Intune での Android デバイス管理者のデバイス コンプライアンス設定

この記事では、Intune の Android デバイス管理者デバイスで構成できるコンプライアンス設定の一覧を示します。 モバイル デバイス管理 (MDM) ソリューションの一環として、これらの設定を使用して、ルート化されたデバイスを準拠していないとマークし、許可された脅威レベルを設定し、Google Play Protect を有効にします。

コンプライアンス ポリシーの構成については、「 コンプライアンス ポリシーを使用して Intune で管理するデバイスのルールを設定する」を参照してください。

この機能は、以下に適用されます。

• Android デバイス管理者

Intune 管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。 コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。

Important

Microsoft Intune は、Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを 2024 年 8 月 30 日に終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

開始する前に

コンプライアンス ポリシーを作成します。 [ プラットフォーム] で、[ Android デバイス管理者] を選択します。

Microsoft Defender for Endpoint

• デバイスは、次のマシン リスク スコア以下であることが必要

  Microsoft Defender for Endpointによって評価されたデバイスに対して許可される最大マシン リスク スコアを選択します。 このスコアを超えるデバイスは、非準拠としてマークされます。

  • 未構成 (既定値)
  • Clear
  • 低
  • [ Medium]
  • High

デバイスの正常性

• デバイス管理者が管理するデバイス
  デバイス管理者 の機能は、Android Enterprise に置き換えられます。

  • 未構成 (既定値)
  • ブロック - デバイス管理者をブロックすると、ユーザーは Android Enterprise Personally-Owned に移動し、仕事用プロファイル管理を Corporate-Owned してアクセスを回復できます。

• ルート化されたデバイス
  ルート化されたデバイスが企業アクセスできないようにします。 (このコンプライアンス チェックは、Android 4.0 以降でサポートされています)。

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • [ブロック ] - ルート化されたデバイスを準拠していないとしてマークします。

• デバイスは、デバイス脅威レベル以下であることが必要
  この設定を使用して、接続されている Mobile Threat Defense サービスからリスク評価をコンプライアンスの条件として取得します。

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • セキュリティ保護 - このオプションは、デバイスに脅威を持つことができないため、最も安全です。 デバイスが任意のレベルの脅威で検出された場合は、非準拠として評価されます。
  • 低 - 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 低レベルより高い脅威が存在する場合、デバイスは非準拠状態になります。
  • 中 - デバイス上の既存の脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 デバイスに高レベルの脅威が検出された場合は、非準拠と判断されます。
  • 高 - このオプションは最も安全性が低く、すべての脅威レベルを許可します。 レポート目的でのみこのソリューションを使用している場合に役立つ場合があります。

Google Play Protect

重要

Google Mobile Services が利用できない国/地域で動作しているデバイスは、Google Play のコンプライアンス ポリシー設定の評価に失敗します。 詳細については、「 Google Mobile Services が利用できない Android デバイスの管理」を参照してください。

• Google Play 開発者サービスが構成されている
  Google Play サービスは、セキュリティ更新プログラムを許可し、認定された Google デバイス上の多くのセキュリティ機能の基本レベルの依存関係です。

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • 必須 - Google Play サービス アプリのインストールと有効化が必要です。

• 最新のセキュリティ プロバイダー

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • 必須 - 最新のセキュリティ プロバイダーが既知の脆弱性からデバイスを保護できるようにする必要があります。

• アプリの脅威のスキャン

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • 必須 - Android のアプリの検証 機能が有効になっている必要があります。

  注:

  従来の Android プラットフォームでは、この機能はコンプライアンス設定です。 Intune でチェックできるのは、この設定がデバイス レベルで有効になっているかどうかだけです。

• 整合性の判定を再生する
  満たす必要がある Google の プレイインテグリティ のレベルを入力します。 次のようなオプションがあります。

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • 基本的な整合性を確認する
  • デバイスの整合性 & 基本的な整合性を確認する

注:

アプリ保護ポリシーを使用して Google Play の保護設定を構成するには、「Android での Intune アプリ保護ポリシー設定 」を参照してください。

デバイスのプロパティ

オペレーティング システムのバージョン

• 最小 OS バージョン
  デバイスが最小 OS バージョン要件を満たしていない場合は、非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択し、会社のリソースにアクセスできます。

  既定では、バージョンは構成されていません。

• 最大 OS バージョン
  デバイスがルールで指定されたバージョンより後の OS バージョンを使用している場合、会社のリソースへのアクセスはブロックされます。 ユーザーは IT 管理者に連絡するように求められます。OS バージョンを許可するようにルールが変更されるまで、このデバイスは会社のリソースにアクセスできません。

  既定では、バージョンは構成されていません。

システム セキュリティ

暗号化

• デバイス上のデータ ストレージの暗号化を要求する
  Android 4.0 以降、または KNOX 4.0 以降でサポートされています。

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • [必須] - デバイス上のデータ ストレージを暗号化します。 [ モバイル デバイスのロックを解除するためにパスワードを要求する ] 設定を選択すると、デバイスが暗号化されます。

デバイスのセキュリティ

• 提供元不明のアプリをブロックする
  Android 4.0 から Android 7.x でサポートされています。 Android 8.0 以降ではサポートされていません

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • ブロック - セキュリティ > 不明なソース が有効なソースを持つデバイスをブロックします (Android 4.0 から Android 7.x でサポートされています)。Android 8.0 以降ではサポートされていません。)。

  アプリをサイドロードするには、不明なソースを許可する必要があります。 Android アプリをサイドローディングしていない場合は、この機能を [ブロック] に設定して、このコンプライアンス ポリシーを有効にします。

  重要

  サイドローディング アプリケーションでは、[ 不明なソースからアプリをブロック する] 設定が有効になっている必要があります。 デバイスに Android アプリをサイドローディングしていない場合にのみ、このコンプライアンス ポリシーを適用します。

• ポータル サイト アプリのランタイムの整合性

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。

  • [必須] - [必須] を選択して、ポータル サイト アプリが次のすべての要件を満たしていることを確認します。

    • 既定のランタイム環境がインストールされている
    • 正しく署名されている
    • デバッグ モードではない

• デバイスでの USB デバッグをブロックする
  (Android 4.2 以降でサポート)

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • [ブロック ] - デバイスが USB デバッグ機能を使用できないようにします。

• 最低限のセキュリティ パッチ レベル
  (Android 8.0 以降でサポート)

  デバイスで使用できる最も古いセキュリティ パッチ レベルを選択します。 少なくともこのパッチ レベルではないデバイスは非準拠です。 日付は形式で入力する YYYY-MM-DD 必要があります。

  既定では、日付は構成されません。

• 制限されたアプリ
  制限する アプリの [アプリ名 ] と [ アプリ バンドル ID] を 入力し、[ 追加] を選択します。 少なくとも 1 つの制限付きアプリがインストールされているデバイスは、非準拠としてマークされます。

Password

パスワードに使用できる設定は、デバイス上の Android のバージョンによって異なります。

すべての Android デバイス

Android 4.0 以降と Knox 4.0 以降では、次の設定がサポートされています。

• パスワードが要求されるまでの非アクティブの最長時間 (分)
  この設定では、モバイル デバイスの画面がロックされた後のユーザー入力のない時間の長さを指定します。 オプションの範囲は 1 分 から 8 時間です。 推奨値は 15 分です。

  • 未構成(既定値)

• モバイル デバイスのロックを解除するパスワードを要求する

  この設定では、モバイル デバイスの情報にアクセスを許可する前に、ユーザーにパスワードの入力を要求するかどうかを指定します。 推奨値: 必須 (このコンプライアンス チェックは、OS バージョンの Android 4.0 以上または KNOX 4.0 以上のデバイスでサポートされています)。

  • 未構成(既定値)

Android 10 以降

次の設定は Android 10 以降ではサポートされていますが、Knox ではサポートされていません。

• パスワードの複雑さ
  この設定は Android 10 以降ではサポートされていますが、Samsung Knox ではサポートされていません。 Android 9 以前または Samsung Knox を実行しているデバイスでは、パスワードの長さと種類の設定がこの設定を上書きして複雑になります.

  必要なパスワードの複雑さを指定します。

  • None(default) - パスワードは必要ありません。
  • 低 - パスワードは、次のいずれかの条件を満たします。
    • パターン
    • 数値 PIN には、繰り返し (4444) または順序付け (1234、4321、2468) シーケンスがあります。
  • Medium - パスワードは、次のいずれかの条件を満たします。
    • 数値 PIN には、繰り返し (4444) または順序付け (1234、4321、2468) シーケンスがないため、最小長は 4 です。
    • アルファベットで、最小長は 4 です。
    • 英数字。最小長は 4 です。
  • High - パスワードは、次のいずれかの条件を満たします。
    • 数値 PIN には繰り返し (4444) または順序付け (1234、4321、2468) シーケンスがないため、最小長は 8 です。
    • アルファベットで、最小長は 6 です。
    • 英数字。最小長は 6 です。

Android 9 以前または Samsung Knox

次の設定は、Android 9.0 以前および任意のバージョンの Samsung Knox でサポートされています。

• モバイル デバイスのロックを解除するパスワードを要求する
  この設定では、モバイル デバイスの情報にアクセスを許可する前に、ユーザーにパスワードの入力を要求するかどうかを指定します。 推奨値: 必須

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。

  [必須] に設定すると、次の設定を構成できます。

  パスワードの入力が必要
  パスワードに数字のみを含めるか、数字とその他の文字を組み合わせて使用するかを選択します。

  • デバイスの既定値 - パスワードのコンプライアンスを評価するには、必ず [デバイスの既定値] 以外のパスワード強度を選択してください。
  • 低セキュリティ生体認証
  • 少なくとも数値
  • 数値複素数 - または などの11111234繰り返しまたは連続する数字は使用できません。
  • 少なくともアルファベット
  • 少なくとも英数字
  • 少なくとも英数字と記号

  この設定の構成に基づいて、次のオプションの 1 つ以上を使用できます。

  • パスワードの最小文字数
    ユーザーのパスワードに必要な最小桁数または文字数を入力します。

  • パスワードが要求されるまでの非アクティブの最長時間 (分)
    ユーザーがパスワードを再入力する前のアイドル時間を入力します。 [未構成] (既定値) を選択した場合、この設定はコンプライアンスまたはコンプライアンス違反に対して評価されません。

  • パスワードの有効期限が切れるまでの日数
    パスワードの有効期限が切れるまでの日数を選択し、ユーザーが新しいパスワードを作成する必要があります。

  • 再使用を禁止するパスワード世代数
    再利用できない最近のパスワードの数を入力します。 この設定を使用して、ユーザーが以前に使用したパスワードを作成できないように制限します。

次の手順

• 非準拠デバイスのアクションを追加 し、 スコープ タグを使用してポリシーをフィルター処理します。
• コンプライアンス ポリシーを監視します。
• Android Enterprise デバイスのコンプライアンス ポリシー設定を参照してください。