Android (AOSP) 会社所有のユーザーレス デバイスの Intune 登録を設定する

Android Open Source Project (AOSP) プラットフォーム上に構築された会社所有のユーザーレス デバイス用に Microsoft Intune の登録を設定します。 Intune は、次の会社所有の Android デバイス用の Android (AOSP) デバイス管理ソリューションを提供しています。

• Google Mobile Services と統合されていません。
• 複数のユーザーで共有することを目的とします。
• 作業中のタスクの特定のセットを実行するために使用します。

この記事では、Android (AOSP) デバイス管理をセットアップし、仕事で使用するために RealWear デバイスを登録する方法について説明します。

知っておくべきこと

この管理モードでIntuneに登録されたデバイスは、Microsoft Authenticator とポータル サイトで自動的に設定されます。 これらのデバイスは、ユーザー アカウントなしでIntuneに登録され、特定のユーザーに関連付けられません。

デバイスは、登録中Microsoft Entra共有デバイス モードで構成されます。 デバイスでは、 参加しているアプリ間でユーザー間でシングル サインオン (SSO) が有効になります。 ポータル サイトをインストールすることで、ユーザーは、共有デバイス モードにまだ参加していないアプリであっても、Intune SDK と統合されているアプリからサインアウトするときに SSO を利用することもできます。

前提条件

注:

10 月 1 日以降、AOSP デバイスは、Microsoft Intune サービスと同期するために、バージョン 24.7.0 以降のMicrosoft Intune アプリを持っている必要があります。

AOSP デバイスを登録および管理するには、次が必要です:

• アクティブな Microsoft Intune テナント。
• サポートされているデバイス。

また、次も必要です:

• テナント内で Microsoft Intune を、権威 MDM (モバイル デバイス管理) として設定します。 Intune を最初にモバイル デバイス管理用にセットアップする時に、1 度だけ実施する必要があります。

• すべての特殊なデバイス ユーザーに有効なライセンスを割り当てます。 詳細については、「Microsoft Intune ライセンス」および「Microsoft Intuneを使用した特殊なデバイスの管理」を参照してください。

登録プロファイルの作成

デバイスの登録を有効にする登録プロファイルを作成します。

ヒント

Intune はプレーン テキスト形式でトークンを生成しますが、デバイスの登録には使用できません。

1. Microsoft Intune 管理センターにサインインします。

2. [デバイスの登録]> に移動します。

3. [ Android ] タブを選択します。

4. [ Android オープン ソース プロジェクト (AOSP)] セクションで、[ 企業所有のユーザーレス デバイス] を選択します。

5. [ プロファイルの作成] を選択します。

6. プロファイルの基本を入力します。

   • 名前: プロファイルに名前を付けます。 動的デバイス グループを設定するときに必要になるため、後で名前をメモしておきます。

   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

   • トークンの有効期限: トークンの有効期限が切れる日付を選択します。この日付は、今後最大 90 日になる可能性があります。

   • [SSID]: デバイスが接続するネットワークを識別します。

     注:

     RealWear デバイスには、他のデバイスに自動的に接続するためのボタンやオプションがないため、Wi-Fi の詳細が必要です。

   • [非公開のネットワーク]: 非表示のネットワークかどうかを選択します。 既定では、この設定は無効になっています。

   • [Wi-Fi の種類]: このネットワークに必要な認証の種類を選択します。

     [WEP 事前共有キー] または [WPA 事前共有キー] を選択した場合は、次の入力も行います。

     • [事前共有キー]: ネットワークでの認証に使用される事前共有キー。

7. [次へ] を選択します。

8. 必要に応じて、スコープ タグを選択します。

9. [次へ] を選択します。

10. プロファイルの詳細を確認し、[作成] を選択してプロファイルを保存します。

登録トークンにアクセスする

プロファイルを作成すると、Intune は登録に必要なトークンを生成します。 トークンにアクセスするには:

1. [会社所有のユーザーレス デバイス] に移動します。
2. 一覧から、登録プロファイルを選択します。
3. [トークン] を選択します。

トークンを見つけるもう 1 つの方法:

1. [会社所有のユーザーレス デバイス] に移動します。
2. 一覧でプロファイルを探し、その横にある [詳細] (...) メニューを選択します。
3. [登録トークンの表示] を選択します。

トークンは QR コードとして表示されます。 デバイスのセットアップ中に、プロンプトが表示されたら、QR コードをスキャンして Intune にデバイスを登録します。

登録プロファイルの JSON ファイルをエクスポートすることもできます。 JSON ファイルを作成するには:

1. [会社所有のユーザーレス デバイス] に移動します。
2. 一覧から、登録プロファイルを選択します。
3. [ トークンのエクスポート] を > 選択します。

重要

• QR コードには、プロファイルに入力された資格情報がプレーンテキストで含まれるので、デバイスがネットワークで正常に認証されます。 これは、ユーザーがデバイスからネットワークに参加できないので、必要です。
• デバイスをプロビジョニングし、登録プロセスを完了するためのアクセス許可が制限されたステージング ネットワークを使用することを検討してください。 たとえば、アクセス許可が制限され、企業アクセス権のないインターネットに接続されたネットワークを使用して、初期セットアップを行うことができます。
• Intune を介してデバイスを管理しているので、RealWear の初回セットアップをスキップする必要があります。 Intune QR コードは、デバイスを設定する必要がある唯一のものです。

トークンの置換

有効期限が近付くトークンを置き換える新しいトークンを生成します。 トークンの置換は、既に登録されているデバイスには影響を与えません。

1. 管理センターで、[デバイス>の登録] に移動します。
2. [ Android ] タブを選択します。
3. [ Android オープン ソース プロジェクト (AOSP)] セクションで、[ 企業所有のユーザーレス デバイス] を選択します。
4. あなたの仕事用プロファイルを選択します。
5. [トークン]>[トークンの置き換え] を選択します。
6. トークンの新しい有効期限を入力します。 トークンは、少なくとも 90 日ごとに置き換える必要があります。
7. [OK] を選択します。

トークンの取り消し

トークンを取り消してすぐに期限切れにし、使用できなくします。 たとえば、次の場合にトークンを取り消すのが適切です:

• 認められていない団体に、誤ってトークン/QR コードを共有しました。
• 登録手続きがすべて完了し、トークンは必要なくなりました。

トークンを取り消ししても、既に登録されているデバイスには影響しません。

1. 管理センターで、[デバイス>の登録] に移動します。
2. [ Android ] タブを選択します。
3. [ Android オープン ソース プロジェクト (AOSP)] セクションで、[ 企業所有のユーザーレス デバイス] を選択します。
4. あなたの仕事用プロファイルを選択します。
5. [トークン]>[トークンの取り消し]>[はい]を選択します。

デバイス グループを作成する

Intune で、割り当てられたデバイス グループまたは動的デバイス グループを作成できます。 両方のグループについて詳しくは、「ユーザーとデバイスを整理するためのグループを追加する」をご覧ください。

動的デバイス グループは、一連のルールとパラメーターに基づいてデバイスを自動的に追加および削除するように構成されます。 たとえば、登録プロファイル名でデバイスをグループ化できます。

次の手順を実行して、Android (AOSP) 企業所有のユーザーレス登録プロファイルに登録されているデバイスの動的なMicrosoft Entra デバイス グループを作成します。

1. 管理センターで、[グループ>すべてのグループ] [新しいグループ>] の順に移動します。

2. [グループ] ブレードで、次のように必須フィールドに入力します。

   • [グループの種類]: セキュリティ
   • [グループ名]: わかりやすい名前を入力します (Factory 1 デバイスなど)
   • [メンバーシップの種類]: 動的デバイス

3. [動的クエリの追加] を選択します。

4. [動的メンバーシップ ルール] ブレードで、次のようにフィールドに入力します。

   • [動的メンバーシップ ルールの追加]: 簡易ルール
   • [追加するデバイスの場所]: enrollmentProfileName
   • 中央のボックスで [等しい] を選択します。
   • 最後のフィールドには、先ほど作成した登録プロファイル名を入力します。

   動的メンバーシップルールの詳細については、「Microsoft Entra IDのグループの動的メンバーシップルール」を参照してください。

5. [クエリの追加]>[作成] を選択します。

QR コードを使用してデバイスを登録する

Android (AOSP) 登録プロファイルを設定して割り当てると、QR コードを使用してデバイスを登録できます。

1. 新しいデバイス、または出荷時の設定に戻したデバイスの電源を入れます。

2. デバイスからメッセージが表示されたら、トークンの QR コードをスキャンします。

ヒント

Intuneでトークンにアクセスするには、[デバイス>] [プラットフォーム>別][Android>デバイス オンボード登録>>] [企業所有のユーザーレス デバイス] の順に選択します。 登録プロファイルを選択し、[トークン]を選択します。

3. 画面の指示に従って、デバイスの登録を完了します。 セットアップ中に、Intune は登録に必要なアプリを自動的にインストールして開きます。 これらのアプリには、次のものが含まれます。

   • Microsoft Authenticator アプリ
   • Microsoft Intune アプリ
   • Intune ポータル サイト アプリ

JSON を使用してデバイスを登録するには、デバイスの製造元が提供する手順を参照してください。

登録した後

アプリの更新

Microsoft Intune アプリは、それ自体、Authenticator、およびポータル サイトで利用可能なアプリの更新プログラムを自動的にインストールします。 更新プログラムが利用可能になると、Intune アプリは閉じて更新プログラムをインストールします。 更新プログラムをインストールするには、アプリは完全に閉じられている必要があります。

デバイスをリモートで管理する

Android (AOSP) デバイスでは、次のリモート アクションを使用できます:

• ワイプ
• Delete
• リモート ロック
• パスコードのリセット
• Restart

一度に 1 つのデバイスでアクションを実行できます。 Intune でリモート アクションを検索する場所の詳細については、「ワイプ、廃止、または手動での登録解除を使用してデバイスを削除する」 を参照してください。

注:

Android (AOSP) デバイスをワイプした後、出荷時の既定の設定に完全に復旧されるまで、デバイスは保留中の状態のままです。 その後、Intune はデバイス リストからそれを削除します。 デバイスを削除すると、デバイスは保留中の状態なく、直ぐにデバイス リストから削除され、デバイスが次回にチェック インするときに工場出荷時の状態にリセットされます。

トラブルシューティング

Microsoft Intune と Microsoft Authenticator アプリのバージョンを表示する

Microsoft Intuneアプリまたは Microsoft Authenticator アプリのどのバージョンがデバイス上にインストールされているかを確認するには、次の方法を実行します:

1. [デバイス]に移動 し、デバイス名を選択します。
2. [検出されたアプリ]を選択します。
3. アプリを見つけて、[アプリケーション バージョン]列でバージョン番号を確認します。

トラブルシューティングとサポート

Microsoft Intune管理センターの [トラブルシューティングとサポート] に移動して、次の手順を実行します。

• ユーザーが登録した Android (AOSP) デバイスの一覧を表示する
• 他のユーザー デバイスのトラブルシューティングと同じ方法で、Android (AOSP) デバイスのトラブルシューティングを有効にします。

アプリ ログを Microsoft に共有する

デバイスの登録または Microsoft Intune アプリに問題が発生した場合は、Intune アプリを使用して、アプリ ログをアップロードし Microsoft に送信できます。 ログを登録すると、Microsoft サポート担当者と共有するインシデント ID を受け取ります。

既知の制限

Intune で AOSP デバイスを使用する場合の、既知の制限事項を次に示します:

• デバイス コンプライアンスとデバイス制限プロファイルを使用して、特定のパスワードの種類を強制することはできません。 パスワードの種類は次のとおりです:

  • パスワード必須、制限なし
  • アルファベット
  • 英数字
  • 英数字と記号
  • 弱い生体認証

• デバイス コンプライアンス レポートは、Android (AOSP) では使用できません。

• Android (AOSP) 管理は、21Vianet によって動作するIntuneを使用する環境ではサポートされていません。

次の手順

• デバイスの設定を制限するために、Android (AOSP) デバイス構成ポリシーを作成します。

• Android (AOSP) デバイス コンプライアンス ポリシーを作成します。

• AOSP の使用を開始する方法の詳細については、「Android ソース要件」 (Android ソース ドキュメントが開く) を参照してください。