可するユーザー補助サービスを管理できます。ユーザー補助サービスは、障がいのあるユーザーや、一時的にデバイスを十分に操作できないユーザーにとって便利なツールです。しかし、会社のポリシーに違反する方法で企業データを操作する可能性もあります。IT 管理者はこの機能を使って、システム以外のユーザー補助サービスを無効にできます。
4.14.1. IT 管理者は、任意の長さのユーザー補助サービスの許可リスト(permittedAccessibilityServices にアクセス)を設定できます(システム以外のユーザー補助サービスをブロックする空のリストを含む)。この許可リストには、任意のユーザー補助サービス パッケージを含めることができます。仕事用プロファイルに適用すると、個人用プロファイルと仕事用プロファイルの両方に影響します。
- コンソールでは必要に応じて、許可リストに含める既知のまたは推奨のユーザー補助サービスを提案できますが、IT 管理者は該当するユーザーが、インストール可能なアプリのリストから選択できるようにする必要があります。
4.15. 現在地の共有の管理
IT 管理者は、ユーザーが仕事用プロファイルのアプリと位置情報を共有できないよう制限できます。それ以外の場合は、[設定] で仕事用プロファイルの位置情報を設定できます。
4.15.1. IT 管理者は、仕事用プロファイル内で位置情報サービスを無効(shareLocationDisabled に移動)できます。
4.16. 現在地の共有の高度な管理
IT 管理者は、特定の現在地の共有設定を管理対象デバイスに適用できます。この機能により、企業アプリの位置情報が常に正確になります。また、位置情報の設定をバッテリー節約モードに制限して、余分なバッテリーを消費しないようにすることもできます。
4.16.1. IT 管理者は、次の各モードにデバイスの位置情報サービスを設定できます。
- 高精度] をタップします。
- センサーのみ(GPS など)。ネットワークが提供する位置情報は含まれません。
- バッテリー節約。更新頻度を制限します。
- オフ。
4.17. 初期状態へのリセットの保護の管理
IT 管理者は、権限のないユーザーがデバイスを初期状態にリセットできないようにすることで、会社所有のデバイスを盗難から保護できます。初期状態へのリセット保護機能によってデバイスが IT 部門に返却されるときに運用が複雑になる場合、IT 管理者は、出荷時設定へのリセット保護機能を完全にオフにできます。
4.17.1. IT 管理者は、[設定] からユーザーがデバイスを初期状態にリセットできないようにする(factoryResetDisabled に移動)できます。
4.17.2. IT 管理者は、出荷時の設定にリセットした後、デバイスのプロビジョニングを許可する企業のロック解除アカウントを指定できます(frpAdminEmails に移動)。
- このアカウントは、個人に関連付けることも、企業全体でデバイスのロックを解除するために使用することもできます。
4.17.3. IT 管理者は、指定したデバイスの出荷時設定へのリセット保護機能を無効(0 factoryResetDisabled に移動)できます。
4.17.4. IT 管理者はリモート デバイスのワイプを開始できます。このワイプは必要に応じてリセット保護データをワイプし、リセットデバイスの出荷時設定へのリセット保護を解除します。
4.18. 高度なアプリ コントロール
IT 管理者は、[設定] から、ユーザーが管理対象アプリをアンインストールしたり、その他の変更を行ったりするのを防止できます。たとえば、アプリの強制終了やアプリのデータ キャッシュの消去などです。
4.18.1. IT 管理者は、任意の管理対象アプリまたはすべての管理対象アプリのアンインストールをブロックできます(uninstallAppsDisabled に移動)。
4.18.2. IT 管理者は、ユーザーが [設定] からアプリケーション データを変更できないようにすることができます。(Android Management API はこのサブ機能をサポートしていません)
4.19. スクリーン キャプチャの管理
IT 管理者は、ユーザーが管理対象アプリを使用しているときにスクリーンショットが撮影されないようにブロックできます。 この設定には、システムのスクリーンショット機能を利用する画面共有アプリや同様のアプリ(Google アシスタントなど)のブロックも含まれます。
4.19.1. IT 管理者は、ユーザーによるスクリーンショットのキャプチャを禁止できます(screenCaptureDisabled に移動)。
4.20. カメラを無効にする
IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます。
4.20.1. IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にすることができます(cameraDisabled に移動)。
4.21. ネットワーク統計情報の収集
現在、Android Management API はこの機能をサポートしていません。
4.22. 高度なネットワーク統計情報の収集
現在、Android Management API はこの機能をサポートしていません。
4.23. デバイスの再起動
IT 管理者は管理対象デバイスをリモートで再起動できます。
4.23.1. IT 管理者は、管理対象デバイスをリモートで再起動できます。
4.24. システムラジオ管理
IT 管理者は、システム ネットワークの無線通信と関連する使用ポリシーをポリシーを介してきめ細かく管理できます。
4.24.1. IT 管理者は、サービス プロバイダからの緊急速報メールをオフにできます(cellBroadcastsConfigDisabled を参照)。
4.24.2. IT 管理者は、ユーザーが [設定] でモバイル ネットワーク設定を変更できないようにすることができます([mobileNetworksConfigDisabled] に移動)。
4.24.3. IT 管理者は、ユーザーが [設定] ですべてのネットワーク設定をリセットできないようにすることができます。(networkResetDisabled に移動)。
4.24.4. IT 管理者は、デバイスでローミング中のモバイルデータを許可するかどうかを設定できます(dataRoamingDisabled に移動)。
4.24.5. IT 管理者は、緊急通報以外のデバイスの発信を許可するかどうかを設定できます(outGoingCallsDisabled を参照)。
4.24.6. IT 管理者は、デバイスでテキスト メッセージの送受信を許可するかどうかを設定できます(smsDisabled に移動)。
4.24.7. IT 管理者は、ユーザーがテザリングでデバイスをポータブル アクセス ポイントとして使用できないようにできます(tetheringConfigDisabled に移動)。
4.24.8. IT 管理者は、Wi-Fi タイムアウトをデフォルト、電源に接続中、または常時設定できます。(Android Management API はこのサブ機能をサポートしていません)
4.24.9. IT 管理者は、ユーザーが既存の Bluetooth 接続を設定または変更できないようにすることができます(bluetoothConfigDisabled に移動)。
4.25. システム音声管理
IT 管理者は、デバイスのミュート、ユーザーによる音量設定の変更の禁止、ユーザーによるデバイスのマイクのミュート解除の防止など、デバイスのオーディオ機能をサイレント制御できます。
4.25.1. IT 管理者は、管理対象デバイスを通知なくミュートできます。(Android Management API はこのサブ機能をサポートしていません)
4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにすることができます(adjustVolumeDisabled にアクセス)。これにより、デバイスがミュートされます。
4.25.3. IT 管理者は、ユーザーがデバイスのマイクのミュートを解除できないようにすることができます(unmuteMicrophoneDisabled に移動)。
4.26. システム クロックの管理
IT 管理者は、デバイスの時計とタイムゾーンの設定を管理し、ユーザーが自動デバイス設定を変更できないようにします。
4.26.1. IT 管理者はシステムの自動時刻と自動タイムゾーンを強制適用して、ユーザーがデバイスの日付、時刻、タイムゾーンを設定できないようにすることが可能です。
4.27. 専用デバイスの高度な機能
専用デバイスの場合、IT 管理者はポリシーを使用して次の機能を管理して、さまざまなキオスクのユースケースをサポートできます。
4.27.1. IT 管理者はデバイスのキーガードをオフにできます(keyguardDisabled に移動)。
4.27.2. IT 管理者は、デバイス ステータスバーをオフにして、通知やクイック設定をブロックできます(statusBarDisabled に移動)。
4.27.3. IT 管理者は、デバイスを電源に接続している間、デバイスの画面をオンのままにすることができます(stayOnPluggedModes に移動)。
4.27.4. IT 管理者は、次のシステム UI の表示を禁止できます(createWindowsDisabled に移動)。
- トースト
- アプリケーション オーバーレイ。
4.27.5. IT 管理者は、初回起動時にアプリのシステム推奨事項でユーザー チュートリアルやその他の入門のヒントをスキップすることを許可できます(skip_first_use_hints に移動)。
4.28. 委任されたスコープ管理
IT 管理者は、追加の権限を個々のパッケージに委任できます。
4.28.1. IT 管理者は、次のスコープを管理できます。
- 証明書のインストールと管理
- マネージド構成管理
- ネットワーク ロギング
- セキュリティ ロギング
4.29. 登録固有の ID のサポート
Android 12 以降、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、初期状態にリセットしても保持される登録固有の ID を介して、仕事用プロファイルが設定されたデバイスのライフサイクルを追跡できます。
4.29.1. IT 管理者は登録固有の ID を取得できます。
4.29.2. この登録固有の ID は、出荷時の設定にリセットしても保持される必要があります
5. デバイスのユーザビリティ
5.1. 管理対象プロビジョニングのカスタマイズ
IT 管理者は、デフォルトの設定フローの UX を変更して、企業固有の機能を含めることができます。IT 管理者は、プロビジョニング時に EMM 提供のブランディングを表示することもできます。
5.1.1. IT 管理者は、企業固有の利用規約とその他の免責条項を指定することで、プロビジョニング プロセスをカスタマイズできます(termsAndConditions に移動)。
5.1.2. IT 管理者は、構成不可の EMM 固有の利用規約とその他の免責条項をdeployできます(termsAndConditions に移動)。
- EMM では、構成不可で EMM 固有のカスタマイズをデプロイのデフォルトに設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。
5.1.3 Android 10 以降のエンタープライズ リソースでは、primaryColor が非推奨になりました。
5.2. 企業向けのカスタマイズ
Android Management API はこの機能をサポートしていません。
5.3. 企業向けの高度なカスタマイズ
Android Management API はこの機能をサポートしていません。
5.4. ロック画面メッセージ
IT 管理者は、デバイスのロック画面に常に表示され、デバイスのロック解除を表示する必要がないカスタム メッセージを設定できます。
5.4.1. IT 管理者はカスタムのロック画面メッセージを設定できます(deviceOwnerLockScreenInfo をご覧ください)。
5.5. ポリシーの透明性管理
IT 管理者は、ユーザーがデバイスで管理対象設定を変更しようとしたときや、EMM から提供される一般的なサポート メッセージをデプロイしようとしたときに表示されるヘルプテキストをカスタマイズできます。短いサポート メッセージと長いサポート メッセージの両方がカスタマイズでき、IT 管理者がすでにアンインストールをブロックしている管理対象アプリをアンインストールしようとした場合などに表示されます。
5.5.1. IT 管理者は、ユーザー向けのサポート メッセージの短文と長をカスタマイズできます。
5.5.2. IT 管理者は、構成不可の EMM 固有の短い / 長いサポート メッセージをデプロイできます(policies の shortSupportMessage と longSupportMessage に移動)。
- EMM では、構成不可の EMM 固有のサポート メッセージをデプロイ時のデフォルトに設定できますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。
5.6. クロス プロファイル連絡先管理
5.6.1. IT 管理者は、個人用プロファイルの連絡先の検索と着信への仕事用の連絡先の表示を無効にすることができます。
5.6.2. IT 管理者は、自動車やヘッドセットでのハンズフリー通話など、仕事用の連絡先の Bluetooth での連絡先の共有を無効にできます。
5.7. クロス プロファイル データ管理
IT 管理者は、仕事用プロファイルと個人用プロファイルの間で共有されるデータの種類を管理できるため、管理者は要件に応じてユーザビリティとデータ セキュリティのバランスを取ることができます。
5.7.1. IT 管理者は、個人用アプリが仕事用プロファイルのインテント(共有インテントやウェブリンクなど)を解決できるように、クロス プロファイル データ共有ポリシーを構成できます。
5.7.2. Android Management API では、仕事用ウィジェットの管理はまだご利用いただけません。
5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイル間でのコピーと貼り付けの機能を管理できます。
5.8. システム アップデート ポリシー
IT 管理者は、無線(OTA)システム アップデート デバイスを設定して適用できます。
5.8.1. IT 管理者は EMM のコンソールで次の OTA 構成を設定できます。
- 自動: デバイスは OTA アップデートが利用可能になると受信します。
- 延期: IT 管理者は、OTA アップデートを最大 30 日間延期できる必要があります。このポリシーは、セキュリティ アップデート(毎月のセキュリティ パッチなど)には影響しません。
- 期間指定: IT 管理者は、毎日のメンテナンスの時間枠内に OTA アップデートをスケジュールできる必要があります。
5.8.2. OTA 設定は、ポリシーを介してデバイスに適用されます。
5.9. ロックタスク モードの管理
IT 管理者は、1 つまたは複数のアプリを画面にロックし、ユーザーがアプリを終了できないようにします。
5.9.1. IT 管理者は EMM のコンソールを使用して、任意のアプリのセットをサイレント モードでデバイスにインストールし、デバイスをロックできます。ポリシーにより、専用デバイスのセットアップが許可されます。
5.10. 永続的な優先アクティビティ管理
IT 管理者は、特定のインテント フィルタに一致するインテントのデフォルト インテント ハンドラとしてアプリを設定できます。たとえば、IT 管理者はこの機能を使用して、ウェブリンクを自動的に開くブラウザアプリを選択できます。この機能では、ホームボタンをタップしたときに使用するランチャー アプリを管理できます。
5.10.1. IT 管理者は、任意のインテント フィルタに対して、任意のパッケージをデフォルトのインテント ハンドラとして設定できます。
- EMM のコンソールでは、構成の既知のインテントまたは推奨インテントを任意で提案できますが、インテントを任意のリストに制限することはできません。
- IT 管理者が EMM のコンソールで、該当するユーザーがインストールできるアプリのリストから選択できるようにする必要があります。
5.11. キーガード機能管理
IT 管理者は、デバイスのキーガード(ロック画面)や仕事用チャレンジ キーガード(ロック画面)のロックを解除する前にユーザーが利用できる機能を管理できます。
5.11.1.ポリシーにより、次のデバイス キーガード機能をオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
- 未編集の通知
5.11.2. 仕事用プロファイルの次のキーガード機能は、ポリシーでオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
5.12. 高度なキーガード機能管理
- カメラを保護
- すべての通知
- 未編集
- 信頼エージェント
- 指紋認証
- すべてのキーガード機能
5.13. リモートデバッグ
現在、Android Management API はこの機能をサポートしていません。
5.14. MAC アドレスの取得
EMM は、デバイスの MAC アドレスを通知なく取得して、企業インフラストラクチャの他の部分にあるデバイスを識別する目的で使用できます(ネットワーク アクセス制御用のデバイスを識別する場合など)。
5.14.1. EMM は、デバイスの MAC アドレスを通知なく取得し、EMM のコンソールでデバイスに関連付けることができます。
5.15. ロックタスク モードの高度な管理
IT 管理者は、専用デバイスで EMM のコンソールを使用して次のタスクを実行できます。
5.15.1. 1 つのアプリのインストールとデバイスへのロックを通知なしで許可します。
5.15.2. 次のシステム UI 機能をオンまたはオフにします。
- ホームボタン
- 概要
- グローバル アクション
- 通知
- システム情報 / ステータスバー
- キーガード(ロック画面)。このサブ機能は、5.15.1 が実装されるとデフォルトで有効になります。
5.15.3. [システムエラー ダイアログ] をオフにします。
5.16. 高度なシステム アップデート ポリシー
IT 管理者は、デバイスのシステム アップデートをブロックする凍結期間を指定できます。
5.16.1. IT 管理者は EMM のコンソールで、指定した凍結期間の間、無線(OTA)システム アップデートをブロックできるようにする必要があります。
5.17. 仕事用プロファイル ポリシーの透明性管理
IT 管理者は、デバイスから仕事用プロファイルを削除する際にユーザーに表示されるメッセージをカスタマイズできます。
5.17.1. IT 管理者は、仕事用プロファイルがワイプされたときに表示するカスタム テキストを指定できます(wipeReasonMessage に移動)。
5.18. 接続済みのアプリのサポート
IT 管理者は、ConnectedWorkAndPersonalApp を設定することで、仕事用プロファイルの境界を越えて通信できるパッケージのリストを設定できます。
5.19. 手動システム アップデート
Android Management API はこの機能をサポートしていません。
6. デバイス管理のサポート終了
6. デバイス管理のサポート終了
EMM の皆様には、2022 年末までに、GMS デバイスのデバイス管理に関するカスタマー サポートを 2023 年第 1 四半期末までに終了する予定をお送りいただく必要があります。