Android Enterprise 仕事用プロファイル管理の概要

Microsoft Intuneでは、Android Enterprise 管理オプションである仕事用プロファイル管理がサポートされています。これにより、登録済みデバイス上の作業アプリとデータのプラットフォーム レベルの分離が可能になります。 従業員または学生がデバイスをIntuneに登録すると、仕事用プロファイルの作成が有効になります。 仕事用プロファイルは、ユーザーの職場アカウント用にデバイス上に個別のパーティションを作成します。これにより、ユーザーは個人用アプリと仕事用アプリを簡単かつ安全に切り替えることができます。 仕事用プロファイルを離れると、デバイスの個人用側に戻り、個人のアプリとデータはIntuneポリシーの影響を受けません。

個人デバイスを登録するデバイス ユーザーはIntune ポータル サイト アプリを介して登録する必要があります。一方、企業所有のデバイス上のユーザーは、Microsoft Intune アプリを介して登録する必要があります。

この記事では、Microsoft Intuneでサポートされている Android Enterprise 仕事用プロファイル管理オプションの概要について説明します。これには、次のものが含まれます。

• 企業所有デバイスの仕事用プロファイル。
• 個人用デバイスの仕事用プロファイル。

知る必要がある

Android Enterprise はどこにも利用できません。 Microsoft Intune管理センターで登録プロファイルを作成する前に、お使いのリージョンで Android Enterprise を使用できることを確認してください。 Android Enterprise の可用性と要件の詳細については、「 Android Enterprise の要件 (Android Enterprise ヘルプを開く)」を参照してください。

Android Enterprise がサポートされていない場所では、次のような他のIntuneサポートされている Android 管理オプションを選択できます。

• Android オープンソース プラットフォーム (AOSP) 管理
• Android デバイス管理者の管理
• モバイル アプリケーション管理

マネージド Google Play アカウント

Intuneで Android Enterprise デバイスのデバイスとアプリの管理を有効にするには、Microsoft Intune テナントをマネージド Google Play アカウントに接続する必要があります。

作業プロファイルの管理

Microsoft Intuneポリシーと設定は、仕事用プロファイルにのみ適用されます。 Intune管理者は、登録済みデバイスの作業部分を管理できます。

• Intuneに展開するすべてのアプリは、仕事用プロファイルにインストールされます。 管理者は、仕事用プロファイルの対象となるアプリケーションと操作を管理および監視できます。
• 仕事用プロファイルの外部にあるすべての Android アプリとデータは、個人のままであり、デバイス ユーザーの管理下にあります。 ユーザーは、選択したアプリをデバイスの個人用側にインストールできます。

仕事用プロファイルには、ユーザーが自分のデバイス上の仕事用アプリと個人用アプリを区別するのに役立つ一意のアプリ アイコンがあります。

Intuneで使用できる設定は、登録からデバイスの構成、コンプライアンスに至るまで、organizationのニーズに合わせて保護のレベルを調整できます。 該当する設定の詳細については、次を参照してください。

• Intuneでの Android Enterprise のデバイス コンプライアンス設定
• Intuneを使用して機能を許可または制限する Android Enterprise デバイス設定

アプリの発行と配布

Managed Google Play は、Android Enterprise アプリの配布と管理に不可欠な要素です。 個人および企業所有のデバイスで仕事用プロファイルに展開されるすべてのアプリは、マネージド Google Play サービスから提供されます。

Play ストアでアプリを管理および展開するには、Google 管理用の管理者資格情報を使用して Google Play Web サイトにサインインします。 ここから、アプリのデプロイを承認できます。 承認されたアプリはMicrosoft Intuneと同期され、管理センターに表示され、展開および管理できます。 organizationによって開発された基幹業務 (LOB) アプリは、Google Play マネージド 公開コンソールを使用してマネージド Google Play に発行する必要があります。

アプリは、ユーザーの操作なしでインストールでき、不明なソースからのアプリのインストールをユーザーに許可する必要はありません。 オプションまたは利用可能なアプリを参照してインストールするには、ユーザーはデバイス上のマネージド Google Play ストアを参照できます。 詳細については、Intune を使用してアプリを Android Enterprise 仕事用プロファイル デバイスに割り当てる方法に関する記事を参照してください。

アプリの構成

Android Enterprise には、アプリの構成値を、そのアプリをサポートするアプリに展開するインフラストラクチャがあります。 仕事用アプリの値を指定することで、ユーザーが初めてアプリを起動したときに適切に構成されていることを確認できます。 アプリ構成のサポートでは、アプリ開発者が管理された構成値をサポートするために特に Android アプリを作成する必要があります。 そうすると、Intune を使用して、構成設定を指定および適用できるようになります。 詳細については、「管理対象の Android デバイス用アプリ構成ポリシーを追加する」を参照してください。

電子メールの構成

Android Enterprise には、iOS または iPadOS で提供されているような既定の電子メール アプリまたはネイティブの電子メール プロファイル オブジェクトはありません。 代わりに、アプリ構成設定を使用して、サポートされている電子メール アプリの電子メール設定Intune構成できます。

Gmail と Nine Work は、Android Enterprise アプリの構成をサポートする Play ストアの 2 つのExchange ActiveSync (EAS) クライアント アプリです。 Intuneでは、Gmail アプリと Nine Work アプリの構成テンプレートが用意されているため、それらを仕事用アプリとして管理できます。 アプリ構成ポリシーでアプリ構成プロファイルをサポートする他の電子メール アプリを構成できます。

個人または企業所有のデバイスExchange ActiveSync条件付きアクセスを使用している場合は、Gmail または Nine Work メール アプリの使用を検討してください。 Microsoft Outlook for Android アプリ、および MSAL 経由の先進認証を使用するその他の電子メール アプリもサポートされています。 詳細については、「Microsoft Intune で電子メールの設定を構成する方法」を参照してください。

ヒント

Azure AD Authentication ライブラリ (ADAL) は非推奨となりました。そのため、現在 ADAL を使用しているアプリを MSAL に更新することをお勧めします。 詳細については、「Microsoft Authentication Library (MSAL) と Microsoft Graph API を使用するようにアプリケーションを更新する」を参照してください。

アプリ保護ポリシー

Microsoft Intuneでは、仕事用プロファイルおよびデバイスの個人用側のアプリに適用されるアプリ保護ポリシーがサポートされています。 基幹業務アプリは Google Play 発行コンソールで公開でき、アプリをorganizationにプライベートにすることができます。

仕事用プロファイルのアプリ保護ポリシーの詳細については、次の記事を参照してください。

• アプリ保護ポリシーの概要

• Intuneで仕事用プロファイル デバイスのデバイス コンプライアンス ポリシーを追加する

VPN プロファイル

VPN のサポートは、Android VPN プロファイルに似ています。 Android Enterprise 管理では、同じ VPN プロバイダーと基本的な構成オプションを使用できます。次の 2 つの違いがあります。

• 仕事用プロファイルスコープの VPN – VPN 接続は、個人および企業所有のデバイス上の仕事用プロファイルに展開されたアプリに制限されるため、VPN 接続を使用できるのはマネージド アプリのみです。 デバイス上の個人用アプリでは、マネージド VPN 接続を使用できません。 詳細については、「Android エンタープライズの VPN の設定」を参照してください。

• アプリ固有の VPN – VPN プロバイダーがサポートしている場合は、Intuneでアプリ固有の VPN を構成できます。

  • アプリ固有の VPN の構成。

  • Android Enterprise アプリ構成プロファイルを使用してアプリごとの VPN を構成する機能。

  詳細については、「Microsoft Intune のカスタム プロファイルを使って、Android デバイス用にアプリごとの VPN プロファイルを作成する」を参照してください。

証明書プロファイル

Android 管理で使用できるのと同じ証明書プロファイル構成は、個人および企業所有のデバイスの仕事用プロファイルで使用できます。 Android Enterprise には、強化された証明書管理 API があります。

強化された証明書管理:

• 証明書の展開がユーザーに対してサイレントでシームレスであることを確認します。

• デバイスがIntuneから廃止され、作業プロファイルが削除されたときに、展開された証明書が確実に削除されます。

• MICROSOFT INTUNEを使用して、IT サポート担当者によって証明書が展開および構成されたことをデバイス ユーザーに通知します。

詳細については、「Microsoft Intune でデバイスの証明書プロファイルを構成する」を参照してください。

Wi-Fi プロファイル

Wi-Fi プロファイルは、デバイスがIntuneから廃止され、仕事用プロファイルが削除されると削除されます。 詳細については、「Microsoft Intune で Wi-Fi の設定を構成する方法」を参照してください。

次の手順

• Android の登録展開ガイド

• Intune で Android Enterprise 仕事用プロファイル デバイスにアプリを割り当てる