Microsoft Intuneで Android エンタープライズ デバイスを構成するためのエンド ツー エンド ガイド
このガイドは、管理者がMicrosoft Intune環境で Android エンタープライズ デバイスを構成およびトラブルシューティングする方法を理解するのに役立ちます。 次の一般的なシナリオについて説明します。
- Google へのオンボード
- アプリケーションの展開
- 仕事用プロファイル登録の有効化
- 条件付きアクセスの構成
- 仕事用プロファイル登録のエンド ユーザー エクスペリエンス
- 仕事用プロファイルのパスコードリセットの発行
これは、organizationに最適な管理機能を決定するのに役立ち、Android エンタープライズに関する FAQ を提供します。
ニーズを評価する
Intuneで Android エンタープライズ デバイスを有効にする前に、それらのデバイスを個人用デバイス (Bring Your Own Device、BYOD) として登録するか、会社のデバイスとして登録するかを決定する必要があります。
BYOD デバイス
BYOD デバイスは、Android Enterprise 仕事用プロファイルを持つよう設定されています。 この機能は、Android 5.1 以降のバージョンに組み込まれています。 この機能を使用すると、仕事用アプリとデータを、デバイス上の独立した自己完結型の会社が管理する領域に格納できます。 個人用アプリとデータはユーザーの個人プロファイル内のデバイスに残るため、従業員は通常と同じようにデバイスを引き続き使用できます。
会社のデバイス
企業所有のデバイスには 2 つのオプションがあり、それぞれが一意のユース ケースを提供します。
専用デバイス (旧称 COSU、または企業所有の単一使用)。
注:
このガイドで使用する例は、BYOD シナリオに焦点を当てています。 専用デバイス (COSU) シナリオの詳細については、「 QR コード登録方法を使用した COSU 構成と登録」を参照してください。
専用デバイスは通常、1 つのアプリまたは一連のアプリ (キオスク モードとも呼ばれます) にロックされます。 これにより、管理者は、ステータス バー、キーボード レイアウト、ロック画面、デバイスのその他の設定などを制御できます。 これにより、ユーザーが他のアプリを有効にしたり、専用デバイスで特定の設定を変更したりできなくなります。
注:
この方法で管理するデバイスは、ユーザー アカウントなしでIntuneに登録され、エンド ユーザーには関連付けられません。 個人使用アプリケーションや、Outlook や Gmail などのユーザー固有のアカウント データに対して強力な要件を持つアプリを対象としたものではありません。
フル マネージド デバイス (旧称 COBO、または企業所有のビジネスのみ)。
注:
フル マネージド デバイスの詳細については、「Android Enterprise フル マネージド デバイスのIntune登録を設定する」を参照してください。
フル マネージド デバイスは、よりユーザー中心のシナリオに適合します。 1 人のユーザーがデバイスに関連付けられますが、管理者はデバイスを完全に制御できます (複数のユーザーが制御できる仕事用プロファイルシナリオとは対照的)。
デバイスを登録する方法を決定するときは、両方の方法ですべての機能を使用できるわけではないことに注意してください。 次の表は、いくつかの重要な違いを示しています。
機能セット | 仕事用プロファイル (BYOD) | 専用 (キオスク) | フル マネージド |
---|---|---|---|
マネージド Email プロファイル | ✓ | ○ | ✓ |
マネージド Wi-Fi プロファイル | ✓ | ✓ | ✓ |
マネージド VPN プロファイル | ✓ | ○ | ✓ |
SCEP 証明書プロファイル | ✓ | ✓ | ✓ |
PKCS 証明書プロファイル | ✓ | ○ | ✓ |
信頼された証明書プロファイル | ✓ | ✓ | ✓ |
カスタム プロファイル | ✓ | ○ | x |
工場出荷時のリセットを防止する | ○ | ✓ | ✓ |
カメラ & スクリーン キャプチャをブロックする | ✓ | ✓ | ✓ |
ボリューム ボタンをブロックする | ○ | ✓ | ✓ |
コピーと貼り付け/データ共有をブロックする | ✓ | ✓ | ✓ |
マネージド パスワード | ✓ | ✓ | ✓ |
マネージド アプリケーション (必須) | ✓ | ✓ | ✓ |
マネージド アプリケーション (使用可能) | ✓ | ○ | ✓ |
コンテナー化されたプロファイル | ✓ | ○ | x |
キオスク レベルのデバイス管理 | ○ | ✓ | x |
個人用デバイス管理 | ✓ | ○ | x |
NFC-Based 登録 | ○ | ✓ | ✓ |
Token-Based 登録 | ○ | ✓ | ✓ |
QR Code-Based 登録 | ○ | ✓ | ✓ |
ゼロ タッチ | ○ | ✓ | ✓ |
コンプライアンス/条件付きアクセス | ✓ | ○ | ✓ |
詳細については、「Microsoft Intune プランを実装する」を参照してください。
Intune アカウントを Android Enterprise アカウントに接続する
環境内で Android エンタープライズを構成する最初の手順は、Intune テナント アカウントを Android Enterprise アカウントに接続することです。
Google サービス アカウント (@gmail.com) を作成します。
注:
このアカウントは、テナントのすべての Android エンタープライズ管理タスクに関連付けられます。 会社の IT 管理者が Google Play コンソールでアプリを管理および公開するために共有する Google アカウントです。 既存の Google アカウントを使用するか、新しい Google アカウントを作成できます。 使用するアカウントは、G-Suite ドメインに関連付けてはいけません。
Intuneライセンスのグローバル管理者アカウントを使用して、Microsoft Intune管理センターにサインインします。
[デバイス]>[Android Android>登録>] [マネージド Google Play] の順に選択し、[同意する] を選択し、[Google を起動して今すぐ接続する] を選択して、マネージド Google Play Web サイトを開きます。
Google アカウントにサインインし、[ はじめに] を選択します。
ビジネス名を入力し、[ 次へ] を選択します。
条項に同意し、[確認] を選択 します。
[ 登録の完了] を選択します。
詳細については、「Intune アカウントをマネージド Google Play アカウントに接続する」を参照してください。
アプリケーションを展開する
Intune アカウントが Android Enterprise アカウントに接続されたら、次の手順に従って一部のアプリケーションをデプロイできます。
Intuneライセンスのグローバル管理者アカウントを使用して、Microsoft Intune管理センターにサインインします。
[アプリ>] [すべてのアプリ>の追加] の順に移動します。
[ アプリの種類の選択 ] ウィンドウで、使用可能な ストア アプリ の種類を見つけて、[ マネージド Google Play アプリ] を選択します。
[ 選択] を選択します。 マネージド Google Play アプリ ストアが表示されます。
アプリを検索してアプリの詳細を表示します。 例: アプリIntune ポータル サイト。
アプリを表示するページで、[承認] を選択 します。 アプリのウィンドウが開き、アプリがさまざまな操作を実行するためのアクセス許可を付与するように求められます。
もう一度 [承認] を 選択して、アプリのアクセス許可を受け入れます。
[ 承認設定] タブで、[ アプリが新しいアクセス許可を要求したときに承認を維持する] を選択し、[保存] を選択 します。
[ 選択 ] をクリックしてアプリを選択します。
上部にある [ 同期 ] を選択して、アプリをマネージド Google Play サービスと同期します。
[ 更新] を選択してアプリの一覧を更新し、新しく追加したアプリを表示します。
注:
Intuneとマネージド Google Play ストア間のアプリ同期は手動で行います。 そのため、新しいアプリを承認するたびに [ 同期 ] ボタンを選択する必要があります。
アプリがMicrosoft Intuneに追加されたら、ユーザーとデバイスにアプリを割り当てることができます。 Microsoft Intune管理センターから、[アプリ] [すべてのアプリ]> に移動します。 [ 管理 ] の下を見て、一覧に表示されるアプリを確認します。
アプリをグループに割り当てるには、割り当てるアプリを選択します。 メニューの [管理] セクションで、[プロパティ] を選択し、[割り当て] の横にある [編集] を選択して、[グループの追加] ウィンドウを開きます。
[ 割り当て ] タブの [ 必須] で、[ グループの追加] を選択し、含めるグループを選択して、[選択] を 選択します。
[ 割り当て ] ウィンドウで、[ 確認と保存 ] を選択して、含まれているグループの選択を完了します。
[ 割り当て ] ウィンドウで、[ 保存] を選択して変更を保存します。
[アプリのプロパティ] ビューに戻り、[割り当て] でアプリを確認します。
アプリの展開の詳細については、「Android Enterprise システム アプリをMicrosoft Intuneに追加する」を参照してください。
Android エンタープライズ仕事用プロファイルの登録を有効にする
Intune ポータルで、[デバイス登録>登録の制限] に移動し、[デバイスの種類の制限] で [既定値] を選択します。
[プロパティ]> [プラットフォームの選択] の順に選択し、[Android 用ブロック] を選択し、[Android の仕事用プロファイルを許可する] を選択し、[OK] を選択し、[保存] を選択して変更を保存します。
注:
既定の制限の優先度は最も低く、すべてのユーザーに適用されます。これは編集できません。 追加のカスタム制限を作成する場合は、割り当てられているグループに注意して、この構成と競合しないようにします。
詳細については、「 Android Enterprise 仕事用プロファイル デバイスの登録を設定する」を参照してください。
条件付きアクセスを構成する
Gmail アプリまたは Nine Work アプリを 必須としてデプロイします。
次の手順に従って、アプリへの電子メール プロファイルを作成します。
Intune Azure portalで、[デバイス構成>プロファイル] [プロファイルの>作成] の順に選択し、電子メール プロファイルの [名前] と [説明] を入力します。
[プラットフォーム] ドロップダウン リストから [Android Enterprise] を選択します。
[プロファイルの種類>] [作業プロファイルのみ] で、[Email] を選択します。
[電子メール プロファイル] の設定を構成します。
これらの設定の詳細については、「Android デバイスの設定」を参照して、Intuneで電子メール、認証、同期を構成します。
電子メール プロファイルを作成したら、グループに割り当てます。
デバイス ベースの条件付きアクセスを構成します。
詳細については、「 Android 仕事用プロファイル デバイスの条件付きアクセスを設定する」を参照してください。
Android エンタープライズ デバイスを登録する
職場アカウントでサインインし、[ 今すぐ登録] をタップします。
[ アクセス設定] 画面で、[ 続行] をタップします。
プライバシーに関する声明の画面で、[ 続行] をタップします。
[ 次の内容 ] 画面で、[ 次へ] をタップします。
[ 仕事用プロファイルのセットアップ ] 画面で、[ 承諾] をタップします。
[ 仕事用プロファイルのアクティブ化] 画面で 、[ 続行] をタップします。
注:
上部にバッジ アイコンが表示されます。これは、作業プロファイル内に入っていることを意味します。
[ すべて設定済み ] 画面で、[完了] をタップ します。
Gmail にサインインできるようになりました。 セキュリティ設定の更新を求められたら、[ 今すぐ更新] をタップします。
[ アクティブ化] をタップして、デバイス管理者として Gmail をアクティブ化します。
詳細については、「 Android デバイスの登録」を参照してください。
Android 仕事用プロファイルのパスコードをリセットする
次の手順に従って、仕事用プロファイルのパスコードを必要とするデバイス プロファイルを作成します。
Android エンタープライズ デバイスで、仕事用プロファイルのパスコードを設定していない場合は、設定するように求められます。
「 仕事用プロファイルのセキュリティ保護 - 会社のサポートが仕事用プロファイルのパスワードをリモートでリセットすることを承認する」という 2 番目のプロンプトが表示されるまで待ちます。 リセットを承認するパスコードを入力します。 この操作を正常に実行するために必要なリセット パスワード トークンIntuneアクティブ化します。
注:
これらの手順のいずれかをスキップすると、次のエラー メッセージが表示されます。
パスコードのリセットの開始に失敗しました[ パスコードのリセット] を選択します。
リセットが完了すると、一時的なパスコードが表示されます。
デバイスでこの一時パスコードを入力します。
新しい PIN を設定する必要がある場合は、この一時的なパスコードを再入力し、新しい PIN を入力する必要があります。
パスコードのリセットの詳細については、「 Android 仕事用プロファイルのパスコードをリセットする」を参照してください。
よく寄せられる質問
質問: Google Play for Work ストアから承認されていないアプリが、Intune 管理 ポータルの [モバイル アプリ] ページから削除されないのはなぜですか?
回答: この動作は想定されています。
質問: Intune ポータルの [検出されたアプリ] で管理対象の Google Play アプリが報告されないのはなぜですか?
回答: この動作は想定されています。
質問: Intuneを介して展開されていないマネージド Google Play アプリが仕事用プロファイルに表示されるのはなぜですか?
回答: システム アプリは、作業プロファイルの作成時にデバイス OEM によって仕事用プロファイルで有効にすることができます。 MDM プロバイダーによって制御されません。
トラブルシューティングを行うには、次の手順に従います。
質問: 仕事用プロファイルに登録されているデバイスで [ワイプ (工場出荷時のリセット)] オプションを使用できないのはなぜですか?
回答: この動作は想定されています。 仕事用プロファイルのシナリオでは、MDM プロバイダーはデバイスを完全に制御できません。 使用可能な唯一のオプションは、仕事用プロファイル全体とそのすべての内容を削除する廃止 (会社データの削除) です。
質問: 仕事用プロファイル登録済みデバイスでファイル パス内部ストレージ/Android/Data.com.microsoft.windowsintune.companyportal/files が見つかり、ポータル サイト ログを手動で収集できないのはなぜですか?
回答: この動作は想定されています。 このパスは、Device 管理 (レガシ Android 登録) シナリオでのみ作成されます。
ログを収集するには、次の手順に従います。
- バッジが表示されたポータル サイト アプリで、[メニュー>ヘルプ>]、[サポート] の順にタップしEmail、[送信] Email & [ログのアップロード] をタップします。
- [ヘルプ要求の送信に関するメッセージが表示されたら、Email アプリのいずれかを選択します。
- Microsoft 製品サポートに提供できるインシデント ID を含む電子メールが IT 管理者に生成されます。
質問: マネージド Google Play の最終同期時刻を確認しましたが、数日で更新されていません。 どうしてでしょうか?
回答: この動作は想定されています。 同期は、手動で実行した場合にのみトリガーされます。
質問: Web アプリケーションは、仕事用プロファイルに登録されたデバイスでサポートされていますか?
回答: はい。 Web アプリ (または Web リンク) は、すべての Android Enterprise シナリオでサポートされています。
質問: デバイスパスコードのリセットはサポートされていますか?
回答: 仕事用プロファイル登録済みデバイスの場合、仕事用プロファイル パスコードが管理されていて、ユーザーがリセットを許可している場合は、Android 8.0 以降を実行しているデバイスでのみ、仕事用プロファイルのパスコードをリセットできます。 専用デバイスとフル マネージド デバイスでは、デバイス パスコードのリセットがサポートされています。
質問: 登録時にデバイスを暗号化する必要があります。 暗号化をオフにするオプションはありますか?
回答: いいえ。 Google では、仕事用プロファイルの暗号化が必要です。
質問: Samsung デバイスが SwiftKey などのサード パーティ製キーボードの使用をブロックしているのはなぜですか?
回答: Samsung は Android 8.0 以降のデバイスでこれを強制し始めました。 Microsoft は現在、この問題に関して Samsung と協力しており、利用可能になったら新しい情報を投稿します。