Android Enterprise 専用、フル マネージド、または仕事用プロファイルを備えた会社所有のデバイスを登録する
重要
デバイス ユーザーは、登録が完了するまでデバイスを再起動しないことが重要です。 デバイス ユーザーが完全に管理されたデバイスまたは会社所有のデバイスを職場プロファイルで設定すると、登録の途中でデバイスを再起動すると、デバイスは Microsoft Intune に登録できない可能性があります。 再起動されたデバイスは登録されているように見えますが、Intune ポリシーでは保護されません。
Intune で Android Enterprise 専用デバイス、フル マネージド デバイス、または会社所有の仕事用プロファイル デバイスを設定すると、デバイスを登録できます。 専用デバイス、フル マネージド デバイス、および仕事用プロファイルを備えた会社所有のデバイスの Intune 登録は、工場出荷時の設定に戻すことから始まります。 Android Enterprise デバイスの登録方法は、オペレーティング システムによって異なります。
| 登録方法 | 専用およびフル マネージド デバイスの最小 Android OS バージョン |
|---|---|
| 近距離無線通信 | 8.0 |
| トークン エントリ | 8.0 |
| QR コード | 8.0 |
| ゼロ タッチ | 8.0 参加製造元で。 |
| Knox Mobile Enrollment | 8.0 Samsung Knox 2.8 以上のデバイスでのみ。 |
ヒント
会社所有の仕事用プロファイル (COPE) デバイスの管理は、Android バージョン8.0 以降で使用できます。
注:
[デバイスは準拠としてマーク済みである必要があります] 許可コントロールまたはブロック ポリシーを使用し、すべてのクラウド アプリ、Android およびブラウザーに適用される、Azure AD 条件付きアクセス ポリシーを定義している場合、このポリシーから Microsoft Intune クラウド アプリを除外する必要があります。 これは、Android のセットアップ プロセスで、登録時に Chrome タブを使用してユーザーを認証するためです。 詳細については、「Azure AD 条件付きアクセスのドキュメント」を参照してください。
近距離無線通信 (NFC) を利用して登録する
Android 8.0 以降を実行している NFC でサポートされるデバイスをプロビジョニングするために、特別に書式設定された NFC タグを作成します。 独自のアプリ、または任意の NFC タグ作成ツールを使用できます。 詳細については、「C-based Android Enterprise device enrollment with Microsoft Intune」 (C ベースの Android エンタープライズ デバイスを Microsoft Intune で登録する) と「Google's Android Management API documentation」 (Google の Android 管理 API ドキュメント) を参照してください。
企業所有の仕事用プロファイル (COPE) デバイスの場合、NFC 登録方法は Android バージョン 8.0 以降を実行しているデバイスでのみサポートされます。 Android 11.0 ではサポートされていません。 詳細については、Google 開発者向けドキュメントを参照してください。
トークンを利用して登録する
入力またはスキャンする登録トークンをデバイス ユーザーに提供することで、新しいデバイスまたは出荷時の設定にリセットされたデバイスを登録します。 登録の準備ができたら、対象ユーザーとトークンを直接共有するか、organizationのサポート サイトに投稿して簡単に取得できます。 トークンは、Intuneライセンスを持つすべてのユーザーに対して機能し、有効期限はありません。 この登録方法は、デバイス登録マネージャー アカウントでは使用できません。
- Android 8.0 以降のデバイスでは、トークン値 (例:
12345) を使用してデバイスを登録できます。 - afw#setup 登録方法を使用する場合は、QR コードをスキャンして、Android 8.0 以降を実行しているデバイスを登録できます。
- 企業所有の仕事用プロファイル (COPE) デバイスの場合、 afw#setup 登録方法は、Android バージョン 8.0 以降を実行しているデバイスでサポートされています。 Android 11.0 ではサポートされていません。 詳細については、Google 開発者向けドキュメントを参照してください。
- デバイスの電源をオンにします。
- [ようこそ] 画面で、言語を選択します。
- ワイヤレス ネットワークに接続し、[ 次へ] を選択します。
- Google の利用規約に同意し、[次へ] を選択します。
- Google サインイン画面で、Gmail アカウントの代わりに「afw#setup」を入力し、[次へ] を選択します。
- Android デバイス ポリシー アプリの [インストール] を選択します。
- 引き続きポリシーをインストールします。 一部のデバイスでは、追加の規約同意が要求されることがあります。
- [このデバイスを登録] 画面で、QR コードのスキャンをデバイスに許可します。 または、トークンを手動で入力します。
- 画面の指示に従って登録を完了します。
QR コードを利用して登録する
Intune管理者は、登録プロファイルから直接 QR コードをスキャンしてデバイスを登録できます。
- デバイスをワイプした後、繰り返し表示される初期画面をタップして、QR リーダーを起動します。
- メッセージが表示されたら、デバイスに QR リーダーをインストールします。 Android 9.0 以降を実行しているデバイスは、QR リーダーでプレインストールされます。
- 登録プロファイルの QR コードをスキャンし、画面の指示に従って登録を完了します。
ヒント
ブラウザーのズーム設定によって、デバイスが QR コードをスキャンできなくなる可能性があります。 デバイスでコードのスキャンが困難な場合は、拡大してもう一度やり直してください。
Google ゼロ タッチを使用して登録する
この方法を使用するには、デバイスでゼロタッチ登録をサポートし、Android ゼロタッチ登録サービスの一部であるサプライヤーと提携する必要があります。 前提条件、デバイスを購入する場所、会社のメールに Google アカウントを関連付ける方法などの詳細については、「 IT 管理者のゼロタッチ登録 (Android Enterprise ヘルプ ドキュメントを開く)」を参照してください。
このセクションで説明する方法。
- 管理センターでゼロタッチ構成を作成する
- ゼロタッチ登録ポータルでゼロタッチ構成を作成する
管理センターでゼロタッチ構成を作成する
ゼロタッチ iframe を使用すると、Microsoft Intune 管理センターのゼロタッチ登録ポータルとゼロタッチ構成にアクセスできます。
iframe を有効にするには、最初に 更新アプリの同期 アクセス許可を追加し、企業所有のフル マネージド デバイスの登録を有効にする必要があります。 iframe を有効にすると、次のことができます。
- ゼロタッチ アカウントを Intune にリンクする
- サポート情報を追加する
- ゼロタッチ対応デバイスを構成する
- プロビジョニングの追加をカスタマイズする
iframe を有効にするには、このセクションの手順を完了します。 代わりにゼロタッチ登録ポータルで構成を作成するには、「ゼロタッチ登録 ポータルで構成を作成する」に進みます。
手順 1: 必要なアクセス許可を追加する
アプリ同期の 更新 アクセス許可を追加します。
- Microsoft Intune管理センター管理者にサインインします。
- [ テナント管理>ロール] を選択します。
- 一覧からロールを選択します。
- [プロパティ] をクリックします。
- [アクセス許可] に移動し、[編集] を選択します。
- [ Android for Work] を選択します。
- [ アプリ同期の更新] の横にある [ はい] を選択します。
- [ 確認と保存] を 選択して変更を確認します。
- [保存] を選択します。
手順 2: 企業所有デバイスの登録を有効にする
企業所有のフル マネージド デバイスに対して登録が有効になっていることを確認します。
- 管理センターで、[デバイスの登録]> に移動します。
- [ Android 登録] を選択します。
- [ 登録プロファイル] で、[ 企業所有のフル マネージド ユーザー デバイス] を選択します。
- [ ユーザーが企業所有のユーザー デバイスを登録できるようにする] の設定が [ はい] に設定されていることを確認します。
手順 3: ゼロタッチ アカウントを Intune にリンクする
ゼロタッチ アカウントをMicrosoft Intune アカウントにリンクします。
管理センターで、[デバイスの登録]> に移動します。
[ Android 登録] を選択します。
[ 一括登録方法] で、[ゼロタッチ登録] を選択します。
iframe が開きます。 [ 次へ ] を選択してセットアップを開始します。
リセラーに提供した Google アカウントでサインインします。
リンクするゼロタッチ アカウントを選択し、[ リンク] を選択します。
既定の構成が作成されます。 構成に関する基本情報が表示された画面が表示されます。 Intuneは、既存の構成がないゼロタッチ対応デバイスに既定の構成を自動的に適用します。
注意
既定の構成に使用されるトークンは、フル マネージド デバイス用です。 アカウントをリンクすると、Intuneで作成された既定のゼロタッチ構成によって、ゼロタッチ登録ポータルで既定の構成プロファイル セットが優先されます。 会社所有の仕事用プロファイル デバイスまたは専用デバイス用のゼロタッチ構成を作成する場合は、アカウントを Intune にリンクしないでください。 代わりに、 ゼロタッチ ポータルで [デバイスの表示] を選択します。 次の手順については、この記事 の「ゼロタッチ登録ポータルで構成を作成 する」に進みます。
[次へ] を選んで続行します。
セットアップ中にデバイス ユーザーを支援するサポート情報を追加します。
[保存] を選択します。
アカウントがIntuneにリンクされると、既定の構成は、まだ構成されていないゼロタッチ対応デバイスと、リセラーによって追加された将来のデバイスに適用されます。 既存のゼロタッチ構成を表示したり、サポート情報を編集したり、アカウントのリンクを解除したり、管理センターで他のアカウントをリンクしたりできます。
ゼロタッチ登録ポータルで構成を作成する
ゼロタッチ 登録ポータルでゼロタッチ構成を追加します。 ポータルを単独で使用して構成を管理することも、ゼロタッチ iframe と組み合わせて使用することもできます。 ポータルでは、フル マネージドデバイスと専用デバイスの構成と、仕事用プロファイルを持つ企業所有デバイスの構成がサポートされています。
Google アカウントでゼロタッチ登録ポータルにサインインします。
新しい構成を追加するオプションを選択します。
構成パネルに情報を入力します。
EMM DPC アプリとして [Microsoft Intune] を選択します。
次の JSON テキストを DPC extras フィールドにコピーします。 を、登録プロファイルの一部として作成した登録トークンに置き換えます
YourEnrollmentToken。 登録トークンは二重引用符で囲んでください。{ "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver", "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg", "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup", "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "YourEnrollmentToken" } }ユーザーがデバイスをセットアップしているときに画面に表示される、organizationの名前とサポート情報を入力します。
既定の構成を割り当てる方法や、ゼロタッチ ポータルで構成を適用する方法の詳細については、「 IT 管理者向けのゼロタッチ登録 (Android Enterprise ヘルプ ドキュメントを開く)」を参照してください。
Knox Mobile Enrollment を利用して登録する
Samsung の Knox Mobile Enrollment を使用するには、デバイスで Android OS バージョン 8.0 以降と Samsung Knox 2.8 以降が動作している必要があります。 詳細については、「Samsung の Knox Mobile Enrollment を使用して Android デバイスを自動的に登録する」を参照してください。