デバイス上のユーザー アカウントをアップグレードするには、managed Google Play アカウントから管理対象の Google アカウントに移行します。このプロセスにより、ユーザーの ID がデバイス中心の個人用以外のアカウントから企業の Google ID に移行します。これは、すべての Google サービスでより統合されたユーザー エクスペリエンスを実現するための基盤となります。
概要
このアップグレードの主な目的は、Google 管理コンソールによるユーザー管理の改善、セキュリティの強化、Gemini などの Google サービスや AI 機能へのアクセスなど、強化された機能をユーザーに提供することです。
ユーザー アカウントをアップグレードする主なメリットは次のとおりです。
すべての Google サービスで使用可能: managed Google Play アカウントとは異なり、この新しい ID は Google ドライブ、ドキュメント、Meet などのすべての Google サービスでシームレスに使用できます。また、IT 管理者が許可している場合はデバイスのバックアップも利用できます。
シームレスなユーザー エクスペリエンス: シングル サインオン(SSO)の統合により、ユーザーは企業環境と Gmail などのすべての Google サービスに自動的にログインできます。
ID の直接制御: 組織は、手動、自動、同期ベースの方法で ID ライフサイクルを直接制御できます。
ユーザーがよく知っている ID: 視認性を高めるため、新しいアカウントでは、ユーザーがすでに知っていて使用しているメールアドレスと同じものが使用されます。
前提条件
お客様の Google Workspace ドメインの所有権が証明済みである必要があります。これにより、IT 管理者はユーザー管理を簡素化し、ディレクトリを同期することもできます。
アカウントのアップグレード対象となる各ユーザーの管理対象 Google アカウントが、管理コンソール内に事前に存在している必要があります。
API の変更
このセクションでは、ユーザーのアップグレードをサポートするためのポリシーと不準拠フロー内の主な API の変更について説明します。ユーザーのアップグレードでは、enterprises.policies 内に新しいフィールドが追加され、新しい不適合の理由をサポートするために enterprises.devices に新しい列挙型が追加されます。
アカウントのアップグレード プロセス
アカウントをアップグレードするには、IT 管理者がデバイスのポリシーを更新して、認証に管理対象の Google アカウントを必須にします。これは、workAccountSetupConfig を使用して認証タイプを GOOGLE_AUTHENTICATED に設定することで行われます。
省略可能な requiredAccountEmail パラメータを使用すると、IT 管理者は、ユーザーがセットアップを正常に完了するために使用する必要があるアカウントを正確に指定できます。
構成と、必要なアカウントがデバイスにすでに存在するかどうかによって、特定の管理対象 Google アカウントまたは有効な管理対象 Google アカウントの追加を求めるメッセージが表示されるか、バックグラウンドで自動的にアップグレードが行われます。
完了すると、新しい管理対象 Google アカウントがデバイス管理のメイン アカウントになり、以前の管理対象 Google Play アカウントに代わります。
コンプライアンス違反の新しい理由
新しい不準拠の理由が追加され、IT 管理者はユーザーのログイン時に発生したさまざまなシナリオに基づいてポリシーの適用をトリガーできるようになりました。
ユーザーが入力したアカウントが requiredAccountEmail と一致しない場合、エラー メッセージがすぐに画面に表示されます。
IT 管理者が誤って企業ドメインに含まれない必須のメールアドレスを指定すると、非準拠の理由 REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE が返されます。
requiredAccountEmail が指定されておらず、ユーザーが企業に属していないアカウントを入力しようとすると、非準拠の理由 NEW_ACCOUNT_NOT_IN_ENTERPRISE が返されます。
ユーザー アップグレードのシナリオ
これらのユーザー ジャーニーは、ユーザー アップグレード機能を実装して使用する際の一般的なシナリオと結果を示しています。IT 管理者とエンドユーザーの両方の視点からエクスペリエンスをカバーします。すべてのシナリオで、デバイスが最初に管理対象の Google Play アカウントに登録されていることを前提としています。
お客様をより適切にサポートし、ソリューションで検証するためにも、これらのジャーニーをよく理解しておくことをおすすめします。
特定の管理対象 Google アカウントでのアップグレードが成功していること
デバイスのポリシーで authenticationType が GOOGLE_AUTHENTICATED に設定され、特定の requiredAccountEmail が設定されている場合、ユーザーにその管理対象 Google アカウントを追加するよう求めるメッセージが表示されます。ユーザーがログインすると、デバイスは新しいポリシーを同期し、準拠状態になります。これにより、以前の managed Google Play エンタープライズ アカウントが削除され、デバイスは主に指定された managed Google アカウントによって管理されるようになります。
特定の管理対象 Google アカウントを必要としないアップグレードの成功
デバイスのポリシーで authenticationType が GOOGLE_AUTHENTICATED に設定されているが、requiredAccountEmail が指定されていない場合、管理対象の Google アカウントを追加するようユーザーに求められます。Google ログイン画面にはアカウントが事前入力されないため、ユーザーは企業の有効な管理対象 Google アカウントを追加します。デバイスは準拠状態になり、新しい管理対象の Google アカウントで管理されます。その結果、以前の managed Google Play エンタープライズ アカウントが削除され、デバイスは主に指定された managed Google アカウントによって管理されるようになります。
必要な管理対象 Google アカウントがすでに存在する場合のサイレント アップグレード
デバイスのポリシーが authenticationType を GOOGLE_AUTHENTICATED に設定し、特定の requiredAccountEmail を指定して構成されており、その指定された管理対象 Google アカウントがデバイスにすでに存在する場合、ユーザーにプロンプトが表示されることなく、アップグレードが自動的に行われます。managed Google Play の企業アカウントが削除され、既存の管理対象 Google アカウントがデバイス管理のメイン アカウントになります。
ユーザー選択によるアップグレードのプロンプト(既存のアカウント、特定のアカウントは不要)
デバイスのポリシーで authenticationType が特定の requiredAccountEmail なしで GOOGLE_AUTHENTICATED に設定され、有効な管理対象 Google アカウントがデバイスにすでに存在する場合、Android Device Policy はユーザーにアカウントの選択または追加を求めるプロンプトを表示します。ユーザーにアカウント選択ツールが表示されることがあります。サイレント アップグレードではないため、選択した管理対象 Google アカウントを選択または追加する必要があります。デバイスが準拠状態になり、選択した管理対象 Google アカウントがデバイスの管理のメイン アカウントとして機能します。
登録直後にアップグレードがトリガーされる
デバイスのポリシーが登録前に authenticationType を GOOGLE_AUTHENTICATED、requiredAccountEmail を設定して構成されている場合、デバイスは最初に managed Google Play アカウントを取得します。登録が完了するとすぐに、Android デバイス ポリシーによって、必要な管理対象の Google アカウントを追加するようユーザーに求めるメッセージが表示されます。ユーザーが Google ログイン画面からアカウントを追加すると、デバイスが同期され、準拠状態になり、managed Google Play アカウントが削除されます。
ポリシーの適用とコンプライアンス
Android デバイス ポリシーには、必要なアップグレードやその他のポリシーの更新をユーザーに案内するのに役立つコンプライアンス アクションが組み込まれています。これらのアクションは、IT 管理者が準拠していないデバイスの修復を管理するためのツールも提供します。
デバイスのブロックまたはワイプにつながるコンプライアンス違反
デバイスのポリシーで管理対象の Google アカウントが必須(たとえば、authenticationType が GOOGLE_AUTHENTICATED で、requiredAccountEmail が設定されている場合)であり、ブロックまたはワイプを指定する policyEnforcementRules も設定されている場合、ユーザーがポリシーに準拠していない状態が続くと、Android デバイス ポリシーに警告が表示されます。ブロックの期間を超えてコンプライアンス違反が続く場合、デバイスの使用はブロックされます。ワイプの日数を超えても問題が解決しない場合は、デバイスが工場出荷時の状態にリセットされます。これは、既存の不適合フローと似ています。
不正なアカウントによるログインの試み(ログイン時にブロック)
デバイス ポリシーで requiredAccountEmail を使用する特定の管理対象 Google アカウントが要求されているにもかかわらず、ユーザーが別の管理対象 Google アカウントでログインしようとすると、Google ログイン画面に直接エラー メッセージが表示されます。これにより、不正なログインを防ぐことができます。たとえば、「仕事用ポリシーにより、指定された仕事用アカウントが必要です」というメッセージが表示されます。
企業外のアカウントでログインしようとした(アカウントが削除された)
デバイスのポリシーで管理対象の Google アカウントが必須であるにもかかわらず requiredAccountEmail が設定されておらず、ユーザーが EMM リンクのエンタープライズに属していないアカウントでログインした場合、承認されていないアカウントは自動的に削除されます。ユーザーは、有効なアカウントで再度ログインするよう求められます。デバイスのステータス レポートには、nonComplianceReason が USER_ACTION で、特定の理由が NEW_ACCOUNT_NOT_IN_ENTERPRISE であることが反映されます。
管理者の構成ミス: 必要なアカウントがエンタープライズに含まれていない
管理者が企業に属していない requiredAccountEmail を設定してポリシーを誤って構成した場合、Android Device Policy にエラー メッセージが表示されます。このメッセージのタイトルは「IT 管理者に連絡してください」になる可能性があります。デバイスは非準拠のままとなり、デバイス ステータス レポートには、特定の理由 REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE により USER_ACTION の nonComplianceReason が反映されます。管理者が有効なメイン アカウントでポリシーを修正した後でのみ、ユーザーはアップグレードを続行できます。
