Android Enterprise の機能リスト

1.1.1. EMM の DPC は Google Play で一般公開されている必要があります。これにより、ユーザーはデバイスの個人用プロファイルに DPC をインストールできます。

1.1.2. インストールが完了したら、DPC は仕事用プロファイルのプロビジョニング プロセスをユーザーに案内する必要があります。

1.1.3. プロビジョニングが完了すると、デバイスの個人用側に管理の痕跡は残らなくなります。

• プロビジョニング中に設定されたポリシーはすべて削除する必要があります。
• アプリの権限を取り消す必要があります。
• EMM の DPC は、少なくともデバイスの個人用プロファイル側でオフになっている必要があります。

1.2.1. EMM の DPC は Google Play で一般公開されている必要があります。DPC 固有の識別子を入力することで、デバイス設定ウィザードから DPC をインストールできるようにする必要があります。

1.3.1. EMM は、少なくとも 888 バイトのメモリを備えた NFC フォーラム タイプ 2 タグを使用しなければなりません。プロビジョニングでは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID などの機密情報以外の登録の詳細をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。

1.4.1. QR コードは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID などの機密情報以外の登録の詳細をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。

1.4.2. EMM の DPC がデバイスをセットアップした後、DPC はすぐに開き、デバイスが完全にプロビジョニングされるまで画面にロックされる必要があります。

1.5.1. IT 管理者は、ゼロタッチ登録: IT 管理者向けで説明されているゼロタッチ登録方法を使用して、会社所有デバイスをプロビジョニングできます。

1.6.1. IT 管理者は、ゼロタッチ登録: IT 管理者向けで説明されているゼロタッチ登録方法を使用して、会社所有デバイスをプロビジョニングできます。

1.6.2. EMM の DPC がデバイスを設定した後、EMM の DPC はすぐに開き、デバイスが完全にプロビジョニングされるまで画面にロックされる必要があります。

• ゼロタッチ登録の登録情報を使用して、サイレントで完全にプロビジョニングされるデバイス（専用デバイスのデプロイなど）では、この要件は免除されます。

1.6.3. 登録の詳細情報を使用して、EMM の DPC は、DPC が呼び出されたときに承認されていないユーザーがアクティベーションを続行できないようにする必要があります。少なくとも、アクティベーションは特定の企業のユーザーに限定されなければなりません。

1.6.4. 登録の詳細を使用して、EMM の DPC は、一意のユーザーまたはデバイス情報（ユーザー名/パスワード、アクティベーション トークンなど）以外の登録の詳細（サーバー ID、登録 ID など）を IT 管理者が事前入力できるようにする必要があります。これにより、ユーザーはデバイスを有効にする際に詳細を入力する必要がなくなります。

• EMM は、ゼロタッチ登録の構成にパスワードや証明書などの機密情報を含めてはなりません。

1.8.1. Google アカウント プロビジョニング メソッドは、定義された実装ガイドラインに従って、会社所有のデバイスをプロビジョニングします。

1.8.2. EMM がデバイスを企業資産として明確に識別できない限り、プロビジョニング プロセス中にプロンプトなしでデバイスをプロビジョニングすることはできません。このプロンプトでは、チェックボックスをオンにする、デフォルト以外のメニュー項目を選択するなど、デフォルト以外の操作を行う必要があります。EMM がデバイスを企業資産として識別できるようにすることが推奨されます。そうすれば、プロンプトは不要になります。

1.10.1. 意図的に空白。

1.10.2. IT 管理者は、会社所有デバイスの仕事用プロファイルにコンプライアンス アクションを設定できます。

1.10.3. IT 管理者は、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。

1.10.4. IT 管理者は、仕事用プロファイルまたはデバイス全体でスクリーン キャプチャを無効にできます。

1.10.5. IT 管理者は、個人用プロファイルにインストールできないアプリのブロックリストを設定できます。

2.1.1. ポリシーは、デバイスのセキュリティ チャレンジを管理する設定を適用しなければなりません（仕事用プロファイルの場合は parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの場合は passwordRequirements）。

2.1.2. パスワードの複雑さは、次のパスワードの複雑さにマッピングする必要があります。

• PASSWORD_COMPLEXITY_LOW - 反復（例: 4444）または連続（例: 1234、4321、2468）する文字列を含むパターンまたは PIN。
• PASSWORD_COMPLEXITY_MEDIUM - 反復（例: 4444）または連続（例: 1234、4321、2468）する文字列を含まない PIN、または長さが 4 文字以上のアルファベットまたは英数字のパスワード
• PASSWORD_COMPLEXITY_HIGH - 反復（例: 4444）または連続（例: 1234、4321、2468）する文字列を含まず、長さが 8 文字以上の PIN、または長さが 6 文字以上の英字または英数字のパスワード

2.2.1. ポリシーは仕事用プロファイルのセキュリティ チャレンジを適用する必要があります。デフォルトでは、IT 管理者は仕事用プロファイルのみに制限を設定する必要があります。スコープが指定されていない場合、IT 管理者はスコープを指定することで、デバイス全体に制限を設定できます（要件 2.1 を参照）。

2.1.2. パスワードの複雑さは、次のパスワードの複雑さにマッピングする必要があります。

• PASSWORD_COMPLEXITY_LOW - 反復（例: 4444）または連続（例: 1234、4321、2468）する文字列を含むパターンまたは PIN。
• PASSWORD_COMPLEXITY_MEDIUM - 反復（例: 4444）または連続（例: 1234、4321、2468）する文字列を含まない PIN、または長さが 4 文字以上のアルファベットまたは英数字のパスワード
• PASSWORD_COMPLEXITY_HIGH - 反復（例: 4444）または連続（例: 1234、4321、2468）する文字列を含まず、長さが 8 文字以上の PIN、または長さが 6 文字以上の英字または英数字のパスワード

2.3.2. 意図的に空白。

2.3.3. デバイスで利用可能な各ロック画面に対して、次のパスワード ライフサイクル設定を設定できます。

1. 意図的に空白
2. 意図的に空白
3. ワイプの最大パスワード失敗回数: デバイスから企業データがワイプされるまでに、ユーザーが間違ったパスワードを入力できる回数を指定します。IT 管理者はこの機能を無効にできる必要があります。

2.4.1. IT 管理者は、デバイスで利用可能なロック画面ごとに、Smart Lock 信頼エージェントを個別に無効にできます。

2.4.2. IT 管理者は、デバイスで利用可能な各ロック画面に対して、Bluetooth、NFC、場所、顔、装着状態、音声の各信頼できるエージェントについて、Smart Lock の信頼できるエージェントを選択的に許可して設定できます。

• IT 管理者は、利用可能な Trust Agent 構成パラメータを変更できます。

2.5.1. EMM の DPC はデバイスをロックする必要があります。

2.7.1. EMM の DPC は、仕事用プロファイルが設定された Android 8.0 以降のデバイスの個人用側にインストールされたアプリを含め、提供元不明のアプリのインストールをブロックしなければなりません。

2.8.1. EMM の DPC は、デフォルトでセーフモードでの起動をオフにしなければなりません。

2.8.2. プロビジョニングの初回起動時に、EMM の DPC を開き、画面にロックして、他の方法でデバイスを操作できないようにする必要があります。

EMM は Play Integrity API を使用して、デバイスが有効な Android デバイスであることを確認します。

2.9.1. EMM の DPC は、プロビジョニング中に Play Integrity API を実装します。デフォルトでは、デバイスの完全性が MEETS_STRONG_INTEGRITY の場合にのみ、企業データを含むデバイスのプロビジョニングを完了します。

2.9.2. EMM の DPC は、デバイスが EMM のサーバーにチェックインするたびに、別の Play Integrity チェックを実行します。これは IT 管理者が構成できます。EMM サーバーは、完全性チェックのレスポンスに含まれる APK 情報とレスポンス自体を検証してから、デバイスの企業ポリシーを更新します。

2.9.3. IT 管理者は、プロビジョニングのブロック、企業データのワイプ、登録の続行の許可など、Play Integrity チェックの結果に基づいてさまざまなポリシー対応を設定できます。

• EMM サービスは、完全性チェックの結果ごとにこのポリシー レスポンスを適用します。

2.11.1. EMM の DPC は、DPC の認証情報暗号化ストレージが復号される前に、デバイス暗号化ストレージを利用して重要な管理機能を実行します。ダイレクト ブート中に利用可能な管理機能には、以下が含まれなければなりません（ただし、これらに限定されません）。

• エンタープライズ ワイプ。必要に応じて出荷時の設定へのリセット保護データをワイプする機能を含む。

2.11.2. EMM の DPC は、デバイスの暗号化されたストレージ内の企業データを公開してはなりません。

2.12.1. IT 管理者は、デバイスでユーザーが物理的な外部メディアをマウントできないようにブロックできます。

2.12.2. IT 管理者は、ユーザーが NFC ビームを使用してデバイスからデータを共有することをブロックできます。Android 10 以降では NFC ビーム機能がサポートされなくなったため、このサブ機能は省略可能です。

2.13.1. IT 管理者は特定のデバイスのセキュリティ ロギングを有効にできます。EMM の DPC は、セキュリティ ログと再起動前のセキュリティ ログの両方を自動的に取得できる必要があります。

2.13.2. IT 管理者は、EMM のコンソールで、特定のデバイスと設定可能な期間のエンタープライズ セキュリティ ログを確認できます。

3.1.1. 既存の管理対象の Google ドメインを持つ管理者は、ドメインを EMM にバインドできます。

3.1.2. EMM のコンソールは、各エンタープライズに対して一意の ESA をサイレントでプロビジョニングして設定する必要があります。

3.1.3. Play EMM API を使用して、企業登録を解除します。

3.1.4. EMM コンソールは、管理者が Android の登録フローで仕事用メールアドレスを入力するように促し、Gmail アカウントの使用を推奨しないようにします。

3.2.1. EMM の DPC は、定義された実装ガイドラインに従って、管理対象 Google Play アカウントをサイレントでプロビジョニングして有効にできます。この場合:

• タイプ userAccount の管理対象 Google Play アカウントがデバイスに追加されます。
• タイプ userAccount の managed Google Play アカウントは、EMM のコンソールの実際のユーザーと 1 対 1 でマッピングされている必要があります。

3.4.1. EMM の DPC は、定義された実装ガイドラインに従って、管理対象 Google Play アカウントをサイレントでプロビジョニングして有効にできます。この場合:

1. タイプ userAccount の管理対象 Google Play アカウントがデバイスに追加されます。
2. タイプ userAccount の managed Google Play アカウントは、EMM のコンソールの実際のユーザーと 1 対 1 でマッピングされている必要があります。

3.5.1. EMM コンソールは、IT 管理者が管理対象デバイスに仕事用アプリをインストールできるように、Play EMM API を使用する必要があります。

3.5.2. EMM コンソールは、Play EMM API を使用して、IT 管理者が管理対象デバイスの仕事用アプリを更新できるようにする必要があります。

3.6.1. EMM のコンソールは、任意の Google Play アプリの管理対象構成設定を取得して表示できる必要があります。

• EMM は Products.getAppRestrictionsSchema を呼び出してアプリの管理対象設定スキーマを取得するか、EMM コンソールに管理対象設定フレームを埋め込むことができます。

3.6.2. EMM のコンソールでは、IT 管理者が Play EMM API を使用して、任意の Play アプリに対して任意の構成タイプ（Android フレームワークで定義）を設定できる必要があります。

3.6.3. EMM のコンソールでは、IT 管理者がワイルドカード（$username$ や %emailAddress% など）を設定できるようにする必要があります。これにより、Gmail などのアプリの単一の設定を複数のユーザーに適用できます。管理対象構成の iframe は、この要件を自動的にサポートします。

3.7.1. EMM のコンソールには、配信が承認されたアプリのリストが表示されます。このリストには次のものが含まれます。

• 管理対象の Google Play で購入したアプリ
• IT 管理者に公開される非公開アプリ
• プログラムで承認されたアプリ

3.10.1. IT 管理者は、EMM のコンソールで次の操作を行って、managed Google Play ストアのレイアウトをカスタマイズできます。

• ストア レイアウト ページは 100 件まで作成できます。ページには任意の数のローカライズされたページ名を設定できます。
• 各ページに最大 30 個のクラスタを作成できます。クラスタには、任意の数のローカライズされたクラスタ名を設定できます。
• 各クラスタに最大 100 個のアプリを割り当てます。
• 各ページに最大 10 個のクイック リンクを追加できます。
• クラスタ内のアプリと、ページ内のクラスタの並べ替え順序を指定します。

3.11.1. 企業向けに承認された有料アプリの場合、EMM のコンソールに次の項目が表示される必要があります。

• 購入したライセンスの数。
• 使用されたライセンスの数と、ライセンスを使用しているユーザー。
• 配布可能なライセンスの数。

3.11.2. IT 管理者は、ユーザーのデバイスにアプリを強制的にインストールすることなく、ユーザーにライセンスを自動的に割り当てることができます。

3.12.1. IT 管理者は、すでに非公開で企業に公開されているアプリの新しいバージョンを次の方法でアップロードできます。

詳しくは、IT 管理者向けの限定公開アプリのサポートをご覧ください。

3.13.1. EMM のコンソールは、次の両方のオプションを提供することで、IT 管理者がアプリの APK をホストできるようにする必要があります。

• EMM のサーバーで APK をホストする。サーバーはオンプレミスまたはクラウドベースにできます。
• IT 管理者の裁量で、EMM のサーバー外で APK をホストします。IT 管理者は、EMM コンソールで APK のホスト場所を指定する必要があります。

3.13.2. EMM のコンソールは、提供された APK を使用して適切な APK 定義ファイルを生成し、IT 管理者に公開プロセスを案内する必要があります。

3.13.3. IT 管理者はセルフホスト型の限定公開アプリを更新できます。EMM のコンソールは、Google Play Developer Publishing API を使用して、更新された APK 定義ファイルをサイレントで公開できます。

3.13.4. EMM のサーバーは、リクエストの Cookie に有効な JWT が含まれている自己ホスト型 APK のダウンロード リクエストのみを処理します。この JWT は、非公開アプリの公開鍵で検証されます。

• このプロセスを容易にするため、EMM のサーバーは、IT 管理者がセルフホスト型アプリのライセンス公開鍵を Google Play Console からダウンロードし、この鍵を EMM コンソールにアップロードするよう案内する必要があります。

3.14.1. EMM は、Google Play の EMM 通知を使用して通知セットをプルする必要があります。

3.14.2. EMM は、次の通知イベントについて IT 管理者に自動的に通知する必要があります（自動メールなど）。

• newPermissionEvent: アプリをユーザーのデバイスにサイレント インストールまたは更新する前に、IT 管理者が新しいアプリの権限を承認する必要があります。
• appRestrictionsSchemaChangeEvent: 意図した効率を維持するために、IT 管理者がアプリの管理対象構成を更新する必要がある場合があります。
• appUpdateEvent: コア ワークフローのパフォーマンスがアプリの更新によって影響を受けないことを検証したい IT 管理者にとって有用です。
• productAvailabilityChangeEvent: アプリのインストールやアプリのアップデートの取得に影響する可能性があります。
• installFailureEvent: Play がデバイスにアプリをサイレント インストールできません。デバイスの構成にインストールを妨げる何かがある可能性があります。この通知を受け取った後、EMM はすぐにサイレント インストールを再試行しないでください。Google Play 独自の再試行ロジックはすでに失敗しているためです。

3.14.3. EMM は、次の通知イベントに基づいて適切なアクションを自動的に実行します。

• newDeviceEvent: デバイスのプロビジョニング中、EMM は newDeviceEvent を待ってから、新しいデバイスに対する後続の Play EMM API 呼び出し（アプリのサイレント インストールや管理対象構成の設定など）を行う必要があります。
• productApprovalEvent: productApprovalEvent 通知を受信したとき、アクティブな IT 管理者セッションがある場合、または承認済みアプリのリストが各 IT 管理者セッションの開始時に自動的に再読み込みされない場合、EMM はデバイスに配信するために EMM コンソールにインポートされた承認済みアプリのリストを自動的に更新しなければなりません。

3.15.1. EMM は、Play EMM API の使用上限を遵守する必要があります。これらのガイドラインを超える動作を修正しない場合、Google の裁量により API の使用が停止されることがあります。

3.15.2. EMM は、企業トラフィックを特定の時間帯に統合するのではなく、さまざまな企業のトラフィックを 1 日を通して分散する必要があります。このトラフィック パターンに適合する動作（登録された各デバイスのバッチ オペレーションのスケジュール設定など）は、Google の判断により API の使用が一時停止される可能性があります。

• Managed Google Play iFrame 、または
• カスタム UI。

3.16.2. IT 管理者が設定したときに、EMM のコンソールがアプリのフィードバック チャネルから返されたフィードバックを取得して表示できる必要があります。

• EMM のコンソールでは、IT 管理者が特定のフィードバック項目を、そのフィードバック項目が送信されたデバイスやアプリに関連付けることができる必要があります。
• EMM のコンソールで、IT 管理者が特定タイプのメッセージ（エラー メッセージなど）のアラートやレポートを購読できるようにする必要があります。

3.16.3. EMM のコンソールは、次のいずれかの値のみを送信する必要があります。デフォルト値が設定されているか、管理者が手動で設定した値

• 管理対象設定 iframe
• カスタム UI。

3.17.1. IT 管理者は、EMM のコンソールを使用して、次の方法でウェブアプリへのショートカットを配布できます。

3.18.1. EMM は、Play EMM API デベロッパー ドキュメントで定義されている実装ガイドラインに沿って、managed Google Play アカウントのライフサイクルを管理できます。

3.18.2. EMM は、ユーザーの操作なしで managed Google Play アカウントを再認証できます。

3.20.2. IT 管理者は、アプリのアプリの更新を 90 日間延期することを許可できます。

3.22.1. EMM コンソールを使用すると、IT 管理者は 必要な API を使用して、既存の managed Google Play アカウント エンタープライズを Managed Google Domains エンタープライズにアップグレードできます。

3.23.1. EMM の DPC は、定義された実装ガイドラインに従って管理対象 Google アカウントをプロビジョニングできます。

この場合:

• 管理対象の Google アカウントがデバイスに追加された。
• 管理対象の Google アカウントは、EMM のコンソールで実際のユーザーと 1 対 1 でマッピングされている必要があります。

3.23.2. IT 管理者はこのポリシーを使用して、登録用の管理対象 Google アカウントにログインするオプションをユーザーに提供できます。

3.23.3. IT 管理者はこのポリシーを使用して、登録を完了するために管理対象の Google アカウントにログインする必要があるかどうかを制御できます。

3.24.1. IT 管理者は、デバイス上の既存の managed Google Play アカウントを管理対象 Google アカウントにアップグレードできます。

4.1.1. IT 管理者は、組織のデフォルトの実行時の権限ポリシーを設定する際に、次のオプションから選択できる必要があります。

• プロンプト（ユーザーが選択可能）
• allow
• 拒否

4.3.1. EMM の DPC を使用して SSID を設定します。

4.4.1. EMM の DPC を使用した ID。

4.4.2. EMM の DPC を使用したクライアント認証用の証明書。

4.5.1. IT 管理者は、次のいずれかの構成で企業 Wi-Fi 構成をロックダウンできます。

• ユーザーは EMM によってプロビジョニングされた Wi-Fi 構成を変更することはできませんが、ユーザーが構成可能な独自のネットワーク（個人用ネットワークなど）を追加して変更することはできます。
• ユーザーはデバイスで Wi-Fi ネットワークを追加または変更することはできません。Wi-Fi 接続は EMM によってプロビジョニングされたネットワークのみに制限されます。

4.6.1. IT 管理者は、アカウントの追加や変更を禁止できます。

• デバイスにこのポリシーを適用する場合、EMM はプロビジョニングが完了する前にこの制限を設定する必要があります。これにより、ポリシーが有効になる前にアカウントを追加してこのポリシーを回避することを防ぐことができます。

4.8.1. IT 管理者は、PKI で生成されたユーザー ID 証明書をユーザーごとにインストールできます。EMM のコンソールは、少なくとも 1 つの PKI と統合し、そのインフラストラクチャから生成された証明書を配布する必要があります。

4.9.1. デバイスに配布されるアプリについて、IT 管理者は、実行時にアプリにアクセス権限が自動的に付与される証明書を指定できます。

• 証明書の選択は、すべてのユーザーに適用される単一の構成を許可するのに十分な汎用性が必要です。各ユーザーは、ユーザー固有の ID 証明書を持つことができます。

4.9.2. IT 管理者は、管理対象のキーストアから証明書をサイレントに削除できます。

4.9.3. IT 管理者は、CA 証明書またはシステム以外のすべての CA 証明書をサイレント アンインストールできます。

4.9.4. IT 管理者は、ユーザーが管理対象キーストアで認証情報を構成できないようにすることができます。

4.10.1. IT 管理者は、DPC によって委任された証明書管理アプリとして設定する証明書管理パッケージを指定します。

• コンソールは、既知の証明書管理パッケージを提案しても構いませんが、IT 管理者がインストール可能なアプリのリストから、該当するユーザーに対して選択できるようにする必要があります。

4.11.1. IT 管理者は、常時接続 VPN として設定する任意の VPN パッケージを指定できます。

• EMM のコンソールでは、常時接続 VPN をサポートする既知の VPN パッケージを任意で提案できますが、常時接続の設定で使用できる VPN を任意のリストに制限することはできません。

4.11.2. IT 管理者は、管理対象設定を使用してアプリの VPN 設定を指定できます。

4.12.1. IT 管理者は、任意の長さの IME 許可リストを設定できます（空のリストも可。空のリストはシステム以外の IME をブロックします）。このリストには任意の IME パッケージを含めることができます。

• EMM のコンソールでは、許可リストに含める既知の IME または推奨される IME をオプションで提案できますが、IT 管理者がインストール可能なアプリのリストから該当するユーザーを選択できるようにする必要があります。

4.13.1. IT 管理者は、任意の長さの IME 許可リストを設定できます（空のリストは、システム IME を含むすべての IME をブロックするため除きます）。このリストには、任意の IME パッケージを含めることができます。

• EMM のコンソールでは、許可リストに含める既知の IME または推奨される IME をオプションで提案できますが、IT 管理者がインストール可能なアプリのリストから該当するユーザーを選択できるようにする必要があります。

4.13.2. EMM は、IT 管理者が空の許可リストを設定できないようにする必要があります。この設定を行うと、システム IME を含むすべての IME がデバイスで設定できなくなります。

4.14.1. IT 管理者は、任意の長さのユーザー補助サービス許可リストを設定できます（空のリストも可。空のリストはシステム以外のユーザー補助サービスをブロックします）。このリストには任意のユーザー補助サービス パッケージを含めることができます。仕事用プロファイルに適用すると、個人用プロファイルと仕事用プロファイルの両方に影響します。

• コンソールは、許可リストに含める既知のユーザー補助サービスや推奨されるユーザー補助サービスを提案できますが、IT 管理者がインストール可能なアプリのリストから該当するユーザー向けに選択できるようにする必要があります。

4.16.1. IT 管理者は、デバイスの位置情報サービスを設定して、次の各モードにすることができます。

• 高精度] をタップします。
• センサーのみ（GPS など）。ネットワークから提供される位置情報は含まれません。
• バッテリー節約モード。更新頻度が制限されます。
• オフ。

4.17.1. IT 管理者は、ユーザーが [設定] からデバイスを初期状態にリセットできないようにすることができます。

4.17.2. IT 管理者は、出荷時設定へのリセット後にデバイスのプロビジョニングを許可する企業アカウントを指定できます。

• このアカウントは個人に紐付けることも、企業全体でデバイスのロック解除に使用することもできます。

4.17.3. IT 管理者は、指定したデバイスの出荷時設定へのリセット保護機能を無効にできます。

4.17.4. IT 管理者は、リモートでデバイスのワイプを開始できます。このとき、必要に応じてリセット保護データをワイプし、リセットされたデバイスの出荷時設定へのリセット保護機能を削除できます。

4.18.1. IT 管理者は、任意の管理対象アプリ、またはすべての管理対象アプリのアンインストールをブロックできます。

4.21.1. IT 管理者は、特定のデバイスと構成可能な時間枠について、仕事用プロファイルのネットワーク統計情報の概要をクエリし、EMM のコンソールでこれらの詳細を表示できます。

4.21.2. IT 管理者は、特定のデバイスと設定可能な期間について、仕事用プロファイルのネットワーク使用状況の統計情報でアプリの概要をクエリし、EMM のコンソールで UID ごとに整理された詳細情報を表示できます。

4.21.3. IT 管理者は、特定のデバイスと構成可能な期間について、仕事用プロファイルのネットワーク使用履歴データをクエリし、EMM のコンソールで UID ごとに整理された詳細情報を確認できます。

4.22.1. IT 管理者は、デバイス全体のネットワーク統計情報の概要をクエリしたり、特定のデバイスと構成可能な時間枠のネットワーク統計情報の概要をクエリしたりして、EMM のコンソールでこれらの詳細を表示できます。

4.22.2. IT 管理者は、特定のデバイスと設定可能な期間について、アプリのネットワーク使用状況の統計情報の概要をクエリし、EMM のコンソールで UID ごとに整理された詳細情報を確認できます。

IT 管理者は、マネージド デバイスをリモートで再起動できます。

4.23.1. IT 管理者は、管理対象デバイスをリモートで再起動できます。

4.24.1. IT 管理者は、サービス プロバイダから送信されるセルブロードキャスト（AMBER アラートなど）を無効にできます。

4.24.2. IT 管理者は、設定でユーザーがモバイル ネットワーク設定を変更できないようにすることができます。

4.24.3. IT 管理者は、ユーザーが [設定] でネットワーク設定をリセットできないようにすることができます。

4.24.4. IT 管理者は、ローミング中のモバイルデータの使用を許可または禁止できます。

4.24.5. IT 管理者は、緊急通報を除き、デバイスから電話をかけられるかどうかを設定できます。

4.24.6. IT 管理者は、デバイスでテキスト メッセージの送受信を許可するかどうかを設定できます。

4.24.7. IT 管理者は、テザリングによってユーザーがデバイスをポータブル ホットスポットとして使用できないようにすることができます。

4.24.8. IT 管理者は、Wi-Fi のタイムアウトをデフォルト、電源に接続しているときのみ、なしに設定できます。

4.25.1. IT 管理者は、管理対象デバイスをサイレント モードにできます。

4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにすることができます。

4.25.3. IT 管理者は、ユーザーがデバイスのマイクのミュートを解除できないようにすることができます。

4.26.1. IT 管理者は、システムの自動時刻を強制適用し、ユーザーがデバイスの日付と時刻を設定できないようにすることができます。

4.26.2. IT 管理者は、自動時刻と自動タイムゾーンの両方をサイレントでオフまたはオンにできます。

4.27.1. IT 管理者はデバイスのキーガードを無効にできます。

4.27.2. IT 管理者は、デバイスのステータスバーをオフにして、通知とクイック設定をブロックできます。

4.27.3. IT 管理者は、デバイスが電源に接続されている間、デバイスの画面をオンのままにするように設定できます。

4.27.4. IT 管理者は、次のシステム UI が表示されないようにすることができます。

• トースト
• アプリケーション オーバーレイ。

IT 管理者は、個々のパッケージに追加の権限を委任できます。

4.28.1. IT 管理者は、次のスコープを管理できます。

• 証明書のインストールと管理
• 意図的に空白
• ネットワーク ログ
• セキュリティ ロギング （個人所有デバイスの仕事用プロファイルではサポートされていません）

Android 12 以降では、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、出荷時の設定にリセットしても維持される登録固有の ID を通じて、仕事用プロファイルが設定されたデバイスのライフサイクルを追跡できます。

4.29.1. IT 管理者は、登録固有の ID を設定および取得できます。

4.30.1 IT 管理者は、デバイス（または仕事用プロファイル内）ですべての認証情報マネージャーを任意でブロックできます。

4.30.2 IT 管理者は、プリロードされた（システムアプリ）認証情報マネージャーのみを許可するように指定できます。

4.31.1 IT 管理者は、デバイスに eSIM プロファイルをサイレントでプロビジョニングできます。

4.31.2 IT 管理者は、デバイスから管理対象 eSIM を削除できます。

4.31.3 IT 管理者は、[設定] でユーザーがモバイル ネットワーク設定を変更できないようにすることができます（mobileNetworksConfigDisabled を参照）。

4.31.4 IT 管理者がデバイスまたは仕事用プロファイルに対してリモート ワイプを実行する場合、管理対象の eSIM をデバイスから削除するオプションもあります。デフォルトでは、管理対象の eSIM は個人所有デバイスの仕事用プロファイルから削除されますが、会社所有デバイスでは保持されます。

4.31.5（任意）IT 管理者は、EMM コンソール UI（または同等の方法）を使用してデバイスの EID（Embedded Identity Document）識別子を取得し、これらの値をエクスポートできます。

5.1.1. IT 管理者は、企業のカラー、企業のロゴ、企業の利用規約やその他の免責事項などの企業固有の詳細を指定して、プロビジョニング プロセスをカスタマイズできます。

5.1.2. IT 管理者は、EMM の色、EMM のロゴ、EMM の利用規約やその他の免責事項などの詳細を含む、構成不可能な EMM 固有のカスタマイズをデプロイできます。

Android 10 以降のエンタープライズ リソースでは、5.1.3 [primaryColor] が非推奨になりました。

• EMM 固有のカスタマイズが使用されない場合でも、EMM は、システム プロビジョニングの免責事項バンドルで、プロビジョニング フローのプロビジョニング利用規約とその他の免責事項を含める必要があります。
• EMM は、構成不可能な EMM 固有のカスタマイズをすべてのデプロイのデフォルトとして設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。

5.2.1. IT 管理者は、仕事のチャレンジの背景色として使用する組織の色を設定できます。

5.2.2. IT 管理者は仕事用プロファイルの表示名を設定できます。

5.2.3. IT 管理者は、仕事用プロファイルのユーザー アイコンを設定できます。

5.2.4. IT 管理者は、ユーザーが仕事用プロファイルのユーザー アイコンを変更できないようにすることができます。

5.3.1. IT 管理者は、管理対象デバイスの表示名を設定できます。

5.3.2. IT 管理者は、管理対象デバイスのユーザー アイコンを設定できます。

5.3.3. IT 管理者は、ユーザーがデバイスのユーザー アイコンを変更できないようにすることができます。

5.3.4. IT 管理者はデバイスの壁紙を設定できます。

5.5.1. IT 管理者は、短いサポート メッセージと長いサポート メッセージの両方をカスタマイズします。

5.5.2. IT 管理者は、構成不可の EMM 固有の短いサポート メッセージと長いサポート メッセージをデプロイできます。

• EMM は、構成不可能な EMM 固有のサポート メッセージをすべてのデプロイのデフォルトとして設定できますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。

5.6.1. IT 管理者は、システム連絡先プロバイダを使用する個人用アプリのクロス プロファイル連絡先検索を無効にすることができます。

5.6.2. IT 管理者は、システム連絡先プロバイダを使用する個人用電話アプリに対して、クロス プロファイル発信者 ID 検索を無効にできます。

5.6.3. IT 管理者は、システム連絡先プロバイダを使用する Bluetooth デバイス（車内のハンズフリー通話やヘッドセットなど）との連絡先の共有を無効にできます。

5.7.1. IT 管理者は、クロス プロファイル インテント フィルタを構成して、個人用アプリが仕事用プロファイルからのインテント（共有インテントやウェブリンクなど）を解決できるようにすることができます。

• コンソールでは、構成用に既知または推奨のインテント フィルタを提案できますが、任意のリストにインテント フィルタを制限することはできません。

5.7.2. IT 管理者は、ホーム画面にウィジェットを表示できる管理対象アプリを許可できます。

• EMM のコンソールでは、IT 管理者がインストール可能なアプリのリストから該当するユーザーにアプリを選択できるようにする必要があります。

5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイルの間でのコピー＆ペーストの使用をブロックできます。

5.7.4. IT 管理者は、NFC ビームを使用して仕事用プロファイルからデータを共有することをブロックできます。

5.7.5. IT 管理者は、個人用アプリが仕事用プロファイルからウェブリンクを開くことを許可できます。

5.8.1. EMM のコンソールでは、IT 管理者は次の OTA 構成を設定できます。

• 自動: デバイスは OTA アップデートが利用可能になるとインストールします。
• 延期: IT 管理者は、OTA アップデートを最大 30 日間延期できる必要があります。このポリシーは、セキュリティ アップデート（毎月のセキュリティ パッチなど）には影響しません。
• ウィンドウ: IT 管理者は、毎日のメンテナンスの時間枠内で OTA アップデートをスケジュール設定できる必要があります。

5.10.1. IT 管理者は、任意のインテント フィルタのデフォルトのインテント ハンドラとして任意のパッケージを設定できます。

• EMM のコンソールでは、構成用の既知のインテントや推奨インテントを任意で提案できますが、インテントを任意のリストに制限することはできません。
• EMM のコンソールでは、IT 管理者が該当するユーザーにインストール可能なアプリのリストから選択できるようにする必要があります。

• 信頼エージェント
• 指紋認証によるロック解除
• 編集されていない通知

5.11.2. EMM の DPC は、仕事用プロファイルで次のキーガード機能をオフにできます。

• 信頼エージェント
• 指紋認証によるロック解除

• セキュリティ カメラ
• すべての通知
• 編集されていない通知
• 信頼エージェント
• 指紋認証によるロック解除
• すべてのキーガード機能

5.14.1. EMM は、デバイスの MAC アドレスをサイレントに取得し、EMM のコンソールでデバイスに関連付けることができます。

5.15.1. EMM の DPC を使用して、単一のアプリがデバイスにロックされることをサイレントに許可します。

5.15.2. EMM の DPC を使用して、次のシステム UI 機能をオンまたはオフにします。

• ホームボタン
• 概要
• グローバルな操作
• 通知
• システム情報 / ステータスバー
• キーガード（ロック画面）

5.15.3. EMM の DPC を使用して、システム エラー ダイアログをオフにします。

5.17.1. IT 管理者は、仕事用プロファイルがワイプされたときに表示するカスタム テキストを指定できます。