デバイス管理のサポート終了

概要

モバイル デバイスの管理は、Android 2.2 で導入されました。それ以降、企業のニーズは進化しています。デバイスはますます機密性の高いリソースにアクセスするようになり、Android の元の Device Admin API よりも幅広いユースケースで使用されるようになっています。たとえば、次のようなユースケースがあります。

  • 混合用途や BYOD 導入において、仕事用データを個人データから分離する。
  • Google Play を通じたビジネス アプリケーションの配信とデータの管理、そのために必要な Google アカウントの管理。
  • 特定のアプリケーション用途に合わせてデバイスをキオスクにロックする。
  • PKI で保護されたリソースへのアクセスを許可するための証明書の管理。
  • アプリごと、プロファイルごとの VPN の確立。プライバシーを保護しながらリモート エンタープライズ アプリケーションをサポートします。

同時に、企業はデバイス管理者のサポートレベルよりも高い信頼関係を求めていました。デバイス管理は、ユーザーが承認したどのアプリでも有効にできるため、次のような企業ユースケースはサポートされていません。

  • 出荷時設定へのリセット保護機能(FRP)を設定して、デバイスが管理された状態を維持し、従業員が退職してもデバイスを復元できるようにします。
  • 暗号化されたデバイスでのデバイスのパスワードの安全なリセット。
  • デバイス管理者が削除されるのを防ぎます(セキュリティ上の理由から Nougat で削除されました)。
  • ユーザーをデバイスからロックアウトするために管理者が定義したパスコードの確立(セキュリティ上の理由から Android 7.0 Nougat で削除)。

Android 5.0 で Android の管理対象デバイス(デバイス所有者)モードと仕事用プロファイル(プロファイル所有者)モードが導入されて以来、デバイス管理は従来の管理手法とみなされてきました。デバイス管理は今日の企業の要件に適していないため、お客様とパートナーは、管理対象デバイスと仕事用プロファイル モードを導入してデバイスを管理することをおすすめします。この移行をサポートし、リソースを Android の現在の管理機能に集中させるため、企業向けのデバイス管理を Android 9.0 リリースで非推奨にしました。これらの機能は Android 10.0 リリースで削除される予定です。

非推奨ポリシー

Android 9.0 のリリースでは、以下のポリシーはデバイス管理者によって呼び出された時点で非推奨としてマークされますが、それ以外の場合、API は機能し続けます。

Android 10.0 のリリース以降、上記のポリシーは API レベル 29 をターゲットとするアプリでデバイス管理から呼び出されると SecurityException をスローします。

Android 11.0 リリースでは、デバイス管理者によって USES_POLICY_RESET_PASSWORD が呼び出されると非推奨としてマークされ、機能しなくなります。API レベル 24 以上をターゲットとするアプリでは SecurityException をスローします。

アプリによっては、紛失したデバイスのロックやワイプなど、コンシューマのデバイス管理にデバイス管理を使用するものもあります。これを有効にするために、次のポリシーは引き続き利用できます。

実装を更新する

上記のセクションで非推奨としてマークされているキーガードとパスワードのポリシーを置き換えるには、アプリ(Exchange ActiveSync のデプロイを管理するアプリを含む)で画面ロックの品質チェックで説明されている方法を使用する必要があります。

タイムライン

Android 9.0: ドキュメントの更新により、デバイス管理がエンタープライズ向けの非推奨となりました。既存の機能は、API レベル 28 をターゲットとするアプリでも引き続き機能しますが、使用は推奨されません。すべてのパートナーとお客様は、Android 10.0 がリリースされる前に仕事用プロファイルまたは完全管理対象デバイスに移行する必要があります。

Android 10.0: 上記のポリシーは、API レベル 29 をターゲットとする DPC では利用できなくなります。

IT 管理者への影響

パートナー様やお客様には、この変更に対する準備を早めに開始されることをおすすめします。デバイス管理の使用状況は、デバイス管理を有効にするときに画面で識別できます(図 1 の例をご覧ください)。

デバイス管理の有効化の例
図 1.このようなアクティビティは、デバイス管理を有効にするとシステムによって表示されます。

現在、デバイス管理を使用してデバイスを管理している場合、Android の現在の管理 API に移行する方法は 2 つあります。管理対象デバイスを登録するには、Android の仕事用プロファイル(プロファイル所有者)モードまたは管理対象デバイス(デバイス所有者)モードをサポートする企業向けモバイル管理(EMM)プロバイダが必要です。お客様はデプロイに最適な管理モードを選択する必要があります。場合によっては、両方の戦略を同時に利用することができる。

互換性のあるサービスのリストについては、こちらをご覧ください。EMM ソフトウェア プロバイダは、提供している製品に関する具体的なガイダンスを提供できます。

個人用(個人所有のデバイス)の管理

個人用デバイスは、Android の仕事用プロファイル モードに対応しています。仕事用プロファイルは EMM によってデプロイされ、ユーザーの仕事用と個人用のアプリやデバイス上のデータを分離する OS レベルのコンテナとして機能します。組織は、managed Google Play を使用してアプリケーションをデプロイできるという利点があります。また、データが誤って送信されたり、不正アプリと意図的に共有されたりしていないことを確実に保証できます。IT 管理者は、退職した場合に、ユーザーが所有するファイルとは別に企業データを選択的にワイプすることもできます。

会社所有デバイスの管理

会社所有の Android デバイスは、管理対象デバイスモードでデバイスをデプロイすることでサポートされます。管理対象デバイスは EMM を使用して登録されます。これにより、Android デバイスとそのデータを完全に管理できます。これには、ハードウェア機能のロックダウン、出荷時設定へのリセットや登録解除からの保護、デバイス全体の管理者によるリモートワイプとリセット、キオスクまたは単一アプリケーションのデプロイのサポートを含むアプリケーションのカスタマイズが含まれます。一般に、管理対象デバイスモードを使用している組織は、3 つのデプロイタイプのうち少なくとも 1 つを管理しますが、要件に応じて組織のフリート全体で組み合わせて使用できます。

  • 仕事用のみ: 仕事用のみのデプロイは通常、さまざまな用途でデバイスを使用する従業員を対象とします。この方法で個人利用することはできません。
  • 個人利用も可能: 通常、個人利用が可能なデプロイは、勤務先からデバイスを受け取っているワーカーを対象としますが、デバイス上で個人用アプリも使用できる柔軟性が必要です。管理対象デバイスに仕事用プロファイルをデプロイすると、従業員は企業データを損なうことなく、個人用アプリとともに仕事用アプリケーションを実行できます。
  • 専用デバイス: 専用デバイスの導入には通常、管理対象デバイスが含まれます。管理対象デバイスは、「会社所有の単一用途デバイス」または「COSU」とも呼ばれます。従業員は、従業員が実行する必要がある特定の業務機能に合わせてハードウェアとアプリケーションをロックダウンします。

会社所有のデバイスは管理対象デバイスとして導入することをおすすめします。これにより、デバイス全体のワイプや出荷時設定へのリセットの保護ポリシーを含め、デバイスのライフサイクル全体を管理できます。

お客様向けの移行ガイダンス

BYOD: 仕事用プロファイルの導入に対するデバイス管理

仕事用プロファイルは、個人所有デバイスすべてに使用することをおすすめします。従来のデバイス管理から仕事用プロファイルへの移行は、中断を最小限に抑えて処理できます。これに対処するには、個人用デバイスをプッシュして仕事用プロファイルをインストールするか、新しいデバイスを仕事用プロファイルに登録して既存のデバイスをフリートから段階的に廃止します。

会社所有デバイス: デバイス管理から管理対象デバイス

会社所有デバイスは、完全管理対象デバイスとしてセットアップすることをおすすめします。デバイスをデバイス管理から管理対象デバイスに移行するには、出荷時の設定にリセットする必要があります。 ユーザーの負担が大きくなるため、新しいデバイスは完全管理対象デバイスとして登録され、既存のデバイスはデバイス管理に残される段階的導入をおすすめします。

移行の種類

一般的な移行戦略は、次のように簡単に定義されます。

  • 大規模: 多数の既存ユーザーが、1 つ以上の大規模なアップグレード ウェーブで管理対象デバイスまたは仕事用プロファイルへのアップグレードを求められます。

  • 段階的な導入: 新規ユーザーと新しいデバイスは、登録時に新しい管理モードに設定されます。古いデバイス管理デバイスは、自然に使い捨てされることで、フリートから除外されます。

よくある質問

古いデバイスについてはどうですか?

Android 10.0 のリリース後は、Android 10.0 を実行するすべてのデバイスで、管理対象デバイスまたは仕事用プロファイル モードがサポートされる見込みです。古いデバイスは、前述のように移行することも、交換するまでデバイス管理を使用して管理することもできます。

デバイス管理を使用する EMM 以外のアプリを使用している場合、どうなりますか?

メールサーバーに適用されるエンタープライズ ポリシーにより、メールアプリなどのアプリがデバイス管理者になることもあります。これらのアプリには Android 10.0 のリリースと同じ制限が適用されます。つまり、これらのアプリはデバイスの管理者になることはできますが、パスワード ポリシーやハードウェア制限を適用することはできません。これらのアプリケーションは、ユースケースに応じて次の処理を実行できます。

  • 仕事用プロファイル自体をインフレートする(DPC になる)。
  • 必要に応じて、別の DPC の制御下にある別の EMM にアプリを設定するようユーザーに求めます。
  • 独自の(アプリ内)パスワード制限を実装するかどうかを選択します。

このようなアプリには、デバイスが EMM によって管理されているかどうかを検出するメカニズムを設けて、EMM プロバイダによる管理を行うことをおすすめします。この検出は、モバイル構成管理(MCM)によるトークン交換によって行うことができます。

Android 10.0 がリリースされるとどうなりますか?

サポートが終了した動作は動作しなくなり、Android 10.0 を搭載し、その API レベルをターゲットとするアプリに対してセキュリティ例外が返されます。