このページでは、Android Enterprise のすべての機能の一覧を示します。
500 台を超えるデバイスを管理する場合は、EMM ソリューションを商用で利用可能にする前に、少なくとも 1 つのソリューション セットのすべての標準機能()に対応している必要があります。標準機能の検証に合格した EMM ソリューションは、Android の企業向けソリューション ディレクトリに標準管理セットを提供するものとして掲載されます。
各ソリューション セットには、高度な機能の追加セットが用意されています。これらの機能は、各ソリューション セットのページで、個人所有デバイスの仕事用プロファイル、会社所有デバイスの仕事用プロファイル、完全管理対象デバイス、専用デバイスとして示されています。高度な機能の検証に合格した EMM ソリューションは、Android の企業向けソリューション ディレクトリに、高度な管理セットを提供するものとして掲載されます。
キー
| 標準機能 | 上級者向け機能 | オプション機能 | 該当なし |
1. デバイスのプロビジョニング
1.1. DPC ファーストの仕事用プロビジョニング
Google Play から Android Device Policy をダウンロードすると、仕事用プロビジョニングが可能になります。
1.1.1. EMM は、このプロビジョニング方法をサポートするために、IT 管理者に QR コードまたはアクティベーション コードを提供します( デバイスの登録とプロビジョニングを参照)。
1.2. DPC ID によるデバイスのプロビジョニング
デバイスの設定ウィザードで「afw#」と入力すると、完全管理対象デバイスまたは専用デバイスがプロビジョニングされます。
1.2.1. EMM は、このプロビジョニング方法をサポートするために、IT 管理者に QR コードまたはアクティベーション コードを提供します(デバイスの登録とプロビジョニングを参照)。
1.3. NFC デバイスのプロビジョニング
IT 管理者は、Play EMM API デベロッパー ドキュメントで定義されている実装ガイドラインに沿って、NFC タグを使用して新しいデバイスまたは出荷時の設定にリセット済みのデバイスをプロビジョニングできます。
1.3.1. EMM は、少なくとも 888 バイトのメモリを備えた NFC フォーラム タイプ 2 タグを使用しなければなりません。プロビジョニングでは、プロビジョニング エクストラを使用して、サーバー ID や登録 ID などの機密情報以外の登録の詳細をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。
1.3.2. NFC ビーム(NFC バンプとも呼ばれます)が非推奨になったため、Android 10 以降では NFC タグの使用をおすすめします。
1.4. QR コードによるデバイスのプロビジョニング
EMM のコンソールは、 Android Management API デベロッパー向けドキュメントで定義されている実装ガイドラインに従って、IT 管理者がスキャンしてフルマネージド デバイスまたは専用デバイスをプロビジョニングできる QR コードを生成できます。
1.4.1. QR コードでは、プロビジョニング エクストラを使用して、機密情報以外の登録情報(サーバー ID、登録 ID など)をデバイスに渡す必要があります。登録の詳細には、パスワードや証明書などの機密情報を含めないでください。
1.5. ゼロタッチ登録
IT 管理者は、認定販売パートナーから購入したデバイスを事前設定し、EMM コンソールを使用して管理できます。
1.5.1. IT 管理者は、ゼロタッチ登録: IT 管理者向けで説明されているゼロタッチ登録方法を使用して、会社所有デバイスをプロビジョニングできます。
1.5.2. デバイスの初回起動時に、IT 管理者が定義した設定が自動的に適用されます。
1.6. 高度なゼロタッチ プロビジョニング
IT 管理者は、ゼロタッチ登録を使用してデバイス登録プロセスの大部分を自動化できます。ログイン URL と組み合わせることで、IT 管理者は EMM が提供する構成オプションに従って、登録を特定のアカウントまたはドメインに制限できます。
1.6.1. IT 管理者は、ゼロタッチ登録方法を使用して会社所有デバイスをプロビジョニングできます。
1.6.2. この要件は非推奨となりました。
1.6.3. EMM は、ログイン URL を使用して、承認されていないユーザーがアクティベーションを続行できないようにする必要があります。最低限、アクティベーションは特定の企業のユーザーに限定する必要があります。
1.6.4. EMM は、ログイン URL を使用して、一意のユーザーまたはデバイス情報(ユーザー名/パスワード、アクティベーション トークンなど)以外の登録の詳細(サーバー ID、登録 ID など)を IT 管理者が事前入力できるようにする必要があります。これにより、ユーザーはデバイスを有効化する際に詳細を入力する必要がなくなります。
- EMM は、ゼロタッチ登録の構成にパスワードや証明書などの機密情報を含めてはなりません。
1.7. Google アカウントの仕事用プロファイルのプロビジョニング
管理対象 Google ドメインを使用している企業の場合、この機能により、デバイスのセットアップ時またはすでに有効になっているデバイスで、企業の Workspace 認証情報を入力した後に、仕事用プロファイルのセットアップ手順がユーザーに表示されます。どちらの場合も、会社の Workspace ID は仕事用プロファイルに移行されます。
1.8. Google アカウントのデバイス プロビジョニング
Android Management API はこの機能をサポートしていません。
1.9. ゼロタッチ設定を直接行う
IT 管理者は、EMM のコンソールで ゼロタッチ iframe を使用してゼロタッチ デバイスを設定できます。
1.10. 会社所有デバイスの仕事用プロファイル
EMM は、AllowPersonalUsage を設定することで、仕事用プロファイルが設定された会社所有デバイスを登録できます。
1.10.1. 意図的に空白。
1.10.2. IT 管理者は、PersonalUsagePolicies を使用して、会社所有デバイスの仕事用プロファイルに対するコンプライアンス アクションを設定できます。
1.10.3. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でカメラを無効にできます。
1.10.4. IT 管理者は、PersonalUsagePolicies を使用して、仕事用プロファイルまたはデバイス全体でスクリーン キャプチャを無効にできます。
1.10.5. IT 管理者は、PersonalApplicationPolicy を使用して、個人用プロファイルにインストールできないアプリのブロックリストを設定できます。
1.10.6. IT 管理者は、仕事用プロファイルを削除するか、デバイス全体をワイプすることで、会社所有デバイスの管理を解除できます。
1.11. 専用デバイスのプロビジョニング
IT 管理者は、ユーザーに Google アカウントでの認証を求めることなく、専用デバイスを登録できます。
2. デバイスのセキュリティ
2.1. デバイスのセキュリティ チャレンジ
IT 管理者は、管理対象デバイスで、3 つの複雑さレベルから事前に定義された選択肢の中からデバイスのセキュリティ チャレンジ(PIN/パターン/パスワード)を設定して適用できます。
2.1.1. ポリシーは、デバイスのセキュリティ チャレンジを管理する設定(仕事用プロファイルの場合は parentProfilePasswordRequirements、完全管理対象デバイスと専用デバイスの場合は passwordRequirements)を適用しなければなりません。
2.1.2. パスワードの複雑さは、次のパスワードの複雑さにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含むパターンまたは PIN。
- PASSWORD_COMPLEXITY_MEDIUM - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まない PIN、または長さが 4 文字以上の英字または英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まず、長さが 8 文字以上の PIN、または長さが 6 文字以上の英字または英数字のパスワード
2.1.3. 会社所有デバイスでは、追加のパスワード制限を以前の設定として適用することもできます。
2.2. 仕事用プロファイルのセキュリティに関する問題
IT 管理者は、仕事用プロファイル内のアプリとデータに対して、デバイスのセキュリティ チャレンジ(2.1.)とは別に、異なる要件のセキュリティ チャレンジを設定して適用できます。
2.2.1. ポリシーは、仕事用プロファイルのセキュリティ チャレンジを適用する必要があります。
- デフォルトでは、スコープが指定されていない場合、IT 管理者は仕事用プロファイルに対してのみ制限を設定する必要があります
- IT 管理者は、スコープを指定することで、デバイス全体にこの設定を行うことができます(要件 2.1 を参照)。
2.2.2. パスワードの複雑さは、次の事前定義されたパスワードの複雑さにマッピングする必要があります。
- PASSWORD_COMPLEXITY_LOW - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含むパターンまたは PIN。
- PASSWORD_COMPLEXITY_MEDIUM - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まない PIN、または長さが 4 文字以上の英字または英数字のパスワード
- PASSWORD_COMPLEXITY_HIGH - 反復(例: 4444)または連続(例: 1234、4321、2468)する文字列を含まず、長さが 8 文字以上の PIN、または長さが 6 文字以上の英字または英数字のパスワード
2.2.3. パスワードの追加の制限は、以前の設定として適用することもできます。
2.3. 高度なパスコード管理
IT 管理者は、デバイスに高度なパスワード設定を設定できます。
2.3.1. 意図的に空白。
2.3.2. 意図的に空白。
2.3.3. デバイスで利用可能な各ロック画面に対して、次のパスワードのライフサイクル設定を行うことができます。
- 意図的に空白
- 意図的に空白
- ワイプの最大失敗パスワード数: デバイスから企業データがワイプされるまでに、ユーザーが間違ったパスワードを入力できる回数を指定します。IT 管理者はこの機能を無効にできる必要があります。
2.3.4. (Android 8.0 以降)強力な認証が必要なタイムアウト: IT 管理者が設定したタイムアウト期間の経過後、強力な認証パスコード(PIN やパスワードなど)を入力する必要があります。タイムアウト期間が経過すると、厳格でない認証方法(指紋認証、顔認証など)は、厳格な認証パスコードでデバイスのロックが解除されるまでオフになります。
2.4. スマートロックの管理
IT 管理者は、Android の Smart Lock 機能の Trust Agent がデバイスのロック解除を最長 4 時間延長することを許可するかどうかを管理できます。
2.4.1. IT 管理者は、デバイスの信頼できるエージェントを無効にできます。
2.5. ワイプとロック
IT 管理者は EMM のコンソールを使用して、管理対象デバイスをリモートでロックし、仕事用データをワイプできます。
2.5.1. デバイスは Android Management API を使用してロックされている必要があります。
2.5.2. デバイスは Android Management API を使用してワイプする必要があります。
2.6. コンプライアンスの適用
デバイスがセキュリティ ポリシーに準拠していない場合、Android Management API によって設定されたコンプライアンス ルールにより、仕事用データの使用が自動的に制限されます。
2.6.1. デバイスに適用されるセキュリティ ポリシーには、少なくともパスワード ポリシーが含まれている必要があります。
2.7. デフォルトのセキュリティ ポリシー
EMM は、IT 管理者が EMM のコンソールで設定やカスタマイズを行う必要なく、指定されたセキュリティ ポリシーをデバイスにデフォルトで適用する必要があります。EMM は、IT 管理者がこれらのセキュリティ機能のデフォルトの状態を変更できないようにすることが推奨されます(必須ではありません)。
2.7.1. 仕事用プロファイルが設定された Android 8.0 以降のデバイスの個人用プロファイルにインストールされたアプリを含め、提供元不明のアプリのインストールをブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.7.2. デバッグ機能をブロックする必要があります。このサブ機能はデフォルトでサポートされています。
2.8. 専用デバイスのセキュリティ ポリシー
ロックダウンされた専用デバイスでは、他の操作は許可されません。
2.8.1. セーフモードでの起動は、デフォルトでポリシー(safeBootDisabled を参照)を使用してオフにしなければなりません。
2.9. Play Integrity のサポート
Play Integrity チェックはデフォルトで実行されます。追加の実装は必要ありません。
2.9.1. 意図的に空白。
2.9.2. 意図的に空白。
2.9.3. IT 管理者は、デバイスの SecurityRisk の値に基づいて、プロビジョニングのブロック、企業データのワイプ、登録の続行の許可など、さまざまなポリシーのレスポンスを設定できます。
- EMM サービスは、完全性チェックの結果ごとにこのポリシー レスポンスを適用します。
2.9.4. 意図的に空白。
2.10. アプリの確認の適用
IT 管理者は、デバイスでアプリの確認をオンにできます。「アプリの確認」は、Android デバイスにインストールされているアプリをインストール前後にスキャンして有害なソフトウェアがないか確認し、悪意のあるアプリが企業データを侵害できないようにします。
2.10.1. [アプリの確認] は、ポリシー(ensureVerifyAppsEnabled を参照)を使用してデフォルトで有効にする必要があります。
2.11. ダイレクト ブートのサポート
Android Management API は、デフォルトでこの機能をサポートしています。追加の実装は必要ありません。
2.12. ハードウェア セキュリティの管理
IT 管理者は、会社所有デバイスのハードウェア要素をロックダウンして、データ損失防止を確保できます。
2.12.1. IT 管理者は、ポリシーを使用して、ユーザーが物理的な外部メディアをマウントできないようにブロックできます(mountPhysicalMediaDisabled を参照)。
2.12.2. IT 管理者は、ポリシー(outgoingBeamDisabled に移動)を使用して、ユーザーが NFC ビームを使用してデバイスからデータを共有することをブロックできます。Android 10 以降では NFC ビーム機能がサポートされなくなったため、このサブ機能はオプションです。
2.12.3. IT 管理者は、ポリシー(usbFileTransferDisabled を参照)を使用して、ユーザーが USB 経由でファイルを転送できないようにブロックできます。
2.13. エンタープライズ セキュリティ ロギング
Android Management API はこの機能をサポートしていません。
3. アカウントとアプリの管理
3.1. エンタープライズ バインディング
IT 管理者は EMM を組織にバインドして、EMM が managed Google Play を使用してデバイスにアプリを配布できるようにします。
3.1.1. 既存の管理対象の Google ドメインを持つ管理者は、ドメインを EMM にバインドできます。
3.1.2. 意図的に空白。
3.1.3. 意図的に空白。
3.1.4. EMM コンソールは、管理者が Android の登録フローで仕事用メールアドレスを入力するように促し、Gmail アカウントの使用を推奨しないようにします。
3.1.5. EMM は、Android の登録フローで管理者のメールアドレスを事前入力します。
3.2. managed Google Play アカウントのプロビジョニング
EMM は、managed Google Play アカウントと呼ばれるエンタープライズ ユーザー アカウントをサイレントでプロビジョニングできます。これらのアカウントは管理対象ユーザーを識別し、ユーザーごとに一意のアプリ配布ルールを許可します。
3.2.1. managed Google Play アカウント(ユーザー アカウント)は、デバイスのプロビジョニング時に自動的に作成されます。
Android Management API は、デフォルトでこの機能をサポートしています。追加の実装は必要ありません。
3.3. managed Google Play デバイス アカウントのプロビジョニング
EMM は、managed Google Play デバイス アカウントを作成してプロビジョニングできます。デバイス アカウントは、managed Google Play ストアからのアプリのサイレント インストールをサポートしており、単一のユーザーに紐付けられていません。代わりに、デバイス アカウントは、専用デバイス シナリオでデバイスごとのアプリ配信ルールをサポートするために、単一のデバイスを識別するために使用されます。
3.3.1. managed Google Play アカウントは、デバイスのプロビジョニング時に自動的に作成されます。
Android Management API は、デフォルトでこの機能をサポートしています。追加の実装は必要ありません。
3.4. 以前のデバイスの managed Google Play アカウントのプロビジョニング
この機能は非推奨です。
3.5. アプリの自動配布
IT 管理者は、ユーザーの操作なしで、デバイスに仕事用アプリを自動で配布できます。
3.5.1. EMM のコンソールは、Android Management API を使用して、IT 管理者が管理対象デバイスに仕事用アプリをインストールできるようにする必要があります。
3.5.2. EMM のコンソールは、Android Management API を使用して、IT 管理者が管理対象デバイスの仕事用アプリを更新できるようにする必要があります。
3.5.3. EMM のコンソールは、IT 管理者が管理対象デバイスのアプリをアンインストールできるように、Android Management API を使用する必要があります。
3.6. 管理対象設定の管理
IT 管理者は、管理対象設定をサポートするアプリの管理対象設定を表示して、サイレント設定できます。
3.6.1. EMM のコンソールは、Google Play アプリの管理対象構成設定を取得して表示できる必要があります。
3.6.2. EMM のコンソールでは、IT 管理者が Android Management API を使用して、Google Play アプリに対して(Android Enterprise フレームワークで定義されている)任意の構成タイプを設定できる必要があります。
3.6.3. EMM のコンソールでは、IT 管理者がワイルドカード($username$ や %emailAddress% など)を設定できるようにする必要があります。これにより、Gmail などのアプリの単一の設定を複数のユーザーに適用できます。
3.7. アプリ カタログの管理
Android Management API は、デフォルトでこの機能をサポートしています。追加の実装は必要ありません。
3.8. プログラムによるアプリの承認
EMM のコンソールは、managed Google Play iframe を使用して、Google Play のアプリの検出と承認の機能をサポートします。IT 管理者は、EMM のコンソールを開いたまま、アプリの検索、アプリの承認、新しいアプリの権限の承認を行うことができます。
3.8.1. IT 管理者は、managed Google Play iframe を使用して、EMM のコンソール内でアプリを検索して承認できます。
3.9. 店舗の基本的なレイアウト管理
managed Google Play ストア アプリを使用して、仕事用アプリをインストールおよび更新できます。 デフォルトでは、managed Google Play ストアには、ユーザー向けに承認されたアプリが 1 つのリストに表示されます。このレイアウトは基本ストア レイアウトと呼ばれます。
3.9.1. EMM のコンソールでは、IT 管理者がエンドユーザーの基本ストア レイアウトに表示されるアプリを管理できるようにする必要があります。
3.10. 高度なストア レイアウトの構成
3.10.1. IT 管理者は、managed Google Play ストア アプリに表示されるストアのレイアウトをカスタマイズできます。
3.11. アプリ ライセンスの管理
この機能は非推奨です。
3.12. Google ホスト型限定公開アプリの管理
IT 管理者は、Google Play Console ではなく EMM コンソールから Google がホストする限定公開アプリを更新できます。
3.12.1. IT 管理者は、すでに非公開で企業に公開されているアプリの新しいバージョンを次の方法でアップロードできます。
3.13. セルフホスト型限定公開アプリの管理
IT 管理者は、自己ホスト型の限定公開アプリを設定して公開できます。Google がホストする限定公開アプリとは異なり、Google Play では APK はホストされません。EMM は、IT 管理者が APK を自分でホストできるようにし、managed Google Play の承認を受けた場合にのみインストールできるようにすることで、セルフホスト型アプリを保護します。
3.13.1. EMM のコンソールは、次の両方のオプションを提供することで、IT 管理者がアプリの APK をホストできるようにする必要があります。
- EMM のサーバーで APK をホストする。サーバーはオンプレミスまたはクラウドベースにできます。
- EMM のサーバー外で APK をホストする(企業の裁量による)。IT 管理者は、EMM コンソールで APK のホスト場所を指定する必要があります。
3.13.2. EMM のコンソールは、提供された APK を使用して適切な APK 定義ファイルを生成し、IT 管理者に公開プロセスを案内する必要があります。
3.13.3. IT 管理者はセルフホストの限定公開アプリを更新できます。EMM のコンソールは、Google Play Developer Publishing API を使用して、更新された APK 定義ファイルをサイレントで公開できます。
3.13.4. EMM のサーバーは、リクエストの Cookie 内に有効な JWT を含むセルフホスト型 APK のダウンロード リクエストを、非公開アプリの公開鍵で検証されたとおりに処理します。
- このプロセスを容易にするため、EMM のサーバーは、IT 管理者がセルフホスト型アプリのライセンス公開鍵を Google Play Console からダウンロードし、この鍵を EMM コンソールにアップロードするよう案内する必要があります。
3.14. EMM プル通知
この機能は Android Management API には適用されません。代わりに Pub/Sub 通知を設定します。
3.15. API の使用要件
EMM は Android Management API を大規模に実装し、企業が本番環境でアプリを管理する能力に悪影響を及ぼす可能性のあるトラフィック パターンを回避します。
3.15.1. EMM は Android Management API の使用上限を遵守する必要があります。これらのガイドラインを超える動作を修正しない場合、Google の裁量により API の使用が停止されることがあります。
3.15.2. EMM は、企業トラフィックを特定の時間帯に統合するのではなく、さまざまな企業のトラフィックを 1 日を通して分散する必要があります。このトラフィック パターンに適合する動作(登録された各デバイスのバッチ オペレーションのスケジュール設定など)は、Google の判断により API の使用が一時停止される可能性があります。
3.15.3. EMM は、実際の企業データの取得や管理を試みない、一貫性のない、不完全な、または意図的に誤ったリクエストを送信してはなりません。このトラフィック パターンに該当する動作は、Google の判断により API の使用が一時停止される可能性があります。
3.16. 高度な管理対象設定の管理
EMM は、次の高度な管理対象構成管理機能をサポートしています。
3.16.1. EMM のコンソールは、次の方法を使用して、任意の Google Play アプリの最大 4 レベルのネストされた管理対象設定を取得して表示できる必要があります。
- managed Google Play iframe 、または
- カスタム UI。
3.16.2. IT 管理者が設定したときに、EMM のコンソールがアプリのフィードバック チャネルから返されたフィードバックを取得して表示できる必要があります。
- EMM のコンソールでは、IT 管理者が特定のフィードバック項目を、そのフィードバック項目が送信されたデバイスやアプリに関連付けることができる必要があります。
- EMM のコンソールで、IT 管理者が特定タイプのメッセージ(エラー メッセージなど)のアラートやレポートを購読できるようにする必要があります。
3.16.3. EMM のコンソールは、次のいずれかの方法で、デフォルト値が設定されているか、管理者が手動で設定した値のみを送信する必要があります。
- 管理対象設定 iframe
- カスタム UI。
3.17. ウェブアプリの管理
IT 管理者は EMM コンソールでウェブアプリを作成して配布できます。
3.17.1. EMM コンソールを使用すると、IT 管理者は次の方法でウェブアプリのショートカットを配布できます。
- managed Google Play iframe、
- または Android Management API を使用します。
3.18. managed Google Play アカウントのライフサイクル管理
EMM は、IT 管理者に代わって managed Google Play アカウントを作成、更新、削除でき、アカウントの有効期限切れから自動的に復元できます。
この機能はデフォルトでサポートされています。追加の EMM 実装は必要ありません。
3.19. アプリ トラックの管理
3.19.1. IT 管理者は、特定のアプリに対してデベロッパーが設定したトラック ID のリストを取得できます。
3.19.2. IT 管理者は、アプリで特定の開発トラックを使用するようにデバイスを設定できます。
3.20. 高度なアプリケーション更新管理
IT 管理者は、アプリを直ちに更新するか、更新を 90 日間延期するかを指定できます。
3.20.1. IT 管理者は、アプリが優先度の高いアプリの更新を使用して、更新の準備が整ったときに更新されるようにすることができます。3.20.2. IT 管理者は、アプリのアプリの更新を 90 日間延期することを許可できます。
3.21. プロビジョニング方法の管理
EMM は、プロビジョニング構成を生成し、エンドユーザーへの配布準備が整った形式(QR コード、ゼロタッチ構成、Google Play ストアの URL など)で IT 管理者に提示できます。
3.22. Enterprise バインディングをアップグレードする
IT 管理者は、エンタープライズ バインディング タイプを Managed Google Domains エンタープライズにアップグレードできます。これにより、登録済みデバイスで Google アカウントのサービスと機能にアクセスできるようになります。
3.22.1. EMM コンソールを使用すると、IT 管理者は 必要な API を使用して、既存の managed Google Play アカウント エンタープライズを Managed Google Domains エンタープライズにアップグレードできます。
3.22.2. EMM は Pub/Sub を使用して、IT 管理者が開始したアップグレード イベント(EMM コンソール外で発生したイベントも含む)に関する通知を受け取り、これらの変更を反映するように UI を更新する必要があります。
3.23. 管理対象の Google アカウントのプロビジョニング
EMM は、管理対象の Google アカウントと呼ばれる企業向けユーザー アカウントを使用してデバイスをプロビジョニングできます。これらのアカウントは、管理対象ユーザーを識別し、アプリの配布ルールを許可し、Google サービスへのアクセスを許可します。IT 管理者は、登録中または登録後に管理対象の Google アカウントの認証を必須にするポリシーを設定することもできます。
3.23.1. EMM は、定義された実装ガイドラインに従って管理対象 Google アカウントをプロビジョニングできます。
この場合:
- 管理対象の Google アカウントがデバイスに追加された。
- 管理対象の Google アカウントは、EMM のコンソールで実際のユーザーと 1 対 1 でマッピングされている必要があります。
3.23.2. IT 管理者はこのポリシーを使用して、登録用の管理対象 Google アカウントにログインするオプションをユーザーに提供できます。
3.23.3. IT 管理者はこのポリシーを使用して、登録を完了するために管理対象の Google アカウントにログインする必要があるかどうかを制御できます。
3.23.4. IT 管理者は、必要に応じて、特定のデバイスのアップグレード フローを特定のアカウント ID(メールアドレス)に制限できます。
3.24. managed Google Play アカウントのアップグレード
IT 管理者は、ユーザー アカウントをアップグレードして管理対象の Google アカウントにすることで、登録済みデバイスで Google アカウントのサービスや機能にアクセスできるようにします。
3.24.1. IT 管理者は、デバイス上の既存の managed Google Play アカウントを管理対象 Google アカウントにアップグレードできます。
3.24.2. IT 管理者は、必要に応じて、特定のデバイスのアップグレード フローを特定のアカウント ID(メールアドレス)に制限できます。
4. デバイス管理
4.1. ランタイム権限ポリシーの管理
IT 管理者は、仕事用アプリからのランタイム権限リクエストに対するデフォルトの応答をサイレントに設定できます。
4.1.1. IT 管理者は、組織のデフォルトの実行時の権限ポリシーを設定する際に、次のオプションから選択できる必要があります。
- プロンプト(ユーザーが選択可能)
- allow
- 拒否
EMM は、ポリシーを使用してこれらの設定を適用する必要があります。
4.2. ランタイム権限の付与状態の管理
デフォルトの実行時権限ポリシーを設定した後(4.1. を参照)、IT 管理者は、API 23 以降で構築された仕事用アプリの特定の権限に対する応答をサイレントで設定できます。
4.2.1. IT 管理者は、API 23 以降で構築された仕事用アプリがリクエストする権限の付与状態(デフォルト、付与、拒否)を設定できなければなりません。EMM は、ポリシーを使用してこれらの設定を適用する必要があります。
4.3. Wi-Fi 構成管理
IT 管理者は、管理対象デバイスにエンタープライズ Wi-Fi 構成をサイレントでプロビジョニングできます。対象となるのは次のとおりです。
4.3.1. ポリシーを使用して SSID を取得します。
4.3.2. ポリシーを使用したパスワード。
4.4. Wi-Fi セキュリティ管理
IT 管理者は、次の高度なセキュリティ機能を備えたデバイスにエンタープライズ Wi-Fi 構成をプロビジョニングできます。
4.4.1. ID
4.4.2. クライアント認証用の証明書
4.4.3. CA 証明書
4.5. 高度な Wi-Fi 管理
IT 管理者は、管理対象デバイスの Wi-Fi 構成をロックダウンして、ユーザーが構成を作成したり、会社の構成を変更したりできないようにすることができます。
4.5.1. IT 管理者は、次のいずれかの構成でポリシーを使用して、企業の Wi-Fi 構成をロックダウンできます。
- ユーザーは、EMM によってプロビジョニングされた Wi-Fi 構成(
wifiConfigsLockdownEnabledを参照)を変更することはできませんが、ユーザーが構成可能な独自のネットワーク(個人用ネットワークなど)を追加して変更することはできます。 - ユーザーはデバイスで Wi-Fi ネットワークを追加または変更できません(
wifiConfigDisabledに進みます)。Wi-Fi 接続は EMM によってプロビジョニングされたネットワークのみに制限されます。
4.6. アカウント管理
IT 管理者は、SaaS ストレージや生産性向上アプリ、メールなどのサービスで、承認された企業アカウントのみが企業データをやり取りできるようにすることができます。この機能がないと、ユーザーは一般ユーザー向けアカウントにも対応している企業向けアプリに個人アカウントを追加し、企業データを個人アカウントと共有できるようになります。
4.6.1. IT 管理者は、ユーザーがアカウントを追加または変更できないようにすることができます(modifyAccountsDisabled を参照)。
- デバイスにこのポリシーを適用する場合、EMM はプロビジョニングが完了する前にこの制限を設定する必要があります。これにより、ユーザーがポリシーの施行前にアカウントを追加してこのポリシーを回避することを防ぐことができます。
4.7. Workspace アカウントの管理
この機能は非推奨です。交換の要件については、3.23. を参照してください。
4.8. 証明書の管理
IT 管理者が ID 証明書と認証局をデバイスにデプロイして、企業リソースを使用できるようにします。
4.8.1. IT 管理者は、PKI によって生成されたユーザー ID 証明書をインストールできます。EMM のコンソールは、少なくとも 1 つの PKI と統合し、そのインフラストラクチャから生成された証明書を配布する必要があります。
4.8.2. IT 管理者は、マネージド キーストアに認証局をインストールできます(caCerts を参照)。ただし、このサブ機能はサポートされていません。
4.9. 高度な証明書管理
IT 管理者は、特定の管理対象アプリが使用する証明書をサイレントで選択できます。また、IT 管理者は、アクティブなデバイスから CA と ID 証明書を削除したり、管理対象キーストアに保存されている認証情報をユーザーが変更できないようにしたりすることもできます。
4.9.1. デバイスに配布されるアプリについて、IT 管理者は、実行時にアプリにアクセス権限が自動的に付与される証明書を指定できます。(このサブ機能はサポートされていません)
- 証明書の選択は、すべてのユーザーに適用される単一の構成を許可するのに十分な汎用性が必要です。各ユーザーは、ユーザー固有の ID 証明書を持つ可能性があります。
4.9.2. IT 管理者は、管理対象のキーストアから証明書をサイレントに削除できます。
4.9.3. IT 管理者は、CA 証明書をサイレント アンインストールできます。(このサブ機能はサポートされていません)
4.9.4. IT 管理者は、管理対象キーストアでユーザーが認証情報を構成できないようにすることができます(credentialsConfigDisabled を参照)。
4.9.5. IT 管理者は、ChoosePrivateKeyRule を使用して仕事用アプリの証明書を事前に付与できます。
4.10. 委任された証明書管理
IT 管理者は、サードパーティの証明書管理アプリをデバイスに配布して、管理対象キーストアに証明書をインストールする特権アクセスをアプリに付与できます。
4.10.1. IT 管理者は、委任された証明書管理アプリとして設定する証明書管理パッケージ(delegatedCertInstallerPackage に移動)を指定できます。
- EMM は、既知の証明書管理パッケージを提案しても構いませんが、IT 管理者がインストール可能なアプリのリストから該当するユーザーを選択できるようにする必要があります。
4.11. 高度な VPN 管理
IT 管理者が常時接続 VPN を指定し、指定した管理対象アプリのデータが常に VPN の設定を通過するようにします。
4.11.1. IT 管理者は、常時接続 VPN として設定する任意の VPN パッケージを指定できます。
- EMM のコンソールでは、常時接続 VPN をサポートする既知の VPN パッケージを任意で提案できますが、常時接続の設定で使用できる VPN を任意のリストに制限することはできません。
4.11.2. IT 管理者は、管理対象設定を使用してアプリの VPN 設定を指定できます。
4.12. IME の管理
IT 管理者は、デバイスで設定できるインプット メソッド(IME)を管理できます。IME は仕事用プロファイルと個人用プロファイルの両方で共有されるため、IME の使用をブロックすると、ユーザーは個人用として IME を許可することもできなくなります。ただし、IT 管理者は仕事用プロファイルでのシステム IME の使用をブロックすることはできません(詳しくは、高度な IME 管理をご覧ください)。
4.12.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods に移動)を設定できます。このリストには任意の IME パッケージを含めることができます(空のリストにすると、システム以外の IME がブロックされます)。
- EMM のコンソールでは、許可リストに含める既知の IME または推奨される IME をオプションで提案できますが、IT 管理者がインストール可能なアプリのリストから該当するユーザーを選択できるようにする必要があります。
4.12.2. EMM は、仕事用プロファイルが設定されたデバイスではシステム IME が管理対象から除外されることを IT 管理者に通知する必要があります。
4.13. 高度な IME 管理
IT 管理者は、ユーザーがデバイスで設定できる入力方法(IME)を管理できます。高度な IME 管理では、IT 管理者がデバイスのメーカーや携帯通信会社が提供するシステム IME の使用も管理できるようになり、基本機能が拡張されます。
4.13.1. IT 管理者は、任意の長さの IME 許可リスト(permitted_input_methods を参照)を設定できます。このリストには任意の IME パッケージを含めることができます(空のリストは除く。空のリストはシステム IME を含むすべての IME をブロックします)。
- EMM のコンソールでは、許可リストに含める既知の IME または推奨される IME をオプションで提案できますが、IT 管理者がインストール可能なアプリのリストから該当するユーザーを選択できるようにする必要があります。
4.13.2. EMM は、IT 管理者が空の許可リストを設定できないようにする必要があります。この設定を行うと、システム IME を含むすべての IME がデバイスで設定できなくなります。
4.13.3. EMM は、IME 許可リストにシステム IME が含まれていない場合、許可リストがデバイスに適用される前にサードパーティ製 IME がサイレント インストールされるようにする必要があります。
4.14. ユーザー補助サービスの管理
IT 管理者は、ユーザーがデバイスで許可できるユーザー補助サービスを管理できます。ユーザー補助サービスは、障がいのあるユーザーや一時的にデバイスを十分に操作できないユーザーにとって強力なツールです。ただし、企業ポリシーに準拠していない方法で企業データにアクセスする可能性があります。この機能を使用すると、IT 管理者はシステム以外のユーザー補助サービスをオフにできます。
4.14.1. IT 管理者は、任意の長さのユーザー補助サービス許可リスト(permittedAccessibilityServices に移動)を設定できます。このリストには、任意のユーザー補助サービス パッケージを含めることができます(空のリストを設定すると、非システムのユーザー補助サービスがブロックされます)。仕事用プロファイルに適用すると、個人用プロファイルと仕事用プロファイルの両方に影響します。
- コンソールは、許可リストに含める既知のアクセシビリティ サービスや推奨されるアクセシビリティ サービスを任意で提案できますが、IT 管理者がインストール可能なアプリのリストから該当するユーザー向けに選択できるようにする必要があります。
4.15. 現在地の共有の管理
IT 管理者は、ユーザーが仕事用プロファイルのアプリと位置情報を共有できないようにすることができます。それ以外の場合、仕事用プロファイルの現在地の設定は [設定] で構成できます。
4.15.1. IT 管理者は、仕事用プロファイル内で位置情報サービスを無効にできます(shareLocationDisabled に移動)。
4.16. 現在地の共有の詳細管理
IT 管理者は、管理対象デバイスに特定の現在地の共有設定を適用できます。 この機能により、企業アプリで常に精度の高い位置情報を取得できます。また、この機能では、位置情報の設定をバッテリー セーバー モードに制限することで、バッテリーの無駄な消費を防ぐこともできます。
4.16.1. IT 管理者は、デバイスの位置情報サービスを設定して、次の各モードにすることができます。
- 高精度] をタップします。
- センサーのみ(GPS など)。ネットワークから提供される位置情報は含まれません。
- バッテリー節約モード。更新頻度が制限されます。
- オフ。
4.17. 出荷時設定へのリセット保護機能の管理
IT 管理者は、承認されていないユーザーがデバイスを出荷時の設定にリセットできないようにすることで、会社所有デバイスを盗難から保護できます。デバイスが IT 部門に返却される際に、出荷時設定へのリセット保護機能が運用上の複雑さを生み出す場合は、IT 管理者は出荷時設定へのリセット保護機能を完全にオフにできます。
4.17.1. IT 管理者は、ユーザーが設定からデバイスを初期状態にリセットできないようにすることができます(factoryResetDisabled をご覧ください)。
4.17.2. IT 管理者は、初期状態にリセットした後で、デバイスのプロビジョニングを許可する企業ロック解除アカウントを指定できます(frpAdminEmails に移動)。
- このアカウントは個人に紐付けることも、企業全体でデバイスのロック解除に使用することもできます。
4.17.3. IT 管理者は、指定したデバイスに対して出荷時設定へのリセット保護機能を無効にできます(factoryResetDisabled に移動)。
4.17.4. IT 管理者は、デバイスのリモートワイプを開始できます。このワイプでは、必要に応じてリセット保護データもワイプされるため、リセットされたデバイスのリセット保護が削除されます。
4.18. 高度なアプリ制御
IT 管理者は、設定を通じてユーザーが管理対象アプリのアンインストールや変更を行えないようにすることができます。たとえば、アプリの強制終了やアプリのデータ キャッシュのクリアを防止します。
4.18.1. IT 管理者は、任意の管理対象アプリ、またはすべての管理対象アプリのアンインストールをブロックできます(uninstallAppsDisabled を参照)。
4.18.2. IT 管理者は、ユーザーが設定からアプリケーション データを変更できないようにすることができます。(Android Management API はこのサブ機能をサポートしていません)
4.19. スクリーン キャプチャの管理
IT 管理者は、管理対象アプリの使用中にユーザーがスクリーンショットを撮れないようにブロックできます。この設定には、画面共有アプリや、システムのスクリーンショット機能を使用する同様のアプリ(Google アシスタントなど)のブロックが含まれます。
4.19.1. IT 管理者は、ユーザーがスクリーンショットを撮影できないようにすることができます(screenCaptureDisabled を参照)。
4.20. カメラを無効にする
IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます。
4.20.1. IT 管理者は、管理対象アプリによるデバイスのカメラの使用を無効にできます(cameraDisabled を参照)。
4.21. ネットワーク統計情報の収集
Android Management API はこの機能をサポートしていません。
4.22. 高度なネットワーク統計情報の収集
Android Management API はこの機能をサポートしていません。
4.23. デバイスを再起動
IT 管理者は、マネージド デバイスをリモートで再起動できます。
4.23.1. IT 管理者は、管理対象デバイスをリモートで再起動できます。
4.24. システム無線管理
IT 管理者は、ポリシーを使用して、システム ネットワーク ラジオと関連する使用ポリシーをきめ細かく管理できます。
4.24.1. IT 管理者は、サービス プロバイダから送信されるセルブロードキャストを無効にできます(cellBroadcastsConfigDisabled を参照)。
4.24.2. IT 管理者は、[設定](mobileNetworksConfigDisabled に移動)でユーザーがモバイル ネットワーク設定を変更できないようにすることができます。
4.24.3. IT 管理者は、ユーザーが [設定] でネットワーク設定をすべてリセットできないようにすることができます。(networkResetDisabled に移動)。
4.24.4. IT 管理者は、ローミング中にデバイスでモバイル データを許可するかどうかを設定できます(dataRoamingDisabled を参照)。
4.24.5. IT 管理者は、緊急通報を除く発信通話がデバイスで可能かどうかを設定できます(outGoingCallsDisabled を参照)。
4.24.6. IT 管理者は、デバイスでテキスト メッセージを送信および受信できるかどうかを設定できます(smsDisabled を参照)。
4.24.7. IT 管理者は、テザリングによってユーザーがデバイスをポータブル ホットスポットとして使用できないようにすることができます(tetheringConfigDisabled を参照)。
4.24.8. IT 管理者は、Wi-Fi のタイムアウトをデフォルト、電源接続時、またはなしに設定できます。(Android Management API はこのサブ機能をサポートしていません)
4.24.9. IT 管理者は、ユーザーが既存の Bluetooth 接続を設定または変更できないようにすることができます(bluetoothConfigDisabled を参照)。
4.25. システム音声の管理
IT 管理者は、デバイスのミュート、ユーザーによる音量設定の変更の禁止、ユーザーによるデバイスのマイクのミュート解除の禁止など、デバイスの音声機能をサイレントに制御できます。
4.25.1. IT 管理者は、管理対象デバイスをサイレント モードにできます。(Android Management API はこのサブ機能をサポートしていません)
4.25.2. IT 管理者は、ユーザーがデバイスの音量設定を変更できないようにすることができます(adjustVolumeDisabled を参照)。この設定を行うと、デバイスもミュートされます。
4.25.3. IT 管理者は、ユーザーがデバイスのマイクのミュートを解除できないようにすることができます(unmuteMicrophoneDisabled を参照)。
4.26. システム クロックの管理
IT 管理者は、デバイスの時計とタイムゾーンの設定を管理し、ユーザーがデバイスの自動設定を変更できないようにすることができます。
4.26.1. IT 管理者は、システム時刻とタイムゾーンの自動設定を強制適用し、ユーザーがデバイスの日付、時刻、タイムゾーンを設定できないようにすることができます。
4.27. 専用デバイスの高度な機能
専用デバイスの場合、IT 管理者は ポリシーを使用して次の機能を管理し、さまざまなキオスクのユースケースをサポートできます。
4.27.1. IT 管理者はデバイスのキーガードをオフにできます(keyguardDisabled を参照)。
4.27.2. IT 管理者は、デバイスのステータス バーをオフにして、通知とクイック設定をブロックできます(statusBarDisabled を参照)。
4.27.3. IT 管理者は、デバイスを電源に接続している間、デバイスの画面を強制的にオンのままにすることができます(stayOnPluggedModes を参照)。
4.27.4. IT 管理者は、次のシステム UI が表示されないようにすることができます(createWindowsDisabled に移動)。
- トースト
- アプリケーション オーバーレイ。
4.27.5. IT 管理者は、アプリのシステム推奨で、初回起動時のユーザー チュートリアルやその他の入門ヒントをスキップできるようにすることができます(skip_first_use_hints を参照)。
4.28. 委任されたスコープの管理
IT 管理者は、個々のパッケージに追加の権限を委任できます。
4.28.1. IT 管理者は、次のスコープを管理できます。
- 証明書のインストールと管理
- 意図的に空白
- ネットワーク ログ
- セキュリティ ロギング(個人所有デバイスの仕事用プロファイルではサポートされていません)
4.29. 登録固有の ID サポート
Android 12 以降では、仕事用プロファイルはハードウェア固有の識別子にアクセスできなくなります。IT 管理者は、出荷時の設定にリセットしても維持される登録固有の ID を通じて、仕事用プロファイルが設定されたデバイスのライフサイクルを追跡できます。
4.29.1. IT 管理者は登録固有の ID を取得できます
4.29.2. この登録固有の ID は、出荷時の設定にリセットしても保持される必要があります
4.30. 認証情報マネージャーのポリシー
IT 管理者は、認証情報プロバイダ ポリシーのデフォルトまたは認証情報プロバイダ ポリシーを使用して、許可またはブロックする認証情報マネージャー アプリケーションを管理できます。
4.30.1 IT 管理者は、ポリシーを使用してデバイス(または仕事用プロファイル内)ですべての認証情報マネージャーをブロックできます。
4.30.2 IT 管理者は、プリロードされた(システムアプリ)認証情報マネージャーのみを許可するように指定できます。
4.30.3 IT 管理者は、認証情報マネージャー機能を有効にするパッケージ名のリストを指定できます。
4.31. eSIM の基本管理
IT 管理者が eSIM プロファイルでデバイスをプロビジョニングし、デバイスのライフサイクルを管理できるようにします。
4.31.1 IT 管理者は、ポリシーを使用して eSIM プロファイルをデバイスにサイレントでプロビジョニングできます。
4.31.2 IT 管理者は、ポリシーを使用してデバイスから管理対象 eSIM を削除できます。
4.31.3 IT 管理者は、[設定] でユーザーがモバイル ネットワーク設定を変更できないようにすることができます(mobileNetworksConfigDisabled を参照)。
4.31.4 IT 管理者は、デバイスまたは仕事用プロファイルにワイプコマンドをリモートで送信できます。このコマンドは、必要に応じて管理対象 eSIM をデバイスから削除します。デフォルトでは、管理対象の eSIM は個人所有デバイスの仕事用プロファイルから削除されますが、会社所有デバイスでは保持されます。
4.31.5 IT 管理者は、EMM コンソール UI(または同等の方法)を使用して、デバイスの EID(Embedded Identity Document)識別子を取得できます。
5. デバイスのユーザビリティ
5.1. 管理対象プロビジョニングのカスタマイズ
IT 管理者は、デフォルトのセットアップ フローの UX を変更して、企業固有の機能を含めることができます。必要に応じて、IT 管理者はプロビジョニング中に EMM 提供のブランディングを表示できます。
5.1.1. IT 管理者は、企業固有の利用規約やその他の免責事項を指定して、プロビジョニング プロセスをカスタマイズできます(termsAndConditions を参照)。
5.1.2. IT 管理者は、構成できない EMM 固有の利用規約やその他の免責事項をデプロイできます(termsAndConditions を参照)。
- EMM は、構成不可能な EMM 固有のカスタマイズをデプロイのデフォルトとして設定できますが、IT 管理者が独自のカスタマイズを設定できるようにする必要があります。
5.1.3. Android 10 以降では、エンタープライズ リソースの primaryColor は非推奨になりました。
5.2. エンタープライズのカスタマイズ
Android Management API はこの機能をサポートしていません。
5.3. 高度なエンタープライズ カスタマイズ
Android Management API はこの機能をサポートしていません。
5.4. ロック画面のメッセージ
IT 管理者は、デバイスのロック画面に常に表示されるカスタム メッセージを設定できます。このメッセージを表示するためにデバイスのロックを解除する必要はありません。
5.4.1. IT 管理者は、カスタム ロック画面メッセージを設定できます(deviceOwnerLockScreenInfo を参照)。
5.5. ポリシーの透明性管理
IT 管理者は、ユーザーがデバイスで管理対象設定を変更しようとしたときに表示されるヘルプテキストをカスタマイズしたり、EMM から提供された一般的なサポート メッセージをデプロイしたりできます。短いサポート メッセージと長いサポート メッセージの両方をカスタマイズできます。これらのメッセージは、IT 管理者がアンインストールをすでにブロックしている管理対象アプリをアンインストールしようとした場合などに表示されます。
5.5.1. IT 管理者は、短いユーザー向けサポート メッセージと長いユーザー向けサポート メッセージをカスタマイズできます。
5.5.2. IT 管理者は、構成不可の EMM 固有の短いサポート メッセージと長いサポート メッセージをデプロイできます(policies の shortSupportMessage と longSupportMessage を参照)。
- EMM は、構成不可能な EMM 固有のサポート メッセージをデプロイのデフォルトとして設定できますが、IT 管理者が独自のメッセージを設定できるようにする必要があります。
5.6. クロス プロファイル連絡先管理
5.6.1. IT 管理者は、個人用プロファイルの連絡先検索と着信で仕事用の連絡先が表示されないようにすることができます。
5.6.2. IT 管理者は、仕事用連絡先の Bluetooth 連絡先共有を無効にできます。たとえば、車内でのハンズフリー通話やヘッドセットなどです。
5.7. クロス プロファイル データ管理
IT 管理者は、仕事用プロファイルと個人用プロファイル間で共有できるデータの種類を管理できます。これにより、管理者は要件に応じてユーザビリティとデータ セキュリティのバランスを取ることができます。
5.7.1. IT 管理者は、個人用アプリが仕事用プロファイルからのインテント(共有インテントやウェブリンクなど)を解決できるように、プロファイル間のデータ共有ポリシーを構成できます。
5.7.2. IT 管理者は、仕事用プロファイルのアプリが個人用プロファイルのホーム画面にウィジェットを作成して表示することを許可できます。この機能はデフォルトで無効になっていますが、workProfileWidgets フィールドと workProfileWidgetsDefault フィールドを使用して許可するように設定できます。
5.7.3. IT 管理者は、仕事用プロファイルと個人用プロファイルの間でコピー&ペーストを行う機能を制御できます。
5.8. システム アップデート ポリシー
IT 管理者は、無線(OTA)システム アップデートを設定してデバイスに適用できます。
5.8.1. EMM のコンソールでは、IT 管理者は次の OTA 構成を設定できます。
- 自動: デバイスは OTA アップデートが利用可能になるとインストールします。
- 延期: IT 管理者は、OTA アップデートを最大 30 日間延期できる必要があります。このポリシーは、セキュリティ アップデート(毎月のセキュリティ パッチなど)には影響しません。
- ウィンドウ: IT 管理者は、毎日のメンテナンスの時間枠内で OTA アップデートをスケジュール設定できる必要があります。
5.8.2. OTA 構成は、ポリシーを使用してデバイスに適用されます。
5.9. ロックタスク モードの管理
IT 管理者は、アプリまたはアプリのセットを画面にロックし、ユーザーがアプリを終了できないようにすることができます。
5.9.1. EMM のコンソールを使用すると、IT 管理者は任意のアプリのセットをサイレントでインストールし、デバイスにロックできます。ポリシーを使用すると、専用デバイスを設定できます。
5.10. 優先アクティビティの永続的な管理
IT 管理者は、特定のインテント フィルタに一致するインテントのデフォルト インテント ハンドラとしてアプリを設定できます。たとえば、IT 管理者はこの機能を使用して、ウェブリンクを自動的に開くブラウザアプリを選択できます。この機能では、ホームボタンをタップしたときに使用するランチャー アプリを管理できます。
5.10.1. IT 管理者は、任意のインテント フィルタに対して任意のパッケージをデフォルトのインテント ハンドラとして設定できます。
- EMM のコンソールでは、構成用の既知のインテントや推奨インテントを任意で提案できますが、インテントを任意のリストに制限することはできません。
- EMM のコンソールでは、IT 管理者が該当するユーザーにインストール可能なアプリのリストから選択できるようにする必要があります。
5.11. Keyguard 機能の管理
IT 管理者は、デバイスのキーガード(ロック画面)と仕事用チャレンジのキーガード(ロック画面)を解除する前にユーザーが利用できる機能を管理できます。
5.11.1.ポリシーは、以下のデバイス キーガード機能をオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
- 編集されていない通知
5.11.2. 仕事用プロファイルの次のキーガード機能は、ポリシーを使用してオフにできます。
- 信頼エージェント
- 指紋認証によるロック解除
5.12. 高度なキーガード機能の管理
- セキュア カメラ
- すべての通知
- 秘匿化されていない
- 信頼エージェント
- 指紋認証
- すべてのキーガード機能
5.13. リモートデバッグ
Android Management API はこの機能をサポートしていません。
5.14. MAC アドレスの取得
EMM は、デバイスの MAC アドレスをサイレントで取得し、企業インフラストラクチャの他の部分でデバイスを識別するために使用できます(たとえば、ネットワーク アクセス制御用のデバイスを識別する場合など)。
5.14.1. EMM は、デバイスの MAC アドレスをサイレントに取得し、EMM のコンソールでデバイスに関連付けることができます。
5.15. ロックタスク モードの詳細管理
専用デバイスを使用すると、IT 管理者は EMM のコンソールを使用して次のタスクを実行できます。
5.15.1. 単一のアプリをインストールしてデバイスにロックすることを自動的に許可します。
5.15.2. 次のシステム UI 機能をオンまたはオフにします。
- ホームボタン
- 概要
- グローバル アクション
- 通知
- システム情報 / ステータスバー
- キーガード(ロック画面)。このサブ機能は、5.15.1 が実装されるとデフォルトでオンになります。
5.15.3. [システム エラー ダイアログ] をオフにします。
5.16. 高度なシステム アップデート ポリシー
IT 管理者は、デバイスのシステム アップデートをブロックする凍結期間を指定できます。
5.16.1. EMM のコンソールでは、IT 管理者が指定した凍結期間の無線(OTA)システム アップデートをブロックできるようにする必要があります。
5.17. 仕事用プロファイルのポリシーの透明性の管理
IT 管理者は、デバイスから仕事用プロファイルを削除する際にユーザーに表示されるメッセージをカスタマイズできます。
5.17.1. IT 管理者は、仕事用プロファイルがワイプされたときに表示するカスタム テキストを指定できます(wipeReasonMessage に移動)。
5.18. 接続されているアプリのサポート
IT 管理者は、ConnectedWorkAndPersonalApp を設定することで、仕事用プロファイルの境界を越えて通信できるパッケージのリストを設定できます。
5.19. 手動によるシステム アップデート
Android Management API はこの機能をサポートしていません。
6. デバイス管理のサポート終了
6.1. デバイス管理のサポート終了
EMM は、2022 年末までに、2023 年第 1 四半期末までに GMS デバイスでの デバイス管理者のカスタマー サポートを終了する計画を投稿する必要があります。
7. API の使用
7.1. 新しいバインディングの標準ポリシー コントローラ
デフォルトでは、新しいバインディングでは Android Device Policy を使用してデバイスを管理する必要があります。EMM では、[詳細設定] などの見出しの下にある設定エリアで、カスタム DPC を使用してデバイスを管理するオプションが提供される場合があります。新規のお客様は、オンボーディングまたは設定のワークフローで、テクノロジー スタックの任意の選択肢にさらされることがあってはなりません。
7.2. 新しいデバイスの標準ポリシー コントローラ
デフォルトでは、既存のバインディングと新しいバインディングの両方で、すべての新しいデバイス登録に Android Device Policy を使用してデバイスを管理する必要があります。EMM は、[詳細設定] などの見出しの下にある設定エリアで、カスタム DPC を使用してデバイスを管理するオプションを提供することがあります。