次の方法で共有

Intuneの Android と Samsung Knox Standardデバイス制限設定の一覧

  • [アーティクル]

この記事では、Android を実行しているデバイスに対して構成できるすべてのMicrosoft Intuneデバイス制限設定について説明します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して、機能の許可または無効化、パスワード要件の設定、セキュリティの制御などを行います。

この機能は、以下に適用されます:

  • Android デバイス管理者 (DA)

    重要

    Android デバイス管理者の管理は非推奨となり、Google Mobile Services (GMS) にアクセスできるデバイスでは使用できなくなります。 現在デバイス管理者管理を使用している場合は、別の Android 管理オプションに切り替えることをお勧めします。 サポートとヘルプのドキュメントは、Android 15 以前を実行している GMS を使用しない一部のデバイスで引き続き利用できます。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

ヒント

必要な設定が使用できない場合は、 カスタム プロファイルを使用してデバイスを構成できる場合があります。

開始する前に

Android デバイス管理者デバイス制限構成プロファイルを作成します

全般

  • カメラ (Android 9 以前、Samsung KNOX Android 15 以前のみ): [ブロック] は デバイス カメラへのアクセスを禁止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はデバイスのカメラへのアクセスを許可する場合があります。

    Intune は、デバイスのカメラへのアクセスのみを管理します。 写真やビデオにはアクセスできません。

  • コピーと貼り付け (Samsung Knox のみ): [ブロック] を 選択すると、コピーと貼り付けができなくなります。 [未構成] では、デバイス上のコピーと貼り付けの機能が許可されます。

  • アプリ間でのクリップボードの共有 (Samsung Knox のみ): [ブロック] を 選択すると、クリップボードを使用してアプリ間でコピーアンドペーストできなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではデバイスでのコピーと貼り付けの機能が許可される場合があります。

  • 診断データの送信 (Samsung Knox のみ): [ブロック] を 選択すると、ユーザーはデバイスからバグ レポートを送信できません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではユーザーがデータを送信できる場合があります。

  • 出荷時のリセット (Samsung KNOX Android 15 以前のみ): [ブロック] を 選択すると、ユーザーはデバイスを工場出荷時の状態にリセットできなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • 位置情報 (Samsung Knox のみ): [ブロック] を 選択すると、位置情報を使用するデバイスが無効になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によってデバイスで位置情報の使用が許可される場合があります。

  • 電源オフ (Samsung Knox のみ): [ブロック] を選択 すると、ユーザーはデバイスの電源をオフにできなくなります。 また、[ デバイスをワイプする前のサインイン エラーの数 ] 設定が構成され、機能しなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではユーザーがデバイスの電源をオフにできる場合があります。

  • スクリーン キャプチャ (Samsung KNOX Android 15 以前のみ): [ブロック] では スクリーンショットが表示されません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS を使用すると、ユーザーは画面の内容をイメージとしてキャプチャできます。

  • 音声アシスタント (Samsung KNOX Android 15 以前のみ): [ブロック] を選択すると、S Voice サービスが無効になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではデバイスで S Voice サービスとアプリの使用が許可される場合があります。 この設定は、画面コンテンツを読み上げるアクセシビリティの Bixby や音声アシスタントには適用されません。

  • YouTube (Samsung Knox のみ): [ブロック] を 選択すると、ユーザーが YouTube アプリを使用できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではデバイスで YouTube アプリの使用が許可される場合があります。

  • 共有デバイス (Samsung Knox のみ): 管理対象の Samsung Knox Standard デバイスを共有として構成します。 [許可] を使用すると、ユーザーはMicrosoft Entra資格情報を使用してデバイスにサインインおよびサインアウトできます。 デバイスは、使用中かどうかに関係なく、管理されたままです。

    SCEP 証明書プロファイルでを使用する場合、この機能を使用すると、ユーザーはすべてのユーザーに対して同じアプリでデバイスを共有できます。 ただし、各ユーザーには独自の SCEP ユーザー証明書があります。 ユーザーがサインアウトすると、すべてのアプリ データがクリアされます。 この機能は LOB アプリのみに制限されています。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、複数のユーザーがMicrosoft Entra資格情報を使用してデバイス上のポータル サイト アプリにサインインできなくなる可能性があります。

  • 日付と時刻の変更をブロックする (Samsung KNOX Android 15 以前のみ): [ブロック] を 選択すると、ユーザーがデバイスの日付と時刻の設定を変更できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーが日付と時刻の設定を変更できる場合があります。

Password

  • [暗号化]: [ 必須] を 選択して、デバイス上のファイルが暗号化されるようにします。 すべてのデバイスが暗号化をサポートしているわけではありません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 この設定を構成し、コンプライアンスを正しく報告するには、次も構成します。

    1. パスワード: [必須] に設定します。
    2. 必須のパスワードの種類: [少なくとも数値] に設定します。
    3. 最小パスワード長: 少なくとも 4に設定します。

    注:

    暗号化ポリシーが適用されている場合、Samsung Knox デバイスでは、ユーザーにデバイスパスコードとして 6 文字の複雑なパスワードを設定する必要があります。

すべての Android デバイス

これらの設定は、指定されている場合を除き、すべての Android OS バージョンと製造元に適用されます。

  • 画面がロックされるまでの非アクティブの最大時間 (分): 画面が自動的にロックされるまでにデバイスをアイドル状態にする必要がある時間の長さを入力します。 たとえば、5 と入力して、アイドル状態から 5 分後にデバイスをロックします。 値を空欄または [未構成] に設定すると、Intune ではこの設定が変更または更新されなくなります。

    デバイスでは、ユーザーはプロファイルで構成された時間より大きい時間値を設定できません。 ユーザーは、より低い時間値を設定できます。 たとえば、プロファイルが 15 分に設定されている場合、ユーザーは値を 5 分に設定できます。 ユーザーは値を 30 分に設定できません。

  • デバイスをワイプする前のサインインエラーの数 (Samsung KNOX Android 15 以前のみ): デバイスがワイプされる前に許可されている間違ったパスワードの数を 4 から 11 まで入力します。 0 (ゼロ) では、デバイスのワイプ機能が無効になる可能性があります。 値が空白の場合、Intune はこの設定を変更または更新しません。

  • パスワード: デバイスにアクセスするためにユーザーにパスワードの入力を 要求 します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はパスワードなしでデバイスへのアクセスを許可する場合があります。

    注:

    Samsung Knox デバイスでは、MDM 登録中に 4 桁の PIN が自動的に必要になります。 ネイティブ Android デバイスでは、条件付きアクセスに準拠するために PIN が自動的に必要になる場合があります。

Android 10 以降

  • パスワードの複雑さ: 必要なパスワードの複雑さを入力します。 次のようなオプションがあります。

    • なし (既定値): パスワードは必要ありません。
    • : パスワードは、次のいずれかの条件を満たします。
      • パターン
      • 数値 PIN には、繰り返し (4444) または順序付け (1234、4321、2468) シーケンスがあります。
    • : パスワードは、次のいずれかの条件を満たします。
      • 数値 PIN には、繰り返し (4444) または順序付け (1234、4321、2468) シーケンスがないため、最小長は 4 です。
      • アルファベットで、最小長は 4 です。
      • 英数字。最小長は 4 です。
    • : パスワードは、次のいずれかの条件を満たします。
      • 数値 PIN には繰り返し (4444) または順序付け (1234、4321、2468) シーケンスがないため、最小長は 8 です。
      • アルファベットで、最小長は 6 です。
      • 英数字。最小長は 6 です。

    この設定は、以下の場合に適用されます。

    • Android 10 以降ですが、Samsung Knox では使用できません。

    重要

    [パスワードの複雑さ] 設定は進行中です。 2020 年 10 月下旬に、 パスワードの複雑さが デバイスで有効になります。

    [パスワードの複雑さ][なし] 以外に設定した場合は、[パスワード] 設定を [必須] に設定します。この設定は[すべての Android デバイス] セクションにあります。 複雑さの要件を満たしていないパスワードを持つユーザーは、パスワードを更新するための警告を受け取ります。 [パスワード] 設定を [必須] に設定しない場合、パスワードが弱いユーザーは警告を受け取りません。

Android 9 以前、または Samsung Knox Android 15 以前

これらの設定は、Android 9 以前を実行しているデバイスと、Android OS バージョン 15 以前を実行しているすべての Samsung Knox デバイスに適用されます。

  • パスワードの最小長: 必要な最小文字数 4 - 16 文字を入力します。 たとえば、「 6 」と入力して、パスワードの長さに少なくとも 6 つの数字または文字を必要とします。

  • パスワードの有効期限 (日数): デバイスのパスワードを 1 から 365 まで変更する必要がある日数を入力します。 たとえば、90 と入力して、90 日後にパスワードを期限切れにします。 パスワードの有効期限が切れると、ユーザーは新しいパスワードの作成を求められます。 値が空白の場合、Intune はこの設定を変更または更新しません。

  • 必要なパスワードの種類: 必要なパスワードの複雑さのレベルと、生体認証デバイスを使用できるかどうかを入力します。 次のようなオプションがあります:

    • デバイスの既定値

    • 低セキュリティ生体認証: 強力な生体認証と弱い生体認証 (Android の Web サイトが開きます)

    • 少なくとも数値: 123456789などの数値が含まれます。

    • 数値複素数: "1111" や "1234" などの繰り返しまたは連続する数値は使用できません。 この設定をデバイスに割り当てる前に、ポータル サイト アプリをそれらのデバイスの最新バージョンに更新してください。

      [数値複合] に設定し、5.0 より前の Android バージョンを実行しているデバイスに設定を割り当てると、次の動作が適用されます。

      • ポータル サイト アプリが 1704 より前のバージョンを実行している場合、デバイスには PIN ポリシーは適用されません。Microsoft Intune管理センターにエラーが表示されます。
      • ポータル サイト アプリで 1704 バージョン以降を実行する場合は、単純な PIN のみを適用できます。 5.0 より前の Android バージョンでは、この設定はサポートされていません。 Microsoft Intune管理センターにエラーは表示されません。

    • 少なくともアルファベット: アルファベットの文字を含みます。 数値と記号は必要ありません。

    • 少なくとも英数字: 大文字、小文字、および数字が含まれます。

    • 少なくとも英数字と記号: 大文字、小文字、数字、句読点、記号が含まれます。

  • 以前のパスワードの再利用を禁止する: この設定を使用して、ユーザーが以前に使用したパスワードを作成できないようにします。 以前に使用した使用できないパスワードの数を 1 ~ 24 の範囲で入力します。 たとえば、5 と入力すると、ユーザーは新しいパスワードを現在のパスワードまたは以前の 4 つのパスワードのいずれにも設定できなくなります。 値が空白の場合、Intune はこの設定を変更または更新しません。

  • 指紋ロック解除 (Samsung Knox のみ): [ブロック] を 選択すると、指紋を使用してデバイスのロックを解除できなくなります。 [未構成] (既定値) に設定した場合、Intuneはこの設定を変更または更新しません。既定では、OS では、ユーザーが指紋を使用してデバイスのロックを解除できる場合があります。

  • スマート ロックとその他のトラスト エージェント: [ブロック] を 選択すると、スマート ロックまたはその他のトラスト エージェントがロック画面の設定を調整できなくなります。 デバイスが信頼できる場所にある場合、この機能 (信頼エージェントとも呼ばれます) を使用すると、デバイス ロック画面のパスワードを無効またはバイパスできます。 たとえば、デバイスが特定のBluetooth デバイスに接続されている場合や、デバイスが NFC タグに近い場合は、この機能を使用します。 この設定を使用して、ユーザーがスマート ロックを構成できないようにすることができます。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    この設定は、以下の場合に適用されます。

    • Samsung KNOX Standard 5.0 以降

Google Play ストア

  • Google Play ストア (Samsung Knox のみ): [ブロック] を 選択すると、ユーザーが Google Play ストアを使用できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、ユーザーがデバイス上の Google Play ストアにアクセスできる場合があります。

制限されたアプリ

この機能は、Android および Samsung Knox Standard デバイスでサポートされています。

  • 制限付きアプリの一覧の種類: デバイスで許可またはブロックするアプリの一覧を作成します。 この機能は、Android および Samsung Knox Standard デバイスでサポートされています。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • 禁止されているアプリ: ユーザーがインストールと実行を許可されていないアプリ (Intune によって管理されていない) を一覧表示します。 ユーザーがこの一覧からアプリをインストールすると、Intuneから通知されます。
    • 承認済みアプリ: ユーザーがインストールできるアプリを一覧表示します。 コンプライアンスを維持するために、ユーザーは他のアプリをインストールしてはなりません。 Intune管理されたアプリは、ポータル サイト アプリを含め、自動的に許可されます。

  • アプリの一覧: アプリを 追加 します。

    • アプリ ストア URL: 目的のアプリの Google Play ストア URL を入力します。 たとえば、Android 用のMicrosoft リモート デスクトップ アプリを追加するには、「https://play.google.com/store/apps/details?id=com.microsoft.rdc.android」と入力します。

      アプリの URL を見つけるには、 Google Play ストアを開き、アプリを検索します。 たとえば、Microsoft Remote Desktop Play Store または Microsoft Planner というメッセージを探してみてください。 アプリを選択し、URL をコピーします。

    • アプリ バンドル ID: アプリ バンドル ID を入力します。 Intuneに追加されたアプリのバンドル ID を取得するには、Intune管理センターを使用します

    • [アプリ名]: 目的の名前を入力します。 この名前はユーザーに表示されます。

    • Publisher (省略可能): Microsoftなど、アプリの発行元を入力します。

URL など、アプリに関する詳細を含む CSV ファイルを インポート することもできます。 < app url>、<app name>、<app publisher> 形式を使用します。 または、 制限付きアプリリストを含む既存のリストを同じ形式でエクスポートします。

重要

制限付きアプリ設定を使用するデバイス プロファイルは、デバイス グループではなく、ユーザー グループに割り当てる必要があります。

ブラウザー

  • Web ブラウザー (Samsung Knox のみ): [ブロック] を 選択すると、既定の Web ブラウザーがデバイスで使用されなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によってデバイスの既定の Web ブラウザーの使用が許可される場合があります。
  • オートフィル (Samsung Knox のみ): ブロック すると、ブラウザーが自動的にテキストを入力できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS でオートフィルが許可される場合があります。
  • Cookie (Samsung Knox のみ): デバイス上の Web サイトから Cookie を処理する方法を選択します。 次のようなオプションがあります。
    • 許可
    • すべての Cookie をブロックする
    • アクセスした Web サイトからの Cookie を許可する
    • 現在の Web サイトからの Cookie を許可する
  • JavaScript (Samsung Knox のみ): [ブロック] を選択 すると、JavaScript がブラウザーで実行されなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS でこれらのスクリプトが許可される場合があります。
  • ポップアップ (Samsung Knox のみ): [ブロック ] をオンにすると、Web ブラウザーでポップアップが表示されないようにポップアップ ブロックがオンになります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS でポップアップが許可される場合があります。

アプリを許可またはブロックする

これらの設定を使用して、Samsung Knox Standard デバイス上の特定のアプリを許可、ブロック、または非表示にします。 非表示になっているアプリは、ユーザーが開いたり実行したりすることはできません。

次のようなオプションがあります。

  • インストールが許可されているアプリ (Samsung Knox Standardのみ): ユーザーがインストールできるアプリを追加します。 ユーザーは、一覧にないアプリをインストールできません。
  • [アプリの起動がブロックされました (Samsung Knox Standardのみ)]: ユーザーがデバイスで実行できないアプリを入力します。
  • ユーザーから非表示のアプリ (Samsung Knox Standardのみ): デバイスで非表示になっているアプリを入力します。 ユーザーはこれらのアプリを検出または実行できません。

設定ごとに、アプリを追加します。

  • [パッケージ名でアプリを追加する]: アプリ名とアプリ パッケージの名前を入力します。 主に基幹業務アプリに使用されます。
  • URL でアプリを追加する: Google Play ストアにアプリ名とその URL を入力します。
  • ストア アプリの追加: Intuneで管理するアプリの既存の一覧からアプリを選択します。

クラウドとストレージ

  • Google バックアップ (Samsung KNOX Android 15 以前のみ): [ブロック] を 選択すると、デバイスが Google バックアップに同期できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS で Google バックアップの使用が許可される場合があります。
  • Google アカウントの自動同期 (Samsung Knox のみ): [ブロック] にすると 、デバイスでの Google アカウントの自動同期機能が禁止されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によって Google アカウントの設定が自動的に同期される場合があります。
  • リムーバブル ストレージ (Samsung Knox のみ): [ブロック] を選択 すると、デバイスがリムーバブル 記憶域を使用できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では、デバイスで SD カードなどのリムーバブル 記憶域を使用できる場合があります。
  • ストレージ カードでの暗号化 (Samsung KNOX Android 15 以前のみ): [必須] では 、ストレージ カードを暗号化する必要があります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では暗号化されていないストレージ カードの使用が許可される場合があります。 すべてのデバイスがストレージカード暗号化をサポートしているわけではありません。 確認するには、デバイスの製造元にチェックします。

携帯電話と接続性

  • データ ローミング (Samsung Knox のみ): [ブロック] を選択 すると、携帯ネットワーク経由でのデータ ローミングが禁止されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではデータ ローミングが許可される場合があります。
  • SMS/MMS メッセージング (Samsung KNOX Android 15 以前のみ): [ブロック] を 選択すると、デバイスでのテキスト メッセージングが禁止されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では SMS および MMS メッセージングの使用が許可される場合があります。
  • 音声ダイヤル (Samsung Knox のみ): [ブロック] を 選択すると、ユーザーがデバイスで音声ダイヤル機能を使用できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では音声ダイヤルが許可される場合があります。
  • 音声ローミング (Samsung Knox のみ): [ブロック] を 選択すると、携帯ネットワーク経由での音声ローミングが禁止されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では音声ローミングが許可される場合があります。
  • Bluetooth (Samsung KNOX Android 15 以前のみ): [ブロック] を選択すると、デバイスでBluetoothを使用できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではBluetoothの使用が許可される場合があります。
  • NFC (Samsung Knox のみ): ブロック は、それをサポートするデバイスで近距離通信 (NFC) を使用する操作を無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では NFC 操作が許可される場合があります。
  • Wi-Fi (Samsung KNOX Android 15 以前のみ): [ブロック] を 選択すると、デバイスで Wi-Fi を使用できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS で Wi-Fi の使用が許可される場合があります。
  • Wi-Fi テザリング (Samsung KNOX Android 15 以前のみ): [ブロック] を 選択すると、デバイスで Wi-Fi テザリングを使用できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS では Wi-Fi テザリングの使用が許可される場合があります。

キオスク

キオスク設定は、Android 10 以前を実行している Samsung Knox Standard デバイスにのみ適用され、Intuneを使用して管理するアプリにのみ適用されます。

  • デバイスがキオスク モードのときに実行するアプリを追加します。 キオスク モードでは、追加したアプリのみが実行されます。追加されていないアプリは実行されません。 デバイスがキオスク モードの場合、プレインストールされているブラウザーはアプリとして実行されません。 ブラウザーが必要な場合は、 マネージド ブラウザーの使用を検討してください。

    アプリ のオプション:

    • パッケージ名でアプリを追加する: 主に基幹業務アプリに使用されます。 アプリ名とアプリ パッケージの名前を入力します。
    • URL でアプリを追加する: Google Play ストアにアプリ名とその URL を入力します。
    • ストア アプリの追加: Intuneで管理するアプリの既存の一覧からアプリを選択します。

  • [画面のスリープ] ボタン: [ブロック] は 、画面のスリープ ボタンを防止または非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではデバイスで画面スリープ 解除ボタンが許可される場合があります。

  • 音量ボタン: [ブロック] を 選択すると、ユーザーは音量ボタンを無効にして音量を調整できなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS ではデバイス上のボリューム ボタンの使用が許可される場合があります。

次の手順

プロファイルを割り当てその状態を監視します。

Android Enterprise デバイスと Windows デバイス用のキオスク プロファイルを作成することもできます。