Android Enterprise フル マネージド デバイスの登録を設定する
Microsoft Intune で Android Enterprise フル マネージド デバイス ソリューションを設定して、企業所有のデバイスを登録および管理します。 フル マネージド デバイスは 1 人のユーザーに関連付けられています。個人使用ではなく、仕事用です。 Intune 管理者は、デバイス全体を管理し、Android Enterprise 仕事用プロファイルでは使用できない次のようなポリシー制御を適用できます。
- マネージド Google Play からのアプリのインストールのみを許可します。
- ユーザーがマネージド アプリをアンインストールできないようにブロックします。
- ユーザーがデバイスを工場出荷時の状態にリセットできないようにします。
ユーザーとデバイス ユーザーは、デバイスのセットアップ中に登録トークンを入力またはスキャンすることで、登録を開始できます。 この記事では、登録の前提条件と、登録プロファイルとトークンを作成する方法について説明します。 この記事の最後に、デバイスを登録できます。
手順 1: 前提条件
これらの前提条件を満たして、登録を成功させます。
モバイル デバイス管理 (MDM) 機関が Microsoft Intune に設定されている Intune スタンドアロン テナントが必要です。
デバイスは次の条件を満たしている必要があります。
- Android OS バージョン 8.0 以降を実行します。
- Google Mobile Services 接続を持つ Android ビルドを実行します。
- Google Mobile Services を利用可能にして、それに接続できるようにします。
3 つの要件がすべて満たされている場合、デバイスの製造元/OEM に制限はありません。
Android Enterprise がリージョンでサポートされていることを確認します。 Android Enterprise の要件については、「 Android Enterprise の概要」を参照してください。
Android セットアップ プロセスでは、[Chrome] タブを使用して、登録中にデバイス ユーザーを認証します。 次の構成の Microsoft Entra 条件付きアクセス ポリシーがある場合は、ポリシーから Microsoft Intune クラウド アプリを除外する必要があります。
アクセスを許可またはブロックするには、デバイスを準拠設定としてマークする必要があります。
このポリシーは、 すべてのクラウド アプリ、 Android、ブラウザーに適用 されます。
手順 2: 新しい登録プロファイルを作成する
Intune では、フル マネージド デバイスの既定の登録プロファイルと登録トークンが自動的に生成されます。 既定の登録プロファイルの名前は 、既定のフル マネージド プロファイルです。
新しい登録プロファイルを作成するには:
Microsoft Intune 管理センターにサインインします。
[デバイス>登録] に移動します。
[ Android ] タブを選択します。
[Android Enterprise>登録プロファイル] で、[企業所有のフル マネージド ユーザー デバイス] を選択します。
[ プロファイルの作成] を選択します。
プロファイルの基本を入力します。
名前: プロファイルに名前を付けます。 動的デバイス グループを設定するときに必要になるため、後で名前を書き留めます。
説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。
トークンの種類: 企業のフル マネージド デバイスの登録に使用するトークンの種類を選択します。 詳細については、この記事の 「トークンの種類 」を参照してください。 次のようなオプションがあります。
企業所有のフル マネージド (既定値)
ステージングを使用した企業所有のフル マネージド
トークンの有効期限日: ステージング トークンでのみ使用できます。 トークンの有効期限を切る日付を、最大 65 年後に入力します。 受け入れ可能な日付形式:
MM/DD/YYYY
またはYYYY-MM-DD
トークンは、作成されたタイム ゾーンで、選択した日付の午後 12:59:59 に期限切れになります。
[ 次へ ] を選択して、[ スコープ タグ] に進みます。
1 つ以上のスコープ タグを適用して、Intune の特定の管理者ユーザーにプロファイルの可視性と管理を制限します。 スコープ タグは省略可能です。 スコープ タグを使用する方法の詳細については、「 分散型 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。
[ 次へ ] を選択して、[ 確認と作成] に進みます。
プロファイルの概要を確認し、[ 作成 ] を選択して完了します。
プロファイルを確認、変更、または削除するには、
プロファイルを選択します。
[ 概要 ] を選択してプロファイルの要点を確認し、プロファイルを削除します。
[プロパティ>編集] を選択して、プロファイルの基本タグまたはスコープ タグを変更します。
トークンを取得、取り消し、またはエクスポートするには、[トークン] を選択します。
手順 3: 動的な Microsoft Entra グループを作成する
必要に応じて、特定の属性または変数に基づいてデバイスを自動的にグループ化する動的な Microsoft Entra グループを作成します。 この場合、 enrollmentProfileName
プロパティを使用して、同じプロファイルで登録されているデバイスをグループ化します。
次の構成をグループに追加します。
[グループの種類]: セキュリティ
[メンバーシップの種類]: 動的デバイス
次の規則を使用して動的クエリを追加します。
- プロパティ: enrollmentProfileName
- 演算子: 等しい
- 値: 手順 2: 新しい登録プロファイルを作成するで作成した登録プロファイルの名前を入力します。
既定の登録プロファイルで動的グループを使用することはできません。 ルールを使用して動的グループを作成する方法の詳細については、「 グループ メンバーシップ ルールを作成する」を参照してください。
手順 4: デバイスを登録する
登録プロファイル、トークン、および動的グループを設定したら、次のいずれかのプロビジョニング方法を使用して、デバイスをフル マネージドとして登録できます。
- 近距離無線通信 (NFC)
- トークン文字列または QR コード
- ゼロタッチ登録
- Samsung Knox モバイル登録
各プロビジョニング方法でデバイスを登録する方法など、次の手順については、「 Android Enterprise 企業所有デバイスの登録」を参照してください。
トークンの種類
管理センターで登録プロファイルを作成するときは、トークンの種類を選択する必要があります。 トークンには 2 種類あります。 種類ごとに異なる登録フローが有効になります。
企業所有のフル マネージドの既定のトークンは、デバイスを標準の Android Enterprise 企業フル マネージド デバイスとして Microsoft Intune に登録します。 このトークンでは、デバイスを配布する前にプロビジョニング前の手順を完了する必要があります。 エンド ユーザーは、職場または学校アカウントでサインインするときに、デバイスの残りの手順を完了します。
企業 所有のフル マネージドのデバイス ステージング トークンは、ステージング モードでデバイスを Microsoft Intune に登録し、ユーザーまたはサード パーティベンダーがすべての事前プロビジョニング手順を完了できるようにします。 エンド ユーザーは、職場または学校アカウントで Microsoft Intune アプリにサインインすることで、プロビジョニングの最後の手順を完了します。 サインイン時にデバイスを使用する準備ができました。 Intune では、Android 8 以降を実行する Android Enterprise デバイスのデバイス ステージングがサポートされています。
詳細については、「 デバイス のステージングの概要」を参照してください。
トークンの置換、削除、またはエクスポート
管理センターでトークンを選択して、次の管理オプションにアクセスします。
トークンの置換: 有効期限が近い新しいトークンを生成します。
トークンの取り消し: トークンの有効期限がすぐに切れます。 取り消した後、トークンは使用できなくなります。 このオプションは、次の場合に役立ちます。
不正なパーティとトークンを誤って共有する。
すべての登録を完了し、トークンは不要になります。
トークンのエクスポート: トークンの JSON コンテンツをエクスポートします。 このオプションを使用すると、Google Zero Touch または Knox Mobile Enrollment の構成に必要な JSON コンテンツを取得できます。
これらのアクションを適用しても、既に登録されているデバイスには影響しません。