This site will be decommissioned on December 31st 2024. After that date content will be available at techdocs.broadcom.com.

Android プロファイルを構成する方法

Android プロファイルでは、デバイスを適切に使用し、機密データを保護します。プロファイルの用途は多岐にわたり、社内のルールと手続きを強制的に適用することから、Android デバイスをその使用形態に合わせて調整することまで、さまざまに利用できます。

Android プロファイルおよび Android Legacy プロファイル

プロファイルを展開する場合は、次の 2 種類の Android プロファイルがあります。「Android」 と 「Android (Legacy)」 が表示されます。Android EMM 登録を完了している場合は、Android プロファイル オプションを選択します。EMM 登録をしていない場合は、Android (Legacy) プロファイルを使用できます。Android EMM 登録を行わないで Android を選択した場合、設定ページに移動して EMM 登録を完了するか Android (Legacy) プロファイルの展開に進むように求めるエラー メッセージが表示されます。

Work プロファイルと Work 管理対象デバイス モード

Work プロファイルは、主に BYOD のユース ケースに合わせて調整された特別なタイプの管理者です。ユーザーが自身の Google アカウントで構成された個人用デバイスをすでに所有している場合は、Workspace ONE UEM 加入によって Work プロファイルが作成され、ここに Workspace ONE Intelligent Hub がインストールされます。Workspace ONE UEM は Work プロファイルのみを制御します。管理対象アプリは、Work プロファイル内にインストールされ、個人アプリと区別するためのオレンジ色のブリーフケース バッジを表示します。

Work 管理対象デバイスは、プロビジョニングされていない状態または工場出荷時設定にリセットされた状態で加入されたデバイスに適用されます。このモードは、企業所有デバイスに推奨されます。Workspace ONE Intelligent Hub はセットアップ プロセス中にインストールされ、デバイス所有者として設定されます。つまり、Workspace ONE UEM はデバイス全体を完全に制御できます。

Android プロファイルには次のタグが表示されます。「Work プロファイル」 と 「Work 管理対象デバイス」 というタグが表示されます。

Work プロファイル タグが付いているプロファイル オプションは、Work プロファイルの設定およびアプリにのみ適用され、ユーザーの個人アプリや設定には影響を与えません。たとえば、特定の制限事項により、カメラへのアクセスや画面キャプチャがオフになります。これらの制限事項は、Work プロファイル内にある、Android バッジ付きのアプリにのみ影響を与え、個人アプリには影響を与えません。ワーク管理対象デバイス用に構成されたプロファイル オプションは、デバイス全体に適用されます。このセクションで説明した各プロファイルは、プロファイルが影響するデバイス タイプを示します。

プロファイルの動作

さまざまな理由で複数のプロファイルを実装する必要がある場合があります。重複するプロファイルが展開される場合、最も制限の厳しいポリシーが優先されます。したがって、2 つのプロファイルがインストールされている状態で 1 つはカメラをブロックし、もう 1 つはカメラを許可する場合、Intelligent Hub for Android はプロファイルを組み合わせてカメラをブロックし、より安全なオプションを選択します。

プロファイルを構成する

Workspace ONE UEM console で、プロファイルごとに同じナビゲーション パスに従います。[プレビュー] セクションに、[割り当てデバイス総数] がリスト表示で示されます。追加したプロファイルは、[サマリ] タブで確認できます。

プロファイルを構成するには、次の手順を実行します。

  1. [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルを追加] > [Android] の順に進みます。

この画像は、UEM Console の [プロファイルを追加] ページのスクリーンショットを示しています。

  1. 以下を構成します。

    設定 説明
    名前 プロファイルの名前を設定し、簡単に認識できる説明を追加します。
    プロファイルスコープ [プロダクション][代理セットアップ]、または [両方] のいずれかの環境でどのようにプロファイルを使用するかを設定します。
    OEM の設定 Samsung または Zebra デバイス固有の設定を構成するには、OEM の設定をオンにします。OEM を選択すると、いずれかの OEM に固有である追加のプロファイルおよび設定表示が表示されます。
  2. 目的のプロファイルの [追加] ボタンを選択し、必要に応じて設定を構成します。追加を選択する前に、ドロップダウンを使用し、プロファイル設定をプレビューできます。

  3. [次へ] を選択して、必要に応じて一般的な [割り当て] および [展開] プロファイル設定を構成します。以下を構成します。

    設定 説明
    スマート グループ
    除外を許可 これをオンにすると、新しいテキスト ボックス [グループを除外] が表示されます。その後、デバイス プロファイルの割り当てから除外するグループを選択できます。
    割り当てタイプ 次のような、プロファイルのデバイスへの展開方法を決定します。[自動] – プロファイルはすべてのデバイスに展開されます。[オプション] – エンド ユーザーがオプションでセルフサービス ポータル (SSP) からインストールするか、または管理者の判断で個々のデバイスに展開されるプロファイルです。また、エンド ユーザーは Web クリップやブックマークのペイロードを使用して Web アプリケーションを表すプロファイルをインストールすることもできます。ペイロードを構成して App Catalog で表示する場合は、プロファイルを App Catalog からインストールできます。順守 – このプロファイルは、デバイスを順守状態にするための是正アクションをユーザーが実行できないときに、順守エンジンによってデバイスに適用されます。
    管理元 プロファイルの管理者権限を持つ組織グループです。
    エリアのみをインストール オンにすると、ジオフェンス オプションが表示されます。選択したエリア内のデバイスのみにインストール:世界中の任意の場所の住所と半径(キロ単位またはマイル単位)を入力して、「プロファイルのインストール境界線」を作成します。
    インストール時間をスケジュール オンにすると、タイム スケジュール設定を行うことができます。スケジュールをオンにし、選択した時間帯のみインストール:構成済みのタイム スケジュールを指定し、デバイスが設定された時間枠内にのみプロファイルを受信するようにします。
  4. 保存して公開 を選択します。

パスコード

管理者がパスコード ポリシーを設定した場合、エンドユーザーはパスコードを入力する必要があります。パスコードは、デバイス上の機密データを守るための最初の防御層です。

Work プロファイル パスコード ポリシーは、Work アプリケーションにのみ適用され、ユーザーは Work プロファイルで加入されたデバイスをロック解除するたびに複雑なパスワードを入力する必要がなくなります。Work アプリケーションにより、企業アプリのデータが保護されるため、エンド ユーザーは任意の方法で個人アプリやデータにアクセスすることができます。Work 管理対象デバイスの場合、このパスコード ポリシーがデバイスに適用されます。Work パスコードは、Android 7.0 (Nougat) 以降の Work プロファイル加入済みデバイスに使用可能です。

デバイス パスコード ポリシーはデバイス全体に適用されます(Work プロファイルまたは Work 管理対象として登録されています)。このパスコードは、デバイスのロックが解除されるたびに入力する必要があり、Work パスコードとは別に適用できます。

デフォルトでは、新しいプロファイルを作成するときに、Work パスコードのみがオンになります (デバイス パスコードは無効になります)。管理者は、デバイス パスコードを手動でオンにする必要があります。

注:パスコード プロファイルがデバイスに存在しても、ユーザーがパスコードを設定していない場合、デバイスが順守状態になるまで、アプリやプロファイルはデバイスにプッシュされません。

パスコード プロファイル設定が確立されると、パスコードが最も近い有効期限に達するかパスコードの変更が必要になったときに、UEM console からユーザーに対して、パスコード設定の更新を求める永続的な通知が出されます。ユーザーは、プロファイルで必要なパスコードを設定するまで、Intelligent Hub を使用できません。Samsung 製デバイスでは、パスコード ポリシーの要件を満たすパスコードを設定するまで、ユーザーはロック画面のセットアップ ウィザードにロックされます。Work 管理対象デバイスの場合、ユーザーはデバイスを使用できません。Work プロファイルおよび COPE デバイスの場合、ユーザーは Work アプリケーションにアクセスできません。

パスコードの複雑度

Work パスコードまたはデバイス パスコードを設定する場合は、追加設定を構成する前にパスコードの複雑度を決定します。まず、パスコードの複雑度制御を基本または高度に設定することで、パスコードの複雑度の最小要件をどの程度きめ細かくするかを決定します。

基本を選択すると、複雑度を、または として設定できます。の場合、ユーザーは任意のタイプのスクリーン ロックを設定できます。の複雑度の場合、ユーザーは自分のデバイスに複雑な暗証番号またはパスコードを設定する必要があります。最小長さ制限はありません。を選択した場合、ユーザーは次のいずれかを設定する必要があります。

  • 8 文字以上の複雑な暗証番号
  • 6 文字以上のパスワード

高度を選択した場合は、プロファイル設定に記載されているパスコードのコンテンツパスコードの最小長の設定を行う必要があります。

[パスコード] プロファイルに使用可能な設定の概要は以下のとおりです。

設定 説明
Work パスコード ポリシーをオンにする オンにすると Android バッジ アプリにのみにパスコード ポリシーを適用できます。
最小パスコード長さ パスコードに適度な複雑度を与えるため、最小文字数を設定します。
パスコードのコンテンツ ドロップダウン メニューから [任意][数字][英数字][アルファベット][複雑][複素数の数値][弱いバイオメトリック] のいずれかを選択して、パスコードの内容がセキュリティ要件を満たしていることを確認します。
簡単な値を使用すると、素早くアクセスできますが、英数字のパスコードを使用すると、セキュリティを強化できます。パスコードで使用する特殊文字 (@、#、&、! 、 、? ) の最小文字数を指定することもできます。
これにより、顔認証など、セキュリティの低い生体認証によるロック解除を利用することができます。重要:パスワード内の特殊文字の最小数が 4 より大きい場合、少なくとも 1 つの小文字と 1 つの大文字が必要です(SAFE v5.2 デバイスのみ)。
試行失敗回数の上限 試行失敗回数の上限を指定します。この回数を超えて失敗すると、デバイスがワイプされます。
パスコードの有効期間 (日) パスコードの有効日数を指定します。
パスコード変更アラート パスコードの有効期限が切れる何日前にユーザーに変更を要請する通知を送付するかを設定します。このオプションは、デバイス パスコード ポリシーでも使用できます。ユーザーは、デバイス上でプロンプトを通じてパスコードを変更するように求められますが、デバイス上でそれ以外の機能は実行できます。順守ポリシーを構成するか、Workspace ONE Intelligent Hub for Android 内の設定を使用して、デバイスに再追加されるパスコードを作成および適用できます。
パスコード履歴 過去に使用したパスコードを再使用したい場合、その前に現在のパスコードを変更しなければならない回数を指定します。
Work プロファイル ロック タイムアウト(分) デバイスの画面が自動ロックされるまでの無操作時間を設定します。
パスコード必要範囲(分) 強力でない認証方法(指紋認識や顔認識など)を使用してデバイスをロック解除してからパスコードが必要になるまでの時間を設定します。このオプションは、デバイス パスコード ポリシーでも使用できます。
ワン ロックを許可 無効にすると、Work プロファイルのパスコードとデバイスのパスコードについて、より制限の厳しいパスコードを個別に設定できます。
Work プロファイル パスコードが作成されるまで、バックグラウンドでワン ロックがオンになります。ユーザーがデバイスと Work プロファイルのパスコードを作成する必要がある場合、ユーザーは最初に作成するパスコードを選択できますが、最初により複雑な要件が適用されます。
注:Android 9.0 以降の Work プロファイル デバイスおよび COPE デバイスにのみ適用されます。
バイオメトリック オプションを許可 オンにすると、顔認証など生体認証によるロック解除を利用できます。
指紋センサーを許可 ユーザーの指紋によるデバイスのロック解除を許可するには、これをオンにします。無効にすると、指紋をメインの認証手段として使用できなくなり、代わりに、エンド ユーザーはプロファイル内で指定されているタイプのパスワードを入力することが必要になります。
顔スキャンを許可 無効にすると、Face ID によるロック解除を構成または選択できないようになります。注:Android 9.0 以降の Work 管理対象デバイスのみに適用されます。
虹彩スキャンを許可 無効にすると、虹彩スキャナを設定または選択できなくなります。注:Android 9.0 以降の Work 管理対象デバイスのみに適用されます。
デバイス パスコード ポリシーをオンにする Work プロファイルを使用して加入したデバイスのパスコード ポリシーを適用します。このパスコードは、デバイスのロックを解除するために入力する必要があり、Work パスコードに加えて適用することができます。Work 管理対象デバイスの場合、このパスコード ポリシーは、デバイスに適用されます。
最小パスコード長さ パスコードに適度な複雑度を与えるため、最小文字数を設定します。
初期パスコードを設定する オンにすると、展開されたすべてのデバイスにおいて、デバイス レベルで初期パスコードを設定できます。展開後に、デバイス レベルでパスコードをリセットすることが可能です。注:Android 7.0 以降の Work 管理対象デバイスのみに適用されます。
パスコードのコンテンツ パスコードの内容をセキュリティ要件に合わせるため、ドロップダウン メニューで 任意数字英数字アルファベット複雑、または 複素数の数値 を選択します。
試行失敗回数の上限 試行失敗回数の上限を指定します。この回数を超えて失敗すると、デバイスがワイプされます。
パスコードの有効期間 (日) パスコードの有効日数を指定します。
パスコード変更アラート パスコードの有効期限が切れる何日前にユーザーに変更を要請する通知を送付するかを設定します。
パスコード履歴 過去に使用したパスコードを再使用したい場合、その前に現在のパスコードを変更しなければならない回数を指定します。
Work プロファイル ロック タイムアウト(分) デバイスの画面が自動ロックされるまでの無操作時間を指定します。
バイオメトリック オプションを許可 オンにすると、顔認証など生体認証によるロック解除を利用できます。
指紋によるロック解除を許可 このオプションをオンにすると、ユーザーは指紋を使用してデバイスをロック解除できます。また、指紋をメインの認証手段として使用せず、代わりに、プロファイル内で指定されているタイプのパスワードを入力させることもできます。
顔スキャンを許可 無効にすると、Samsung デバイスで顔認証によるロックの解除を設定または選択できなくなります。注:Android 9.0 以降の Work 管理対象デバイスのみに適用されます。
虹彩スキャンを許可 無効にすると、Samsung デバイスで虹彩スキャナを設定または選択できなくなります。注:Android 9.0 以降の Work 管理対象デバイスのみに適用されます。
パスコード可視化 オンにすると入力時の画面にパスコードを表示します。Samsung デバイス用。全般 プロファイルで OEM 設定 をオンにし、OEM の選択 ドロップダウンで Samsung をオンにする必要があります。
SD カードの暗号化を必須にする SD カードの暗号化を必須にするかどうかを指定します。Samsung デバイス用。全般 プロファイルで OEM 設定 をオンにし、OEM の選択 ドロップダウンで Samsung をオンにする必要があります。
文字の繰り返し最大数 同一文字を繰り返したパスコード(例:1111)は、解読されやすくなります。エンドユーザーがこのようなパスコードを入力できないようにするため、同一文字の繰り返し回数の上限値を指定します。Samsung デバイス用。

パスコードのコンテンツ テキスト ボックスで 「複雑」 を選択した場合、次の設定が適用されます。

設定 説明
最小の文字数 パスコードに含めることができる文字数を指定します。
最小の小文字数 パスコードに必要な小文字の数を指定します。
最小の大文字数 パスコードに必要な大文字の数を指定します。
最小の非文字数 パスコードに必要な特殊文字の数を指定します。
最小の数字数 パスコードに必要な数字の数を指定します。
最小のシンボル数 パスコードに必要なシンボルの数を指定します。

次の設定は、Samsung デバイスでパスコードを設定する場合に適用されます。

これらの設定が表示されるのは、[全般] プロファイルで [OEM 設定] が選択され、[OEM の選択] ドロップダウンで [Samsung] が選択されている場合です。

設定 説明
パスコード可視化 オンにすると入力時の画面にパスコードを表示します。
指紋によるロック解除を許可 このオプションをオンにすると、ユーザーは指紋を使用してデバイスをロック解除できます。また、指紋をメインの認証手段として使用せず、代わりに、プロファイル内で指定されているタイプのパスワードを入力させることもできます。
SD カードの暗号化を要求 SD カードの暗号化を必須にするかどうかを指定します。
パスコードが必要 ユーザーは、SD カードを暗号化する際に使用したパスコードを入力する必要があります。このチェック ボックスをオフのままにしても、一部のデバイスでは、ユーザーが操作することなく SD カードを暗号化できます。
文字の繰り返し最大数 同一文字を繰り返したパスコード(例:1111)は、解読されやすくなります。エンドユーザーがこのようなパスコードを入力できないようにするため、同一文字の繰り返し回数の上限値を指定します。
連番の最大数 連番のパスコード (例: "1234") は、解読されやすくなります。エンドユーザーがこのようなパスコードを入力できないようにするため、連番の最大数を指定します。Samsung デバイス用。
虹彩スキャナを許可 無効にすると、Samsung デバイスで虹彩スキャナを設定または選択できなくなります。
顔認証によるロックの解除を許可 無効にすると、Samsung デバイスで顔認証によるロックの解除を設定または選択できなくなります。
ロック画面オーバーレイ オンにすると、情報をエンド ユーザーのデバイスにプッシュしてロック画面上に表示します。
- 画像オーバーレイ – 画像をアップロードし、ロック画面上に表示します。プライマリ画像およびセカンダリ画像をアップロードし、また画像の位置と透明度を指定することができます。
- 企業情報 – ロック画面上に表示する企業情報を入力します。この情報は、デバイスを紛失した場合や盗まれた場合に緊急用として使用できます。
「ロック画面オーバーレイ」 の設定値は、SAFE 5.0 以降のデバイスでのみ有効です。「ロック画面オーバーレイ」 の設定値は、デバイスの使用中、構成されたままになり、エンドユーザーが変更することはできません。

ロック画面オーバーレイの構成 (Android)

パスコード プロファイルの ロック画面オーバーレイ オプションを使用すると、画面ロック画像上に情報をオーバーレイして、エンド ユーザーまたはロックされたデバイスを見つける可能性のあるすべてのユーザーに情報を提供できます。ロック画面オーバーレイはパスコード プロファイルの一部です。

ロック画面オーバーレイは Android のネイティブ機能で、複数の OEM において利用可能です。

Android プロファイルの [ロック画面オーバーレイ] 設定は、[OEM 設定] フィールドが オンにする に切り替えられ、[OEM の選択] フィールドで [Samsung] が選択された場合にのみ表示されます。[全般] プロファイルの [OEM 設定] フィールドは、Android プロファイルにのみ適用され、Android (Legacy) 構成には適用されません。

[画像オーバーレイ] を選択した場合、必要に応じて次の設定を構成します:

設定 説明
画像オーバーレイ タイプ シングル画像 または 複数画像 を選択し、必要なオーバーレイ画像の数を指定します。
プライマリ画像 画像ファイルをアップロードします。
プライマリ画像のトップ位置 (%) トップ画像の位置を 0 ~ 90% の範囲で指定します。
プライマリ画像のボトム位置 (%) ボトム画像の位置を 0 ~ 90% の範囲で指定します。
セカンダリ画像 必要があれば、セカンダリ画像をアップロードします。このフィールドが表示されるのは、画像オーバーレイ タイプ フィールドで 「複数画像」 を選択した場合だけです。
セカンダリ画像の位置 (%) トップ画像の位置を 0 ~ 90% の範囲で指定します。このフィールドが表示されるのは、画像オーバーレイ タイプ フィールドで 「複数画像」 を選択した場合だけです。
セカンダリ画像のボトム位置 (%) ボトム画像の位置を 0 ~ 90% の範囲で指定します。このフィールドが表示されるのは、画像オーバーレイ タイプ フィールドで 「複数画像」 を選択した場合だけです。
オーバーレイ画像 画像の透明度 (透明 または 不透明) を選択します。

企業情報 を選択した場合、必要に応じて次の設定を構成します。

設定 説明
勤務先名 表示したい会社名を入力します。
会社のロゴ 会社のロゴ (画像ファイル) をアップロードします。
会社住所 会社の所在地を入力します。
会社電話番号 会社の電話番号を入力します。
オーバーレイ画像 画像の透明度 (透明 または 不透明) を選択します。

Chrome ブラウザ設定

Chrome ブラウザ設定プロファイルを使用すると、Work Chrome アプリの設定を管理するのに役立ちます。

Chrome は、Google の Web ブラウザです。Chrome には、検索、オムニボックス (1 つのボックスで検索と移動が可能 )、自動入力、保存済みパスワードなど数多くの機能があるほか、Google アカウントにサインインしてすべてのデバイス間で最近使用したタブおよび検索に即座にアクセスする機能もあります。Work Chrome アプリは、Chrome の個人バージョンと同じ機能があります。このプロファイルを構成しても、ユーザーの個人用 Chrome アプリには影響しません。このプロファイルを個別 VPN や資格情報、Wi-Fi ペイロードと組み合わせてプッシュすることで、エンドユーザーは認証されて社内サイトやシステムにログインできるようになります。これにより、ユーザーが業務で Work Chrome アプリを必ず使用するようにします。

Chrome ブラウザ設定マトリックス (Android)

Chrome ブラウザ設定プロファイルを使用すると、Work Chrome アプリの設定を管理するのに役立ちます。このプロファイルを構成しても、ユーザーの個人用 Chrome アプリには影響しません。このプロファイルを個別 VPN や資格情報または Wi-Fi ペイロードと組み合わせてプッシュすることで、エンドユーザーは認証されて社内サイトやシステムにログインできるようになります。

このマトリックスでは、Chrome ブラウザのプロファイルで使用可能な設定について説明します。

設定 説明
**Cookie を許可 ブラウザの Cookie 設定を指定する場合に選択します。**
このサイトの Cookie を許可 Cookie の設定が許可される URL を指定します。
このサイトの Cookie をブロック Cookie の設定が許可されない URL を指定します。
このサイトのセッションの Cookie を許可 セッションの Cookie の設定が許可されるサイトを指定します。
**画像を許可 画像が許可されるサイトを指定する場合に選択します。
このサイトの画像を許可 画像の表示が許可される URL のリストを指定します。
このサイトの画像をブロック 画像の表示が許可されない URL のリストを指定します。
Java Scriptを許可 JavaScript ブラウザ設定を選択します。
このサイトの JavaScript を許可 JavaScript の実行が許可されるサイトを指定します。
このサイトの JavaScript をブロック JavaScript の実行が許可されないサイトを指定します。
ポップアップを許可 ポップアップ ブラウザの設定を選択します。
このサイトのポップアップ画面を許可 ポップアップを許可するサイトを指定するには、オプションを選択します。
このサイトのポップアップ画面をブロック ポップアップ画面を開くことが許可されないサイトを指定します。
位置情報追跡を許可 Web サイトによるユーザーの物理的位置情報の追跡が許可されるかどうかを設定します。
プロキシモード Google Chrome で使用されるプロキシ サーバを指定し、ユーザーがプロキシ設定を変更できないようにします。
プロキシサーバ URL プロキシ サーバの URL を指定します。
プロキシ PAC ファイル URL URL をプロキシ .pac ファイルに指定します。
プロキシバイパス ルール バイパスするプロキシ設定を指定します。このポリシーは、手動プロキシ設定を選択した場合にのみ有効です。
Google セーフサーチを強制 オンにすると、Google Web 検索での検索クエリがセーフサーチで実行されます。
** YouTube セーフモードを強制 オンにすると、ユーザーは成人向けコンテンツを表示しないようにできます。
** [タッチして検索] をオンにする Google Chrome のコンテンツ ビューでの [タッチして検索] の使用をオンにします。
既定の検索プロバイダをオンにする 既定の検索プロバイダを指定します。
既定の検索プロバイダ名 既定の検索プロバイダの名前を指定します。
既定の検索プロバイダキーワード 既定の検索プロバイダのキーワード検索を指定します。
既定検索プロバイダ 検索URL 既定の検索を実行するときに使用される検索エンジンの URL を指定します。
既定検索プロバイダ 候補URL 検索候補を提供するために使用される検索エンジンの URL を指定します。
既定検索プロバイダ インスタントURL ユーザーが検索クエリを入力したときの既定の検索プロバイダを指定します。
既定検索プロバイダ アイコン 既定の検索プロバイダのお気に入りアイコンの URL を指定します。
既定検索プロバイダ エンコーディング 検索プロバイダによってサポートされている文字エンコーディングを指定します。エンコーディングは、UTF-8、GB2312、ISO-8859-1 などのコード ページ名です。設定されていない場合、既定の UTF-8 が使用されます。
既定の検索プロバイダの代替URLリスト 検索エンジンからの検索用語の抽出に使用できる代替 URL のリストを指定します。
検索用語置換キー すべての検索用語置換キーを入力します。
検索プロバイダ画像URL 画像検索を提供するために使用される検索エンジンの URL を指定します。
** 新規タブの URL 検索エンジンが新しいタブ ページを提供するために使用する URL を指定します。
POST URL 検索パラメータ POST の URL を検索するときに使用されるパラメータを指定します。
POST 候補 検索パラメータ POST の画像検索を行うときに使用されるパラメータを指定します。
POST 画像 検索パラメータ POST の画像検索を行うときに使用されるパラメータを指定します。
パスワード マネージャをオンにする オンにするとパスワードをパスワード マネージャに保存できます。
代替エラー ページをオンにする オンにすると、Google Chrome に組み込まれている代替エラー ページが使用されます(「ページが見つかりません」など)。
オートフィルをオンにする オンにすると、住所やクレジット カード情報などの以前に保存された情報を使用して、ユーザーが Web フォームに自動入力できるようになります。
印刷をオンにする オンにすると、Google Chrome での印刷が許可されます。
データ圧縮プロキシ機能をオンにする データ圧縮プロキシには次のいずれかのオプションを指定します。常にオンにする、常に無効にするデータ圧縮プロキシを使用すると、Google でホストされているプロキシ サーバを使用して Web サイトのコンテンツが最適化されるので、セルラー データの使用量を低減し、モバイルの Web ブラウジングを高速化することができます。
セーフ ブラウジングをオンにする オンにすると、Google Chrome のセーフ ブラウジングがアクティブになります。
ブラウザ履歴の保存を無効にする オンにすると、Google Chrome でのブラウザ履歴の保存が無効になります。
セーフブラウジングの警告の後の続行をブロックする オンにすると、ユーザーが警告ページから悪意のあるサイトに進むことができなくなります。
SPDYプロトコルを無効にする Google Chrome での SPDY プロトコルの使用を無効にします
ネットワーク予測をオンにする Google Chrome でのネットワーク予測を選択します。
古い Web プラットフォームの機能を一時的にオンにする 一時的にオンにする、古い Web プラットフォーム機能のリストを指定します。
セーフ サーチを強制する オンにすると、Web ブラウザの使用時にセーフ サーチがオンになります。
シークレットモードの可用性 ユーザーが Google Chrome のシークレット モードでページを開くことができるかどうかを指定します。
Chromium へのサインインを許可する オンにすると、Chrome ユーザーが Web 上の Gmail にサインインした場合に、ブラウザへのログインが強制されます。
検索候補をオンにする Google Chrome のオムニボックスで検索候補をオンにします。
翻訳をオンにする Google Chrome に統合された Google 翻訳サービスをオンにします。
ブックマークの編集をオンまたは無効にする オンにすると、ブックマークの追加、削除、および変更が許可されます。
管理ブックマーク 管理ブックマークのリストを指定します。
リストアップされたURLへのアクセスをブロックする ユーザーがブラックリストに登録された URL から Web ページをロードするのを防ぐための URL を入力します。
URL のブロック対象リストに対する例外 ブロックリスト例外 URL を入力します。リストはカンマで区切ることができます。
最小 SSL バージョンをオンにする ドロップダウン メニューから SSL 最小バージョンを選択します。 
フォールバックする SSL の最小バージョン ドロップダウン メニューからフォールバック対象の SSL 最小バージョンを選択します。 

制限

UEM console の制限事項プロファイルは、Android デバイスのネイティブ機能をロックダウンします。使用可能な制限事項と動作は、デバイス加入によって異なります。

制限事項 プロファイルには、選択した制限が Work プロファイルと Work 管理対象デバイスのいずれかまたはその両方に適用されるかどうかを示すタグが表示されます。ただし、Work プロファイル デバイスの場合、影響を受けるのは Android バッジ アプリのみです。たとえば、Work プロファイルの制限を構成するときに、Work カメラへのアクセスを無効にできます。これは、Android バッジ カメラのみに影響があり、ユーザーの個人用カメラには影響がありません。

Work Chrome、Google Play、Google 設定、連絡先、カメラなど、既定で Work プロファイルに含まれているシステム アプリは多数ありますが、制限事項プロファイルを使用して非表示にでき、ユーザーの個人用カメラには影響しません。

管理対象外の Google アカウントを使用した場合の制限事項

例として、個人メールを確認できるように、管理対象外または個人の Google アカウントをユーザーが追加できるようにする場合でも、個人アカウントによるデバイスへのアプリのインストールは制限できます。Workspace ONE UEM console では、ユーザーが Google Play で使用できるアカウントのリストを設定できます。

制限事項ペイロードを Android デバイスに展開してセキュリティを強化します。制限事項ペイロードのデバイスでは、エンドユーザーのデバイス機能へのアクセスを無効にし、デバイスの改ざんを防ぐことができます。

制限 プロファイルを選択し、以下を構成します。

設定 説明
デバイス機能 デバイス レベルの制限事項を適用した場合、デバイスの中核機能 (例:カメラ、画面キャプチャ、出荷時状態へのリセット) を無効化できるので、生産性向上とセキュリティ強化につながります。たとえば、カメラ機能を無効にした場合、機密データが撮影されて社外に送信されるのを防止できます。また、画面キャプチャ機能を無効にした場合、デバイス上の社内コンテンツの機密性を確保しやすくなります。
アプリケーション アプリケーション レベルの制限事項を適用した場合、特定のアプリケーション(例:YouTube、ネイティブ ブラウザ)を無効にできます。これにより、デバイス使用に関する社内ポリシーを適用できます。
同期とストレージ データをデバイスに保存する方法を制御することにより、生産性とセキュリティのバランスをとることができます。たとえば、Google バックアップ機能または USB バックアップ機能を無効にした場合、管理対象デバイス上の社内モバイル データを悪意のある者から守ることができます。
ネットワーク デバイスでの Wi-Fi 接続およびデータ接続を無効にした場合、エンドユーザーは、安全でない接続を使用して機密データを表示することができなくなります。
仕事用と個人用 個人用コンテナと仕事用コンテナの間で情報のアクセス方法または共有方法を決定します。これらの設定は、Work プロファイル モードのみに適用されます。
位置情報サービス Work 管理対象デバイスに位置情報サービス設定を構成します。この制限は、Android のバージョンによって動作が異なります。Android 8.0 以前では、UEM console で選択した設定に従って制限動作が機能します。Android 9.0 以降では、次のように各設定で、位置情報サービスをオンまたはオフにします。なし - 何も行いません。「位置情報へのアクセスを許可しない」を許可する - 位置情報サービスをオフにします。GPS 位置情報のみを設定 - 位置情報サービスをオンにします。バッテリ節約位置情報のみを設定 - 位置情報サービスをオフにします。精度の高い位置情報のみを設定 - 位置情報サービスをオフにします。
Samsung Knox Samsung Knox を実行している Android デバイス専用の制限事項を構成します。このセクションは、[全般] プロファイルの [OEM 設定] がオンになっており、[OEM の選択] フィールドで [Samsung] が選択されている場合にのみ使用できます。

Android 固有の制限事項

このマトリックスは、利用可能な制限プロファイルの構成についてデバイス所有形態タイプごとに概要をまとめたものです。

機能 Work 管理対象デバイス モード Work プロファイル モード
デバイス機能
工場出荷状態リセットを許可
スクリーン キャプチャを許可
Google アカウントの追加を許可する
Android Work アカウントの削除を許可する  
発信通話を許可する  
SMSの送受信を許可する  
資格情報の変更を許可する  
すべてのキーガード機能を許可する  
キーガード使用中、カメラを許可する  
キーガード使用中、通知を許可する  
キーガード使用中、指紋センサーを許可する
キーガード使用中、Trust Hub State を許可する
キーガード使用中、未編集通知を許可する
AC 充電ケーブルが接続されているときは画面を常にオンにする (Android 6.0 以降)  
USB 充電ケーブルが接続されているときは画面を常にオンにする (Android 6.0 以降)  
ワイヤレス充電を行っているときは画面を常にオンにする (Android 6.0 以降)  
壁紙の変更を許可する (Android 7.0 以降)  
ステータス バーを許可  
キーガードを許可する (Android 6.0 以降) デバイスにパスコードが存在する場合、この設定は無視されます。  
ユーザーの追加を許可する    
ユーザーの削除を許可する    
セーフ ブートを許可する (Android 6.0 以降)  
壁紙の変更を許可する (Android 7.0 以降)    
ユーザー アイコンの変更を許可する (Android 7.0 以降)
アカウントの追加/削除を許可する
システム UI (トースト、アクティビティ、アラート、エラー、オーバーレイ) の防止  
Work プロファイルを無効にする最大日数の設定
アプリケーション
カメラを許可
Google Play を許可
Chrome ブラウザを許可する  
アプリ ストア外のアプリケーションのインストールを許可
設定でアプリケーション変更を許可する  
アプリケーションのインストールを許可する
アプリケーションのアンインストールを許可する
アプリケーション認証の無効化を許可する
ユーザー チュートリアルと導入ヒントをスキップ
アクセシビリティ サービスのホワイトリスト設定を許可する  
入力方式を制限
同期とストレージ
USB のデバッグを許可  
USB 大容量ストレージを許可✓  
物理ストレージメディアのマウントを許可  
USBファイル転送を許可する  
バックアップ サービスを許可する (Android 8.0 以降)   
ネットワーク
Wi-Fi の変更を許可する  
Bluetooth のペアリングを許可  
Bluetooth を許可する(Android 8.0 以降)  
Bluetooth 連絡先の共有を許可する(Android 8.0 以降)*  
Bluetooth の発信の接続を許可する*
すべてのテザリングを許可  
VPN変更を許可する  
モバイルネットワークの変更を許可する  
NFC を許可  
管理対象 Wi-Fi プロファイルの変更を許可する(Android 6.0 以降)  
仕事用と個人用
業務用と個人用のアプリ間でクリップボードの貼り付けを許可する  
業務アプリが個人アプリのファイルにアクセスすることを許可する  
個人アプリが業務アプリのファイルへアクセスすることを許可する  
個人アプリが業務アプリとファイルを共有することを許可する  
業務アプリが個人アプリとファイルを共有することを許可する    
業務用連絡先の発信者 ID を電話画面に表示することを許可する  
業務用ウィジェットを個人用ホーム画面に追加することを許可する  
個人用連絡先アプリへの業務用連絡先の入力を許可する (Android 7.0 以降)    
クロス プロファイル カレンダー アクセス(Android カレンダー アプリ開発者が Android 10 API を使用して Work プロファイルのカレンダー情報にアクセスできるようにします。各カレンダー アプリケーションがこれらの Android 10 固有の方法をサポートしているかどうかは保証できません)。  
アプリのクロスプロファイル通信を許可する
位置情報サービス
ロケーション サービスの設定を許可する
位置情報設定をユーザーが変更できないようにする方法
Samsung Knox
デバイス機能
機内モードを許可  
マイクを許可  
疑似ロケーションを許可  
クリップボードを許可  
電源オフを許可  
Home キーを許可  
マイクが有効設定の場合、音声録音を許可  
カメラが許可されている場合、ビデオ録画を許可  
E メール アカウントの削除を許可  
デバイスがアイドル状態の時、アクティビティの中断を許可  
ユーザーによるバックグラウンド プロセス上限の設定を許可  
ヘッドフォンを許可  
同期とストレージ
SD カードの移動を許可  
ワイヤレス更新を許可  
Google アカウント自動同期を許可  
SD カードに書き込みを許可  
USBホストストレージの許可  
オート フィルを許可(Android 8.0 以降)
アプリケーション
設定の変更を許可  
開発者オプションを許可  
バックグラウンド データを許可  
音声ダイヤル機能を許可  
Google のクラッシュ レポートを許可  
S Beamを許可  
資格情報のプロンプト表示を許可  
S Voiceを許可  
ユーザーにシステム署名済みアプリの使用停止を許可  
Bluetooth
Bluetooth 経由でのデスクトップの接続を許可  
Bluetooth のデータ転送を許可  
Bluetooth 経由の発信を許可  
Bluetooth の検出モードを許可  
Bluetooth セキュア モードをオンにする  
ネットワーク
Wi-Fi を許可  
Wi-Fi プロファイルを許可  
セキュアでない Wi-Fi を許可  
セキュアなVPN接続のみを許可  
VPNを許可  
自動接続 Wi-Fi を許可  
セルラー データを許可  
Wi-Fi Direct を許可  
ローミング
ローミング時の自動同期を許可  
ローミングが無効な場合、すべての自動同期を許可する  
ローミング通話を許可  
ローミング中のデータ使用  
ローミング時のプッシュ メッセージを許可  
電話とデータ
緊急(警察・救急)以外の通話を許可  
モバイル データの制限設定をユーザーに許可  
WAPプッシュを許可  
ハードウェア制限
Menu キーを許可  
Back キーを許可  
「検索」 キーを許可  
タスク マネージャを許可  
システム バーを許可  
「音量」 キーを許可  
セキュリティ
ロック画面の設定を許可  
ファームウェア リカバリの許可  
テザリング
USB テザリングを許可  
MMS の制限事項
MMS の受信を許可する  
MMS の送信を許可する  
その他
デバイスのフォントを設定  
デバイスのフォント サイズを設定  
ユーザーにシステム署名済みアプリの使用停止を許可  
セキュアなVPN接続のみを許可  

Exchange Active Sync

Workspace ONE UEM は、Android デバイスでメール クライアントを使用して内部の E メール、カレンダー、および連絡先にセキュアに接続することを保証するために Exchange ActiveSync (EAS) プロファイルを使用します。たとえば、Work プロファイルの構成済み EAS メール設定は、Workspace ONE UEM Catalog からダウンロードされた、バッジ付きアイコンの E メール アプリには影響しますが、ユーザーの個人用 E メール アプリには影響しません。

各ユーザーにメール アドレスとユーザー名が存在する状態であれば、Exchange ActiveSync プロファイルを作成できます。

注:Exchange ActiveSync プロファイルは、Work プロファイルとワーク管理対象デバイス モードのタイプに対して適用されます。

Exchange ActiveSync プロファイルを選択し、次の設定を構成します。

設定 説明
メールクライアントタイプ ドロップダウン メニューを使用して、ユーザー デバイスにプッシュされるメール クライアントを選択します。
ホスト 企業の ActiveSync サーバの外部 URL を指定します。
サーバタイプ ExchangeLotus から選択します。
SSL 使用 オンにして EAS データを暗号化します。
SSL 証明書の検証チェックを無効にする オンにした場合、Secure Socket Layer 証明書を許可します。
S-MIME オンにした場合、資格情報ペイロードでユーザー証明書として関連付ける S/MIME 証明書を選択します。
S/MIME 署名証明書 証明書を選択すると、メッセージの署名のために S/MIME 証明書のクライアントにプロビジョニングできるようになります。
S/MIME 暗号化証明書 証明書を選択すると、メッセージの暗号化のために S/MIME 証明書のクライアントにプロビジョニングできるようになります。
ドメイン 参照値を使用してデバイス固有の値を使用します。
ユーザー名 参照値を使用してデバイス固有の値を使用します。
メール アドレス 参照値を使用してデバイス固有の値を使用します。
パスワード 空白にすると、エンドユーザーが自分のパスワードを設定できます。
ログイン証明書 ドロップダウン メニューから使用可能な証明書を選択します。
既定の署名 新しいメッセージを表示するための既定の E メール署名を指定します。
添付ファイルの最大サイズ (MB) ユーザーが送信できる添付ファイルの最大サイズを入力します。
連絡先とカレンダーの同期を許可する オンにした場合、連絡先とカレンダーをデバイスと同期できます。

パブリック アプリ自動更新

パブリック アプリ自動更新プロファイルを使用すると、パブリック Android アプリケーションの自動更新とメンテナンス時間枠のスケジュールを構成できます。

パブリック アプリ自動更新プロファイルは、Google API を使用してプロファイル データをデバイスに直接送信します。このプロファイルは Workspace ONE Intelligent Hub には表示されません。

パブリック アプリ自動更新プロファイルを構成するには、次の手順を実行します。

注:プロファイルにパブリック アプリ更新のペイロードが含まれている場合、その他のペイロードを入れることはできません。

ペイロードの一覧から [パブリック アプリ自動更新] を選択し、更新設定を構成します。

  • パブリック アプリの自動更新ポリシー:自動更新を Google Play で許可するタイミングを指定します。[Allow user to configure]、[Always auto update]、[Update on Wi-Fi only]、または [Never auto upate] を選択します。

既定では [Allow user to configure] が選択されています。

  • 開始時刻:フォアグラウンドのアプリケーションを毎日自動更新するローカル時間を構成します。00:30~23:30 の時間を選択します。

注:[更新を Wi-Fi のみに制限] または [常に自動更新] が選択されている場合にのみ適用されます。

  • 終了時刻:フォアグラウンドのアプリケーションを毎日自動更新するローカル時間を構成します。30 分~24 時間の間で時間を選択します。

注:[更新を Wi-Fi のみに制限] および [常に自動更新] が選択されている場合にのみ適用されます。

アプリケーションは設定時間に基づき、指定した開始時間と終了時間の間にのみ自動更新します。たとえば、キオスクの使用を中断しないように、営業時間外にのみ更新するようにキオスク デバイスを設定します。

認証情報

セキュリティ レベルを上げ、企業アセットをより強固に保護するには、電子証明書の導入が効果的です。そのためには、まず認証局を指定し、次に、Exchange ActiveSync (EAS) ペイロード、Wi-Fi ペイロード、または VPN ペイロードに加えて資格情報ペイロードを構成する必要があります。

各ペイロードには、資格情報ペイロードで定義された認証局を関連付けるための設定項目があります。資格情報プロファイルを構成することにより、ユーザー認証用の社内証明書を管理対象デバイスに展開できます。このプロファイルの設定は、デバイス所有形態タイプによって異なります。資格情報プロファイルは、Work プロファイルと Work 管理対象デバイス モードのタイプに対して適用されます。

デバイスには、Workspace ONE UEM が秘密キーを使用して ID 証明書をインストールする前にデバイス PIN コードを構成する必要があります。

資格情報プロファイルを構成することにより、ユーザー認証用の社内証明書を管理対象デバイスに展開できます。このプロファイルの設定は、デバイス所有形態タイプによって異なります。資格情報プロファイルは、Work プロファイルと Work 管理対象デバイス モードのタイプに対して適用されます。

資格情報 プロファイルを選択し、構成 を選択します。

ドロップダウン メニューを使用して、資格情報ソースアップロード または 定義済み認証局 のいずれかを選択します。ここで選択するソースにより、表示されるプロファイル オプションが変わります。アップロード を選択した場合、認証情報名 を入力し、新しい証明書をアップロードする必要があります。定義済み認証局 を選択する場合は、定義済みの認証局テンプレート を選択する必要があります。

アプリケーションによる証明書へのサイレント アクセスを許可

資格情報ソース として 定義済み認証局 を選択すると、この認証局によって発行されたクライアント証明書にサイレント アクセスできるアプリケーションを指定することもできます。このオプションは、アプリケーションへのサイレント アクセスの許可 と呼ばれます。有効にすると、Workspace ONE UEM console で以前に追加した Android パブリック アプリと内部アプリを選択できます。

通常、Android アプリケーションは、Android キーストアのクライアント証明書にアクセスする前に、エンド ユーザーからの承認を必要とします。この承認を要求するには、エンド ユーザーにクライアント証明書のリストから選択するように求めるダイアログを表示します。証明書を選択することで、エンド ユーザーはアプリケーションのアクセスを許可します。

アプリケーションへのサイレント アクセスの許可 を使用すると、資格情報プロファイルでアプリケーションが証明書にアクセスすることを管理上許可できます。アプリケーションが証明書のエイリアスを事前に認識している場合は、エンド ユーザーにプロンプトを表示せずにクライアント証明書を使用できます。定義済み認証局 によって発行されたクライアント証明書の場合、証明書エイリアスは、資格情報プロファイルで選択された証明書テンプレートの主題に相当します。想定される証明書エイリアスは、アプリケーション構成を使用して多くのアプリケーションで設定できます。たとえば、Workspace ONE UEM Console を介して VPN アプリケーションを割り当てるときに、アプリケーション構成で「証明書エイリアス」などのラベルの付いたフィールドがサポートされる場合があります。この場合、この値を、資格情報プロファイルで選択された証明書テンプレートの主題と一致するように設定します。

複数の資格情報ペイロードを管理するためのベスト プラクティス

Intelligent Hubが Android デバイスに証明書をインストールする場合は、証明書にエイリアスまたはフレンドリ名をデバイスに付与する必要があります。Intelligent Hubは、このエイリアスに証明書のサブジェクト名属性を使用します。Intelligent Hubがデバイスから証明書を削除すると、このエイリアスに一致する証明書はすべて削除されます。

このため、1 台のデバイスに 2 つ以上の証明書(WiFi 用の証明書と VPN 用の別の証明書など)をプロビジョニングする組織では、これらの証明書のサブジェクト名が異なっていることを確認する必要があります。これにより、単一の資格情報プロファイル ペイロードをアンインストールすると、Intelligent Hubがデバイスから複数の証明書を予期せずに削除することができなくなります。証明書の主題名の決定方法の詳細については、「認証局の統合」を参照してください。

他のアプリケーションがデバイス上の証明書を管理することを許可する

他の Android アプリケーションがデバイスに証明書をインストールおよび管理することを許可できます。これを行うには、次の手順を実行します。

  1. [グループと設定] > [すべての設定] > [アプリ] > [設定とポリシー] > [設定] > [カスタム設定] の順に進みます。
  2. 次のようにカスタム設定を構成します。

    設定 説明
    カスタム設定 次のキーと値のペアカスタム (JSON) を追加します。{ “AuthorizedCertInstaller” : “packagename” }。プレースホルダのパッケージ名をアプリの実際のパッケージ名(通常は com.company.appname の形式)に置き換えてください。
    1. [保存] を選択します。

カスタム メッセージ

カスタム メッセージ プロファイルを使用して、重要な情報をユーザーに伝達する必要があるときにデバイスのホーム画面に表示するメッセージを構成できます。

カスタム メッセージ プロファイルでは、ロック画面メッセージ、ブロックされている設定をユーザーが実行しようとしたときに表示するメッセージ、またはデバイス ユーザー設定で表示するメッセージを設定できます。

[カスタム メッセージ] プロファイルを選択し、以下のメッセージ設定を構成します。

ロック画面メッセージを設定|デバイスがロックされているときにデバイスのホーム画面に表示するメッセージを入力します。これは、デバイスの紛失/盗難時に、ユーザーの連絡先情報を表示する場合に便利です。| |ブロックされた設定のメッセージを設定|ブロックされているデバイスでユーザーが操作を実行しようとしたときに表示されるメッセージを入力します。カスタム メッセージを使用して、機能がブロックされている理由を説明します。| |設定でユーザーに表示する長いメッセージを設定|ユーザーは、[設定] > [セキュリティ] > [デバイス管理者] > [Intelligent Hub] で、デバイスにこのメッセージを表示できます。|

アプリケーション制御

アプリケーション制御プロファイルを使用すると、承認されたアプリケーションを制御し、重要なアプリをアンインストールできないようにすることができます。ユーザーが該当するアプリケーションをインストールまたはアンインストールする際に、順守エンジンは警告を送信し管理処理を行いますが、アプリケーション制御はこのような変更をブロックします。

Warning: Enabling/ disabling critical system apps results in devices becoming unusable.

アプリケーション制御プロファイルがなくても、組織は管理対象デバイスにインストール可能なアプリケーションをある程度制御できます。デフォルトでは、管理者が Workspace ONE UEM Console を介してデバイスに割り当てたパブリック アプリケーションのみ、管理対象の Play ストア アプリ カタログで使用できます。Work プロファイルおよび企業所有の個人利用 (COPE) デバイスでは、これは Work プロファイルの Play ストア カタログのみ適用します。

管理者は、管理対象デバイスにさらにアプリケーション制限を適用できます。

Work アプリケーションの制限

Android デバイスの管理対象アプリケーションの場合、管理者は次の表の制限を適用できます。

設定 説明
拒否されたアプケーションへのアクセスを無効化 オンにすると、拒否リストのアプリケーション グループに含まれるアプリケーションにアクセスできなくなります。オンにすると、アプリケーションは Android Launcher に表示されず、エンド ユーザーが起動できなくなります。このオプションでは、デバイスからアプリケーションをアンインストールしません。
必須アプリのアンインストールを防ぐ オンにすると、必須アプリケーション グループに含まれるアプリケーションのユーザーまたは管理者によるアンインストールが防止されます。
システム アプリを有効化 オンにすると、許可リストのアプリケーション グループに含まれる事前インストール済みアプリケーションの非表示を解除します。

注:慎重に使用してください。このプロファイルをアンインストールすると、割り当てられた許可リスト アプリケーション グループ内のすべてのアプリケーションは、システム アプリケーションであるか、デフォルトで有効にされているかに関係なく、無効になります。システム アプリを有効にする をオンにしてアプリケーション制御プロファイルの新しいバージョンをインストールすると、これらのアプリケーションは一時的に削除され、後で再度有効になります。

上記の表の制限は、以下に適用されます。

  • Work プロファイルまたは COPE (Android 11 以降) デバイス:制限は、Work プロファイル内のアプリケーションにのみ適用されます。
  • Work 管理対象デバイス:Work アプリケーションと個人用アプリケーションが分離されないため、デバイス全体に制限が適用されます。
  • COPE (Android 10 以前) デバイスWork 管理対象 チェックボックスが有効になっている場合、デバイスの個人用アプリケーションに制限が適用されます。Work プロファイル チェックボックスが有効になっている場合、Work プロファイルに制限が適用されます。

Android 11 以降の COPE デバイスでの個人用アプリケーションの制限

COPE モードで加入し、Android 11 以降を実行しているデバイスの場合、管理者は個別に 個人向け Play ストア制限 の設定を行い、デバイスの個人側で使用できるアプリケーションを制限します。

設定 説明
許可リスト デバイスの個人側では、事前にインストールされたアプリケーションと COPE 許可リストのアプリケーション グループに含まれるアプリケーションのみを使用できます。Android Launcher で他のアプリが無効になっているため、Play ストアからインストールできません。
拒否リスト COPE 拒否リストのアプリケーション グループのアプリケーションが、デバイスの個人側で無効になっているため、Play ストアからインストールできません。

アプリケーション グループとアプリケーション制御プロファイル

Workspace ONE UEM は、Workspace ONE UEM Console で作成したアプリケーション グループで定義されたアプリケーションにアプリケーション制御設定を適用します。アプリケーション グループは、アプリケーション グループが割り当てられている場合にのみデバイスに適用されます。つまり、アプリケーション制御プロファイルの設定を有効にするには、アプリケーション グループとアプリケーション制御プロファイルの両方をデバイスに割り当てる必要があります。

たとえば、Work アプリケーションのアンインストールを防止するには、両方をデバイスに割り当てる必要があります。

  • アプリケーションを含む 必須 タイプのアプリケーション グループ
  • 必須アプリのアンインストールを防ぐ アプリケーション制御プロファイル

これらがデバイスに割り当てられる順序も重要です。アプリケーション グループ内のアプリケーションに対する変更は、一致するアプリケーション制御プロファイルがデバイスに次にインストールされるまで、デバイスに適用されません。上記の例では、別のアプリケーションのアンインストールを防止するために、アプリケーションを最初にアプリケーション グループに追加する必要があります。次に、アプリケーション制御プロファイルをデバイスに再インストールする必要があります。

最後に、同じタイプの複数のアプリケーション グループをデバイスに割り当てることができます。この例では、異なるアプリケーションを含む 必須 タイプの 2 つのアプリケーション グループが同じデバイスに割り当てられている場合、必須アプリのアンインストールを防ぐ設定は、そのデバイス上の両方のアプリケーション グループで定義されているアプリケーションに適用されます。

アプリケーション グループの詳細については、Mobile Application Management のドキュメントを参照してください。

プロキシ設定

プロキシ設定を構成した場合、すべての HTTP および HTTPS ネットワーク トラフィックが必ずプロキシを経由します。これにより、すべての個人データおよび企業データがプロキシ設定プロファイルに基づいてフィルタリングされるため、データ セキュリティが確保されます。

次のようにプロキシ設定を構成します。

設定 説明
プロキシモード 希望するプロキシ タイプを選択します。
プロキシPACのURL URL をプロキシ .pac ファイルに指定します。
プロキシ サーバ プロキシ サーバのホスト名または IP アドレスを入力します。
除外リスト ホスト名を追加して、プロキシ経由ルーティングの対象から除外します。

システム更新

このプロファイルを使用して、デバイスが Workspace ONE UEM に加入した場合に Android デバイスのアップデートを処理する方法を管理します。

システム更新 プロファイルを選択します。

自動更新 フィールドのドロップダウン メニューを使用して、更新ポリシーを選択します。

設定 説明
自動更新(Android 6.0 以降の Work 管理対象デバイスと COPE デバイス) 更新を自動的にインストール:使用可能になったときに、更新プログラムを自動的にインストールします。
アップデート通知の延期:すべての更新プログラムを延期します。最大 30 日間の期間で OS 更新プログラムをブロックするポリシーを送信します。
更新ウィンドウの設定:デバイスを更新するための毎日の時間帯を設定します。
年間システム更新の凍結期間(Android 9.0 以降の Work 管理対象デバイスと COPE デバイス) デバイス所有者は、デバイスの OTA システム更新を最大 90 日間延期して、これらのデバイスで実行されている OS バージョンを重要な期間(休日など)にわたって凍結できます。システムは、定義された凍結期間の後に必須の 60 日間のバッファを強制して、デバイスが無期限に凍結されることを防止します。
凍結期間中は、次のようになります。
デバイスは、保留中の OTA 更新に関する通知を受信しません。
デバイスは、OS に OTA 更新をインストールしません。
デバイス ユーザーは、OTA 更新を手動で確認できません。
凍結期間 このフィールドを使用して、アップデートをインストールできない凍結期間(月と日)を設定します。デバイスの時刻がいずれかの凍結期間内にある場合、セキュリティ パッチを含むすべての受信システム アップデートはブロックされ、インストールできません。各凍結期間は、最大 90 日にすることができ、隣接する凍結期間は 60 日以上離す必要があります。

Wi-Fi

Wi-Fi プロファイルを構成することにより、デバイスから社内ネットワークに接続できます。非公開/暗号化/保護されている場合でも接続できます。

Wi-Fi アクセスが便利な場面としては、独自のワイヤレス ネットワークを構築している他のオフィスにエンドユーザーが出張する場合や、オフィス内で適切なワイヤレス ネットワークに接続するようデバイスを自動構成する場合などが考えられます。

Android 6.0 以降を搭載しているデバイスに Wi-Fi プロファイルをプッシュする際は、デバイスが Wi-Fi ネットワークに接続するようユーザーによりすでに手動でセットアップされている場合、Workspace ONE UEM は Wi-Fi 構成を変更することはできません。たとえば、デバイス上で Wi-Fi パスワードがすでに変更されており、かつ最新のプロファイルを加入済みデバイスにプッシュした場合、ユーザーは、新しいパスワードを使用してデバイスを手動更新しなければならないことがあります。

プロファイルを構成するには、次の手順を実行します。

Wi-Fi の設定を次のとおりに構成します。

設定 説明
サービスセット識別子 (SSID) デバイスから接続するネットワークの名前を入力します。
非公開のネットワーク Wi-Fi ネットワークが非公開であるかどうかを指定します。
アクティブなネットワークとして設定 エンドユーザーによる操作なしにデバイスをネットワークに接続するかどうかを指定します。
セキュリティ タイプ 使用するアクセス プロトコルと、証明書を必須とするかどうかを指定します。選択したセキュリティタイプによって必須項目が決まります。[なし][WEP][WPA/WPA 2] または [任意 (個人)] 領域が選択されている場合、[パスワード] フィールドが表示されます。WPA/WPA2 エンタープライズ を選択した場合、[プロトコル] フィールドおよび [認証] フィールドが表示されます。
プロトコル
- 2 要素認証を使用 - オンにすると、[TFA] フィールドが表示されます。
- SFA タイプ - 認証プロトコルを選択します。使用可能なオプションは、EAP-TLS、PEAP、EAP-TTLS です。
- TFA タイプ - 内部認証方法を選択します。使用可能なオプションは、GTC、MSCHAP、MSCHAPv2、PAP です。
認証
- ID - デバイスがネットワークへの接続に使用する ID と資格情報を設定します。
- ID 証明書 - ID 証明書を選択して、クライアント認証用のプライベート キーとクライアント証明書チェーンを指定します。この証明書は、資格情報ペイロードの一部としてプロファイルに追加する必要があります。
- Root 証明書 - デバイスがネットワーク サーバのサーバ証明書を検証するために使用するルート証明書を選択します。ルート証明書は、サーバ CA のルート証明書である必要があります。これは、サーバ証明書の検証に使用されます。証明書が指定されていない場合、サーバ証明書の検証はスキップされます。この証明書は、資格情報ペイロードの一部としてプロファイルに追加する必要があります。
- ドメイン - ネットワーク サーバのサーバ証明書を検証するために使用されるサーバ ドメイン名の制約を設定します。これは、Android 11 以降のデバイスに WPA2Enterprise ネットワークを追加するために必要です。設定されている場合、この FQDN は、SubjectAltName dNSName 要素のネットワーク サーバ証明書のサフィックス一致要件として使用されます。証明書に一致する dNSName が見つかった場合、この制約が満たされます。
ここでのサフィックスの一致は、ホスト/ドメイン名をトップレベルのドメインから順に1度に 1 つのラベルと比較することを意味します。たとえば、ドメイン が example.com に設定されている場合、test.example.com と一致しますが、test-example.com とは一致しません。
パスワード デバイスからネットワークに接続するために必要な資格情報を入力します。「パスワード」 フィールドが表示されるのは、セキュリティ タイプ フィールドで 「WEP」、「WPA/WPA2」、「任意 (個人)」、または 「WPA/WPA2 エンタープライズ」 を選択した場合です。
Fusion 設定を含める このオプションをオンにすると、Fusion オプションを拡張し、Motorola デバイス用 Fusion アダプタと組み合わせて使用することができます。Fusion の設定は、Motorola 高耐久性端末にのみ適用されます。Android 高耐久性端末に対する VMware のサポートの詳細は、「Rugged Android Platform Guide」を参照してください。
Fusion 802.11d を設定する Fusion 802.11d を使用して Fusion 802.11d 設定を設定します。
802.11d をオンにする このオプションをオンにすると、802.11d ワイヤレス規格を利用して、他の規制ドメイン内で操作を行うことができます。
国別コードを設定する このオプションをオンにすると、802.11d 規格で使用する 国別コード を設定することができます。
周波数帯を設定する このオプションをオンにすると、2.4 GHz5 GHz、またはその両方の周波数帯を選択できます。また、適切なチャネル マスクも選択できます。
プロキシのタイプ オンにすると、Wi-Fi プロキシ設定を構成することができます。注:アプリベース VPN を使用する場合、Wi-Fi プロキシ自動構成はサポートされていません。
プロキシ サーバ プロキシ サーバのホスト名または IP アドレスを入力します。
プロキシ サーバ ポート プロキシ サーバのポートを入力します。
除外リスト プロキシから除外するホスト名を入力します。ここで入力したホスト名は、プロキシ経由でルーティングされません。ドメインのワイルド カードとして * を使用できます。例: *.air-watch.com または *air-watch.com。

VPN

バーチャル プライベート ネットワーク (VPN) を構築した場合、安全で暗号化されたトンネルを使用して、デバイスから社内リソース (例:E メール、ファイル、コンテンツ) にアクセスすることができます。VPN プロファイルをオンにすると、各デバイスはオンサイト ネットワーク経由で接続されているように機能します。

接続タイプと認証方法によっては、参照値を使用してユーザー名情報を自動入力し、ログイン プロセスを効率化できます。

注:VPN プロファイルは、Work プロファイルと Work 管理対象デバイス モードの両方のタイプに対して適用されます。

VPN 設定を構成します。次の表では、VPN クライアントごとに構成可能なすべての設定を記載しています。

設定 説明
接続タイプ VPN セッションを簡単にするために使用するプロトコルを選択します。各接続タイプでは、VPN プロファイルを展開するために、各 VPN クライアントがデバイスにインストールされている必要があります。これらのアプリケーションは、ユーザーに割り当てられ、パブリック アプリとして公開する必要があります。
接続名 プロファイルによって作成された接続に割り当てられた名前を入力します。
サーバ VPN 接続の使用するサーバの名前またはアドレスを入力します。
アカウント 接続を認証するためのユーザー アカウントを入力します。
常時 VPN に接続 オンにすると、VPN 接続が永続的に有効な状態を維持するように Android を構成できます。Android は起動時にアプリケーションの VPN サービスを起動し、デバイスがパワーオン状態の間は実行し続けます。
ロックダウン VPN 経由でのみアプリが接続するように強制します。VPN が切断されている場合や利用できない場合、アプリはインターネットにアクセスできません。
アプリにロックダウンのバイパスを許可 オンにすると、VPN が切断されている場合や利用できない場合でも、インターネットにアクセスし続けるアプリを指定することができます。
ロックダウン許可リスト パッケージを追加してロックダウン許可リストをオンにすると、VPN が切断された場合に、リストされたアプリは直接、インターネットに接続できるようになります。
アクティブに設定 オンにした場合、デバイスにプロファイルを適用した後で VPN をオンにします。
アプリ ベース VPN 規則 アプリ ベース VPN をオンにした場合、アプリごとに VPN トラフィック規則を構成できます。このテキスト ボックスは、サポート対象の VPN ベンダーに対してのみ表示されます。注:アプリベース VPN を使用する場合、Wi-Fi プロキシ自動構成はサポートされていません。
プロトコル VPN の認証プロトコルを選択します。[接続タイプ] で [Cisco AnyConnect] を選択した場合に使用できます。
ユーザー名 ユーザー名を入力します。[接続タイプ] で [Cisco AnyConnect] を選択した場合に使用できます。
ユーザー認証 VPN セッションを認証するために必要な方法を選択します。
パスワード エンドユーザーが VPN を利用する際に必要となる資格情報を入力します。
クライアント証明書 ドロップダウンを使用してクライアント証明書を選択します。これらは資格情報プロファイルで構成されます。
証明書失効 オンにすると、証明書失効がオンになります。
AnyConnect プロファイル AnyConnect プロファイル名を入力します。
FIPS モード オンにすると FIPS モードがオンになります。
厳密モード オンにすると、Strict モードがオンになります。
ベンダーキー ベンダー構成辞書にアクセスするためのカスタム キーを作成します。
キー ベンダーから提供された固有のキーを入力します。
付加価値 各キーの VPN 値を入力します。
ID 証明書 VPN 接続で使用する ID 証明書を選択します。[接続タイプ] で [Workspace ONE Tunnel] を選択した場合に使用できます。

アプリベース VPN 規則の構成

選択したアプリケーションは社内 VPN 経由で接続を強制することができます。VPN プロバイダでこの機能がサポートされている必要があり、また、管理アプリケーションとしてアプリを公開する必要があります。

注:アプリベース VPN を使用する場合、Wi-Fi プロキシ自動構成はサポートされていません。

  1. リストで VPN ペイロードを選択します。

  2. 接続タイプ フィールドから、VPN ベンダーを選択します。

  3. VPN プロファイルを構成します。

  4. アプリベース VPN 規則 を選択して、VPN プロファイルを目的のアプリケーションに関連付ける機能をオンにします。Workspace ONE Tunnel クライアントの場合、この選択はデフォルトでオンになっています。このチェックボックスをオンにすると、[アプリケーションの割り当て] ページの [アプリ トンネル] プロファイル ドロップダウンで、このプロファイルを選択できるようになります。

  5. 保存して公開 を選択します。

    アプリベース VPN 規則が既存の VPN プロファイルの更新としてオンになっている場合は、以前に VPN 接続を使用していたデバイス/アプリケーションが影響を受けます。以前にすべてのアプリのトラフィックをルーティングしていた VPN 接続は切断され、VPN は、更新されたプロファイルに関連付けられているアプリケーションにのみが適用されます。

アプリベース VPN プロファイルを使用するようパブリック アプリを構成するには、資料「Android 用のアプリケーション管理」の「Android 用パブリック アプリケーションの追加」を参照してください。

アクセス権限

Workspace ONE UEM console によって、管理者は、アプリケーションで使用しているすべての権限のリストを表示し、アプリケーションのランタイム時に既定の操作を設定できるようになります。権限プロファイルは、ワーク管理対象デバイス モードおよび Work プロファイル モードを使用する Android 6.0 以降のデバイスで使用できます。

各 Android アプリのランタイム権限ポリシーを設定できます。個々のアプリ レベルでアプリを構成するときに、最新の権限が取得されます。

**

次を含む権限設定を構成します。

設定 説明
権限ポリシー すべての Work アプリに対して、ユーザーに権限のプロンプトを表示するすべての権限を付与する、またはすべての権限を拒否するかどうかを選択します。
例外 すでに AirWatch に追加されている (アプリを承認した Android のみを含めた) アプリを検索して、アプリの権限ポリシーに例外を作成します。

権限プロファイルを使用して制御できる権限は何ですか。

Android アプリの権限の 3 つの主要なクラスは、インストール時の権限、ランタイム(危険な)権限、および特別な権限です。例外リストからアプリケーションを選択すると、アプリケーション マニフェストで宣言されたすべての権限が一覧表示されます。ただし、グローバル権限ポリシー設定と、アプリごとの例外の両方を含む、権限プロファイルは、ランタイム(危険な)権限にのみ適用されます。ランタイム権限は、アプリケーションがユーザーの個人情報を含むデータを要求したり、ユーザーの保存されたデータに影響を与える可能性がある領域をカバーします。

注:Android 12 以降では、権限ポリシーを使用して、Work Pofile モードまたは企業所有の個人利用モードで加入したデバイス上のアプリケーションに位置情報やカメラなどのセンサー関連の権限を付与することはできません。詳細については、「Android 12 (82775) の準備を行う」を参照してください。

特別な権限へのアクセスは、プラットフォームおよびデバイス OEM によって特に機密性が高いと見なされるアクションを保護するため、さらに制限されます。Workspace ONE UEMは、権限プロファイルを使用してアプリに対する特別な権限を付与または拒否することはできません。エンド ユーザーは、これらの権限をアプリケーションに手動で付与する必要があります。特別な権限の詳細については、こちらを参照してください。

ロック タスク モード

ロック タスク モードでは、アプリをフォアグラウンドに固定できるため、キオスク モードなどの単一の用途での使用を可能にします。アプリはロック タスク モードをサポートしている必要があり、[アプリとブック] 設定を使用して追加され、ホワイトリスト アプリに表示されます。アプリ開発者は、アプリの開発中にロック タスク設定を構成します。ロック タスク プロファイル設定では、権限と設定を構成できます。

注:サポートされているアプリケーションの詳細については、Workspace ONE UEM console でロック タスク モード プロファイル内のリンクを参照してください。このリンクから該当する Google Developer サイトに移動します。

ロック タスク モード設定を構成するには、次を実行します。

設定 説明
ホワイトリストアプリ 目的のアプリを選択して、デバイスをロック タスク モードにロックします。
ホーム ボタン オンにすると、ユーザーがアクセスする画面でホーム ボタンが表示されます。
Recent Apps ボタン オンにすると、最近使用したアプリの概要を表示します。
グローバル アクション オンにすると、ユーザーが電源ボタンを長押しして、デバイスで使用される電源ボタンや他の一般的なアクションなど、グローバル アクションを表示できるようにします。
アプリ通知 オンにすると、ステータス バーで通知アイコンを表示します。
ステータス バーのシステム情報 オンにすると、バッテリ寿命、接続、音量などの情報を含んだデバイス情報バーが表示されます。
画面ロック ロック画面をオンにします。

ロック タスク モードのベスト プラクティス

ロック タスク モードのポリシーを使用して、ある目的のために最適なエクスペリエンスとメンテナンスができるようにこれらのポリシーと制限事項を適用することを検討してください。キオスクのデバイスのロック モード プロファイルと、エンド ユーザーがデバイスに関連付けられていないデジタル サイネージ ユース ケースを展開している場合は、これらの推奨事項が役立ちます。

「制限事項」 プロファイルを作成し、プロファイル内で次を構成します。

  • デバイス機能 の下で、次のオプションを無効にします。
    • ステータス バーを許可 - デバイスがロック タスク モードにロックされるときに効果があります。
    • キーガードを許可 - デバイスがロックされなくなります。パスコードがデバイスに存在する場合、この設定は無視されます。
  • デバイス機能 の下にある次のオプションをオンにします。

    • AC 充電ケーブルが接続されているときは画面を常にオンにする
    • USB 充電ケーブルが接続されているときは画面を常にオンにする
    • ワイヤレス充電を行っているときは画面を常にオンにする これらのオプションを使用すると、デバイス画面を常にオンにして操作できます。

システム更新ポリシー プロファイルを展開して、デバイスが手動での介入を最小限に抑えて最新の修正を受け取れるようにします。

Android デバイスの日付/時刻

日付/時刻の同期設定を構成して、確実にデバイスがさまざまな地域で常に正しい時刻になるようにします。Android 9.0 以降のデバイスでサポートされます。

「日付と時刻」 で設定を構成します。

設定 説明
日付/時刻 デバイス上で日付と時刻の設定をどのデータ ソースから取得するかを指定します。[自動][HTTP URL]、または [SNTP サーバ] を選択します。
自動:デバイスのネイティブ設定に基づいて日付と時刻が設定されます。
HTTP URL:URL に基づいて時刻が設定されます。任意の URL を使用できます。例: www.google.com。
SNTP サーバ:サーバアドレスを入力します。例: time.nist.gov。
HTTP URL および SNTP サーバの場合は、次の追加設定を構成します。周期的な同期をオンにする – オンにすると、デバイス上で日付と時刻が数日間隔で定期的に同期します。時間帯を設定 – 使用可能なオプションからタイム ゾーンを指定します。
ユーザーが日時を変更することを許可 オンにすると、ユーザーがデバイスの日付と時刻を手動で変更することを許可します。

Samsung デバイスの日付/時刻

日付/時刻の同期設定を構成して、確実にデバイスがさまざまな地域で常に正しい時刻になるようにします。

このプロファイルは、OEM 設定 がオンになっていて、[全般] プロファイル設定で [OEM の選択] フィールドが [Samsung] に設定されている場合に使用できます。

注:[日付と時刻] プロファイルは、[OEM 設定] フィールドを [オンにする] に切り替えた場合にのみ表示されます

Samsung デバイスの日付/時刻設定を次のように構成します。

設定 説明
日付のフォーマット 月、日、年表示の順序を変更します。
時刻のフォーマット 12 または 24 時間形式を選択します。
日付/時刻 デバイス上で日付と時刻の設定をどのデータ ソースから取得するかを指定します。
自動:デバイスのネイティブ設定に基づいて日付と時刻が設定されます。
サーバ タイム:プロファイルが作成された時点で、Workspace ONE UEM console のサーバ時刻に基づいて、日付/時刻が設定されます。このため、プロファイルのプッシュでの遅延により、デバイス時刻が遅れる可能性があります。 追加フィールドである [時間帯を設定] が表示され、タイム ゾーンを選択できます。
HTTP URL:URL に基づいて時刻が設定されます。任意の URL を使用できます。例: www.google.com。
SNTP サーバ:サーバを入力します。
HTTP URL および SNTP サーバの場合は、次の追加設定を構成します。周期的な同期をオンにする – オンにすると、デバイス上で日付と時刻が数日間隔で定期的に同期します。時間帯を設定 – 使用可能なオプションからタイム ゾーンを指定します。

Workspace ONE Launcher

Workspace ONE Launcher は、個々のユースケースの Android デバイスをロックダウンし、管理対象 Android デバイスの外観と動作をカスタマイズできるアプリケーション ランチャーです。Workspace ONE Launcher アプリケーションは、デバイス インターフェイスを、ビジネス ニーズに合うようにカスタム調整されたデバイス インターフェイスに置き換えます。

Android 6.0 Marshmallow および以降のデバイスを、企業所有の特定業務専用 (COSU) モードで構成できます。COSU モードにすると、内部およびパブリック アプリケーションがサポートされるホワイトリスト設定によって、キオスク モードなどのある目的のためにデバイスを構成できるようになります。シングル アプリ モード、マルチ アプリ モード、およびテンプレート モードでは、COSU モードがサポートされています。COSU モードでの Workspace ONE Launcher プロファイルの展開の詳細については、Workspace ONE Launcher の資料を参照してください。

Workspace ONE Launcher を構成するためのより包括的なガイドについては、「Workspace ONE Launcher Publication」を参照してください。

ファイアウォール

管理者は ファイアウォール ペイロードを使用して Android デバイスのファイアウォール ルールを構成することができます。各ファイアウォール ルール タイプに対して、複数のルールを追加できます。

このプロファイルは、[OEM 設定] がオンになっていて、[全般] プロファイル設定で [OEM の選択] フィールドが [Samsung] に設定されている場合に使用できます。

注:ファイアウォールペイロードは、SAFE 2.0 以降のデバイスにのみ適用されます。

  1. [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルを追加] > [Android] の順に進みます。

    [ファイアウォール] プロファイルは、[OEM 設定] フィールドがオンになり、[Samsung] が [OEM の選択] フィールドから選択された場合にのみ、[Android] プロファイルに対して表示されます。[全般] プロファイルの OEM 設定 フィールドは、Android プロファイルにのみ適用され、Android (Legacy) 構成には適用されません。

  2. プロファイルをデバイスに展開するには、デバイス を選択します。

  3. プロファイルの 全般 を構成します。

    [全般] 設定は、プロファイルの展開方法と展開対象となるユーザーを指定するためのものです。

  4. ファイアウォール プロファイルを選択します。

  5. 目的のルールの下にある 追加 ボタンを選択し、設定を構成します。

    設定 説明
    許可ルール このオプションを有効にした場合、デバイスは特定のネットワークの場所で送受信を行うことができます。
    拒否ルール このオプションを有効にした場合、デバイスは特定のネットワークの場所で送受信を行うことができません。
    経路変更ルール このオプションを有効にした場合、トラフィックは特定のネットワークの場所から代替ネットワークにリダイレクトされます。許可されたウェブサイトを別の URL にリダイレクトする場合は、リダイレクト先の URL もすべて許可ルール セクションに追加し、アクセスできるようにしてください。
    リダイレクト例外ルール このオプションを有効にした場合、トラフィックはリダイレクトされません。
  6. 保存して公開 を選択します。

APN

Android デバイスの アクセス ポイント名 (APN) の設定を構成することにより、多数のデバイスのキャリア設定を統一することや、構成ミスを修正することができます。

  1. [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルを追加] > [Android] の順に進みます。

  2. プロファイルをデバイスに展開するには、デバイス を選択します。

  3. プロファイルの全般設定を構成します。APN プロファイルは、[OEM 設定] フィールドが [オンにする] に切り替えられ、[OEM の選択] フィールドで [Samsung] が選択された場合にのみ表示されます。

    [全般] プロファイル設定は、プロファイルの展開方法と展開対象となるユーザーを指定するためのものです。

  4. [APN] ペイロードを選択します。

  5. 次を含む、[APN] を構成します。

    設定 説明
    表示名 わかりやすいアクセス名を入力します。
    アクセス ポイント名 (APN) キャリアから提示された APN を入力します(例:come.moto.cellular)。
    アクセス ポイント タイプ この APN 構成を使用する必要のあるデータ通信タイプを指定します。
    モバイル国コード (MCC) 3 桁の国コードを入力します。この値に基づいて、デバイスがここで入力したキャリアと異なるキャリア上でローミングしているかどうかが検査されます。モバイル国番号は、モバイル ネットワーク コード (MNC) と組み合わせて使用されます。これにより、GSM (GSM-R を含む)、UMTS、LTE の各モバイル ネットワークを使用しているモバイル ネットワーク事業者 (キャリア) を一意に識別できます。
    モバイル ネットワーク コード (MNC) 3 桁のネットワーク コードを入力します。この値に基づいて、デバイスがここで入力したキャリアと異なるキャリア上でローミングしているかどうかが検査されます。モバイル ネットワーク コードは、モバイル国番号 (MCC) と組み合わせて使用されます。これにより、GSM (GSM-R を含む)、UMTS、LTE の各モバイル ネットワークを使用しているモバイル ネットワーク事業者 (キャリア) を一意に識別できます。
    MMS サーバ (MMSC) サーバのアドレスを入力します。
    MMS プロキシ サーバ MMS のポート番号を入力します。
    MMS プロキシサーバ ポート プロキシ サーバのターゲット ポートを入力します。
    サーバ 接続に使用するサーバのホスト名または IP アドレスを入力します。
    プロキシ サーバ プロキシ サーバの詳細情報を入力します。
    プロキシ サーバ ポート すべてのトラフィックに対して使用するプロキシ サーバ ポートを入力します。
    アクセス ポイント ユーザー名 アクセス ポイントに接続する際に使用するユーザー名を入力します。
    アクセス ポイント パスワード アクセス ポイントで認証を受けるパスワードを入力します。
    認証タイプ 認証プロトコルを選択します。
    優先 APN として設定する このオプションをオンにすると、すべてのエンド ユーザー デバイスに同じ APN 設定が適用されます。また、デバイスまたはキャリアによる変更を防止できます。
  6. 保存して公開 を選択します。

エンタープライズ工場出荷状態へリセットの保護

工場出荷状態へリセットの保護 (FRP) は、未承認の工場出荷状態リセット後にデバイスを使用できないようにする Android セキュリティ手法です。

オンにすると、以前に設定した Google アカウントと同じアカウントを使用してログインするまで、保護されたデバイスを出荷時状態へリセット後に使用することはできません。

ユーザーが FRP をオンにしている場合、デバイスが組織に返却されるとき(ユーザーが会社を退職するときなど)、このデバイスの機能によりデバイスを再設定できないことがあります。

[エンタープライズ工場出荷状態へリセットの保護] プロファイルでは、Google ユーザー ID を使用し、工場出荷状態へのリセットの後に Google アカウントを無効にして、デバイスを別のユーザーに割り当てることができます。この Google ユーザー ID を取得するには、People:get にアクセスします。

Android デバイスの [工場出荷状態へリセットの保護] プロファイル用に Google ユーザー ID を生成する

この Google ユーザー ID を使用すると、元の Google アカウントがなくてもデバイスをリセットできます。プロファイルを構成するには、People:get API を使用して、Google ユーザー ID を取得します。開始する前に、People:get の Web サイトから Google ユーザー ID を取得する必要があります。

  1. People:get にアクセスします。

  2. Try this API ウィンドウで、次の設定を構成します。

    設定 説明
    resourceName people/me と入力します。
    personFields metadata,emailAddresses と入力します。
    requestMask.includefield このフィールドは空白のままにします。
    認証情報 Google OAuth 2.0 フィールドと API Key フィールドの両方をオンにします。
  3. Execute を選択します。

  4. プロンプトが表示された場合は、Google アカウントにサインインします。これは、FRP がオンであるときにデバイスをロック解除するために使用するアカウントです。

  5. Allow を選択して、権限を付与します。

  6. application/json タブの id フィールドにある 21 桁の数字を見つけます。

  7. Workspace ONE UEM console に戻って、[エンタープライズ工場出荷状態へリセットの保護] プロファイルを構成します。

Android 用の [エンタープライズ工場出荷状態へリセットの保護] プロファイルを構成する

Google ユーザー ID を [エンタープライズ工場出荷状態へリセットの保護] プロファイルに入力します。

  1. [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルを追加] > [Android] の順に進みます。

  2. 必要に応じて、プロファイルの 全般 を 設定します。

  3. [エンタープライズ工場出荷状態へリセットの保護] ペイロードを選択します。

  4. 貴社のアプリケーション展開に必要な制御レベルに応じて以下の項目を構成します。

    設定 説明
    Google ユーザー ID Google People:get から取得した Google ユーザー ID を入力します。
  5. 保存して公開 を選択します。

Zebra MX

Zebra MX プロファイルによって、Android デバイスの Zebra MX サービス アプリで提供される追加機能を利用できるようになります。Zebra MX サービス アプリは、Google Play と My Workspace ONE からプッシュし、Workspace ONE UEM console でこのプロファイルとともに内部アプリとして配布できます。

  1. [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルを追加] > [Android] の順に進みます。

  2. 必要に応じて、プロファイルの 全般 を 設定します。[OEM 設定] フィールドをオンにし、[OEM を選択] フィールドから Zebra を選択して、Zebra MX プロファイルをオンにします。

  3. Zebra MX プロファイル設定を構成するには、次を実行します。

    設定 説明
    Fusion 設定を含める このオプションをオンにすると、Fusion オプションを拡張し、Motorola デバイス用 Fusion アダプタと組み合わせて使用することができます。
    Fusion 802.11d を設定する Fusion 802.11d を使用して Fusion 802.11d 設定を設定します。
    802.11d をオンにする このオプションをオンにすると、802.11d ワイヤレス規格を利用して、他の規制ドメイン内で操作を行うことができます。
    国別コードを設定する このオプションをオンにすると、802.11d 規格で使用する国別コードを設定することができます。
    周波数帯を設定する このオプションをオンにすると、2.4 GHz、5 GHz、またはその両方の周波数帯を選択できます。また、適切なチャネル マスクも選択できます。
    機内モードを許可 オンにすると、機内モードの設定画面へのアクセスを許可します。
    疑似ロケーションを許可 疑似ロケーションをオンまたは無効にします(「設定」 > 「開発者オプション」)。
    バックグラウンド データを許可 バックグラウンド データをオンまたは無効にします。
    スリープ中は Wi-Fi を常にオンにする 常にオン - デバイスがスリープ モードに移行しても、Wi-Fi は有効化されたままです。プラグ接続時のみ - デバイスが充電中の場合のみ、デバイスがスリープ モードに移行しても、Wi-Fi は有効化されたままです。オンにしない - デバイスがスリープ モードに移行すると、Wi-Fi は無効になります。
    ローミング中のデータ使用 オンにすると、ローミング中にデータ接続を許可します。
    Wi-Fi を強制的にオンにする ユーザーがオフにできないように Wi-Fi を強制的にオンにします。
    Bluetooth を許可 オンにすると、Bluetooth の使用を許可します。
    クリップボードを許可 オンにすると、コピー/貼り付けが許可されます。
    ネットワーク監視通知を許可 オンにすると、ネットワーク監視警告通知が許可されます。この通知は通常、証明書をインストールした後に表示されます。
    日付/時刻設定をオンにする オンにして日付/時刻の設定を行います
    日付の表示形式:月、日、および年を表示する順序を決定します。
    時刻の表示形式:12 または 24 時間を選択します。
    日時:デバイス上で日付と時刻の設定をどのデータソースから取得するかを指定します。
    自動 – デバイスのネイティブ設定に基づいて日付と時刻が設定されます。
    サーバ上の時間 – Workspace ONE UEM console のサーバ時刻に基づいて、日付/時刻が設定されます。
    時間帯を設定 – タイムゾーンを指定します。
    HTTP URL – Workspace ONE UEM Intelligent Hub は URL に到達し、HTTP ヘッダーからタイムスタンプを取得します。その後、その時刻をデバイスに適用します。リダイレクトするサイトは処理しません
    URL – 日付と時刻情報を配信している Web アドレスを入力します。http:// を含める必要があります。例:http://www.google.com / HTTPS はサポートされていません。
    周期的な同期をオンにする – オンにすると、デバイス上で日付と時刻が数日間隔で定期的に同期します。
    時間帯を設定 – タイムゾーンを指定します。
    SNTP サーバ:- NTP 設定がデバイスに直接適用されます。
    URL - NTP/SNTP サーバの Web アドレスを入力します。例: time.nist.gov。
    周期的な同期をオンにする – オンにすると、デバイス上で日付と時刻が数日間隔で定期的に同期します。
    サウンド設定をオンにする サウンド設定をオンにして、デバイスのオーディオ設定を構成します。- ミュージック、動画、ゲーム、その他のメディア:デバイス上で固定したいボリューム レベルにスライダを設定します。
    着信音と通知:デバイス上で固定したいボリューム レベルにスライダを設定します。
    通話:デバイス上で固定したいボリューム レベルにスライダを設定します。
    デフォルトの通知をオンにする:このオプションを有効にした場合、デバイスに既定の通知が表示されたときに音が鳴ります。
    ダイアル パッドのタッチ トーンをオンにする:このオプションを有効にした場合、ダイアル パッドのタッチ トーンが鳴ります。
    タッチ トーンをオンにする:このオプションを有効にした場合、タッチ トーンが鳴ります。
    スクリーン ロック サウンドをオンにする:このオプションを有効にした場合、デバイスがロックされたときに音が鳴ります。
    タッチ時バイブレートをオンにする**:バイブレート設定を有効にします。
    ディスプレイ設定をオンにする オンにして表示設定を行います。- ディスプレイの明るさ:デバイス上で固定したい明るさにスライダを設定します。
    画面の自動回転をオンにする:デバイスの向きをロックするには、このオプションを使用します。
    スリープ設定:デバイスがスリープ モードになるまでの無操作時間を指定します。
  4. 保存して公開 を選択します。

カスタム設定

Workspace ONE UEM console がネイティブ ペイロードで現在サポートしていない Android の新機能がリリースされた場合は、カスタム設定ペイロードを使用します。カスタム設定ペイロードと XML コードを使用して、特定の設定を手動でオンまたは無効にします。

  1. [リソース] > [プロファイルとベースライン] > [プロファイル] > [追加] > [プロファイルを追加] > [Android] の順に進みます。

  2. プロファイルの全般設定を構成します。

  3. 該当するペイロード (例: 制限事項、パスコード) を構成します。

    「test」組織グループに保存されている、お客様のプロファイルのコピーを使用できます。これにより、他のユーザーへの影響を回避しつつ、保存して公開する準備を行うことができます。

  4. プロファイルを公開せずに 保存 します。

  5. プロファイル リスト表示で、カスタマイズしたいプロファイルの行に対するラジオ ボタンを選択します。

  6. 上端の XML ボタンを選択し、プロファイル XML を表示します。

  7. 以前に構成したプロファイル ペイロードの場合は、 および タグで囲まれた XML コードのセクションをコピーします(これらのタグを含む)。プロファイルに複数のペイロードがある場合は、 XML コードをコピーするペイロードのタグを識別します。たとえば、パスコード プロファイルには 「type」値が com.airwatch.android.androidwork.apppasswordpolicy のタグがあります。

  8. このセクションをコピーし、XML 表示を閉じます。プロファイルを開きます。

  9. カスタム設定 ペイロードを開き、構成 をクリックします。コピーした XML をテキスト ボックスにペーストします。貼り付けた XML コードには、~ という完全なコード ブロックが  含まれています

    • この XML には、各カスタム XML に記載されているコードの完全なブロックが含まれている必要があります。
    • 管理者は、必要に応じて、各設定を ~ に 含まれています 必要があります。
    • 証明書が必要な場合は、プロファイル内で証明書ペイロードを構成し、[カスタム設定] ペイロードでそのペイロード UUID を参照してください。
  10. 構成済みの元のペイロードを削除するため、ベース ペイロード セクションを選択し、「-」 ボタンをクリックします。新機能に対するカスタム XML コードを追加することにより、プロファイルの機能を強化できます。

    • Launcher プロファイルのカスタム設定を適用する場合は、プロファイル タイプに適した特性タイプを使用していることを確認してください。

      • Android プロファイルの場合、特性タイプは「com.airwatch.android.androidwork.launcher」になります。
      • Android (Legacy) プロファイルの場合、特性タイプは「com.airwatch.android.kiosk.settings」になります。

    最新のバージョンにアップグレードされていないデバイスでは、設定した強化機能は無視されます。これはカスタム コードなので、古いバージョンのデバイスでプロファイルをテストし、期待したとおりに動作するかどうかを検証する必要があります。

  11. 保存して公開 を選択します。

アプリケーション用のアプリケーション構成をプッシュする

Android カスタム設定プロファイルを介して、アプリケーション構成のキーと値のペアをプッシュできます。これを行うには、以下のテンプレートに沿って以下を指定します。- アプリケーション パッケージ ID - アプリケーション構成のキーと値の各ペアについて、キー名、値、値のデータ タイプ

    <characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
    <parm name="key1" value="string" type="string" />
    <parm name="key2" value="1" type="integer" />
    <parm name="key3" value="False" type="boolean" />
        </characteristic>

<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:com.airwatch.testapp" target="1">
    <parm name="server_hostname" value="test.com" type="string" />
    <parm name="connection_timeout" value="60" type="integer" />
    <parm name="feature_flag" value="True" type="boolean" />
</characteristic>

注: アプリケーション構成は、Android アプリケーションを割り当てる際に追加できます。詳細については、「アプリケーションへの割り当てと除外の追加」を参照してください。

Always On VPN を有効にする(VPN クライアントのみ)

Android は起動時に VPN 接続を自動的に開始し、有効な状態を維持できます。これは Always On VPN と呼ばれます。VPN クライアントで Always On VPN を有効にするには、以下のカスタム設定 XML テンプレートを使用します。XML の最初の行でターゲット VPN クライアントの packageID を指定します。

<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
    <parm name="EnableAlwaysOnVPN" value="True" type="boolean" />
</characteristic>

必要に応じて、VPN クライアントの VPN ロックダウンを設定できます。ロックダウンにより、VPN 接続が有効になっていない限り、デバイス上のアプリケーションはデバイス ネットワーク接続を使用できなくなります。ロックダウンを有効にするには、次のテンプレートを使用します。

<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
    <parm name="EnableAlwaysOnVPN" value="True" type="boolean" />
    <parm name="LockDown" value="True" type="boolean"/>
</characteristic>

最後に、ロックダウンから除外されるアプリケーションの許可リストを指定することもできます。

<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
    <parm name="EnableAlwaysOnVPN" value="True" type="boolean" />
    <parm name="LockDown" value="True" type="boolean"/>
    <parm name="EnableLockDownWhitelist" value="True" type="boolean"/>
    <parm name="LockdownWhitelistedPackageIds" value="packageID_1, packageID_2" type="string"/>
</characteristic>

注: 両方のアプリケーション構成をプッシュし、VPN クライアントに Always-on VPN を構成するには、同じカスタム設定ペイロードで両方の構成のキーと値のペアを組み合わせます。

Android デバイス用カスタム XML

Android 11 で、サードパーティのカスタム属性を使用しているお客様は、カスタム設定プロファイルを使用して、カスタム属性ファイルを保存するための別の場所を指定する必要があります。また、お客様のアプリでも、この同じフォルダの場所をターゲットにする必要があります。そのために、アプリの変更が必要になる場合があります。

カスタム XML の例(値はお客様の設定によって異なる場合があります):

<characteristic type="com.android.agent.miscellaneousSettingsGroup" uuid="2c787565-1c4a-4eaa-8cd4-3bca39b8e98b">
<parm name="attributes_file_path" value="/storage/emulated/0/Documents/Attributes"/></characteristic>

ヘッドレス アプリレポート

デフォルトでは、起動可能なユーザー インターフェイスまたはアプリ アイコンのないアプリケーションの事前定義されたリストのみが、Workspace ONE UEM Console に報告されます。起動可能なユーザー インターフェイスまたはアプリ アイコンのない他のアプリケーションは報告されません。この問題が発生すると、インストール状態を確認できず、これらのアプリのプロファイルがデバイスにプッシュされません。

アプリケーションの事前定義されたリストは、こちらで定義されます。アプリに起動可能なユーザー インターフェイスがない場合でも、このカスタム XML プロファイル ペイロードを使用して、コンソールにレポートされる追加のパッケージ ID を指定できます。実装後:

  • プロファイルで指定されたパッケージ ID は、インストール後に報告されます。コンソールに「インストール済み」と表示されます。
  • フィードバック チャネル データは、(アプリでサポートされている場合)コンソールで表示することもできます。

以下のカスタム XML プロファイルを使用して、Hub がコンソールにレポートするアプリを指定します。

<characteristic type="com.android.agent.miscellaneousSettingsGroup" uuid="2c787987-1c4a-4eaa-8cd4-3acb39b8f97b"> <parm name="headlessapps" value="com.example1.com, com.example2.com, com.example3.com"/></characteristic> 

Android 固有のプロファイルの機能

この章で示す機能マトリックスは、主要な OS 固有機能の概要です。Android 用デバイス管理に利用できる特に重要な機能を挙げています。

機能 Work プロファイル Work 管理対象デバイス
アプリケーション制御
ブラックリスト アプリへのアクセスを無効化
必須アプリのアンインストールを防止する
システム更新ポリシーをオンにする  
ランタイム権限管理
AirWatch Browser
Cookie を許可
画像を許可
JavaScript をオンにする
ポップアップを許可
位置情報追跡を許可
プロキシ設定を構成する
Google セーフサーチを強制
YouTube セーフモードを強制
タッチして検索をオンにする
既定の検索プロバイダをオンにする
パスワード マネージャをオンにする
代替エラー ページをオンにする
オートフィルをオンにする
印刷をオンにする
データ圧縮プロキシ機能をオンにする
セーフ ブラウジングをオンにする
ブラウザ履歴の保存を無効にする
セーフブラウジングの警告の後の続行をブロックする
SPDYプロトコルを無効にする
ネットワーク予測をオンにする
古い Web プラットフォームの機能を一時的にオンにする
セーフ サーチを強制する
シークレットモードの可用性
Chromium へのサインインを許可する
検索候補をオンにする
翻訳をオンにする
ブックマークを許可する
特定の URL へのアクセスを許可する
特定の URL へのアクセスをブロックする
SSL の最小バージョンを設定する
パスコードのポリシー
ユーザーに新しいパスコードを設定させる
パスワード試行回数の上限
簡易なパスコードを許可
英数字のパスワードを許可する
デバイス ロック猶予時間 (分) を設定する
パスコードの最長有効期間を設定する
パスワード履歴の長さ
パスワード履歴の長さ
パスコード最小文字数を設定する
最小の数字数を設定する
最小の小文字数を設定する
最小の大文字数を設定する
最小の大文字数を設定する
特殊文字の最小数を設定する
最小のシンボル数を設定する
コマンド
エンタープライズ ワイプを許可する
デバイスワイプを許可する  
コンテナまたはプロファイル ワイプを許可する  
SD カード ワイプを許可する  
デバイス ロック
ロック コンテナまたはプロファイルを許可する    
E メール
ネイティブ E メール構成
連絡先とカレンダーの同期を許可する
ネットワーク
VPN タイプを構成する
アプリ ベース VPN をオンにする(特定の VPN クライアントにのみ使用可能)
認証に Web ログオンを使用する(特定の VPN クライアントにのみ使用可能)
HTTP グローバル プロキシを設定する
Wi-Fi へのデータ接続を許可する
常時 VPN に接続する
暗号化
デバイス全体の暗号化を必須にする
暗号化ステータスをレポートする    
check-circle-line exclamation-circle-line close-line
Scroll to top icon