Android Enterprise 専用デバイスの Intune 登録を設定する

Android Enterprise では、専用デバイスのソリューションが設定された企業所有、単一用途、キオスク スタイルのデバイスがサポートされています。 そのようなデバイスは、デジタル サイネージ、チケット印刷、在庫管理など、1 つの目的のために使用されます。 管理者は、デバイスの使用を、単一のアプリまたは限られたアプリのセット (Web アプリを含む) に限定できます。 ユーザーは、管理者によって明示的に承認されていない限り、他のアプリを追加したり、デバイスでアクションを実行したりすることはできません。

この方法で管理するデバイスを Intune に登録するには、次の 2 つの方法があります。

  1. 標準の Android Enterprise 専用デバイスとして。 これらのデバイスは、ユーザー アカウントなしで Intune に登録され、エンド ユーザーとは関連付けられません。 これらのデバイスは、Outlook や Gmail などのユーザー固有のアカウント データに対して強力な要件を持つ個人使用アプリケーションやアプリを対象としたものではありません。

  2. 登録時に Azure AD 共有デバイス モードに構成された Microsoft の Authenticator アプリケーションで自動的に設定される標準の Android Enterprise 専用デバイスとして。 これらのデバイスは、ユーザー アカウントなしで Intune に登録され、エンド ユーザーとは関連付けられません。 これらのデバイスは、Azure AD の共有デバイス モードと統合されたアプリケーションで使用することを目的としており、参加しているアプリケーション間でのユーザーのシングル サインインおよびシングル サインアウトを可能にします。

Intune では、Android Enterprise 専用デバイスにアプリや設定を展開できます。 Android Enterprise に関する特定の詳細については、Android Enterprise の要件に関するページを参照してください。

デバイスの要件

デバイスを Android Enterprise 専用デバイスとしてエンドポイント マネージャーで管理するには、これらの要件を満たす必要があります:

  • Android OS バージョン 8.0 以降。
  • デバイスは、Google Mobile Services (GMS) に接続できる Android ディストリビューションを実行する必要があります。 デバイスで GMS が利用できて、GMS に接続できる必要があります。

Android Enterprise 専用デバイスの管理を設定する

Android Enterprise 専用デバイスの管理を設定するには、次の手順を行います。

  1. モバイル デバイス管理の準備として、MDM (モバイル デバイス管理) 機関を Microsoft Intune に設定し、そこに指示を求める必要があります。 この項目は、モバイル デバイス管理について初めて Intune を設定するときに一度だけ設定します。
  2. managed Google Play アカウントに Intune テナント アカウントを接続します
  3. 登録プロファイルを作成します
  4. デバイス グループを作成します
  5. 専用デバイスを登録します

登録プロファイルの作成

注:

トークンの有効期限が切れている場合、それに関連付けられているプロファイルが [デバイスの登録]>[Android の登録]>[会社が所有する専用デバイス] に表示されることはありません。 アクティブと非アクティブの両方のトークンに関連付けられているすべてのプロファイルを表示するには、[フィルター] をクリックし、[アクティブ] と [非アクティブ] の両方のポリシーの状態のチェックボックスをオンにします。

専用デバイスを登録できるように、登録プロファイルを作成する必要があります。 プロファイルが作成されると、登録トークン (ランダムな文字列) と QR コードが与えられます。 デバイスの Android OS とバージョンに基づき、トークンか QR コードのいずれかを使って専用デバイスを登録できます。

  1. Microsoft Endpoint Manager admin center にサインインし、[デバイス]>[Android]>[Android の登録]>[会社が所有する専用デバイス] を選択します。
  2. [作成] を選択し、必須フィールドに入力します。
    • [名前]: 動的デバイス グループにプロファイルを割り当てるときに使用する名前を入力します。
    • トークンの種類: 専用デバイスの登録に使用するトークンの種類を選択します。
      • 企業所有の専用デバイス (既定): このトークンを使用すると、デバイスは標準の Android エンタープライズ専用デバイスとして登録されます。 これらのデバイスは、どの時点でもユーザーの資格情報を必要としません。 これは、トークンの作成時に管理者によって更新されない限り、専用デバイスの登録で使用される既定のトークンの種類です。
      • Azure AD 共有モードを使用した企業所有の専用デバイス: このトークンを使用すると、デバイスが標準の Android Enterprise 専用デバイスとして登録され、登録時に、Azure AD 共有デバイス モードに構成されている Microsoft Authenticator アプリがデプロイされます。 このオプションを使用すると、ユーザーは、Azure AD の Microsoft 認証ライブラリおよびグローバル サインイン/サインアウト呼び出しと統合されているデバイス上のアプリ間でのシングル サインインとシングル サインアウトが可能になります。
    • [トークンの有効期限]: トークンの有効期限が切れる日付。 Google は最大 90 日間を強制します。
  3. [作成] を選択してプロファイルを保存します。

デバイス グループを作成する

アプリとポリシーの対象を、割り当てたデバイス グループか動的デバイス グループに設定できます。 特定の登録プロファイルで登録されているデバイスに自動でデータを入力するように、次の手順で動的 Azure AD デバイス グループを構成できます。

  1. Microsoft Endpoint Manager admin center にサインインし、[グループ]>[すべてのグループ]>[新しいグループ] を選択します。
  2. [グループ] ブレードで、次のように必須フィールドに入力します。
    • [グループの種類]: セキュリティ
    • [グループ名]: わかりやすい名前を入力します (Factory 1 デバイスなど)
    • [メンバーシップの種類]: 動的デバイス
  3. [動的クエリの追加] を選択します。
  4. [動的メンバーシップ ルール] ブレードで、次のようにフィールドに入力します。
    • [動的メンバーシップ ルールの追加]: 簡易ルール
    • [追加するデバイスの場所]: enrollmentProfileName
    • 中央のボックスで [等しい] を選択します。
    • 最後のフィールドには、先ほど作成した登録プロファイル名を入力します。 動的メンバーシップ ルールの詳細については、Azure AD 内のグループに対する動的メンバーシップ ルールに関する記事を参照してください。
  5. [クエリの追加]>[作成] を選択します。

トークンを置換または削除する

  • トークンの置換: [トークンの置換] を利用することで、有効期限が近づいたとき、新しいトークン/QR コードを生成できます。
  • トークンの取り消し: トークン/QR コードをただちに失効させることができます。 取り消した時点から、トークンまたは QR コードは使用できなくなります。 次の場合にこのオプションを使用できます。
    • 認められていない団体と誤ってトークン/QR コードを共有した
    • 登録がすべて完了し、トークン/QR コードが不要になった

トークン/QR コードを取り替えたり、取り消したりしても、登録済みにデバイスに影響が出ることはありません。

  1. Microsoft Endpoint Manager admin center にサインインし、[デバイス]>[Android]>[Android の登録]>[会社が所有する専用デバイス] を選択します。
  2. 置き換えるか取り消すプロファイルを選択します。
  3. [トークン] を選択します。
  4. トークンを置換するには、[トークンの置換] を選択します。
  5. トークンを取り消すには、[トークンの取り消し] を選択します。

専用デバイスを登録する

これで専用デバイスを登録できるようになりました。

注:

Microsoft Intune アプリは、専用デバイスの登録時に自動的にインストールされます。 このアプリは登録に必要であり、アンインストールすることはできません。 トークンの種類 Azure AD 共有モードを使用した企業所有の専用デバイスを使用すると、専用デバイスの登録時に Microsoft Authenticator アプリが自動的にインストールされます。 このアプリはこの登録方法に必要であり、アンインストールすることはできません。

Android Enterprise 専用デバイスでアプリを管理する

割り当ての種類が [必須] に設定されているアプリのみ、Android Enterprise 専用デバイスにインストールできます。 アプリは、個人または企業が所有する Android Enterprise 仕事用プロファイル デバイスと同じ方法で Managed Google Play ストアからインストールされます。

アプリは、アプリ開発者が更新版を Google Play に公開したとき、管理対象デバイスで自動的に更新されます。

Android Enterprise 専用デバイスからアプリを削除するには、次のいずれかの操作を行います。

  • 要求されたアプリの展開を削除します。
  • アプリのアンインストール展開を作成します。

次の手順