Android Enterprise の機能リスト

1.1.1. ユーザーがデバイスの個人側に DPC をインストールできるように、EMM の DPC を Google Play で公開する必要があります。

1.1.2. インストール後、DPC は仕事用プロファイルのプロビジョニング プロセスをユーザーに案内する必要があります。

1.1.3. プロビジョニングの完了後は、デバイスの個人側に管理プレゼンスは残されません。

• プロビジョニング中に適用されたポリシーはすべて削除する必要があります。
• アプリの権限を取り消す必要があります。
• 少なくとも、EMM の DPC はデバイスの個人用側でオフにする必要があります。

1.2.1. EMM の DPC は Google Play で一般公開されている必要があります。DPC は、デバイス設定ウィザードで DPC 固有の識別子を入力してインストール可能である必要があります。

1.3.1. EMM には、888 バイト以上のメモリを搭載した NFC フォーラム タイプ 2 タグを使用する必要があります。プロビジョニングでは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID などの機密性の低い登録情報をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。

1.3.2. EMM の DPC が自身をデバイス所有者として設定したら、DPC をすぐに開いて画面に固定し、デバイスが完全にプロビジョニングされるようにする必要があります。

1.4.1. QR コードは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID などの機密でない登録情報をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。

1.4.2. EMM の DPC がデバイスをセットアップした後、DPC をすぐに開いて画面に対してロックし、デバイスが完全にプロビジョニングされるようにする必要があります。

1.5.1. IT 管理者は、IT 管理者向けゼロタッチ登録で説明されているゼロタッチ登録を使用して、会社所有デバイスをプロビジョニングできます。

1.6.1. IT 管理者は、IT 管理者向けゼロタッチ登録で概説されているゼロタッチ登録を使用して、会社所有デバイスをプロビジョニングできます。

1.6.2. EMM の DPC がデバイスをセットアップした後、EMM の DPC をすぐに開き、デバイスが完全にプロビジョニングされるまで画面に対してロックする必要があります。

• ゼロタッチ登録の詳細を使用してサイレントで完全にプロビジョニングするデバイス（専用デバイスのデプロイなど）では、この要件は適用されません。

1.6.3. EMM の DPC は、登録情報を使用して、DPC の呼び出し後に権限のないユーザーが有効化を進めることができないようにする必要があります。少なくとも、有効化を特定の企業のユーザーに限定する必要があります。

1.6.4. EMM の DPC では、IT 管理者が一意のユーザー情報またはデバイス情報（ユーザー名/パスワード、アクティベーション トークンなど）のほかに、登録情報（サーバー ID、登録 ID など）を事前入力できるようにする必要があります。これにより、ユーザーはデバイスを有効化する際に情報を入力する必要がなくなります。

• EMM のゼロタッチ登録の構成に、パスワードや証明書などの機密情報を含めることはできません。

1.8.1. Google アカウントのプロビジョニング方法では、所定の実装ガイドラインに沿って会社所有のデバイスをプロビジョニングします。

1.8.2. EMM がデバイスを企業資産として明確に識別できない限り、プロビジョニング プロセス中にプロンプトが表示されずにデバイスをプロビジョニングすることはできません。このプロンプトでは、チェックボックスをオンにする、デフォルト以外のメニュー項目を選択するなど、デフォルト以外のアクションを行う必要があります。EMM はデバイスを会社の資産として識別できるため、メッセージを表示する必要がないことが推奨されます。

1.10.1 IT 管理者は、QR コードまたはゼロタッチ登録を使用して、会社所有デバイスの仕事用プロファイルとしてデバイスをプロビジョニングできます。

1.10.2 IT 管理者は、会社所有デバイスの仕事用プロファイルに対してコンプライアンス アクションを設定できます。

1.10.3 IT 管理者は、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。

1.10.4 IT 管理者は、仕事用プロファイルまたはデバイス全体のいずれかでスクリーン キャプチャを無効にできます。

1.10.5 IT 管理者は、個人用プロファイルにインストールできるアプリケーションまたはインストールできないアプリケーションの許可リストまたはブロックリストを設定できます。

2.1.1. ポリシーにより、デバイスのセキュリティ チャレンジ（仕事用プロファイルの parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの passwordRequirements）を管理する設定を適用する必要があります。

2.1.2. パスワードの複雑さは、次のパスワードの複雑さに対応している必要があります。

• PASSWORD_COMPLEXITY_LOW - 繰り返し（4444）または順序付けされた（1234、4321、2468）シーケンスを含むパターンまたは固定。
• PASSWORD_COMPLEXITY_MEDIUM - 4 文字以上の繰り返し（4444）または順序付き（1234、4321、2468）のシーケンス、英字、または英数字のパスワードを使用しない PIN
• PASSWORD_COMPLEXITY_HIGH - 繰り返し（4444）または順序付き（1234、4321、2468）のシーケンスを使用しない PIN、または 8 文字以上のパスワード、または 6 文字以上の英字または英数字のパスワード

2.2.1. ポリシーによって、仕事用プロファイルのセキュリティ チャレンジを適用する必要があります。 デフォルトでは、スコープが指定されていない場合、IT 管理者は仕事用プロファイルにのみ制限を設定する必要があります。IT 管理者は、スコープを指定することでこのデバイス全体を設定できます（要件 2.1 を参照）

2.1.2. パスワードの複雑さは、次のパスワードの複雑さに対応している必要があります。

• PASSWORD_COMPLEXITY_LOW - 繰り返し（4444）または順序付けされた（1234、4321、2468）シーケンスを含むパターンまたは固定。
• PASSWORD_COMPLEXITY_MEDIUM - 4 文字以上の繰り返し（4444）または順序付き（1234、4321、2468）のシーケンス、英字、または英数字のパスワードを使用しない PIN
• PASSWORD_COMPLEXITY_HIGH - 繰り返し（4444）または順序付き（1234、4321、2468）のシーケンスを使用しない PIN、または 8 文字以上のパスワード、または 6 文字以上の英字または英数字のパスワード

2.3.2. [意図的に空白]

2.3.3. デバイスで使用できるロック画面ごとに、次のパスワード ライフサイクルを設定できます。

1. [意図的に空白]
2. [意図的に空白]
3. ワイプに失敗したパスワードの最大数: 企業データがデバイスからワイプされるまでにユーザーが誤ったパスワードを入力できる回数を指定します。IT 管理者はこの機能をオフにできる必要があります。

2.3.4. （Android 8.0 以降）強力な認証が必要タイムアウト: IT 管理者が設定したタイムアウト期間の後、強力な認証パスコード（PIN やパスワードなど）の入力が必要になります。タイムアウト時間が経過すると、安全な認証パスコードでデバイスのロックが解除されるまで、安全性の低い認証方法（指紋認証、顔認証など）はオフになります。

2.4.1. IT 管理者は、デバイスで使用可能なロック画面ごとに個別に Smart Lock 信頼エージェントを無効にできます。

2.4.2. IT 管理者は、デバイスで利用可能なロック画面ごとに、Bluetooth、NFC、場所、顔、持ち運び、音声の信頼エージェントに対して、Smart Lock 信頼エージェントを選択的に許可して設定できます。

• IT 管理者は、使用可能な信頼エージェントの構成パラメータを変更できます。

2.5.1. EMM の DPC がデバイスをロックする必要があります。

2.7.1. EMM の DPC は、仕事用プロファイルが設定された Android 8.0 以降のデバイスの個人用側にインストールされたアプリなど、不明な提供元からのアプリのインストールをブロックする必要があります。

2.8.1. EMM の DPC で、セーフモードでの起動がデフォルトでオフになっている必要があります。

2.8.2. EMM の DPC は、プロビジョニング中に最初の起動時にすぐに開いて画面に対してロックし、他の方法でデバイスを操作できないようにする必要があります。

EMM は Play Integrity API を使用して、デバイスが有効な Android デバイスであることを確認します。

2.9.1. EMM の DPC は、プロビジョニング中に Play Integrity API を実装します。デフォルトでは、返されたデバイスの完全性が MEETS_STRONG_INTEGRITY の場合にのみ、企業データでのデバイスのプロビジョニングを完了します。

2.9.2. EMM の DPC は、デバイスが EMM のサーバーにチェックインするたびに別の Play Integrity チェックを実行します。これは IT 管理者が構成できます。EMM サーバーは、デバイス上の企業ポリシーを更新する前に、完全性チェック レスポンス内の APK 情報とレスポンス自体を検証します。

2.9.3. IT 管理者は、プロビジョニングのブロック、企業データのワイプ、登録の続行など、Play の完全性チェックの結果に応じてさまざまなポリシー レスポンスを設定できます。

• EMM サービスは、各完全性チェックの結果に対してこのポリシー レスポンスを適用します。

2.11.1. EMM の DPC は、デバイス暗号化ストレージを利用して、DPC の認証情報暗号化ストレージが復号される前に重要な管理機能を実行します。ダイレクト ブートで使用できる管理機能には次のものが含まれます（ただし、これらに限定されません）。

• 企業のワイプ。必要に応じて出荷時設定へのリセットの保護データのワイプも可能です。

2.11.2. EMM の DPC は、デバイス暗号化ストレージ内の企業データを公開してはなりません。

2.12.1. IT 管理者は、ユーザーがデバイスに物理的な外部メディアをマウントできないようにブロックできます。

2.12.2. IT 管理者は、ユーザーが NFC ビームを使用してデバイスからデータを共有しないようにブロックできます。Android 10 以降では NFC ビーム機能がサポートされなくなったため、このサブ機能は省略可能です。

2.13.1. IT 管理者は特定のデバイスのセキュリティ ロギングを有効にすることができ、EMM の DPC はセキュリティ ログと再起動前のセキュリティ ログの両方を自動的に取得できる必要があります。

2.13.2. IT 管理者は EMM のコンソールで、特定のデバイスと構成可能な期間に関するエンタープライズ セキュリティ ログを確認できます。

3.1.1. Play EMM API を使用して、managed Google Play アカウント エンタープライズを登録する。

3.1.2. EMM のコンソールでは、企業ごとにサイレント モードでプロビジョニングを行い、固有の ESA を設定する必要があります。

3.2.1. EMM の DPC は、定められた実装ガイドラインに沿って、managed Google Play アカウントをサイレント プロビジョニングして有効化できます。手順は次のとおりです。

• userAccount タイプの managed Google Play アカウントがデバイスに追加されます。
• userAccount タイプの managed Google Play アカウントは、EMM のコンソールで実際のユーザーと 1 対 1 のマッピングである必要があります。

3.4.1. EMM の DPC は、定められた実装ガイドラインに沿って、managed Google Play アカウントをサイレント プロビジョニングして有効化できます。手順は次のとおりです。

1. userAccount タイプの managed Google Play アカウントがデバイスに追加されます。
2. userAccount タイプの managed Google Play アカウントは、EMM のコンソールで実際のユーザーと 1 対 1 のマッピングである必要があります。

3.5.1. IT 管理者が管理対象デバイスに仕事用アプリをインストールできるようにするには、EMM コンソールで Play EMM API を使用する必要があります。

3.5.2. IT 管理者が管理対象デバイス上の仕事用アプリを更新できるように、EMM コンソールで Play EMM API を使用する必要があります。

3.6.1. EMM のコンソールは、Play アプリの管理対象の設定を取得して表示できなければなりません。

• EMM は、Products.getAppRestrictionsSchema を呼び出してアプリの管理対象設定スキーマを取得することも、EMM コンソールに管理対象設定 iframe を埋め込むこともできます。

3.6.2. IT 管理者は EMM のコンソールで、Play EMM API を使用する Play アプリの任意の構成タイプ（Android フレームワークで定義）を設定できるようにする必要があります。

3.6.3. IT 管理者は EMM のコンソールでワイルドカード（$username$ や %emailAddress% など）を設定できるようにし、Gmail などのアプリの 1 つの設定を複数のユーザーに適用できるようにする必要があります。管理対象構成の iframe では、この要件が自動的にサポートされます。

3.7.1. EMM のコンソールには、配信が承認されたアプリのリストが次のように表示されます。

• managed Google Play で購入したアプリ
• IT 管理者に表示される限定公開アプリ
• プログラムによって承認されたアプリ

3.10.1. IT 管理者は、EMM のコンソールで次の操作を行って、managed Google Play ストアのレイアウトをカスタマイズできます。

• 最大 100 件の店舗レイアウト ページを作成できます。ページには、ローカライズされたページ名を任意の数だけ含めることができます。
• ページごとに最大 30 個のクラスタを作成します。クラスタには、任意の数のローカライズされたクラスタ名を設定できます。
• 各クラスタに最大 100 個のアプリを割り当てます。
• 各ページに最大 10 個のクイックリンクを追加できます。
• クラスタ内のアプリとページ内のクラスタ内のアプリの並べ替え順を指定します。

3.11.1. 企業で承認されている有料アプリの場合、EMM のコンソールに次の内容を表示する必要があります。

• 購入したライセンス数。
• 消費したライセンス数と、ライセンスを消費したユーザー。
• 配布可能なライセンス数。

3.11.2. IT 管理者は、ユーザーのデバイスにアプリを強制的にインストールすることなく、ユーザーにライセンスを割り当てることができます。

3.12.1. IT 管理者は、企業に限定公開されているアプリの新しいバージョンを、以下を使用してアップロードできます。

IT 管理者は、限定公開アプリのサポートで詳細を確認できます。

3.13.1. IT 管理者がアプリ APK をホストするには、EMM のコンソールで次の両方のオプションを提供する必要があります。

• EMM のサーバーで APK をホストします。サーバーはオンプレミスでもクラウドベースでもかまいません。
• IT 管理者の裁量で、EMM のサーバー外で APK をホストします。IT 管理者は、APK がホストされている場所を EMM コンソールで指定する必要があります。

3.13.2. EMM のコンソールは、提供された APK を使用して適切な APK 定義ファイルを生成し、IT 管理者は公開プロセスをガイドする必要があります。

3.13.3. IT 管理者は、自己ホスト型限定公開アプリを更新できます。また、EMM のコンソールで、Google Play Developer Publishing API を使用して、更新された APK 定義ファイルを自動的に公開できます。

3.13.4. EMM のサーバーは、限定公開アプリの公開鍵によって検証された、リクエストの Cookie 内に有効な JWT が含まれる自己ホスト型 APK のダウンロード リクエストのみを処理します。

• このプロセスを容易にするために、IT 管理者は EMM のサーバーから、自己ホスト型アプリのライセンス公開鍵を Google Play Console からダウンロードし、EMM コンソールにアップロードするよう指示する必要があります。

3.14.1. EMM は Play の EMM 通知を使用して通知セットを pull する必要があります。

3.14.2. EMM は、次の通知イベントを IT 管理者（自動メールなど）に自動的に通知する必要があります。

• newPermissionEvent: IT 管理者が新しいアプリの権限を承認しないと、ユーザーのデバイスにアプリをサイレント インストールまたは更新できます。
• appRestrictionsSchemaChangeEvent: 意図した機能を維持するために、IT 管理者がアプリの管理対象設定を更新する必要が生じる場合があります。
• appUpdateEvent: IT 管理者が、コア ワークフロー機能がアプリのアップデートの影響を受けないことを検証できます。
• productAvailabilityChangeEvent: アプリのインストールやアプリのアップデートの取得に影響を与える可能性があります。
• installFailureEvent: Play はデバイスにアプリをサイレント インストールすることができません。これは、デバイス設定が原因でインストールの妨げになっている可能性があることを示します。Play 独自の再試行ロジックがすでに失敗しているため、EMM はこの通知を受信した後すぐにサイレント インストールを再試行しないでください。

3.14.3. EMM は、次の通知イベントに基づいて、適切なアクションを自動的に実行します。

• newDeviceEvent: デバイスのプロビジョニング中、EMM は newDeviceEvent を待ってから、新しいデバイスに対して後続の Play EMM API 呼び出し（アプリのサイレント インストールや管理対象設定の設定など）を行う必要があります。
• productApprovalEvent: 有効な IT 管理セッションがある場合、または各 IT 管理セッションの開始時に承認済みアプリのリストが自動的に再読み込みされない場合、EMM は productApprovalEvent 通知の受信時に、EMM コンソールにインポートされた承認済みアプリのリストを自動的に更新してデバイスに配布する必要があります。

3.15.1. EMM は、Play EMM API の使用制限に従う必要があります。これらのガイドラインを超える動作を修正しない場合、Google の裁量により API の使用が停止されることがあります。

3.15.2. EMM は、特定の時間や同様の時間に企業トラフィックを統合するのではなく、さまざまな企業からのトラフィックを一日中分散する必要があります。登録された各デバイスにスケジュールされた一括オペレーションなど、このトラフィック パターンに一致する動作については、Google の裁量により API の使用が停止される場合があります。

• managed Google Play iframe
• 作成できます。

3.16.2. IT 管理者がセットアップした場合、EMM のコンソールは、アプリのフィードバック チャネルによって返されたフィードバックを取得して表示できなければなりません。

• IT 管理者は EMM のコンソールで、特定のフィードバック項目を、そのフィードバックの送信元のデバイスとアプリに関連付ける必要があります。
• IT 管理者は EMM のコンソールで、特定のメッセージ タイプ（エラー メッセージなど）のアラートまたはレポートをサブスクライブできるようにする必要があります。

3.16.3. EMM のコンソールで送信できるのは、デフォルト値であるか、管理者が手動で設定した値のみです。

• 管理対象設定 iframe
• カスタム UI。

3.17.1. IT 管理者は EMM のコンソールで、以下を使用してウェブアプリへのショートカットを配布できます。

3.18.1. EMM は、Play EMM API のデベロッパー向けドキュメントで定義されている実装ガイドラインに従って、managed Google Play アカウントのライフサイクルを管理できます。

3.18.2. EMM は、ユーザーの操作なしで managed Google Play アカウントを再認証できます。

3.20.2. IT 管理者は、アプリのアプリのアップデートを 90 日間延期することを許可できます。

4.1.1. IT 管理者は、組織のデフォルトのランタイム権限ポリシーを設定するときに、次のオプションを選択できるようにする必要があります。

• プロンプト（ユーザーが選択可能）
• allow
• 拒否

4.3.1. SSID（EMM の DPC 経由）。

4.4.1. ID（EMM の DPC を使用）。

4.4.2. EMM の DPC を介した、クライアントの承認用証明書。

4.5.1. IT 管理者は、次のいずれかの構成で企業の Wi-Fi 構成をロックダウンできます。

• ユーザーは、EMM によってプロビジョニングされた Wi-Fi 構成を変更することはできませんが、ユーザーが構成できる独自のネットワーク（個人ネットワークなど）を追加、変更できます。
• ユーザーはデバイス上の Wi-Fi ネットワークを追加または変更することはできず、Wi-Fi 接続は EMM によってプロビジョニングされたネットワークのみに制限されます。

4.6.1. IT 管理者は、アカウントの追加や変更を禁止できます。

• このポリシーをデバイスに適用する場合、プロビジョニングが完了する前に EMM でこの制限を設定する必要があります。これにより、ポリシーの施行前にアカウントを追加してこのポリシーを回避できないようにします。

4.7.1. IT 管理者は、アカウント管理のロックダウンが行われた後、プロビジョニング中に有効にする Google アカウントを指定できます。

4.7.2. EMM の DPC は、Google アカウントの有効化を求めるプロンプトを表示し、追加するアカウントを指定することで、特定のアカウントのみを有効化できるようにする必要があります。

• Android 7.0 より前のデバイスでは、DPC は ユーザーにメッセージを表示する前にアカウント管理の制限を一時的にオフにする必要があります。

4.8.1. IT 管理者は、PKI によって生成されたユーザー ID 証明書をユーザーごとにインストールできます。EMM のコンソールは、少なくとも 1 つの PKI と統合し、そのインフラストラクチャから生成された証明書を配布する必要があります。

4.9.1. IT 管理者は、デバイスに配布されるすべてのアプリに対して、実行時にアプリに通知なくアクセス権を付与する証明書を指定できます。

• 証明書の選択は、すべてのユーザーに適用される単一の構成を許可する汎用的なものである必要があります。各ユーザーには、ユーザー固有の ID 証明書を使用できます。

4.9.2. IT 管理者は、マネージド キーストアからサイレントで証明書を削除できます。

4.9.3. IT 管理者は、通知なしで CA 証明書またはシステム以外のすべての CA 証明書をアンインストールできます。

4.9.4. IT 管理者は、ユーザーがマネージド キーストアで認証情報を構成できないようにします。

4.9.5. IT 管理者は仕事用アプリの証明書を事前に付与できます。

4.10.1. IT 管理者は、証明書管理パッケージを DPC によって委任された証明書管理アプリとして設定するように指定します。

• コンソールでは、必要に応じて既知の証明書管理パッケージが提案されますが、IT 管理者が該当するユーザーのインストール可能なアプリのリストから選択できるようにする必要があります。

4.11.1. IT 管理者は、任意の VPN パッケージを指定して常時接続 VPN に設定できます。

• EMM のコンソールでは、常時接続 VPN をサポートする既知の VPN パッケージをオプションで提案できますが、常時接続構成で使用可能な VPN を任意のリストに制限することはできません。

4.11.2. IT 管理者は、管理対象構成を使用してアプリの VPN 設定を指定できます。

4.12.1. IT 管理者は、任意の長さの IME 許可リスト（システム以外の IME をブロックする空のリストを含む）を設定できます。これには、任意の IME パッケージを含めることができます。

• EMM のコンソールでは、許可リストに含める既知の IME または推奨される IME がオプションとして提案される場合がありますが、IT 管理者が該当するユーザーがインストール可能なアプリのリストから選択できるようにする必要があります。

4.13.1. IT 管理者は、任意の長さの IME 許可リストを設定できます（システム IME を含むすべての IME をブロックする空のリストは除きます）。これには任意の IME パッケージを含めることができます。

• EMM のコンソールでは、許可リストに含める既知の IME または推奨される IME がオプションとして提案される場合がありますが、IT 管理者が該当するユーザーがインストール可能なアプリのリストから選択できるようにする必要があります。

4.13.2. EMM では、IT 管理者が空の許可リストを設定できないようにする必要があります。この設定により、システム IME を含むすべての IME がデバイスでセットアップできなくなります。

4.14.1. IT 管理者は、任意の長さのユーザー補助サービスの許可リストを設定できます（システム以外のユーザー補助サービスをブロックする空のリストも含みます）。この許可リストには任意のユーザー補助サービス パッケージを含めることができます。仕事用プロファイルに適用した場合、個人用プロファイルと仕事用プロファイルの両方に影響します。

• コンソールでは必要に応じて、許可リストに含める既知のまたは推奨のユーザー補助サービスを提案できますが、IT 管理者は該当するユーザーがインストール可能なアプリのリストから選択できるようにする必要があります。

• 高精度] をタップします。
• センサーのみ（GPS など）。ただし、ネットワークが提供する位置情報は含まれません。
• バッテリー節約。アップデートの頻度が制限されます。
• オフ。

4.17.1. IT 管理者は、[設定] から、ユーザーがデバイスを出荷時の設定にリセットできないように設定できます。

4.17.2. IT 管理者は、出荷時設定へのリセット後に、デバイスのプロビジョニングが許可された企業のロック解除アカウントを指定できます。

• このアカウントを個人に関連付けることも、企業全体でデバイスのロックを解除することもできます。

4.17.3. IT 管理者は、特定のデバイスに対して出荷時設定へのリセット保護機能を無効にできます。

4.17.4. IT 管理者は、リモート デバイスのワイプを開始して、必要に応じてリセット保護データをワイプし、リセットされたデバイスの出荷時設定へのリセット保護を解除できます。

4.18.1. IT 管理者は、任意の管理対象アプリ、またはすべての管理対象アプリのアンインストールをブロックできます。

4.21.1. IT 管理者は、特定のデバイスと構成可能な時間枠について、仕事用プロファイルのネットワーク統計情報の概要をクエリして、EMM のコンソールで詳細を表示できます。

4.21.2. IT 管理者は、特定のデバイスと構成可能な時間枠について、仕事用プロファイルのネットワーク使用状況の統計情報の概要をクエリして、EMM のコンソールで UID ごとに整理された詳細を表示できます。

4.21.3. IT 管理者は、特定のデバイスと構成可能な時間枠について、仕事用プロファイルのネットワーク使用履歴データをクエリして、EMM のコンソールで UID 別に整理された詳細を表示できます。

4.22.1. IT 管理者は、特定のデバイスと構成可能な時間枠について、デバイス全体のネットワーク統計情報の概要をクエリして、EMM のコンソールで詳細を表示できます。

4.22.2. IT 管理者は、特定のデバイスと構成可能な時間枠について、アプリのネットワーク使用統計情報の概要をクエリして、EMM のコンソールで UID ごとに整理して詳細を表示できます。

IT 管理者は管理対象デバイスをリモートで再起動できます。

4.23.1. IT 管理者は、管理対象デバイスをリモートで再起動できます。

4.24.1. IT 管理者は、サービス プロバイダから送信される緊急速報メール（アンバー アラートなど）を無効にすることができます。

4.24.2. IT 管理者は、ユーザーが [設定] でモバイル ネットワーク設定を変更できないようにすることができます。

4.24.3. IT 管理者は、ユーザーが [設定] でネットワーク設定をリセットできないようにすることができます。

4.24.4. IT 管理者は、ローミング中のモバイルデータを許可または禁止できます。

4.24.5. IT 管理者は、緊急通報を除くデバイスで通話の発信を許可するかどうかを設定できます。

4.24.6. IT 管理者は、デバイスでテキスト メッセージを送受信できるかどうかを設定できます。

4.24.7. IT 管理者は、ユーザーがテザリングによってデバイスをポータブル アクセス ポイントとして使用されないようにできます。

4.24.8. IT 管理者は、Wi-Fi タイムアウトをデフォルト（電源に接続されている場合のみ、しない）に設定できます。

4.25.1. IT 管理者は、管理対象デバイスをサイレントでミュートできます。

4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにすることが可能です。

4.25.3. IT 管理者は、ユーザーがデバイスのマイクのミュートを解除できないように設定できます。

4.26.1. IT 管理者はシステムの自動時刻を適用して、ユーザーがデバイスの日付と時刻を設定できないようにすることが可能です。

4.26.2. IT 管理者は、自動時刻と自動タイムゾーンを自動的にオフにすることも、オンにすることもできます。

4.27.1. IT 管理者はデバイスのキーガードを無効にすることができます。

4.27.2. IT 管理者はデバイスのステータスバーをオフにして、通知とクイック設定をブロックできます。

4.27.3. IT 管理者は、デバイスを電源に接続している間、デバイスの画面をオンのままにすることができます。

4.27.4. IT 管理者は、次のシステム UI が表示されないようにできます。

• トースト
• アプリ オーバーレイ。

IT 管理者は、個々のパッケージに特別な権限を委任できます。

4.28.1. IT 管理者は次のスコープを管理できます。

• 証明書のインストールと管理
• 管理対象設定の管理
• ネットワーク ログ
• セキュリティ ロギング

Android 12 以降、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、出荷時設定へのリセット後も保持される登録固有の ID を使用して、仕事用プロファイルが設定されたデバイスのライフサイクルを追跡できます

4.29.1. IT 管理者は登録固有の ID を設定、obtainできる

4.29.2. この登録固有の ID は、出荷時の設定にリセットしても保持される必要があります

5.1.1. IT 管理者は、エンタープライズ カラー、エンタープライズ ロゴ、エンタープライズの利用規約とその他の免責条項を指定して、プロビジョニング プロセスをカスタマイズできます。

5.1.2. IT 管理者は、EMM の色、EMM ロゴ、EMM 利用規約とその他の免責条項の詳細を含む、構成不可能な EMM 固有のカスタマイズをデプロイできます。

5.1.3 Android 10 以降のエンタープライズ リソースにおける [primaryColor] のサポートは終了しました。

• EMM 固有のカスタマイズを使用しない場合でも、EMM のプロビジョニング フローに関するプロビジョニングの利用規約とその他の免責条項をシステム プロビジョニングの免責条項のバンドルに含める必要があります。
• EMM はすべてのデプロイのデフォルトとして、構成不可の EMM 固有のカスタマイズを設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。

5.2.1. IT 管理者は組織の色を設定して、仕事用のチャレンジの背景色として使用できます。

5.2.2. IT 管理者は仕事用プロファイルの表示名を設定できます。

5.2.3. IT 管理者は仕事用プロファイルのユーザー アイコンを設定できます。

5.2.4. IT 管理者は、ユーザーが仕事用プロファイルのユーザー アイコンを変更できないようにすることができます。

5.3.1. IT 管理者は管理対象デバイスの表示名を設定できます。

5.3.2. IT 管理者は管理対象デバイスのユーザー アイコンを設定できます。

5.3.3. IT 管理者は、ユーザーがデバイスのユーザー アイコンを変更できないようにできます。

5.3.4. IT 管理者はデバイスの壁紙を設定できます。

5.3.5. IT 管理者は、ユーザーがデバイスの壁紙を変更できないようにできます。

5.5.1. IT 管理者は短いと長いサポート メッセージの両方をカスタマイズできます。

5.5.2. IT 管理者は、構成不可の EMM 固有の短いおよび長いサポート メッセージをデプロイできます。

• EMM はすべてのデプロイのデフォルトとして、設定不可の EMM 固有のサポート メッセージを設定できますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。

5.6.1. IT 管理者は、システム連絡先プロバイダを使用する個人用アプリに対して、クロス プロファイル連絡先検索を無効にできます。

5.6.2. IT 管理者は、システム連絡先プロバイダを使用する個人用電話アプリに対して、クロス プロファイル発信者番号検索を無効にすることができます。

5.6.3. IT 管理者は、システム連絡先プロバイダを使用する Bluetooth デバイスとの Bluetooth 連絡先の共有を無効にすることができます（自動車やヘッドセットでのハンズフリー通話など）。

5.7.1. IT 管理者は、クロス プロファイル インテント フィルタを構成して、個人用アプリが仕事用プロファイルのインテント（共有インテントやウェブリンクなど）から解決できるようにできます。

• コンソールでは、必要に応じて既知のインテント フィルタや推奨のインテント フィルタを構成用に提案できますが、インテント フィルタを任意のリストに制限することはできません。

5.7.2. IT 管理者は、ホーム画面にウィジェットを表示できる管理対象アプリを許可できます。

• IT 管理者は、EMM のコンソールで、該当するユーザーにインストールできるアプリのリストからアプリを選択できるようにする必要があります。

5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイル間でのコピーと貼り付けの使用をブロックできます。

5.7.4. IT 管理者は、ユーザーが NFC ビームを使用して仕事用プロファイルのデータを共有できないようにブロックできます。

5.7.5. IT 管理者は、個人用アプリが仕事用プロファイルからウェブリンクを開くことを許可できます。

5.8.1. IT 管理者は EMM のコンソールを使用して次の OTA 構成を設定できます。

• 自動: デバイスは OTA アップデートが利用可能になると受信します。
• 延期: IT 管理者は OTA アップデートを最大 30 日間延期できる必要があります。このポリシーはセキュリティ アップデート（毎月のセキュリティ パッチなど）には影響しません。
• 時間枠制: IT 管理者は、毎日のメンテナンスの時間枠内に OTA アップデートをスケジュールできる必要があります。

5.10.1. IT 管理者は、任意のインテント フィルタのデフォルト インテント ハンドラとして任意のパッケージを設定できます。

• EMM のコンソールでは、構成用の既知のインテントや推奨インテントを任意に提案できますが、インテントを任意のリストに制限することはできません。
• IT 管理者は EMM のコンソールで、該当するユーザーにインストールできるアプリのリストから選択できるようにする必要があります。

• 信頼エージェント
• 指紋認証によるロック解除
• 未編集の通知

5.11.2. EMM の DPC は、仕事用プロファイルの次のキーガード機能をオフにできます。

• 信頼エージェント
• 指紋認証によるロック解除

• カメラを保護
• すべての通知
• 無編集の通知
• 信頼エージェント
• 指紋認証
• すべてのキーガード機能

5.14.1. EMM はデバイスの MAC アドレスを暗黙的に取得し、EMM のコンソールでデバイスに関連付けることができます。

5.15.1. EMM の DPC を介して、1 つのアプリをデバイスにロックすることを通知なしで許可します。

5.15.2. EMM の DPC で、以下のシステム UI 機能をオンまたはオフにします。

• ホームボタン
• 概要
• グローバルな操作
• 通知
• システム情報 / ステータスバー
• キーガード（ロック画面）

5.15.3. EMM の DPC でシステムエラー ダイアログをオフにします。

5.17.1. IT 管理者は、仕事用プロファイルがワイプされたときに表示するカスタム テキストを指定できます。