次の方法で共有

仕事用プロファイルを備えた会社所有の Android Enterprise デバイスの Intune 登録の設定

  • [アーティクル]

仕事用プロファイルを備えた会社所有の Android Enterprise デバイスは、会社および私事での使用が想定される単一ユーザー デバイスです。

エンド ユーザーは、仕事用データと個人データを個別に保持でき、個人データとアプリケーションがプライベートのままであることを保証します。 管理者は、デバイス全体にわたって設定や機能の一部を管理することができます。次に例を示します。

  • デバイス パスワードの要件の設定
  • Bluetooth とデータ ローミングの制御
  • 工場出荷時へのリセット防止の構成

Intune は、仕事用プロファイルを備えた会社所有の Android Enterprise デバイスへのアプリと設定の展開に役立ちます。 Android Enterprise に関する特定の詳細については、Android Enterprise の要件に関するページを参照してください。

デバイスの要件

仕事用プロファイルを備えた会社所有の Android Enterprise デバイスとしてデバイスを管理するには、以下の要件を満たす必要があります。

  • Android OS バージョン 8.0 以降。
  • デバイスは、Google Mobile Services (GMS) に接続できる Android ディストリビューションを実行する必要があります。 デバイスで GMS が利用できて、GMS に接続できる必要があります。

仕事用プロファイルを備えた会社所有の Android Enterprise デバイスの管理を設定する

仕事用プロファイルを備えた会社所有の Android Enterprise デバイスの管理を設定するには、次の手順を行います。

  1. モバイル デバイス管理の準備として、MDM (モバイル デバイス管理) 機関を Microsoft Intune に設定し、そこに指示を求める必要があります。 この項目は、モバイル デバイス管理について初めて Intune を設定するときに一度だけ設定します。
  2. managed Google Play アカウントに Intune テナント アカウントを接続します
  3. 登録プロファイルを作成します
  4. デバイス グループを作成します
  5. 会社所有の仕事用プロファイル デバイスを登録します

登録プロファイルの作成

注:

  • 仕事用プロファイルを備えた会社所有のデバイスのトークンは、自動的に期限切れになることはありません。 管理者がトークンの取り消しを決定した場合、関連付けられているプロファイルは 、デバイス>By プラットフォーム>Android>Device オンボード>Enrollment>仕事用プロファイルを持つCorporate 所有のデバイスには表示されません。 アクティブと非アクティブの両方のトークンに関連付けられているすべてのプロファイルを表示するには、[フィルター] をクリックし、[アクティブ] と [非アクティブ] の両方のポリシーの状態のチェックボックスをオンにします。
  • 会社所有の仕事用プロファイル (COPE) デバイスの場合、afw#setup 登録方法および近距離無線通信 (NFC) 登録方法は、Android 8 から 10 を実行しているデバイスでのみサポートされます。 Android 11 では使用できません。 詳細については、こちらの Google 開発者向けドキュメントを参照 してください

ユーザーが会社所有の仕事用プロファイル デバイスを登録できるように、登録プロファイルを作成する必要があります。 プロファイルが作成されると、登録トークン (ランダムな文字列) と QR コードが与えられます。 デバイスの Android OS とバージョンに基づき、トークンか QR コードのいずれかを使って専用デバイスを登録できます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス>登録] に移動します。

  3. [ Android ] タブを選択します。

  4. [ Android Enterprise>登録プロファイル] で、[ 会社所有のデバイスと仕事用プロファイル] を選択します。

  5. [ プロファイルの作成] を選択します

  6. プロファイルの基本を入力します。

    • 名前: プロファイルに名前を付けます。 動的デバイス グループを設定するときに必要になるため、後で名前を書き留めます。

    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

    • トークンの種類: デバイスの登録に使用するトークンの種類を選択します。 詳細については、この記事の 「トークンの種類 」を参照してください。 次のようなオプションがあります。

      • 会社所有の仕事用プロファイル (既定値)

      • ステージングを介して、仕事用プロファイルを使用した企業所有

    • トークンの有効期限日: ステージング トークンでのみ使用できます。 トークンの有効期限を切る日付を、最大 65 年後に入力します。 受け入れ可能な日付形式: MM/DD/YYYY または YYYY-MM-DD トークンは、作成されたタイム ゾーンで、選択した日付の午後 12:59:59 に期限切れになります。

  7. [ 次へ ] を選択して、[ スコープ タグ] に進みます。

  8. 必要に応じて、1 つ以上のスコープ タグを適用して、制限の可視性と管理をIntuneの特定の管理者ユーザーに制限します。 スコープ タグの使用方法の詳細については、「 分散型 IT にロールベースのアクセス制御とスコープ タグを使用する」を参照してください。

  9. [ 次へ ] を選択して、[ 作成と確認] に進みます。

  10. 選択内容を確認し、[ 作成 ] を選択してプロファイルの作成を完了します。

登録トークンにアクセスする

プロファイルを作成した後、Intuneは登録に必要なトークンを生成します。

  1. [デバイス>登録] に戻り、[Android] タブを選択します。

  2. [ 登録プロファイル] セクションで、[ 会社所有のデバイスと仕事用プロファイル] を選択します。

  3. 一覧から、あなたの登録プロファイルを選択します。

  4. [ トークン] を選択します。

トークンを見つけるもう 1 つの方法は次の通りです:

  1. 一覧であなたのプロファイルを探し、その次にある [詳細] (...) メニューを選択します。

  2. [登録トークンの表示] を選択します。

トークンは 8 桁の文字列と QR コードとして表示されます。 このトークンを使用して、 Android Enterprise 企業所有のデバイス登録ドキュメントで説明されている登録メカニズムに基づいて登録します。

トークンの取り消しまたはエクスポート

  • トークンの取り消し: トークン/QR コードをただちに失効させることができます。 取り消した時点から、トークンまたは QR コードは使用できなくなります。 次の場合にこのオプションを使用できます。

    • 不正なパーティとトークン/QR コードを誤って共有します。
    • すべての登録を完了し、トークン/QR コードは不要になります。

  • トークンのエクスポート: トークン/QR コードの JSON コンテンツをエクスポートできます。 このオプションを使用して、 ゼロ タッチ登録 (ZTE) または Knox Mobile Enrollment (KME) の JSON コンテンツをコピー/貼り付けできます。

トークン/QR コードの取り消しまたはエクスポートは、既に登録されているデバイスには影響しません。

  1. 管理センターで、[ デバイス>登録] に移動します。
  2. [ Android ] タブを選択します。
  3. [ Android Enterprise>登録プロファイル] で、[ 会社所有のデバイスと仕事用プロファイル] を選択します。
  4. 置き換えるか取り消すプロファイルを選択します。
  5. [トークン] を選択します。
  6. トークンを取り消すには、[トークンの取り消し]>[はい] を選択します。
  7. トークンをエクスポートするには、[ トークンのエクスポート] を選択します。

デバイス グループを作成する

アプリとポリシーの対象を、割り当てたデバイス グループか動的デバイス グループに設定できます。 次の手順に従って、動的Microsoft Entraデバイス グループを構成して、特定の登録プロファイルに登録されているデバイスを自動的に設定できます。

  1. Microsoft Intune 管理センターにサインインします。
  2. [グループ>すべてのグループ>新しいグループ] に移動します。
  3. 必要なフィールドに次のように入力します。
    • [グループの種類]: セキュリティ
    • グループ名: Factory 1 デバイスなどの直感的な名前を入力します
    • [メンバーシップの種類]: 動的デバイス
  4. [動的クエリの追加] を選択します。
  5. [ 動的メンバーシップ ルール] では、次のようにフィールドに入力します。
    • [動的メンバーシップ ルールの追加]: 簡易ルール
    • [追加するデバイスの場所]: enrollmentProfileName
    • 中央のボックスで [等しい] を選択します。
    • 最後のフィールドには、先ほど作成した登録プロファイル名を入力します。 動的メンバーシップルールの詳細については、「Microsoft Entra IDのグループの動的メンバーシップルール」を参照してください。
  6. [クエリの追加]>[作成] を選択します。

会社所有の仕事用プロファイル デバイスを登録する

ユーザーは、会社所有の仕事用プロファイル デバイスを登録することができるようになりました。

注:

Microsoft Intune アプリは、登録中に自動的にインストールされます。 このアプリは登録に必要であり、アンインストールできません。 Intune ポータル サイト アプリをデバイスにデプロイし、ユーザーがアプリを起動しようとすると、そのアプリはMicrosoft Intune アプリにリダイレクトされ、ポータル サイト アプリ アイコンは非表示になります。

トークンの種類

管理センターで登録プロファイルを作成するときは、トークンの種類を選択する必要があります。 トークンには 2 種類あります。 種類ごとに異なる登録フローが有効になります。

既定のトークンである会社所有の仕事用プロファイルは、仕事用プロファイルを持つ標準の Android Enterprise 企業所有デバイスとしてデバイスをMicrosoft Intuneに登録します。 このトークンでは、デバイスを配布する前にプロビジョニング前の手順を完了する必要があります。 エンド ユーザーは、職場または学校アカウントでサインインするときに、デバイスの残りの手順を完了します。

デバイス ステージング トークンである会社所有の仕事用プロファイルは、ステージングを介して、デバイスをステージング モードでMicrosoft Intuneに登録して、ユーザーまたはパートナー ベンダーがすべての事前プロビジョニング手順を完了できるようにします。 エンド ユーザーは、職場または学校アカウントを使用してMicrosoft Intune アプリにサインインすることで、プロビジョニングの最後の手順を完了します。 サインイン時にデバイスを使用する準備ができました。 Intuneでは、Android 8 以降を実行している Android Enterprise デバイスのデバイス ステージングがサポートされています。

詳細については、「 デバイス のステージングの概要」を参照してください。

会社所有の Android Enterprise 仕事用プロファイル デバイス上のアプリの管理

アプリは、Android Enterprise 個人所有の仕事用プロファイル デバイスと同じ方法で、マネージド Google Play ストアからインストールされます。

アプリは、アプリ開発者が更新版を Google Play に公開したとき、管理対象デバイスで自動的に更新されます。

Android Enterprise 企業所有の仕事用プロファイル デバイスからアプリを削除するには、次のいずれかを実行できます。

  • 要求されたアプリの展開を削除します。
  • アプリのアンインストール展開を作成します。

制限事項

このセクションの制限事項は、仕事用プロファイルを持つ企業所有のデバイスに適用されます。

プライベートスペースは、Android 15で導入された機能で、ユーザーは非表示にしておきたい機密アプリやデータ用のスペースをデバイス上に作成できます。 プライベート空間は個人用プロファイルと見なされます。 Microsoft Intuneは、プライベート空間内のモバイル デバイス管理をサポートしたり、プライベート領域を登録しようとするデバイスのテクニカル サポートを提供したりしません。

次の手順