IT 管理者は、Android の組み込み管理機能を利用して、業務専用に使用されるデバイスを詳細に管理できます。

組織内で使用されているデバイスの所有形態に応じて、Android には複数のモードが用意されています。

  • [ワーク プロファイル]:業務アプリケーションおよびデータ専用の領域をデバイス上に作成します。これは、個人デバイスの業務利用 (BYOD) アプリケーションに最適な展開です。
  • [ワーク管理対象デバイス]:Workspace ONE UEM および IT 管理者はデバイス全体を制御し、ワーク プロファイルには利用できない幅広いポリシー制御を適用できますが、デバイスは企業の使用にのみ制限されます
    • [企業所有の個人利用]:企業が所有するデバイスを表しており、Work 管理対象デバイスと似ていますが、個人と企業の両方の使用に対応する Work プロファイルがプロビジョニングされます。
    • [Google Play サービスを使用しないワーク管理対象デバイス]:Workspace ONE UEM を、Android オープン ソース プロジェクト (AOSP) デバイス、非 GMS デバイス、または組織内の閉じられたネットワークで使用する場合は、Google Play サービスを使用せずにワーク管理対象デバイスの加入フローを使用して Android デバイスを加入できます

Work プロファイル モードの機能

Work プロファイル内のアプリケーションは、赤色のブリーフケース アイコンによって区別され、バッジ アプリとも呼ばれます。ユーザーの個人用アプリと統合されたランチャー内に表示されます。たとえばデバイスに Google Chrome の個人用アイコンと、バッジで区別される Work Chrome 用のアイコンの両方が表示されます。エンドユーザーからは 2 つの異なるアプリケーションのように見えますが、アプリのインストールは 1 回だけで、ビジネス データと個人データが別々に格納されています。

Workspace ONE Intelligent Hub はバッジ付きであり、Work プロファイル データ領域内のみに存在します。個人用アプリは制御できず、Workspace ONE Intelligent Hub には個人情報へのアクセス権がありません。

Work Chrome、Google Play、Google 設定、連絡先、カメラなど、既定で Work プロファイルに含まれているシステム アプリケーションは多数ありますが、制限事項プロファイルを使用して非表示にできます。

一部の設定は、個人用と業務用の構成の間に区切りが表示されます。次の設定で別々の構成が表示されます。

  • [資格情報]:管理対象デバイスへのユーザー認証用の社内証明書を表示します。
  • [アカウント]:Work プロファイルに関連付けられている管理 Google アカウント。
  • [アプリケーション]:デバイスにインストールされているすべてのアプリケーションを一覧表示します。
  • [セキュリティ]:デバイスの暗号化ステータスを表示します。

Work 管理対象デバイス モードの機能

Work 管理対象デバイスのモードでデバイスが加入すると、真の企業所有モードが作成されます。Workspace ONE UEM がデバイス全体を制御し、業務データと個人データの区切りがありません。

Work 管理対象モードで注意すべき重要な点は次のとおりです。

  • ホーム画面には、Work プロファイル モードのようなバッジ アプリケーションは表示されません。
  • ユーザーは、デバイスのアクティベーション時に事前ロードされていたさまざまなアプリケーションにアクセスできます。追加のアプリケーションは、Workspace ONE UEM コンソールを通じてのみ承認および追加できます。
  • Workspace ONE Intelligent Hub は、セキュリティ設定でデバイス管理者として設定され、無効にできません。
  • Work 管理対象モードのデバイスを加入解除すると、デバイスの工場出荷状態リセットを要求されます。

Google Play サービスを使用しない Work 管理対象デバイス

Workspace ONE UEM を、Android オープン ソース プロジェクト (AOSP) デバイス、非 GMS デバイス、または組織内の閉じたネットワークで使用する場合は、Google Play サービスを使用せずに Work 管理対象デバイスの登録フローを使用して Android デバイスを登録できます。アプリケーションのホストを組織のイントラネットで行い、OEM 固有の登録方法を使用して展開することができます。

UEM console において、Android EMM 登録時に AOSP/Closed Network を使用することを指定する必要があります。詳細は、管理対象の Google Play アカウントを使用して Android EMM を登録する を参照してください。

Google Play サービスを使わずに AOSP/Closed Network 展開で Work 管理対象デバイスを使用する場合は、次の点を考慮してください。
  • Android がトップ組織グループでセットアップ済みであり、AOSP/Closed Network を特定のサブ組織グループのみで使用したい場合は、UEM console 管理者のオプションとして、サブ組織グループでの OOBE (Out of Box Enrollment) に管理対象 Google アカウントがないことを指定できます。詳細は、Android EMM 登録の加入設定を参照してください。
  • Workspace ONE UEM 1907 以前を使用してデバイスを展開する場合、UEM console の構成は必要ありません。
  • Workspace ONE UEM 1908 以降を使用してデバイスを展開する場合は、「Android EMM 登録」ページで設定を構成する必要があります。
  • サポートされている加入方法は次のとおりです。
    • QR コード
    • Zebra デバイス用の StageNow
    • Honeywell デバイス用の Honeywell Enterprise Provisioner
  • VMware Workspace ONE Intelligent Hub 識別子を使用した登録は、AOSP デバイスではサポートされていません。
  • パブリック自動更新プロファイルはサポートされていません。このプロファイルは、パブリック アプリケーション専用であり、AOSP や閉じたネットワーク上のデバイスでは機能しません。
  • 工場出荷状態リセット保護プロファイルはサポートされていません。
  • 内部アプリケーション(Workspace ONE UEM console でホスト)は、AOSP/Closed Network デバイスにサイレントで展開されます。
  • 管理対象 Google アカウントなしで登録された Work 管理デバイスについては、パブリック アプリケーションの割り当てはできず、パブリック アプリケーションの割り当てデバイス数にカウントされません。
  • Google Play サービスを使用しないワーク管理対象デバイスの OS バージョンおよび OEM の要件:
    • AOSP(非 GMS)
      • Zebra および Honeywell - StageNow または Honeywell Enterprise Provisioner 加入をサポートしている OS バージョンである必要があります。
      • その他の OEM - OEM が StageNow のようなクライアントを介して、または QR コード加入へのアクセスをユーザーに可能にすることで、そのサポートを開発している場合を除き、サポートされていません。
    • 閉じられたネットワーク
      • Zebra および Honeywell - Android 7.0 以降、あるいは StageNow(同様に 7.0 以降)または Honeywell Enterprise Provisioner 加入をサポートしている OS バージョンである必要があります。
      • その他の OEM - Android 7.0 以降(QR コード加入が、サポートされている唯一の方法であるため)。

企業所有の個人利用 (COPE) モード

COPE モードを使用してデバイスを加入する場合、引き続きデバイス全体を制御します。COPE モードに独自の機能は、デバイス用と Work プロファイルの内部用に 2 つの別個のポリシーのセット(制限など)を適用できることです。

COPE モードは、Android 8.0 以降のデバイスでのみ使用可能です。Android 8.0 より前の Android デバイスを加入する場合、完全管理対象デバイスとして自動的に加入します。

デバイスを COPE モードに加入する際に考慮すべき事項があります。

  • SDK を使用した PIN ベースの暗号化と Workspace ONE UEM シングル サインオンは、企業所有の個人利用デバイスではサポートされていません。Work アプリケーションを使用するときに必ずパスコードを使用するために、Work パスコードを適用することができます。
  • シングル ユーザーの代理セットアップおよびマルチ ユーザーの代理セットアップは、COPE 加入にはサポートされていません。
  • (Workspace ONE UEM でホストされている)内部アプリケーションおよび COPE デバイスに展開されているパブリック アプリケーションは、ワーク プロファイル内のアプリケーション カタログに表示されます。
  • Work プロファイルのみの加入と同様に、企業所有の個人利用デバイスには、たとえばユーザーが休暇中の場合などにWork プロファイルを無効にするオプションがあります。Work プロファイルが無効になっていると、Work アプリケーションは通知を表示しなくなり、起動できません。Work プロファイルの状態(有効または無効)が、管理者に対して [デバイス詳細] ページに表示されます。Work プロファイルが無効になっている場合、最新のアプリケーションとプロファイル情報を Work プロファイルから取得できません。
  • Workspace ONE Intelligent Hub は、企業所有の個人利用デバイスの [完全管理対象] および [Work プロファイル] セクションにあります。Workspace ONE Hub が Work プロファイルの内部と外部の両方にあることで、管理ポリシーを Work プロファイル内とデバイス全体に適用できます。ただし、Workspace ONE Intelligent Hub は Work プロファイル内にのみ表示されます。
  • デバイスにプッシュ通知が送信されると、Work プロファイルの外部の Workspace ONE Intelligent Hub は一時的に使用可能になり、ユーザーはメッセージを表示できます。これにより、Work プロファイルが一時的に無効になっている場合でも、重要なメッセージがユーザーに送信されます。
  • 割り当てられたプロファイルは、Work プロファイルで Workspace ONE Intelligent Hub を使用して表示できます。
  • アプリケーション管理(アプリケーションのブロック/削除など)の順守ポリシーは、Work プロファイル内のアプリケーションにのみサポートされます。アプリケーションは、アプリケーション制御プロファイルを使用して(Work プロファイルの外部で)デバイスにブラックリスト登録することができます。
  • 企業情報ワイプを実行すると、企業所有の個人利用デバイスは工場出荷状態にリセットされます。
  • COPE の加入では、プロダクト プロビジョニングはサポートされていません。
  • [Android 11 固有の変更]
    • (Workspace ONE UEM によってホストされる) 社内アプリケーションは、デバイスの個人用プロファイル側にプッシュできなくなります。社内アプリ(プライベート アプリとして)およびパブリック アプリは、いずれも Work プロファイルのみに展開する必要があります。
      • 社内アプリケーションに依存する順守ルールなどの機能もサポート対象外となります。
    • 加入メソッド afw#hub はサポート対象外となります。
      • 代わりに、QR コードまたはゼロタッチ加入を使用することを検討してください。