このページでは、Android Enterprise の全機能の一覧を示します。
500 台を超えるデバイスを管理する予定がある場合、EMM ソリューションが商用利用にするには、少なくとも 1 つのソリューション セットの標準機能()をすべてサポートする必要があります。標準機能検証に合格した EMM ソリューションは、標準管理セットとして、Android のエンタープライズ ソリューション ディレクトリに掲載されます。
各ソリューション セットでは、高度な機能のセットを利用できます。これらの機能は、各ソリューション セットのページ(仕事用プロファイル、フルマネージド デバイス、専用デバイス)に示されています。高度な機能の検証に合格した EMM ソリューションは、高度な管理セットとして、Android のエンタープライズ ソリューション ディレクトリに掲載されます。
注: Android Management API の使用には、利用規定が適用されます。
キー
| の標準機能 | オプション機能 | 該当なし |
1. デバイスのプロビジョニング
1.1. DPC ファーストの仕事用プロファイルのプロビジョニング
ユーザーは、Google Play から Android Device Policy をダウンロードした後、仕事用プロファイルをプロビジョニングできます。
1.1.1. EMM は、このプロビジョニング方法をサポートするために、QR コードまたはアクティベーション コードを IT 管理者に提供します( デバイスの登録とプロビジョニングを参照)。
1.2. DPC 識別子によるデバイスのプロビジョニング
デバイスの設定ウィザードで「afw#」と入力すると、完全管理対象デバイスまたは専用デバイスがプロビジョニングされます。
1.2.1. EMM は、このプロビジョニング方法をサポートするために、QR コードまたはアクティベーション コードを IT 管理者に提供します(デバイスの登録とプロビジョニングを参照)。
1.3. NFC デバイスのプロビジョニング
IT 管理者は NFC タグを使用して、Play EMM API デベロッパー向けドキュメントで定義されている実装ガイドラインに沿って、新しいデバイスや初期状態にリセットしたデバイスをプロビジョニングできます。
1.3.1. EMM には、888 バイト以上のメモリを搭載した NFC フォーラム タイプ 2 タグを使用する必要があります。プロビジョニングでは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID などの機密性の低い登録情報をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。
1.3.2. NFC ビーム(NFC バンプ)のサポート終了に伴い、Android 10 以降では NFC タグを使用することをおすすめします。
1.4. QR コードによるデバイスのプロビジョニング
Android Management API デベロッパー向けドキュメントで定義されている実装ガイドラインに従って、IT 管理者は EMM のコンソールで QR コードを生成できます。この QR コードをスキャンして、フルマネージド デバイスまたは専用デバイスをプロビジョニングできます。
1.4.1. QR コードは、プロビジョニング エクストラを使用して、機密でない登録情報(サーバー ID、登録 ID など)をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。
1.5. ゼロタッチ登録
IT 管理者は、正規販売パートナーから購入したデバイスを事前に構成し、EMM コンソールを使用して管理できます。
1.5.1. IT 管理者は、IT 管理者向けゼロタッチ登録で説明されているゼロタッチ登録を使用して、会社所有デバイスをプロビジョニングできます。
1.5.2. デバイスを初めてオンにすると、IT 管理者が定義した設定が自動的に適用されます。
1.6. 高度なゼロタッチ プロビジョニング
IT 管理者は、ゼロタッチ登録を使用してデバイス登録プロセスの大部分を自動化できます。IT 管理者は、ログイン URL と組み合わせることで、EMM が提供する構成オプションに従って、登録を特定のアカウントまたはドメインに制限できます。
1.6.1. IT 管理者は、ゼロタッチ登録方法を使用して、会社所有デバイスをプロビジョニングできます。
1.6.2. この要件は非推奨となりました。
1.6.3. EMM はログイン URL を使用して、権限のないユーザーが有効化を続行できないようにする必要があります。少なくとも、有効化を特定の企業のユーザーに限定する必要があります。
1.6.4. EMM はログイン URL を使用して、一意のユーザー情報またはデバイス情報(ユーザー名/パスワード、アクティベーション トークンなど)のほかに、IT 管理者が登録情報(サーバー ID、登録 ID など)を事前入力できるようにする必要があります。これにより、ユーザーはデバイスを有効化する際に詳細を入力する必要がなくなります。
- EMM のゼロタッチ登録の構成に、パスワードや証明書などの機密情報を含めることはできません。
1.7. Google アカウントの仕事用プロファイルのプロビジョニング
Android Management API はこの機能をサポートしていません。
1.8 Google アカウント デバイスのプロビジョニング
Android Management API はこの機能をサポートしていません。
1.9. 直接ゼロタッチ設定
IT 管理者は、EMM のコンソールでゼロタッチ iframe を使用するゼロタッチ デバイスをセットアップできます。
1.10. 会社所有デバイスの仕事用プロファイル
EMM は、AllowPersonalUsage を設定することで、仕事用プロファイルが設定された会社所有デバイスを登録できます。
1.10.1. IT 管理者は、QR コードまたはゼロタッチ登録を使用して、会社所有デバイスの仕事用プロファイルとしてデバイスをプロビジョニングできます。
1.10.2. IT 管理者は、PersonalUsagePolicies を使用して、会社所有デバイスの仕事用プロファイルに対するコンプライアンス アクションを設定できます。
1.10.3. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。
1.10.4. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体のスクリーン キャプチャを無効にできます。
1.10.5. IT 管理者は、PersonalApplicationPolicy を使用して、個人用プロファイルにインストールできる(またはインストールできない)アプリケーションの許可リストまたはブロックリストを設定できます。
1.10.6. IT 管理者は、仕事用プロファイルを削除するか、デバイス全体をワイプすることで、会社所有デバイスの管理を放棄できます。
2. デバイスのセキュリティ
2.1. デバイスのセキュリティ確認
IT 管理者は、事前定義された 3 つの複雑さレベルの中から、管理対象デバイスにデバイスのセキュリティ チャレンジ(PIN/パターン/パスワード)を設定し、適用できます。
2.1.1 ポリシーは、デバイスのセキュリティ チャレンジを管理する設定を適用する必要があります(仕事用プロファイルの parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの passwordRequirements)。
2.1.2. パスワードの複雑さは、次のパスワードの複雑さに対応している必要があります。
- PASSWORD_COMPLEXITY_LOW - 繰り返し(4444)または順序付けされた(1234、4321、2468)シーケンスのパターンまたはピン。
- PASSWORD_COMPLEXITY_MEDIUM - 連続した文字列(4444)または順序付きの文字列(1234、4321、2468)を含まない、4 文字以上の英字または英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 繰り返し(4444)または順序付き(1234、4321、2468)のシーケンスを使用しない 8 文字以上の PIN、または 6 以上の英字または英数字のパスワード
2.1.3. 会社所有デバイスの以前の設定として、追加のパスワード制限を適用することもできます。
2.2 働き方のセキュリティの課題
IT 管理者は、仕事用プロファイルのアプリとデータに対して、デバイスのセキュリティ チャレンジ(2.1)とは別の要件を持つセキュリティ チャレンジを設定して適用できます。
2.2.1. ポリシーにより、仕事用プロファイルにセキュリティ チャレンジを適用する必要があります。
- デフォルトでは、スコープが指定されていない場合、IT 管理者は仕事用プロファイルのみに制限を設定する必要があります
- IT 管理者は、スコープを指定することで、このデバイス全体を設定できます(要件 2.1 を参照)
2.2.2. パスワードの複雑さは、事前定義された次のパスワードの複雑さに対応している必要があります。
- PASSWORD_COMPLEXITY_LOW - 繰り返し(4444)または順序付けされた(1234、4321、2468)シーケンスのパターンまたはピン。
- PASSWORD_COMPLEXITY_MEDIUM - 連続した文字列(4444)または順序付きの文字列(1234、4321、2468)を含まない、4 文字以上の英字または英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 繰り返し(4444)または順序付き(1234、4321、2468)のシーケンスを使用しない 8 文字以上の PIN、または 6 以上の英字または英数字のパスワード
2.2.3. 従来の設定として、追加のパスワード制限を適用することもできます。
2.3. 高度なパスコード管理
IT 管理者はデバイスに高度なパスワードを設定できます。
2.3.1. [意図的に空白]
2.3.2. [意図的に空白]
2.3.3. デバイスで使用できるロック画面ごとに、次のパスワード ライフサイクルの設定を設定できます。
- [意図的に空白]
- [意図的に空白]
- ワイプするパスワードの最大失敗回数: 企業データをデバイスからワイプするまで、ユーザーが間違ったパスワードを入力できる回数を指定します。IT 管理者はこの機能をオフにできる必要があります。
2.3.4. (Android 8.0 以降)強力な認証が必要タイムアウト: IT 管理者が設定したタイムアウト期間の後、強力な認証パスコード(PIN やパスワードなど)の入力が必要になります。タイムアウト時間が経過すると、安全な認証パスコードでデバイスのロックが解除されるまで、安全性の低い認証方法(指紋認証、顔認証など)はオフになります。
2.4. Smart Lock の管理
IT 管理者は、Android の Smart Lock 機能の信頼エージェントに対して、デバイスのロック解除を最大 4 時間延長することを許可するかどうかを管理できます。
2.4.1. IT 管理者は、デバイスで信頼エージェントを無効にできます。
2.5. ワイプとロック
IT 管理者は、EMM のコンソールを使用して、管理対象デバイスから仕事用データをリモートでロックおよびワイプできます。
2.5.1. Android Management API を使用してデバイスをロックする必要があります。
2.5.2. Android Management API を使用してデバイスをワイプする必要があります。
2.6. コンプライアンスの適用
デバイスがセキュリティ ポリシーに準拠していない場合、Android Management API によって適用されるコンプライアンス ルールは自動的に仕事用データの使用を制限します。
2.6.1. デバイスに適用されるセキュリティ ポリシーには、少なくともパスワード ポリシーを含める必要があります。
2.7. デフォルトのセキュリティ ポリシー
EMM は、指定されたセキュリティ ポリシーをデフォルトでデバイスに適用する必要があります。IT 管理者が EMM のコンソールで設定やカスタマイズを行う必要はありません。EMM では、IT 管理者がこれらのセキュリティ機能のデフォルト状態を変更できないようにすることをおすすめします(必須ではありません)。
2.7.1. 仕事用プロファイルが設定された Android 8.0 以降のデバイスの個人用側にインストールされるアプリも含め、提供元不明のアプリのインストールはブロックする必要があります。 このサブ機能はデフォルトでサポートされています。
2.7.2. デバッグ機能をブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.8. 専用デバイスのセキュリティ ポリシー
ロックダウンされた専用デバイスでは、その他のアクションは許可されません。
2.8.1. セーフモードでの起動は、ポリシーによりデフォルトでオフにする必要があります(safeBootDisabled に移動)。
2.9. Play Integrity のサポート
Play の完全性チェックはデフォルトで行われます。追加の実装は必要ありません。
2.9.1. 意図的に空白になっています。
2.9.2. 意図的に空白になっています。
2.9.3. IT 管理者は、プロビジョニングのブロック、企業データのワイプ、登録続行の許可など、デバイスの SecurityRisk の値に基づいてさまざまなポリシー レスポンスを設定できます。
- EMM サービスは、各完全性チェックの結果に対してこのポリシー レスポンスを適用します。
2.10. アプリの確認の適用
IT 管理者はデバイスでアプリの確認を有効にできます。「アプリの確認」は、Android デバイスにインストールされているアプリに対し、インストールの前後に有害なソフトウェアがないかスキャンして、悪意のあるアプリが企業データを侵害できないようにします。
2.10.1. ポリシーを使用して、「アプリの確認」をデフォルトで有効にする必要があります(ensureVerifyAppsEnabled に移動)。
2.11. ダイレクト ブートのサポート
Android Management API はデフォルトでこの機能をサポートしています。追加の実装は必要ありません。
2.12. ハードウェア セキュリティ管理
IT 管理者は、会社所有デバイスのハードウェア要素をロックダウンして、データ損失を防止できます。
2.12.1. IT 管理者は、ポリシーを使用して、ユーザーによる物理外部メディアのマウントをブロックできます(mountPhysicalMediaDisabled に移動)。
2.12.2. IT 管理者は、ポリシー(outgoingBeamDisabled に移動)により、ユーザーが NFC ビームを使用してデバイスからのデータを共有するのをブロックできます。NFC ビーム機能は Android 10 以降ではサポートされなくなったため、このサブ機能はオプションです。
2.12.3. IT 管理者は、ポリシーを使用して、ユーザーによる USB 経由でのファイル転送をブロックできます(usbFileTransferDisabled に移動)。
2.13. エンタープライズ セキュリティ ロギング
現在、Android Management API はこの機能をサポートしていません。
3. アカウントとアプリの管理
3.1. managed Google Play アカウントの企業登録
IT 管理者は、managed Google Play アカウント エンタープライズを作成できます。これは、managed Google Play からデバイスにアプリを配信できるようにするエンティティです。次の登録ステージを EMM のコンソールに統合する必要があります。
3.1.1. Android Management API を使用して、managed Google Play アカウント エンタープライズを登録する。
3.2. managed Google Play アカウントのプロビジョニング
EMM では、managed Google Play アカウントと呼ばれる企業ユーザー アカウントをサイレント プロビジョニングできます。これらのアカウントは管理対象ユーザーを識別し、ユーザーごとの一意のアプリ配布ルールを許可します。
3.2.1. managed Google Play アカウント(ユーザー アカウント)は、デバイスのプロビジョニング時に自動的に作成されます。
Android Management API はデフォルトでこの機能をサポートしています。追加の実装は必要ありません。
3.3. managed Google Play デバイス アカウントのプロビジョニング
EMM では、managed Google Play デバイス アカウントを作成、プロビジョニングできます。デバイス アカウントは managed Google Play ストアからのアプリのサイレント インストールをサポートしており、単一のユーザーに関連付けられていません。代わりに、デバイス アカウントを使用して 1 つのデバイスを識別し、専用デバイスのシナリオでデバイスごとにアプリ配布ルールをサポートします。
3.3.1. managed Google Play アカウントは、デバイスがプロビジョニングされると自動的に作成されます。
Android Management API はデフォルトでこの機能をサポートしています。追加の実装は必要ありません。
3.4. 以前のデバイス向けの managed Google Play アカウントのプロビジョニング
この機能は非推奨になりました。
3.5. アプリのサイレント配信
IT 管理者は、ユーザーによる操作なしで、デバイスに仕事用アプリをサイレントで配布できます。
3.5.1. IT 管理者が管理対象デバイスに仕事用アプリをインストールできるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.5.2. IT 管理者が管理対象デバイス上の仕事用アプリを更新できるように、EMM のコンソールで Android Management API を使用する必要があります。
3.5.3. IT 管理者が管理対象デバイス上のアプリをアンインストールできるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.6. マネージド構成管理
IT 管理者は、管理対象設定をサポートするアプリの管理対象設定を表示して、通知なしで設定できます。
3.6.1. EMM のコンソールは、Play アプリの管理対象の設定を取得して表示できなければなりません。
3.6.2. IT 管理者は EMM のコンソールで、Android Management API を使用して Play アプリの任意の構成タイプ(Android Enterprise フレームワークで定義されているとおり)を設定できるようにする必要があります。
3.6.3. IT 管理者は EMM のコンソールでワイルドカード($username$ や %emailAddress% など)を設定できるようにし、Gmail などのアプリの 1 つの構成を複数のユーザーに適用できるようにする必要があります。
3.7. アプリカタログの管理
Android Management API はデフォルトでこの機能をサポートしています。追加の実装は必要ありません。
3.8. プログラムによるアプリの承認
EMM のコンソールは、managed Google Play iframe を使用して、Google Play のアプリの検出と承認の機能をサポートしています。IT 管理者は、EMM のコンソールを離れることなく、アプリの検索、アプリの承認、新しいアプリの権限の承認を行うことができます。
3.8.1. IT 管理者は、managed Google Play iframe を使用して EMM のコンソール内でアプリを検索し、承認できます。
3.9. 基本的な店舗レイアウト管理
managed Google Play ストア アプリを使用して、仕事用アプリをインストール、更新できます。 デフォルトでは、managed Google Play ストアには、特定のユーザーに承認されたアプリが 1 つのリストで表示されます。このレイアウトは「基本のストア レイアウト」と呼ばれます。
3.9.1. IT 管理者は EMM のコンソールで、エンドユーザーの基本的なストア レイアウトで表示されるアプリを管理できます。
3.10. 店舗の詳細なレイアウト設定
3.10.1. IT 管理者は、managed Google Play ストア アプリに表示されるストア レイアウトをカスタマイズできます。
3.11. アプリのライセンス管理
この機能は非推奨になりました。
3.12. Google がホストする限定公開アプリの管理
IT 管理者は、Google Play Console ではなく、EMM コンソールから Google がホストする限定公開アプリを更新できます。
3.12.1. IT 管理者は、企業に限定公開されているアプリの新しいバージョンを、以下を使用してアップロードできます。
3.13. 自己ホスト型限定公開アプリの管理
IT 管理者は、自己ホスト型の限定公開アプリを設定して公開できます。Google がホストする限定公開アプリとは異なり、Google Play は APK をホストしません。代わりに EMM は、IT 管理者が APK を自分でホストするのに役立ちます。また、managed Google Play で承認された場合にのみインストールできるようにすることで、自己ホスト型アプリを保護できます。
3.13.1. IT 管理者がアプリ APK をホストするには、EMM のコンソールで次の両方のオプションを提供する必要があります。
- EMM のサーバーで APK をホストします。サーバーはオンプレミスでもクラウドベースでもかまいません。
- 企業の裁量で EMM のサーバー外に APK をホストします。IT 管理者は、APK がホストされている場所を EMM コンソールで指定する必要があります。
3.13.2. EMM のコンソールは、提供された APK を使用して適切な APK 定義ファイルを生成し、IT 管理者は公開プロセスをガイドする必要があります。
3.13.3. IT 管理者は、自己ホスト型限定公開アプリを更新できます。また、EMM のコンソールで、Google Play Developer Publishing API を使用して、更新された APK 定義ファイルを自動的に公開できます。
3.13.4. EMM のサーバーは、限定公開アプリの公開鍵によって検証された、リクエストの Cookie 内に有効な JWT が含まれる自己ホスト型 APK のダウンロード リクエストを処理します。
- このプロセスを容易にするために、IT 管理者は EMM のサーバーから、自己ホスト型アプリのライセンス公開鍵を Google Play Console からダウンロードし、EMM コンソールにアップロードするよう指示する必要があります。
3.14. EMM pull 通知
この機能は Android Management API には適用されません。代わりに Pub/Sub 通知を設定してください。
3.15. API の使用要件
EMM は Android Management API を大規模に実装し、本番環境でのアプリの管理に悪影響を与える可能性のあるトラフィック パターンを回避します。
3.15.1. EMM は、Android Management API の使用制限を遵守する必要があります。これらのガイドラインを超える動作を修正しない場合、Google の裁量により API の使用が停止されることがあります。
3.15.2. EMM は、特定の時間や同様の時間に企業トラフィックを統合するのではなく、さまざまな企業からのトラフィックを一日中分散する必要があります。登録された各デバイスにスケジュールされた一括オペレーションなど、このトラフィック パターンに一致する動作については、Google の裁量により API の使用が停止される場合があります。
3.15.3. EMM では、実際の企業データの取得や管理を試みない、一貫性、不完全、または意図的に誤ったリクエストを行ってはなりません。このトラフィック パターンに一致する動作を行った場合、Google の裁量により API の使用が停止されることがあります。
3.16. 高度なマネージド構成管理
EMM は、次の高度なマネージド構成管理機能をサポートしています。
3.16.1. EMM のコンソールでは、以下を使用して、Play アプリの最大 4 レベルまでのネストされた管理対象設定を取得して表示できなければなりません。
- managed Google Play iframe
- 作成できます。
3.16.2. EMM のコンソールは、IT 管理者がセットアップした場合、アプリのフィードバック チャネルから返されたフィードバックを取得して表示できる必要があります。
- IT 管理者は EMM のコンソールで、特定のフィードバック項目を、そのフィードバックの送信元のデバイスとアプリに関連付ける必要があります。
- IT 管理者は EMM のコンソールで、特定のメッセージ タイプ(エラー メッセージなど)のアラートまたはレポートをサブスクライブできるようにする必要があります。
3.16.3. EMM のコンソールで送信できるのは、デフォルト値か、管理者が以下を使用して手動で設定した値のみです。
- 管理対象設定 iframe
- カスタム UI。
3.17. ウェブアプリの管理
IT 管理者は EMM コンソールでウェブアプリを作成して配布できます。
3.17.1. IT 管理者は EMM コンソールで、以下を使用してウェブアプリへのショートカットを配布できます。
- managed Google Play iframe
- または Android Management API を使用できます。
3.18. managed Google Play アカウントのライフサイクル管理
EMM は IT 管理者に代わって managed Google Play アカウントを作成、更新、削除でき、アカウントの有効期限が切れても自動的に復元できます。
この機能はデフォルトでサポートされています。追加の EMM を実装する必要はありません。
3.19. アプリケーション トラック管理
3.19.1. IT 管理者は、デベロッパーが特定のアプリに対して設定したトラック ID のリストを取得できます。
3.19.2. IT 管理者は、アプリケーションに特定の開発トラックを使用するようにデバイスを設定できます。
3.20. 高度なアプリケーション更新管理
IT 管理者は、アプリをすぐに更新することも、更新を 90 日間延期することもできます。
3.20.1. IT 管理者は、優先度の高いアプリのアップデートを使用して、アップデートの準備ができたタイミングで更新することをアプリに許可できます。 3.20.2. IT 管理者は、アプリのアプリのアップデートを 90 日間延期することを許可できます。
3.21. プロビジョニング方法の管理
EMM はプロビジョニング構成を生成し、エンドユーザーに配布できるフォーム(QR コード、ゼロタッチ構成、Play ストアの URL など)で IT 管理者に提示できます。
4. デバイス管理
4.1. ランタイム権限ポリシーの管理
IT 管理者は、仕事用アプリによる実行時の権限リクエストに対するデフォルトのレスポンスを通知なしで設定できます。
4.1.1. IT 管理者は、組織のデフォルトのランタイム権限ポリシーを設定するときに、次のオプションを選択できるようにする必要があります。
- プロンプト(ユーザーが選択可能)
- allow
- 拒否
EMM はポリシーを使用してこれらの設定を適用する必要があります。
4.2. ランタイム権限付与状態管理
デフォルトの実行時の権限ポリシー(4.1 に移動)を設定したら、IT 管理者は、API 23 以降で構築されたすべての仕事用アプリから、特定の権限に対するレスポンスをサイレントに設定できます。
4.2.1. IT 管理者は、API 23 以降で構築された仕事用アプリからリクエストされる権限の付与状態(デフォルト、付与、拒否)を設定できる必要があります。EMM は、ポリシーを使用してこれらの設定を適用する必要があります。
4.3. Wi-Fi 構成管理
IT 管理者は、管理対象デバイスで次のようなエンタープライズ Wi-Fi 構成をサイレント プロビジョニングできます。
4.3.1. SSID(ポリシーを使用)。
4.3.2. パスワード(ポリシーを使用)。
4.4. Wi-Fi セキュリティ管理
IT 管理者は、次の高度なセキュリティ機能を搭載したデバイスにエンタープライズ Wi-Fi 構成をプロビジョニングできます。
4.4.1. ID
4.4.2. クライアント認可用の証明書
4.4.3. CA 証明書
4.5. 高度な Wi-Fi 管理
IT 管理者は、管理対象デバイスの Wi-Fi 構成をロックダウンして、ユーザーが構成を作成または企業構成を変更できないようにします。
4.5.1. IT 管理者は、次のいずれかの構成のポリシーを使用して、会社の Wi-Fi 構成をロックダウンできます。
- ユーザーは、EMM によってプロビジョニングされた Wi-Fi 構成は変更できませんが(
wifiConfigsLockdownEnabledに移動)、ユーザーが構成できる独自のネットワーク(個人ネットワークなど)を追加および変更できます。 - ユーザーはデバイスの Wi-Fi ネットワークを追加または変更できず(
wifiConfigDisabledに移動)、Wi-Fi 接続は EMM によってプロビジョニングされたネットワークのみに制限されます。
4.6. アカウント管理
IT 管理者は、承認された企業アカウントのみが SaaS ストレージ、生産性向上アプリなどのサービス、メールなどの企業データを操作できるように設定できます。この機能を使用しない場合、ユーザーは、一般ユーザー向けアカウントもサポートしている企業アプリに個人アカウントを追加して、企業データを個人アカウントと共有することができます。
4.6.1. IT 管理者は、ユーザーによるアカウントの追加や変更を禁止できます(modifyAccountsDisabled を参照)。
- このポリシーをデバイスに適用する場合、プロビジョニングが完了する前に EMM でこの制限を設定する必要があります。これにより、ポリシーの施行前にユーザーがアカウントを追加することによってこのポリシーを回避できなくなります。
4.7. Workspace アカウント管理
Android Management API はこの機能をサポートしていません。
4.8. 証明書の管理
IT 管理者が ID 証明書と認証局をデバイスにデプロイして、企業リソースを使用できるようにします。
4.8.1. IT 管理者は、PKI によって生成されたユーザー ID 証明書をユーザーごとにインストールできます。EMM のコンソールは、少なくとも 1 つの PKI と統合され、そのインフラストラクチャから生成された証明書を配布する必要があります。
4.8.2. IT 管理者は、マネージド キーストアに認証局をインストールできます(caCerts を参照)。ただし、このサブ機能は現在サポートされていません。
4.9. 高度な証明書管理
IT 管理者は、特定のマネージド アプリで使用する証明書を自動的に選択できるようになります。また、IT 管理者はこの機能を使用して、アクティブなデバイスから CA と ID 証明書を削除し、マネージド キーストアに保存されている認証情報をユーザーが変更できないようにすることもできます。
4.9.1. デバイスに配信されるすべてのアプリについて、IT 管理者は、実行時にアプリが通知なしでアクセス権を付与する証明書を指定できます。(このサブ機能は現在サポートされていません)
- 証明書の選択は、すべてのユーザーに適用される単一の構成を許可する汎用的なものである必要があります。各ユーザーには、ユーザー固有の ID 証明書を使用できます。
4.9.2. IT 管理者は、マネージド キーストアからサイレントで証明書を削除できます。
4.9.3. IT 管理者は CA 証明書を自動的にアンインストールできます。(このサブ機能は現在サポートされていません)
4.9.4. IT 管理者は、ユーザーがマネージド キーストアで認証情報を構成できないようにします(credentialsConfigDisabled に移動)。
4.9.5. IT 管理者は ChoosePrivateKeyRule を使用して、仕事用アプリ用の証明書を事前に付与できます。
4.10. 委任された証明書管理
IT 管理者は、サードパーティの証明書管理アプリをデバイスに配布し、マネージド キーストアに証明書をインストールするための特権アクセス権をそのアプリに付与できます。
4.10.1. IT 管理者は、証明書管理パッケージ(delegatedCertInstallerPackage に移動)を指定して、委任された証明書管理アプリに設定できます。
- EMM は既知の証明書管理パッケージをオプションで提案できますが、IT 管理者が該当するユーザーのインストール可能なアプリのリストから選択できるようにする必要があります。
4.11. 高度な VPN 管理
IT 管理者は、常時接続 VPN を指定して、指定した管理対象アプリのデータが常に設定されたバーチャル プライベート ネットワーク(VPN)を経由するようにできます。
4.11.1. IT 管理者は、常時接続 VPN として設定する任意の VPN パッケージを指定できます。
- EMM のコンソールでは、常時接続 VPN をサポートする既知の VPN パッケージをオプションで提案できますが、常時接続構成で使用可能な VPN を任意のリストに制限することはできません。
4.11.2. IT 管理者は、管理対象構成を使用してアプリの VPN 設定を指定できます。
4.12. IME の管理
IT 管理者は、デバイスにどの入力方法(IME)を設定できるかを管理できます。IME は仕事用プロファイルと個人用プロファイルの両方で共有されるため、IME の使用をブロックすると、ユーザーは個人用の IME も許可できなくなります。ただし、IT 管理者は仕事用プロファイルでのシステム IME の使用をブロックできません(詳しくは、高度な IME 管理をご覧ください)。
4.12.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods に移動)を設定できます(システム以外の IME をブロックする空のリストを含む)。この許可リストには任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに含める既知の IME または推奨される IME がオプションとして提案される場合がありますが、IT 管理者が該当するユーザーがインストール可能なアプリのリストから選択できるようにする必要があります。
4.12.2. EMM は、仕事用プロファイルが設定されたデバイスの管理からシステム IME が除外されることを IT 管理者に知らせる必要があります。
4.13. 高度な IME 管理
IT 管理者は、ユーザーがデバイスで設定できる入力方法(IME)を管理できます。高度な IME 管理では、システム IME(デバイスのメーカーや携帯通信会社が通常提供しているシステム IME)の使用を IT 管理者が管理できるようにすることで、基本機能が拡張されます。
4.13.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods に移動)を設定できます(空のリストはシステム IME を含むすべての IME をブロックします)。この許可リストには任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに含める既知の IME または推奨される IME がオプションとして提案される場合がありますが、IT 管理者が該当するユーザーがインストール可能なアプリのリストから選択できるようにする必要があります。
4.13.2. IT 管理者が空の許可リストを設定できないようにするには、EMM でシステム IME を含むすべての IME をデバイスでセットアップできないようにする必要があります。
4.13.3. EMM は、IME 許可リストにシステム IME が含まれていない場合、許可リストがデバイスに適用される前にサードパーティの IME がサイレント インストールされるようにする必要があります。
4.14. ユーザー補助サービスの管理
IT 管理者は、ユーザーがデバイスで許可できるユーザー補助サービスを管理できます。ユーザー補助サービスは、障がいのあるユーザーや、一時的にデバイスをまったく操作できないユーザーにとって便利なツールです。しかし、会社のポリシーに違反する方法で企業データを操作している可能性があります。IT 管理者はこの機能を使用して、システム以外のユーザー補助サービスを無効にできます。
4.14.1. IT 管理者は、任意の長さのユーザー補助サービスの許可リスト(permittedAccessibilityServices に移動)を設定できます(システム以外のユーザー補助サービスをブロックする空のリストを含む)。この許可リストには任意のユーザー補助サービス パッケージを含めることができます。仕事用プロファイルに適用した場合、個人用プロファイルと仕事用プロファイルの両方に影響します。
- コンソールでは必要に応じて、許可リストに含める既知のまたは推奨のユーザー補助サービスを提案できますが、IT 管理者は該当するユーザーがインストール可能なアプリのリストから選択できるようにする必要があります。
4.15. 現在地の共有の管理
IT 管理者は、ユーザーが仕事用プロファイルのアプリと位置情報を共有できないように設定できます。それ以外の場合は、仕事用プロファイルの位置情報の設定は [設定] で構成できます。
4.15.1. IT 管理者は、仕事用プロファイル内で位置情報サービスを無効にできます(shareLocationDisabled に移動)。
4.16. 現在地の共有の詳細設定
IT 管理者は、特定の現在地の共有設定を管理対象デバイスに適用できます。この機能により、企業のアプリが常に高精度の位置情報を保有できるようになります。また、この機能により、位置情報の設定をバッテリー節約モードに制限することで、余分なバッテリーが消費されないようにすることもできます。
4.16.1. IT 管理者は、次の各モードにデバイスの位置情報サービスを設定できます。
- 高精度] をタップします。
- センサーのみ(GPS など)。ただし、ネットワークが提供する位置情報は含まれません。
- バッテリー節約。アップデートの頻度が制限されます。
- オフ。
4.17. 出荷時設定へのリセット保護の管理
IT 管理者は、権限のないユーザーがデバイスを初期状態にリセットできないようにすることで、会社所有のデバイスを盗難から保護できます。出荷時設定へのリセット保護機能によってデバイスを IT に返却する際に運用が複雑になる場合、IT 管理者は出荷時設定へのリセット保護機能を完全にオフにできます。
4.17.1. IT 管理者は、[設定] から、ユーザーがデバイスを出荷時の設定にリセットできないようにする(factoryResetDisabled に移動)できます。
4.17.2. IT 管理者は、出荷時設定へのリセット後に、デバイスのプロビジョニングを許可する会社のロック解除アカウントを指定できます(frpAdminEmails に移動)。
- このアカウントを個人に関連付けることも、企業全体でデバイスのロックを解除することもできます。
4.17.3. IT 管理者は、特定のデバイスに対して出荷時設定へのリセット保護機能を無効にする(0 factoryResetDisabled に移動)できます。
4.17.4. IT 管理者はリモート デバイスのワイプを開始できます。このワイプにより、必要に応じてリセット保護データがワイプされ、リセット対象デバイスの出荷時設定へのリセット保護は解除されます。
4.18. 高度なアプリ コントロール
IT 管理者は、ユーザーが [設定] で管理対象アプリをアンインストールしたり、変更したりできないようにすることができます。たとえば、アプリの強制終了やアプリのデータ キャッシュの消去などです。
4.18.1. IT 管理者は、任意の管理対象アプリまたはすべての管理対象アプリのアンインストールをブロックできます(uninstallAppsDisabled に移動)。
4.18.2. IT 管理者は、ユーザーが設定からアプリケーション データを変更できないようにします。(Android Management API は、このサブ機能をサポートしていません)
4.19. スクリーン キャプチャの管理
IT 管理者は、管理対象アプリの使用時にユーザーがスクリーンショットを撮影できないようにブロックできます。 この設定には、システムのスクリーンショット機能を利用する画面共有アプリや、同様のアプリ(Google アシスタントなど)のブロックが含まれます。
4.19.1. IT 管理者は、ユーザーによるスクリーンショットのキャプチャを禁止できます(screenCaptureDisabled に移動)。
4.20. カメラを無効にする
IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます。
4.20.1. IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にする(cameraDisabled に移動)できます。
4.21. ネットワーク統計情報の収集
現在、Android Management API はこの機能をサポートしていません。
4.22. 高度なネットワーク統計情報の収集
現在、Android Management API はこの機能をサポートしていません。
4.23. デバイスの再起動
IT 管理者は管理対象デバイスをリモートで再起動できます。
4.23.1. IT 管理者は、管理対象デバイスをリモートで再起動できます。
4.24. システム無線管理
IT 管理者は、ポリシーを使用して、システム ネットワークの無線通信と関連する使用ポリシーをきめ細かく管理できます。
4.24.1. IT 管理者は、サービス プロバイダから送信される緊急速報メールをオフにできます(cellBroadcastsConfigDisabled に移動)。
4.24.2. IT 管理者は、ユーザーが [設定] でモバイル ネットワーク設定を変更できないようにします(mobileNetworksConfigDisabled に移動)。
4.24.3. IT 管理者は、ユーザーが [設定] ですべてのネットワーク設定をリセットできないようにすることができます。(networkResetDisabled に移動)。
4.24.4. IT 管理者は、デバイスでローミング中のモバイルデータを許可するかどうかを設定できます(dataRoamingDisabled に移動)。
4.24.5. IT 管理者は、緊急通報を除くデバイスの発信を許可するかどうかを設定できます(outGoingCallsDisabled に移動)。
4.24.6. IT 管理者は、デバイスでテキスト メッセージを送受信できるかどうかを設定できます(smsDisabled に移動)。
4.24.7. IT 管理者は、テザリングによってユーザーがデバイスをポータブル アクセス ポイントとして使用されないようにできます(tetheringConfigDisabled に移動)。
4.24.8. IT 管理者は、Wi-Fi タイムアウトをデフォルト、電源接続時、または常時に設定可能です。(Android Management API は、このサブ機能をサポートしていません)
4.24.9. IT 管理者は、ユーザーが既存の Bluetooth 接続を設定または変更できないようにします(bluetoothConfigDisabled に移動)。
4.25. システム オーディオの管理
IT 管理者は、デバイスのミュート、ユーザーによる音量設定の変更の防止、ユーザーによるデバイスのマイクのミュート解除の防止など、デバイスの音声機能をサイレントに制御できます。
4.25.1. IT 管理者は、管理対象デバイスを通知なくミュートできます。(Android Management API は、このサブ機能をサポートしていません)
4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにすることができます(adjustVolumeDisabled に移動)。これにより、デバイスがミュートされます。
4.25.3. IT 管理者は、ユーザーがデバイスのマイクのミュートを解除できないようにすることが可能です(unmuteMicrophoneDisabled に移動)。
4.26. システム クロックの管理
IT 管理者は、デバイスの時計とタイムゾーンの設定を管理し、ユーザーによるデバイスの自動設定の変更を禁止できます。
4.26.1. IT 管理者はシステムの自動時刻と自動タイムゾーンを適用して、ユーザーがデバイスの日付、時刻、タイムゾーンを設定できないようにすることが可能です。
4.27. 専用デバイスの高度な機能
専用デバイスの場合、IT 管理者はポリシーを使用して次の機能を管理して、さまざまなキオスクのユースケースをサポートできます。
4.27.1. IT 管理者はデバイスのキーガードを無効にできます(keyguardDisabled にアクセスしてください)。
4.27.2. IT 管理者は、デバイスのステータスバー、通知のブロック、クイック設定をオフにできます(statusBarDisabled に移動)。
4.27.3. IT 管理者は、デバイスを電源に接続している間、デバイスの画面をオンのままにすることができます(stayOnPluggedModes に移動します)。
4.27.4. IT 管理者は、次のシステム UI が表示されないようにできます(createWindowsDisabled に移動)。
- トースト
- アプリ オーバーレイ。
4.27.5. IT 管理者は、初回起動時に、アプリに対するユーザー チュートリアルやその他の入門用のヒントをスキップできるシステム推奨事項を許可できます(skip_first_use_hints に移動)。
4.28. 委任されたスコープ管理
IT 管理者は、個々のパッケージに特別な権限を委任できます。
4.28.1. IT 管理者は次のスコープを管理できます。
- 証明書のインストールと管理
- 管理対象設定の管理
- ネットワーク ログ
- セキュリティ ロギング
4.29. 登録固有の ID のサポート
Android 12 以降、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、出荷時設定へのリセット後も保持される登録固有の ID を使用して、仕事用プロファイルが設定されたデバイスのライフサイクルを追跡できます
4.29.1. IT 管理者は登録固有の ID を取得できます。
4.29.2. この登録固有の ID は、出荷時の設定にリセットしても保持される必要があります
5. デバイスのユーザビリティ
5.1. 管理対象プロビジョニングのカスタマイズ
IT 管理者は、デフォルトのセットアップ フローの UX を変更して、企業固有の機能を含めることができます。必要に応じて、IT 管理者はプロビジョニング時に EMM 提供のブランディングを表示できます。
5.1.1. IT 管理者は、企業固有の利用規約とその他の免責条項を指定することで、プロビジョニング プロセスをカスタマイズできます(termsAndConditions に移動)。
5.1.2. IT 管理者は、構成不可能な EMM 固有の利用規約とその他の免責条項をdeployできます(termsAndConditions を参照)。
- EMM は、構成不可の EMM 固有のカスタマイズをデプロイのデフォルトとして設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。
5.1.3 Android 10 以降のエンタープライズ リソースの primaryColor のサポートが終了しました。
5.2. 企業向けのカスタマイズ
Android Management API はこの機能をサポートしていません。
5.3. 企業向けの高度なカスタマイズ
Android Management API はこの機能をサポートしていません。
5.4. ロック画面メッセージ
IT 管理者は、デバイスのロック画面に常に表示され、デバイスのロック解除を表示する必要がないカスタム メッセージを設定できます。
5.4.1. IT 管理者はカスタムのロック画面メッセージを設定できます(deviceOwnerLockScreenInfo に移動)。
5.5. ポリシーの透明性管理
IT 管理者は、ユーザーがデバイスで管理対象設定を変更しようとしたときや、EMM から提供される一般的なサポート メッセージをデプロイしようとしたときに表示されるヘルプテキストをカスタマイズできます。短いサポート メッセージと長いサポート メッセージはどちらもカスタマイズでき、IT 管理者がすでにアンインストールをブロックしている管理対象アプリをアンインストールしようとした場合などに表示されます。
5.5.1. IT 管理者は、短いおよび長いユーザー向けのサポート メッセージをカスタマイズできます。
5.5.2. IT 管理者は、構成不可の EMM 固有の短い / 長いサポート メッセージをデプロイできます(policies の shortSupportMessage と longSupportMessage に移動)。
- EMM は、設定不可の EMM 固有のサポート メッセージをデプロイのデフォルトに設定できますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。
5.6. クロス プロファイル連絡先管理
5.6.1. IT 管理者は、個人用プロファイルの連絡先検索と着信で仕事用の連絡先の表示を無効にすることができます。
5.6.2. IT 管理者は、自動車やヘッドセットでのハンズフリー通話など、仕事用の連絡先の Bluetooth での連絡先の共有を無効にすることができます。
5.7. クロス プロファイル データ管理
IT 管理者は、仕事用と個人用のプロファイルで共有できるデータの種類を管理できます。これにより、管理者は要件に応じてユーザビリティとデータ セキュリティのバランスを取ることができます。
5.7.1. IT 管理者は、個人用アプリが仕事用プロファイルから共有インテントやウェブリンクなどのインテントを解決できるように、クロス プロファイル データ共有ポリシーを構成できます。
5.7.2. IT 管理者は、仕事用プロファイルのアプリが個人用プロファイルのホーム画面にウィジェットを作成して表示することを許可できます。この機能はデフォルトではオフになっていますが、workProfileWidgets フィールドと workProfileWidgetsDefault フィールドを使用して許可するよう設定できます。
5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイル間でのコピーと貼り付けの機能を制御できます。
5.8. システム アップデート ポリシー
IT 管理者は、無線(OTA)システム アップデート デバイスを設定して適用できます。
5.8.1. IT 管理者は EMM のコンソールを使用して次の OTA 構成を設定できます。
- 自動: デバイスは OTA アップデートが利用可能になると受信します。
- 延期: IT 管理者は OTA アップデートを最大 30 日間延期できる必要があります。このポリシーはセキュリティ アップデート(毎月のセキュリティ パッチなど)には影響しません。
- 時間枠制: IT 管理者は、毎日のメンテナンスの時間枠内に OTA アップデートをスケジュールできる必要があります。
5.8.2. OTA 構成は、ポリシーを介してデバイスに適用されます。
5.9. ロックタスク モードの管理
IT 管理者は、1 つまたは複数のアプリを画面にロックし、ユーザーがアプリを終了できないようにすることが可能です。
5.9.1. IT 管理者は EMM のコンソールを使用して、任意のアプリセットに対してサイレント モードでインストールとデバイスへのロックを許可できます。ポリシーでは、専用デバイスのセットアップが許可されます。
5.10. 永続的な優先アクティビティ管理
IT 管理者は、特定のインテント フィルタに一致するインテントのデフォルト インテント ハンドラとして、アプリを設定できます。たとえば、この機能により、IT 管理者はウェブリンクを自動的に開くブラウザアプリを選択できます。この機能では、ホームボタンのタップ時にどのランチャー アプリを使用するかを管理できます。
5.10.1. IT 管理者は、任意のインテント フィルタの任意のパッケージをデフォルト インテント ハンドラとして設定できます。
- EMM のコンソールでは、構成用の既知のインテントや推奨インテントを任意に提案できますが、インテントを任意のリストに制限することはできません。
- IT 管理者は EMM のコンソールで、該当するユーザーにインストールできるアプリのリストから選択できるようにする必要があります。
5.11. キーガード機能の管理
IT 管理者は、デバイスのキーガード(ロック画面)と仕事用チャレンジ キーガード(ロック画面)のロックを解除する前にユーザーが利用できる機能を管理できます。
5.11.1.ポリシーにより、次のデバイス キーガード機能をオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
- 未編集の通知
5.11.2. 仕事用プロファイルの次のキーガード機能は、ポリシーによってオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
5.12. 高度なキーガード機能の管理
- カメラを保護
- すべての通知
- 未編集
- 信頼エージェント
- 指紋認証
- すべてのキーガード機能
5.13. リモートデバッグ
現在、Android Management API はこの機能をサポートしていません。
5.14. MAC アドレスの取得
EMM はデバイスの MAC アドレスをサイレントで取得して、企業インフラストラクチャの他の部分にあるデバイスを識別するために使用できます(ネットワーク アクセス制御のデバイスを識別する場合など)。
5.14.1. EMM は、デバイスの MAC アドレスをサイレントで取得し、EMM のコンソールでデバイスに関連付けることができます。
5.15. ロックタスク モードの高度な管理
専用デバイスの場合、IT 管理者は EMM のコンソールを使用して次のタスクを実行できます。
5.15.1. 通知せずに1 つのアプリのインストールとデバイスへのロックを許可します。
5.15.2. 次のシステム UI 機能をオンまたはオフにします。
- ホームボタン
- 概要
- グローバル アクション
- 通知
- システム情報 / ステータスバー
- キーガード(ロック画面)。このサブ機能は、5.15.1 が実装されるとデフォルトで有効になります。
5.15.3. [システムエラー ダイアログ] をオフにします。
5.16. 高度なシステム アップデート ポリシー
IT 管理者は、デバイスのシステム アップデートをブロックする凍結期間を指定できます。
5.16.1. IT 管理者は EMM のコンソールで、指定された凍結期間の間、無線(OTA)システム アップデートをブロックできるようにする必要があります。
5.17. 仕事用プロファイル ポリシーの透明性管理
IT 管理者は、デバイスから仕事用プロファイルを削除する際にユーザーに表示されるメッセージをカスタマイズできます。
5.17.1. IT 管理者は、仕事用プロファイルがワイプされたときに表示するカスタム テキストを指定できます(wipeReasonMessage に移動)。
5.18. 接続されているアプリのサポート
IT 管理者は、ConnectedWorkAndPersonalApp を設定することで、仕事用プロファイルの境界を越えて通信できるパッケージのリストを設定できます。
5.19. 手動システム アップデート
Android Management API はこの機能をサポートしていません。
6. デバイス管理のサポート終了
6. デバイス管理のサポート終了
EMM は 2022 年末までに計画を掲載し、2023 年第 1 四半期末までに GMS デバイスでのデバイス管理のカスタマー サポートを終了する必要があります。