概要

Android Enterprise は、職場で Android デバイスとアプリを使用できるようにするための Google 主導の取り組みです。このプログラムでは、Android のサポートを企業向けモバイル管理(EMM)ソリューションに統合するための API やその他のツールを利用できます。このサイトでは、デベロッパーにプログラムの概要と、Android Enterprise ソリューションの構築を開始するために必要な背景情報を提供します。


Android デバイス: 管理のユースケース

このセクションでは、マネージド デプロイをサポートするために Android で使用できる管理オプションについて説明します。Android Enterprise のツールとサービスを使用すると、EMM ソリューションで以下のオプションの一部またはすべてをサポートできます。

従業員所有デバイス(BYOD)の仕事用プロファイル
図 1. 仕事用プロファイルが設定された個人所有のデバイス。

BYOD デバイスは、仕事用プロファイルを使用してセットアップできます。これは Android 5.1 以降に組み込まれた機能であり、仕事用のアプリとデータをデバイス内の独立した自己完結型のスペースに保存できます。従業員は自分のデバイスを通常どおり使い続けられます。個人用のアプリとデータはすべて、デバイスのプライマリ プロファイルに保持されます。

従業員の組織は、デバイスの仕事用プロファイルにあるアプリ、データ、設定を完全に管理できますが、デバイスの個人用プロファイルに対する可視性やアクセス権はありません。この明確に分離することで、組織は従業員のプライバシーを損なうことなく、企業のデータとセキュリティを管理できます。

多用されている会社所有デバイス用の仕事用プロファイル
図 2. 仕事用プロファイルが設定された会社所有デバイス

仕事用プロファイルを使用すると、会社所有デバイスで仕事とプライベートを混在させることも可能です。個人所有デバイスと同様に、組織は仕事用プロファイルのアプリ、データ、設定を完全に管理できます。会社所有のデバイスを使用することで、組織はデバイス全体の多くのポリシー(Wi-Fi の設定、USB ファイル転送のブロックなど)や、デバイスの個人用プロファイルに適用される制限(特定のアプリを許可しないなど)を適用することもできます。

こうした追加の管理機能により、組織は従業員のプライバシーを維持しながら、会社所有デバイスを IT ポリシーに準拠させることができます。会社所有デバイスの個人用プロファイルは、アプリ、データ、使用状況を含め、組織からは確認することもアクセスすることもできません。

仕事専用の会社所有デバイスを完全に管理
図 3. 完全管理対象デバイス

完全管理対象デプロイは、業務専用の会社所有デバイス向けです。組織は、Android 5.0 以降のフルマネージド デバイスを使用して、仕事用プロファイルでは利用できないデバイスレベルのポリシーなど、Android のさまざまな管理ポリシーを適用できます。

専用デバイスを完全に管理
図 4. 左: 従業員向けのシナリオの例。右: お客様向けシナリオの例。

専用デバイス(以前は「会社所有の単一用途デバイス(COSU)」と呼ばれていました)は、特定の目的を果たす完全管理対象デバイスのサブセットです。Android には幅広い管理機能が搭載されており、組織は従業員向けの工場や工業環境から、顧客向けのサイネージやキオスクまで、あらゆる用途に合わせてデバイスを構成できます。

専用デバイスは通常、単一のアプリまたはアプリセットにロックされています。Android 6.0 以降では、デバイスのロック画面、ステータスバー、キーボード、その他の主要機能をきめ細かく制御し、ユーザーが専用デバイスで他のアプリを有効にしたり他のアクションを実行したりできないようにします。


Android を EMM ソリューションに統合

Android Enterprise ソリューションは、EMM コンソール、Android Device Policy、managed Google Play の 3 つのコンポーネントを組み合わせたものです。

EMM コンソール

EMM ソリューションは通常、EMM コンソールの形式をとります。EMM コンソールは、IT 管理者が組織、デバイス、アプリを管理できるように、お客様が開発したウェブ アプリケーションです。Android でこれらの機能をサポートするには、Android Enterprise が提供する API や UI コンポーネントとコンソールを統合します。

Android Device Policy

EMM コンソールを通じて組織が管理しているすべての Android デバイスには、設定時に Android Device Policy をインストールする必要があります。Android Device Policy は Android が提供するアプリで、EMM コンソールで設定した管理ポリシーをデバイスに自動的に適用します。

managed Google Play

図 5. managed Google Play。

managed Google Play は、Android Enterprise ソリューションのアプリ管理機能を容易にします。この API は、Google Play の使い慣れたユーザー エクスペリエンスおよびアプリストア機能と、組織向けに設計された一連の管理機能を組み合わせたものです。

managed Google Play を EMM コンソールに埋め込むことで、IT 管理者は次のような機能を利用できます。

  • 一般公開アプリの検索
  • 限定公開アプリの公開
  • ウェブアプリの公開
  • アプリの構成

管理対象デバイスの場合、managed Google Play は組織のアプリストアです。インターフェースは Google Play に類似しており、ユーザーはアプリのブラウジング、アプリの詳細の表示、インストールを行うことができます。一般公開版の Google Play とは異なり、ユーザーが managed Google Play からインストールできるのは、組織が承認したアプリのみです。


Android EMM ライフサイクル機能

このセクションでは、EMM ソリューションに統合できる主な機能の概要を説明します。

新しい組織のオンボーディング

Android Enterprise には、新しい組織をオンボーディングするための API とオンライン設定フローが用意されています。組織がオンボーディング プロセスが完了したら、組織用の Enterprise リソースを作成します。

エンタープライズ バインディングには、managed Google Play アカウント エンタープライズと managed Google ドメインの 2 種類があります。

これは従来のエンタープライズ バインディング タイプで、2024 年より前に登録した組織に使用されます。通常とは異なる特定の状況に対応するため、今すぐ登録時に managed Google Play アカウント エンタープライズ バインディングが割り当てられることがあります。

このタイプのエンタープライズ バインディングでは、デバイスとエンドユーザーの managed Google Play アカウントのみプロビジョニングできます。managed Google Play アカウントでは managed Google Play にアクセスでき、ユーザーは IT 管理者が選択した仕事用アプリをインストールして使用できます。組織がサードパーティの ID サービスを使用している場合は、managed Google Play アカウントを組織の既存の ID アカウントにリンクできます。

managed Google Play アカウントの使用は、Google Play ストアでのアプリの管理のみに限定されます。これらのアカウントを他の Google サービスやサードパーティのサービスで使用することはできません。managed Google Play アカウントのみを使用しているデバイスでは、 クロスデバイス機能を使用できません。

管理対象の Google ドメイン

このタイプのエンタープライズ バインディングでは、managed Google アカウントまたは managed Google Play アカウントを使用してデバイスをプロビジョニングできます。IT 管理者は、Android デバイスの管理に加え、管理対象の Google ドメインを使用して ChromeOS デバイスなどの他のデバイスを管理したり、他の Google サービスを有効にしたりできます。

組織がドメインの所有権を証明すると、マネージド Google ドメインに組織の ID を同期できます。デバイスをセットアップすると、各ユーザーは Google アカウントのプロビジョニング方法を使用できるようになります。このアカウントにより、Google 管理コンソールで有効にした他の Google サービス(クロスデバイス エクスペリエンスなど)のほかに、managed Google Play にもアクセスできるようになります。

デバイスと仕事用プロファイルをプロビジョニングする

プロビジョニングとは、Android デバイスを管理対象に設定するプロセスです。通常は、設定の詳細(会社の Wi-Fi 認証情報など)をデバイスに転送し、Android Device Policy をインストールします。プロビジョニング方法の完全なリストについては、機能リストをご覧ください。

デバイスを管理する

デバイスまたは仕事用プロファイルのプロビジョニングが完了すると、デバイスを管理できるようになります。Android Management API により、Android は 80 を超えるデバイス管理ポリシーおよびアプリの管理ポリシーをサポートしています。Android Device Policy(プロビジョニング時にインストールされる管理アプリ)は、API で設定したポリシーをデバイスに適用します。

  1. デバイスまたは仕事用プロファイルがプロビジョニングされると、Android Management API によって一意のデバイス ID が割り当てられます。
  2. IT 管理者は、Android Management API と統合された EMM コンソールを使用して、デバイスとアプリの管理ポリシーを設定できます。
  3. IT 管理者は、これらのポリシーを特定のデバイスまたは仕事用プロファイル(特定のデバイス ID)に割り当てます。
  4. Android Management API は、指定されたデバイス ID にポリシーを送信します。
  5. 各デバイスまたは仕事用プロファイルに対して、Android Device Policy は Android Management API から受け取ったポリシーを適用します。

Android Management API と Android Device Policy はステップ 4 と 5 を自動的に処理します。つまり、開発作業でポリシー設定をデバイスに伝える必要はありません。

アプリの管理

managed Google Play iframe を使用すると、最小限の統合作業で、アプリの検索、限定公開アプリの公開、ウェブアプリの公開、アプリの編成を EMM コンソールでサポートできます。

Android Management API は、デバイスを管理するに記載されているポリシーベースの方法でアプリの配信を処理します。この API はアプリを配信する主要な 2 つの方法(デバイスの管理対象の Play ストア アプリへのアプリの追加と、デバイスへのアプリのリモートプッシュ インストール)をサポートしています。

次へ: ソリューションを開発する