Android Enterprise の機能リスト

1.1.1. ユーザーがデバイスの個人用側に DPC をインストールできるように、EMM の DPC は Google Play で一般公開されている必要があります。

1.1.2. インストールが完了すると、DPC は仕事用プロファイルのプロビジョニング プロセスをユーザーに案内する必要があります。

1.1.3. プロビジョニングが完了すると、デバイスの個人側に管理機能は残りません。

• プロビジョニング中に設定したポリシーはすべて削除する必要があります。
• アプリの権限を取り消す必要があります。
• EMM の DPC は、少なくともデバイスの個人用側でオフにする必要があります。

1.2.1. EMM の DPC は、Google Play で一般公開する必要があります。DPC は、デバイス設定ウィザードで DPC 固有の識別子を入力してインストールできる必要があります。

1.3.1. EMM は、888 バイト以上のメモリを備えた NFC フォーラム Type 2 タグを使用する必要があります。 プロビジョニングでは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID など、機密性の高いものではない登録情報をデバイスに渡す必要があります。登録情報には、パスワードや証明書などの機密情報は含めないでください。

1.4.1. QR コードは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID などの機密性の低い登録情報をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めることはできません。

1.4.2. EMM の DPC がデバイスをセットアップしたら、DPC はすぐに開き、デバイスが完全にプロビジョニングされるまで画面にロックする必要があります。

1.5.1. IT 管理者は、ゼロタッチ登録: IT 管理者向けで説明されているゼロタッチ登録方法を使用して、会社所有デバイスをプロビジョニングできます。

1.6.1. IT 管理者は、ゼロタッチ登録: IT 管理者向けで説明されているゼロタッチ登録方法を使用して、会社所有デバイスをプロビジョニングできます。

1.6.2. EMM の DPC がデバイスをセットアップしたら、EMM の DPC はすぐに開き、デバイスが完全にプロビジョニングされるまで画面にロックする必要があります。

• この要件は、ゼロタッチ登録の登録情報を使用してサイレント プロビジョニングを完了するデバイス（専用デバイスのデプロイなど）には適用されません。

1.6.3. EMM の DPC は、登録の詳細を使用して、DPC が呼び出されたら未承認のユーザーがアクティベーションを続行できないようにする必要があります。少なくとも、特定の企業のユーザーにのみ有効化をロックダウンする必要があります。

1.6.4. IT 管理者が登録の詳細情報を使用して、EMM の DPC で、一意のユーザーまたはデバイス情報（ユーザー名/パスワード、アクティベーション トークンなど）以外の登録情報（サーバー ID、登録 ID など）を事前入力できるようにする必要があります。これにより、ユーザーはデバイスを有効にするときに情報を入力する必要がなくなります。

• EMM は、ゼロタッチ登録の構成にパスワードや証明書などの機密情報を含めてはなりません。

1.8.1. Google アカウントのプロビジョニングでは、定義された実装ガイドラインに沿って会社所有デバイスをプロビジョニングします。

1.8.2. EMM がデバイスを企業アセットとして明確に識別できない限り、プロビジョニング プロセス中にプロンプトなしでデバイスをプロビジョニングすることはできません。このプロンプトでは、チェックボックスのオン / オフの切り替えや、デフォルト以外のメニューの選択など、デフォルト以外のアクションを実行する必要があります。EMM がデバイスを企業アセットとして識別できるようにすることをおすすめします。そうすれば、プロンプトは不要になります。

1.10.1. 意図的に空白。

1.10.2. IT 管理者は、会社所有デバイスの仕事用プロファイルのコンプライアンス アクションを設定できます。

1.10.3. IT 管理者は、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。

1.10.4. IT 管理者は、仕事用プロファイルまたはデバイス全体でスクリーン キャプチャを無効にできます。

1.10.5. IT 管理者は、個人用プロファイルにインストールできるアプリとインストールできないアプリの許可リストまたはブロックリストを設定できます。

2.1.1. ポリシーで、デバイスのセキュリティ チャレンジを管理する設定（仕事用プロファイルの parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの passwordRequirements）を適用する必要があります。

2.1.2. パスワードの複雑さは、以下の複雑さにマッピングする必要があります。

• PASSWORD_COMPLEXITY_LOW - 反復（4444）または連続（1234、4321、2468）する文字列を含むパターンまたは PIN。
• PASSWORD_COMPLEXITY_MEDIUM - 反復（例: 4444）または連続（例: 1234、4321、2468）する文字列を含まない PIN、または長さが 4 文字以上の英字または英数字のパスワード
• PASSWORD_COMPLEXITY_HIGH - 反復（例: 4444）または連続（例: 1234、4321、2468）する文字列を含まず、最小文字数が 8 文字の PIN、または最小文字数が 6 文字の英字または英数字のパスワード

2.2.1. ポリシーで仕事用プロファイルのセキュリティ チャレンジを適用する必要があります。デフォルトでは、IT 管理者はスコープが指定されていない場合のみ、仕事用プロファイルの制限を設定する必要があります。IT 管理者はスコープを指定することでこのデバイス全体に設定できます（要件 2.1 を参照）。

2.1.2. パスワードの複雑さは、以下の複雑さと対応付けてください。

• PASSWORD_COMPLEXITY_LOW - 反復（4444）または連続（1234、4321、2468）する文字列を含むパターンまたは PIN。
• PASSWORD_COMPLEXITY_MEDIUM - 繰り返し（4444）または順序付き（1234、4321、2468）のシーケンスのない PIN、アルファベットまたは英数字のパスワード（4 文字以上）
• PASSWORD_COMPLEXITY_HIGH - 反復（例: 4444）または連続（例: 1234、4321、2468）する文字列を含まず、最小文字数が 8 文字の PIN、または最小文字数が 6 文字の英字または英数字のパスワード

2.3.2. 意図的に空白になっています。

2.3.3. デバイスで利用可能なロック画面ごとに、次のパスワードのライフサイクル設定を設定できます。

1. 意図的に空白
2. 意図的に空白
3. ワイプ時のパスワードの入力失敗回数の上限: デバイスから企業データがワイプされるまでに、ユーザーが間違ったパスワードを入力できる回数を指定します。IT 管理者がこの機能を無効にできる必要があります。

2.4.1. IT 管理者は、デバイスで利用可能なロック画面ごとに、Smart Lock 信頼エージェントを個別に無効にできます。

2.4.2. IT 管理者は、デバイスで利用可能なロック画面ごとに、Bluetooth、NFC、場所、顔、身につけるデバイス、音声のSmart Lock 信頼エージェントを個別に許可して設定できます。

• IT 管理者は、使用可能な信頼エージェントの構成パラメータを変更できます。

2.5.1. EMM の DPC がデバイスをロックする必要があります。

2.7.1. EMM の DPC は、仕事用プロファイルを設定した Android 8.0 以降のデバイスの個人用側にインストールされたアプリなど、提供元不明のアプリのインストールをブロックする必要があります。

2.8.1. EMM の DPC により、セーフモードでの起動をデフォルトでオフにする必要があります。

2.8.2. プロビジョニング中の初回起動時に EMM の DPC を開き、すぐに画面にロックして、デバイスを他の方法で操作できないようにする必要があります。

EMM は Play Integrity API を使用して、デバイスが有効な Android デバイスであることを確認します。

2.9.1. EMM の DPC はプロビジョニング中に Play Integrity API を実装します。デフォルトでは、返されたデバイスの整合性が MEETS_STRONG_INTEGRITY の場合にのみ、企業データを含むデバイスのプロビジョニングが完了します。

2.9.2. EMM の DPC は、デバイスが EMM のサーバーにチェックインするたびに Play Integrity チェックを再度実行します。これは IT 管理者が設定できます。EMM サーバーは、デバイス上の企業ポリシーを更新する前に、完全性チェック レスポンス内の APK 情報とレスポンス自体を検証します。

2.9.3. IT 管理者は、Play Integrity チェックの結果に基づいて、プロビジョニングのブロック、企業データのワイプ、登録の許可など、さまざまなポリシー レスポンスを設定できます。

• EMM サービスは、各完全性チェックの結果に対してこのポリシー レスポンスを適用します。

2.11.1. EMM の DPC は、DPC の認証情報暗号化ストレージが復号される前に、デバイス暗号化ストレージを活用して重要な管理機能を実行します。ダイレクト ブート中に使用できる管理機能には、次のものが含まれます（ただしこれらに限定されません）。

• エンタープライズ ワイプ: 必要に応じて出荷時の設定にリセットされた保護データをワイプする機能など。

2.11.2. EMM の DPC は、デバイスの暗号化ストレージ内の企業データを公開してはなりません。

2.12.1. IT 管理者は、デバイスに物理的な外部メディアをマウントできないようにユーザーをブロックできます。

2.12.2. IT 管理者は、ユーザーが NFC ビームを使用してデバイスからデータを共有できないようにブロックできます。NFC ビーム機能は Android 10 以降ではサポートされなくなったため、このサブ機能はオプションです。

2.13.1. IT 管理者は特定のデバイスのセキュリティ ロギングを有効にできます。EMM の DPC は、セキュリティ ログと再起動前のセキュリティ ログの両方を自動的に取得できる必要があります。

2.13.2. IT 管理者は、EMM のコンソールで、特定のデバイスと設定可能な期間のエンタープライズ セキュリティ ログを確認できます。

3.1.1. 管理対象の Google ドメインがすでにある管理者は、ドメインを EMM にバインドできます。

3.1.2. EMM のコンソールで、エンタープライズごとに一意の ESA をサイレント プロビジョニングして設定する必要があります。

3.1.3. Play EMM API を使用してエンタープライズの登録を解除します。

3.1.4. EMM コンソールでは、Android の登録フローで仕事用メールアドレスを入力するよう管理者に案内し、Gmail アカウントの使用を推奨しません。

3.2.1. EMM の DPC は、定義された実装ガイドラインに従って、管理対象の Google Play アカウントをサイレント プロビジョニングして有効にできます。その際:

• userAccount タイプの管理対象の Google Play アカウントがデバイスに追加されます。
• userAccount タイプの managed Google Play アカウントは、EMM のコンソールで実際のユーザーと 1 対 1 でマッピングされている必要があります。

3.4.1. EMM の DPC は、定義された実装ガイドラインに従って、管理対象の Google Play アカウントをサイレント プロビジョニングして有効にできます。その際:

1. userAccount タイプの管理対象の Google Play アカウントがデバイスに追加されます。
2. userAccount タイプの managed Google Play アカウントは、EMM のコンソールで実際のユーザーと 1 対 1 でマッピングされている必要があります。

3.5.1. EMM コンソールで Play EMM API を使用して、IT 管理者が管理対象デバイスに仕事用アプリをインストールできるようにする必要があります。

3.5.2. EMM コンソールで Play EMM API を使用して、IT 管理者が管理対象デバイス上の業務アプリを更新できるようにする必要があります。

3.6.1. EMM のコンソールで、任意の Play アプリの管理対象の構成設定を取得して表示できる必要があります。

• EMM は Products.getAppRestrictionsSchema を呼び出してアプリの管理対象設定スキーマを取得することや、EMM コンソールに管理対象設定フレームを埋め込むことができます。

3.6.2. EMM のコンソールでは、IT 管理者が Play EMM API を使用して、任意の Play アプリに任意の構成タイプ（Android フレームワークで定義されているもの）を設定できる必要があります。

3.6.3. EMM のコンソールで IT 管理者がワイルドカード（$username$ や %emailAddress% など）を設定できるようにする必要があります。これにより、Gmail などのアプリの 1 つの設定を複数のユーザーに適用できます。管理対象構成の iframe は、この要件を自動的にサポートします。

3.7.1. EMM のコンソールには、配布が承認されたアプリのリストが表示されます。たとえば、次のようなアプリです。

• managed Google Play で購入したアプリ
• IT 管理者に公開される非公開アプリ
• プログラムで承認されたアプリ

3.10.1. IT 管理者は EMM のコンソールで次の操作を行い、managed Google Play ストアのレイアウトをカスタマイズできます。

• 最大 100 個の店舗レイアウト ページを作成できます。ページには、ローカライズされたページ名を任意の数指定できます。
• ページごとに最大 30 個のクラスタを作成できます。クラスタには、ローカライズされたクラスタ名を任意の数設定できます。
• 各クラスタに最大 100 個のアプリを割り当てます。
• 各ページに最大 10 個のクイックリンクを追加できます。
• クラスタ内のアプリとページ内のクラスタの並べ替え順序を指定します。

3.11.1. エンタープライズ向けに承認された有料アプリの場合、EMM のコンソールに以下が表示される必要があります。

• 購入したライセンス数。
• 使用されているライセンス数と、そのライセンスを使用しているユーザー。
• 配布できるライセンス数。

3.11.2. IT 管理者は、アプリをユーザーのデバイスに強制的にインストールすることなく、ライセンスをユーザーに自動的に割り当てることができます。

3.12.1. IT 管理者は、次のコマンドを使用して、企業に限定公開で公開されているアプリの新しいバージョンをアップロードできます。

IT 管理者は、限定公開アプリのサポートで詳細を確認できます。

3.13.1. EMM のコンソールには、IT 管理者がアプリ APK をホストできるように、次の両方のオプションを提供する必要があります。

• EMM のサーバーで APK をホストします。サーバーはオンプレミスまたはクラウドベースにできます。
• IT 管理者の裁量で、EMM のサーバーの外部で APK をホストします。IT 管理者は、APK がホストされている場所を EMM コンソールで指定する必要があります。

3.13.2. EMM のコンソールでは、提供された APK を使用して適切な APK 定義ファイルを生成し、IT 管理者に公開プロセスを案内する必要があります。

3.13.3. IT 管理者はセルフホストの限定公開アプリを更新できます。また、EMM のコンソールでは、Google Play Developer Publishing API を使用して更新された APK 定義ファイルをサイレント パブリッシュできます。

3.13.4. EMM のサーバーは、リクエストの Cookie 内に有効な JWT が含まれるセルフホスト APK のダウンロード リクエストのみを処理します。これは、限定公開アプリの公開鍵によって検証されます。

• このプロセスを容易にするには、EMM のサーバーから、自己ホスト型アプリのライセンス公開鍵を Google Play Console からダウンロードし、この鍵を EMM コンソールにアップロードするよう IT 管理者に伝える必要があります。

3.14.1. EMM は、Google Play の EMM 通知を使用して通知セットを pull する必要があります。

3.14.2. EMM は、次の通知イベントを IT 管理者に自動的に通知する必要があります（自動メールなど）。

• newPermissionEvent: ユーザーのデバイスにアプリをサイレント インストールまたは更新するには、IT 管理者が新しいアプリの権限を承認する必要があります。
• appRestrictionsSchemaChangeEvent: 意図した効率を維持するために、IT 管理者がアプリの管理対象構成を更新する必要がある場合があります。
• appUpdateEvent: コア ワークフローのパフォーマンスがアプリのアップデートの影響を受けていないことを検証したい IT 管理者に役立つ可能性があります。
• productAvailabilityChangeEvent: アプリのインストールやアプリのアップデートに影響する可能性があります。
• installFailureEvent: Play がデバイスにアプリをサイレント インストールすることができず、デバイス設定にインストールの妨げとなっている何かがある可能性があります。EMM は、この通知を受け取った直後にサイレント インストールを再度試行しないでください。Play 独自の再試行ロジックはすでに失敗しているためです。

3.14.3. EMM は、次の通知イベントに基づいて適切なアクションを自動的に実行します。

• newDeviceEvent: デバイスのプロビジョニング中、EMM は newDeviceEvent を待ってから、新しいデバイスに対して Play EMM API の呼び出しを続行する必要があります（サイレント アプリのインストールや管理対象構成の設定など）。
• productApprovalEvent: productApprovalEvent の通知を受け取ったら、アクティブな IT 管理セッションがある場合、または各 IT 管理セッションの開始時に承認済みアプリのリストが自動的に再読み込みされない場合、EMM は EMM コンソールにインポートされた承認済みアプリのリストを自動的に更新してデバイスに配布する必要があります。

3.15.1. EMM は Play EMM API の使用上限を遵守する必要があります。これらのガイドラインを超える動作を修正しない場合、Google の裁量により API の使用が停止されることがあります。

3.15.2. EMM は、特定のまたは類似した時間にエンタープライズ トラフィックを統合するのではなく、異なるエンタープライズからのトラフィックを 1 日を通じて分散する必要があります。登録された各デバイスのスケジュール設定されたバッチ オペレーションなど、このトラフィック パターンに適した動作は、Google の裁量により API の使用が停止される可能性があります。

• managed Google Play iframe
• カスタム UI を作成します。

3.16.2. IT 管理者が設定した場合、EMM のコンソールで、アプリのフィードバック チャンネルから返されたフィードバックを取得して表示できる必要があります。

• EMM のコンソールで、IT 管理者が特定のフィードバック項目を、その項目の元となったデバイスとアプリに関連付けられる必要があります。
• EMM のコンソールで、IT 管理者が特定のメッセージ タイプ（エラー メッセージなど）のアラートやレポートを定期購入できるようにする必要があります。

3.16.3. EMM のコンソールから送信される値は、デフォルト値であるか、管理者が手動で設定した値のみにする必要があります。

• 管理対象設定の iframe、または
• カスタム UI。

3.17.1. IT 管理者は、EMM のコンソールを使用して、次の方法でウェブアプリへのショートカットを配布できます。

3.18.1. EMM は、Play EMM API デベロッパー向けドキュメントで定義されている実装ガイドラインに従って、managed Google Play アカウントのライフサイクルを管理できます。

3.18.2. EMM は、ユーザーの操作なしで managed Google Play アカウントの再認証を行うことができます。

3.20.2. IT 管理者は、アプリのアプリのアップデートを 90 日間延期することを許可できます。

4.1.1. IT 管理者は、組織のデフォルトのランタイム権限ポリシーを設定するときに、次のオプションから選択できる必要があります。

• プロンプト（ユーザーが選択可能）
• allow
• 拒否

4.3.1. SSID（EMM の DPC を使用）

4.4.1. EMM の DPC を使用して、ユーザーの ID を検証します。

4.4.2. EMM の DPC を使用するクライアント認可用の証明書。

4.5.1. IT 管理者は、次のいずれかの構成で企業の Wi-Fi 構成をロックダウンできます。

• ユーザーは、EMM によってプロビジョニングされた Wi-Fi 設定を変更することはできませんが、ユーザーが構成できる独自のネットワーク（個人ネットワークなど）を追加、変更することはできます。
• ユーザーはデバイス上の Wi-Fi ネットワークの追加や変更ができず、Wi-Fi 接続は EMM によってプロビジョニングされたネットワークのみに制限されます。

4.6.1. IT 管理者は、アカウントの追加や変更を禁止できます。

• デバイスにこのポリシーを適用する場合、EMM はプロビジョニングが完了する前にこの制限を設定する必要があります。これは、ポリシーが施行される前にアカウントを追加してこのポリシーを回避できないようにするためです。

4.7.1. IT 管理者は、アカウント管理のロックダウンが設定された後、プロビジョニング中に有効にする Google アカウントを指定できます。

4.7.2. EMM の DPC は、Google アカウントを有効にするよう求めるプロンプトを表示する必要があります。また、追加するアカウントを指定することで、特定のアカウントのみが有効にされるようにする必要があります。

• Android 7.0 より前のデバイスでは、DPC は アカウント管理の制限を一時的にオフにしてからユーザーにメッセージを表示する必要があります。

4.8.1. IT 管理者は、PKI によって生成されたユーザー ID 証明書をユーザーごとにインストールできます。EMM のコンソールは、少なくとも 1 つの PKI と統合し、そのインフラストラクチャから生成された証明書を配布する必要があります。

4.9.1. デバイスに配布するアプリの場合、IT 管理者は、実行時にアプリに通知なくアクセス権が付与される証明書を指定できます。

• 証明書の選択は、すべてのユーザーに適用される単一の構成を許可できるほど汎用性が高い必要があります。各ユーザーにはユーザー固有の ID 証明書が付与されている場合があります。

4.9.2. IT 管理者は、管理対象キーストアから証明書を削除できます。

4.9.3. IT 管理者は、通知なく CA 証明書をアンインストールするか、システム以外のすべての CA 証明書をアンインストールできます。

4.9.4. IT 管理者は、ユーザーがマネージド キーストアに認証情報を構成できないようにすることが可能です。

4.10.1. IT 管理者は、DPC によって証明書管理アプリを委任として設定する証明書管理パッケージを指定します。

• コンソールでは、既知の証明書管理パッケージをオプションで提案することもできますが、IT 管理者がインストール可能なアプリのリストから、該当するユーザーが選択できるようにする必要があります。

4.11.1. IT 管理者は、常時接続 VPN として設定する任意の VPN パッケージを指定できます。

• EMM のコンソールでは、常時接続 VPN をサポートする既知の VPN パッケージが提案される場合がありますが、常時接続の構成で使用できる VPN を任意のリストに制限することはできません。

4.11.2. IT 管理者は、管理対象設定を使用してアプリの VPN 設定を指定できます。

4.12.1. IT 管理者は、任意の長さの IME 許可リストを設定できます（システム以外の IME をブロックする空のリストを含む）。このリストには任意の IME パッケージを含めることができます。

• EMM のコンソールは、許可リストに含める既知の IME または推奨 IME をオプションで提案できます。ただし、IT 管理者が、該当するユーザーがインストール可能なアプリのリストから選択できるようにする必要があります。

4.13.1. IT 管理者は、任意の長さの IME 許可リストを設定できます（空のリストは除きます。空のリストはシステム IME を含むすべての IME をブロックします）。これには任意の IME パッケージを含めることができます。

• EMM のコンソールでは、許可リストに登録する既知または推奨の IME が提案される場合がありますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。

4.13.2. EMM では、IT 管理者が空の許可リストを設定できないようにする必要があります。この設定を使用すると、システム IME を含むすべての IME がデバイスで設定できなくなります。

4.14.1. IT 管理者は、任意の長さのユーザー補助サービスの許可リスト（システム以外のユーザー補助サービスをブロックする空のリストを含む）を設定できます。これには、任意のユーザー補助サービス パッケージを含めることができます。仕事用プロファイルに適用すると、個人用プロファイルと仕事用プロファイルの両方に影響します。

• コンソールでは、許可リストに登録する既知または推奨のユーザー補助サービスを提案できますが、IT 管理者が該当するユーザーに対してインストール可能なアプリのリストから選択できるようにする必要があります。

4.16.1. IT 管理者は、デバイスの位置情報サービスを次の各モードに設定できます。

• 高精度] をタップします。
• センサーのみ（GPS など）。ネットワーク提供の位置情報は含まれません。
• バッテリー節約。アップデートの頻度を制限します。
• オフ。

4.17.1. IT 管理者は、ユーザーが [設定] からデバイスを出荷時の設定にリセットできないようにすることができます。

4.17.2. IT 管理者は、出荷時の設定にリセットした後、デバイスのプロビジョニングを許可された企業のロック解除アカウントを指定できます。

• このアカウントは、個人に関連付けることも、企業全体で使用してデバイスのロックを解除することもできます。

4.17.3. IT 管理者は、指定したデバイスの出荷時設定へのリセット保護機能を無効にできます。

4.17.4. IT 管理者は、リモートでデバイスのワイプを開始できます。このワイプでは、必要に応じてリセット保護データをワイプし、リセットされたデバイスの出荷時設定へのリセット保護機能を削除できます。

4.18.1. IT 管理者は、任意の管理対象アプリ、またはすべての管理対象アプリのアンインストールをブロックできます。

4.21.1. IT 管理者は、特定のデバイスと設定可能な期間について仕事用プロファイルのネットワーク統計情報の概要をクエリし、EMM のコンソールで詳細を表示できます。

4.21.2. IT 管理者は、特定のデバイスと設定可能な期間の仕事用プロファイルのネットワーク使用状況の統計情報でアプリの概要をクエリし、EMM のコンソールで UID 別に整理された詳細情報を表示できます。

4.21.3. IT 管理者は、特定のデバイスと設定可能な期間の仕事用プロファイルのネットワーク使用履歴データをクエリし、EMM のコンソールで UID 別に整理されたこれらの詳細を表示できます。

4.22.1. IT 管理者は、特定のデバイスと構成可能な時間枠について、デバイス全体のネットワーク統計情報の概要をクエリし、EMM のコンソールにその詳細を表示できます。

4.22.2. IT 管理者は、特定のデバイスと設定可能な期間のアプリのネットワーク使用統計情報の概要をクエリし、EMM のコンソールで UID 別に整理された詳細情報を表示できます。

IT 管理者は管理対象デバイスをリモートで再起動できます。

4.23.1. IT 管理者は、管理対象デバイスをリモートで再起動できます。

4.24.1. IT 管理者は、サービス プロバイダから送信される緊急速報メール（AMBER アラートなど）を無効にできます。

4.24.2. IT 管理者は、ユーザーが [設定] でモバイル ネットワーク設定を変更できないようにすることができます。

4.24.3. IT 管理者は、ユーザーが [設定] でネットワーク設定をリセットできないように設定できます。

4.24.4. IT 管理者は、ローミング中のモバイルデータを許可または禁止できます。

4.24.5. IT 管理者は、緊急通報を除き、デバイスで発信できるかどうかを設定できます。

4.24.6. IT 管理者は、デバイスでテキスト メッセージを送受信できるかどうかを設定できます。

4.24.7. IT 管理者は、テザリングによってユーザーがデバイスをポータブル ホットスポットとして使用できないように設定できます。

4.24.8. IT 管理者は、Wi-Fi のタイムアウトを設定して、デフォルト、電源に接続しているときのみ、または無効にできます。

4.25.1. IT 管理者は、管理対象デバイスをサイレントでミュートできます。

4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにすることができます。

4.25.3. IT 管理者は、ユーザーがデバイスのマイクをミュート解除できないように設定できます。

4.26.1. IT 管理者は、システムの自動時刻を適用して、ユーザーがデバイスの日時を設定できないようにすることができます。

4.26.2. IT 管理者は、自動時刻と自動タイムゾーンの両方を通知なくオンまたはオフにできます。

4.27.1. IT 管理者は、デバイスのキーガードを無効にできます。

4.27.2. IT 管理者は、デバイスのステータスバーをオフにして、通知とクイック設定をブロックできます。

4.27.3. IT 管理者は、デバイスを電源に接続している間、デバイスの画面をオンのままにできます。

4.27.4. IT 管理者は、次のシステム UI が表示されないようにできます。

• トースト
• アプリのオーバーレイ。

IT 管理者は、個々のパッケージに追加の権限を委任できます。

4.28.1. IT 管理者は次のスコープを管理できます。

• 証明書のインストールと管理
• 意図的に空白
• ネットワーク ログ
• セキュリティ ロギング（個人所有デバイス上の仕事用プロファイルではサポートされていません）

Android 12 以降、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、出荷時の設定にリセットしても保持される登録固有の ID を使用して、仕事用プロファイルが設定されたデバイスのライフサイクルを追跡できます。

4.29.1. IT 管理者は登録固有の ID を設定して取得できます。

5.1.1. IT 管理者は、企業の色、企業のロゴ、企業の利用規約とその他の免責条項などの企業固有の詳細を指定して、プロビジョニング プロセスをカスタマイズできます。

5.1.2. IT 管理者は、EMM の色、EMM のロゴ、EMM の利用規約とその他の免責条項などの詳細を含む、構成不可の EMM 固有のカスタマイズをデプロイできます。

5.1.3 [primaryColor] は、Android 10 以降のエンタープライズ リソースで非推奨になりました。

• EMM 固有のカスタマイズを使用しない場合でも、EMM では、プロビジョニング利用規約とその他の免責条項をシステム プロビジョニング免責条項バンドルに含める必要があります。
• EMM は、構成不可の EMM 固有のカスタマイズをすべてのデプロイのデフォルトとして設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。

5.2.1. IT 管理者は、ワーク チャレンジの背景色として使用する組織の色を設定できます。

5.2.2. IT 管理者は、仕事用プロファイルの表示名を設定できます。

5.2.3. IT 管理者は仕事用プロファイルのユーザー アイコンを設定できます。

5.2.4. IT 管理者は、ユーザーが仕事用プロファイルのユーザー アイコンを変更できないようにすることができます。

5.3.1. IT 管理者は、管理対象デバイスの表示名を設定できます。

5.3.2. IT 管理者は管理対象デバイスのユーザー アイコンを設定できます。

5.3.3. IT 管理者は、ユーザーがデバイスのユーザー アイコンを変更できないようにすることができます。

5.3.4. IT 管理者はデバイスの壁紙を設定できます。

5.5.1. IT 管理者は、短いサポート メッセージと長いサポート メッセージの両方をカスタマイズします。

5.5.2. IT 管理者は、構成不可の EMM 固有の短いサポート メッセージと長いサポート メッセージをデプロイできます。

• EMM では、構成不可の EMM 固有のサポート メッセージをすべてのデプロイでデフォルトとして設定できますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。

5.6.1. IT 管理者は、システムの連絡先プロバイダを使用する個人用アプリのクロス プロファイル連絡先検索を無効にできます。

5.6.2. IT 管理者は、システムの連絡先プロバイダを使用する個人用電話アプリのクロス プロファイル発信者番号の検索を無効にできます。

5.6.3. IT 管理者は、システム連絡先プロバイダを使用する Bluetooth デバイスとの Bluetooth の連絡先共有を無効にできます（車やヘッドセットでのハンズフリー通話など）。

5.7.1. IT 管理者は、クロス プロファイル インテント フィルタを構成して、個人用アプリが仕事用プロファイルのインテントを解決できるようにします（共有インテントやウェブリンクなど）。

• コンソールでは、構成に既知または推奨されるインテント フィルタが提案される場合がありますが、インテント フィルタを任意のリストに制限することはできません。

5.7.2. IT 管理者は、ホーム画面にウィジェットを表示できる管理対象アプリを許可できます。

• IT 管理者が EMM のコンソールで、該当するユーザーがインストールできるアプリのリストから選択できるようにする必要があります。

5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイル間のコピー/貼り付けの使用をブロックできます。

5.7.4. IT 管理者は、ユーザーが NFC ビームを使用して仕事用プロファイルのデータを共有できないようにブロックできます。

5.7.5. IT 管理者は、個人用アプリが仕事用プロファイルからウェブリンクを開くことを許可できます。

5.8.1. EMM のコンソールでは、IT 管理者が次の OTA 設定を設定できます。

• 自動: デバイスは、OTA アップデートが利用可能になるとインストールします。
• 延期: IT 管理者は OTA アップデートを最大 30 日間延期できる必要があります。このポリシーは、セキュリティ アップデート（毎月のセキュリティ パッチなど）には影響しません。
• 時間枠あり: IT 管理者は、毎日のメンテナンスの時間枠内に OTA アップデートをスケジュール設定できる必要があります。

5.10.1. IT 管理者は、任意のインテント フィルタのデフォルトのインテント ハンドラとして任意のパッケージを設定できます。

• EMM のコンソールでは、既知のインテントまたは推奨インテントがオプションで提案されます。ただし、インテントを任意のリストに制限することはできません。
• IT 管理者が EMM のコンソールで、該当するユーザーがインストールできるアプリのリストから選択できるようにする必要があります。

• 信頼エージェント
• 指紋認証によるロック解除
• 削除されていない通知

5.11.2. EMM の DPC は、仕事用プロファイルで次のキーガード機能をオフにできます。

• 信頼エージェント
• 指紋認証によるロック解除

• セキュアカメラ
• すべての通知
• 未削除の通知
• 信頼エージェント
• 指紋認証
• キーガード機能のすべて

5.14.1. EMM はデバイスの MAC アドレスを通知なく取得し、EMM のコンソールでそれをデバイスに関連付けることができます。

5.15.1. EMM の DPC を使用して、1 つのアプリを通知なしでデバイスにロックできるようにします。

5.15.2. EMM の DPC を使用して、以下のシステム UI 機能のオンとオフを切り替えます。

• ホームボタン
• 概要
• グローバルな操作
• 通知
• システム情報 / ステータスバー
• キーガード（ロック画面）

5.15.3. EMM の DPC を使用して、システムエラー ダイアログをオフにします。

5.17.1. IT 管理者は、仕事用プロファイルがワイプされたときに表示するカスタム テキストを指定できます。