Microsoft Intuneで Android エンタープライズ デバイスを構成するためのエンド ツー エンド ガイド

このガイドは、管理者がMicrosoft Intune環境で Android エンタープライズ デバイスを構成してトラブルシューティングする方法を理解するのに役立ちます。 ここでは、次の一般的なシナリオについて説明します。

  • Google へのオンボード
  • アプリケーションの展開
  • 仕事用プロファイルの登録を有効にする
  • 条件付きアクセスの構成
  • 作業プロファイル登録のエンド ユーザー エクスペリエンス
  • 仕事用プロファイルのパスコードリセットを発行する

組織に最適な管理機能を決定するのに役立ち、Android エンタープライズに関する FAQ を提供します。

ニーズを評価する

Intuneで Android エンタープライズ デバイスを有効にする前に、それらのデバイスを個人用デバイス (Bring Your Own Device、BYOD) として登録するか、企業のデバイスとして登録するかを決定する必要があります。

BYOD デバイス

BYOD デバイスは、Android Enterprise の仕事用プロファイルを持つ設定になっています。 この機能は、Android 5.1 以降のバージョンに組み込まれています。 この機能を使用すると、仕事用アプリとデータを、デバイス上の独立した自己完結型の会社が管理するスペースに格納できます。 個人用アプリとデータはユーザーの個人プロファイル内のデバイスに残るため、従業員は通常と同じようにデバイスを引き続き使用できます。

企業のデバイス

企業所有のデバイスには 2 つのオプションがあり、それぞれが一意のユース ケースに対応します。

  • 専用デバイス (旧称 COSU、または企業所有のシングル ユース)。

    注意

    このガイドで使用する例では、BYOD シナリオに焦点を当てています。 専用デバイス (COSU) シナリオの詳細については、 QR コード登録方法を使用した COSU の構成と登録に関するページを参照してください。

    専用デバイスは通常、1 つのアプリまたは一連のアプリ (キオスク モードとも呼ばれます) にロックされます。 これにより、管理者は、ステータス バー、キーボード レイアウト、ロック画面、デバイス上のその他の設定などを制御できます。 これにより、ユーザーが他のアプリを有効にしたり、専用デバイスで特定の設定を変更したりできなくなります。

    注意

    この方法で管理するデバイスは、ユーザー アカウントを持たないIntuneに登録され、エンド ユーザーには関連付けられません。 これらは、Outlook や Gmail などのユーザー固有のアカウント データに対して強力な要件を持つ個人使用アプリケーションやアプリを対象としていません。

  • フル マネージド デバイス (旧称 COBO、または企業所有のビジネスのみ)。

    注意

    フル マネージド デバイスの詳細については、「Android Enterprise フル マネージド デバイスの登録Intune設定する」を参照してください。

    フル マネージド デバイスは、よりユーザー中心のシナリオに適合します。 1 人のユーザーがデバイスに関連付けられますが、管理者は引き続きデバイスに対する完全な制御を保持します (複数のユーザーが制御できる仕事用プロファイルシナリオとは対照的です)。

デバイスを登録する方法を決定する場合は、両方の方法ですべての機能を使用できるわけではないことに注意してください。 次の表は、いくつかの主な違いを示しています。

機能セット 仕事用プロファイル (BYOD) 専用 (キオスク) フル マネージド
マネージド 電子メール プロファイル ×
マネージド Wi-Fi プロファイル
マネージド VPN プロファイル ×
SCEP 証明書プロファイル
PKCS 証明書プロファイル ×
信頼された証明書プロファイル
カスタム プロファイル × x
出荷時のリセットを防止する ×
カメラ &画面キャプチャをブロックする
[ボリュームのブロック] ボタン ×
ブロック コピーと貼り付け/ データ共有
マネージド パスワード
マネージド アプリケーション (必須)
マネージド アプリケーション (使用可能) ×
コンテナー化されたプロファイル × x
キオスク レベルのデバイス管理 × x
個人用デバイス管理 × x
NFC-Based登録 ×
Token-Based登録 ×
QR Code-Based登録 ×
ゼロ タッチ ×
コンプライアンス/条件付きアクセス ×

詳細については、「Microsoft Intune プランを実装する」を参照してください。

Intune アカウントを Android エンタープライズ アカウントに接続する

環境で Android エンタープライズを構成する最初の手順は、Intune テナント アカウントを Android エンタープライズ アカウントに接続することです。

  1. Google サービス アカウント (@gmail.com) を作成します。

    注意

    このアカウントは、テナントのすべての Android エンタープライズ管理タスクに関連付けられます。 会社の IT 管理者が Google Play コンソールでアプリを管理および発行するために共有するのは Google アカウントです。 既存の Google アカウントを使用するか、新しい Google アカウントを作成できます。 使用するアカウントは、G-Suite ドメインに関連付けてはなりません。

  2. Intune ライセンスのグローバル管理者アカウントを使用して、Microsoft エンドポイント マネージャー管理センターにサインインします。

  3. デバイス > Android > Android 登録 > 管理 Google Play に移動し、[同意 する] を選択し、[Google の起動] を選択 して今すぐ接続 して、マネージド Google Play Web サイトを開きます。

    [管理された Google Play] ページのスクリーンショット。ここで Google を起動して接続できます。

  4. Google アカウントにサインインし、[ 作業の開始] を選択します。

    [作業の開始] ページを選択します。

  5. 会社名を入力し、[ 次へ] を選択します。

    ビジネス名ページを入力します。

  6. 条件に同意し、[ 確認] を選択します。

  7. [ 完全な登録] を選択します。

    [完全な登録] ページを選択します。

詳細については、「Intune アカウントを Managed Google Play アカウントに接続する」を参照してください。

アプリケーションを展開する

Intune アカウントが Android エンタープライズ アカウントに接続されたら、次の手順に従って一部のアプリケーションをデプロイできます。

  1. Intune ライセンスのグローバル管理者アカウントを使用して、Microsoft エンドポイント マネージャー管理センターにサインインします。

  2. [アプリすべてのアプリ > の追加**]** > に移動します。

  3. [ アプリの種類の選択 ] ウィンドウで、使用可能な ストア アプリ の種類を探し、 マネージド Google Play アプリ を選択します。

  4. [選択] を選択しますマネージド Google Play アプリ ストアが表示されます。

    マネージド Google Play アプリ ストア。

  5. アプリを検索してアプリの詳細を表示します。 例: アプリをIntune ポータル サイトします。

  6. アプリを表示するページで、[承認] を選択 します。 アプリのウィンドウが開き、アプリがさまざまな操作を実行するためのアクセス許可を付与するように求められます。

    例のIntune ポータル サイトで [承認] を選択します。

  7. もう一度 [承認] を選択して、アプリのアクセス許可を受け入れます。

    もう一度 [承認] を選択して、アプリのアクセス許可を受け入れます。

  8. [ 承認設定] タブで、[ アプリが新しいアクセス許可を要求したときに承認を保持 する] を選択し、[保存] を選択 します

    [承認設定] タブで、アプリが新しいアクセス許可を要求したときに [承認を保持] を選択します。

  9. [選択] を クリックしてアプリを選択します。

  10. 上部の [同期 ] を選択して、アプリを Managed Google Play サービスと同期します。

  11. [更新] を 選択してアプリの一覧を更新し、新しく追加されたアプリを表示します。

    注意

    Intuneとマネージド Google Play ストア間のアプリ同期は手動です。 そのため、新しいアプリを承認するたびに [ 同期 ] ボタンを選択する必要があります。

  12. アプリをMicrosoft Intuneに追加したら、アプリをユーザーとデバイスに割り当てることができます。 Microsoft エンドポイント マネージャー管理センターから、[アプリのすべてのアプリ] > に移動 します[管理] の下を見ると、アプリが一覧に表示されます。

    Microsoft エンドポイント マネージャー管理センターの [すべてのアプリ] ページ。

  13. アプリをグループに割り当てるには、割り当てるアプリを選択します。 メニューの [管理] セクションで [プロパティ] を選択し、[割り当て] の横にある [編集] を選択して、[グループの追加] ウィンドウを開きます。

    [プロパティ]、[割り当て] の順に選択します。

  14. [ 割り当て ] タブの [ 必須] で、[ グループの追加] を選択し、含めるグループを選択して、[選択] を選択 します

    [必須] で [グループの追加] を選択します。

  15. [ 割り当て ] ウィンドウで、[ 校閲と保存 ] を選択して、含まれるグループの選択を完了します。

  16. [ 割り当て ] ウィンドウで 、[ 保存] を選択して変更を保存します。

  17. [アプリのプロパティ] ビューに戻り、[割り当て] でアプリを確認します。

    アプリの割り当てを確認します。

アプリの展開の詳細については、「Microsoft Intuneに Android Enterprise システム アプリを追加する」を参照してください。

Android エンタープライズの仕事用プロファイルの登録を有効にする

  1. Intune ポータルで、[デバイス登録登録 > の制限] に移動し、[デバイスの種類の制限] で [既定値] を選択します。

    [デバイスの種類の制限] 画面。

  2. [プロパティ > の選択] プラットフォームを選択 し、[Androidブロック] を選択し、[Android の作業プロファイル****を許可 する] を選択して [OK] を 選択し、[保存] を選択して変更を保存します。

    [登録プロパティ] 画面。

    注意

    既定の制限は優先度が最も低く、すべてのユーザーに適用されます。これは編集できません。 追加のカスタム制限を作成する場合は、この構成と競合しないように、それらが割り当てられているグループに注意してください。

詳細については、「 Android Enterprise 仕事用プロファイル デバイスの登録を設定する」を参照してください。

条件付きアクセスを構成する

  1. Gmail アプリまたは Nine Work アプリを 必要に応 じてデプロイします。

  2. 次の手順に従って、アプリに電子メール プロファイルを作成します。

    1. Intune Azure portalで[デバイス構成 > プロファイルの作成] プロファイル > を選択し、電子メール プロファイル「名前」「説明」と入力します。

    2. [プラットフォーム] ドロップダウン リストから [Android エンタープライズ] を選択します。

    3. [プロファイルの種類**] の [** > 仕事用プロファイルのみ] で、[電子メール] を選択します。

    4. [電子メール プロファイル] の設定を構成します。

      電子メール プロファイルの設定を構成します。

      これらの設定の詳細については、「Intuneで電子メール、認証、同期を構成するための Android デバイス設定」を参照してください。

  3. 電子メール プロファイルを作成したら、グループに割り当てます。

    [割り当て] 画面。

  4. デバイス ベースの条件付きアクセスを構成します。

詳細については、「 Android 仕事用プロファイル デバイスの条件付きアクセスの設定」を参照してください。

Android エンタープライズ デバイスを登録する

  1. 職場アカウントでサインインし、[ 今すぐ登録] をタップします。

    [今すぐ登録] 画面。

  2. [ アクセスのセットアップ] 画面で、[続行] をタップ します

    [アクセスのセットアップ] 画面。

  3. プライバシーに関する声明画面で、[続行] をタップ します

    [プライバシーに関する声明] 画面。

  4. 次の画面 で、[次へ] をタップします。

    次の画面。

  5. [ 仕事用プロファイルのセットアップ ] 画面で、[ 承諾] をタップします。

    仕事用プロファイル画面を設定します。

  6. [ 作業プロファイルのアクティブ化] 画面で、[ 続行] をタップします。

    [作業プロファイルのアクティブ化] 画面。

    注意

    上部にバッジ アイコンが表示されます。つまり、作業プロファイル内に入っています。

  7. [ すべての設定 ] 画面で、[ 完了] をタップします。

    これで画面が設定されます。

  8. Gmail にサインインできるようになりました。 セキュリティ設定を更新するように求められたら、[ 今すぐ更新] をタップします。

    セキュリティ更新プログラム画面。

  9. [ アクティブ化] をタップして、Gmail をデバイス管理者としてアクティブ化します。

    デバイス管理者画面。

詳細については、「 Android デバイスの登録」を参照してください。

Android 仕事用プロファイルのパスコードをリセットする

  1. 次の手順に従って、仕事用プロファイルパスコードを必要とするデバイス プロファイルを作成します。

    1. Intune Azure portalで、[デバイス構成 > プロファイルの作成] プロファイルを > 選択し、プロファイル「名前」「説明」と入力します。

    2. [プラットフォーム] ドロップダウン リストから [Android エンタープライズ] を選択します。

    3. [プロファイルの種類**] の [** > 仕事用プロファイルのみ] で、[デバイスの制限] を選択します。

    4. [仕事用プロファイルの設定] で、[仕事用プロファイルパスワードが必要] で [必須] を選択します。

      [仕事用プロファイルのプロパティ] ページ。

  2. Android エンタープライズ デバイスで、作業プロファイルパスコードを設定していない場合は、そのパスコードを設定するように求められます。

  3. 仕事用プロファイルをセキュリティで保護する - 会社のサポートを承認して、仕事用プロファイルのパスワードをリモートでリセットするという 2 番目のプロンプトが表示されるまで待ちます。 リセットを承認するパスコードを入力します。 この操作を正常に実行するために必要なパスワード のリセット トークンIntuneアクティブ化します。

    仕事用プロファイル画面をセキュリティで保護します。

    注意

    これらの手順のいずれかをスキップすると、次のエラー メッセージが表示されます。
    パスコードのリセットの開始に失敗しました

  4. [ パスコードのリセット] を選択します。

    パスコードのリセット画面。

  5. リセットが完了すると、一時的なパスコードが表示されます。

    パスコードの完了画面をリセットします。

  6. デバイスにこの一時的なパスコードを入力します。

  7. 新しい PIN を設定する必要がある場合は、この一時的なパスコードを再入力し、新しい PIN を入力する必要があります。

パスコードのリセットの詳細については、「 Android 仕事用プロファイルのパスコードをリセットする」を参照してください。

よく寄せられる質問

  • 質問: Google Play for Work ストアから未承認のアプリが、Intune 管理 ポータルの [Mobile Apps] ページから削除されないのはなぜですか?

    回答: この動作が必要です。

  • 質問: Intune ポータルの [検出された アプリ] で管理 Google Play アプリが報告されないのはなぜですか?

    回答: この動作が必要です。

  • 質問: Intuneを通じてデプロイされていないマネージド Google Play アプリが仕事用プロファイルに表示されるのはなぜですか?

    回答: システム アプリは、作業プロファイルが作成された時点で、デバイス OEM によって仕事用プロファイルで有効にすることができます。 MDM プロバイダーによって制御されません。

    トラブルシューティングを行うには、次の手順に従います。

    1. ポータル サイト ログを収集します。
    2. 仕事用プロファイルに予期せず表示されるすべてのアプリに注意してください。
    3. Intuneからデバイスの登録を解除し、ポータル サイトをアンインストールします。
    4. テスト用の EMM を使用せずに作業プロファイルを作成できるテスト DPC アプリをインストールします。
    5. テスト DPC の手順に従って、デバイスに作業プロファイルを作成します。
    6. 仕事用プロファイルに表示されるアプリを確認します。
    7. 同じアプリケーションがテスト DPC アプリに表示される場合、そのデバイスの OEM によってアプリが想定されます。
  • 質問: 仕事用プロファイルが登録されているデバイスでワイプ (Factory Reset) オプションを使用できないのはなぜですか?

    回答: この動作が必要です。 仕事用プロファイルのシナリオでは、MDM プロバイダーはデバイスを完全に制御できません。 使用できる唯一のオプションは、仕事用プロファイル全体とそのすべての内容を削除する [退職] (会社データの削除) です。

  • 質問: ファイル パス内部ストレージ/Android/Data.com.microsoft.windowsintune.companyportal/files を仕事用プロファイルに登録したデバイスで手動でポータル サイトログを収集できないのはなぜですか?

    回答: この動作が必要です。 このパスは、デバイス 管理 (レガシ Android 登録) シナリオでのみ作成されます。

    ログを収集するには、次の手順に従います。

    1. バッジ付きのポータル サイト アプリで、[メニュー ヘルプ > メール サポート**]** > をタップし、[メールの送信&アップロード ログ] をタップします。
    2. ヘルプ要求の送信 を求めるメッセージが表示されたら、メール アプリのいずれかを選択します。
    3. Microsoft 製品サポートに提供できるインシデント ID を使用して、IT 管理者に電子メールが生成されます。
  • 質問: マネージド Google Play の最終同期時刻を確認しましたが、数日で更新されていません。 どうしてでしょうか?

    回答: この動作が必要です。 同期は、手動で行った場合にのみトリガーされます。

  • 質問: Web アプリケーションは、仕事用プロファイルに登録されたデバイスでサポートされていますか?

    回答: はい。 Web アプリ (または Web リンク) は、すべての Android Enterprise シナリオでサポートされています。

  • 質問: デバイスパスコードのリセットはサポートされていますか?

    回答: 仕事用プロファイル登録デバイスの場合、仕事用プロファイルパスコードが管理され、ユーザーがリセットを許可している場合、Android 8.0 以降を実行しているデバイスでのみ、仕事用プロファイルのパスコードをリセットできます。 専用デバイスとフル マネージド デバイスでは、デバイスパスコードのリセットがサポートされます。

  • 質問: 登録時にデバイスを暗号化する必要があります。 暗号化を無効にするオプションはありますか?

    回答: いいえ。 Google では、仕事用プロファイルに対して暗号化が必要です。

  • 質問: Samsung デバイスが SwiftKey などのサード パーティ製キーボードの使用をブロックしているのはなぜですか?

    回答: Samsung は Android 8.0 以降のデバイスでこれを実施し始めました。 Microsoft は現在、この問題について Samsung と連携しており、利用可能になった時点で新しい情報を投稿します。