Android Enterprise フル マネージド デバイスの登録を設定する

  • [アーティクル]

Microsoft Intuneで Android Enterprise フル マネージド デバイス ソリューションを設定して、企業所有のデバイスを登録および管理します。 フル マネージド デバイスは 1 人のユーザーに関連付けられています。個人使用ではなく、仕事用です。 Intune管理者は、デバイス全体を管理し、Android Enterprise 仕事用プロファイルでは使用できない次のようなポリシー制御を適用できます。

  • マネージド Google Play からのアプリのインストールのみを許可します。
  • ユーザーがマネージド アプリをアンインストールできないようにブロックします。
  • ユーザーがデバイスを工場出荷時の状態にリセットできないようにします。

ユーザーとデバイス ユーザーは、デバイスのセットアップ中に登録トークンを入力またはスキャンすることで、登録を開始できます。 この記事では、登録の前提条件と、登録プロファイルとトークンを作成する方法について説明します。 この記事の最後に、デバイスを登録する準備が整います。

手順 1: 前提条件

これらの前提条件を満たして、登録を成功させます。

  • モバイル デバイス管理 (MDM) 機関がMicrosoft Intuneに設定されている、Intuneスタンドアロン テナントが必要です。

  • デバイスは次の条件を満たしている必要があります。

    • Android OS バージョン 8.0 以降を実行します。
    • Google Mobile Services 接続を持つ Android ビルドを実行します。
    • Google Mobile Services を利用可能にして、それに接続できるようにします。

    3 つの要件がすべて満たされている場合、デバイスの製造元/OEM に制限はありません。

  • Android Enterprise がリージョンでサポートされていることを確認します。 Android Enterprise の要件については、「 Android Enterprise の概要」を参照してください。

  • Android Enterprise アカウントに Intune テナント アカウントを接続します

  • Android セットアップ プロセスでは、[Chrome] タブを使用して、登録中にデバイス ユーザーを認証します。 次の構成の Azure AD 条件付きアクセス ポリシーがある場合は、Microsoft Intune クラウド アプリをポリシーから除外する必要があります。

    • アクセスを許可またはブロックするために、デバイスを準拠設定としてマークする必要があります
    • このポリシーは、 すべてのクラウド アプリAndroid、ブラウザーに適用 されます

手順 2: 新しい登録プロファイルを作成する

Intuneは、フル マネージド デバイスの既定の登録プロファイルと登録トークンを自動的に生成します。 既定の登録プロファイルの名前は 、既定のフル マネージド プロファイルです

新しい登録プロファイルを作成するには:

  1. Microsoft Intune管理センターで、[デバイスの登録]に移動します>。
  2. [Android 登録>] [企業所有のフル マネージド ユーザー デバイス] を選択します。
  3. [会社が所有するユーザー デバイスの登録をユーザーに許可する][はい] を選択します。
  4. [ プロファイルの作成] を選択します
  5. プロファイルの基本を入力します。
    • 名前: プロファイルに名前を付けます。 動的デバイス グループを設定するときに必要になるため、後で名前をメモしておきます。
    • 説明: 必要に応じて、プロファイルの説明を追加します。
  6. [次へ] を選択します。
  7. 必要に応じて、[スコープ タグ] ページで 1 つ以上のスコープ タグを適用して、プロファイルの可視性と管理をIntuneの特定の管理者ユーザーに制限します。 管理これらのスコープ タグを持つロールが割り当てられ、適切なアクセス許可を持つユーザーがプロファイルにアクセスできるようになります。 スコープ タグの使用方法の詳細については、「 分散型 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。
  8. [次へ] を選択します。
  9. プロファイルの概要を確認し、[ 作成 ] を選択して完了します。

プロファイルを確認、変更、または削除するには、

  1. プロファイルを選択します。
  2. [ 概要 ] を選択してプロファイルの要点を確認し、プロファイルを削除します。
  3. [ プロパティ>の編集] を 選択して、プロファイルの基本タグまたはスコープ タグを変更します。
  4. トークンを取得、取り消し、またはエクスポートするには、[トークン] を選択します。

手順 3: 動的な Azure AD グループを作成する

必要に応じて、特定の属性または変数に基づいてデバイスを自動的にグループ化する動的な Azure AD グループを作成します。 この場合は、 プロパティを enrollmentProfileName 使用して、同じプロファイルで登録されているデバイスをグループ化します。

次の構成をグループに追加します。

  • [グループの種類]: セキュリティ
  • [メンバーシップの種類]: 動的デバイス
  • 次の規則を使用して動的クエリを追加します。
    • プロパティ: enrollmentProfileName
    • 演算子: 等しい
    • : 手順 2: 新しい登録プロファイルを作成するで作成した登録プロファイルの名前を入力します。

既定の登録プロファイルで動的グループを使用することはできません。 ルールを使用して動的グループを作成する方法の詳細については、「 グループ メンバーシップ ルールを作成する」を参照してください。

手順 4: デバイスを登録する

登録プロファイル、トークン、動的グループを設定したので、次のいずれかのプロビジョニング方法を使用して、デバイスをフル マネージドとして登録できます。

  • 近距離無線通信 (NFC)
  • トークン文字列または QR コード
  • ゼロタッチ登録
  • Samsung Knox モバイル登録

各プロビジョニング方法でデバイスを登録する方法など、次の手順については、「 Android Enterprise 企業所有デバイスの登録」を参照してください。