このページでは、Android Enterprise のすべての機能を一覧表示します。
500 台を超えるデバイスを管理する場合、EMM ソリューションが商用利用できるようになる前に、少なくとも 1 つのソリューション セットのすべての標準機能()をサポートする必要があります。標準機能の検証に合格した EMM ソリューションは、標準管理セットを提供しているとして、Android の企業向けソリューション ディレクトリに掲載されます。
ソリューション セットごとに、追加の高度な機能が利用できます。これらの機能は、各ソリューション セットのページに個人所有デバイスの仕事用プロファイル、会社所有デバイスの仕事用プロファイル、完全管理対象デバイス、専用デバイスと記載されています。高度な機能の検証に合格した EMM ソリューションは、Android のエンタープライズ ソリューション ディレクトリに、高度な管理セットを提供するものとして掲載されます。
キー
| 標準機能 | 上級者向け機能 | オプション機能 | 該当なし |
1. デバイスのプロビジョニング
1.1. DPC ファーストの仕事用プロファイルのプロビジョニング
Google Play から Android Device Policy をダウンロードした後、ユーザーは仕事用プロファイルをプロビジョニングできます。
1.1.1. EMM は、このプロビジョニング方法をサポートする QR コードまたはアクティベーション コードを IT 管理者に提供します( デバイスの登録とプロビジョニングをご覧ください)。
1.2. DPC ID によるデバイスのプロビジョニング
デバイスのセットアップ ウィザードの [afw#] を入力すると、完全管理対象デバイスまたは専用デバイスがプロビジョニングされます。
1.2.1. EMM は、このプロビジョニング方法をサポートする QR コードまたはアクティベーション コードを IT 管理者に提供します(デバイスの登録とプロビジョニングに進みます)。
1.3. NFC デバイスのプロビジョニング
IT 管理者は NFC タグを使用して、Play EMM API デベロッパー向けドキュメントで定義されている実装ガイドラインに沿って、新しいデバイスや初期状態にリセットしたデバイスをプロビジョニングできます。
1.3.1. EMM は、888 バイト以上のメモリを備えた NFC フォーラム タイプ 2 タグを使用する必要があります。プロビジョニングでは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID など、機密性のない登録情報をデバイスに渡す必要があります。登録情報には、パスワードや証明書などの機密情報は含めないでください。
1.3.2. Android 10 以降では NFC ビーム(NFC バンプ)が非推奨になっているため、NFC タグを使用することをおすすめします。
1.4. QR コードによるデバイスのプロビジョニング
EMM のコンソールでは、 Android Management API デベロッパー向けドキュメントで定義されている実装ガイドラインに従って、IT 管理者がスキャンしてフルマネージド デバイスまたは専用デバイスをプロビジョニングできる QR コードを生成できます。
1.4.1. QR コードは、プロビジョニングのエクストラを使用して、機密性の低い登録情報(サーバー ID、登録 ID など)をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めることはできません。
1.5. ゼロタッチ登録
IT 管理者は、正規販売パートナーから購入したデバイスを事前構成し、EMM コンソールを使用して管理できます。
1.5.1. IT 管理者は、ゼロタッチ登録方法を使用して会社所有デバイスをプロビジョニングできます。詳しくは、IT 管理者向けゼロタッチ登録をご覧ください。
1.5.2. デバイスの電源を初めてオンにしたとき、IT 管理者によって定義された設定が自動的にデバイスに適用されます。
1.6. 高度なゼロタッチ プロビジョニング
IT 管理者は、ゼロタッチ登録を使用してデバイス登録プロセスの大部分を自動化できます。IT 管理者は、ログイン URL と組み合わせて、EMM が提供する構成オプションに従って、登録を特定のアカウントまたはドメインに制限できます。
1.6.1. IT 管理者は、ゼロタッチ登録方法を使用して会社所有デバイスをプロビジョニングできます。
1.6.2. この要件は非推奨となりました。
1.6.3. EMM はログイン URL を使用して、権限のないユーザーが有効化を続行できないようにする必要があります。少なくとも、特定の企業のユーザーのみが有効化できるようにする必要があります。
1.6.4. EMM は、ログイン URL を使用して、IT 管理者が一意のユーザー情報やデバイス情報(ユーザー名/パスワード、有効化トークンなど)以外の登録情報を事前に入力できるようにする必要があります。これにより、ユーザーはデバイスの有効化時に詳細情報を入力する必要がなくなります。
- EMM は、ゼロタッチ登録の構成にパスワードや証明書などの機密情報を含めてはなりません。
1.7. Google アカウントの仕事用プロファイルのプロビジョニング
管理対象の Google ドメインを使用している企業の場合、デバイスのセットアップ時またはすでに有効になっているデバイスで、会社の Workspace 認証情報を入力した後、この機能を使用して仕事用プロファイルを設定できます。どちらの場合も、企業の Workspace ID は仕事用プロファイルに移行されます。
1.8. Google アカウントのデバイスのプロビジョニング
Android Management API はこの機能をサポートしていません。
1.9. 直接ゼロタッチ設定
IT 管理者は、EMM のコンソールで、ゼロタッチ iframe を使ってゼロタッチ デバイスを設定できます。
1.10. 会社所有デバイス上の仕事用プロファイル
EMM は、[AllowPersonalUsage] を設定することで、仕事用プロファイルが設定された会社所有デバイスを登録できます。
1.10.1. 意図的に空白。
1.10.2. IT 管理者は、PersonalUsagePolicies を使用して、会社所有デバイスの仕事用プロファイルのコンプライアンス アクションを設定できます。
1.10.3. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。
1.10.4. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でスクリーン キャプチャを無効にできます。
1.10.5. IT 管理者は、PersonalApplicationPolicy を使用して、個人用プロファイルにインストールできるアプリとインストールできないアプリの許可リストまたはブロックリストを設定できます。
1.10.6. IT 管理者は、仕事用プロファイルを削除するか、デバイス全体をワイプすることで、会社所有デバイスの管理を放棄できます。
1.11. 専用デバイスのプロビジョニング
EMM は、ユーザーに Google アカウントで認証を求めることなく、専用デバイスを登録できます。
2. デバイスのセキュリティ
2.1. デバイスのセキュリティに関する課題
IT 管理者は、管理対象デバイスに事前定義された 3 つの複雑さレベルからデバイスのセキュリティ チャレンジ(PIN/パターン/パスワード)を設定して適用できます。
2.1.1. ポリシーで、デバイスのセキュリティ チャレンジを管理する設定(仕事用プロファイルの parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの passwordRequirements)を適用する必要があります。
2.1.2. パスワードの複雑さは、次のパスワードの複雑さにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 反復(4444)または連続(1234、4321、2468)する文字列を含むパターンまたは PIN。
- PASSWORD_COMPLEXITY_MEDIUM - 繰り返し(4444)のない PIN、または連続して指定された(1234、4321、2468)シーケンス、英字または 4 文字以上の英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まず、長さが 8 文字以上の PIN、または長さが 6 文字以上の英字または英数字のパスワード
2.1.3. 会社所有デバイスでは、従来の設定として追加のパスワード制限を適用することもできます。
2.2. 仕事用のセキュリティに関する課題
IT 管理者は、仕事用プロファイル内のアプリとデータに対して、デバイスのセキュリティ チャレンジ(2.1)とは別に、異なる要件を持つセキュリティ チャレンジを設定、適用できます。
2.2.1. ポリシーで、仕事用プロファイルのセキュリティに関する問題を適用する必要があります。
- デフォルトでは、スコープが指定されていない場合、IT 管理者は仕事用プロファイルにのみ制限を設定する必要があります。
- IT 管理者は、スコープを指定してデバイス全体に設定できます(要件 2.1 を参照)。
2.2.2. パスワードの複雑さは、次の事前定義されたパスワードの複雑さにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 繰り返し(4444)または順序付けされた(1234, 4321, 2468)シーケンスのパターンまたはピン。
- PASSWORD_COMPLEXITY_MEDIUM - 繰り返し(4444)のない PIN、または連続して指定された(1234、4321、2468)シーケンス、英字または 4 文字以上の英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 繰り返し(4444)または順序付けされたシーケンス(1234、4321、2468)のない PIN、または 8 文字以上の PIN、または 6 文字以上の英字または英数字のパスワード
2.2.3. 以前の設定として、追加のパスワード制限を適用することもできます。
2.3. 高度なパスコード管理
IT 管理者はデバイスのパスワードの詳細設定を行うことができます。
2.3.1. 意図的に空白。
2.3.2. 意図的に空白になっています。
2.3.3. デバイスで使用可能なロック画面ごとに、次のパスワードのライフサイクル設定を設定できます。
- 意図的に空白
- 意図的に空白
- ワイプ時のパスワードの失敗回数の上限: 企業データがデバイスからワイプされるまでに、ユーザーが間違ったパスワードを入力できる回数を指定します。IT 管理者がこの機能を無効にできる必要があります。
2.3.4. (Android 8.0 以降)強力な認証にはタイムアウトが必要です。IT 管理者が設定したタイムアウト期間後に、強力な認証パスコード(PIN やパスワードなど)を入力する必要があります。タイムアウト期間が経過すると、厳格な認証パスコードでデバイスのロックを解除するまで、厳格でない認証方法(指紋認証、顔認証など)はオフになります。
2.4. スマートロックの管理
IT 管理者は、Android の Smart Lock 機能の Trust Agent がデバイスのロック解除を最大 4 時間延長することを許可するかどうかを管理できます。
2.4.1. IT 管理者はデバイスの信頼エージェントを無効にできます。
2.5. ワイプとロック
IT 管理者は EMM のコンソールを使用して、管理対象デバイスから仕事用データをリモートでロックしてワイプできます。
2.5.1. デバイスは Android Management API を使用してロックする必要があります。
2.5.2. デバイスは Android Management API を使用してワイプする必要があります。
2.6. コンプライアンスの適用
デバイスがセキュリティ ポリシーに準拠していない場合、Android Management API によって設定されたコンプライアンス ルールにより、仕事用データの使用が自動的に制限されます。
2.6.1. 少なくとも、デバイスに適用されるセキュリティ ポリシーにはパスワード ポリシーを含める必要があります。
2.7. デフォルトのセキュリティ ポリシー
EMM は、IT 管理者が EMM のコンソールで設定やカスタマイズを行うことなく、デバイスに指定されたセキュリティ ポリシーをデフォルトで適用する必要があります。EMM では、IT 管理者がこれらのセキュリティ機能のデフォルト状態を変更できないようにすることをおすすめします(必須ではありません)。
2.7.1. 仕事用プロファイルを設定した Android 8.0 以降のデバイスの個人用側にインストールされたアプリを含め、提供元不明のアプリのインストールをブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.7.2. デバッグ機能はブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.8. 専用デバイスのセキュリティ ポリシー
ロックダウンされた専用デバイスに対して、他の操作は許可されません。
2.8.1. セーフモードでの起動は、デフォルトでポリシーを使用してオフにする必要があります(safeBootDisabled に移動)。
2.9. Play Integrity サポート
Play Integrity チェックはデフォルトで行われます。追加の実装は必要ありません。
2.9.1. 意図的に空白。
2.9.2. 意図的に空白。
2.9.3. IT 管理者は、デバイスの SecurityRisk の値に基づいて、プロビジョニングのブロック、企業データのワイプ、登録の続行許可など、さまざまなポリシー レスポンスを設定できます。
- EMM サービスは、各完全性チェックの結果に対してこのポリシー レスポンスを適用します。
2.9.4. 意図的に空白。
2.10. アプリの確認の適用
IT 管理者はデバイスでアプリの確認を有効にできます。アプリの確認では、Android デバイスにインストールされているアプリをインストール前とインストール後にスキャンし、有害なソフトウェアがないか確認します。これにより、悪意のあるアプリが企業データを侵害できないようにします。
2.10.1. [アプリの確認] は、ポリシーを使用してデフォルトで有効にする必要があります(ensureVerifyAppsEnabled に移動)。
2.11. ダイレクト ブートのサポート
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
2.12. ハードウェア セキュリティ管理
IT 管理者は、会社所有デバイスのハードウェア要素をロックダウンして、データ損失を防ぐことができます。
2.12.1. IT 管理者は、ポリシーを使用して、ユーザーが物理的な外部メディアをマウントできないようにできます(mountPhysicalMediaDisabled に移動)。
2.12.2. IT 管理者は、ポリシーを使用して、ユーザーが NFC ビームを使用してデバイスからデータを共有できないようにできます(outgoingBeamDisabled に移動)。Android 10 以降では NFC ビーム機能がサポートされていないため、このサブ機能は省略可能です。
2.12.3. IT 管理者は、ポリシーを使用して、ユーザーによる USB 経由のファイル転送をブロックできます(usbFileTransferDisabled に移動)。
2.13. エンタープライズ セキュリティ ロギング
Android Management API はこの機能に対応していません。
3. アカウントとアプリの管理
3.1. エンタープライズ バインディング
IT 管理者は EMM を組織にバインドして、EMM が managed Google Play を使用してデバイスにアプリを配布できるようにします。
3.1.1. 管理対象の Google ドメインがすでにある管理者は、ドメインを EMM にバインドできます。
3.1.2. 意図的に空白。
3.1.3. 意図的に空白。
3.1.4. EMM コンソールでは、Android の登録フローで仕事用メールアドレスを入力するよう管理者に案内し、Gmail アカウントの使用を推奨しません。
3.1.5. EMM は、Android の登録フローで管理者のメールアドレスを事前入力します。
3.2. managed Google Play アカウントのプロビジョニング
EMM は、managed Google Play アカウントと呼ばれるエンタープライズ ユーザー アカウントをサイレント プロビジョニングできます。これらのアカウントは、管理対象ユーザーを識別し、ユーザーごとの一意のアプリ配信ルールを許可します。
3.2.1. managed Google Play アカウント(ユーザー アカウント)は、デバイスのプロビジョニング時に自動的に作成されます。
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
3.3. managed Google Play デバイス アカウントのプロビジョニング
EMM では、managed Google Play デバイス アカウントの作成とプロビジョニングを行うことができます。デバイス アカウントは、managed Google Play ストアからのサイレント インストールに対応しており、1 人のユーザーに結び付けられることはありません。代わりに、デバイス アカウントを使用して単一のデバイスを識別し、専用のデバイス シナリオでデバイスごとのアプリ配信ルールをサポートします。
3.3.1. managed Google Play アカウントは、デバイスのプロビジョニング時に自動的に作成されます。
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
3.4. 以前のデバイス向けの managed Google Play アカウントのプロビジョニング
この機能は非推奨です。
3.5. アプリの自動配布
IT 管理者は、ユーザーが操作しなくても仕事用アプリをデバイスにサイレントで配布できます。
3.5.1. IT 管理者が管理対象デバイスに仕事用アプリをインストールできるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.5.2. IT 管理者が管理対象デバイス上の仕事用アプリを更新できるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.5.3. IT 管理者が管理対象デバイスでアプリをアンインストールできるようにするには、EMM のコンソールで Android Management API を使用する必要があります。
3.6. 管理対象の構成管理
IT 管理者は、管理対象設定をサポートするアプリの管理対象設定を表示して、通知なく設定できます。
3.6.1. EMM のコンソールで、任意の Play アプリの管理対象構成設定を取得して表示できる必要があります。
3.6.2. IT 管理者が EMM のコンソールで、Android Management API を使用して、Play アプリに対する任意の構成タイプ(Android Enterprise フレームワークで定義されている)を設定できるようにする必要があります。
3.6.3. Gmail などのアプリの 1 つの構成を複数のユーザーに適用できるように、EMM のコンソールでワイルドカード($username$ や %emailAddress% など)を設定できるようにする必要があります。
3.7. アプリ カタログの管理
Android Management API は、この機能をデフォルトでサポートしています。追加の実装は必要ありません。
3.8. プログラムによるアプリの承認
EMM のコンソールでは、managed Google Play iframe を使用して、Google Play のアプリ検出機能と承認機能をサポートしています。IT 管理者は、EMM のコンソールを離れることなく、アプリの検索、アプリの承認、新しいアプリ権限の承認を行うことができます。
3.8.1. IT 管理者は、managed Google Play iframe を使用して、EMM のコンソール内でアプリを検索し、承認できます。
3.9. 店舗レイアウトの基本的な管理
managed Google Play ストア アプリは、仕事用アプリのインストールと更新に使用できます。 managed Google Play ストアは、デフォルトで、特定のユーザーに対して承認されたアプリが 1 つのリストに表示されます。このレイアウトは、ベーシック ストア レイアウトと呼ばれます。
3.9.1. EMM のコンソールを使用して、エンドユーザーの基本的なストア レイアウトに表示されるアプリを管理できます。
3.10. 高度なストア レイアウト構成
3.10.1. IT 管理者は、managed Google Play ストア アプリに表示されるストアのレイアウトをカスタマイズできます。
3.11. アプリ ライセンスの管理
この機能は非推奨です。
3.12. Google ホスト型限定公開アプリの管理
IT 管理者は、Google Play Console ではなく EMM コンソールから Google がホストする限定公開アプリを更新できます。
3.12.1. IT 管理者は、次のコマンドを使用して、企業に限定公開で公開されているアプリの新しいバージョンをアップロードできます。
3.13. 自己ホスト型限定公開アプリの管理
IT 管理者は、自己ホスト型限定公開アプリを設定して公開できます。Google がホストする限定公開アプリとは異なり、Google Play は APK をホストしません。代わりに、EMM は、IT 管理者が APK をホストできるようにし、自己ホスト型アプリは managed Google Play によって承認された場合にのみインストールできるようにすることで、自己ホスト型アプリを保護します。
3.13.1. EMM のコンソールには、IT 管理者がアプリ APK をホストできるように、次の両方のオプションが用意されている必要があります。
- EMM のサーバーで APK をホストします。サーバーはオンプレミスまたはクラウドベースにできます。
- 企業の裁量で、EMM のサーバー外に APK をホストする。IT 管理者は、APK がホストされている場所を EMM コンソールで指定する必要があります。
3.13.2. EMM のコンソールでは、提供された APK を使用して適切な APK 定義ファイルを生成し、IT 管理者に公開プロセスを案内する必要があります。
3.13.3. IT 管理者はセルフホストの限定公開アプリを更新できます。また、EMM のコンソールでは、Google Play Developer Publishing API を使用して、更新された APK 定義ファイルをサイレント パブリッシュできます。
3.13.4. EMM のサーバーは、限定公開アプリの公開鍵で検証された、リクエストの Cookie 内に有効な JWT を含むセルフホスト APK のダウンロード リクエストを提供します。
- このプロセスを容易にするには、EMM のサーバーから、自己ホスト型アプリのライセンス公開鍵を Google Play Console からダウンロードし、この鍵を EMM コンソールにアップロードするよう IT 管理者に伝える必要があります。
3.14. EMM プル通知
この機能は Android Management API には適用されません。代わりに Pub/Sub 通知を設定します。
3.15. API の使用要件
EMM は Android Management API を大規模に実装し、本番環境で企業がアプリを管理する能力に悪影響を及ぼす可能性のあるトラフィック パターンを回避します。
3.15.1. EMM は Android Management API の使用上限を遵守する必要があります。これらのガイドラインを超える動作を修正しない場合、Google の裁量により API の使用が停止されることがあります。
3.15.2. EMM は、特定のまたは類似した時間にエンタープライズ トラフィックを統合するのではなく、異なるエンタープライズからのトラフィックを 1 日を通じて分散する必要があります。登録された各デバイスのスケジュール設定されたバッチ オペレーションなど、このトラフィック パターンに適した動作は、Google の裁量により API の使用が停止される可能性があります。
3.15.3. EMM は、実際の企業データを取得または管理しようとせず、一貫した、不完全な、または意図的に誤ったリクエストを実行してはなりません。このトラフィック パターンに当てはまる動作があった場合、Google の裁量により API の使用が停止されることがあります。
3.16. 高度な管理対象構成管理
EMM は、次の高度な管理対象構成管理機能をサポートしています。
3.16.1. EMM のコンソールでは、次の方法で任意の Play アプリの最大 4 レベルのネストされた管理対象構成設定を取得して表示できる必要があります。
- managed Google Play iframe
- カスタム UI を作成します。
3.16.2. IT 管理者が設定した場合、EMM のコンソールで、アプリのフィードバック チャンネルから返されたフィードバックを取得して表示できる必要があります。
- EMM のコンソールで、IT 管理者が特定のフィードバック項目を、その項目の元となったデバイスとアプリに関連付けられる必要があります。
- EMM のコンソールで、IT 管理者が特定のメッセージ タイプ(エラー メッセージなど)のアラートやレポートを定期購入できるようにする必要があります。
3.16.3. EMM のコンソールから送信される値は、デフォルト値であるか、管理者が手動で設定した値のみにする必要があります。
- 管理対象設定の iframe、または
- カスタム UI。
3.17. ウェブアプリの管理
IT 管理者は EMM コンソールでウェブアプリを作成して配布できます。
3.17.1. EMM コンソールを使用すると、IT 管理者は次の方法でウェブアプリへのショートカットを配布できます。
- managed Google Play iframe、
- または Android Management API を使用します。
3.18. managed Google Play アカウントのライフサイクル管理
EMM は、IT 管理者に代わって managed Google Play アカウントを作成、更新、削除し、アカウントの有効期限切れから自動的に復元できます。
この機能はデフォルトでサポートされています。追加の EMM 実装は必要ありません。
3.19. アプリケーション トラックの管理
3.19.1. IT 管理者は、特定のアプリに対してデベロッパーが設定したトラック ID のリストを取得できます。
3.19.2. IT 管理者は、アプリで特定の開発トラックを使用するようにデバイスを設定できます。
3.20. 高度なアプリケーション更新管理
IT 管理者は、アプリをすぐに更新できるようにすることも、更新を 90 日間延期することもできます。
3.20.1. IT 管理者は、アプリが優先度の高いアプリの更新を使用して、更新の準備ができたときに更新できるようにすることができます。3.20.2. IT 管理者は、アプリのアップデートを 90 日間延期できます。
3.21. プロビジョニング方法の管理
EMM は、プロビジョニング設定を生成し、エンドユーザーに配布する準備が整った形式(QR コード、ゼロタッチ設定、Google Play ストアの URL など)で IT 管理者に提示できます。
4. デバイス管理
4.1. ランタイム権限ポリシーの管理
IT 管理者は、仕事用アプリによる実行時の権限リクエストに対するデフォルトのレスポンスを通知なく設定できます。
4.1.1. IT 管理者は、組織のデフォルトのランタイム権限ポリシーを設定するときに、次のオプションから選択できる必要があります。
- プロンプト(ユーザーが選択可能)
- allow
- 拒否
EMM は、ポリシーを使用してこれらの設定を適用する必要があります。
4.2. ランタイム権限付与の状態の管理
デフォルトの実行時の権限ポリシーを設定したら(4.1 に進む)、IT 管理者は、API 23 以降で構築された任意の仕事用アプリの特定の権限に対する応答をサイレントで設定できます。
4.2.1. IT 管理者は、API 23 以降で構築された仕事用アプリでリクエストされる権限の付与状態(デフォルト、付与、拒否)を設定できる必要があります。EMM は、ポリシーを使用してこれらの設定を適用する必要があります。
4.3. Wi-Fi 設定管理
IT 管理者は、次のような管理対象デバイスに企業の Wi-Fi 構成をサイレント プロビジョニングできます。
4.3.1. ポリシーを使用して SSID を設定します。
4.3.2. パスワード(policy を使用)。
4.4. Wi-Fi セキュリティ管理
IT 管理者は、次の高度なセキュリティ機能を含むデバイスにエンタープライズ Wi-Fi 構成をプロビジョニングできます。
4.4.1. ID
4.4.2. クライアント認証用の証明書
4.4.3. CA 証明書
4.5. 高度な Wi-Fi 管理
IT 管理者は、管理対象デバイスの Wi-Fi 設定をロックダウンして、ユーザーが設定を作成したり、企業の設定を変更したりできないようにできます。
4.5.1. IT 管理者は、次のいずれかの構成でポリシーを使用して、企業の Wi-Fi 構成をロックダウンできます。
- ユーザーは、EMM によってプロビジョニングされた Wi-Fi 設定を変更することはできません(
wifiConfigsLockdownEnabledに移動)。ただし、ユーザーが構成できるネットワーク(個人用ネットワークなど)を追加、変更することはできます。 - ユーザーはデバイスで Wi-Fi ネットワークを追加または変更できません(
wifiConfigDisabledに進みます)。Wi-Fi 接続は、EMM によってプロビジョニングされたネットワークに限定されます。
4.6. アカウント管理
IT 管理者は、SaaS ストレージ、生産性向上アプリ、メールなどのサービスで、企業データにアクセスできるのは、承認された企業アカウントのみにすることができます。この機能がない場合、ユーザーは一般ユーザー向けアカウントもサポートする企業向けアプリに個人アカウントを追加し、企業データを個人アカウントと共有できます。
4.6.1. IT 管理者は、ユーザーがアカウントを追加または変更できないようにできます(modifyAccountsDisabled を参照)。
- このポリシーをデバイスに適用する場合、EMM はプロビジョニングの完了前にこの制限を設定する必要があります。これは、ポリシーが適用される前にユーザーがアカウントを追加してこのポリシーを回避できないようにします。
4.7. Workspace アカウントの管理
Android Management API はこの機能をサポートしていません。
4.8. 証明書の管理
IT 管理者はデバイスに ID 証明書と認証局をデプロイし、企業リソースの使用を許可できます。
4.8.1. IT 管理者は、PKI によって生成されたユーザー ID 証明書をユーザーごとにインストールできます。EMM のコンソールは、少なくとも 1 つの PKI と統合し、そのインフラストラクチャから生成された証明書を配布する必要があります。
4.8.2. IT 管理者は、マネージド キーストアに認証局をインストールできます(caCerts を参照)。ただし、このサブ機能はサポートされていません。
4.9. 高度な証明書管理
IT 管理者は、特定の管理対象アプリが使用する証明書をサイレントで選択できます。また、この機能により、IT 管理者はアクティブなデバイスから CA と ID 証明書を削除し、ユーザーが管理対象キーストアに保存されている認証情報を変更できないようにすることができます。
4.9.1. デバイスに配布されるアプリについて、IT 管理者は、アプリが実行時にサイレントでアクセス権を付与される証明書を指定できます。(このサブ機能はサポートされていません)。
- 証明書の選択は、すべてのユーザーに適用される単一の構成を許可できるほど汎用性が高い必要があります。各ユーザーにはユーザー固有の ID 証明書が付与されている場合があります。
4.9.2. IT 管理者は、管理対象キーストアから証明書を削除できます。
4.9.3. IT 管理者は、CA 証明書をサイレント アンインストールできます。(このサブ機能はサポートされていません)。
4.9.4. IT 管理者は、ユーザーがマネージド キーストアで認証情報を構成できないようにできます(credentialsConfigDisabled に移動)。
4.9.5. IT 管理者は、ChoosePrivateKeyRule を使用して、仕事用アプリの証明書を事前に付与できます。
4.10. 委任された証明書管理
IT 管理者は、サードパーティの証明書管理アプリをデバイスに配布し、管理対象キーストアに証明書をインストールする特権アクセスをそのアプリに付与できます。
4.10.1. IT 管理者は、委任された証明書管理アプリとして設定する証明書管理パッケージ(delegatedCertInstallerPackage に移動)を指定できます。
- EMM は、既知の証明書管理パッケージを提案することもできますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。
4.11. 高度な VPN 管理
IT 管理者は常時接続 VPN を指定して、指定した管理対象アプリのデータが常に VPN の設定を通過するようにできます。
4.11.1. IT 管理者は、常時接続 VPN として設定する任意の VPN パッケージを指定できます。
- EMM のコンソールでは、必要に応じて、常時接続 VPN をサポートする既知の VPN パッケージが提案される場合がありますが、常時接続の構成で使用できる VPN を任意のリストに制限することはできません。
4.11.2. IT 管理者は、管理対象設定を使用してアプリの VPN 設定を指定できます。
4.12. IME 管理
IT 管理者は、デバイスに設定できる入力方法(IME)を管理できます。IME は仕事用プロファイルと個人用プロファイルの両方で共有されるため、IME の使用をブロックすると、ユーザーは個人用でもその IME を使用できなくなります。ただし、IT 管理者は仕事用プロファイルでシステム IME の使用をブロックすることはできません(詳細については、IME の詳細な管理をご覧ください)。
4.12.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods に移動)を設定できます(システム以外の IME をブロックする空のリストを含む)。このリストには任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに登録する既知または推奨の IME が提案される場合がありますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。
4.12.2. EMM は、仕事用プロファイルが設定されたデバイスではシステム IME が管理から除外されることを IT 管理者に通知する必要があります。
4.13. 高度な IME 管理
IT 管理者は、ユーザーがデバイスで設定できる入力方法(IME)を管理できます。高度な IME 管理は、IT 管理者がシステム IME の使用も管理できるようにすることで、基本機能を拡張します。システム IME は通常、デバイスのメーカーまたは携帯通信会社が提供します。
4.13.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods に移動)を設定できます(空のリストは除く。空のリストは、システム IME を含むすべての IME をブロックします)。このリストには、任意の IME パッケージを含めることができます。
- EMM のコンソールでは、許可リストに含める既知の IME または推奨される IME がオプションで提案されることがありますが、IT 管理者がインストール可能なアプリのリストから、該当するユーザーが選択できるようにする必要があります。
4.13.2. EMM は、IT 管理者が空の許可リストを設定できないようにする必要があります。この設定により、システム IME を含むすべての IME がデバイスに設定されなくなります。
4.13.3. EMM は、IME 許可リストにシステム IME が含まれていない場合、デバイスに許可リストが適用される前にサードパーティの IME がサイレント インストールされるようにする必要があります。
4.14. ユーザー補助サービス管理
IT 管理者は、ユーザーがデバイスでどのユーザー補助サービスを許可できるかを管理できます。ユーザー補助サービスは、障がいのあるユーザーや、一時的にデバイスを使えなくなったユーザーにとって強力なツールです。ただし、企業のポリシーに準拠していない方法で企業データを操作する可能性があります。IT 管理者はこの機能を使用して、システム以外のユーザー補助サービスを無効にできます。
4.14.1. IT 管理者は、任意の長さのユーザー補助サービスの許可リスト(permittedAccessibilityServices に移動)を設定できます(システム以外のユーザー補助サービスをブロックする空のリストを含む)。このリストには、任意のユーザー補助サービス パッケージを含めることができます。仕事用プロファイルに適用すると、個人用プロファイルと仕事用プロファイルの両方に影響します。
- コンソールでは、許可リストに登録する既知または推奨のユーザー補助サービスを提案できますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。
4.15. 現在地の共有の管理
IT 管理者は、ユーザーが仕事用プロファイルのアプリと位置情報を共有しないようにすることができます。そうでない場合は、仕事用プロファイルの位置情報の設定を [設定] で構成できます。
4.15.1. IT 管理者は、仕事用プロファイル内で位置情報サービスを無効にできます([shareLocationDisabled] に移動)。
4.16. 現在地の共有の詳細な管理
IT 管理者は、管理対象デバイスに特定の現在地の共有設定を適用できます。 この機能により、企業アプリで常に高精度の位置情報が利用できるようになります。この機能により、位置情報の設定をバッテリー節約モードに制限することで、余分なバッテリーが消費されないようにすることもできます。
4.16.1. IT 管理者は、デバイスの位置情報サービスを次の各モードに設定できます。
- 高精度] をタップします。
- センサーのみ(GPS など)。ネットワーク提供の位置情報は含まれません。
- バッテリー節約。アップデートの頻度を制限します。
- オフ。
4.17. 出荷時設定へのリセット保護機能の管理
IT 管理者は、不正なユーザーがデバイスを出荷時の設定にリセットできないようにすることで、会社所有デバイスを盗難から保護できます。出荷時設定へのリセット保護機能により、デバイスが IT に返却されたときの運用が複雑になる場合は、IT 管理者が出荷時設定へのリセット保護機能を完全にオフにできます。
4.17.1. IT 管理者は、ユーザーが [設定] からデバイスを出荷時の設定にリセットできないようにする(factoryResetDisabled に移動)ことができます。
4.17.2. IT 管理者は、初期状態にリセットした後で、デバイスのプロビジョニングを許可された企業のロック解除アカウントを指定できます(frpAdminEmails に移動)。
- このアカウントは、個人に関連付けることも、企業全体で使用してデバイスのロックを解除することもできます。
4.17.3. IT 管理者は、指定したデバイスの出荷時設定へのリセット保護機能を無効にできます(0 factoryResetDisabled に移動)。
4.17.4. IT 管理者はリモート デバイスのワイプを開始できます。必要に応じてリセット保護データをワイプし、リセットされたデバイスの出荷時設定へのリセット保護を削除します。
4.18. 高度なアプリ管理
IT 管理者は、ユーザーが設定から管理対象アプリをアンインストールしたり、変更したりできないようにすることができます。たとえば、アプリの強制終了やアプリのデータキャッシュの削除を防ぐことができます。
4.18.1. IT 管理者は、任意の管理対象アプリ、またはすべての管理対象アプリのアンインストールをブロックできます(uninstallAppsDisabled に移動)。
4.18.2. IT 管理者は、[設定] でユーザーがアプリデータを変更できないようにすることができます。(Android Management API はこのサブ機能をサポートしていません)
4.19. スクリーン キャプチャの管理
IT 管理者は、管理対象アプリの使用中にユーザーがスクリーンショットを撮れないようにできます。 この設定には、画面共有アプリや、システムのスクリーンショット機能を使用している類似のアプリ(Google アシスタントなど)のブロックが含まれます。
4.19.1. IT 管理者は、ユーザーによるスクリーンショットの撮影を禁止できます(screenCaptureDisabled に移動)。
4.20. カメラを無効にする
IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます。
4.20.1. IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます(cameraDisabled に移動)。
4.21. ネットワーク統計情報の収集
Android Management API はこの機能をサポートしていません。
4.22. 高度なネットワーク統計情報の収集
Android Management API はこの機能をサポートしていません。
4.23. デバイスの再起動
IT 管理者は管理対象デバイスをリモートで再起動できます。
4.23.1. IT 管理者は管理対象デバイスをリモートで再起動できます。
4.24. システム無線の管理
IT 管理者は、ポリシーを使用して、システム ネットワーク ラジオと関連する使用ポリシーをきめ細かく管理できます。
4.24.1. IT 管理者は、サービス プロバイダから送信される緊急速報メールを無効にできます(cellBroadcastsConfigDisabled に移動)。
4.24.2. IT 管理者は、[設定](mobileNetworksConfigDisabled に移動)で、ユーザーがモバイル ネットワーク設定を変更できないようにできます。
4.24.3. IT 管理者は、ユーザーが [設定] ですべてのネットワーク設定をリセットできないようにすることができます。(networkResetDisabled に移動)。
4.24.4. IT 管理者は、ローミング中にデバイスでモバイル データを許可するかどうかを設定できます(dataRoamingDisabled に移動)。
4.24.5. IT 管理者は、デバイスが緊急通報を除く通話を発信できるかどうかを設定できます(outGoingCallsDisabled に移動)。
4.24.6. IT 管理者は、デバイスでテキスト メッセージを送受信できるかどうかを設定できます(smsDisabled に移動)。
4.24.7. IT 管理者は、ユーザーがデバイスをポータブル アクセス ポイントとして使用できないように、テザリング(tetheringConfigDisabled に移動)できます。
4.24.8. IT 管理者は、Wi-Fi のタイムアウトをデフォルト、電源に接続しているとき、または無効に設定できます。(Android Management API ではこのサブ機能はサポートされていません)
4.24.9. IT 管理者は、ユーザーが既存の Bluetooth 接続を設定または変更できないようにすることができます(bluetoothConfigDisabled に移動)。
4.25. システム音声管理
IT 管理者は、デバイスのミュート、ユーザーによる音量設定の変更の防止、ユーザーによるデバイスのマイクのミュート解除の防止など、デバイスの音声機能を通知なく制御できます。
4.25.1. IT 管理者は、管理対象デバイスをサイレントでミュートできます。(Android Management API はこのサブ機能をサポートしていません)
4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにできます(adjustVolumeDisabled に移動)。また、デバイスがミュートされます。
4.25.3. IT 管理者は、ユーザーがデバイスのマイクをミュート解除できないように設定できます(unmuteMicrophoneDisabled に移動)。
4.26. システム クロック管理
IT 管理者は、デバイスの時計とタイムゾーンの設定を管理し、ユーザーによるデバイスの自動設定の変更を防止できます。
4.26.1. IT 管理者は、システムの自動時刻と自動タイムゾーンを適用して、ユーザーがデバイスの日時とタイムゾーンを設定できないようにすることができます。
4.27. 専用デバイスの高度な機能
専用デバイスの場合、IT 管理者はポリシーを使用して以下の機能を管理し、さまざまなキオスクのユースケースをサポートできます。
4.27.1. IT 管理者はデバイスのキーガードをオフにできます(keyguardDisabled に移動)。
4.27.2. IT 管理者は、デバイスのステータスバーをオフにして、通知とクイック設定をブロックできます(statusBarDisabled に移動)。
4.27.3. IT 管理者は、デバイスを電源に接続している間、デバイスの画面を強制的にオンにできます(stayOnPluggedModes に移動)。
4.27.4. IT 管理者は、次のシステム UI が表示されないようにできます(createWindowsDisabled に移動)。
- トースト
- アプリ オーバーレイ。
4.27.5. IT 管理者は、アプリのシステム推奨事項で、初回起動時にユーザー チュートリアルやその他の導入ヒントをスキップできるようにできます(skip_first_use_hints に移動)。
4.28. 委任されたスコープの管理
IT 管理者は、個々のパッケージに追加の権限を委任できます。
4.28.1. IT 管理者は次のスコープを管理できます。
- 証明書のインストールと管理
- 意図的に空白
- ネットワーク ログ
- セキュリティ ロギング(個人所有デバイスの仕事用プロファイルではサポートされていません)
4.29. 登録に固有の ID のサポート
Android 12 以降、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、出荷時の設定にリセットしても保持される登録固有の ID を使用して、仕事用プロファイルが設定されたデバイスのライフサイクルを追跡できます。
4.29.1. IT 管理者は登録固有の ID を取得できる
4.29.2. この登録固有の ID は、出荷時の設定にリセットしても保持する必要があります。
5. デバイスのユーザビリティ
5.1. マネージド プロビジョニングのカスタマイズ
IT 管理者は、デフォルトの設定フロー UX を変更して、企業固有の機能を含めることができます。必要に応じて、IT 管理者はプロビジョニング中に EMM 提供のブランディングを表示できます。
5.1.1. IT 管理者は、企業固有の利用規約やその他の免責条項を指定して、プロビジョニング プロセスをカスタマイズできます(termsAndConditions に移動)。
5.1.2. IT 管理者は、構成不可の EMM 固有の利用規約やその他の免責条項をデプロイできます(termsAndConditions に移動)。
- EMM は、構成不可の EMM 固有のカスタマイズをデプロイのデフォルトとして設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。
5.1.3. primaryColor は、Android 10 以降のエンタープライズ リソースで非推奨になりました。
5.2. エンタープライズ向けのカスタマイズ
Android Management API はこの機能をサポートしていません。
5.3. 企業向けの高度なカスタマイズ
Android Management API はこの機能に対応していません。
5.4. ロック画面のメッセージ
IT 管理者は、デバイスのロック画面に常に表示されるカスタム メッセージを設定できます。このメッセージは、デバイスのロック解除を必要としません。
5.4.1. IT 管理者はカスタムのロック画面メッセージを設定できます(deviceOwnerLockScreenInfo に移動)。
5.5. ポリシーの透明性管理
IT 管理者は、ユーザーがデバイスの管理対象設定を変更しようとしたときや、EMM 提供の汎用サポート メッセージを導入しようとしたときに表示されるヘルプテキストをカスタマイズできます。短いサポート メッセージと長いサポート メッセージの両方をカスタマイズできます。これらのメッセージは、IT 管理者がすでにアンインストールをブロックしている管理対象アプリのアンインストールを試行するなどの場合に表示されます。
5.5.1. IT 管理者は、短いおよび長いユーザー向けのサポート メッセージをカスタマイズできます。
5.5.2. IT 管理者は、構成不可の EMM 固有の短いサポート メッセージと長いサポート メッセージをデプロイできます(policies の shortSupportMessage と longSupportMessage に移動)。
- EMM では、構成不可の EMM 固有のサポート メッセージをデプロイのデフォルトとして設定できますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。
5.6. クロス プロファイル連絡先管理
5.6.1. IT 管理者は、個人用プロファイルの連絡先検索と着信での仕事用連絡先の表示を無効にできます。
5.6.2. IT 管理者は、車やヘッドセットでのハンズフリー通話など、仕事用連絡先のBluetooth 連絡先の共有を無効にできます。
5.7. クロス プロファイル データ マネジメント
IT 管理者は、仕事用プロファイルと個人用プロファイル間で共有できるデータの種類を管理できるため、要件に応じてユーザビリティとデータ セキュリティのバランスをとることができます。
5.7.1. IT 管理者は、クロス プロファイルのデータ共有ポリシーを構成して、個人用アプリが仕事用プロファイルのインテントを解決できるようにします(インテントの共有やウェブリンクの共有など)。
5.7.2. IT 管理者は、仕事用プロファイルのアプリが個人用プロファイルのホーム画面にウィジェットを作成して表示することを許可できます。この機能はデフォルトで無効になっていますが、workProfileWidgets フィールドと workProfileWidgetsDefault フィールドを使用して許可に設定できます。
5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイルの間でのコピーと貼り付けを制御できます。
5.8. システム アップデート ポリシー
IT 管理者は、無線(OTA)システム アップデート デバイスを設定して適用できます。
5.8.1. IT 管理者は EMM のコンソールを使用して、次の OTA 構成を設定できます。
- 自動: デバイスは、OTA アップデートが利用可能になるとインストールします。
- 延期: IT 管理者は OTA アップデートを最大 30 日間延期できる必要があります。このポリシーは、セキュリティ アップデート(毎月のセキュリティ パッチなど)には影響しません。
- 時間枠あり: IT 管理者は、毎日のメンテナンスの時間枠内に OTA アップデートをスケジュール設定できる必要があります。
5.8.2. OTA 構成は、ポリシーを使用してデバイスに適用されます。
5.9. ロックタスク モードの管理
IT 管理者は、アプリまたはアプリセットを画面にロックし、ユーザーがアプリを終了できないようにできます。
5.9.1. EMM のコンソールを使用すると、IT 管理者は任意のアプリセットをサイレントでインストールし、デバイスにロックできます。ポリシー: 専用デバイスを設定できます。
5.10. 優先アクティビティの管理を永続的に
IT 管理者は、特定のインテント フィルタに一致するインテントのデフォルト インテント ハンドラとしてアプリを設定できます。たとえば、この機能を使用すると、IT 管理者はウェブリンクを自動的に開くブラウザアプリを選択できます。この機能を使用すると、ホームボタンをタップしたときに使用するランチャー アプリを管理できます。
5.10.1. IT 管理者は、任意のインテント フィルタに対して任意のパッケージをデフォルトのインテント ハンドラとして設定できます。
- EMM のコンソールでは、構成に既知または推奨されるインテントを提案できますが、任意のリストにインテントを制限することはできません。
- IT 管理者が EMM のコンソールで、該当するユーザーがインストールできるアプリのリストから選択できるようにする必要があります。
5.11. キーガード機能の管理
IT 管理者は、デバイスのキーガード(ロック画面)と仕事用チャレンジのキーガード(ロック画面)を解除する前に、ユーザーが利用できる機能を管理できます。
5.11.1.ポリシーは、次のデバイス キーガード機能をオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
- 削除されていない通知
5.11.2. 仕事用プロファイルの次のキーガード機能は、ポリシーを使用してオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
5.12. 高度なキーガード機能の管理
- カメラを固定する
- すべての通知
- 秘匿化なし
- 信頼エージェント
- 指紋認証
- キーガード機能のすべて
5.13. リモートデバッグ
Android Management API はこの機能をサポートしていません。
5.14. MAC アドレスの取得
EMM はデバイスの MAC アドレスを通知なく取得し、企業インフラストラクチャの他の部分にあるデバイスを識別するために使用されます(ネットワーク アクセス制御のためにデバイスを識別する場合など)。
5.14.1. EMM はデバイスの MAC アドレスを通知なく取得し、EMM のコンソールでデバイスと関連付けることができます。
5.15. 高度なロックタスク モードの管理
専用デバイスを使用すると、IT 管理者は EMM のコンソールで次のタスクを行うことができます。
5.15.1. 1 つのアプリのインストールとデバイスへのロックを自動的に許可します。
5.15.2. 次のシステム UI 機能をオンまたはオフにします。
- ホームボタン
- 概要
- グローバル アクション
- 通知
- システム情報 / ステータスバー
- キーガード(ロック画面)。このサブ機能は、5.15.1 が実装されるとデフォルトでオンになります。
5.15.3. [システム エラー ダイアログ] をオフにします。
5.16. 高度なシステム アップデート ポリシー
IT 管理者は、デバイスでシステム アップデートをブロックするために、指定したフリーズ期間を設定できます。
5.16.1. IT 管理者は EMM のコンソールで、指定された凍結期間の間無線(OTA)システム アップデートをブロックできるようにする必要があります。
5.17. 仕事用プロファイルのポリシーの透明性の管理
IT 管理者は、デバイスから仕事用プロファイルを削除する際にユーザーに表示されるメッセージをカスタマイズできます。
5.17.1. IT 管理者は、仕事用プロファイルがワイプされたときに表示するカスタム テキストを指定できます(wipeReasonMessage に移動します)。
5.18. 接続されているアプリのサポート
IT 管理者は、ConnectedWorkAndPersonalApp を設定することで、仕事用プロファイルの境界を越えて通信できるパッケージのリストを設定できます。
5.19. 手動によるシステム アップデート
Android Management API はこの機能をサポートしていません。
6. Device Admin のサポート終了
6.1. Device Admin のサポート終了
EMM は、2023 年第 1 四半期末までに GMS デバイスのデバイス管理のカスタマー サポートを終了する計画を 2022 年末までに投稿する必要があります。
7. API の使用
7.1. 新しいバインディング用の標準の Policy Controller
デフォルトでは、新しいバインディング用のデバイスは Android Device Policy を使用して管理する必要があります。EMM には、設定領域の [詳細] などの見出しで、カスタム DPC を使用してデバイスを管理するオプションが用意されている場合があります。オンボーディングや設定のワークフローでは、新規のお客様に対して技術スタックの選択が困難になるようにする必要があります。
7.2. 新しいデバイス用の標準ポリシー コントローラ
デフォルトでは、既存のバインディングと新しいバインディングの両方で、すべての新しいデバイス登録で Android Device Policy を使用してデバイスを管理する必要があります。EMM では、設定領域の [詳細] などの見出しで、カスタム DPC を使用してデバイスを管理するオプションが提供される場合があります。