このページでは、Android Enterprise の機能の一覧を示します。
500 台を超えるデバイスを管理する予定の場合、EMM ソリューションが 基本的な機能に加えて、 ()/ 1 つ以上 ソリューションセットを用意する必要があります標準機能の検証に合格した EMM ソリューションは、標準管理セットを提供しているとして、Android のEnterprise ソリューション ディレクトリに掲載されます。
各ソリューション セットでは、高度な機能も利用できます。これらの機能は、各ソリューション セットのページに仕事用プロファイル、完全管理対象デバイス、専用デバイスとして示されます。高度な機能の検証に合格した EMM ソリューションは、Android の エンタープライズ ソリューション ディレクトリ 詳細管理セットの提供によるものです。
キー
| 標準機能 | 高度 機能 | オプション機能 | 該当なし |
1. デバイスのプロビジョニング
1.1. DPC ファーストの仕事用プロファイルのプロビジョニング
ユーザーは、Google Play から Android Device Policy をダウンロードした後、 仕事用プロファイル。
1.1.1. EMM は IT 管理者に QR コードまたはアクティベーション コードを提供し、 サポートする( デバイスの登録とプロビジョニングをご覧ください)。
1.2. DPC 識別子デバイスのプロビジョニング
「afw#」と入力しますデバイスのセットアップ ウィザードで、フルマネージドまたは 専用のデバイスを使用します。
1.2.1.EMM から IT 管理者に QR コードまたはアクティベーション コードが提供されます このプロビジョニング方法を選択します(デバイスの登録とプロビジョニングをご覧ください)。
1.3. NFC デバイスのプロビジョニング
IT 管理者は NFC タグを使用して、新しいデバイスや初期状態にリセットしたデバイスをプロビジョニングできます。 で規定されている実装ガイドラインに Play EMM API デベロッパー向けドキュメントをご覧ください。
1.3.1.EMM は、888 バイト以上のメモリを備えた NFC フォーラム Type 2 タグを使用する必要があります。 プロビジョニングでは、プロビジョニング エクストラを使用して、機密性の低い登録を渡す必要があります サーバー ID や登録 ID などの詳細情報をデバイスに付与できます。登録の詳細 パスワードや証明書などの機密情報は含めないでください。
1.3.2.Android 10 以降では NFC ビーム(NFC バンプ)が非推奨になっているため、NFC タグの使用をおすすめします。
1.4. QR コード デバイスのプロビジョニング
EMM のコンソールで QR コードを生成し、IT 管理者がその QR コードをスキャンして 完全管理対象デバイスまたは専用デバイス(実装ガイドラインに従う) で定義されている Android Management API のデベロッパー向けドキュメントをご覧ください。
1.4.1.QR コードは、プロビジョニング エクストラを使用して、 登録情報(サーバー ID、登録 ID など)をデバイスにエクスポートできます。 登録の詳細には、パスワードなどの機密情報を含めることはできません 必要ありません。 で確認できます。
1.5. ゼロタッチ登録
IT 管理者は、以下から購入したデバイスを事前設定できます 承認済み 管理する必要があります。EMM コンソールを使って管理します。
1.5.1.IT 管理者は、ゼロタッチ登録を使用して会社所有デバイスをプロビジョニングできます。 登録方法については、IT 管理者向けゼロタッチ登録をご覧ください。
1.5.2.デバイスの電源を初めてオンにすると、自動的に IT 管理者が定義した設定が適用されます で確認できます。
1.6. 高度なゼロタッチ プロビジョニング
IT 管理者はデバイス登録プロセスの多くをゼロタッチで自動化できます 登録できます。ログイン URL と組み合わせて使用 に基づき、IT 管理者は登録を特定のアカウントまたはドメインに制限できます。 EMM で提供されている構成オプションについて説明します。
1.6.1.IT 管理者は、ゼロタッチ登録を使用して会社所有デバイスをプロビジョニングできます。 登録方法をご覧ください。
1.6.2.この要件は非推奨となりました。
1.6.3. EMM は、ログイン URL を使用して、不正なユーザーが有効化を進められないことを確認する必要があります。少なくとも、特定の企業のユーザーのみが有効化できるようにする必要があります。
1.6.4。ログイン URL を使用する , EMM では IT 管理者が登録の詳細(サーバー ID、 登録 ID など)以外の情報が含まれています。 ユーザー名/パスワード、アクティベーション トークンなど)が含まれています。これにより、ユーザーは詳細情報を入力する必要がなくなります。 。
- EMM にパスワードなどの機密情報を含めてはいけません。 ゼロタッチ登録の設定に指定します。
1.7.Google アカウントの仕事用プロファイルのプロビジョニング
管理対象の Google ドメインを使用している企業の場合は、この機能ガイドをご覧ください。 会社に入社後に仕事用プロファイルをセットアップする Workspace 認証情報は、デバイスのセットアップ中、またはすでにインストール済みの アクティブになりました。どちらの場合も、企業の Workspace ID は 仕事用プロファイル。
1.8. Google アカウントのデバイスのプロビジョニング
Android Management API はこの機能に対応していません。
1.9.直接ゼロタッチ設定
IT 管理者は EMM のコンソールを使用して、 ゼロタッチ iframe をタップします。
1.10.会社所有デバイスの仕事用プロファイル
EMM は、仕事用プロファイルが設定された会社所有デバイスを AllowPersonalUsage をご覧ください。
1.10.1.意図的に空白。
1.10.2.IT 管理者は会社所有の仕事用プロファイルに対してコンプライアンス対応を設定できます PersonalUsagePolicies を通じてデバイスにアクセスできます。
1.10.3.IT 管理者は、仕事用プロファイルまたは PersonalUsagePolicies でデバイス全体を指定します。
1.10.4.IT 管理者は、仕事用プロファイルまたは PersonalUsagePolicies でデバイス全体を指定します。
1.10.5. IT 管理者は、アプリの許可リストまたは拒否リストを設定して、 PersonalApplicationPolicy で個人用プロファイルにインストールすることはできません。
1.10.6.IT 管理者は、次の方法で会社所有デバイスの管理を放棄できます。 仕事用プロファイルの削除やデバイス全体のワイプといった操作が可能です。 で確認できます。
1.11.専用のデバイスのプロビジョニング
EMM では、ユーザーにプロンプトを表示せずに専用デバイスを登録できる 認証する必要があります。
2. デバイスのセキュリティ
2.1. デバイスのセキュリティ確認
IT 管理者はデバイスのセキュリティ チャレンジ(PIN/パターン/パスワード)を設定して適用できる 管理対象デバイスでは、3 つの複雑さのレベルで事前定義された選択肢から選択できます。
2.1.1. ポリシーで、デバイスのセキュリティ上の課題を管理する設定(仕事用プロファイルの parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの passwordRequirements)を適用する必要があります。
2.1.2.パスワードの複雑さは、次のパスワードの複雑さにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 繰り返し(4444)または シーケンスをエンコードします。
- PASSWORD_COMPLEXITY_MEDIUM - 繰り返し(4444)のない PIN、または順序付けされた PIN (1234、4321、2468)シーケンス、アルファベットまたは英数字のパスワードと 長さが 4 以上
- PASSWORD_COMPLEXITY_HIGH - 繰り返し(4444)または順序のない PIN (1234, 4321, 2468)配列および 8 文字以上またはアルファベット文字または 6 文字以上の英数字のパスワード
2.1.3. 以前の設定として追加のパスワード制限を適用することもできます アクセスできるようになります。
2.2. 仕事用のセキュリティに関する課題
IT 管理者は、仕事用プロファイル内のアプリとデータに対して、デバイスのセキュリティ チャレンジ(2.1)とは別に、異なる要件を持つセキュリティ チャレンジを設定、適用できます。
2.2.1. ポリシー 仕事用プロファイルにセキュリティ チャレンジを適用する必要がある。
- デフォルトでは、IT 管理者は仕事用プロファイルに対してのみ制限を設定する必要がある スコープが指定されていない場合
- IT 管理者は、スコープを指定してデバイス全体に設定できます(要件 2.1 を参照)。
2.2.2.パスワードの複雑さは、次の定義済みのパスワードにマッピングする必要があります。 複雑性:
- PASSWORD_COMPLEXITY_LOW - 繰り返し(4444)または シーケンスをエンコードします。
- PASSWORD_COMPLEXITY_MEDIUM - 繰り返し(4444)のない PIN、または順序付けされた PIN (1234、4321、2468)シーケンス、アルファベットまたは英数字のパスワードと 長さが 4 以上
- PASSWORD_COMPLEXITY_HIGH - 繰り返し(4444)または順序のない PIN (1234, 4321, 2468)配列および 8 文字以上またはアルファベット文字または 6 文字以上の英数字のパスワード
2.2.3. 以前の設定として追加のパスワード制限を適用することもできます で確認できます。
2.3. 高度なパスコード管理
IT 管理者はデバイスのパスワードの詳細設定を行うことができます。
2.3.1. 意図的に空白になっています。
2.3.2. 意図的に空白になっています。
2.3.3. 以下のパスワードのライフサイクル設定は、 device:
- 意図的に空白
- 意図的に空白
- ワイプするパスワードの最大失敗回数: ユーザーが最大失敗できる回数を指定します 間違ったパスワードを入力すると、企業データが ダウンロードしますIT 管理者がこの機能を無効にできる必要があります。
2.3.4. (Android 8.0 以降)強力な認証にはタイムアウトが必要: 強力な認証 認証用のパスコード(PIN やパスワードなど)の入力が、 IT 管理者が設定したタイムアウト期間。タイムアウト期間が過ぎた後、警告が通知されない 認証方法(指紋認証、顔認証など)は、 強力な認証パスコードでデバイスのロックを解除する。
2.4. Smart Lock の管理
IT 管理者は、Android の Smart Lock で信頼エージェントを信頼するかどうかを管理できる 機能では、デバイスのロック解除を最長 4 時間まで延長することが許可されています。
2.4.1.IT 管理者が無効にできる 信頼エージェントを割り当てる必要があります。
2.5. ワイプとロック
IT 管理者は EMM のコンソールを使用して、 管理できます。
2.5.1. デバイスは Android Management API を使用してロックする必要があります をタップします。
2.5.2.デバイスは Android Management API を使用してワイプする必要があります。
2.6. コンプライアンスの適用
デバイスがセキュリティ ポリシーに準拠していない場合は、コンプライアンス ルール Android Management API によって、 説明します
2.6.1.デバイスに適用されるセキュリティ ポリシーには、少なくともパスワード ポリシーを含める必要があります。
2.7. デフォルトのセキュリティ ポリシー
EMM は、IT 管理者が EMM のコンソールで設定やカスタマイズを行うことなく、デバイスに指定されたセキュリティ ポリシーをデフォルトで適用する必要があります。EMM では、IT 管理者がこれらのセキュリティ機能のデフォルト状態を変更できないようにすることをおすすめします(必須ではありません)。
2.7.1.仕事用プロファイルを設定した Android 8.0 以降のデバイスの個人用側にインストールされたアプリを含め、提供元不明のアプリのインストールをブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.7.2.デバッグ機能をブロックする必要があります。このサブ機能は デフォルトでサポートされます。
2.8. 専用デバイスのセキュリティ ポリシー
ロックダウンされた専用デバイスに対して、他の操作は許可されません。
2.8.1.policy を使用して、セーフモードでの起動をデフォルトでオフにする必要があります。
(safeBootDisabled に移動します)。
をご覧ください。
2.9. Play Integrity サポート
Play Integrity チェックはデフォルトで行われます。追加の実装は必要ありません。
2.9.1.意図的に空白になっています。
2.9.2.意図的に空白になっています。
2.9.3.IT 管理者は、ポリシーの値に応じて異なるポリシー対応を設定できます。 デバイスの SecurityRisk できます。これには、プロビジョニングのブロック、企業データのワイプ、 登録する必要があります。
- EMM サービスでは、 整合性チェックごとに行われます
2.9.4. 意図的に空白になっています。
2.10. アプリの確認の適用
IT 管理者は [アプリの確認] を有効にできます。 。[アプリの確認] は、Android デバイスにインストールされているアプリをスキャンして有害なものがないか確認します インストールする前後にインストールでき、悪意のある 企業データを侵害できません
2.10.1.「アプリの確認」は、ポリシーを使用してデフォルトでオンにする必要があります
(ensureVerifyAppsEnabled に移動します)。
をご覧ください。
2.11. ダイレクト ブートのサポート
Android Management API は、この機能をデフォルトでサポートしています。追加料金なし 実装が必要です。
2.12. ハードウェア セキュリティ管理
IT 管理者は、会社所有デバイスのハードウェア要素をロックダウンして、データ損失を防止できます。
2.12.1.IT 管理者は、ユーザーが物理外部メディアをマウントできないように
policy(
mountPhysicalMediaDisabled)。
2.12.2.IT 管理者は、ポリシーを使用して、ユーザーが NFC ビームを使用してデバイスからデータを共有できないようにできます(outgoingBeamDisabled に移動)。Android 10 以降では NFC ビーム機能がサポートされていないため、このサブ機能は省略可能です。
2.12.3.IT 管理者は、ユーザーが USB 経由でファイルを転送できないように
policy(
usbFileTransferDisabled)。
をご覧ください。
2.13.エンタープライズ セキュリティ ロギング
Android Management API ではこの機能はサポートされていません。
3. アカウントとアプリの管理
3.1. エンタープライズ バインディング
IT 管理者は EMM を組織にバインドして、EMM で managed Google Play を使用して、デバイスにアプリを配布できます。
3.1.1. 既存の管理対象の Google ドメインを持つ管理者は、そのドメインを 利用できます
3.1.2. 意図的に空白になっています。
3.1.3. 意図的に空白になっています。
3.1.4. EMM コンソールでは、Android の登録フローで仕事用メールアドレスを入力するよう管理者に案内し、Gmail アカウントの使用を推奨しません。
3.1.5.EMM が Android の登録フローで管理者のメールアドレスを事前入力します。
3.2. managed Google Play アカウントのプロビジョニング
EMM は、管理対象 Google と呼ばれる企業ユーザー アカウントを通知なくプロビジョニングできます。 Play アカウント。これらのアカウントは、管理対象ユーザーを識別し、ユーザーごとに一意のアプリ配信ルールを許可します。
3.2.1. managed Google Play アカウント(ユーザー アカウント)は デバイスがプロビジョニングされたときです
Android Management API は、この機能をデフォルトでサポートしています。追加料金なし 実装が必要です。
3.3. managed Google Play デバイスのアカウントのプロビジョニング
EMM は managed Google Play デバイス アカウントの作成とプロビジョニングが可能です。デバイス managed Google Play ストアからのアプリのサイレント インストールをサポートしています。 1 人のユーザーに結び付けられません代わりに、デバイス アカウントを使用して単一のデバイスを識別し、専用のデバイス シナリオでデバイスごとのアプリ配信ルールをサポートします。
3.3.1. managed Google Play アカウントは、デバイスが プロビジョニングされます。
Android Management API は、この機能をデフォルトでサポートしています。追加料金なし 実装が必要です。
3.4. レガシー デバイスの managed Google Play アカウントのプロビジョニング
この機能は非推奨です。
3.5. アプリの自動配布
IT 管理者は、ユーザーがいないデバイスにも仕事用アプリを通知なく配布できます
3.5.1. EMM のコンソールで Android Management API を使用する必要があります。 を使用すると、IT 管理者が管理対象デバイスに仕事用アプリをインストールできるようになります。
3.5.2. EMM のコンソールで Android Management API を使用する必要があります。 を使用すると、IT 管理者が管理対象デバイスの仕事用アプリを更新できるようになります。
3.5.3.EMM のコンソールで Android Management API を使用する必要があります。 を使用すると、IT 管理者が管理対象デバイスからアプリをアンインストールできます。
3.6. マネージド構成管理
IT 管理者は、Google Workspace または Cloud Identity 管理者は、 サポートしています。
3.6.1.EMM のコンソールで、任意の Play アプリの管理対象構成設定を取得して表示できる必要があります。
3.6.2.EMM のコンソールでは、IT 管理者が任意の設定タイプ( (Android Enterprise フレームワークで定義されている)を、Android Management API API をタップします。
3.6.3.IT 管理者が EMM のコンソールでワイルドカード( $username$ や %emailAddress% など)を使用すると、 Gmail は複数のユーザーに適用できます。 で確認できます。
3.7. アプリカタログ管理
Android Management API は、この機能をデフォルトでサポートしています。× 追加の実装が必要です。
3.8. プログラムによるアプリの承認
EMM のコンソールでは、managed Google Play iframe を使用して Google Play の アプリの検出と承認に関する機能です。IT 管理者はアプリを検索したり EMM のコンソールを離れることなく、アプリの承認、新しいアプリの権限の承認を行えます。
3.8.1. IT 管理者は EMM のコンソール内でアプリを検索して承認できる managed Google Play iframe を使用します。
3.9. 基本的な店舗レイアウト管理
managed Google Play ストア アプリを使用して、仕事用アプリをインストール、更新できます。 デフォルトでは、managed Google Play ストアには、ユーザーに対して承認されたアプリが 1 つのリストに表示されます。このレイアウトは、ベーシック ストア レイアウトと呼ばれます。
3.9.1.IT 管理者は EMM のコンソールを使用して、エンドユーザーの基本的なストア レイアウトに表示されるアプリを管理できます。
3.10. 高度なストア レイアウト構成
3.10.1.IT 管理者がストア レイアウトをカスタマイズ可能 managed Google Play ストア アプリに表示されます。
3.11. アプリ ライセンスの管理
この機能は非推奨です。
3.12. Google ホスト型限定公開アプリの管理
IT 管理者は、Google Play Console ではなく EMM コンソールから Google がホストする限定公開アプリを更新できます。
3.12.1. IT 管理者は、すでに公開されているアプリの新しいバージョンをアップロードできます 以下を使用して企業に限定公開できます。
3.13. 自己ホスト型限定公開アプリの管理
IT 管理者は、自己ホスト型の限定公開アプリを設定して公開できます。Google がホストする限定公開アプリとは異なり、Google Play は APK をホストしません。代わりに EMM では、IT 管理者が APK を自分でホストし、自己ホスト型の APK を アプリを管理対象の Google Cloud の承認を受けている場合にのみインストール 楽しみましょう。
3.13.1.EMM のコンソールでは、IT 管理者がアプリの APK をホストできるように、両方の機能を提供する必要があります。 次のオプションから選択できます。
- EMM のサーバーで APK をホストします。サーバーはオンプレミスでも クラウドベースです。
- EMM のサーバー外で APK をホストする( できます。IT 管理者は EMM コンソールで、 APK がホストされています。
3.13.2.EMM のコンソールで適切な APK 定義を生成する必要がある に用意されている APK を使用して、 IT 管理者による公開プロセスの手順を案内する必要があります。
3.13.3.IT 管理者は、自己ホスト型限定公開アプリと EMM のコンソールを更新できます Google Play ストアを使用して、更新された APK 定義ファイルを通知なく公開できます。 デベロッパー向けの Publishing API をタップします。
3.13.4. EMM のサーバーが自己ホスト型 APK のダウンロード リクエストを処理する 有効な JWT が含まれることが検証され、 秘密鍵で識別されます。
- このプロセスを円滑に進めるために、EMM のサーバーは、IT 管理者が以下の操作を行えるようにする必要があります。 自己ホスト型アプリのライセンス公開鍵を Play Google Play Console から この鍵を EMM コンソールにアップロードしてください。
3.14. EMM プル通知
この機能は Android Management API には適用されません。設定 Pub/Sub 通知をご利用ください。
3.15. API の使用要件
EMM は大量の Android Management API を実装し、トラフィックを回避 悪影響を及ぼす可能性があるGoogle Chat を使用して デプロイできます。
3.15.1.EMM は Android Management API に準拠している必要があります。 できます。これらのガイドラインを超える動作を修正しないと、 API の使用が停止されます。
3.15.2.EMM は、さまざまな企業からのトラフィックを 企業のトラフィックを特定のレベルや類似のレベルに統合するのではなく、 あります。このトラフィック パターンに適合する動作(スケジュール設定されたバッチなど) オペレーションを開始すると、API の使用が一時停止される可能性があります。 。
3.15.3. EMM では、一貫性を持たせたり、不完全であったり、意図的に間違ったりしてはいけません。 実際の企業データの取得や管理を試みないリクエスト。 このトラフィック パターンに合致する動作があると、API の使用が一時停止される可能性があります。 。
3.16. 高度な管理対象構成管理
EMM は、以下の高度な管理対象構成管理をサポートしています。 特長は次のとおりです。
3.16.1.EMM のコンソールは、最大 4 つの 以下を使用して、任意の Play アプリのネストされた管理対象設定レベルをレベルごとに設定
- managed Google Play iframe
- 作成できます
3.16.2.EMM のコンソールで、フィードバックを取得して表示できる必要があります。 アプリのフィードバック チャネルから返されたエラー 。
- IT 管理者が EMM のコンソールで特定のフィードバック アイテムに アクセス元のデバイスとアプリに関する情報が収集されます。
- EMM のコンソールで、IT 管理者が特定のメッセージ タイプ(エラー メッセージなど)のアラートやレポートを定期購入できるようにする必要があります。
3.16.3.EMM のコンソールは、デフォルト値があるか、管理者が手動で設定した値のみを送信する必要があります。 次を使用:
- 管理対象設定の iframe
- カスタム UI。
3.17. ウェブアプリの管理
IT 管理者は EMM コンソールでウェブアプリを作成して配布できます。
3.17.1. IT 管理者は EMM コンソールでウェブアプリへのショートカットを配布できます 次を使用:
- managed Google Play iframe、
- または Android Management API をタップします。
3.18. managed Google Play アカウントのライフサイクル管理
EMM は、IT 管理者に代わって managed Google Play アカウントを作成、更新、削除し、アカウントの有効期限切れから自動的に復元できます。
この機能はデフォルトでサポートされています。追加の EMM 実装は不要 必要です。
3.19. アプリケーション トラック管理
3.19.1.IT 管理者は、デベロッパーが特定のアプリに設定したトラック ID のリストを取得できます
3.19.2.IT 管理者は、アプリケーションに特定の開発トラックを使用するようにデバイスを設定できます。
3.20.高度なアプリケーション更新管理
IT 管理者は、アプリをすぐに更新できるようにすることも、アプリの更新を延期することもできます 90 日間更新されます。
3.20.1.IT 管理者は、アプリが優先度の高いアプリの更新を使用して、更新の準備ができたときに更新できるようにすることができます。3.20.2.IT 管理者は、アプリのアプリのアップデートを 90 日間延期することを許可できます。
3.21.プロビジョニング方法の管理
EMM でプロビジョニング構成を生成し、IT に提示できる エンドユーザーに配布できるフォーム(QR コード、 ゼロタッチ設定、Play ストアの URL)。
4. デバイス管理
4.1. ランタイム権限ポリシーの管理
IT 管理者は、実行時の権限リクエストに対するデフォルトのレスポンスを通知なく設定可能 おすすめします
4.1.1. IT 管理者は、設定時に次のオプションから選択できる必要があります。 デフォルトの実行時の権限ポリシーを
- プロンプト(ユーザーが選択できるようにする)
- allow
- 拒否
EMM はポリシーを使用して、これらの設定を適用する必要があります。 をタップします。
4.2. ランタイム権限付与の状態管理
デフォルトの実行時の権限ポリシーを設定(4.1 に移動)した後、IT 管理者は API 上に構築された仕事用アプリから特定の権限に対する応答を通知なく設定 23 以上。
4.2.1.IT 管理者が権限付与の状態(デフォルト、付与、拒否)を設定できる必要がある API 23 以降で構築された仕事用アプリから要求されたすべての権限の責任を負います。EMM は、ポリシーを使用してこれらの設定を適用する必要があります。
4.3. Wi-Fi 設定管理
IT 管理者は、マネージド Wi-Fi 構成の 以下が含まれます。
4.3.1.SSID(policy を使用)。
4.3.2.パスワード(policy を使用)。
4.4. Wi-Fi セキュリティ管理
IT 管理者は、次の高度なセキュリティ機能を含むデバイスにエンタープライズ Wi-Fi 構成をプロビジョニングできます。
4.4.1. ID
4.4.2. クライアント認証用の証明書
4.4.3. CA 証明書
4.5. 高度な Wi-Fi 管理
IT 管理者は管理対象デバイスの Wi-Fi 設定をロックして、 ユーザーによる設定の作成や会社の設定の変更を防止できます。
4.5.1. IT 管理者は以下を使用して会社の Wi-Fi 設定をロックダウンできます。 policy を、 必要があります。
- EMM によってプロビジョニングされた Wi-Fi 設定をユーザーが変更することはできません(
wifiConfigsLockdownEnabled)、ただし、 ユーザーが構成可能な独自のネットワーク( パーソナル ネットワークなど)が含まれます。 - ユーザーはデバイスで Wi-Fi ネットワークを追加または変更できない
(
wifiConfigDisabledに移動)、Wi-Fi 接続をこれらのみに制限します EMM によってプロビジョニングされるネットワークです。
4.6. アカウント管理
IT 管理者は、認可された企業アカウントのみがやり取りできるようにすることができます SaaS ストレージや生産性向上アプリなどのサービス用の企業データ、または できます。この機能がなければ、ユーザーはそれらの 一般ユーザー向けアカウントもサポートしている企業アプリで、 企業データを 個人アカウントで使うことができます
4.6.1.IT 管理者は、ユーザーによる追加や変更を
アカウント
(modifyAccountsDisabled を参照)。
- このポリシーをデバイスに適用する場合、EMM でこの制限を設定する必要があります プロビジョニングの完了前に、この回避策をユーザーが回避できないように ポリシーを有効にすることをおすすめします。
4.7. Workspace アカウントの管理
Android Management API はこの機能に対応していません。
4.8. 証明書の管理
IT 管理者は、組織、フォルダ、プロジェクト、プロジェクトの 企業リソースを使用できるようにします
4.8.1.IT 管理者はユーザー ID 証明書をインストールできます ユーザーごとに PKI で生成されます。EMM のコンソールは 証明書を配布し、その PKI から生成された証明書を 説明します。
4.8.2.IT 管理者が認証局をインストールできる
(caCerts を参照)。ただし、このサブ機能は
をタップします。
4.9. 高度な証明書管理
IT 管理者は、特定の管理対象アプリに付与されている証明書を通知なく選択できます 必要があります。また、IT 管理者はこの機能を使用して、 アクティブなデバイスの CA と ID 証明書を適用し、ユーザーによる変更を防止 マネージド キーストアに保存された認証情報です。
4.9.1.デバイスに配布されるすべてのアプリに対して、IT 管理者は証明書を指定できます。 アプリは実行時に通知なくアクセスが許可されます。( サブ機能はサポートされていません)
- 1 つの証明書のみを許可するのに十分な汎用性を持つ証明書を選択する ユーザーごとに適用される構成で、ユーザーごとに ユーザー固有の ID 証明書を使用できます。
4.9.2.IT 管理者は通知なく証明書を削除できる 認証情報を取得できます。
4.9.3.IT 管理者は CA 証明書をサイレント アンインストールできます。(このサブ機能は サポート対象外)
4.9.4.IT 管理者は、ユーザーによる認証情報の設定を禁止できる
(credentialsConfigDisabled に移動します)。
4.9.5. IT 管理者は、ChoosePrivateKeyRule を使用して仕事用アプリの証明書を事前に付与できます。
4.10.代理証明書管理
IT 管理者は、サードパーティ製の証明書管理アプリをデバイスや そのアプリに特権アクセスを付与して、マネージド サーバーに証明書を キーストアです。
4.10.1.IT 管理者は証明書管理パッケージを指定できます。
(delegatedCertInstallerPackage に移動)委任証明書として設定
管理できます。
- EMM は、任意で既知の証明書管理パッケージ、 管理者が利用できるアプリのリストから選択できるようにする必要があります。 インストールする必要があります。
4.11. 高度な VPN 管理
IT 管理者は常時接続 VPN を指定して、 常に VPN の設定が行われます。
4.11.1.IT 管理者は、常時接続 VPN として設定する任意の VPN パッケージを指定できます。
- EMM のコンソールに、サポートされている既知の VPN パッケージが 常時接続 VPN(常時接続設定で使用可能な VPN は制限できない) 追加することもできます。
4.11.2.IT 管理者は管理対象設定を使用して、 できます。 で確認できます。
4.12.IME 管理
IT 管理者は、デバイスに設定できる入力方法(IME)を管理できます。IME は仕事用プロファイルと個人用プロファイルの両方で共有されるため、 IME の使用をブロックすると、ユーザーは個人用の IME を許可できなくなります。 あります。ただし、IT 管理者は業務でのシステム IME の使用をブロックできません プロファイル(詳しくは IME の詳細管理をご覧ください)。
4.12.1.IT 管理者は IME 許可リストを設定可能
任意の長さの(permitted_input_methodsに移動)(空のリスト、
(システム以外の IME をブロックします)。これには任意の IME パッケージが含まれます。
- EMM のコンソールでは、必要に応じて既知の IME または推奨 IME が提示され、 許可リストに含めるが、IT 管理者がリストから選択できるようにする必要がある 該当するユーザーがインストール可能なアプリの数。
4.12.2.EMM は、システム IME が対象外であることを IT 管理者に知らせる必要があります。 仕事用プロファイルが設定されたデバイスの管理 で確認できます。
4.13.高度な IME 管理
IT 管理者は、ユーザーがどの入力方法(IME)を設定できるかを管理できます ダウンロードします高度な IME 管理では、IT 管理者が基本機能を拡張して、 システム IME の使用を管理するため、どのデバイス メーカーが 携帯通信会社にお問い合わせください。
4.13.1.IT 管理者は IME 許可リストを設定可能
任意の長さ(空のリストを除く)の permitted_input_methods に移動
システム IME を含むすべての IME をブロックします。これには、任意のソフトウェア
IME パッケージ。
- EMM のコンソールでは、許可リストに登録する既知または推奨の IME が提案される場合がありますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。
4.13.2.EMM では、IT 管理者が空の許可リストを設定できないようにする必要があります。これは、 を設定すると、システム IME を含むすべての IME が ダウンロードします
4.13.3.EMM では、IME の許可リストにシステムの IME が含まれていない場合に、 許可リストが適用される前にサードパーティの IME が自動的にインストールされる 確認できます。 で確認できます。
4.14.ユーザー補助サービスの管理
IT 管理者は、どのユーザー補助サービスを管理できるか ユーザーがデバイスで許可できるようにします。ユーザー補助サービスはユーザーにとってパワフルなツール 障がいのある人や一時的に身体の調子が悪くなる人が ダウンロードしますただし、企業のポリシーに準拠していない方法で企業データを操作する可能性があります。IT 管理者はこの機能を システム以外のユーザー補助サービスも対象にします。
4.14.1.IT 管理者はユーザー補助サービスの許可リストを設定可能
任意の長さ(空の文字列を含む)の permittedAccessibilityServices に移動
(システム以外のユーザー補助サービスをブロックします)。これには、
任意のユーザー補助サービス パッケージで管理できます。仕事用プロファイルに適用すると、
個人用プロファイルと仕事用プロファイルの両方に影響します。
- コンソールでは、既知のユーザー補助サービスまたは推奨ユーザー補助サービスが表示されることもあります 含める必要があるが、IT 管理者が選択できるようにする 該当するユーザーがインストールできるアプリのリスト。
4.15.現在地の共有の管理
IT 管理者は、ユーザーが仕事用のアプリと位置情報を共有しないようにすることができます 選択します。それ以外の場合、仕事用プロファイルの場所設定は 設定。
4.15.1. IT 管理者は位置情報サービスを無効にできます
(shareLocationDisabled に移動)できます。
4.16. 現在地の共有の詳細な管理
IT 管理者は、管理対象デバイスに特定の現在地の共有設定を適用できます。 この機能により、企業アプリの位置情報が常に高精度になります できます。この機能により、バッテリーが過剰に消費されるのを 位置情報の設定をバッテリー節約モードに制限します。
4.16.1.IT 管理者はデバイスの位置情報サービスを設定できます 次の各モードに切り替えることができます。
- 高精度] をタップします。
- センサーのみ(GPS など、ネットワーク提供は対象外) あります。
- バッテリー節約: 更新頻度を制限します。
- オフ。
4.17.初期状態へのリセット保護機能の管理
IT 管理者は、会社所有デバイスを盗難から保護するために、 権限のないユーザーがデバイスを初期状態にリセットすることはできません。出荷時設定へのリセット保護機能により、デバイスが IT に返却されたときの運用が複雑になる場合は、IT 管理者が出荷時設定へのリセット保護機能を完全にオフにできます。
4.17.1.IT 管理者は、ユーザーが初期状態にリセットできないようにすることができます。
(factoryResetDisabled に移動)します。
4.17.2.IT 管理者は、権限のある企業ロック解除アカウントを指定できます。
デバイスのプロビジョニング
(frpAdminEmails に移動)。
- このアカウントは個人に関連付けることも、企業全体で使用することもできます デバイスのロックを解除します。
4.17.3.IT 管理者は出荷時設定へのリセット保護機能を無効にすることができます
(go to0 factoryResetDisabled)。
4.17.4.IT 管理者はデバイスのリモートワイプを開始できます。 リセット保護データをワイプして初期状態へのリセットをオプションで削除できる 保護しているわけではありません。
4.18.高度なアプリ管理
IT 管理者は、ユーザーが管理対象のアイテムをアンインストールしたり、その他の方法で変更したりするのを防止できます。 管理できます。たとえば、アプリを強制終了できないようにします。 アプリのデータ キャッシュの消去。
4.18.1. IT 管理者は、任意の管理対象アプリ、またはすべての管理対象アプリのアンインストールをブロックできます(uninstallAppsDisabled に移動)。
4.18.2.IT 管理者は、ユーザーが [設定] からアプリデータを変更できないようにできます。(Android Management API は、このサブ機能をサポートしていません)
4.19.スクリーン キャプチャの管理
IT 管理者は、ユーザーが管理対象アプリを使用している場合にスクリーンショットを撮影できないようにブロックできます。 この設定には、画面共有アプリおよび類似のアプリ( Google アシスタントなど)で使用されることがあります。
4.19.1.IT 管理者は、ユーザーによるスクリーンショットの撮影を禁止できます
(screenCaptureDisabled に移動します)。
4.20.カメラを無効にする
IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます。
4.20.1.IT 管理者はデバイスのカメラの使用を無効にすることができます
(cameraDisabled に移動)。
をご覧ください。
4.21. ネットワーク統計情報の収集
Android Management API ではこの機能はサポートされていません。
4.22. 高度なネットワーク統計情報の収集
Android Management API ではこの機能はサポートされていません。
4.23.デバイスの再起動
IT 管理者は管理対象デバイスをリモートで再起動できます。
4.23.1.IT 管理者はリモートで再起動できる 管理できます。
4.24.システム無線管理
IT 管理者は、システムのネットワーク無線通信と policy を使用して関連付けられた使用ポリシー をご覧ください。
4.24.1.IT 管理者は、サービス プロバイダから送信される緊急速報メールを無効にできます(cellBroadcastsConfigDisabled に移動)。
4.24.2.IT 管理者は、ユーザーがモバイル ネットワークの設定を変更することを
設定(mobileNetworksConfigDisabled に移動)。
4.24.3.IT 管理者は、ユーザーが
設定。(networkResetDisabled に移動)。
4.24.4.IT 管理者は、ローミング中にデバイスでモバイル データを許可するかどうかを設定できます(dataRoamingDisabled に移動)。
4.24.5.IT 管理者は、デバイスで発信できるかどうかを設定できます
通話、緊急通報を除く(outGoingCallsDisabled に転送)。
4.24.6.IT 管理者は、デバイスでテキスト メッセージを送受信できるかどうかを設定できます
メッセージ(smsDisabled に移動)。
4.24.7.IT 管理者は、テザリングによってユーザーがデバイスをポータブル ホットスポットとして使用できないようにできます(tetheringConfigDisabled に移動)。
4.24.8.IT 管理者は、Wi-Fi タイムアウトをデフォルトに設定できます。電源接続時や、 ありません。(Android Management API は、このサブ機能をサポートしていません)
4.24.9.IT 管理者は、ユーザーが既存のプロジェクトを設定または変更できないようにする
Bluetooth 接続(bluetoothConfigDisabled に移動)。
4.25.システム音声管理
IT 管理者はデバイスの音声機能をサイレント コントロールできます。 デバイスのミュート、ユーザーによる音量設定の変更の禁止、 ユーザーがデバイスのマイクのミュートを解除できないようにします。
4.25.1.IT 管理者は管理対象デバイスを通知なくミュートできます。 (Android Management API は、このサブ機能をサポートしていません)
4.25.2. IT 管理者は、ユーザーによるデバイスの音量の変更を禁止できる
設定(adjustVolumeDisabled に移動)。デバイスもミュートされます。
4.25.3.IT 管理者は、ユーザーによるデバイスのミュート解除を禁止できます
マイク(unmuteMicrophoneDisabled に移動します)。
4.26.システム クロック管理
IT 管理者はデバイスの時計とタイムゾーンの設定を管理し、ユーザーが デバイスの自動設定の変更。
4.26.1.IT 管理者は、システム時刻とタイムゾーンの自動設定を適用できます。 ユーザーがスペースの日時、タイムゾーンを クリックします。
4.27. 専用デバイスの高度な機能
専用デバイスの場合、IT 管理者は ポリシー 導入できます
4.27.1.IT 管理者はデバイスのキーガードをオフにできます(keyguardDisabled に移動)。
4.27.2. IT 管理者は、デバイスのステータスバーを無効にしたり、通知をブロックしたり、
クイック設定(statusBarDisabled に移動)。
4.27.3.IT 管理者は、デバイスが動作している間、デバイスの画面をオンのままにしておくことができます
電源に接続されています(stayOnPluggedModes に移動)。
4.27.4.IT 管理者は次のシステム UI を防ぐことができます
(createWindowsDisabled に移動):
- トースト
- アプリ オーバーレイ。
4.27.5.IT 管理者は、アプリに関するシステムの推奨事項をスキップして、
ユーザー チュートリアルやその他の入門レベルのヒントが用意されています(
skip_first_use_hints)。
4.28.委任されたスコープ管理
IT 管理者は、個々のパッケージに追加の権限を委任できます。
4.28.1. IT 管理者は次のスコープを管理できます。
- 証明書のインストールと管理
- 意図的に空白
- ネットワーク ログ
- セキュリティ ロギング(BYOD の仕事用プロファイルではサポートされていません)
4.29.登録固有の ID のサポート
Android 12 以降、仕事用プロファイルは以下にアクセスできなくなります。 識別子が含まれています。IT 管理者はデバイスのライフサイクルを追跡できる 登録固有の ID を使用して仕事用プロファイルと関連付けることができます。この ID は おすすめします
4.29.1.IT 管理者は登録固有の ID を取得できます
4.29.2.この登録固有の ID は、出荷時の設定にリセットしても保持される必要があります。
5. デバイスのユーザビリティ
5.1. マネージド プロビジョニングのカスタマイズ
IT 管理者はデフォルトの設定フローの UX を変更して、 エンタープライズ固有の機能を提供します。必要に応じて、IT 管理者はプロビジョニング中に EMM 提供のブランディングを表示できます。
5.1.1. IT 管理者は、プロビジョニング プロセスをカスタマイズするため、
enterprise-specific
利用規約とその他の免責条項(termsAndConditions に移動)。
5.1.2. IT 管理者がデプロイ可能
設定不可の EMM 固有の利用規約とその他の免責条項
(termsAndConditions に移動します)。
- EMM によっては、変更不可の EMM 固有のカスタマイズを デフォルトであるが、IT 管理者が独自のポリシーを設定できるようにする必要がある カスタマイズが可能です。
5.1.3. Android のエンタープライズ リソースの primaryColor のサポートが終了しました
10 以降。
5.2. エンタープライズ向けカスタマイズ
Android Management API はこの機能に対応していません。
5.3. 企業向けの高度なカスタマイズ
Android Management API はこの機能に対応していません。
5.4. ロック画面のメッセージ
IT 管理者は、端末ロックに常に表示されるカスタム メッセージを設定できます 表示され、デバイスのロックを解除する必要はありません。
5.4.1. IT 管理者は、カスタムのロック画面 メッセージを設定できます(deviceOwnerLockScreenInfo に移動)。
5.5. ポリシーの透明性の管理
IT 管理者は、ユーザーがアクセスしようとしたときに表示されるヘルプテキストをカスタマイズできます デバイスの管理対象設定の変更、EMM 提供の汎用 サポート メッセージが表示されます。短いサポート メッセージと長いサポート メッセージはいずれもカスタマイズ可能で、 アンインストールしようとしたときに表示される IT 管理者によってすでにアンインストールがブロックされています。
5.5.1. IT 管理者は、短い / 長いユーザー向けのサポートをカスタマイズ可能 メッセージ。
5.5.2. IT 管理者は、構成不可の EMM 固有、短い / 長いものをデプロイできる
サポート メッセージ(shortSupportMessage および longSupportMessage にアクセスして
policies)。
- EMM は、設定不可の EMM 固有のサポート メッセージを デフォルトであるが、IT 管理者が独自のポリシーを設定できるようにする必要がある ブロックすることもできます。
5.6. クロス プロファイル連絡先管理
5.6.1.IT 管理者は、個人用プロファイルでの仕事用の連絡先の表示を無効にできます 連絡先の検索と着信。
5.6.2.IT 管理者は Bluetooth の連絡先の共有を無効にすることができます 仕事の連絡先(車やヘッドセットでのハンズフリー通話など)
5.7. クロス プロファイル データ マネジメント
IT 管理者は業務間で共有できるデータの種類を管理できます 個人用プロファイルも用意されており、管理者はユーザビリティとデータ セキュリティのバランスを取ることができる カスタマイズが可能です
5.7.1. IT 管理者はクロス プロファイル データ共有ポリシーを構成できる 個人用アプリが仕事用プロファイルのインテント(共有など)を解決できるようになります。 ウェブリンクを使用できます。
5.7.2.IT 管理者は、仕事用プロファイルからアプリケーションを作成して、
個人用プロファイルのホーム画面にウィジェットを表示する。この機能はデフォルトで無効になっていますが、workProfileWidgets フィールドと workProfileWidgetsDefault フィールドを使用して許可するように設定できます。
5.7.3.IT 管理者は、仕事用プロファイルと個人用プロファイルの間でコピーや貼り付けの機能を制御できます。
5.8. システム アップデート ポリシー
IT 管理者は無線(OTA)システム アップデートを設定して適用できる 提供します
5.8.1.IT 管理者は EMM コンソールで次の OTA を設定できます。 構成:
- 自動: OTA アップデートが利用可能になると、デバイスにインストールされます。
- 延期: IT 管理者は OTA アップデートを最大 30 日まで延期できる必要があります 日このポリシーは、セキュリティ アップデート(例: パッチ)が含まれます。
- 期間内: IT 管理者は 1 日の OTA アップデートをスケジュールできなければなりません。 メンテナンスの時間枠内にあります。
5.8.2. OTA 構成は、ポリシーを使用してデバイスに適用されます。
5.9. ロックタスク モードの管理
IT 管理者は、アプリまたはアプリセットを画面にロックし、ユーザーがアプリを終了できないようにすることができます。
5.9.1.IT 管理者は EMM のコンソールを使用して、任意の IP アドレスを デバイスにインストールしてロックできます。ポリシーを使用すると、専用デバイスを設定できます。
5.10. 優先アクティビティの管理を永続的に
IT 管理者は、一致するインテントのデフォルトのインテント ハンドラとしてアプリを設定できます 特定のインテントフィルタを 適用することもできますたとえば、IT 管理者はこの機能を使用して、ウェブリンクを自動的に開くブラウザアプリを選択できます。この機能では、ホームボタンをタップしたときに使用するランチャー アプリを管理できます。
5.10.1.IT 管理者は任意のパッケージをデフォルトのインテント ハンドラとして設定できる 任意のインテント フィルタに対して設定できます。
- EMM のコンソールでは、Google Chat のメッセージ履歴を 使用できますが、インテントを任意のリストに制限することはできません。
- IT 管理者が EMM のコンソールでアプリのリストから選択できるようにする必要がある 該当するユーザーがインストールできるものが表示されます。
5.11. キーガード機能の管理
IT 管理者は、デバイスのキーガード(ロック画面)と仕事用チャレンジのキーガード(ロック画面)を解除する前に、ユーザーが利用できる機能を管理できます。
5.11.1.Policy では、次のデバイス キーガード機能をオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
- 編集されていない通知
5.11.2.仕事用プロファイルの以下のキーガード機能はオフにできます policy を使用します。
- 信頼エージェント
- 指紋認証によるロック解除
5.12. 高度なキーガード機能の管理
- </ph>
- セキュアカメラ
- すべての通知
- 秘匿化なし
- 信頼エージェント
- 指紋認証
- すべてのキーガード機能
5.13.リモートデバッグ
Android Management API はこの機能をサポートしていません。
5.14. MAC アドレスの取得
EMM はデバイスの MAC アドレスを通知なく取得して、デバイスを識別する 他の部分に置く(たとえば、インフラストラクチャの別の部分に ネットワーク アクセス制御のためのデバイスなど)が含まれます。
5.14.1. EMM はデバイスの MAC アドレスをサイレントで取得し、EMM のコンソールでデバイスに関連付けることができます。
5.15. 高度なロックタスク モードの管理
専用のデバイスがあれば、IT 管理者は EMM を使用して 以下のタスクを実行します。
5.15.1.1 つのアプリのインストールとデバイスのロックを通知なしで許可する をタップします。
5.15.2. 次のシステム UI 機能をオンまたはオフにします。
- ホームボタン
- 概要
- グローバル アクション
- 通知
- システム情報 / ステータスバー
- キーガード(ロック画面)。このサブ機能は、5.15.1 が実装されるとデフォルトでオンになります。
5.15.3.[システムエラー ダイアログ] をオフにします。
5.16.高度なシステム アップデート ポリシー
IT 管理者は、デバイスのシステム アップデートをブロックする特定の凍結期間を設定できます。
5.16.1.EMM のコンソールでは、IT 管理者が無線(OTA)をブロックできるようにする必要があります。 指定した凍結期間のシステム アップデートに対して行う支払い。
5.17.仕事用プロファイルのポリシーの透明性の管理
IT 管理者は、課題を削除する際にユーザーに表示されるメッセージをカスタマイズできます 削除することもできます。
5.17.1. IT 管理者は表示するカスタム テキストを指定可能
(wipeReasonMessage に移動)。
5.18.接続されているアプリのサポート
IT 管理者は、組織全体でやり取りできるパッケージのリストを ConnectedWorkAndPersonalApp を設定することで、仕事用プロファイルの境界がサポートされるようになりました。
5.19.手動システム アップデート
Android Management API はこの機能に対応していません。
6. デバイス管理のサポート終了
6.1. デバイス管理のサポート終了
EMM は 2022 年末までにプランを投稿し、GMS デバイスでのデバイス管理のカスタマー サポートを 2023 年第 1 四半期末までに終了します。 をご覧ください。
7. API の使用
7.1. 新しいバインディング用の標準の Policy Controller
デフォルトでは、新規デバイスに対しては Android Device Policy を使用して管理する必要があります。 できます。EMM では、カスタム DPC を使用してデバイスを [詳細設定]セクションの同じ用語が使用されています。新規顧客 セキュリティ・インシデントの発生時に技術スタックから任意に選択される オンボーディングや設定のワークフローに 取り組むことができます
7.2. 新しいデバイス用の Standard Policy Controller
デフォルトでは、既存のバインディングと新しいバインディングの両方で、すべての新しいデバイス登録で Android Device Policy を使用してデバイスを管理する必要があります。EMM では、設定領域の [詳細] などの見出しで、カスタム DPC を使用してデバイスを管理するオプションが提供される場合があります。