このページでは、Android Enterprise のすべての機能を一覧表示します。
500 台を超えるデバイスを管理する場合、EMM ソリューションを商用化するには、少なくとも 1 つのソリューション セットのすべての標準機能()に対応している必要があります。標準機能の検証に合格した EMM ソリューションは、標準管理セットを提供しているとして、Android の企業向けソリューション ディレクトリに掲載されます。
ソリューション セットごとに、追加の高度な機能が利用できます。これらの機能は、各ソリューション セットのページに個人所有デバイスの仕事用プロファイル、会社所有デバイスの仕事用プロファイル、完全管理対象デバイス、専用デバイスと記載されています。高度な機能の検証に合格した EMM ソリューションは、Android の企業向けソリューション ディレクトリに、高度な管理セットを提供するものとして掲載されます。
キー
| 標準機能 | 上級者向け機能 | オプション機能 | 該当なし |
1. デバイスのプロビジョニング
1.1. DPC ファーストの仕事用プロファイルのプロビジョニング
Google Play から Android Device Policy をダウンロードした後、ユーザーは仕事用プロファイルをプロビジョニングできます。
1.1.1. EMM は、このプロビジョニング方法をサポートするために IT 管理者に QR コードまたはアクティベーション コードを提供します( デバイスの登録とプロビジョニングに進みます)。
1.2. DPC ID によるデバイスのプロビジョニング
デバイスのセットアップ ウィザードの [afw#] に入力すると、完全管理対象デバイスまたは専用デバイスがプロビジョニングされます。
1.2.1. EMM は、このプロビジョニング方法をサポートする QR コードまたはアクティベーション コードを IT 管理者に提供します(デバイスの登録とプロビジョニングに進みます)。
1.3. NFC デバイスのプロビジョニング
IT 管理者は、Play EMM API デベロッパー ドキュメントで定義されている実装ガイドラインに従って、NFC タグを使用して新しいデバイスまたは出荷時の設定にリセットしたデバイスをプロビジョニングできます。
1.3.1. EMM は、888 バイト以上のメモリを備えた NFC フォーラム タイプ 2 タグを使用する必要があります。プロビジョニングでは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID など、機密性の高いものではない登録情報をデバイスに渡す必要があります。登録情報には、パスワードや証明書などの機密情報は含めないでください。
1.3.2. Android 10 以降では NFC ビーム(NFC バンプ)が非推奨になっているため、NFC タグの使用をおすすめします。
1.4. QR コードによるデバイスのプロビジョニング
EMM のコンソールでは、 Android Management API デベロッパー向けドキュメントで定義されている実装ガイドラインに従って、IT 管理者がスキャンしてフルマネージド デバイスまたは専用デバイスをプロビジョニングできる QR コードを生成できます。
1.4.1. QR コードは、機密性のない登録情報(サーバー ID、登録 ID など)をデバイスに渡すために、プロビジョニング エクストラを使用する必要があります。登録情報には、パスワードや証明書などの機密情報を含めてはなりません。
1.5. ゼロタッチ登録
IT 管理者は、正規販売パートナーから購入したデバイスを事前構成し、EMM コンソールを使用して管理できます。
1.5.1. IT 管理者は、ゼロタッチ登録: IT 管理者向けで説明されているゼロタッチ登録方法を使用して、会社所有デバイスをプロビジョニングできます。
1.5.2. デバイスを初めてオンにすると、IT 管理者が定義した設定が自動的に適用されます。
1.6. 高度なゼロタッチ プロビジョニング
IT 管理者は、ゼロタッチ登録を使用してデバイス登録プロセスの大部分を自動化できます。IT 管理者は、ログイン URL と組み合わせて、EMM が提供する構成オプションに従って、登録を特定のアカウントまたはドメインに制限できます。
1.6.1. IT 管理者は、ゼロタッチ登録方法を使用して会社所有デバイスをプロビジョニングできます。
1.6.2. この要件は非推奨となりました。
1.6.3. EMM は、ログイン URL を使用して、不正なユーザーが有効化を進められないことを確認する必要があります。少なくとも、特定の企業のユーザーにのみ有効化を制限する必要があります。
1.6.4. EMM は、ログイン URL を使用して、IT 管理者が一意のユーザー情報やデバイス情報(ユーザー名/パスワード、有効化トークンなど)以外の登録情報を事前に入力できるようにする必要があります。これにより、ユーザーはデバイスの有効化時に詳細情報を入力する必要がなくなります。
- EMM は、ゼロタッチ登録の構成にパスワードや証明書などの機密情報を含めてはなりません。
1.7. Google アカウントの仕事用プロファイルのプロビジョニング
管理対象の Google ドメインを使用している企業の場合、この機能により、デバイスのセットアップ時またはすでに有効になっているデバイスで、企業の Workspace 認証情報を入力した後に、仕事用プロファイルのセットアップを案内します。どちらの場合も、企業の Workspace ID は仕事用プロファイルに移行されます。
1.8. Google アカウント デバイスのプロビジョニング
Android Management API はこの機能をサポートしていません。
1.9. 直接ゼロタッチ設定
IT 管理者は、EMM のコンソールを使用して、ゼロタッチ iframe を使用してゼロタッチ デバイスを設定できます。
1.10. 会社所有デバイス上の仕事用プロファイル
EMM は、[AllowPersonalUsage] を設定することで、仕事用プロファイルが設定された会社所有デバイスを登録できます。
1.10.1. 意図的に空白。
1.10.2. IT 管理者は、PersonalUsagePolicies を使用して、会社所有デバイスの仕事用プロファイルのコンプライアンス アクションを設定できます。
1.10.3. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。
1.10.4. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でスクリーン キャプチャを無効にできます。
1.10.5. IT 管理者は、PersonalApplicationPolicy を使用して、個人用プロファイルにインストールできないアプリのブロックリストを設定できます。
1.10.6. IT 管理者は、仕事用プロファイルを削除するか、デバイス全体をワイプすることで、会社所有デバイスの管理を放棄できます。
1.11. 専用デバイスのプロビジョニング
EMM は、ユーザーに Google アカウントで認証を求めることなく、専用デバイスを登録できます。
2. デバイスのセキュリティ
2.1. デバイスのセキュリティに関する課題
IT 管理者は、管理対象デバイスに事前定義された 3 つの複雑さレベルからデバイスのセキュリティ チャレンジ(PIN/パターン/パスワード)を設定して適用できます。
2.1.1. ポリシーで、デバイスのセキュリティ上の課題を管理する設定(仕事用プロファイルの parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの passwordRequirements)を適用する必要があります。
2.1.2. パスワードの複雑さは、次のパスワードの複雑さにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 反復(4444)または連続(1234、4321、2468)する文字列を含むパターンまたは PIN。
- PASSWORD_COMPLEXITY_MEDIUM - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まない PIN、または長さが 4 文字以上の英字または英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まず、長さが 8 文字以上の PIN、または長さが 6 文字以上の英字または英数字のパスワード
2.1.3. 会社所有デバイスでは、従来の設定として追加のパスワード制限を適用することもできます。
2.2. 仕事のセキュリティに関する問題
IT 管理者は、仕事用プロファイル内のアプリとデータに対して、デバイスのセキュリティ チャレンジ(2.1)とは別に、異なる要件を持つセキュリティ チャレンジを設定して適用できます。
2.2.1. ポリシーで、仕事用プロファイルのセキュリティに関する問題を適用する必要があります。
- デフォルトでは、スコープが指定されていない場合、IT 管理者は仕事用プロファイルにのみ制限を設定する必要があります。
- IT 管理者は、スコープを指定してデバイス全体に設定できます(要件 2.1 を参照)。
2.2.2. パスワードの複雑さは、次の事前定義されたパスワードの複雑さにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 反復(4444)または連続(1234、4321、2468)する文字列を含むパターンまたは PIN。
- PASSWORD_COMPLEXITY_MEDIUM - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まない PIN、または長さが 4 文字以上の英字または英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まず、長さが 8 文字以上の PIN、または長さが 6 文字以上の英字または英数字のパスワード
2.2.3. その他のパスワード制限を従来の設定として適用することもできます。
2.3. 高度なパスコード管理
IT 管理者は、デバイスで高度なパスワード設定を設定できます。
2.3.1. 意図的に空白。
2.3.2. 意図的に空白。
2.3.3. デバイスで使用可能なロック画面ごとに、次のパスワードのライフサイクル設定を設定できます。
- 意図的に空白
- 意図的に空白
- ワイプ時のパスワードの失敗回数の上限: デバイスから企業データがワイプされるまでに、ユーザーが間違ったパスワードを入力できる回数を指定します。IT 管理者がこの機能を無効にできる必要があります。
2.3.4. (Android 8.0 以降)強力な認証が必要なタイムアウト: IT 管理者が設定したタイムアウト期間が経過すると、強力な認証パスコード(PIN やパスワードなど)を入力する必要があります。タイムアウト期間が経過すると、厳格な認証パスコードでデバイスのロックを解除するまで、厳格でない認証方法(指紋認証、顔認証など)はオフになります。
2.4. スマートロックの管理
IT 管理者は、Android の Smart Lock 機能の Trust Agent がデバイスのロック解除を最大 4 時間延長することを許可するかどうかを管理できます。
2.4.1. IT 管理者は、デバイスで信頼エージェントを無効にできます。
2.5. ワイプとロック
IT 管理者は EMM のコンソールを使用して、管理対象デバイスから仕事用データをリモートでロックしてワイプできます。
2.5.1. デバイスは Android Management API を使用してロックする必要があります。
2.5.2. デバイスは Android Management API を使用してワイプする必要があります。
2.6. コンプライアンスの適用
デバイスがセキュリティ ポリシーに準拠していない場合、Android Management API によって設定されたコンプライアンス ルールにより、仕事用データの使用が自動的に制限されます。
2.6.1. デバイスに適用されるセキュリティ ポリシーには、少なくともパスワード ポリシーを含める必要があります。
2.7. デフォルトのセキュリティ ポリシー
EMM は、IT 管理者が EMM のコンソールで設定やカスタマイズを行うことなく、デバイスに指定されたセキュリティ ポリシーをデフォルトで適用する必要があります。EMM では、IT 管理者がこれらのセキュリティ機能のデフォルト状態を変更できないようにすることをおすすめします(必須ではありません)。
2.7.1. 仕事用プロファイルを設定した Android 8.0 以降のデバイスの個人用側にインストールされたアプリを含め、提供元不明のアプリのインストールをブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.7.2. デバッグ機能はブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.8. 専用デバイスのセキュリティ ポリシー
ロックダウンされた専用デバイスに対して、他の操作は許可されません。
2.8.1. セーフモードでの起動は、デフォルトでポリシーを使用してオフにする必要があります(safeBootDisabled に移動)。
2.9. Play Integrity サポート
Play Integrity チェックはデフォルトで行われます。追加の実装は必要ありません。
2.9.1. 意図的に空白。
2.9.2. 意図的に空白。
2.9.3. IT 管理者は、デバイスの SecurityRisk の値に基づいて、プロビジョニングのブロック、企業データのワイプ、登録の許可など、さまざまなポリシー レスポンスを設定できます。
- EMM サービスは、各完全性チェックの結果に対してこのポリシー レスポンスを適用します。
2.9.4. 意図的に空白。
2.10. アプリの確認の適用
IT 管理者は、デバイスで [アプリの確認] をオンにできます。アプリの確認は、Android デバイスにインストールされているアプリをインストール前とインストール後にスキャンし、悪意のあるアプリが企業データを侵害できないようにします。
2.10.1. [アプリの確認] は、ポリシーを使用してデフォルトで有効にする必要があります(ensureVerifyAppsEnabled に移動)。
2.11. ダイレクト ブートのサポート
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
2.12. ハードウェア セキュリティ管理
IT 管理者は、会社所有デバイスのハードウェア要素をロックダウンして、データ損失を防止できます。
2.12.1. IT 管理者は、ポリシーを使用して、ユーザーが物理的な外部メディアをマウントできないようにできます(mountPhysicalMediaDisabled に移動)。
2.12.2. IT 管理者は、ポリシーを使用して、ユーザーが NFC ビームを使用してデバイスからデータを共有できないようにできます(outgoingBeamDisabled に移動)。Android 10 以降では NFC ビーム機能がサポートされていないため、このサブ機能は省略可能です。
2.12.3. IT 管理者は、ポリシーを使用して、ユーザーによる USB 経由のファイル転送をブロックできます(usbFileTransferDisabled に移動)。
2.13. エンタープライズ セキュリティ ロギング
Android Management API はこの機能をサポートしていません。
3. アカウントとアプリの管理
3.1. エンタープライズ バインディング
IT 管理者は EMM を組織にバインドして、EMM が managed Google Play を使用してデバイスにアプリを配布できるようにします。
3.1.1. 管理対象の Google ドメインがすでにある管理者は、ドメインを EMM にバインドできます。
3.1.2. 意図的に空白。
3.1.3. 意図的に空白。
3.1.4. EMM コンソールでは、Android の登録フローで仕事用メールアドレスを入力するよう管理者に案内し、Gmail アカウントの使用を推奨しません。
3.1.5. EMM によって、Android の登録フローに管理者のメールアドレスが事前入力されます。
3.2. managed Google Play アカウントのプロビジョニング
EMM は、managed Google Play アカウントと呼ばれるエンタープライズ ユーザー アカウントをサイレント プロビジョニングできます。これらのアカウントは、管理対象ユーザーを識別し、ユーザーごとの一意のアプリ配信ルールを許可します。
3.2.1. managed Google Play アカウント(ユーザー アカウント)は、デバイスのプロビジョニング時に自動的に作成されます。
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
3.3. managed Google Play デバイス アカウントのプロビジョニング
EMM は、managed Google Play デバイス アカウントを作成してプロビジョニングできます。デバイス アカウントは、管理対象の Google Play ストアからアプリをサイレント インストールできます。また、単一のユーザーに関連付けられません。代わりに、デバイス アカウントを使用して、専用デバイスのシナリオでデバイスごとのアプリ配信ルールをサポートする単一のデバイスを識別します。
3.3.1. managed Google Play アカウントは、デバイスがプロビジョニングされると自動的に作成されます。
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
3.4. 以前のデバイス向けの managed Google Play アカウントのプロビジョニング
この機能は非推奨です。
3.5. アプリの自動配布
IT 管理者は、ユーザーの操作なしでデバイスに仕事用アプリを自動的に配布できます。
3.5.1. IT 管理者が管理対象デバイスに仕事用アプリをインストールできるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.5.2. IT 管理者が管理対象デバイス上の業務アプリを更新できるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.5.3. IT 管理者が管理対象デバイスでアプリをアンインストールできるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.6. 管理対象の構成管理
IT 管理者は、管理対象設定をサポートするアプリの管理対象設定を表示し、サイレント設定できます。
3.6.1. EMM のコンソールで、任意の Play アプリの管理対象構成設定を取得して表示できる必要があります。
3.6.2. EMM のコンソールでは、IT 管理者が Android Management API を使用して、任意の Play アプリに任意の構成タイプ(Android Enterprise フレームワークで定義されているもの)を設定できる必要があります。
3.6.3. EMM のコンソールで IT 管理者がワイルドカード($username$ や %emailAddress% など)を設定できるようにする必要があります。これにより、Gmail などのアプリの 1 つの設定を複数のユーザーに適用できます。
3.7. アプリ カタログの管理
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
3.8. プログラムによるアプリの承認
EMM のコンソールでは、managed Google Play iframe を使用して、Google Play のアプリ検出機能と承認機能をサポートしています。IT 管理者は、EMM のコンソールを離れることなく、アプリの検索、アプリの承認、新しいアプリ権限の承認を行うことができます。
3.8.1. IT 管理者は、managed Google Play iframe を使用して、EMM のコンソール内でアプリを検索し、承認できます。
3.9. 店舗レイアウトの基本的な管理
管理対象の Google Play ストア アプリを使用して、仕事用アプリをインストール、更新できます。 デフォルトでは、managed Google Play ストアには、ユーザーに対して承認されたアプリが 1 つのリストに表示されます。このレイアウトは基本的なストア レイアウトと呼ばれます。
3.9.1. EMM のコンソールを使用して、エンドユーザーの基本的なストア レイアウトに表示されるアプリを管理できます。
3.10. ストアの高度なレイアウト構成
3.10.1. IT 管理者は、managed Google Play ストア アプリに表示されるストアのレイアウトをカスタマイズできます。
3.11. アプリ ライセンスの管理
この機能は非推奨です。
3.12. Google ホスト型限定公開アプリの管理
IT 管理者は、Google Play Console ではなく EMM コンソールから Google がホストする限定公開アプリを更新できます。
3.12.1. IT 管理者は、すでに限定公開されているアプリの新しいバージョンを、次の方法で企業にアップロードできます。
3.13. セルフホストの限定公開アプリの管理
IT 管理者は、自己ホスト型の限定公開アプリを設定して公開できます。Google がホストする限定公開アプリとは異なり、Google Play は APK をホストしません。代わりに、EMM は IT 管理者が APK をホストできるように支援し、managed Google Play によって承認された場合にのみインストールできるようにすることで、セルフホスト アプリを保護します。
3.13.1. EMM のコンソールには、IT 管理者がアプリ APK をホストできるように、次の両方のオプションを提供する必要があります。
- EMM のサーバーに APK をホストする。サーバーはオンプレミスまたはクラウドベースにできます。
- 企業の裁量で、EMM のサーバー外に APK をホストする。IT 管理者は、APK がホストされている場所を EMM コンソールで指定する必要があります。
3.13.2. EMM のコンソールでは、提供された APK を使用して適切な APK 定義ファイルを生成し、IT 管理者に公開プロセスを案内する必要があります。
3.13.3. IT 管理者はセルフホストの限定公開アプリを更新できます。また、EMM のコンソールでは、Google Play Developer Publishing API を使用して、更新された APK 定義ファイルをサイレント パブリッシュできます。
3.13.4. EMM のサーバーは、限定公開アプリの公開鍵で検証された、リクエストの Cookie 内に有効な JWT を含むセルフホスト APK のダウンロード リクエストを処理します。
- このプロセスを容易にするため、EMM のサーバーは、IT 管理者が Google Play Console からセルフホスト アプリのライセンス公開鍵をダウンロードし、この鍵を EMM コンソールにアップロードするようガイドする必要があります。
3.14. EMM プル通知
この機能は Android Management API には適用されません。代わりに Pub/Sub 通知を設定します。
3.15. API の使用要件
EMM は Android Management API を大規模に実装し、本番環境で企業がアプリを管理する能力に悪影響を及ぼす可能性のあるトラフィック パターンを回避します。
3.15.1. EMM は Android Management API の使用上限を遵守する必要があります。これらのガイドラインを超える動作を修正しない場合、Google の裁量により API の使用が停止されることがあります。
3.15.2. EMM は、特定の時間帯や類似の時間帯に企業トラフィックを統合するのではなく、1 日を通して異なる企業からのトラフィックを分散する必要があります。登録された各デバイスのスケジュール設定されたバッチ オペレーションなど、このトラフィック パターンに適した動作は、Google の裁量により API の使用が停止される可能性があります。
3.15.3. EMM は、実際のエンタープライズ データを取得または管理しようとせず、一貫した、不完全な、または意図的に誤ったリクエストを実行してはなりません。このトラフィック パターンに該当する動作は、Google の裁量により、API の使用が停止される可能性があります。
3.16. 高度な管理対象設定の管理
EMM は、次の高度な管理対象構成管理機能をサポートしています。
3.16.1. EMM のコンソールでは、次の方法で、任意の Play アプリの最大 4 レベルのネストされた管理対象構成設定を取得して表示できる必要があります。
- managed Google Play iframe
- カスタム UI を作成します。
3.16.2. IT 管理者が設定した場合、EMM のコンソールで、アプリのフィードバック チャンネルから返されたフィードバックを取得して表示できる必要があります。
- EMM のコンソールで、IT 管理者が特定のフィードバック項目を、その項目の元となったデバイスとアプリに関連付けられる必要があります。
- EMM のコンソールで、IT 管理者が特定のメッセージ タイプ(エラー メッセージなど)のアラートやレポートを定期購入できるようにする必要があります。
3.16.3. EMM のコンソールから送信される値は、デフォルト値か、管理者が手動で設定した値のみにする必要があります。
- 管理対象設定の iframe、または
- カスタム UI。
3.17. ウェブアプリの管理
IT 管理者は EMM コンソールでウェブアプリを作成して配布できます。
3.17.1. EMM コンソールを使用すると、IT 管理者は次の方法でウェブアプリへのショートカットを配布できます。
- managed Google Play iframe
- または Android Management API を使用します。
3.18. managed Google Play アカウントのライフサイクル管理
EMM は、IT 管理者に代わって managed Google Play アカウントを作成、更新、削除し、アカウントの有効期限切れから自動的に復元できます。
この機能はデフォルトでサポートされています。追加の EMM 実装は必要ありません。
3.19. アプリケーション トラックの管理
3.19.1. IT 管理者は、特定のアプリに対してデベロッパーが設定したトラック ID のリストを取得できます。
3.19.2. IT 管理者は、アプリケーションで特定の開発トラックを使用するようにデバイスを設定できます。
3.20. 高度なアプリケーション更新管理
IT 管理者は、アプリの即時更新を許可するか、更新を 90 日間延期できます。
3.20.1. IT 管理者は、アプリが優先度の高いアプリの更新を使用して、更新の準備ができたときに更新できるようにすることができます。3.20.2. IT 管理者は、アプリのアップデートを 90 日間延期できるように設定できます。
3.21. プロビジョニング方法の管理
EMM は、プロビジョニング設定を生成して、エンドユーザーに配布する準備が整った形式(QR コード、ゼロタッチ設定、Google Play ストアの URL など)で IT 管理者に提示できます。
4. デバイス管理
4.1. ランタイム権限ポリシーの管理
IT 管理者は、仕事用アプリが行うランタイム権限リクエストに対するデフォルトの応答をサイレントで設定できます。
4.1.1. IT 管理者は、組織のデフォルトのランタイム権限ポリシーを設定するときに、次のオプションから選択できる必要があります。
- プロンプト(ユーザーが選択できるようにする)
- allow
- 拒否
EMM は、ポリシーを使用してこれらの設定を適用する必要があります。
4.2. ランタイム権限付与の状態の管理
デフォルトの実行時権限ポリシーを設定したら(4.1 に進む)、IT 管理者は、API 23 以降で構築された任意の仕事用アプリの特定の権限に対する応答をサイレントで設定できます。
4.2.1. IT 管理者は、API 23 以降でビルドされた仕事用アプリによってリクエストされた権限の付与状態(デフォルト、付与、拒否)を設定できる必要があります。EMM は、ポリシーを使用してこれらの設定を適用する必要があります。
4.3. Wi-Fi 構成管理
IT 管理者は、次のような管理対象デバイスに企業の Wi-Fi 構成をサイレント プロビジョニングできます。
4.3.1. ポリシーを使用した SSID。
4.3.2. パスワード(ポリシーを使用)。
4.4. Wi-Fi セキュリティ管理
IT 管理者は、次の高度なセキュリティ機能を含むデバイスにエンタープライズ Wi-Fi 構成をプロビジョニングできます。
4.4.1. ID
4.4.2. クライアント認証用の証明書
4.4.3. CA 証明書
4.5. Wi-Fi の高度な管理
IT 管理者は、管理対象デバイスの Wi-Fi 設定をロックダウンして、ユーザーが設定を作成したり、企業の設定を変更したりできないようにできます。
4.5.1. IT 管理者は、次のいずれかの構成でポリシーを使用して、企業の Wi-Fi 構成をロックダウンできます。
- ユーザーは、EMM によってプロビジョニングされた Wi-Fi 構成を変更することはできません(
wifiConfigsLockdownEnabledに移動)。ただし、ユーザーが構成できる独自のネットワーク(個人ネットワークなど)を追加、変更することはできます。 - ユーザーはデバイスで Wi-Fi ネットワークを追加または変更できません(
wifiConfigDisabledに進みます)。Wi-Fi 接続は、EMM によってプロビジョニングされたネットワークに限定されます。
4.6. アカウント管理
IT 管理者は、SaaS ストレージ、生産性向上アプリ、メールなどのサービスで、企業データにアクセスできるのは、承認された企業アカウントのみにすることができます。この機能がない場合、ユーザーは一般ユーザー向けアカウントもサポートする企業向けアプリに個人アカウントを追加し、企業データを個人アカウントと共有できます。
4.6.1. IT 管理者は、ユーザーがアカウントを追加または変更できないようにできます(modifyAccountsDisabled を参照)。
- デバイスにこのポリシーを適用する場合、EMM はプロビジョニングが完了する前にこの制限を設定する必要があります。これにより、ポリシーが施行される前にユーザーがアカウントを追加してこのポリシーを回避できないようにします。
4.7. Workspace アカウントの管理
Android Management API はこの機能をサポートしていません。
4.8. 証明書の管理
IT 管理者は、ID 証明書と認証局をデバイスにデプロイして、企業リソースの使用を許可できます。
4.8.1. IT 管理者は、PKI によって生成されたユーザー ID 証明書をユーザーごとにインストールできます。EMM のコンソールは、少なくとも 1 つの PKI と統合し、そのインフラストラクチャから生成された証明書を配布する必要があります。
4.8.2. IT 管理者は、管理対象キーストアに証明書認証局をインストールできます(caCerts を参照)。ただし、このサブ機能はサポートされていません。
4.9. 高度な証明書管理
IT 管理者は、特定の管理対象アプリが使用する証明書をサイレントで選択できます。また、この機能により、IT 管理者はアクティブなデバイスから CA と ID 証明書を削除し、ユーザーが管理対象キーストアに保存されている認証情報を変更できないようにすることができます。
4.9.1. デバイスに配布されるアプリについて、IT 管理者は、アプリが実行時にサイレントでアクセス権を付与される証明書を指定できます。(このサブ機能はサポートされていません)
- 証明書の選択は、すべてのユーザーに適用される単一の構成を許可できるほど汎用性が高い必要があります。各ユーザーにはユーザー固有の ID 証明書が付与されている場合があります。
4.9.2. IT 管理者は、管理対象キーストアから証明書を削除できます。
4.9.3. IT 管理者は、CA 証明書をサイレント アンインストールできます。(このサブ機能はサポートされていません)
4.9.4. IT 管理者は、ユーザーが管理対象キーストアで認証情報を構成できないようにできます(credentialsConfigDisabled に移動)。
4.9.5. IT 管理者は、ChoosePrivateKeyRule を使用して、仕事用アプリの証明書を事前に付与できます。
4.10. 委任された証明書管理
IT 管理者は、サードパーティの証明書管理アプリをデバイスに配布し、管理対象キーストアに証明書をインストールする特権アクセスをそのアプリに付与できます。
4.10.1. IT 管理者は、委任された証明書管理アプリとして設定する証明書管理パッケージ(delegatedCertInstallerPackage に移動)を指定できます。
- EMM は、既知の証明書管理パッケージを提案することもできますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。
4.11. 高度な VPN 管理
IT 管理者は常時接続 VPN を指定して、指定した管理対象アプリのデータが常に VPN の設定を通過するようにできます。
4.11.1. IT 管理者は、常時接続 VPN として設定する任意の VPN パッケージを指定できます。
- EMM のコンソールでは、常時接続 VPN をサポートする既知の VPN パッケージが提案される場合がありますが、常時接続の構成で使用できる VPN を任意のリストに制限することはできません。
4.11.2. IT 管理者は、管理対象設定を使用してアプリの VPN 設定を指定できます。
4.12. IME の管理
IT 管理者は、デバイスに設定できる入力方法(IME)を管理できます。IME は仕事用プロファイルと個人用プロファイルの両方で共有されるため、IME の使用をブロックすると、ユーザーは個人用でもその IME を使用できなくなります。ただし、IT 管理者は仕事用プロファイルでシステム IME の使用をブロックすることはできません(詳細については、IME の詳細な管理をご覧ください)。
4.12.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods に移動)を設定できます(システム以外の IME をブロックする空のリストを含む)。このリストには任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに登録する既知または推奨の IME が提案される場合がありますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。
4.12.2. EMM は、仕事用プロファイルが設定されたデバイスではシステム IME が管理から除外されることを IT 管理者に通知する必要があります。
4.13. IME の詳細管理
IT 管理者は、ユーザーがデバイスで設定できる入力方法(IME)を管理できます。高度な IME 管理は、IT 管理者がシステム IME の使用も管理できるようにすることで、基本機能を拡張します。システム IME は通常、デバイスのメーカーまたは携帯通信会社が提供します。
4.13.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods に移動)を設定できます(空のリストは除く。空のリストは、システム IME を含むすべての IME をブロックします)。このリストには、任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに登録する既知または推奨の IME が提案される場合がありますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。
4.13.2. EMM は、IT 管理者が空の許可リストを設定できないようにする必要があります。この設定により、システム IME を含むすべての IME がデバイスに設定されなくなります。
4.13.3. EMM は、IME 許可リストにシステム IME が含まれていない場合、デバイスに許可リストが適用される前にサードパーティの IME がサイレント インストールされるようにする必要があります。
4.14. ユーザー補助サービスの管理
IT 管理者は、ユーザーがデバイスで許可できるユーザー補助サービスを管理できます。ユーザー補助サービスは、障がいのあるユーザーや一時的にデバイスを十分に操作できないユーザーにとって強力なツールです。ただし、企業のポリシーに準拠していない方法で企業データを操作する可能性があります。この機能を使用すると、IT 管理者はシステム以外のユーザー補助サービスをオフにできます。
4.14.1. IT 管理者は、任意の長さのユーザー補助サービスの許可リスト(permittedAccessibilityServices に移動)を設定できます(システム以外のユーザー補助サービスをブロックする空のリストを含む)。このリストには、任意のユーザー補助サービス パッケージを含めることができます。仕事用プロファイルに適用すると、個人用プロファイルと仕事用プロファイルの両方に影響します。
- コンソールでは、許可リストに登録する既知または推奨のユーザー補助サービスを提案できますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。
4.15. 現在地の共有の管理
IT 管理者は、ユーザーが仕事用プロファイルのアプリと位置情報を共有できないようにすることができます。そうでない場合は、仕事用プロファイルの位置情報の設定を [設定] で構成できます。
4.15.1. IT 管理者は、仕事用プロファイル内で位置情報サービスを無効にできます([shareLocationDisabled] に移動)。
4.16. 現在地の共有の詳細な管理
IT 管理者は、管理対象デバイスに特定の現在地の共有設定を適用できます。 この機能により、企業アプリで常に高精度の位置情報が利用できるようになります。また、この機能では、位置情報の設定をバッテリー セーバー モードに制限することで、バッテリーの無駄な消費を防ぐこともできます。
4.16.1. IT 管理者は、デバイスの位置情報サービスを次の各モードに設定できます。
- 高精度] をタップします。
- センサーのみ(GPS など)。ネットワーク提供の位置情報は含まれません。
- バッテリー節約: 更新頻度を制限します。
- オフ。
4.17. 出荷時設定へのリセット保護機能の管理
IT 管理者は、不正なユーザーがデバイスを出荷時の設定にリセットできないようにすることで、会社所有のデバイスを盗難から保護できます。出荷時設定へのリセット保護機能により、デバイスが IT に返却されたときの運用が複雑になる場合は、IT 管理者が出荷時設定へのリセット保護機能を完全にオフにできます。
4.17.1. IT 管理者は、設定からデバイスを初期状態にリセットできないようにする(factoryResetDisabled に移動)ことができます。
4.17.2. IT 管理者は、初期状態にリセットした後にデバイスのプロビジョニングを許可された企業のロック解除アカウントを指定できます(frpAdminEmails に移動)。
- このアカウントは、個人に関連付けることも、企業全体で使用してデバイスのロックを解除することもできます。
4.17.3. IT 管理者は、指定したデバイスの出荷時設定へのリセット保護機能を無効にできます(0 factoryResetDisabled に移動)。
4.17.4. IT 管理者はリモート デバイスのワイプを開始して、必要に応じてリセット保護データをワイプし、リセットされたデバイスの出荷時設定へのリセット保護を削除できます。
4.18. アプリの詳細設定
IT 管理者は、ユーザーが設定から管理対象アプリをアンインストールしたり、変更したりできないようにできます。たとえば、アプリの強制終了やアプリのデータキャッシュの削除を防ぐことができます。
4.18.1. IT 管理者は、任意の管理対象アプリ、またはすべての管理対象アプリのアンインストールをブロックできます(uninstallAppsDisabled に移動)。
4.18.2. IT 管理者は、[設定] でユーザーがアプリデータを変更できないようにすることができます。(Android Management API はこのサブ機能をサポートしていません)
4.19. スクリーン キャプチャの管理
IT 管理者は、管理対象アプリの使用中にユーザーがスクリーンショットを撮れないようにできます。 この設定には、画面共有アプリや、システムのスクリーンショット機能を使用している類似のアプリ(Google アシスタントなど)のブロックが含まれます。
4.19.1. IT 管理者は、ユーザーによるスクリーンショットの撮影を禁止できます(screenCaptureDisabled に移動)。
4.20. カメラを無効にする
IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます。
4.20.1. IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます(cameraDisabled に移動)。
4.21. ネットワーク統計情報の収集
Android Management API はこの機能をサポートしていません。
4.22. 高度なネットワーク統計情報の収集
Android Management API はこの機能をサポートしていません。
4.23. デバイスの再起動
IT 管理者は、マネージド デバイスをリモートで再起動できます。
4.23.1. IT 管理者は、管理対象デバイスをリモートで再起動できます。
4.24. システム無線の管理
IT 管理者は、ポリシーを使用して、システム ネットワーク ラジオと関連する使用ポリシーをきめ細かく管理できます。
4.24.1. IT 管理者は、サービス プロバイダから送信される緊急速報メールをオフにできます(cellBroadcastsConfigDisabled に移動)。
4.24.2. IT 管理者は、[設定](mobileNetworksConfigDisabled に移動)で、ユーザーがモバイル ネットワーク設定を変更できないようにできます。
4.24.3. IT 管理者は、ユーザーが [設定] ですべてのネットワーク設定をリセットできないようにすることができます。(networkResetDisabled に移動)。
4.24.4. IT 管理者は、ローミング中にデバイスでモバイル データを許可するかどうかを設定できます(dataRoamingDisabled に移動)。
4.24.5. IT 管理者は、緊急通話以外にデバイスで発信できるかどうかを設定できます(outGoingCallsDisabled に進みます)。
4.24.6. IT 管理者は、デバイスでテキスト メッセージを送受信できるかどうかを設定できます(smsDisabled に移動)。
4.24.7. IT 管理者は、テザリングによってユーザーがデバイスをポータブル ホットスポットとして使用できないようにできます(tetheringConfigDisabled に移動)。
4.24.8. IT 管理者は、Wi-Fi のタイムアウトをデフォルト、電源に接続しているとき、または無効に設定できます。(Android Management API はこのサブ機能をサポートしていません)
4.24.9. IT 管理者は、ユーザーが既存の Bluetooth 接続を設定または変更できないようにできます(bluetoothConfigDisabled に移動)。
4.25. システム音声の管理
IT 管理者は、デバイスのミュート、ユーザーによる音量設定の変更の防止、デバイスのマイクのマウントの解除の防止など、デバイスの音声機能をサイレントで制御できます。
4.25.1. IT 管理者は、管理対象デバイスをサイレントでミュートできます。(Android Management API はこのサブ機能をサポートしていません)
4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにすることができます(adjustVolumeDisabled に移動)。これにより、デバイスの音声もミュートされます。
4.25.3. IT 管理者は、ユーザーがデバイスのマイクをミュート解除できないように設定できます(unmuteMicrophoneDisabled に移動)。
4.26. システム クロックの管理
IT 管理者は、デバイスの時計とタイムゾーンの設定を管理し、ユーザーによるデバイスの自動設定の変更を防止できます。
4.26.1. IT 管理者は、システムの自動時刻と自動タイムゾーンを適用して、ユーザーがデバイスの日時とタイムゾーンを設定できないようにすることができます。
4.27. 専用デバイスの高度な機能
専用デバイスの場合、IT 管理者はポリシーを使用して次の機能を管理し、さまざまなキオスク ユースケースをサポートできます。
4.27.1. IT 管理者はデバイスのキーガードをオフにできます(keyguardDisabled に移動)。
4.27.2. IT 管理者は、デバイスのステータスバーをオフにして、通知とクイック設定をブロックできます(statusBarDisabled に移動)。
4.27.3. IT 管理者は、デバイスを電源に接続している間、デバイスの画面を強制的にオンにできます(stayOnPluggedModes に移動)。
4.27.4. IT 管理者は、次のシステム UI を表示しないようにできます(createWindowsDisabled に移動)。
- トースト
- アプリのオーバーレイ。
4.27.5. IT 管理者は、アプリのシステム推奨事項で、初回起動時にユーザー チュートリアルやその他の導入ヒントをスキップできるようにできます(skip_first_use_hints に移動)。
4.28. 委任されたスコープ管理
IT 管理者は、個々のパッケージに追加の権限を委任できます。
4.28.1. IT 管理者は、次のスコープを管理できます。
- 証明書のインストールと管理
- 意図的に空白
- ネットワーク ログ
- セキュリティ ロギング(個人所有デバイスの仕事用プロファイルではサポートされていません)
4.29. 登録に固有の ID のサポート
Android 12 以降、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、登録固有の ID を使用して、仕事用プロファイルが設定されたデバイスのライフサイクルを追跡できます。この ID は出荷時の設定にリセットしても保持されます。
4.29.1. IT 管理者は登録固有の ID を取得できる
4.29.2. この登録固有の ID は、出荷時の設定にリセットしても保持する必要があります。
5. デバイスのユーザビリティ
5.1. マネージド プロビジョニングのカスタマイズ
IT 管理者は、デフォルトの設定フロー UX を変更して、企業固有の機能を含めることができます。必要に応じて、IT 管理者はプロビジョニング中に EMM 提供のブランディングを表示できます。
5.1.1. IT 管理者は、企業固有の利用規約やその他の免責条項を指定して、プロビジョニング プロセスをカスタマイズできます(termsAndConditions に移動)。
5.1.2. IT 管理者は、構成不可の EMM 固有の利用規約やその他の免責条項をdeployできます(termsAndConditions に移動)。
- EMM は、構成不可の EMM 固有のカスタマイズをデプロイのデフォルトとして設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。
5.1.3. primaryColor は、Android 10 以降のエンタープライズ リソースで非推奨になりました。
5.2. エンタープライズ向けのカスタマイズ
Android Management API はこの機能をサポートしていません。
5.3. エンタープライズ向けの高度なカスタマイズ
Android Management API はこの機能をサポートしていません。
5.4. ロック画面のメッセージ
IT 管理者は、デバイスのロック画面に常に表示されるカスタム メッセージを設定できます。このメッセージは、デバイスのロック解除を必要としません。
5.4.1. IT 管理者は、カスタムのロック画面 メッセージを設定できます(deviceOwnerLockScreenInfo に移動)。
5.5. ポリシーの透明性管理
IT 管理者は、ユーザーがデバイスで管理対象設定を変更しようとしたときに表示されるヘルプテキストをカスタマイズしたり、EMM から提供された汎用のサポート メッセージをデプロイしたりできます。短いサポート メッセージと長いサポート メッセージの両方をカスタマイズできます。これらのメッセージは、IT 管理者がすでにアンインストールをブロックしている管理対象アプリのアンインストールを試行するなどの場合に表示されます。
5.5.1. IT 管理者は、ユーザー向けのサポート メッセージの短いメッセージと長いメッセージをカスタマイズできます。
5.5.2. IT 管理者は、構成不可の EMM 固有の短いサポート メッセージと長いサポート メッセージをデプロイできます(policies の shortSupportMessage と longSupportMessage に移動)。
- EMM は、構成不可の EMM 固有のサポート メッセージをデプロイのデフォルトとして設定できますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。
5.6. クロス プロファイル連絡先管理
5.6.1. IT 管理者は、個人用プロファイルの連絡先検索と着信で仕事用の連絡先の表示を無効にできます。
5.6.2. IT 管理者は、車やヘッドセットでのハンズフリー通話など、仕事用連絡先のBluetooth 連絡先の共有を無効にできます。
5.7. クロス プロフィールのデータ管理
IT 管理者は、仕事用プロファイルと個人用プロファイル間で共有できるデータの種類を管理できるため、要件に応じてユーザビリティとデータ セキュリティのバランスをとることができます。
5.7.1. IT 管理者は、クロス プロファイルのデータ共有ポリシーを構成して、個人用アプリが仕事用プロファイルのインテントを解決できるようにします(インテントの共有やウェブリンクの共有など)。
5.7.2. IT 管理者は、仕事用プロファイルのアプリが個人用プロファイルのホーム画面にウィジェットを作成して表示することを許可できます。この機能はデフォルトで無効になっていますが、workProfileWidgets フィールドと workProfileWidgetsDefault フィールドを使用して許可に設定できます。
5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイルの間でのコピーと貼り付けを制御できます。
5.8. システム アップデート ポリシー
IT 管理者は、無線(OTA)システム アップデートを設定してデバイスに適用できます。
5.8.1. EMM のコンソールでは、IT 管理者は次の OTA 設定を設定できます。
- 自動: デバイスは、OTA アップデートが利用可能になるとインストールします。
- 延期: IT 管理者は OTA アップデートを最大 30 日間延期できる必要があります。このポリシーは、セキュリティ アップデート(毎月のセキュリティ パッチなど)には影響しません。
- 時間枠あり: IT 管理者は、毎日のメンテナンスの時間枠内に OTA アップデートをスケジュール設定できる必要があります。
5.8.2. OTA 構成は、ポリシーを使用してデバイスに適用されます。
5.9. ロックタスク モードの管理
IT 管理者は、アプリまたはアプリセットを画面にロックし、ユーザーがアプリを終了できないようにできます。
5.9.1. EMM のコンソールを使用すると、IT 管理者は任意のアプリセットをサイレントでインストールし、デバイスにロックできます。ポリシーを使用すると、専用デバイスを設定できます。
5.10. 優先アクティビティの永続的な管理
IT 管理者は、特定のインテント フィルタに一致するインテントのデフォルト インテント ハンドラとしてアプリを設定できます。たとえば、この機能を使用すると、IT 管理者はウェブリンクを自動的に開くブラウザアプリを選択できます。この機能を使用すると、ホームボタンをタップしたときに使用するランチャー アプリを管理できます。
5.10.1. IT 管理者は、任意のインテント フィルタに対して任意のパッケージをデフォルトのインテント ハンドラとして設定できます。
- EMM のコンソールでは、構成に既知または推奨されるインテントを提案できますが、任意のリストにインテントを制限することはできません。
- EMM のコンソールでは、IT 管理者が該当するユーザーにインストールできるアプリのリストから選択できるようにする必要があります。
5.11. キーガード機能の管理
IT 管理者は、デバイスのキーガード(ロック画面)と仕事用チャレンジのキーガード(ロック画面)を解除する前に、ユーザーが利用できる機能を管理できます。
5.11.1.ポリシーで、次のデバイスのキーガード機能をオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
- 削除されていない通知
5.11.2. 仕事用プロファイルの次のキーガード機能は、ポリシーを使用してオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
5.12. 高度なキーガード機能の管理
- カメラを固定する
- すべての通知
- 秘匿化なし
- 信頼エージェント
- 指紋認証
- キーガード機能のすべて
5.13. リモートデバッグ
Android Management API ではこの機能はサポートされていません。
5.14. MAC アドレスの取得
EMM は、デバイスの MAC アドレスをサイレントで取得し、企業インフラストラクチャの他の部分でデバイスを識別するために使用できます(ネットワーク アクセス制御でデバイスを識別する場合など)。
5.14.1. EMM はデバイスの MAC アドレスをサイレントで取得し、EMM のコンソールでデバイスに関連付けることができます。
5.15. ロックタスク モードの高度な管理
専用デバイスを使用すると、IT 管理者は EMM のコンソールを使用して次のタスクを実行できます。
5.15.1. 1 つのアプリをインストールしてデバイスにロックすることをサイレントで許可します。
5.15.2. 次のシステム UI 機能をオンまたはオフにします。
- ホームボタン
- 概要
- グローバル アクション
- 通知
- システム情報 / ステータスバー
- キーガード(ロック画面)。このサブ機能は、5.15.1 が実装されるとデフォルトでオンになります。
5.15.3. [システム エラー ダイアログ] をオフにします。
5.16. 高度なシステム アップデート ポリシー
IT 管理者は、デバイスでシステム アップデートをブロックするために、指定したフリーズ期間を設定できます。
5.16.1. EMM のコンソールで、IT 管理者が指定した凍結期間に無線(OTA)システム アップデートをブロックできるようにする必要があります。
5.17. 仕事用プロファイル ポリシーの透明性管理
IT 管理者は、デバイスから仕事用プロファイルを削除する際にユーザーに表示されるメッセージをカスタマイズできます。
5.17.1. IT 管理者は、仕事用プロファイルがワイプされたときに表示するカスタム テキストを指定できます(wipeReasonMessage に移動)。
5.18. 接続済みアプリのサポート
IT 管理者は、ConnectedWorkAndPersonalApp を設定することで、仕事用プロファイルの境界を越えて通信できるパッケージのリストを設定できます。
5.19. 手動によるシステム アップデート
Android Management API はこの機能をサポートしていません。
6. Device Admin のサポート終了
6.1. Device Admin のサポート終了
EMM は、2023 年第 1 四半期末までに GMS デバイスのデバイス管理のカスタマー サポートを終了する計画を 2022 年末までに投稿する必要があります。
7. API の使用
7.1. 新しいバインディング用の標準ポリシー コントローラ
デフォルトでは、新しいバインディングでは Android Device Policy を使用してデバイスを管理する必要があります。EMM には、設定領域の [詳細] などの見出しで、カスタム DPC を使用してデバイスを管理するオプションが用意されている場合があります。オンボーディング ワークフローや設定ワークフローで、新規のお客様にテクノロジー スタック間の任意の選択を要求してはなりません。
7.2. 新しいデバイス用の標準ポリシー コントローラ
デフォルトでは、既存のバインディングと新しいバインディングの両方で、すべての新しいデバイス登録で Android Device Policy を使用してデバイスを管理する必要があります。EMM には、設定領域の [詳細] などの見出しで、カスタム DPC を使用してデバイスを管理するオプションが用意されている場合があります。