Android Enterprise 専用デバイスの Intune 登録を設定する

Android Enterprise では、専用デバイス ソリューションを使用して、企業所有の単一のキオスク スタイルのデバイスをサポートしています。 これらのデバイスは、デジタル サイネージ、チケット印刷、在庫管理など、単一の目的で使用されます。 管理者は、デバイスの使用を、単一のアプリまたは限られたアプリのセット (Web アプリを含む) に限定できます。 管理者によって明示的に承認されていない限り、ユーザーは他のアプリを追加したり、デバイスでアクションを実行したりすることはできません。

専用の使用を目的としたデバイスは、次の 2 つの方法でMicrosoft Intuneに登録できます。

  • 標準の Android Enterprise 専用デバイスとして。 これらのデバイスは、ユーザー アカウントなしで Intune に登録され、ユーザーに関連付けられません。 これらのデバイスは、個人用アプリや、ユーザー固有のアカウント データを必要とする Outlook や Gmail などのアプリを対象としていません。

  • Microsoft Authenticator で自動的に設定され、登録中に共有デバイス モード用に構成Microsoft Entra標準の Android Enterprise 専用デバイスとして。 これらのデバイスは、ユーザー アカウントなしで Intune に登録され、ユーザーに関連付けられません。 これらのデバイスは、Microsoft Entra共有デバイス モードと統合され、参加しているアプリ全体のユーザー間でシングル サインインとサインアウトを可能にするアプリで使用することを目的としています。

この記事では、専用デバイスを登録するようにMicrosoft Intuneを設定して構成する方法について説明します。 Android Enterprise 管理ソリューションの詳細については、「 Android Enterprise の概要(Android Enterprise ヘルプ センターを開く)」を参照してください。

デバイスの要件

デバイスには次が必要です。

  • Android OS バージョン 8.0 以降。
  • Google Mobile Services (GMS) 接続を持つ Android のディストリビューション。 デバイスで GMS が利用できて、GMS に接続できる必要があります。

Android Enterprise 専用デバイスの管理を設定する

Android Enterprise 専用デバイスの管理を設定するには、次の手順を行います。

  1. モバイル デバイス管理の準備として、MDM (モバイル デバイス管理) 機関を Microsoft Intune に設定し、そこに指示を求める必要があります。 この項目は、モバイル デバイス管理について初めて Intune を設定するときに一度だけ設定します。
  2. managed Google Play アカウントに Intune テナント アカウントを接続します
  3. 登録プロファイルを作成します
  4. デバイス グループを作成します
  5. 専用デバイスを登録します

登録プロファイルの作成

注:

トークンの有効期限が切れると、それに関連付けられているプロファイルは 、Android 登録>企業所有の専用デバイスのビューから消えます。 アクティブなトークンと非アクティブなトークンの両方に関連付けられているすべてのプロファイルを表示するには、[フィルター] を選択 します。 次に、[ アクティブ] と [ 非アクティブ ] ポリシーの状態のチェック ボックスをオンにします。

専用デバイスを登録できるように、登録プロファイルを作成する必要があります。 プロファイルが作成されると、文字列と QR コードの形式で登録トークンが提供されます。

  1. Microsoft Intune 管理センターにサインインします。
  2. [デバイスの登録]> に移動します
  3. [ Android ] タブを選択します。
  4. [ 登録プロファイル] セクションで、[ 企業所有の専用デバイス] を選択します。
  5. [ プロファイルの作成] を選択します
  6. プロファイルの基本を入力します。
    • 名前: 後で簡単に識別できるように、プロファイルに名前を付けます。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。
    • トークンの種類: 専用デバイスの登録に使用するトークンの種類を選択します。
      • 企業所有の専用デバイス (既定): このトークンを使用すると、デバイスは標準の Android エンタープライズ専用デバイスとして登録されます。 これらのデバイスは、どの時点でもユーザーの資格情報を必要としません。 これは、トークンの作成時に管理者によって更新されない限り、専用デバイスの登録で使用される既定のトークンの種類です。
      • Microsoft Entra ID共有モードの企業所有の専用デバイス: このトークンは、デバイスを標準の Android Enterprise 専用デバイスとして登録し、登録中に、共有デバイス モードに構成された Microsoft の Authenticator アプリMicrosoft Entra展開します。 このオプションを使用すると、ユーザーは、Microsoft Entra Microsoft 認証ライブラリとグローバル サインイン/サインアウト呼び出しと統合されたデバイス上のアプリ間でシングル サインインとシングル サインアウトを実現できます。
    • トークンの有効期限: トークンの有効期限を設定する日付を、最大 65 年後に入力します。 トークンは、作成されたタイム ゾーンの午後 12 時 59 分 59 分に選択した日付に期限切れになります。 許容される日付形式: MM/DD/YYYY または YYYY-MM-DD
  7. [ 次へ ] を選択して、[ スコープ タグ] に進みます。
  8. 必要に応じて、1 つ以上のスコープ タグを適用して、Intune の特定の管理者ユーザーにプロファイルの可視性と管理を制限します。 スコープ タグを使用する方法の詳細については、「 分散型 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。
  9. [ 次へ ] を選択して、[ 確認と作成] に進みます。
  10. 選択内容を確認し、[ 作成 ] を選択してプロファイルの作成を完了します。

登録トークンにアクセスする

管理センターの登録トークンにアクセスします。

  1. [デバイスの登録]> に移動します
  2. [ Android ] タブを選択します。
  3. [ 登録プロファイル] セクションで、[ 企業所有の専用デバイス] を選択します。
  4. 一覧から、あなたの登録プロファイルを選択します。
  5. [ トークン] を選択します。

トークンは、20 桁の文字列と QR コードとして表示されます。 このトークンを使用して 、「専用、フル マネージド、または企業所有の仕事用プロファイル デバイスを登録する」で説明されているメカニズムを使用してデバイスを登録します。 登録時に、デバイス ユーザーに登録トークンの入力を求められます。 Android OS と登録デバイスのバージョンでサポートされている限り、文字列または QR を指定できます。

トークンの置換、削除、またはエクスポート

トークンを選択して、次のオプションにアクセスします。

  • トークンの置換: 有効期限が近い新しいトークンを生成します。
  • トークンの取り消し: トークンの有効期限がすぐに切れます。 取り消されると、トークンは使用できなくなります。 このオプションは、次の場合に役立ちます。
    • 不正なパーティとトークンを誤って共有する。
    • すべての登録を完了し、トークンは不要になります。
  • トークンのエクスポート: トークンの JSON コンテンツをエクスポートします。 このオプションは、 Google Zero Touch または Knox Mobile Enrollment を構成するために必要な JSON コンテンツを取得する場合に便利です。

これらのアクションを適用しても、既に登録されているデバイスには影響しません。

デバイス グループを作成する

アプリとポリシーの対象を、割り当てたデバイス グループか動的デバイス グループに設定できます。 次の手順に従って、動的Microsoft Entraデバイス グループを構成して、特定の登録プロファイルに登録されているデバイスを自動的に設定できます。

  1. Microsoft Intune管理センターにサインインし、[グループ>] [すべてのグループ][新しいグループ>] の順に選択します。
  2. [グループ] ブレードで、次のように必須フィールドに入力します。
    • [グループの種類]: セキュリティ
    • [グループ名]: わかりやすい名前を入力します (Factory 1 デバイスなど)
    • [メンバーシップの種類]: 動的デバイス
  3. [動的クエリの追加] を選択します。
  4. [動的メンバーシップ ルール] ブレードで、次のようにフィールドに入力します。
    • [動的メンバーシップ ルールの追加]: 簡易ルール
    • [追加するデバイスの場所]: enrollmentProfileName
    • 中央のボックスで [等しい] を選択します。
    • 最後のフィールドには、先ほど作成した登録プロファイル名を入力します。 動的メンバーシップルールの詳細については、「Microsoft Entra IDのグループの動的メンバーシップルール」を参照してください。
  5. [クエリの追加]>[作成] を選択します。

専用デバイスを登録する

これで専用デバイスを登録できるようになりました。

注:

Microsoft Intune アプリは、専用デバイスの登録時に自動的にインストールされます。 このアプリは登録に必要であり、アンインストールすることはできません。 Microsoft Authenticator アプリは、Microsoft Entra ID共有モードでトークンの種類の企業所有の専用デバイスを使用する場合、専用デバイスの登録中に自動的にインストールされます。 このアプリはこの登録方法に必要であり、アンインストールすることはできません。

Android Enterprise 専用デバイスでアプリを管理する

割り当ての種類が [必須] に設定されているアプリのみ、Android Enterprise 専用デバイスにインストールできます。 アプリは、Android Enterprise 個人所有および企業所有の仕事用プロファイル デバイスと同じ方法で、マネージド Google Play ストアからインストールされます。

アプリは、アプリ開発者が更新版を Google Play に公開したとき、管理対象デバイスで自動的に更新されます。

Android Enterprise 専用デバイスからアプリを削除するには、次のいずれかの操作を行います。

  • 要求されたアプリの展開を削除します。
  • アプリのアンインストール展開を作成します。

次の手順