Android デバイス加入の概要
貴社で展開しているそれぞれの Android デバイスと Workspace ONE UEM Console 間の通信を確立し、Android デバイス上で貴社のコンテンツや機能を利用できるようにするには、はじめに Android デバイスの加入が必要です。
Workspace ONE Intelligent Hub は、デバイス加入時に使用するだけではなく、その後もデバイスと接続に関する情報を提供するリソースとなります。Hub ベースの加入では、以下が可能になります。
- 基本サービスまたはディレクトリ サービス (例:AD/LDAP/Domino、SAML、トークン、プロキシ) を使用したユーザー認証
- デバイスの一括登録、またはユーザー自身による登録
- 承認済みの OS バージョン、モデル、およびユーザーあたりのデバイス数の上限を設定
- 自動加入時に Workspace ONE Access を使用して加入を認証します。
デバイスとユーザー/Android/Android EMM 登録
「Android EMM 登録」では、Android に加入するためのさまざまなオプションを構成できます。この画面では、ウィザードを使用してデバイスの統合を設定できます。Android EMM 登録を初めて使用する場合は、「Workspace ONE UEM への Android の登録」ページを参照して設定を行ってください。
ゼロタッチ
ゼロタッチ加入を使用すると、Android デバイスをエンタープライズ モビリティ管理 (EMM) プロバイダとしてすぐに Workspace ONE UEM で構成することができます。
デバイスがデバイス セットアップ時にインターネットに接続されている場合は、Workspace ONE Intelligent Hub が自動的にダウンロードされて加入の詳細情報が自動的に渡され、ユーザーの操作なしにデバイスを加入させます。Android EMM 登録のこのページを使用して、リンクされたゼロタッチ アカウントに追加された新しいデバイスのデフォルト設定を行うことができます。
| 設定 | 説明 |
|---|---|
| 組織グループの指定 | 有効にすると、特定の組織グループが選択されます。このオプションがオンになっていない場合、設定はすべてのグループに適用されます。 |
| DPC 追加項目 | 構成キー フィールドと 構成値 フィールドを使用して、追加の加入フラグを立てます。フラグについては、「Android 加入用にサポートされている追加の加入フラグ」を参照してください。 |
ゼロタッチ加入の手順については、「ゼロタッチ ポータルを使用した Android デバイスの加入」を参照してください。
加入設定
| 設定 | 説明 |
|---|---|
| 企業デバイスの管理モード | デバイスを [Work 管理対象] または [企業所有の個人利用] のどちらとして関連付けるかを選択します。 |
| 閉じたネットワークで動作している場合、または Google Play と通信できない場合は、[AOSP/閉じられたネットワーク] を選択してください。これらのデバイスでは、Google アカウントは作成されません。AOSP/Closed Network Enrollment を使用する場合、管理対象の Google Play を使用するパブリック アプリ管理は利用できません。この設定が適用されるのは、その組織グループで登録されたデバイスだけです。メイン組織は、Google アカウントを使用してデバイスを Work 管理加入に保持することができます。 | |
| 場合によっては、デバイス管理のために複数の組織グループを作成せずに、同じ組織グループに GMS デバイスと非 GMS デバイスを加入させたいことがあります。これらのデバイスに対して QR コード加入を使用している場合は、このフィールドで設定されている加入タイプに関係なく、加入構成ウィザードを使用して AOSP/手閉じられたネットワークの加入を強制することができます。 | |
| [デバイス ベース] が選択されている場合、COPE に適用されるデバイス ベース アカウントのみを使用する必要があります(Android 8.0Android 10、および Android 11 デバイス)。これは、キオスク デバイスなど、代理セットアップおよびシングルユースのシナリオの場合に役立ちます。 | |
| 企業デバイスの Google アカウント生成 | Google アカウントの作成方法を選択します。このフィールドは、管理対象の Google アカウント専用で、Google Workspace または G Suite アカウントでは使用できません。 |
| Work プロファイル企業情報ワイプ ユーザー メッセージ | UEM console から企業情報ワイプを実行したときにユーザー デバイスで表示するトースト メッセージをカスタマイズします。[デバイス詳細] ページから企業情報ワイプを実行すると、このメッセージも生成されます。ユーザーは、自分のデバイスに対して何らかの操作を行う必要はありません。このメッセージは、企業情報ワイプが完了した後に表示されます。 |
加入制限事項
| 設定 | 説明 |
|---|---|
| この組織グループの加入方法を定義します。 | 常に Android を使用、常に Android (Legacy) を使用、または Android を使用する割り当てグループを定義 を選択します。 |
| Android を使用する割り当てグループを定義 を選択する場合、すべての未割り当てデバイスは既定で Android (Legacy) を使用します。 | |
| 割り当てグループ | ドロップダウン メニューからスマート グループを選択します。 |
| スマート グループを選択すると、そのグループに属していないデバイスまたはユーザーは、Android Legacy 加入 (デバイス管理者) に進みます。スマート グループに属するデバイスは、ワーク プロファイルまたは Work 管理対象の加入モードをサポートしていると仮定してワーク プロファイルまたは Work 管理対象に加入します。 | |
| Work プロファイル加入を許可 | この設定を使用して、従業員所有のデバイスが Work プロファイル モードで加入するのをブロックします。 |
Android デバイスのデバイス保護
Android OS 5.1 以降にはデバイス保護と呼ばれる機能が搭載されていて、デバイスをリセットする前後に Google 資格情報の入力を要求できます。デバイスを Android の Work 管理対象デバイスとして加入する準備ができたら、デバイスの工場出荷状態リセットを実行する必要があります。
既存の Google アカウントはすべてデバイスから削除する必要があります。また、加入時に Workspace ONE Intelligent Hub をインストールできるように、セキュア ロック画面を無効にして、デバイス保護のトリガを回避する必要があります。工場出荷状態リセットの状態からデバイスを使用することで、新しいユーザーがデバイスからロックされることも防止します。
以前の所有者が Google アカウントのパスワードを変更していた場合は、明示的に Android デバイス保護を無効にした場合を除き、3 日待ってから Android 5.1 以降のデバイスを工場出荷状態にリセットして加入させる必要があります。3 日を待たずにいずれかの Android デバイスを工場出荷状態にリセットした後、自分の Google アカウントでデバイスにサインインしようとすると、パスワード リセットが発生してから 72 時間が経過するまでは、エラー メッセージが表示され、どのアカウントでもデバイスにログインできません。
Android デバイスの管理外加入を有効にする
Google サービスなしで一部の Android デバイスを Workspace ONE UEM に加入できるようにするには、登録モードを有効にする必要があります。
Intelligent Hub アプリを介して加入させたデバイスは、デフォルトで MDM 管理対象になります。MDM 管理なしで一部の Android デバイスを加入できるようにするには、スマート グループで管理外モードを有効にする必要があります。
利用可能な選択条件は、OS バージョン、所有形態タイプ、およびユーザー グループです。
管理外加入では、ユーザーは基本レベルのセキュリティを必要とするアプリケーションにアクセスできます。管理を必要とするアプリにユーザーがアクセスしようとすると、MDM 加入プロセスがユーザーに案内されます。柔軟な管理アプリ ポリシーを使用して、管理なしで加入した Android デバイスのデバイス管理レベルを制御します。
-
Workspace ONE UEM console で、管理外加入を有効にする組織グループを選択し、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] > [管理モード] ページに移動します。
-
[現在の設定] で、上書き をクリックします。
-
Android の場合は、有効 を選択します。
-
[スマート グループ] で、管理外加入を有効にしたスマート グループを追加します。
-
保存 をクリックします。
構成したスマート グループに属する Android デバイスを使用するユーザーには、アプリへの管理外アクセス権が付与されます。Workspace ONE UEM モバイル デバイス管理にデバイスを加入させなくても、ユーザーは Workspace ONE Intelligent Hub アプリを使用して基本レベルのセキュリティを必要とするアプリケーションにアクセスできます。
